Inicio / Protege tu empresa / Blog / Menos es más, controla el acceso a la información

Menos es más, controla el acceso a la información

Publicado el 12/09/2019, por INCIBE
Imagen de acompañamiento.

Ordenadores averiados, smartphones y tablets cuyas baterías duran un suspiro o maquinaria industrial dañada, son situaciones habituales que podrían ocurrir en cualquier empresa. El proceso de recuperación puede tener una mayor o menor complejidad pero todos comparten un denominador común: son objetos materiales y llegado el caso, podrían ser reemplazados.

Con la información que se gestiona en la empresa ocurre todo lo contrario. Imagina que abres tu ordenador y ves que no hay ni rastro del último proyecto en el que estabas trabajado, o que la cartera de clientes ha desaparecido. Esa información no puede ser reemplazada por otra ya que podría ser única. En este caso, las consecuencias podrían ser muy graves, llegando incluso a recibir sanciones como las impuestas por la Agencia Española de Protección de Datos, la AEPD. Similares problemas podemos tener si alguien externo o no autorizado accede a los aplicativos y servicios internos (nóminas, inventario, facturación, CRM,…).

Para proteger la información, los servicios y aplicaciones de la empresa y evitar situaciones que afecten a la continuidad de su actividad o a su reputación, es recomendable aplicar una serie de políticas y medidas de seguridad. Para tal propósito, en el artículo de hoy trataremos el control de acceso.

¿Qué es el control de acceso?

No todos los empleados tienen que poder acceder a toda la información, servicios y aplicaciones de empresa. Por seguridad, todas las organizaciones deben seguir los principios de mínimo privilegio, mínima superficie de exposición y defensa en profundidad. Los dos últimos son útiles para evitar y controlar los incidentes. Nos fijaremos ahora en el papel del principio de mínimo privilegio en su prevención.

Mínimo privilegio. Defensa en profundidad. Mínima superficie de exposición.

El principio de mínimo privilegio consiste en reducir al mínimo el impacto de posibles fallos de seguridad reduciendo los permisos de las cuentas de usuario a los necesarios y limitando las cuentas de administrador a las estrictamente necesarias. Las cuentas de administrador son aquellas que tienen permisos para modificar los sistemas, actualizarlos, dar permisos a terceros o instalar nuevo software. Mediante un control de acceso, los empleados únicamente tendrán permiso para acceder a los servicios y gestionar aquella información que sea estrictamente necesaria para desarrollar su trabajo.

Clasificación de la información

El primer paso para llevar a cabo un correcto control de acceso a la información será clasificarla. Gracias a este proceso, se podrá hacer una distinción de la información que se gestiona. Por ejemplo, en función del departamento o de su criticidad, y de esta manera saber quién debe acceder a ella y quién no. Una vez se sabe qué usuarios deberán contar con acceso a determinados recursos, se establecerán los permisos necesarios.

Asignación de permisos

Individualmente

La asignación de permisos es la forma que tienen los sistemas operativos para identificar lo que puede hacer un usuario o un grupo de usuarios con un determinado recurso. Cuando el número de usuarios es reducido se pueden asignar permisos a usuarios concretos, es un método flexible que no requiere demasiados conocimientos técnicos.

Por grupo de usuarios

Por el contrario, cuanto mayor es el número de usuarios, más compleja será su gestión. Si se cuenta con un número de usuarios significativo, será recomendable asignar permisos en base a grupos de usuarios. Esta tarea resultará más compleja en un principio, tanto a nivel de conocimientos como de tiempo. Pero una vez se han creado los grupos y asignados los permisos correspondientes, su mantenimiento será más sencillo.

La gestión por grupos de usuarios se debe hacer en base a un dominio. Esto permitirá administrar de forma centralizada los diferentes recursos de una red, como por ejemplo, los equipos y servidores de la empresa. La gestión de usuarios por medio de un dominio es la forma más óptima de gestionar un grupo de usuario y los diferentes recursos de la red, como pueden ser los servidores de ficheros. Para la gestión de los usuarios y recursos de un dominio se pueden utilizar varias herramientas que dependerán de las necesidades de cada empresa. En Windows es común utilizar Active Directory, aunque también existen otras alternativas como OpenLDAP o FreeIPA.

Autorización de acceso

Se debe establecer un procedimiento que contemple los aspectos necesarios para permitir o denegar el acceso a un usuario o grupo de usuarios a determinada información. Para ello será necesario plantearse una serie de cuestiones como las siguientes:

  • ¿Cómo se realiza la solicitud para acceder al recurso? ¿Por medio del correo electrónico, una aplicación de ticketing o un formulario en papel?
  • ¿Qué flujo seguirá la solicitud hasta su aprobación o denegación?
  • ¿Qué usuario o grupo de usuarios tendrá los permisos suficientes para autorizar el acceso?
  • ¿Será un acceso temporal o permanente?

Cada empresa, dependiendo del número de usuarios y volumen de información que maneje, deberá escoger el que más se adapte a sus necesidades para que sea lo más funcional posible sin afectar a su principal objetivo: controlar el acceso a la información.

Independientemente del medio escogido, se debe utilizar uno que permita su trazabilidad. Así se podrá saber en todo momento quién puede acceder a determinada información.

Autenticación

La autenticación consiste en comprobar que quien está accediendo a los sistemas es realmente quien dice ser. Los métodos de autenticación deben ser lo más robustos posibles sin afectar negativamente a la forma de trabajar de los empleados. Cuando se trate de un servicio crítico para la empresa, es recomendable utilizar el doble factor de autenticación, habilitando así una capa extra de seguridad frente a los accesos no autorizados.

Revisión periódica

Se comprobará periódicamente que los permisos concedidos son adecuados, haciendo énfasis en aquella información cuyo nivel de criticidad para la organización es elevado. En caso de utilizar la asignación de permisos por grupo de usuario, se verificarán por un lado los permisos que tienen los grupos, y por otro, los usuarios que pertenecen a cada grupo.

Baja de usuarios

Tan importante como dar de alta a los usuarios es tener establecido un procedimiento para darlos de baja. Cuando un empleado deja la empresa, lo mismo que le pedimos las llaves, tendremos que revocarle los permisos de acceso, en particular los de acceso remoto.


Si en tu empresa no dejas las puertas abiertas a cualquiera, ¿por qué hacerlo con su información? El control de acceso a la información es una práctica recomendable que debería estar presente en cualquier empresa. Así reducirás los riesgos de producirse accesos no autorizados y fugas de información.