Negocios y empresas
Proteja su empresa de los cibercriminales.
Iniciar prueba gratuitaLa autorización es el proceso para determinar si se concede o se niega a los usuarios el derecho de acceder a los recursos. La autorización funciona siguiendo un conjunto de reglas y políticas predefinidas. Estas reglas suelen ser administradas por un sistema de control de acceso que establece permisos basados en los requisitos de cumplimiento de la organización. Cuando un usuario intenta acceder a un recurso, el sistema de autorización evaluará sus permisos y las políticas predefinidas de la organización antes de permitir que el usuario acceda a dicho recurso.
La autenticación es el proceso de verificar que un usuario es quien dice ser. La autorización, por otro lado, es el proceso de otorgar acceso a los recursos y qué acciones puede realizar el usuario con esos recursos. Una vez autenticado un usuario mediante sus credenciales, el sistema pasa por el proceso de autorización.
Tanto la autorización como la autenticación trabajan juntas para garantizar que los usuarios tengan acceso a los recursos que necesitan, manteniendo al mismo tiempo la seguridad e integridad de la organización.
Sin procesos de autorización sólidos, las organizaciones tendrían una gobernanza deficiente, que daría como resultado una falta de visibilidad y control sobre las actividades de los empleados y un mayor riesgo de acceso por parte de usuarios no autorizados. Veamos cómo la autorización aborda estos dilemas.
Aquí tien cinco tipos de modelos de autorización que las organizaciones utilizan para proteger el acceso a los recursos.
El control de acceso basado en roles es un tipo de control de acceso que define los permisos según el rol y las funciones del usuario dentro de la organización. Por ejemplo, los empleados de nivel inferior no tendrán acceso a información altamente sensible o sistemas que los usuarios privilegiados sí tendrían. Cuando un usuario intenta obtener acceso a un recurso, el sistema inspeccionará el rol del usuario para determinar si el recurso está relacionado con sus responsabilidades laborales.
El control de acceso basado en relaciones es un tipo de control de acceso que se centra en la relación entre el usuario y el recurso. Piense en Google Drive: el propietario de un documento tiene acceso para ver, editar y compartir el documento. Un miembro del mismo equipo solo puede tener permiso para ver el documento, mientras que otro miembro puede estar autorizado para ver y editar el documento.
El control de acceso basado en atributos es un tipo de control de acceso que evalúa los atributos asociados con un usuario para determinar si puede acceder a los recursos. Este modelo de autorización es una forma más detallada de control de acceso porque evalúa al sujeto, el recurso, la acción y el entorno. ABAC autorizará el acceso a recursos específicos asociados con estas características.
El control de acceso discrecional es un tipo de control de acceso según el cual los propietarios de los recursos asumen la responsabilidad de decidir cómo se compartirán sus recursos. Pongamos que un usuario quiere acceder a un documento específico. En última instancia, depende del criterio del propietario del documento autorizar al usuario y configurar sus permisos. En algunos casos, los propietarios de los recursos otorgarán a ciertos usuarios privilegios más altos. Estos privilegios pueden incluir la capacidad de administrar o modificar los derechos de acceso para otros usuarios.
El control de acceso obligatorio es un tipo de control de acceso que administra los permisos de acceso en función de la sensibilidad del recurso y el nivel de seguridad del usuario. Cuando un usuario intenta acceder a un recurso, el sistema comparará el nivel de seguridad del usuario con la clasificación de seguridad de los recursos. Si el nivel de seguridad del usuario es igual o superior al de clasificación de los recursos, entonces se le otorgará el acceso. MAC se utiliza principalmente en entornos gubernamentales o militares que requieren seguridad de primer nivel.