PAM 
La gestión del acceso privilegiado (PAM) es un subconjunto de la gestión de la identidad y el acceso (IAM) que aborda específicamente el control del acceso
Publicado el octubre 28, 2024
La principal diferencia entre el control de acceso basado en roles (RBAC) y el control de acceso basado en atributos (ABAC) es la manera en que conceden acceso a los usuarios y los recursos. RBAC se centra en otorgar acceso a los usuarios en función de sus funciones dentro de una organización, mientras que ABAC concede acceso a los usuarios en función de sus características, como su entorno.
Siga leyendo para obtener más información sobre RBAC y ABAC, sus diferencias fundamentales y qué forma de control de acceso debería utilizar su organización.
¿En qué consiste el control de acceso basado en roles?
El control de acceso basado en roles (RBAC) limita el acceso de los usuarios a los sistemas, redes y recursos adicionales al otorgarles solo lo necesario para desempeñar su función específica. Fundamentalmente, RBAC confía en el Principio de privilegios mínimos (PoLP) para garantizar que los usuarios no disfrutan de ningún acceso más del necesario para desempeñar su trabajo de forma efectiva. Por ejemplo, imagine que todos en su organización, desde el personal de atención al cliente hasta los equipos de TI, tienen el mismo acceso a toda la información confidencial. Si una de las cuentas de los empleados es vulnerada, los cibercriminales podrían entonces robar datos de los niveles más altos de su organización, a los que el empleado nunca hubiera debido tener acceso. Cuando su organización implementa el RBAC, los empleados no tendrán acceso a nada más allá que lo necesario para desempeñar su función. De esta manera, en caso de producirse una violación de datos o un ataque cibernético, los cibercriminales estarán limitados solo a los datos y la información a los que tienen acceso los empleados afectados, en lugar de la de toda la organización.
¿En qué consiste el control de acceso basado en atributos?
El control de acceso basado en atributos (ABAC) determina quién puede acceder a los sistemas, las redes y los datos en función de los atributos asociados a los estándares de seguridad, los recursos de la organización y el entorno de los usuarios. A diferencia de RBAC, ABAC va más allá de la función del usuario y tiene en consideración factores ajenos a su identidad para autorizar el acceso a los recursos, como sus caraterísticas, Por ejemplo, digamos que el analista financiero de su organización necesita revisar los datos financieros, pero solo quiere que vean estos datos sensibles cuando están en la oficina y durante el horario comercial. El ABAC garantiza que solo los usuarios con el departamento y el título de trabajo adecuados puedan ver o editar los informes, lo que autoriza a los usuarios a ver información confidencial dentro de ciertos parámetros para mejorar la seguridad de su entorno de trabajo.
Principales diferencias entre RBAC y ABAC
Aunque tanto RBAC como ABAC gestionan los permisos y los controles de acceso, tienen diferencias significativas que determinan la forma en que se concede el acceso.
RBAC se basa en las funciones; ABAC en los atributos
La diferencia más evidente entre RBAC y ABAC radica en sus nombres: RBAC se basa en roles, mientras que ABAC se basa en atributos. Esto significa que RBAC concede acceso en función de la función del usuario en una organización, mientras que ABAC concede acceso en función de los atributos del usuario. Por ejemplo, con RBAC, un miembro del personal de RR. HH. tendrá acceso a información de las nóminas de los empleados, pero alguien en el equipo de ventas no puede hacerlo porque no le corresponde a su función. ABAC define las características y los factores necesarios para que un usuario autorizado pueda acceder a ciertos recursos, como que un médico pueda acceder a los registros de los pacientes solo si están en su hospital durante las horas de trabajo y que el paciente sea suyo.
RBAC tiene permisos estáticos; mientras que ABAC permite un control detallado
Una vez que el rol de un empleado se categoriza con RBAC, esos permisos siguen siendo los mismos hasta que un administrador los actualice. Si tiene un empleado en su equipo de marketing, RBAC le otorgará todos los permisos relacionados con el marketing, incluso si también necesitan acceder a los datos de ventas o a la información financiera. Por el contrario, ABAC fundamenta su control en múltiples características, lo que permite un mayor control y flexibilidad porque los permisos de los usuarios no son tan difíciles de cambiar. Pongamos que el mismo empleado de su equipo de marketing, que acostumbra a trabajar desde la oficina, de repente tiene que cambiar a un entorno remoto. ABAC le permitirá modificar las características de sus permisos al no exigirles que se encuentren en la oficina para poder acceder a ciertos datos o recursos.
RBAC es menos adaptable a los cambios; ABAC se adapta rápido a los cambios de atributos
Es mucho más sencillo cambiar o actualizar los permisos de un empleado con ABAC que con RBAC. Con RBAC, imagine que alguien de su equipo financiero es ascendido a un rol ejecutivo, lo que necesita de un mayor acceso a los datos. Para realizar este cambio con RBAC, debería crear una nueva función y reasignar a ese empleado a una función limitada pero de acceso actualizado. Este tedioso proceso es mucho más sencillo con ABAC, ya que se adaptaría de forma automática al nuevo cargo del empleado, otorgándole los permisos necesarios en función de su nuevo rol y los factores adicionales. Gracias a estos ajustes rápidos de ABAC, se ahorra mucho tiempo y se pueden cambiar los permisos fácilmente, en lugar de tener que modificar las funciones por completo y reasignar a los empleados a cargos específicos.
RBAC sufre cuando hay muchas funciones; ABAC escala mejor con los atributos
Si trabaja en una organización grande, es posible que tenga muchos departamentos con distintos cargos en cada uno. A medida que su organización crece, tendrán que crearse nuevos roles. RBAC sufre al tener demasiadas funciones, porque cada rol exige un acceso exclusivo a determinados recursos y materiales, por lo que los administradores deben monitorear y gestionar estas funciones y los permisos correspondientes. Mediante la implementación de ABAC, las organizaciones grandes pueden otorgar acceso a los recursos en función de atributos cambiantes, como el departamento de la persona, el lugar desde el que trabajan o su cargo específico. ABAC es más escalable para las grandes organizaciones, porque los nuevos usuarios puede recibir su acceso con base en atributos específicos sin tener que crear funciones o asignaciones completamente nuevas.
RBAC es más fácil de implementar que ABAC
Implementar RBAC es mucho más sencillo que ABAC debido a la sencillez de su estructura, lo que lo hace más adecuado para las pequeñas empresas. Utilizar RBAC significa que cada función debe definirse y asignarse con los permisos adecuados, para limitar quién puede acceder a ciertos recursos o datos. Mientras que la estructura de RBAC es fácil de gestionar a pequeña escala, la de ABAC es mucho más difícil de implementar debido a que sus atributos pueden cambiar de forma drástica. En organizaciones grandes, tendrá que determinar qué atributos otorgarán ciertos privilegios y a qué recursos pueden acceder los empleados en función de dichos atributos. Implementar ABAC requiere una planificación exhaustiva, además de tiempo para evaluar qué atributos son necesarios para los diferentes tipos de información, sistemas y recursos.
¿Qué debería utilizar, RBAC o ABAC?
Que RBAC o ABAC sean el modelo de autorización adecuado para usted depende en gran medida del tamaño, el presupuesto y las necesidades de seguridad de su organización.
Cuándo utilizar RBAC
- La suya es una organización pequeña o mediana
- Su organización tiene grupos estructurados y pocos cargos distintos
- No espera incorporar a un gran número de nuevos empleados
Cuándo utilizar ABAC
- La suya es una organización grande que sigue creciendo
- Su organización tiene empleados que trabajan en varias ubicaciones y zonas horarias
- Desea políticas flexibles y granulares que puedan cambiar a medida que evolucionan las necesidades de seguridad
Implemente los controles de acceso con una solución PAM
Una forma sencilla de implementar cualquiera de los modelos de autorización en su organización es utilizando una solución de gestión del acceso privilegiado (PAM). La mayoría de las soluciones PAM ofrecen a los administradores una visibilidad total de los usuarios que acceden a su red, aplicaciones, sistemas y dispositivos. Al controlar quién puede tener acceso, especialmente a los datos sensibles, puede gestionar y controlar la seguridad de cualquier cuenta privilegiada con una solución PAM como KeeperPAM®.
Solicite un demo de KeeperPAM hoy mismo para proteger mejor los datos de su organización y gestionar los controles de acceso con facilidad.
