Debido a su coste y complejidad, muchas organizaciones todavía no han invertido en una solución PAM. Si bien esto no deja de ser cierto para algunas
La autorización desempeña un papel importante en la gestión de accesos e identidades (IAM). La IAM es un marco de seguridad de políticas y procesos empresariales diseñado para garantizar que los usuarios autorizados tengan el acceso necesario para realizar su trabajo. Elegir el modelo de autorización correcto para su organización es importante a la hora de proteger los recursos confidenciales del acceso no autorizado. Los cinco modelos de autorización principales son el control de acceso basado en roles, el control de acceso basado en atributos, el control de acceso basado en relaciones, el control de acceso discrecional y el control de acceso obligatorio.
Siga leyendo para obtener más información sobre los cinco tipos diferentes de modelos de autorización, cómo elegir el adecuado para su organización y cómo implementarlo.
¿Qué es la autorización?
La autorización es el proceso posterior a la autenticación. Determina el nivel de acceso que tiene un usuario a los recursos del sistema, como los datos, las aplicaciones y las redes. Para obtener acceso a la red de una organización, los usuarios deben demostrar su identidad mediante un proceso conocido como autenticación. Una vez se autentica el usuario o la máquina, un administrador o sistema determinará qué permisos tiene el usuario autorizado para ciertos recursos de la organización. La autorización limita el acceso a los recursos de una organización en función de la configuración establecida por esta. Las organizaciones determinarán el nivel de acceso de un usuario en función del nivel de confidencialidad de los recursos y las necesidades del propio usuario.
5 tipos de modelos de autorización
Los modelos de autorización ayudan a mejorar la productividad de una organización y a evitar las violaciones de datos. Sin embargo, los modelos de autorización que utilizan las organizaciones varían en función de lo complejos y seguros que necesiten ser. Estos son los cinco tipos diferentes de modelos de autorización.
Control de acceso basado en roles
El control de acceso basado en roles (RBAC) define los roles y privilegios para restringir el acceso a los sistemas a los usuarios autorizados. Con el RBAC, las organizaciones deben determinar los permisos de acceso a los datos sensibles; quién debe acceder a ellos; qué grado de acceso necesita el usuario y durante cuánto tiempo necesita acceder. Luego, las organizaciones deben definir qué papel desempeña cada miembro y qué permisos necesita en función de su rol. Los roles los determinan la autoridad, la responsabilidad y la competencia laboral del usuario.
El RBAC autoriza el acceso limitado de los usuarios a datos y sistemas específicos en función de sus roles dentro de la organización. A los usuarios solo se les debe otorgar acceso a los datos y sistemas específicos que necesitan para hacer su trabajo. No deben poder acceder a ningún recurso ajeno a su área de trabajo. El RBAC también limita lo que los usuarios pueden hacer con los recursos a los que pueden acceder.
Control de acceso basado en atributos
El control de acceso basado en atributos (ABAC) es un modelo de autorización RBAC más detallado. El ABAC otorga a los usuarios acceso a los datos y sistemas específicos de una organización en función de una serie de atributos específicos asociados al usuario. Va más allá del papel del usuario dentro de la organización y busca otros factores para autorizar el acceso. Entre los atributos que busca el ABAC se incluyen las características del usuario, el dispositivo, el entorno y el recurso al que el usuario intenta acceder.
Control de acceso basado en relaciones
El control de acceso basado en relaciones (ReBAC) es un modelo de autorización que otorga acceso a los recursos específicos de una organización en función de la relación entre el usuario y el recurso. Por ejemplo, el creador de un recurso puede tener acceso y control completos sobre él. Sin embargo, cualquier compañero del creador, aunque formase parte del mismo equipo, solo podría ver el recurso, pero no editarlo. Un compañero del creador que no formara parte del mismo equipo podría no tener acceso al recurso.
Control de acceso obligatorio
El control de acceso obligatorio (MAC) restringe el acceso en función del nivel de confidencialidad de los recursos. El MAC establecerá etiquetas y categorías de seguridad para controlar qué usuarios o sistemas tienen acceso a recursos específicos. Intenta limitar el acceso en la medida de lo posible solo a aquellos usuarios que realmente lo necesiten, como los administradores.
Los usuarios de las etiquetas de seguridad tienen limitaciones respecto de lo que pueden hacer con esos recursos. No pueden editar los recursos ni compartir el acceso a ellos. Solo los administradores de la organización pueden realizar cambios en los privilegios. Cualquier persona que esté por debajo del nivel de autorización no podrá acceder a los recursos. El MAC se utiliza principalmente para organizaciones con información muy confidencial, como organismos públicos.
Control de acceso discrecional
El control de acceso discrecional (DAC) es lo contrario al MAC, ya que asigna privilegios en función del usuario y el grupo de acceso. En lugar de que la organización determine el acceso en función del nivel de confidencialidad de los datos, el propietario del recurso y quienes pueden acceder a él otorgan acceso a otros usuarios según sea necesario. Los usuarios con privilegios más altos pueden determinar la manera en que otros usuarios pueden utilizar los recursos.
Cómo elegir el modelo de autorización adecuado
Cada modelo de autorización es diferente y se ajustará a las diferentes necesidades de cada organización. Las organizaciones deben encontrar el modelo de autorización más adecuado para ellas. Estos son los factores que se deben tener en cuenta al elegir un modelo de autorización para la organización.
Requisito de seguridad
Las organizaciones deben tener en cuenta los requisitos de seguridad de sus datos sensibles. Deben evaluar el nivel de confidencialidad de los datos y el grado de seguridad requerido. Algunos modelos de autorización, como el MAC, tienen niveles de acceso más estrictos que otros y podrían ser más adecuados para el tratamiento de datos altamente confidenciales. Otros modelos de autorización, como el DAC, tienen niveles de acceso más indulgentes y serían más adecuados para los datos menos sensibles.
Experiencia de usuario
Las organizaciones deben tener en cuenta la experiencia de los empleados. Los modelos de autorización demasiado complejos para los empleados pueden hacer que los resultados sean confusos y contraproducentes. Incluso pueden ocasionar problemas de seguridad, ya que los empleados podrían tratar de infringir los protocolos de autorización para facilitar su uso. Las organizaciones deben elegir un modelo de autorización que sea fácil de entender para los usuarios, pero que también proporcione el nivel de seguridad necesario.
Complejidad
Las organizaciones deben tener en cuenta la complejidad del modelo de autorización que desean implementar. Tienen que investigar el nivel de seguridad y la experiencia de los usuarios que necesitan para determinar la complejidad del modelo de autorización. Si una organización puede gestionar un modelo de autorización más complejo y dinámico, debe elegir uno capaz de gestionar escenarios complicados, como ABAC o ReBAC. Las organizaciones que necesiten un modelo de autorización más sencillo pueden elegir el RBAC.
Escalabilidad
Las organizaciones deben tener en cuenta la escalabilidad de su modelo de autorización. Deben plantearse cuánto crecerá su organización y si el modelo de autorización que elijan puede gestionar tal nivel de crecimiento. El modelo de autorización debe ajustarse al tamaño de la organización actual y poder adaptarse a una de dimensiones potencialmente mayores en el futuro. El ABAC suele tener una capacidad de adaptación muy buena y ser lo suficientemente dinámica como para ajustarse a las necesidades de las organizaciones en crecimiento.
Utilice Keeper® para implementar un modelo de autorización
La mejor manera de implementar un modelo de autorización es con una solución de gestión del acceso privilegiado (PAM). PAM se refiere a la protección y gestión de las cuentas con acceso a los sistemas y datos altamente confidenciales de una organización. Con una solución PAM, las organizaciones tienen visibilidad total de quién accede a su red, aplicaciones, servidores y dispositivos. Controlan completamente quién puede acceder a sus recursos, el nivel de acceso que tiene cada usuario y la seguridad de las contraseñas de las cuentas privilegiadas. Una solución PAM ayuda a las organizaciones a determinar los privilegios en función de su modelo de autorización.
KeeperPAM™ es una solución de gestión del acceso privilegiado que combina Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) y Keeper Connection Manager® (KCM). Permite a las organizaciones lograr visibilidad, seguridad y control completos de todos los usuarios privilegiados en todos los dispositivos de la organización, lo que garantiza que se establezcan los niveles adecuados de autorización.
Solicite un demo de KeeperPAM para ver cómo puede proteger los datos sensibles de su organización.