Seguridad y control de accesos
Control de acceso Seguridad de la información
El control de acceso consta de dos partes principales: la autenticación y la autorización. La autenticación verifica que un usuario dice ser quien dice ser en el momento en que se solicita el acceso. La autorización determina si un usuario concreto dispone de los permisos adecuados para acceder a los datos o modificarlos.
El control de acceso físico se refiere a la práctica de restringir la entrada a una propiedad, un edificio o una habitación a las personas autorizadas. El control de acceso físico puede ser realizado por una persona, a través de medios mecánicos como cerraduras y llaves, o a través de sistemas de control de acceso dedicados como un mantrap (también conocido como vestíbulo de cierre bidireccional).
"Trabajo para el gobierno federal y el entorno es de misión crítica, por lo que los sistemas de control de acceso son muy estrictos. Por la mañana bloqueamos nuestros teléfonos móviles y utilizamos tarjetas CAC para acceder a todo lo físico y digital".
¿Cuáles son los 3 tipos de control de acceso?
Existen tres tipos principales de sistemas de control de acceso: Control de acceso discrecional (DAC), Control de acceso basado en roles (RBAC) y Control de acceso obligatorio (MAC). DAC es un tipo de sistema de control de acceso que asigna derechos de acceso basados en reglas especificadas por los usuarios.
¿Por qué es importante el control de accesos en seguridad?
Los controles de acceso limitan el acceso a la información y a los sistemas de tratamiento de la información. Cuando se aplican eficazmente, mitigan el riesgo de que se acceda a la información sin la debida autorización, de forma ilícita y el riesgo de violación de los datos.
Control de acceso roto
Con la migración de la mayoría de las organizaciones a la nube, el control de acceso se está volviendo cada vez más complejo, con la necesidad de soluciones tanto locales como en la nube. Ya se encuentren en cualquier parte del mundo, de forma remota u on-prem, los empleados necesitan acceso para hacer su trabajo. Cuando los empleados no tienen el nivel de acceso adecuado para leer y/o modificar información, como documentos, diapositivas y otros archivos de una unidad de red, el negocio se ve obstaculizado y los resultados pueden ser drásticos.
Normalmente, los empleados y usuarios acaban preguntando por qué no pueden tener acceso general a la información de una carpeta para poder clasificar los elementos y encontrar lo que necesitan. Desafortunadamente para los usuarios, la respuesta del administrador del sistema puede ser del tipo: "Lo siento, tiene que enviar un ticket antes de que podamos concederle el nivel de acceso que necesita".
Esta respuesta conduce a una mayor frustración, ya que el usuario necesita continuar con su tarea y todo lo que necesita es acceso a una carpeta. ¿Y ahora qué? Por muy inconveniente que sea, hay razones por las que el control de acceso entra en juego en un escenario como este, especialmente desde el punto de vista de la ciberseguridad. A continuación, definiré el control de acceso y hablaré de los 4 modelos de control de acceso. También describiré los métodos de control de acceso lógico y explicaré los distintos tipos de control de acceso físico.
Tipos de control de acceso
Este artículo incluye una lista de referencias generales, pero carece de suficientes citas en línea correspondientes. Por favor, ayude a mejorar este artículo introduciendo citas más precisas. (Febrero de 2012) (Aprende cómo y cuándo eliminar este mensaje de plantilla)
Este artículo puede ser demasiado largo para leerlo y navegar por él cómodamente. Por favor, considere dividir el contenido en subartículos, condensarlo o añadir subtítulos. Por favor, discute este tema en la página de discusión del artículo. (Octubre 2020)
En seguridad física y seguridad de la información, el control de acceso (CA) es la restricción selectiva del acceso a un lugar u otro recurso, mientras que la gestión del acceso describe el proceso. El acto de acceder puede significar consumir, entrar o utilizar. El permiso para acceder a un recurso se denomina autorización.
El control de acceso geográfico puede estar a cargo de personal (por ejemplo, guardias fronterizos, porteros de discoteca, revisores) o de un dispositivo como un torniquete. Puede haber vallas para evitar eludir este control de acceso. Una alternativa al control de acceso en sentido estricto (control físico del acceso propiamente dicho) es un sistema de comprobación de la presencia autorizada, véase, por ejemplo, Ticket controller (transporte). Una variante es el control de salida, por ejemplo de una tienda (caja) o de un país[1].
Control de acceso
En esta sección, discutiremos qué es la seguridad de control de acceso, describiremos la escalada de privilegios y los tipos de vulnerabilidades que pueden surgir con el control de acceso, y resumiremos cómo prevenir estas vulnerabilidades.
Si ya estás familiarizado con los conceptos básicos detrás de las vulnerabilidades de control de acceso y sólo quieres practicar explotándolas en algunos objetivos realistas y deliberadamente vulnerables, puedes acceder a todos los laboratorios de este tema desde el siguiente enlace.
El control de acceso (o autorización) es la aplicación de restricciones sobre quién (o qué) puede realizar las acciones intentadas o acceder a los recursos que han solicitado. En el contexto de las aplicaciones web, el control de acceso depende de la autenticación y la gestión de sesiones:
Con controles de acceso verticales, distintos tipos de usuarios tienen acceso a distintas funciones de la aplicación. Por ejemplo, un administrador puede modificar o eliminar la cuenta de cualquier usuario, mientras que un usuario normal no tiene acceso a estas acciones. Los controles de acceso verticales pueden ser implementaciones más precisas de modelos de seguridad diseñados para aplicar políticas empresariales como la separación de funciones y el mínimo privilegio.