Identificación, autenticación, autorización: Los tres pasos clave en la Seguridad de Accesos
Una ingeniera está comenzando su primer día en una empresa de ciberseguridad. ¿Cuál es la probabilidad de que entre directamente a la oficina y, sin hablar con nadie, se disponga a acceder a la información desde el puesto de trabajo más cercano?
En una serie de acontecimientos mucho más verosímil, la ingeniera se presentaría y el personal de seguridad la identificaría en una lista. Luego se autenticaría a sí misma con la foto del carné de identidad o mediante el reconocimiento visual de un miembro de confianza del personal. A continuación, el guardia de seguridad la autorizaría a ingresar en la oficina.
El proceso de seguridad de tres pasos de identificación, autenticación, autorizarción es utilizado habitualmente en nuestra vida cotidiana; desde tomar un vuelo hasta registrarse en la oficina de un socio comercial. Lo mismo debe aplicarse a la infraestructura de TI para garantizar que las personas que acceden a los activos corporativos sean quienes dicen ser y tengan la autoridad apropiada para acceder a ellos. Dentro de un marco de seguridad de acceso eficaz, estas tres etapas funcionan conjuntamente para mantener seguros los datos confidenciales ubicados en las infraestructuras de TI.
Identificación
La identidad es el punto de partida de la seguridad de acceso. En un entorno virtual, el ingeniero de nuestra historia sería un usuario que intenta acceder a una red de TI. Así como el guardia de seguridad requería una prueba de que la ingeniera era en realidad quien ella afirmaba ser, un sistema virtual requiere una prueba de identidad. Con tantos datos confidenciales almacenados dentro de la infraestructura de TI de una organización, es fundamental poder diferenciar a los usuarios digitales con el mismo grado de precisión que identificamos a las identidades físicas.
Cuando las organizaciones implementan un sistema de gestión de identidad, su objetivo principal es identificar correctamente y con el más alto nivel de confianza a cada usuario que desee conectarse al sistema de TI de la empresa. Los usuarios reciben identificadores únicos y son conocidos por estas credenciales personales (su nombre de usuario y contraseña) en lugar de por su cara o por los nombres que puedan aparecer en una lista.
Las credenciales simples no pueden mantener una red segura por sí solas, ya que dejan un sistema vulnerable al que los usuarios fraudulentos pueden acceder reclamando la identidad de otra persona. Las credenciales de usuario tanto perdidas como robadas son demasiado comunes. La identificación precisa y fiable de los usuarios es clave para hacer cumplir las políticas de seguridad y proteger los datos, y es por este motivo por el que necesitamos autenticarnos.
Autenticación
La autenticación es la etapa del proceso de seguridad en la que un usuario debe demostrar la identidad que reclama. En nuestro ejemplo físico, sería el momento en el que la ingeniera presenta se identifica con una foto para autenticar su identidad. La autenticación antes de permitir el acceso a los recursos sigue el modelo de confianza cero o Zero Trust de ciberseguridad. Confianza cero significa que la identidad y los privilegios no se dan nunca por sentado; siempre deben verificarse a través de estrictos protocolos de seguridad.
Hay tres tipos de factores de autenticación que pueden utilizarse para verificar una identidad virtual:
- Algo que usted conoce: el ejemplo más común de este tipo de información sería una contraseña. Una contraseña es la forma más básica de seguridad de acceso y a la vez es la que está expuesta a riesgos como compartir contraseñas o piratería visual.
- Algo que usted tiene: podría ser un elemento físico único, como un teléfono inteligente o una tarjeta de acceso, o un token RSA/llavero que recibe o genera un código de acceso temporal.
- Algo que usted es: los factores de autenticación biométrica se pueden utilizar para confirmar la identidad del usuario mediante un identificador físico inherente, como un iris o una huella digital. También se puede utilizar la biometría del comportamiento, como por ejemplo el reconocimiento de mecanografía, la voz o la firma.
Es más difícil para un hacker robar dos elementos de información confidencial que uno. Agregar factores adicionales además de una combinación básica de nombre de usuario/contraseña, conocida como autenticación multifactor (MFA) , puede proporcionar a una organización un alto nivel de certeza de que la persona que intenta acceder es realmente quien dice ser. Y esta certeza es fundamental a la hora de acceder a datos confidenciales.
Las soluciones de Gestión de Acceso e Identidad, como WALLIX Trustelem, ofrecen a las organizaciones una forma de autenticar y gestionar identidades de forma inteligente. Se puede garantizar la identidad de los usuarios a través de MFA y luego controlarse desde un tablero centralizado en un proceso que es sencillo para los administradores.
Una vez que los usuarios de una red pueden identificarse y autenticarse de forma segura, también es muy importante que tengan las autorizaciones adecuadas.
Autorización
¿Puedo entrar? La autorización responde a esta última pregunta en el proceso de seguridad de acceso. El guardia de seguridad pudo haber confirmado la identidad de la ingeniera, pero aún así solo le hubiera permitido ingresar en la empresa de ciberseguridad, no en la oficina de al lado. Incluso si la identidad digital de un usuario puede ser autenticada por MFA, el principio del menor privilegio significa que nunca se le debe otorgar acceso sin restricciones dentro de una red de TI. Una autorización débil puede conducir a usuarios con privilegios excesivos y al riesgo de abuso accidental o deliberado de los privilegios de root. Por otra parte, esto puede dejar a una empresa expuesta al riesgo de fraude, robo de datos y daños en su reputación.
Las organizaciones que emplean una solución de Gestión del Acceso Privilegiado (PAM) sólida garantizan que solo los usuarios autorizados puedan acceder a los recursos confidenciales en el momento adecuado. Los administradores de TI pueden gestionar de forma centralizada los usuarios y los sistemas de destino, y luego configurar las reglas y condiciones de autorización para otorgar o denegar automáticamente el acceso a los recursos críticos. También pueden monitorear y registrar acciones de usuarios privilegiados dentro de una sesión para propósitos de auditoría o para acabar con cualquier actividad sospechosa en tiempo real.
Una solución PAM, como la de WALLIX Bastion, ofrece una forma segura y optimizada de autorizar y monitorear a todos los usuarios privilegiados dentro de la red de TI de una empresa. Además de administrar los niveles de acceso privilegiado de los usuarios, le permite:
- Eliminar la necesidad de que los usuarios privilegiados tengan o requieran contraseñas del sistema local
- Crear una pista de auditoría inalterable para cualquier operación privilegiada
- Cumplir con las regulaciones sobre el control de acceso, monitoreo y auditoría como GDPR, NIS, ISO 27001, HIPAA y PCI-DSS
- Integrar una solución Endpoint Privilege Management (EPM), como WALLIX BestSafe, para aplicar el principio de privilegios mínimos en los dispositivos de punto final de una organización
La identificación, autenticación y autorización son aspectos clave de un marco sólido de seguridad de acceso. Se emplean en conjunto para proteger el acceso a la red de una empresa y para mantener segura la información confidencial con un enfoque de la seguridad de acceso integral y de extremo a extremo.
Descubra más detalles sobre las soluciones de seguridad de acceso y los conceptos clave básicos al descargar nuestro documento técnico «Guía de Seguridad de Accesos para Principiantes ».