email x
Controles de acceso: Porqué y cómo - Micromouse

Controles de acceso: Porqué y cómo

Controles de acceso: Porqué y cómo
segura la integridad de la información en tu empresa mediante Data Access Governance
BLOG 30 marzo, 2023

Controles de acceso: Porqué y cómo.

En el ecosistema de ciberseguridad, la implementación de controles de acceso, porqué y cómo, a datos es un aspecto tan importante como otros; hablamos de restringir el acceso a los sistemas, la información y los datos en función de unas políticas cuidadosamente diseñadas. Los dos componentes principales del control de acceso de los usuarios son la autenticación (verificación de identidad) y la autorización (nivel de acceso y acciones permitidas).

¿Por qué es necesario un control de acceso a datos?

El control de acceso es crucial tanto para la estrategia de ciberseguridad como para el cumplimiento de los principales estándares regulatorios y, además, define la responsabilidad en la gestión del dato. Al restringir el acceso solo al personal autorizado, las organizaciones pueden evitar el robo, daño o uso no autorizado de recursos, administrar el acceso de los empleados de manera eficiente, crear un registro de auditoría con fines legales y ahorrar tiempo y recursos a través de la verificación automatizada. El control de acceso es, por tanto, un componente esencial de cualquier estrategia efectiva de ciberseguridad y gestión de riesgos.

Según varios informes de riego de datos, el 41% de las empresas tienen, de media, más de 1.000 archivos con información sensible y/o confidencial expuestos a todos los usuarios de la organización. Permitir que se acceda a este tipo de información sin la autorización adecuada, sin duda, aumentará el riesgo de una violación de datos. Según se desprende de estos informes, los profesionales de TI necesitan aproximadamente 8-6 horas por carpeta para identificar y eliminar grupos de acceso global no autorizados. La razón por la que lleva tanto tiempo es que deben identificar qué usuarios necesitan acceso a qué recursos, lo que a veces puede significar revisar junto al usuario qué accesos tiene, cómo los consigue y cuáles necesitan realmente. Al igual que la empresa es un organismo vivo, la implementación de los controles de acceso debe ser un proceso en continua evolución.

Modelos de control de acceso a datos

Existen cuatro modelos principales para implementar el control de acceso a datos:

  • Control de acceso discrecional (Discretionary Access Control):
    • Este es el modelo menos restrictivo, se basa en los propietarios y grupos de propietarios a los que pertenece un objeto. Es discrecional puesto que un usuario puede transmitir sus permisos a otro usuario. Es muy habitual en los sistemas Linux. Dificulta la supervisión del acceso a información confidencial.
  • Control de acceso obligatorio (Mandatory Access Control):
    • Este método depende de una autoridad central, como un administrador, para conceder y revocar el acceso. Los usuarios finales no tienen control sobre la configuración de permisos, lo que dificulta su administración.
  • Control de acceso basado en roles (RBAC – Role Based Access Control):
    • Con este método, los usuarios reciben diferentes privilegios de acceso en función de sus funciones y responsabilidades laborales. Está diseñado en torno a roles predeterminados definidos por criterios como el departamento, las responsabilidades individuales y la autoridad. Utilizado en organizaciones que precisan de importantes medidas de seguridad.
  • Control de acceso basado en atributos (ABAC):
    • Se trata de un modelo dinámico de control de acceso a datos en el que el acceso se concede en función de los atributos asociados a las entidades de seguridad, los recursos y el entorno; y las condiciones ambientales, como la ubicación y la hora. ABAC proporciona más flexibilidad que RBAC, lo que permite cambios dinámicos en los controles de acceso sin modificar las relaciones sujeto/objeto.

Cómo implementar el control de acceso a datos

Para implementar el control de acceso a datos, en primer lugar, se deben identificar y eliminar los grupos de accesos global, por grupos de acceso regulados y testados estos accesos a fin de evitar problemas. Debe de asegurarse que el acceso se concede de acuerdo con el principio de privilegio mínimo (PoLP), que estipula que a los usuarios solo se les concede acceso a los recursos que necesitan para cumplir su función en la organización. Esto también debe incluir el acceso Just-In-Time (JIT), para garantizar que el acceso se revoque inmediatamente cuando ya no sea necesario.

A continuación, se presentan algunos consejos adicionales para ayudarle a implementar el control de acceso a datos:

  • Desarrolle una política de control de acceso.
    • Su política debe definir cómo se concede, aprueba, modifica, revisa y revoca el acceso. Debe documentar los roles que existen dentro de su organización, junto con las responsabilidades vinculadas a esos roles. También deberá documentar los tipos de cuenta dentro de su organización, como usuario invitado, usuario estándar, usuario con privilegios, sistema, servicio, etc.
  • Clasifique sus datos confidenciales.
    • Saber exactamente qué datos tiene, dónde se encuentran y el nivel de sensibilidad de los datos, hará que sea mucho más fácil asignar los controles de acceso adecuados. Una solución de clasificación de datos rastreará sus repositorios, OnPremise o en Cloud, y clasificará los datos según los parámetros indicados por la organización. Algunas soluciones permiten incluso clasificar los datos en el momento de la creación / modificación e incluso hay soluciones que permiten la clasificación de datos de acuerdo a las leyes de protección de datos.
  • Supervise el acceso a sus datos.
    • Para detectar comportamientos sospechosos por parte de los usuarios, voluntariamente o no, se debe desplegar una solución de monitorización continua. Un software de auditoría recogerá los cambios en tiempo real mostrando los accesos y usos por parte de los usuarios. Algunas soluciones cuentan ya con inteligencia artificial incorporada de modo que permiten identificar anomalías remitiendo alertas en tiempo real por email y/o app. También le proporcionarán un panel intuitivo para ayudarlo a revisar sus controles de acceso e identificar cuentas con privilegios excesivos.
  • Despliegue la autenticación multifactor.
    • La autenticación multifactor (MFA) es un mecanismo de seguridad que requiere que un usuario proporcione varias formas de autenticación antes de que se le conceda el derecho de acceso a un sistema o datos confidenciales. MFA generalmente involucra al menos dos de los siguientes factores: algo que el usuario sabe (una contraseña o PIN), algo que el usuario tiene (como una tarjeta inteligente o un teléfono móvil) o algo que el usuario es (como un identificador biométrico como una huella digital o reconocimiento facial).

 

Cómo Micromouse ayuda con el control de acceso

Mediante nuestra tecnología de auditoría de datos y sistemas te ofrecemos todo lo necesario para localizar, revisar y monitorizar los permisos sobre sus datos e infraestructura, así como a identificar cuentas con exceso de privilegios a través del análisis del comportamiento del usuario y minimizar la superficie de exposición de datos para ajustarla a lo que realmente debe de ser. Además, esta tecnología utiliza técnicas de aprendizaje automático para detectar y responder automáticamente ante anomalías, entre otros: el acceso inusual a cuentas y datos, intentos fallidos de inicio de sesión y cifrado masivo de archivos. Puede detectar y administrar cuentas de usuario inactivas, alertas de renovación de contraseñas y mucho más… ¿hablamos?