El control de acceso es una función de sistema abierto que proporciona una tecnología de seguridad que permite o deniega el acceso a ciertos tipos de datos en función de la identificación del sujeto que necesita acceso y el objeto de datos que es el objetivo del acceso.
El control de acceso es uno de los elementos más importantes para proteger una PC y la información que contiene. El acceso a la información protegida debe ser limitado para que solo las personas que tienen derecho a acceder puedan recibir esta información. Los programas de computadora y, en muchos casos, las computadoras ajenas, a través de una red local, Internet, una red inalámbrica, pueden obtener información secreta que no está destinada a ellos. Esto puede causar pérdidas tanto financieras como de información.
En este sentido, se necesita un mecanismo para controlar el acceso a la información protegida. La complejidad de los mecanismos de control de acceso debe estar a la par con el valor de la información, es decir, cuanto más importante o valiosa es la información, más complejos deben ser los mecanismos de control de acceso.
Los principales mecanismos de control de acceso son la identificación y la autenticación [1] .
Identificación: asignar un identificador a sujetos y objetos y (o) comparar el identificador con la lista de identificadores asignados. Si una persona hace la declaración "Hola, mi nombre es..." Está declarando quién es. Sin embargo, su declaración puede no ser cierta.
Para determinar a una persona por su nombre, es necesario verificar si esta persona es tal. Aquí es donde entra la autenticación .
La autenticación es el acto de verificar una declaración de identidad.
Cuando, por ejemplo, una persona va a un banco y quiere retirar una suma de dinero de su cuenta, un empleado del banco le pide un pasaporte para verificar la autenticidad. El empleado del banco mira a la persona y comprueba la foto del pasaporte. Después de verificar la autenticidad de la solicitud, el empleado realiza la operación.
Hay dos tipos diferentes de información que se pueden usar para autenticar: uno que solo usted conoce o uno que solo usted tiene. Un ejemplo de lo que sabe podría ser cosas como un PIN , una contraseña o el apellido de soltera de su madre. Ejemplos de lo que tiene podría ser una licencia de conducir o tarjetas magnéticas. También pueden ser dispositivos biométricos . Ejemplos de biometría pueden ser una huella dactilar, voz y retina. La autenticación fuerte requiere el suministro de información de dos de los tres tipos diferentes de autenticación de información. Por ejemplo, lo que sabes y quién eres. Esto se llama autenticación de dos factores .
En los sistemas informáticos que se utilizan hoy en día, un nombre de usuario y una contraseña es la forma más común de autenticación. Los nombres de usuario y las contraseñas han cumplido su propósito, pero en nuestro mundo moderno, no nos brindan total confianza. Los nombres de usuario y las contraseñas están siendo reemplazados gradualmente por mecanismos de autenticación más sofisticados.
Después de una identificación y autenticación exitosas, una persona o programa tiene a su disposición exactamente aquellos recursos a los que el programa o la persona tiene derecho a acceder, así como las acciones que podrá realizar (iniciar, ver, crear, eliminar o cambiar). ). Esto se llama permisos.
El permiso para acceder a la información y otros servicios comienza con las políticas y los procedimientos administrativos. La política prescribe a quién y en qué condiciones se puede acceder a la información y los servicios informáticos. Los mecanismos de control de acceso están configurados para implementar estas estrategias.
Los sistemas informáticos están equipados con varios mecanismos de control de acceso, algunos ofrecen una selección de varios mecanismos de control de acceso. El sistema ofrece varios enfoques para controlar el acceso, o una combinación de ellos.
El enfoque discrecional consolida todo el control de acceso bajo una gestión centralizada. Un enfoque discrecional brinda a los creadores o propietarios de un recurso de información la capacidad de controlar el acceso a esos recursos.
En el enfoque de control de acceso imperativo , permitir o denegar el acceso se basa en la seguridad de las clasificaciones asignadas al recurso de información.
También utiliza control de acceso basado en roles .
En muchos sistemas de administración de bases de datos se pueden encontrar ejemplos de mecanismos de control de acceso comunes que se usan hoy en día .
El permiso de archivo simple se usa en UNIX y Windows , las reglas de acceso de grupo se proporcionan en los sistemas de red de Windows , Kerberos , RADIUS , TACACS , las listas de acceso simple se usan en muchos firewalls y enrutadores .
Para que sean eficaces, se deben utilizar, mantener y, cuando sea posible, actualizar las políticas y otros controles de seguridad.
Todos los intentos de autenticación de inicio de sesión fallidos y exitosos deben registrarse, y también debe registrarse quién y cuándo se cambió la información.