En nuestro primer post de esta serie hablamos sobre la autenticación, es decir, verificar si alguien es quien dice ser. En muchos casos, éste es el momento en que los administradores de sistemas les otorgan a todos los usuarios autenticados acceso a los recursos de red por igual y dan su trabajo por finalizado.

Pero en realidad aún queda bastante por hacer, ya que se obtienen muchos beneficios si se aplican las otras tres “A” de la administración de cuentas. En este post vamos a hablar acerca de la autorización y el control del acceso. ¿Qué son? ¿En qué escenarios los podríamos utilizar para mejorar la seguridad?

¿Qué son la autorización y el control del acceso?

En pocas palabras, la autorización y el control del acceso son formas de hacer cumplir las políticas de acceso. El estereotipo de la autorización es la imagen del guardia de seguridad en la puerta de un boliche, que solo permite pasar a los jóvenes que se ajustan a su criterio. El control del acceso sería lo opuesto: excluir a quienes no se ajustan a su criterio.

Son dos procesos muy comunes que ocurren en todas partes. Por ejemplo, en el banco, en un estadio deportivo, en una sala de conciertos, mientras te preparas para embarcar en un avión... en cada uno de estos casos, debes demostrar que estás autorizado a tomar una acción; como entrar en la zona de seguridad del aeropuerto o extraer dinero de tu cuenta bancaria. Si no tienes permiso para acceder a dicha área o actividad, serás excluido.

El control de acceso sería excluir a quienes no se ajustan al criterio

Para que la autorización y el control del acceso se lleven a cabo con éxito, necesitarás dos cosas: buena autenticación y buenas políticas. La autenticación fuerte es esencial porque, si dejas que una persona acceda a las cosas que necesita, deberás asegurarte de que realmente se trata de ella y no alguien que se hace pasar por ella.

Las buenas políticas de acceso garantizan que estás siguiendo el principio del menor privilegio. Esto significa que nadie podrá acceder a algo a menos que sea necesario y esté permitido. Tanto la autenticación como la formulación de políticas requieren cierta planificación y previsión para asegurarte de que estás dando los niveles de acceso adecuados: ni demasiado liberales ni demasiado restringidos.

¿Cuándo son útiles la autorización y el control del acceso?

Este nivel de planificación puede parecer una cantidad excesiva de trabajo. Seguro te estarás preguntando: "¿En qué circunstancias alguien querría comprometerse con este tipo de tarea?" La respuesta más breve es la siguiente: es particularmente útil si te encuentras en una situación con un presupuesto limitado y estás buscando alternativas para limitar los riesgos que requieran más capacidad de intelecto que capacidad de compra. Ese grupo probablemente incluya a la mayoría de la gente, sin importar el tamaño o el éxito de su negocio.

Todos hemos oído historias, ya sea como anécdotas o en las noticias, sobre empresas que tuvieron problemas porque los atacantes lograron entrar a los sistemas confidenciales desde una máquina que no debería haber tenido acceso a la red corporativa (como un portal para proveedores o un equipo de un departamento no relacionado). Al tomarse algún tiempo para la planificación, es posible mitigar el riesgo de este tipo de incidentes comunes.

Cada negocio, grande o pequeño, tiene áreas o archivos que no deberían estar al alcance de cualquiera. Dependiendo del tamaño de la empresa, puede haber varios departamentos con recursos que son particularmente confidenciales y no deben ser accesibles a cualquier persona fuera de dicho departamento, incluyendo las áreas de recursos humanos, nómina, contabilidad, desarrollo comercial, o TI, por ejemplo. También puede haber casos en los que necesitas que terceros (como proveedores o clientes) tengan acceso a algunos de tus recursos.

En este caso, puedes incluir o excluir individuos o grupos, máquinas individuales o secciones enteras de la red, en función de tus necesidades y de la confidencialidad de lo que estás protegiendo. Antes de crear tus políticas, una buena idea es armar una lista de grupos, tales como:

  • Departamentos individuales
  • Grupos dentro de los departamentos
  • Roles que abarquen todos los departamentos (por ejemplo, gerentes de proyecto o producto, administrativo)
  • Personas con tareas específicas relacionadas con el trabajo
  • Líderes de grupo y administradores
  • Gerentes de alto nivel y ejecutivos
  • TI o seguridad

Una vez que tengas armados estos grupos, puedes empezar a definir para qué acciones necesitan tener permiso y dónde. Del mismo modo, puedes definir a qué acciones y áreas debes impedir el acceso de aquellos grupos o individuos.

Puedes excluir individuos o grupos, máquinas individuales o secciones enteras de la red

Mientras que algunos grupos necesitan acceso completo para ver y editar archivos o datos, otros simplemente tienen que ser capaces de ver contenidos o directorios (pero no modificarlos). También puedes establecer límites para el uso de recursos, tales como el tiempo o la frecuencia con la que diferentes empleados o departamentos tienen acceso a un determinado recurso (por ejemplo, navegar en la Web en sitios no relacionados con el trabajo), o la cantidad de espacio de almacenamiento que les ha sido asignado.

Cuando hayas creado tu lista de grupos y permisos, podrás hacer cumplir estas políticas. El lugar más natural de hacerlo es en los puntos donde los usuarios ya necesitan iniciar una sesión, por ejemplo:

  • al arrancar o reactivar el dispositivo
  • al abrir aplicaciones
  • al usar servicios online
  • al abrir bases de datos

Estas políticas deben ser documentos “vivos”, es decir, actualizados con frecuencia a medida que los usuarios son contratados o dejan la empresa, o cambian de trabajo o funciones dentro de la misma empresa.

Una vez que establezcas todas las políticas necesarias y las hagas cumplir adecuadamente, podrías pensar que es el final de la historia. Pero los accidentes e imprevistos ocurren, y también querrás estar al tanto de ellos. En la próxima entrega de esta serie hablaremos del registro de auditorías, que es lo que te permitirá analizar los eventos pasados para prevenir problemas en el futuro.