¿Qué es la gestión de acceso?

La gestión de acceso y la gestión de identidad forman los dos pilares de una disciplina de ciberseguridad más amplia —gestión de identidad y acceso (IAM)—. La IAM se ocupa del aprovisionamiento y la protección de identidades digitales y licencias de usuario en un sistema de TI.

La gestión de identidades implica crear y mantener identidades para todos los usuarios de un sistema, incluidos los usuarios humanos (empleados, clientes o contratistas) y usuarios no humanos (agentes de IA, IoT y dispositivos endpoint o cargas de trabajo automatizadas).

La gestión de acceso implica facilitar el acceso seguro de estos usuarios a los datos de una organización, los recursos on premises y las aplicaciones y activos basados en la nube. Las funciones principales de la gestión de acceso incluyen la administración de políticas de acceso de usuarios, la autenticación de identidades de usuarios y la autorización de usuarios válidos para realizar ciertas acciones en un sistema.

Con el auge de la computación en la nube, las soluciones de software como servicio (Saas) , el trabajo remoto y la IA generativa, la gestión de acceso se ha convertido en un componente central de la seguridad de la red. Las organizaciones deben permitir que más tipos de usuarios accedan a más tipos de recursos en más ubicaciones, al tiempo que evitan las filtraciones de datos y mantienen alejados a los usuarios no autorizados. 

Según el Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU., las funciones básicas de gestión de acceso incluyen:

• Administración de políticas
• Autenticación
• Autorización

Las políticas de acceso granulares rigen las licencias de acceso de los usuarios en la mayoría de los sistemas de administración de acceso. Las organizaciones pueden adoptar varios enfoques diferentes para establecer sus políticas de acceso.

Un marco de control de acceso común es el control de acceso basado en roles (RBAC), en el que los privilegios de los usuarios se basan en sus funciones de trabajo. El RBAC ayuda a agilizar el proceso de configuración de licencias de usuario y mitiga el riesgo de otorgar a los usuarios privilegios más altos de los que necesitan.

Por ejemplo, supongamos que los administradores del sistema están estableciendo permisos para un cortafuegos de red.

• Lo más probable es que un representante de ventas no tenga acceso en absoluto, ya que el rol de ese usuario no lo requiere.
  
  
• Un analista de seguridad de nivel júnior podría ver las configuraciones del cortafuegos, pero no cambiarlas.
  
  
• El director de seguridad de la información (CISO) tendría acceso administrativo completo.
  
  
• Una interfaz de programación de aplicaciones (API) para un sistema integrado de gestión de eventos e información de seguridad (SIEM) podría leer los registros de actividad del cortafuegos.

Las organizaciones pueden utilizar otras infraestructuras de control de acceso como alternativas al RBAC o junto con él. Estos marcos incluyen:

• El control de acceso obligatorio (MAC) aplica políticas definidas de forma centralizada a todos los usuarios, en función de los niveles de autorización o las puntuaciones de confianza.
  
  
• El control de acceso discrecional (DAC) permite a los propietarios de recursos establecer sus propias reglas de control de acceso para esos recursos. 
  
  
• El control de acceso basado en atributos (ABAC) analiza los atributos de los usuarios, los objetos y las acciones para determinar si se concede el acceso. Estos atributos incluyen el nombre del usuario, el tipo de recurso y la hora del día.

La mayoría de las infraestructuras de control de acceso de las organizaciones siguen el principio de privilegio mínimo. El principio del mínimo privilegio, a menudo asociado con las estrategias de seguridad de confianza cero, establece que los usuarios deben tener solo los permisos más bajos necesarios para completar una tarea. Los privilegios deben revocarse cuando se realiza la tarea para ayudar a prevenir futuros riesgos de seguridad.

La autenticación es el proceso de verificar que un usuario es quien dice ser.

Cuando un usuario inicia sesión en un sistema o solicita acceso a un recurso, envía credenciales, llamadas “factores de autenticación”, para dar cuenta de su identidad. Por ejemplo, un usuario humano podría introducir una contraseña o un escaneo biométrico de huellas dactilares, mientras que un usuario no humano podría compartir un certificado digital.

Las herramientas de gestión de acceso verifican los factores enviados con las credenciales que tienen archivadas para el usuario. Si coinciden, se concede acceso al usuario.

Si bien una contraseña es la forma más básica de autenticación, también es una de las más débiles. La mayoría de las herramientas de gestión de acceso actuales utilizan métodos de autenticación más avanzados. Estos métodos incluyen:

• Autenticación de dos factores (2FA) y autenticación multifactor (MFA), en las que los usuarios deben proporcionar al menos dos pruebas para demostrar su identidad.
  
  
• Autenticación sin contraseña, que utiliza credenciales distintas de una contraseña, como un factor biométrico o una clave de paso FIDO.
  
  
• Inicio de sesión único (SSO), que permite a los usuarios acceder a múltiples aplicaciones y servicios con un conjunto de credenciales de inicio de sesión. Los sistemas SSO a menudo utilizan protocolos abiertos como Security Assertion Markup Language (SAML) y OpenID Connect (OIDC) para compartir datos de autenticación entre servicios.
  
  
• Autenticación adaptativa, que utiliza inteligencia artificial (IA) y machine learning (ML) para analizar el nivel de riesgo de un usuario en función de factores como el comportamiento, la postura de seguridad del dispositivo y el tiempo. Los requerimientos de autenticación cambian en tiempo real a medida que cambian los niveles de riesgo, con inicios de sesión más riesgozados que requieren una autenticación más sólida.

La autorización es el proceso de conceder a los usuarios verificados los niveles adecuados de acceso a un recurso.

La autenticación y la autorización están estrechamente vinculadas, y la autenticación suele ser un requisito previo para la autorización. Una vez probada la identidad del usuario, el sistema de gestión de acceso verifica los privilegios del usuario basar en políticas de acceso predefinidas registradas en una base de datos central o un motor de políticas. Luego, el sistema autoriza al usuario a tener esos privilegios específicos durante su sesión.

Al restringir los permisos de los usuarios en función de las políticas de acceso, las herramientas de gestión de acceso pueden ayudar a prevenir tanto las amenazas de usuarios internos que abusan maliciosamente de sus privilegios como los usuarios bien intencionados que accidentalmente abusan de sus derechos.

Si la validación de identidad de un usuario falla, el sistema de gestión de acceso no lo autoriza, lo que le impide usar los privilegios asociados con su cuenta. Esto ayuda a evitar que atacantes externos secuestren y abusen de los privilegios de los usuarios legítimos.

Las soluciones de gestión de acceso se pueden clasificar en dos categorías: herramientas que controlan el acceso de los usuarios internos, como los empleados, y herramientas que controlan el acceso de los usuarios externos, como los clientes. 

Los usuarios internos de una organización (personal, gerentes, administradores) a menudo requieren acceso a múltiples sistemas, incluidas aplicaciones comerciales, aplicaciones de mensajería, bases de datos de la empresa, sistemas de recursos humanos y más.

Casi todos los recursos internos de una empresa se consideran confidenciales y requieren protección contra hackers maliciosos. Pero no todos los usuarios internos necesitan tanto acceso a todos los recursos internos. Las organizaciones necesitan herramientas sofisticadas de administración de acceso que les permitan controlar los permisos de acceso de los usuarios en un nivel granular.

Las herramientas comunes de administración de acceso interno incluyen:

Las plataformas de IAM son soluciones integrales que integran funciones básicas de gestión de identidad y acceso en un único sistema. Las características comunes de las plataformas IAM incluyen directorios de usuarios, herramientas de autenticación, administración de políticas de acceso y capacidades de detección y respuesta a amenazas de identidad (ITDR).

La administración de acceso con privilegios (PAM) es un subconjunto de la administración de acceso que gobierna y protege las cuentas de usuario con privilegios elevados (como las cuentas de administrador) y las actividades con privilegios (como trabajar con datos confidenciales).

En muchos sistemas de TI, las cuentas con privilegios elevados cuentan con protecciones especiales porque son objetivos de alto valor que los actores maliciosos pueden utilizar para causar daños graves.

Las herramientas PAM aíslan las identidades privilegiadas del resto mediante el uso de bóvedas de credenciales y protocolos de acceso justo a tiempo (JIT). JIT otorga a los usuarios autorizados acceso privilegiado a un recurso específico durante un tiempo limitado previa solicitud, en lugar de otorgar a los usuarios permisos elevados de forma perpetua.

Las herramientas de gobernanza y administración de identidades (IGA) ayudan a garantizar que las políticas y los controles de acceso de una organización cumplan con los requisitos de seguridad y los mandatos normativos.

Las soluciones IGA ofrecen herramientas para definir e implementar políticas de acceso conformes a lo largo del ciclo de vida de cada usuario. Algunas herramientas de IGA también pueden ayudar a automatizar flujos de trabajo clave para el cumplimiento normativo, como la incorporación y el aprovisionamiento de usuarios, las revisiones de acceso, las nuevas solicitudes de acceso y la eliminación de derechos de acceso para los usuarios que abandonan la compañía. Estas funciones brindan a las organizaciones más supervisión sobre los permisos y la actividad de los usuarios, lo que facilita detectar y detener el uso indebido y el abuso de privilegios.

Las soluciones ZTNA son herramientas de acceso remoto que siguen el principio de confianza cero de "nunca confíe, siempre verifique".

Las herramientas tradicionales de acceso remoto, como las redes privadas virtuales (VPN), conectan a los usuarios remotos con toda la red corporativa. Por el contrario, ZTNA conecta a los usuarios únicamente con las aplicaciones y los recursos específicos a los que tienen licencia para acceder.

Además, en el modelo ZTNA, nunca se confía implícitamente en los usuarios. Se debe Verify y validar cada solicitud de acceso a cada Recursos, independientemente de la identidad o ubicación del usuario. 

Las organizaciones a menudo deben facilitar el acceso seguro a los recursos para usuarios externos. Es posible que los clientes necesiten acceso a sus cuentas en plataformas de comercio electrónico. Es posible que los proveedores necesiten acceso a los sistemas de facturación. Es posible que los asociados de negocios necesiten acceso a los datos compartidos. Las herramientas de administración de acceso externo sirven específicamente a estos usuarios externos.

Algunas organizaciones emplean las mismas herramientas para la gestión del acceso interno y externo, pero esta estrategia no siempre es factible. Las necesidades de los usuarios internos y externos pueden diferir. Por ejemplo, los usuarios externos a menudo priorizan la conveniencia sobre la seguridad, mientras que los usuarios internos tienen mayores privilegios que requieren protecciones más fuertes.

Las herramientas de gestión de identidad y acceso del cliente (CIAM)  rigen las identidades digitales y la seguridad de acceso para los clientes y otros usuarios que se encuentran fuera de una organización.

Al igual que otras herramientas de gestión de acceso, los sistemas CIAM ayudan a autenticar a los usuarios y facilitan el acceso seguro a los servicios digitales. La diferencia principal es que las herramientas CIAM enfatizan la experiencia del usuario a través de la elaboración de perfiles progresivos (lo que permite a los usuarios completar sus perfiles a lo largo del tiempo), inicios de sesión sociales y otras características fáciles de usar. 

Las herramientas de gestión de acceso ayudan a las organizaciones a facilitar el acceso seguro a recursos confidenciales para usuarios autorizados, independientemente de dónde se encuentren.

El resultado es una red más segura y eficiente. Los usuarios tienen el acceso ininterrumpido que necesitan para hacer su trabajo, mientras que los actores de amenazas y los usuarios no autorizados se mantienen alejados.