Control de acceso

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda
Un soldado permite a un conductor la entrada en una base militar.

El control de acceso consiste en la verificación de si una entidad (una persona, vehículo, ordenador, etc...) solicitando acceso a un recurso tiene los derechos necesarios para hacerlo.[1]

Un control de acceso ofrece la posibilidad de acceder a recursos físicos (por ejemplo, a un edificio, a un local, a un país) o lógicos (por ejemplo, a un sistema operativo o a una aplicación informática específica).[1][2]

Política de control de acceso[editar]

Una política de control de acceso específica los derechos de acceso que regulan si una petición de acceso realizada debería permitirse o no.[3]​ Las peticiones de acceso son realizada por lo que se llama un principal, el cual puede ser: un usuario (humano), un sujejo (un proceso que se ejecuta en nombre de un usuario) y un objeto (un dato o un recurso)[3]

Podemos clasificar la políticas de control de acceso en distintos tipos, cada una con sus ventajas y con sus inconvenientes:[3][4]

  • Control de acceso discrecional o DAC (siglas del inglés Discretionary Access Control). Los derechos de acceso sobre un recurso son especificados por reglas que dictamina el propietario del recurso. Típicamente cada objeto de recurso está asociado a una lista de control de acceso (ACL) que contiene una lista de usuarios y grupos que tienen permiso acceder junto con el nivel de acceso de cada usuario o grupo que establcecen como pueden acceder. Por ejemplo, el modelo de permisos de acceso a ficheros implementado en UNIX sigue este tipo de políticas. Por ejemplo, si un fichero tiene los permisos "... rwxr-xr-x ... file.txt", lo que se indica es que el propietario del fichero quiere poder leer, escribir y ejecutar, y que el resto de usuarios solo puedan leer o ejecutar. Otro ejemplo, un gimnasio tiene una lista de control de acceso con los usuarios que pueden acceder. El uso de grupos de usuario es peligroso ya que, por ejemplo, el gerente de proyectos puede tener acceso a la información que solo debería estar destinada para el gerente de finanzas.
  • Control de acceso obligatorio o MAC (siglas del inglés Mandatory Access Control). Los derechos de acceso son establecidos por una autoridad central. La filosofía subyancente es que la información pertenece a la organización (en lugar de los miembros individuales de ella), y es la organización la que controla la política de seguridad.
  • Control de acceso basado en roles o RBAC (siglas de inglés Role-Based Access Control). En el mundo real los derechos de acceso es habitual que cambien dinámicamente según las responsabilidades del principal cambian. Lo que hace esta política de control de acceso es establecer roles (conjunto de acciones y responsabilidades asociadas a una actividad particular de trabajo) y declara la política de control de acceso estableciendo relaciones entre roles, recursos y derechos (asignación de derechos). A partir de ellos los principales se asignan a uno o más roles (asignación de roles). Finalmente en los roles se puede establcer una jerarquía, incluyendo los de nivel superior los derechos de los de nivel inferior. Casi todos los sistemas del mundo real implementan alguna forma de RBAC. Se pueden crear políticas discrecionales u obligatorias utilizando RBAC como modelo subyacente.
  • Control de acceso basado en normas, en inglés Rule Based Access Control (RBAC). Aunque las siglas coincidan con el de control de acceso basado en roles, no hay que confundirlos. El acceso a los objetos de recurso es otorgado o denegado basándose en una serie de normas definidas por un sistema administrador, sin poder ser cambiados por los usuarios. Como con el DAC, las propiedades de acceso son almacenadas en listas de control de acceso (ACL) asociadas a cada recurso. Cuando un usuario o grupo intenta acceder a un recurso se comprueban las normas que la lista de control de acceso para dicho objeto que han sido definidas por el sistema administrador. Por ejemplo, estas reglas pueden permitir el acceso a la red solo desde ciertas IP, o permitir el acceso desde una IP específica a menos que provenga de un puerto determinado, o restringir el acceso a los datos solo en el horario comercial.[5]

Componentes[editar]

Control de acceso físico por código de bloqueo

El control de acceso generalmente incluye tres componentes:

  • Un mecanismo de autenticación de la entidad (por ejemplo, contraseña, una mapa, una clave, una biométrica, ...). Este mecanismo no es útil en sí mismo, pero es esencial para el funcionamiento de los dos siguientes:[6]
  • Un mecanismo de autorización (la entidad puede ser autenticada, pero no tiene el derecho a acceder a este recurso en un momento dado).
  • Un mecanismo de trazabilidad: a veces el mecanismo de autorización puede ser insuficiente para garantizar que la entidad tiene el derecho de acceso a ese recurso (respecto a un procedimiento, a las horas trabajadas, ...), la trazabilidad compensa esta carencia mediante la introducción de una espada de Damocles responsabilizando a las entidades. También sirve si se desea identificar a posteriori al responsable de una acción.

Hoy en día,[¿cuándo?] cada vez hay más demanda por parte de las empresas para poder rastrear el acceso a sus ordenadores usando una notificación de derechos de acceso.[cita requerida]

Cambios legislativos[editar]

Según la EPA del segundo trimestre de 2018, “en España se realizaron 6.822.900 horas extraordinarias a la semana y que no fueron retribuidas 2.986.200 horas, es decir un 43,8 % del total”.[7]​ Para luchar contra los excesos de jornadas y horas extraordinarias no pagadas ni compensadas, el Gobierno obligará a las empresas a controlar los accesos de sus empleados y registrar las horas trabajadas siguiendo su “Plan Director por un trabajo digno (2018 / 2019 / 2020)”.[8]

Véase también[editar]

Referencias[editar]

  1. a b David Kim; Michael Solomon (17 de noviembre de 2010). Fundamentals of Information Systems Security. Jones & Bartlett Learning. pp. 144-. ISBN 978-0-7637-9025-7. 
  2. Martínez Pascual, Diego (21 de diciembre de 2018). «Controles proactivos en el desarrollo seguro de software (Implementación de Control de Accesos» (html). Aprendiz de Sysadmin. Archivado desde el original el 22 de diciembre de 2018. Consultado el 22 de diciembre de 2018. «Control de Acceso es el proceso mediante el cual se conceden o deniegan las solicitudes de acceso a una característica o recurso en particular. Cabe señalar que la autorización no equivale a una autenticación (verificación de la identidad). Estos términos y sus definiciones se confunden con frecuencia y no debemos caer en ese error.» 
  3. a b c Access Control. Michael Clarkson. Universidad de Cornell
  4. Control de acceso. ticportal.es. 11 de octubre de 2018
  5. RBAC: Rule-Based vs. Role-Based Access Control. Bryon Beilman. 28 de marzo de 2019
  6. Michael Whitman; Herbert Mattord (7 de octubre de 2013). Management of Information Security. Cengage Learning. pp. 346-. ISBN 978-1-305-15603-6. 
  7. Registro obligatorio de las horas de trabajo https://www.cucorent.com/blog/nuevo-aviso-del-gobierno-registro-obligatorio-las-horas-trabajo/
  8. La diputada Rocío de Frutos explica el registro obligatorio de la jornada laboral https://www.cucorent.com/blog/la-diputada-rocio-frutos-explica-registro-obligatorio-la-jornada-laboral/

Enlaces externos[editar]