¿Qué es el control de acceso basado en roles (RBAC)?

En un sistema RBAC, un administrador asigna a cada usuario individual una o más funciones. Cada función nueva representa un conjunto de permisos o privilegios para el usuario.

Un rol financiero puede autorizar a un usuario a realizar compras, ejecutar software de previsión o conceder acceso a los sistemas de la cadena de suministro. Un rol de recursos humanos podría autorizar a un usuario a ver los expedientes de personal y a gestionar los sistemas de prestaciones de los empleados.

Las grandes organizaciones con muchos empleados suelen utilizar el RBAC para simplificar la gestión de accesos y mantener la seguridad de la información para los recursos digitales. Algunas empresas también utilizan el RBAC para conceder la autorización de seguridad de los activos físicos, como las cerraduras electrónicas de edificios, oficinas y centros de datos.

Al restringir el acceso de los usuarios a los recursos necesarios para sus roles, el RBAC puede ayudar a defenderse contra usuarios internos maliciosos, empleados descuidados y actores de amenazas externos.

Un sistema de control de acceso basado en roles permite a las organizaciones adoptar un enfoque granular de la gestión de identidades y accesos (IAM) a la vez que racionaliza los procesos de autorización y las políticas de control de acceso. En concreto, el RBAC ayuda a las organizaciones a:

• Asignar permisos de forma más eficaz
• Mantener el cumplimiento
• Protección de los datos confidenciales

El RBAC elimina la necesidad de aprovisionar a cada usuario individual con un conjunto personalizado de permisos de usuario. En su lugar, los roles RBAC definidos determinan los derechos de acceso. Este proceso facilita a las organizaciones la incorporación o la salida de empleados, la actualización de las funciones de los puestos de trabajo y la transformación de las operaciones empresariales.

Los beneficios del RBAC también incluyen la posibilidad de añadir rápidamente permisos de acceso para contratistas, vendedores y otros usuarios de terceros. Por ejemplo, una asignación de roles de comarketing podría conceder a un socio comercial externo acceso a la interfaz de programación de aplicaciones (API) de bases de datos relacionadas con el producto. De esa forma, el usuario tiene acceso a la información que necesita, pero ninguno de los recursos confidenciales de la empresa queda expuesto.

La implementación del RBAC también ayuda a las empresas a cumplir con las regulaciones de protección de datos, como los mandatos que cubren los servicios financieros y las organizaciones de atención médica. El RBAC ofrece transparencia a los reguladores en cuanto a quién, cuándo y cómo se accede o modifica la información confidencial.

Las políticas de RBAC ayudan a abordar las vulnerabilidades de ciberseguridad al aplicar el principio de privilegio mínimo (PoLP). En PoLP, los roles de usuario otorgan acceso al nivel mínimo de permisos necesarios para completar una tarea o realizar un trabajo. Por ejemplo, un desarrollador junior puede tener permiso para trabajar en el código fuente de una aplicación, pero no puede realizar cambios sin la aprobación de un supervisor.

Al limitar el acceso a datos confidenciales, el RBAC ayuda a prevenir tanto la pérdida accidental de datos como las vulneraciones de datos intencionadas. En concreto, el RBAC ayuda a reducir el movimiento lateral, que es cuando los hackers utilizan un vector de acceso inicial a la red para ampliar gradualmente su alcance en un sistema.

Según el X-Force Threat Intelligence Index, el abuso de cuentas válidas, en el que los hackers se apoderan de las cuentas de usuarios legítimos y utilizan sus privilegios para causar daños, es uno de los vectores de ciberataque más comunes. El RBAC mitiga el daño que un hacker puede hacer con la cuenta de un usuario limitando lo que esa cuenta puede acceder en primer lugar.

Del mismo modo, las amenazas internas son una de las causas más costosas de las vulneraciones de datos. Según el informe "Cost of a Data Breach", las vulneraciones causadas por usuarios internos negligentes cuestan una media de 4,99 millones de dólares, cifra superior al coste medio general de las vulneraciones de 4,88 millones de dólares.

Al limitar los permisos de los usuarios, el RBAC dificulta que los empleados hagan un uso indebido de sus privilegios de acceso de forma maliciosa o negligente para dañar a la organización.

La restricción cuidadosa del acceso al sistema será aún más importante con el mayor uso de la inteligencia artificial (IA) avanzada. Pueden surgir problemas cuando los usuarios introducen información confidencial o sensible en herramientas de IA generativa sin permiso, y existen pocas medidas de seguridad. Un estudio del IBM Institute for Business Value descubrió que solo el 24 % de los proyectos de IA generativa actuales tienen un componente para asegurar las iniciativas.

En un sistema RBAC, las organizaciones primero deben crear roles específicos y, a continuación, definir qué permisos y privilegios se les otorgarán a esos roles. Las organizaciones suelen empezar por separar ampliamente las funciones en tres categorías de alto nivel: administradores, especialistas o usuarios expertos y usuarios finales.

Para configurar aún más las diferentes funciones para grupos específicos de usuarios, se tienen en cuenta factores más detallados, como la autoridad, las responsabilidades y los niveles de habilidad. A veces, un rol puede corresponder directamente a un puesto de trabajo. En otros casos, el rol puede ser un conjunto de permisos que se pueden asignar a un usuario que cumpla determinadas condiciones, independientemente de su puesto.

A los usuarios se les asignan a menudo múltiples roles o se les puede asignar a un grupo de roles que incluye varios niveles de acceso. Algunos roles son jerárquicos y proporcionan a los gestores un conjunto completo de permisos, mientras que los roles por debajo de ellos reciben un subconjunto de esos permisos de rol. Por ejemplo, la función de un supervisor podría otorgar a ese usuario acceso de escritura a un documento, mientras que los miembros del equipo solo tienen acceso de lectura.

1. Un administrador de TI de un hospital crea un rol RBAC para “Enfermero”.
2. El administrador establece permisos para el rol de enfermero, como ver medicamentos o introducir datos en un sistema de historia clínica electrónica (EHR).
3. A los miembros del personal de enfermería del hospital se les asigna el rol de enfermero de RBAC.
4. Cuando los usuarios asignados a la función de enfermero inician sesión, el RBAC comprueba los permisos a los que tienen derecho y les concede acceso a esa sesión.
5. A estos usuarios se les niegan otros permisos del sistema, como recetar medicamentos o solicitar pruebas, porque no están autorizados para el rol de enfermero.

Muchas organizaciones utilizan una solución de gestión de identidades y accesos (IAM) para implementar el RBAC en sus empresas. Los sistemas IAM pueden ayudar tanto con la autenticación como con la autorización en un esquema RBAC:

• Autenticación: los sistemas IAM pueden verificar la identidad de un usuario comparando sus credenciales con un directorio de usuarios o una base de datos centralizados.
  
  
• Autorización: los sistemas IAM pueden autorizar a los usuarios comprobando sus roles en el directorio de usuarios y otorgando los permisos adecuados en función de ese rol en el esquema RBAC de la organización.

El Instituto Nacional de Estándares y Tecnología (NIST), que desarrolló el modelo RBAC, proporciona tres reglas básicas para todos los sistemas RBAC.

1. Asignación de roles: a un usuario se le debe asignar uno o más roles activos para ejercer permisos o privilegios.
   
   
2. Autorización de roles: el usuario debe estar autorizado para asumir el rol o roles que se le han asignado.
   
   
3. Autorización de permisos: los permisos o privilegios se conceden solo a los usuarios que han sido autorizados a través de sus asignaciones de funciones.

Hay cuatro modelos separados para implementar RBAC, pero cada modelo comienza con la misma estructura central. Cada modelo sucesivo construye nuevas funcionalidades y características sobre el modelo anterior.

• RBAC central
• RBAC jerárquico
• RBAC restringido
• RBAC simétrico

Este modelo, a veces denominado RBAC plano, es la base necesaria para cualquier sistema RBAC. Sigue las tres reglas básicas de RBAC. A los usuarios se les asignan roles, y esos roles autorizan el acceso a conjuntos específicos de permisos y privilegios. El núcleo RBAC se puede utilizar como un sistema de control de acceso principal o como base para modelos RBAC más avanzados.

Este modelo añade jerarquías de funciones que replican la estructura jerárquica de una organización. En una jerarquía de funciones, cada función hereda los permisos de la función inferior y obtiene nuevos permisos.

Por ejemplo, una jerarquía de funciones puede incluir a ejecutivos, gestores, supervisores y empleados de línea. Un ejecutivo en lo más alto de la jerarquía estaría autorizado para un conjunto completo de permisos, mientras que a los gestores, supervisores y empleados de línea se les concederían subconjuntos sucesivamente más pequeños de ese conjunto de permisos.

Además de las jerarquías de roles, este modelo agrega capacidades para imponer la separación de funciones (SOD). La separación de funciones ayuda a prevenir conflictos de intereses al requerir que dos personas completen ciertas tareas.

Por ejemplo, un usuario que solicita el reembolso de un gasto empresarial no debe ser la misma persona que aprueba dicha solicitud. La política RBAC restringida garantiza que los privilegios de los usuarios estén separados para este tipo de tareas.

Este modelo es la versión más avanzada, flexible y completa de RBAC. Además de las capacidades de los modelos anteriores, añade una visibilidad más profunda de los permisos en toda la empresa.

Las organizaciones pueden revisar cómo cada permiso se asigna a cada rol y a cada usuario del sistema. También pueden ajustar y actualizar los permisos asociados a los roles a medida que evolucionan los procesos empresariales y las responsabilidades de los empleados.

Estas características son especialmente valiosas para las grandes organizaciones que deben garantizar que cada rol y cada usuario tenga la menor cantidad de acceso necesario para llevar a cabo las tareas.

Existen otros marcos de control de acceso que las organizaciones podrían utilizar como alternativa a RBAC. En algunos casos de uso, las organizaciones combinan RBAC con otro modelo de autorización para administrar los permisos de los usuarios. Los marcos de control de acceso comúnmente utilizados incluyen:

• Control de acceso obligatorio (MAC)
• Control de acceso discrecional (DAC)
• Control de acceso basado en atributos (ABAC)
• Lista de control de acceso (ACL)

Los sistemas MAC aplican políticas de control de acceso definidas centralmente para todos los usuarios. Los sistemas MAC son menos granulares que los RBAC y el acceso normalmente se basa en niveles de autorización establecidos o puntajes de confianza. Muchos sistemas operativos utilizan MAC para controlar el acceso de los programas a recursos sensibles del sistema.

Los sistemas DAC permiten a los propietarios de los recursos establecer sus propias reglas de control de acceso para esos recursos. DAC es más flexible que las políticas generales de MAC y menos restrictivo que el enfoque estructurado de RBAC.

ABAC analiza los atributos de los usuarios, los objetos y las acciones (como el nombre del usuario, el tipo de recurso y la hora del día) para determinar si se concederá el acceso. El RBAC puede ser más fácil de implementar que el ABAC porque el RBAC utiliza funciones organizativas en lugar de los atributos de cada usuario individual para autorizar el acceso.

La diferencia entre RBAC y ABAC es que ABAC determina dinámicamente los permisos de acceso en el momento en función de varios factores, mientras que RBAC determina los permisos de acceso en función únicamente del rol predefinido del usuario.

ACL es un sistema básico de control de acceso que hace referencia a una lista de usuarios y reglas para determinar quién puede acceder a un sistema o recurso y qué acciones pueden realizar.

La diferencia entre ACL y RBAC es que una ACL define individualmente las reglas para cada usuario, mientras que los sistemas RBAC asignan derechos de acceso basados en roles.

Para las grandes organizaciones, RBAC se considera una mejor opción para el control de acceso porque es más escalable y más fácil de administrar que ACL.