¿Quién debería acceder a los datos de su empresa? ¿Cómo se asegura de que a quienes intentan acceder se les haya concedido ese acceso? ¿En qué circunstancias se niega el acceso a un usuario con privilegios de acceso?
Para proteger eficazmente sus datos, la política de control de acceso de su organización debe abordar éstas (y otras) preguntas. Lo que sigue es una guía sobre los principios básicos del control de acceso: qué es, por qué es importante, qué organizaciones lo necesitan más, y los desafíos que los profesionales de seguridad pueden enfrentar para implementar y mantener el control de acceso.
Definición de control de acceso
En un nivel alto, el control de acceso es una restricción selectiva de acceso a los datos. Consta de dos componentes principales: autenticación y autorización, señaló Daniel Crowley, jefe de investigación de X-Force Red de IBM, que se centra en la seguridad de los datos.
La autenticación es una técnica utilizada para verificar que alguien es quien dice ser. La autenticación no es suficiente por sí misma para proteger los datos, señaló Crowley. Lo que se necesita es una capa adicional, autorización, que determina si un usuario debe tener acceso a los datos o realizar la transacción que intentan.
El control de acceso, entonces, trata de garantizar que los usuarios son quienes dicen ser y que tienen el acceso adecuado “para hacer lo que se supone que pueden hacer”, indicó Crowley.
¿Qué tan importante es el control de acceso para la seguridad general de los datos?
Sin autenticación y autorización, no hay seguridad de datos, anotó Crowley. “En cada violación de datos, los controles de acceso se encuentran entre las primeras políticas investigadas”, señaló Ted Wagner, CISO en SAP National Security Services, Inc. “Ya sea la exposición inadvertida de datos confidenciales protegidos incorrectamente por un usuario final o la violación de Equifax, donde los datos sensibles fueron expuestos a través de un servidor web público que opera con una vulnerabilidad de software, los controles de acceso son un componente clave. Cuando no se implementa o mantiene correctamente, el resultado puede ser catastrófico”.
¿Qué tipos de organizaciones necesitan más control de acceso?
Cualquier organización cuyos empleados se conectan a Internet, en otras palabras, todas las organizaciones de hoy en día, necesita algún nivel de control de acceso. “Eso es especialmente cierto para las empresas con empleados que trabajan fuera de la oficina y que requieren acceso a los recursos y servicios de datos de la compañía”, indicó Avi Chesla, CEO de la firma de seguridad cibernética.
Dicho de otra manera: si sus datos pueden ser de algún valor para alguien sin la debida autorización para acceder a ellos, entonces su organización necesita un fuerte control de acceso, indicó Crowley.
5 desafíos clave para hacer cumplir el control de acceso
1- La necesidad de políticas persistentes: La mayoría de los profesionales de seguridad entienden qué tan crítico es el control de acceso para su organización. Pero no todos están de acuerdo en cómo se debe hacer cumplir el control de acceso, señaló Chesla. “El control de acceso requiere la aplicación de políticas persistentes en un mundo dinámico sin fronteras tradicionales”, explicó Chesla. La mayoría de nosotros trabajamos en entornos híbridos donde los datos se mueven de los servidores locales o la nube a las oficinas, hogares, hoteles, automóviles y cafeterías con puntos de acceso wi-fi abiertos, lo que puede dificultar el control de acceso.
“Además, existe el riesgo de que el acceso esté disponible para una gama cada vez mayor de dispositivos”, mencionó Chesla, incluyendo PCs, laptops, teléfonos inteligentes, tabletas, parlantes inteligentes y otros dispositivos de Internet de las cosas (IoT, por sus siglas en inglés). “Esa diversidad hace que sea un verdadero desafío crear y asegurar la persistencia en las políticas de acceso”.
2- Decidir sobre el modelo de control más apropiado: Las organizaciones deben determinar el modelo de control de acceso apropiado a adoptar en función del tipo y la sensibilidad de los datos que están procesando, señaló Wagner. Los modelos de acceso antiguos incluyen el control de acceso discrecional (DAC, por sus siglas en inglés) y el control de acceso obligatorio (MAC, por sus siglas en inglés), indicó Wagner. Con los modelos DAC, el propietario de los datos decide sobre el acceso. DAC es un medio para asignar derechos de acceso basados en las reglas que los usuarios especifican.
MAC se desarrolló utilizando un modelo no discrecional, en el que se otorga acceso a las personas en función de una autorización de información. MAC es una política en la cual los derechos de acceso se asignan en base a las regulaciones de una autoridad central.
En la actualidad, el control de acceso basado en roles (RBAC, por sus siglas en inglés). es el modelo más común, comentó Wagner. RBAC otorga acceso en función del rol del usuario e implementa principios de seguridad clave, como “privilegio mínimo” y “separación de privilegios”. Por lo tanto, alguien que intente acceder a la información sólo puede acceder a los datos que considere necesarios para su función.
El modelo más reciente se conoce como control de acceso basado en atributos (ABAC, por sus siglas en inglés), en el que a cada recurso y usuario se les asigna una serie de atributos, explicó Wagner. “En este método dinámico, una evaluación comparativa de los atributos del usuario, incluida la hora del día, la posición y la ubicación, se utilizan para tomar una decisión sobre el acceso a un recurso”.
Es imperativo que las organizaciones decidan qué modelo es más apropiado para ellos en función de la sensibilidad de los datos y los requisitos operativos para el acceso a los datos. En particular, las organizaciones que procesan información de identificación personal (PII, por sus siglas en inglés) u otros tipos de información delicada, incluida la HIPAA o la Información de información no clasificada controlada (CUI, por sus siglas en inglés), deben hacer que el control de acceso sea una capacidad básica en su arquitectura de seguridad, aconsejó Wagner.
3-Puede necesitar múltiples soluciones para el control de acceso: Varias tecnologías pueden admitir los diversos modelos de control de acceso. En algunos casos, múltiples tecnologías pueden necesitar trabajar en concierto para lograr el nivel deseado de control de acceso, dijo Wagner. “La realidad de los datos distribuidos entre los proveedores de servicios en la nube y las aplicaciones SaaS y conectados al perímetro de la red tradicional, dictamina la necesidad de orquestar una solución segura”, señaló. “Hay varios proveedores que ofrecen acceso de privilegios y soluciones de administración de identidades que pueden integrarse en una construcción tradicional de Active Directory de Microsoft. La autenticación multifactorial puede ser un componente para mejorar aún más la seguridad”.
4- La autorización sigue siendo un talón de Aquiles para algunas organizaciones: Hoy en día, la mayoría de las organizaciones se han vuelto expertas en la autenticación, señaló Crowley, especialmente con el uso creciente de la autenticación multifactorial y la autenticación basada en biometría (como el reconocimiento facial o del iris). En los últimos años, donde las brechas de datos de alto perfil han resultado en la venta de credenciales de contraseñas robadas en la web oscura, los profesionales de la seguridad han tomado más en serio la necesidad de la autenticación de factores múltiples, agregó.
La autorización sigue siendo un área en la que los profesionales de la seguridad “cometen errores más a menudo”, indicó Crowley. Puede ser desafiante determinar y controlar perpetuamente quién tiene acceso a qué recursos de datos, cómo deben poder acceder a ellos y bajo qué condiciones se les concede acceso, para empezar. Pero los protocolos de autorización incoherentes o débiles pueden crear agujeros de seguridad que deben identificarse y taparse lo más rápido posible.
Hablando de monitoreo: independientemente de cómo su organización decida implementar control de acceso, debe ser monitoreado constantemente, señaló Chesla, tanto en términos de cumplimiento de su política de seguridad corporativa como operacionalmente, para identificar posibles agujeros de seguridad. “Debería realizar periódicamente una revisión de gobierno, riesgo y cumplimiento”, afirmó. “Necesita escaneos de vulnerabilidad recurrentes contra cualquier aplicación que ejecute sus funciones de control de acceso, y debe recopilar y supervisar los registros de cada acceso por violaciones de la política”.
5- Sus políticas de control de acceso deben ser capaces de cambiar dinámicamente: En el pasado, las metodologías de control de acceso a menudo eran estáticas. “Hoy, el acceso a la red debe ser dinámico y fluido, y debe ser compatible con la identidad y los casos de uso basados en aplicaciones”, señaló Chesla.
Una política de control de acceso sofisticada se puede adaptar dinámicamente para responder a los factores de riesgo en evolución, permitiendo a una empresa que ha sido violada “aislar a los empleados relevantes y los recursos de datos para minimizar el daño”, indicó.
Las empresas deben asegurarse de que sus tecnologías de control de acceso “sean compatibles de manera consistente a través de sus activos y aplicaciones en la nube, y que puedan migrarse sin problemas a entornos virtuales como nubes privadas”, aconsejó Chesla. “Las reglas de control de acceso deben cambiar en función del factor de riesgo, lo que significa que las organizaciones deben implementar capas de análisis de seguridad mediante inteligencia artificial, IA, y aprendizaje automático que se encuentran sobre la red existente y la configuración de seguridad. También necesitan identificar las amenazas en tiempo real y automatizar las reglas de control de acceso en consecuencia”.
El resultado final en el control de acceso
En los complejos entornos de TI actuales, el control de acceso debe considerarse como “una infraestructura tecnológica viva que utiliza las herramientas más sofisticadas, refleja los cambios en el entorno de trabajo como una mayor movilidad, reconoce los cambios en los dispositivos que usamos y sus riesgos inherentes, y toma en cuenta el creciente movimiento hacia la nube”, anotó Chesla.
James A. Martin, csoonline.com – CIOPeru.pe