¿Qué es la gestión de accesos?

Autores

Jim Holdsworth

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

¿Qué es la gestión de accesos?

La gestión de accesos es la disciplina de ciberseguridad que se encarga de gestionar los derechos de acceso de los usuarios a los recursos digitales. Las herramientas y los procesos de gestión de accesos garantizan que solo los usuarios autorizados puedan acceder a los recursos que necesitan y bloquean el acceso de usuarios internos y personas externas malintencionadas.

La gestión de accesos y la gestión de identidades constituyen los dos pilares de una disciplina más amplia de ciberseguridad: la gestión de identidades y accesos (IAM). La IAM se ocupa de aprovisionar y proteger las identidades digitales y los permisos de los usuarios en un sistema informático.

La gestión de identidades consiste en crear y mantener las identidades de todos los usuarios de un sistema, tanto humanos (empleados, clientes o contratistas) como no humanos (agentes de IA, dispositivos IoT y endpoints o cargas de trabajo automatizadas).

La gestión de acceso consiste en facilitar a estos usuarios un acceso seguro a los datos, recursos locales y aplicaciones y activos basados en la nube de una organización. Las funciones principales de la gestión de acceso son la administración de las políticas de acceso de los usuarios, la autenticación de sus identidades y la autorización para que lleven a cabo determinadas acciones en un sistema.

Con el auge del cloud computing, las soluciones de software como servicio (SaaS), el teletrabajo y la IA generativa, la gestión del acceso se ha convertido en un componente fundamental de la seguridad de las redes. Las organizaciones deben permitir que más usuarios accedan a más recursos desde más ubicaciones, al tiempo que evitan las vulneraciones de datos y mantienen alejados a los usuarios no autorizados. 

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Componentes de la gestión de accesos 

Según el Instituto Nacional de Estándares y Tecnología (NIST), las funciones básicas de gestión de acceso incluyen:

  • Administración de políticas
  • Autenticación
  • Autorización

Administración de políticas

Las políticas de acceso granular regulan los permisos de acceso de los usuarios en la mayoría de los sistemas de gestión de acceso. Las organizaciones pueden adoptar diferentes enfoques para establecer sus políticas de acceso.

Un marco de control de acceso común es el control de acceso basado en roles (RBAC), en el que los privilegios de los usuarios se basan en sus funciones laborales. El RBAC ayuda a simplificar el proceso de configuración de permisos de usuario y mitiga el riesgo de otorgar a los usuarios más privilegios de los que necesitan.

Por ejemplo, supongamos que los administradores del sistema están configurando permisos para un firewall de red.

  • Es muy probable que un representante de ventas no tenga ningún acceso, ya que el rol de ese usuario no lo requiere.

  • Un analista de seguridad de nivel júnior podría ver las configuraciones del firewall, pero no modificarlas.

  • El director de seguridad de la información (CISO) tendría pleno acceso administrativo.

  • Una interfaz de programación de aplicaciones (API) para un sistema integrado de gestión de eventos e información de seguridad (SIEM) podría ser capaz de leer los registros de actividad del firewall.

Las organizaciones pueden utilizar otros marcos de control de acceso como alternativa al RBAC o en combinación con este. Estos marcos incluyen:

  • El control de acceso obligatorio (MAC) aplica políticas definidas de forma centralizada a todos los usuarios basadas en niveles de autorización o puntuaciones de confianza.

  • Los sistemas de control de acceso discrecional (DAC) permiten a los propietarios de los recursos establecer sus propias reglas de control de acceso para esos recursos. 

  • El control de acceso basado en atributos (ABAC) analiza los atributos de usuarios, objetos y acciones para determinar si se concede el acceso. Estos atributos pueden ser el nombre del usuario, el tipo de recurso o la hora del día.

La mayoría de los marcos de control de acceso de las organizaciones siguen el principio del privilegio mínimo. A menudo asociado con estrategias de seguridad zero trust, el principio de privilegio mínimo establece que los usuarios deben tener solo los permisos mínimos necesarios para completar una tarea. Los privilegios deben revocarse una vez finalizada la tarea para ayudar a prevenir futuros riesgos de seguridad.

Autenticación

La autenticación es el proceso de verificar la identidad de un usuario.

Cuando un usuario inicia sesión en un sistema o solicita acceso a un recurso, envía credenciales, denominadas "factores de autenticación", para garantizar su identidad. Por ejemplo, un usuario humano podría introducir una contraseña o un escaneo biométrico de huellas dactilares, mientras que un usuario no humano podría compartir un certificado digital.

Las herramientas de gestión de acceso comparan los factores enviados con las credenciales registradas para el usuario. Si coinciden, se le concede acceso.

Aunque la contraseña es la forma de autenticación más básica, también es una de las más débiles. La mayoría de las herramientas de gestión de acceso actuales utilizan métodos de autenticación más avanzados. Estos métodos incluyen:

  • Autenticación de dos factores (2FA) y autenticación multifactor (MFA), en las que los usuarios deben proporcionar al menos dos pruebas para demostrar sus identidades.

  • Autenticación sin contraseña que utiliza credenciales distintas, como un factor biométrico o una clave de acceso FIDO.

  • Inicio de sesión único (SSO), que permite a los usuarios acceder a varias aplicaciones y servicios con un solo conjunto de credenciales de inicio de sesión. Los sistemas SSO suelen utilizar protocolos abiertos como el Lenguaje de Marcado de Aserción de Seguridad (SAML) y OpenID Connect (OIDC) para compartir datos de autenticación entre servicios.

  • Autenticación adaptativa, que utiliza inteligencia artificial (IA) y machine learning (ML) para analizar el nivel de riesgo de un usuario en función de factores como el comportamiento, la posición de seguridad del dispositivo y el tiempo. Los requisitos de autenticación cambian en tiempo real según varían los niveles de riesgo, por lo que los inicios de sesión más arriesgados requieren una autenticación más sólida.

Autorización

La autorización es el proceso de conceder a los usuarios verificados los niveles adecuados de acceso a recursos.

La autenticación y la autorización están estrechamente vinculadas, y la autenticación suele ser un requisito previo para la autorización. Una vez comprobada la identidad del usuario, el sistema de gestión de accesos verifica sus privilegios basándose en políticas de acceso predefinidas registradas en una base de datos central o en un motor de políticas. A continuación, el sistema autoriza al usuario a disponer de esos privilegios específicos durante su sesión.

Al restringir los permisos de los usuarios en función de las políticas de acceso, las herramientas de gestión de acceso pueden ayudar a prevenir tanto las amenazas internas de usuarios que abusan maliciosamente de sus privilegios como el uso indebido accidental de los derechos por parte de usuarios bienintencionados.

Si la validación de la identidad de un usuario falla, el sistema de gestión de acceso no le autoriza, y le impide utilizar los privilegios asociados a su cuenta. De este modo, se evita que los atacantes externos secuestren y abusen de los privilegios de los usuarios legítimos.

Tipos de soluciones de gestión de accesos

En términos generales, las soluciones de gestión de acceso pueden clasificarse en dos categorías: herramientas que controlan el acceso de los usuarios internos (por ejemplo, empleados) y herramientas que controlan el acceso de los usuarios externos (por ejemplo, clientes). 

Herramientas de gestión de accesos internos

Los usuarios internos de una organización (personal, gerentes, administradores) suelen necesitar acceder a múltiples sistemas, entre ellos, aplicaciones empresariales, de mensajería, bases de datos de la empresa, sistemas de recursos humanos, etc.

Casi todos los recursos internos de una empresa se consideran sensibles y requieren protección frente a hackers maliciosos. Sin embargo, no todos los usuarios necesitan el mismo nivel de acceso a todos los recursos. Las organizaciones necesitan herramientas sofisticadas de gestión de accesos que les permitan controlar los permisos de forma granular.

Entre las herramientas comunes de gestión de acceso interno se incluyen:

Plataformas IAM

Las plataformas IAM son soluciones integrales que integran las funciones básicas de gestión de identidades y accesos en un único sistema. Entre sus características comunes se incluyen directorios de usuarios, herramientas de autenticación, administración de políticas de acceso y capacidades de detección y respuesta ante amenazas de identidad (ITDR).

Herramientas de gestión de accesos privilegiados (PAM)

La gestión de acceso privilegiado (PAM) es un subconjunto de la gestión de acceso que se encarga de controlar y proteger las cuentas de usuario con privilegios elevados (como las cuentas de administrador) y las actividades privilegiadas (como el trabajo con datos confidenciales).

En muchos sistemas de TI, las cuentas con privilegios elevados cuentan con protecciones especiales, ya que son un objetivo muy valioso para los actores maliciosos, que pueden utilizarlas para causar graves daños.

Las herramientas PAM aíslan las identidades privilegiadas del resto mediante el uso de almacenes de credenciales y protocolos de acceso justo a tiempo (JIT). El acceso justo a tiempo (JIT) proporciona a los usuarios autorizados acceso privilegiado a un recurso específico durante un tiempo limitado, previa solicitud, en lugar de otorgarles permisos elevados de forma permanente.

Herramientas de gobierno y administración de identidades (IGA)

Las herramientas de gobierno y administración de identidades (IGA) garantizan que las políticas y los controles de acceso de una organización cumplen los requisitos de seguridad y las normas reglamentarias.

Las soluciones IGA ofrecen herramientas para definir e implementar políticas de acceso conformes durante todo el ciclo de vida de cada usuario. Algunas de estas herramientas también pueden ayudar a automatizar flujos de trabajo clave relacionados con el cumplimiento normativo, como la incorporación y el aprovisionamiento de usuarios, las revisiones de acceso, las nuevas solicitudes de acceso y la retirada de derechos de acceso a los usuarios que abandonan la empresa. Estas funciones dan a las organizaciones más supervisión sobre los permisos y la actividad de los usuarios, lo que facilita detectar y parar el uso indebido y el abuso de privilegios.

Soluciones de acceso a la red zero trust (ZTNA)

Las soluciones ZTNA son herramientas de acceso remoto que siguen el principio de zero trust de "nunca confiar, siempre verificar".

Las herramientas tradicionales de acceso remoto, como las redes privadas virtuales (VPN), conectan a los usuarios remotos con toda la red corporativa. Por el contrario, ZTNA solo conecta a los usuarios con las aplicaciones y los recursos específicos para los que tienen permiso.

Además, en el modelo ZTNA nunca se confía implícitamente en los usuarios. Cada solicitud de acceso a un recurso debe verificarse y validarse, independientemente de la identidad o la ubicación del usuario. 

Herramientas de gestión de accesos externos

A menudo, las organizaciones deben facilitar el acceso seguro a los recursos para los usuarios externos. Por ejemplo, los clientes pueden necesitar acceder a sus cuentas en plataformas de comercio electrónico. Los proveedores pueden necesitar acceder a los sistemas de facturación. Los business partners pueden necesitar acceder a datos compartidos. Las herramientas de gestión de acceso externo están específicamente diseñadas para estos usuarios.

Algunas organizaciones utilizan las mismas herramientas para gestionar el acceso interno y externo, pero esta estrategia no siempre es viable. Las necesidades de los usuarios internos y externos pueden ser diferentes. Por ejemplo, los usuarios externos suelen dar prioridad a la comodidad frente a la seguridad, mientras que los usuarios internos tienen privilegios más elevados que requieren protecciones más sólidas.

Gestión de identidades y accesos de clientes (CIAM)

Las herramientas de gestión de identidades y accesos de clientes (CIAM) controlan las identidades digitales y la seguridad de los accesos de los clientes y otros usuarios externos a la organización.

Al igual que otras herramientas de gestión de acceso, los sistemas CIAM ayudan a autenticar a los usuarios y facilitan el acceso seguro a los servicios digitales. La diferencia fundamental es que las herramientas CIAM hacen hincapié en la experiencia del usuario mediante la creación progresiva de perfiles, que permiten a los usuarios completarlos a lo largo del tiempo, así como mediante los inicios de sesión sociales y otras características fáciles de usar. 

Por qué es importante la gestión de accesos

Las herramientas de gestión de accesos ayudan a las organizaciones a facilitar el acceso seguro a recursos confidenciales para los usuarios autorizados, estén donde estén.

El resultado es una red más segura y eficiente. Los usuarios tienen acceso ininterrumpido para realizar su trabajo, mientras que los actores de amenazas y los usuarios no autorizados quedan fuera. 

Mejora de la seguridad

A medida que las organizaciones adoptan entornos híbridos y multinube, las redes de TI centralizadas en el entorno local pasan a ser cosa del pasado. Las soluciones y estrategias de seguridad centradas en el perímetro no pueden proteger eficazmente las redes que abarcan dispositivos, aplicaciones de usuarios y bases de datos repartidos por todo el mundo.

Los hackers se centran cada vez más en la superficie de ataque de la identidad, robando credenciales para acceder a las redes. Según el IBM X-Force Threat Intelligence Index, el 30 % de los ciberataques implican el robo y uso indebido de cuentas válidas.

Las herramientas de gestión del acceso alejan las defensas de la organización del perímetro para centrarse en los usuarios individuales, los recursos y los datos confidenciales al proteger el acceso en sí mismo. Las herramientas de autenticación ayudan a proteger las cuentas de los usuarios contra los hackers, mientras que las de autorización garantizan que los usuarios utilicen sus privilegios solo por motivos legítimos.

Las herramientas de gestión de accesos también pueden ayudar a automatizar ciertas tareas de seguridad, como realizar revisiones periódicas de los accesos y retirar los permisos a los usuarios cuando abandonan la organización o cambian de puesto. Estas herramientas ayudan a combatir el "crecimiento de privilegios", es decir, cuando los usuarios acaban teniendo, de forma lenta y sutil, más permisos de los que necesitan con el paso del tiempo. 
Mejor experiencia de usuario

Las herramientas de gestión de accesos pueden facilitar a los usuarios el acceso a los recursos que necesitan sin sacrificar la seguridad. Por ejemplo, un sistema de inicio de sesión único (SSO) permite a los usuarios autenticarse una única vez para acceder a varios recursos. Las medidas de autenticación biométrica permiten a los usuarios iniciar sesión con escaneos de huellas dactilares y otras credenciales únicas que son más difíciles de descifrar pero más fáciles de introducir que una contraseña. 
Eficiencia operativa 

Las herramientas de gestión de accesos pueden agilizar el proceso de aprovisionamiento y desaprovisionamiento de usuarios. Por ejemplo, los marcos de control de acceso basados en roles pueden asignar automáticamente los privilegios correctos a los usuarios en función de políticas predefinidas. Los administradores del sistema tienen menos trabajo rutinario y los nuevos empleados pueden empezar a trabajar de inmediato, sin tener que esperar a que se aprueben los accesos manualmente. 
Cumplimiento normativo  

Los estándares y regulaciones de protección de datos y seguridad de datos, como el Estándar de Seguridad de Datos para el Sector de Tarjetas de Pago (PCI DSS) y el Reglamento General de Protección de Datos(RGPD), requieren que las organizaciones mantengan controles de acceso estrictos para ciertos tipos de información confidencial. 

El precio del incumplimiento puede ser elevado. Por ejemplo, las infracciones graves del RGPD pueden acarrear multas de hasta 20 000 000 euros o el 4 % de los ingresos mundiales de la organización en el año anterior.

Las soluciones de gestión de accesos pueden ayudar a las organizaciones a cumplir los requisitos de cumplimiento normativo, ya que aplican privilegios de acceso definidos de forma centralizada que garantizan que solo los usuarios necesarios tengan acceso a los datos y solo por motivos autorizados. 

Algunas herramientas de gestión de accesos también pueden mantener registros de la actividad de los usuarios y las solicitudes de acceso, y crear registros de auditoría que pueden ayudar a las organizaciones a demostrar el cumplimiento y detectar infracciones. 
Reducción de costes

Las herramientas de gestión de accesos pueden ayudar a las organizaciones a ahorrar dinero al mejorar la eficiencia, la seguridad y el cumplimiento.

Por ejemplo, las herramientas de autenticación sólidas pueden frustrar muchos ataques basados en la identidad y reducir el tiempo de inactividad debido a amenazas de seguridad. Los equipos de TI pueden recibir menos llamadas al help desk cuando los permisos de usuario se aprovisionan automáticamente, y es menos probable que las organizaciones enfrenten multas u honorarios legales cuando sus políticas de acceso cumplen. 
Soluciones relacionadas
IBM Verify

Construya un marco de identidad seguro y independiente del proveedor que modernice IAM, se integre con las herramientas existentes y permita un acceso híbrido fluido sin complicaciones adicionales.

 Explore IBM Verify
Soluciones de seguridad

Proteja sus entornos de nube híbrida e IA con una protección inteligente y automatizada de los datos, la identidad y las amenazas.

 Explore las soluciones de seguridad
Servicios de gestión de identidades y accesos

Proteja y gestione el acceso de los usuarios con controles de identidad automatizados y un gobierno basado en el riesgo en los entornos de nube híbrida.

         Explore los servicios de IAM
    Dé el siguiente paso

    Mejore IAM con Verify para un acceso híbrido fluido y fortalezca la protección de identidad descubriendo riesgos ocultos basados en la identidad con IA.

         Descubra IBM® Verify  Explore la protección de identidad de IBM Verify