El control de acceso es un método para limitar el acceso a un sistema oa recursos físicos o virtuales. Es un proceso por el cual los usuarios pueden acceder y se les otorga cierta prerrogativa a sistemas, recursos o información. El control de acceso es una técnica de seguridad que tiene control sobre quién puede ver diferentes aspectos, qué se puede ver y quién puede usar los recursos en un entorno informático. Es un concepto fundamental en seguridad que reduce el riesgo para la empresa u organización.
Para establecer un sistema seguro, se utilizan sistemas de control de acceso electrónico que dependen de las credenciales de los usuarios, lectores de tarjetas de acceso, auditorías e informes para rastrear el acceso de los empleados a ubicaciones y áreas comerciales restringidas. Estos sistemas incluyen paneles de control de acceso para prohibir la entrada a áreas sensibles como alarmas y áreas de bloqueo para evitar operaciones o accesos no autorizados.
Los sistemas de control de acceso realizan la identificación, autenticación y autorización de usuarios y entidades mediante la evaluación de las credenciales de inicio de sesión requeridas que pueden incluir contraseñas, pines, escaneos biométricos u otros factores de autenticación. Existe la autenticación multifactor que requiere dos o más factores de autenticación, lo que suele ser una parte importante de la defensa en capas para proteger los sistemas de control de acceso.
Factores de autenticación:
- Contraseña o PIN
- Medición biométrica (escaneo de huellas dactilares y retina)
- Tarjeta o Clave
Se utilizan diferentes modelos de control de acceso según los requisitos de cumplimiento y los niveles de seguridad de la tecnología de la información que se desea proteger. Básicamente el control de acceso es de 2 tipos:
- Control de
acceso físico: el control de acceso físico restringe la entrada a campus, edificios, salas y activos físicos de TI. - Control de
acceso lógico: el control de acceso lógico limita las conexiones a redes informáticas, archivos del sistema y datos.
Modelos de control de acceso:
- Control de acceso basado en atributos (ABAC):
en este modelo, el acceso se otorga o se rechaza mediante la evaluación de un conjunto de reglas, políticas y relaciones utilizando los atributos de los usuarios, los sistemas y las condiciones ambientales. - Control de acceso discrecional (DAC):
en DAC, el propietario de los datos determina quién puede acceder a recursos específicos. - Control de acceso basado en el historial (HBAC):
el acceso se otorga o se rechaza mediante la evaluación del historial de actividades de la parte solicitante que incluye el comportamiento, el tiempo entre requests y el contenido de las requests. - Control de acceso basado en identidad (IBAC):
al usar este modelo, los administradores de red pueden administrar de manera más efectiva la actividad y el acceso según los requisitos individuales. - Control de acceso obligatorio (MAC):
un modelo de control en el que los derechos de acceso están regulados por una autoridad central basada en múltiples niveles de seguridad. Security Enhanced Linux se implementa utilizando MAC en el sistema operativo Linux. - Control de acceso basado en la organización (OrBAC):
este modelo permite al diseñador de políticas definir una política de seguridad independientemente de la implementación. - Control de acceso basado en roles (RBAC):
RBAC permite el acceso según el título del trabajo. RBAC elimina la discrecionalidad a gran escala al proporcionar acceso a objetos. Por ejemplo, no debe haber permisos para que el especialista en recursos humanos cree cuentas de red. - Control de acceso basado en reglas (RAC): el
método RAC se basa en gran medida en el contexto. Un ejemplo de esto sería solo permitir que los estudiantes usen los laboratorios durante un determinado momento del día.