Conceptos Básicos del Acceso a Sistemas

El control de accesos permite a una organización gestionar, definir y controlar los acceso a los sistemas y los recursos. Definir que usuarios tienen acceso a que cosas y que pueden o no hacer. Formalmente hablando el control de acceso es la habilidad de permitir o denegar en uso de un objeto (un sistema, un archivo) a un sujeto (un individuo o un proceso).

Normalmente definido por un conjunto de reglas o permisos (lectura, escritura, ejecución, listado, cambio, borrado) y todo ello combinado con varios mecanismos de seguridad (técnicos, administrativos, o físicos).

Hay que tener claro que un sujeto es una entidad activa y dinámica que tiende a realizar una acción sobre un objeto, el cual siempre es pasivo y tienda a sufrir acciones sobre el.

Se logrará controlar el acceso con una serie de controles, como por ejemplo:

  • Controles preventivos para reducir el riesgo.
  • Controles de Detección, para identificar incidentes de seguridad o violaciones de las políticas establecidas.
  • Controles correctivos, para remediar las intrusiones, los incidentes generales de seguridad y mejorar los existentes gracias a la prevención y la detección.
  • Controles de disuasión para desanimar intentos de acceso.
  • Controles de recuperación para restaurar los sistemas y la información.
  • controles compensatorios, para proporcionar alternativas y conseguir los objetivos de seguridad.

La mayoría de estos controles (por no decir todos) se implementan para reducir el riesgo en las empresas y lograr una mejor respuesta a incidencias.Dentro del proceso de acceso a los sistemas la autenticación es una parte fundamental del mismo.

Actualmente la autenticación mas usada es dos pasos, no confundir con la verificación en 2 pasos. la autenticación en dos pasos consiste en identificación y autenticación. La identificación es el modo por el cual un usuario (sujeto) presenta una determinada identidad (por ejemplo un nombre de usuario) a un sistema (objeto).

La autenticación es el proceso de verificar esa identidad. Por ejemplo  un  nombre de usuario/contraseña (seria la verificación en 1 paso) es la combinación mas común hoy en día, muchos servicios online y sistemas están implementado la verificación en 2 pasos, eso quiere decir que a la verificación en 1 paso le añaden una segunda capa, por ejemplo:

  1. El usuario intenta acceder a un sistema con su nombre de usuario y contraseña (autenticación en 2 pasos).
  2. Se verifica que el nombre de usuario y la contraseña sean correctas, entonces se solicita la verificación en 2 pasos.
  3. Se envía un SMS al teléfono móvil del usuario con el código de acceso de la segunda verificación.
  4. El usuario introduce el código recibido en su teléfono mocil.
  5. Se verifica que el código recibido es correcto.
  6. se da acceso al sistema. (llegados a este punto podríamos decir que se a utilizado autenticación en tres pasos)

El acceso a los sistemas se divide en dos categorías definidas por los controles usados:

  • Controles de acceso a los sistemas: son los controles que protegen a un sistema y proporcionan la primera linea de defensa para los datos que contiene dicho sistema.
  • Controles de acceso a datos: Son controles especialmente diseñados e implementados para proteger los datos contenidos dentro del sistema.

Básicamente para establecer controles de acceso a los sistemas se utilizan la combinación de los los siguientes modo de autenticación.

  • Algo que sabes (una contraseña, un numero PIN), este concepto parte de la premisa de que solo el propietario conoce esta contraseña o ese número PIN. Este procedimiento es unos de los mas débiles pero los mas fáciles de usar, débil porque a menudo las contraseñas son compartidas, son muy simples y fáciles de adivinar pero muy sencillas de usar tanto por la implementación técnica, es casi un estándar en todas las aplicaciones y sistemas, como por la facilidad por parte del usuario a la hora de utilizar este método de autenticación no requiere aprendizaje.
  • Algo que posees (una tarjeta inteligente, una llave token, un teléfono móvil etc..), este concepto se basa en que el propietario de la cuenta es el único que dispone de la tarjeta inteligente o del token USB, y por ende el único capaz de desbloquear el sistema. Estos sistemas se utilizan empresas o instituciones que necesitan un mayor nivel de seguridad, como puede ser acceso a bancos, auditores, etc..donde los controles de acceso y seguridad deben ser mas elevados.
  • Algo que tu tienes o que eres (huella dactilar, voz, la retina, el iris, etc…), este concepto se base en algo único que tu tienes físicamente y que te identifica inequívocamente. El mayor problema con este sistema es la poca aceptación que aun tiene, si bien los sistemas de huella dactilar se utilizan en muchos entornos, sobre todo para acceso a edificios, empresas, etc..otros sistemas como la retina o el iris es complicado verlos por un lado el alto coste que tienen y por otro la poca aceptación por parte del usuario a la hora de permitir escanear partes de su cuerpo.

La autenticación de dos factores (o autenticación fuerte) requiere dos de estos tres sistemas de autenticación y la de tres factores requiere los tres sistemas.

Recuerda:

Los sistemas de autenticación siempre deben basarse en una combinación de

Algo que sabes, Algo que tienes y Algo que eres

Alfonso López

Alfonso López

Instagram

Curso Superior Universitario en Auditoría y Seguridad Informática
MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

Latest posts by Alfonso López (see all)

También te podría gustar...

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies