Inicio / Protege tu empresa / Blog / «Como Pedro por su casa»: ¿a quién dejas acceder a tus sistemas? (1/2)

«Como Pedro por su casa»: ¿a quién dejas acceder a tus sistemas? (1/2)

Publicado el 03/08/2015, por INCIBE
«Como Pedro por su casa»: ¿a quién dejas acceder a tus sistemas? (1/2)

Al igual que controlamos el acceso en el mundo físico para entrar en edificios o en sus dependencias con sistemas como tornos de entrada, tarjetas RFID, guardias de seguridad o videovigilancia, en el mundo digital controlar el acceso a los recursos de información de la empresa es la primera forma de protegerlos. Identificar quién puede acceder a dónde y para hacer qué es básico y esencial. En estas dos entradas del blog analizaremos la actualidad de la gestión de accesos, sus conceptos básicos, los mecanismos para aplicarla y las amenazas a las que nos enfrentamos.

Hace no mucho tiempo, los sistemas informáticos de la empresa estaban encerrados en una sala y los accesos desde el exterior consistían en conexiones por cable desde el mismo edificio o desde alguna oficina remota. El control de accesos estaba «controlado».

Actualmente la tecnología permite que los servicios y aplicaciones salgan de la sala en la que estaban encerrados. Por ejemplo contratamos a partners tecnológicos el alojamiento de nuestra página web o servicios de terceros (tiendas online, pasarelas de pago,…), e incluso tenemos a nuestro alcance servicios en la nube. Nuestros usuarios y empleados pueden acceder a través de Internet o con sus dispositivos móviles a las aplicaciones de la empresa y las conexiones inalámbricas (wifi por ejemplo) son muy habituales. Es decir, el control de accesos se ha vuelto complejo.

Además hoy en día los dispositivos móviles superan a los ordenadores en conexiones a Internet. Lo que hasta hace unos años era impensable es cada vez más habitual: los empleados utilizan sus propios dispositivos y aplicaciones para su trabajo. Es lo que comúnmente se suele llamar: BYOD (Bring Your Own Device).

En resumen, por una parte las empresas han adoptado la tecnología, en todas sus expresiones, para sus procesos y actividades. Nuestros sistemas son ahora una mezcla compleja y dispersa de servicios, equipos, aplicaciones y estándares. Por otra, el acceso ya no es sólo local e interno ya que gran parte de nuestros servicios se ofrecen a través de Internet o de forma remota tanto a nuestros empleados y colaboradores como a nuestros clientes y usuarios externos. El control de accesos se ha complicado… ¡y mucho!

¡Qué no cunda el pánico! Si conocemos cómo funciona y las opciones que tenemos, seremos capaces de elegir mejor.

Podemos decir que el control de accesos está formado por los mecanismos para hacer cumplir los criterios que se establezcan para permitir, restringir, monitorizar y proteger el acceso a nuestros servicios, sistemas, redes e información. Para ello tenemos que identificar a los usuarios, quienes son y qué les vamos a permitir hacer.

En primer lugar es necesario dar de alta en los sistemas a los usuarios y gestionar de forma automática todo el ciclo de vida de sus identidades.

Para identificar a los usuarios se utilizan:

  • credenciales como el ID de usuario y la contraseña
  • permisos, derechos y privilegios
  • atributos, como el horario o el cargo para nuestros empleados
  • información biométrica, etc.

Después se ha de comprobar que los usuarios que intentan acceder son realmente quienes dicen ser (autenticación). Para la autenticación se pueden utilizar distintos factores y en ocasiones más de uno a la vez: contraseñas, PIN, OTP (One Time Password), passphrases, smartcards, claves criptográficas o biometría en sus distintas formas.

one time password

Una vez ya sabemos quién quiere acceder a qué hemos de verificar si cumple los atributos (tiene el cargo adecuado y está dentro del horario o en la ubicación prevista, por ejemplo) y tiene los permisos y privilegios para autorizarle o no.

Por último el sistema tiene que registrar todo lo que ocurre en relación con los accesos, en la jerga en inglés: accountability. Registrar la actividad es esencial para poder realizar auditorías, comprobar que las políticas de acceso están bien implementadas y detectar intrusiones o actividades sospechosas. Los sistemas operativos y las aplicaciones disponen de esta funcionalidad pero es necesario activarla, configurarla y supervisar los resultados.

De forma esquemática:

esquema del control de acceso

Para un buen control de accesos se ha de establecer una política de acceso que defina una gestión de usuarios y una segregación de funciones. De esta política se derivan los procedimientos para la gestión de contraseñas (cada cuanto se deben cambiar, su fortaleza,…), para la gestión de alta/baja de usuarios (cuando entra un nuevo empleado por ejemplo o cuando abandonan la empresa) y sus permisos (perfiles por departamento o por funciones por ejemplo).

En el post siguiente desgranaremos algunos mecanismos a nuestra disposición para implementar la gestión de accesos: servicios de directorio, gestión de contraseñas, gestión de cuentas y provisión de usuarios, acceso web, single sign-on, federación de identidades, social login y autenticación condicionada al dispositivo. También las amenazas a las que nos enfrentamos si se extravían o caen en otras manos las «llaves» para acceder a nuestros recursos.

(Continuará)