Para proteger eficazmente sus datos, la política de control de acceso de su organización debe abordar estas (y otras) cuestiones. Lo que sigue es una guía sobre los fundamentos del control de acceso: Qué es, por qué es importante, qué organizaciones lo necesitan más y los retos a los que se pueden enfrentar los profesionales de la seguridad.
¿Qué es el control de acceso?
El control de acceso es un método para garantizar que los usuarios son quienes dicen ser y que tienen el acceso adecuado a los datos de la empresa.
A alto nivel, el control de acceso es una restricción selectiva del acceso a los datos. Consta de dos componentes principales: autenticación y autorización.
La autenticación es una técnica utilizada para verificar que alguien es quien dice ser. La autenticación no es suficiente por sí sola para proteger los datos. Lo que se necesita es una capa adicional, la autorización, que determina si se debe permitir a un usuario acceder a los datos o realizar la transacción que está intentando.
Sin autenticación y autorización, no hay seguridad de los datos. En todas las vulneraciones de datos, los controles de acceso se encuentran entre las primeras políticas investigadas. Tanto si se trata de la exposición inadvertida de datos sensibles mal protegidos por un usuario final como de la filtración de Equifax, en la que se expusieron datos sensibles a través de un servidor web de cara al público que funcionaba con una vulnerabilidad de software, los controles de acceso son un componente clave. Cuando no se implementan o mantienen adecuadamente, el resultado puede ser catastrófico.
Cualquier organización cuyos empleados se conecten a Internet -es decir, todas las organizaciones de hoy en día- necesita algún nivel de control de acceso. Esto es especialmente cierto en el caso de las empresas con empleados que trabajan fuera de la oficina y necesitan acceder a los recursos y servicios de datos de la empresa.
Dicho de otro modo: Si sus datos pueden tener algún valor para alguien sin la debida autorización para acceder a ellos, entonces su organización necesita un fuerte control de acceso.
Otra razón para un fuerte control de acceso: La minería de acceso
La recopilación y venta de descriptores de acceso en la web oscura es un problema creciente. Por ejemplo, en un informe de se describe cómo una red de bots de minería de criptomonedas, Smominru, minó no sólo criptomonedas, sino también información sensible, como direcciones IP internas, información de dominio, nombres de usuario y contraseñas. Es "muy plausible" que este actor de la amenaza vendiera esta información en un "mercado de acceso" a otros que pudieran lanzar sus propios ataques por acceso remoto.
Estos mercados de acceso proporcionan una forma rápida y sencilla para que los ciberdelincuentes compren acceso a sistemas y organizaciones. Estos sistemas pueden utilizarse como zombis en ataques a gran escala o como punto de entrada a un ataque dirigido.
Los ciberdelincuentes aumentarán el uso de los mercados de acceso y la minería de acceso porque pueden ser "muy lucrativos" para ellos. El riesgo para una organización aumenta si sus credenciales de usuario comprometidas tienen más privilegios de los necesarios.
Política de control de acceso: Consideraciones clave
La mayoría de los profesionales de la seguridad comprenden lo crítico que es el control de acceso para su organización. Pero no todo el mundo está de acuerdo en cómo debe aplicarse el control de acceso. El control de acceso requiere la aplicación de políticas persistentes en un mundo dinámico sin fronteras tradicionales. La mayoría de nosotros trabajamos en entornos híbridos en los que los datos se mueven desde los servidores locales o la nube hasta las oficinas, casas, hoteles, autos y cafeterías con puntos de acceso wi-fi abiertos, lo que puede dificultar la aplicación del control de acceso.
A este riesgo se suma el hecho de que el acceso está disponible para una gama cada vez más amplia de dispositivos, entre los que se encuentran ordenadores, portátiles, teléfonos inteligentes, tabletas, altavoces inteligentes y otros dispositivos del internet de las cosas (IoT). Esa diversidad hace que sea un verdadero desafío crear y asegurar la persistencia en las políticas de acceso.
En el pasado, las metodologías de control de acceso solían ser estáticas. Hoy en día, el acceso a la red debe ser dinámico y fluido, soportando casos de uso basados en la identidad y las aplicaciones.
Una política de control de acceso sofisticada puede adaptarse dinámicamente para responder a los factores de riesgo en evolución, permitiendo a una empresa que ha sido vulnerada aislar a los empleados y recursos de datos relevantes para minimizar el daño.
Las empresas deben asegurarse de que sus tecnologías de control de acceso "son compatibles con sus activos y aplicaciones en la nube, y que pueden migrar sin problemas a entornos virtuales como las nubes privadas. Las reglas de control de acceso deben cambiar en función del factor de riesgo, lo que significa que las organizaciones deben desplegar capas de análisis de seguridad utilizando la IA y el aprendizaje automático que se asientan sobre la red existente y la configuración de seguridad. También necesitan identificar las amenazas en tiempo real y automatizar las reglas de control de acceso en consecuencia.
4 tipos de control de acceso
Las organizaciones deben determinar el modelo de control de acceso apropiado para adoptar en función del tipo y la sensibilidad de los datos que están procesando. Los modelos de acceso más antiguos incluyen el control de acceso discrecional (DAC) y el control de acceso obligatorio (MAC), el control de acceso basado en roles (RBAC) es el modelo más común hoy en día, y el modelo más reciente se conoce como control de acceso basado en atributos (ABAC).
Control de acceso discrecional (DAC)
Con los modelos DAC, el propietario de los datos decide el acceso. El DAC es un medio para asignar derechos de acceso basados en reglas que los usuarios especifican.
Control de acceso obligatorio (MAC)
El MAC se desarrolló con un modelo no discrecional, en el que se concede el acceso a las personas sobre la base de una autorización de información. El MAC es una política en la que los derechos de acceso se asignan basándose en las normas de una autoridad central.
Control de acceso basado en roles (RBAC)
El RBAC concede el acceso basándose en el rol de un usuario e implementa principios de seguridad clave, como el "mínimo privilegio" y la "separación de privilegios". Así, alguien que intente acceder a la información sólo puede acceder a los datos que se consideran necesarios para su función.
Control de acceso basado en atributos (ABAC)
En el ABAC, se asigna a cada recurso y usuario una serie de atributos. En este método dinámico, se utiliza una evaluación comparativa de los atributos del usuario, incluyendo la hora del día, la posición y la ubicación, para tomar una decisión sobre el acceso a un recurso.
Es imprescindible que las organizaciones decidan qué modelo es el más apropiado para ellas en función de la sensibilidad de los datos y de los requisitos operativos de acceso a los mismos. En particular, las organizaciones que procesan información personal identificable (PII) u otros tipos de información sensible.
Soluciones de control de acceso
Una serie de tecnologías pueden apoyar los distintos modelos de control de acceso. En algunos casos, puede ser necesario que varias tecnologías trabajen en conjunto para lograr el nivel deseado de control de acceso.
La realidad de los datos repartidos entre los proveedores de servicios en la nube y las aplicaciones SaaS y conectados al perímetro de la red tradicional dicta la necesidad de orquestar una solución segura. Hay múltiples proveedores que ofrecen soluciones de acceso a privilegios y gestión de identidades que pueden integrarse en una construcción tradicional de Active Directory de Microsoft. La autenticación multifactorial puede ser un componente para mejorar aún más la seguridad.
Por qué la autorización sigue siendo un reto
Hoy en día, la mayoría de las organizaciones se han vuelto expertas en autenticación, especialmente con el creciente uso de la autenticación multifactor y la autenticación basada en la biometría (como el reconocimiento facial o del iris). En los últimos años, cuando las filtraciones de datos de alto nivel han dado lugar a la venta de credenciales de contraseñas robadas en la web oscura, los profesionales de la seguridad se han tomado más en serio la necesidad de la autenticación multifactorial.
La autorización sigue siendo un área en la que los profesionales de la seguridad más se equivocan. Para empezar, puede ser un reto determinar y supervisar constantemente quién tiene acceso a qué recursos de datos, cómo deberían poder acceder a ellos y bajo qué condiciones se les concede el acceso. Pero los protocolos de autorización incoherentes o débiles pueden crear agujeros de seguridad que hay que identificar y tapar lo antes posible.
Hablando de supervisión: Cualquiera que sea la forma en que su organización decida implementar el control de acceso, debe ser supervisado constantemente, tanto en términos de cumplimiento de su política de seguridad corporativa como operativamente, para identificar cualquier agujero de seguridad potencial. Hay que realizar periódicamente una revisión de la gobernanza, el riesgo y el cumplimiento. Se necesita escaneos de vulnerabilidad recurrentes contra cualquier aplicación que ejecute funciones de control de acceso, y se debe recopilar y supervisar los registros de cada acceso para detectar violaciones de la política.
En los complejos entornos informáticos actuales, el control de acceso debe considerarse como una infraestructura tecnológica viva que utiliza las herramientas más sofisticadas, refleja los cambios en el entorno de trabajo, como el aumento de la movilidad, reconoce los cambios en los dispositivos que utilizamos y sus riesgos inherentes, y tiene en cuenta el creciente movimiento hacia la nube.
Fuente: CSO