¿Qué es el control de acceso basado en roles (RBAC)?

En un sistema RBAC, un administrador asigna a cada usuario individual uno o más roles. Cada nuevo rol representa un conjunto de licencias o privilegios para el usuario.

Un rol financiero podría autorizar a un usuario a realizar compras, ejecutar software de forecasting u otorgar acceso a los sistemas de la cadena de suministro. Un rol de recursos humanos podría autorizar a un usuario a ver los archivos de personal y gestionar los sistemas de beneficios de los empleados.

Las grandes organizaciones con muchos empleados suelen emplear RBAC para simplificar la gestión de acceso y mantener la seguridad de la información para los recursos digitales. Algunas compañías también emplean RBAC para otorgar autorización de seguridad para activos físicos, como cerraduras electrónicas en edificios, oficinas y centros de datos.

Al restringir el acceso de los usuarios a los recursos necesarios para sus roles, el RBAC puede ayudar a defenderse de los usuarios internos maliciosos, los empleados descuidados y los actores de amenazas externos.

Un sistema de control de acceso basado en roles permite a las organizaciones adoptar un enfoque granular para la gestión de identidad y acceso (IAM) al tiempo que optimiza los procesos de autorización y las políticas de control de acceso. En concreto, RBAC ayuda a las organizaciones a:

• Asigne licencias de manera más eficaz
• Mantener el cumplimiento
• Proteja los datos confidenciales

RBAC elimina la necesidad de aprovisionar a cada usuario individual con un conjunto personalizado de licencias de usuario. En cambio, los roles RBAC definidos determinan los derechos de acceso. Este proceso facilita a las organizaciones la incorporación o baja de empleados, la actualización de las funciones laborales y la transformación de las operaciones empresariales.

Los beneficios del RBAC también incluyen la posibilidad de agregar rápidamente permisos de acceso para contratistas, proveedores y otros usuarios externos. Por ejemplo, una asignación de roles de marketing conjunto podría otorgar a un asociado de negocios externo acceso a la interfaz de programación de aplicaciones (API) de bases de datos relacionadas con los productos. De este modo, el usuario tiene acceso a la información que necesita, pero ninguno de los recursos confidenciales de la compañía queda expuesto.

La implementación de RBAC también ayuda a las compañías a cumplir con las regulaciones de protección de datos , como los mandatos que cubren los servicios financieros y las organizaciones de atención médica. El RBAC proporciona transparencia a los reguladores con respecto a quién, cuándo y cómo se accede o modifica la información confidencial.

Las políticas RBAC ayudan a abordar las vulnerabilidades de la ciberseguridad al aplicar el principio de mínimo privilegio (PoLP). En PoLP, los roles de usuario otorgan acceso al nivel mínimo de licencias necesarias para completar una tarea o cumplir un trabajo. Por ejemplo, un desarrollador junior podría tener licencia para trabajar en el código fuente de una aplicación, pero no puede realizar cambios sin la aprobación de un supervisor.

Al limitar el acceso a datos confidenciales, RBAC ayuda a prevenir tanto la pérdida accidental de datos como las filtraciones intencionales de datos. Específicamente, RBAC ayuda a reducir el movimiento lateral, que es cuando los hackers emplean un vector de acceso inicial a la red para expandir gradualmente su alcance en un sistema.

Según el X-Force Threat Intelligence Index, el abuso de cuentas válidas, en el que los hackers se apoderan de las cuentas de usuarios legítimos y utilizan sus privilegios para causar daño, es uno de los vectores de ciberataques más comunes. RBAC mitiga el daño que un hacker puede hacer con la cuenta de un usuario al limitar a qué puede acceder esa cuenta en primer lugar.

Del mismo modo, las amenazas de usuario interno son una de las causas más costosas de las filtraciones de datos. Según el Informe del costo de una filtración de datos, las filtraciones causadas por usuarios internos maliciosos cuestan un promedio de 4.92 millones de dólares, más que el costo promedio general de las filtraciones de 4.44 millones de dólares.

Al limitar los permisos de los usuarios, RBAC dificulta que los empleados hagan un mal uso malintencionado o negligente de sus privilegios de acceso para dañar a la organización.

La restricción minuciosa del acceso al sistema será aún más importante con el mayor uso de inteligencia artificial (IA) avanzada. Pueden surgir problemas cuando los usuarios ingresan información confidencial o sensible a herramientas de IA generativa sin autorización y existen pocas medidas de protección. Un estudio del IBM Institute for Business Value reveló que solo el 24 % de los proyectos de IA generativa actuales tienen un componente destinado a proteger las iniciativas.

En un sistema RBAC, las organizaciones primero deben crear roles específicos y luego definir qué licencias y privilegios se otorgarán a esos roles. Las organizaciones a menudo comienzan separando ampliamente los roles en tres categories de nivel superior de administradores, especialistas o usuarios expertos y usuarios finales.

Para seguir configurando diferentes funciones para grupos específicos de usuarios, se tienen en cuenta factores más precisos como la autoridad, las responsabilidades y los niveles de cualificación. A veces, un rol puede corresponder directamente a un título de trabajo. En otros casos, la función puede ser un conjunto de licencias que pueden asignar a un usuario que cumpla determinadas condiciones, independientemente de su cargo.

A los usuarios a menudo se les asignan múltiples roles o se les puede asignar a un grupo de roles que incluye varios niveles de acceso. Algunos roles son jerárquicos y proporcionan a los gerentes un conjunto completo de licencias, mientras que los roles debajo de ellos reciben un subconjunto de esas licencias de rol. Por ejemplo, la función de un supervisor podría otorgar a ese usuario acceso de escritura a un documento, mientras que los miembros del equipo solo tienen acceso de lectura.

1. Un administrador de TI de un hospital crea un rol de RBAC para "enfermera".
2. El administrador establece licencias para el rol de enfermera, como ver medicamentos o ingresar datos en un sistema de historia clínica electrónica (EHR).
3. A los miembros del personal de enfermería del hospital se les asigna el rol de enfermera de RBAC.
4. Cuando los usuarios asignados al rol de enfermera inician sesión, RBAC verifica a qué licencias tienen derecho y les otorga acceso para esa sesión.
5. A estos usuarios se les niegan otros permisos del sistema, como recetar medicamentos u ordenar pruebas, ya que no están autorizados para el rol de enfermero(a).

Muchas organizaciones emplean una solución de gestión de identidad y acceso (IAM) para implementar RBAC en todas sus compañías. Los sistemas IAM pueden ayudar tanto con la autenticación como con la autorización en un esquema RBAC:

• Autenticación: los sistemas IAM pueden verificar la identidad de un usuario comparando sus credenciales con un directorio de usuarios o base de datos centralizados.
  
  
• Autorización: Los sistemas IAM pueden autorizar a los usuarios comprobando sus roles en el directorio de usuarios y concediendo las licencias adecuadas en función de ese rol en el esquema RBAC de la organización.

El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., que desarrolló el modelo RBAC, establece tres reglas básicas para todos los sistemas RBAC.

1. Asignación de roles: A un usuario se le deben asignar uno o más roles activos para ejercer licencias o privilegios.
   
   
2. Autorización de roles: el usuario debe estar autorizado para asumir el rol o roles que se le asignaron.
   
   
3. Autorización de permisos: Los permisos o privilegios se otorgan únicamente a los usuarios que han sido autorizados a través de sus asignaciones de roles.

Existen cuatro modelos separados para implementar el RBAC, pero cada uno comienza con la misma estructura central. Cada modelo sucesivo construye nuevas funcionalidades y características sobre el modelo anterior.

• Core RBAC
• RBAC jerárquico
• RBAC restringido
• RBAC simétrico

Este modelo, a veces denominado RBAC plano, es la base necesaria para cualquier sistema RBAC y se apega a las tres reglas básicas de RBAC. A los usuarios se les asignan roles que autorizan el acceso a conjuntos específicos de permisos y privilegios. El núcleo del RBAC se puede utilizar como un sistema de control de acceso principal o como base para modelos RBAC más avanzados.

Este modelo agrega jerarquías de roles que reproducen la estructura de presentación de informes de una organización. En una jerarquía de roles, cada uno hereda los permisos del rol que se encuentra debajo y obtiene nuevos permisos.

Por ejemplo, una jerarquía de roles puede incluir ejecutivos, gerentes, supervisores y empleados de línea. Un ejecutivo en la cima de la jerarquía estaría autorizado para un conjunto completo de permisos, mientras que los gerentes, supervisores y empleados de línea se les concederían sucesivamente subconjuntos más reducidos de ese conjunto de permisos.

Además de las jerarquías de roles, este modelo agrega capacidades que permiten aplicar la separación de funciones (SOD). La separación de funciones ayuda a prevenir conflictos de intereses al requerir que dos personas realicen ciertas tareas.

Por ejemplo, un usuario que aplicar el reembolso de un gasto comercial no debe ser la misma persona que aprueba esa solicitud. La política de RBAC restringida garantiza que los privilegios de usuario estén separados para este tipo de tareas.

Este modelo es la versión más avanzada, flexible y completa de RBAC. Además de las capacidades de los modelos anteriores, ofrece una visibilidad más profunda de los permisos en toda la empresa.

Las organizaciones pueden examinar la manera en que cada permiso se correlaciona con cada rol y cada usuario en el sistema. También pueden ajustar y actualizar los permisos asociados con los roles a medida que evolucionan los procesos de negocios y las responsabilidades de los empleados.

Estas características son especialmente valiosas para las grandes organizaciones que deben garantizar que cada rol y cada usuario tenga la menor cantidad de acceso necesario para llevar a cabo las tareas.

Existen otros marcos de control de acceso que las organizaciones pueden emplear como alternativa a RBAC. En algunos casos de uso, las organizaciones combinan RBAC con otro modelo de autorización para gestionar las licencias de los usuarios. Los marcos de control de acceso más empleados incluyen:

• Control de acceso obligatorio (MAC)
• Control de acceso discrecional (DAC)
• Control de acceso basado en atributos (ABAC)
• Lista de control de acceso (ACL)

Los sistemas MAC aplican políticas de control de acceso definidas centralmente para todos los usuarios. Los sistemas MAC son menos granulares que los RBAC y el acceso normalmente se basa en niveles de autorización establecido o puntajes de confianza. Muchos sistemas operativos emplean MAC para controlar el acceso de los programas a recursos sensibles del sistema.

Los sistemas DAC permiten a los propietarios de recursos establecer sus propias reglas de control de acceso para esos recursos. El DAC es más flexible que las políticas generales del MAC y menos restrictivo que el enfoque estructurado del RBAC.

ABAC analiza los atributos de los usuarios, objetos y acciones, como el nombre de un usuario, el tipo de recurso y la hora del día, para determinar si se otorgará acceso. RBAC puede ser más fácil de implementar que ABAC porque RBAC utiliza roles organizacionales en lugar de los atributos de cada usuario individual para autorizar el acceso.

La diferencia entre RBAC y ABAC es que ABAC determina dinámicamente las licencias de acceso en el momento en función de varios factores, mientras que RBAC determina las licencias de acceso basar únicamente en el rol predefinido del usuario.

ACL es un sistema básico de control de acceso que hace referencia a una lista de usuarios y reglas para determinar quién puede acceder a un sistema o recurso y qué acciones puede realizar.

La diferencia entre ACL y RBAC es que una ACL define individualmente las reglas para cada usuario, mientras que los sistemas RBAC asignan derechos de acceso según roles.

Para las grandes organizaciones, RBAC se considera una mejor opción para el control de acceso porque es más escalable y más fácil de gestionar que ACL.