Identificación, autenticación, autorización: Los tres pasos clave en la Seguridad de Accesos

Una ingeniera está comenzando su primer día en una empresa de ciberseguridad. ¿Cuál es la probabilidad de que entre directamente a la oficina y, sin hablar con nadie, se disponga a acceder a la información desde el puesto de trabajo más cercano?

En una serie de acontecimientos mucho más verosímil, la ingeniera se presentaría y el personal de seguridad la identificaría en una lista. Luego se autenticaría a sí misma con la foto del carné de identidad o mediante el reconocimiento visual de un miembro de confianza del personal. A continuación, el guardia de seguridad la autorizaría a ingresar en la oficina.

El proceso de seguridad de tres pasos de identificación, autenticación, autorizarción es utilizado habitualmente en nuestra vida cotidiana; desde tomar un vuelo hasta registrarse en la oficina de un socio comercial. Lo mismo debe aplicarse a la infraestructura de TI para garantizar que las personas que acceden a los activos corporativos sean quienes dicen ser y tengan la autoridad apropiada para acceder a ellos. Dentro de un marco de seguridad de acceso eficaz, estas tres etapas funcionan conjuntamente para mantener seguros los datos confidenciales ubicados en las infraestructuras de TI.

Identificación

La identidad es el punto de partida de la seguridad de acceso. En un entorno virtual, el ingeniero de nuestra historia sería un usuario que intenta acceder a una red de TI. Así como el guardia de seguridad requería una prueba de que la ingeniera era en realidad quien ella afirmaba ser, un sistema virtual requiere una prueba de identidad. Con tantos datos confidenciales almacenados dentro de la infraestructura de TI de una organización, es fundamental poder diferenciar a los usuarios digitales con el mismo grado de precisión que identificamos a las identidades físicas.

Cuando las organizaciones implementan un sistema de gestión de identidad, su objetivo principal es identificar correctamente y con el más alto nivel de confianza a cada usuario que desee conectarse al sistema de TI de la empresa. Los usuarios reciben identificadores únicos y son conocidos por estas credenciales personales (su nombre de usuario y contraseña) en lugar de por su cara o por los nombres que puedan aparecer en una lista.

Las credenciales simples no pueden mantener una red segura por sí solas, ya que dejan un sistema vulnerable al que los usuarios fraudulentos pueden acceder reclamando la identidad de otra persona. Las credenciales de usuario tanto perdidas como robadas son demasiado comunes. La identificación precisa y fiable de los usuarios es clave para hacer cumplir las políticas de seguridad y proteger los datos, y es por este motivo por el que necesitamos autenticarnos.

Autenticación

La autenticación es la etapa del proceso de seguridad en la que un usuario debe demostrar la identidad que reclama. En nuestro ejemplo físico, sería el momento en el que la ingeniera presenta se identifica con una foto para autenticar su identidad. La autenticación antes de permitir el acceso a los recursos sigue el modelo de confianza cero o Zero Trust de ciberseguridad. Confianza cero significa que la identidad y los privilegios no se dan nunca por sentado; siempre deben verificarse a través de estrictos protocolos de seguridad.

Hay tres tipos de factores de autenticación que pueden utilizarse para verificar una identidad virtual:

Algo que usted conoce: el ejemplo más común de este tipo de información sería una contraseña. Una contraseña es la forma más básica de seguridad de acceso y a la vez es la que está expuesta a riesgos como compartir contraseñas o piratería visual.
Algo que usted tiene: podría ser un elemento físico único, como un teléfono inteligente o una tarjeta de acceso, o un token RSA/llavero que recibe o genera un código de acceso temporal.
Algo que usted es: los factores de autenticación biométrica se pueden utilizar para confirmar la identidad del usuario mediante un identificador físico inherente, como un iris o una huella digital. También se puede utilizar la biometría del comportamiento, como por ejemplo el reconocimiento de mecanografía, la voz o la firma.

Es más difícil para un hacker robar dos elementos de información confidencial que uno. Agregar factores adicionales además de una combinación básica de nombre de usuario/contraseña, conocida como autenticación multifactor (MFA) , puede proporcionar a una organización un alto nivel de certeza de que la persona que intenta acceder es realmente quien dice ser. Y esta certeza es fundamental a la hora de acceder a datos confidenciales.

Las soluciones de Gestión de Acceso e Identidad, como WALLIX Trustelem, ofrecen a las organizaciones una forma de autenticar y gestionar identidades de forma inteligente. Se puede garantizar la identidad de los usuarios a través de MFA y luego controlarse desde un tablero centralizado en un proceso que es sencillo para los administradores.

Una vez que los usuarios de una red pueden identificarse y autenticarse de forma segura, también es muy importante que tengan las autorizaciones adecuadas.

Autorización

¿Puedo entrar? La autorización responde a esta última pregunta en el proceso de seguridad de acceso. El guardia de seguridad pudo haber confirmado la identidad de la ingeniera, pero aún así solo le hubiera permitido ingresar en la empresa de ciberseguridad, no en la oficina de al lado. Incluso si la identidad digital de un usuario puede ser autenticada por MFA, el principio del menor privilegio significa que nunca se le debe otorgar acceso sin restricciones dentro de una red de TI. Una autorización débil puede conducir a usuarios con privilegios excesivos y al riesgo de abuso accidental o deliberado de los privilegios de root. Por otra parte, esto puede dejar a una empresa expuesta al riesgo de fraude, robo de datos y daños en su reputación.

Las organizaciones que emplean una solución de Gestión del Acceso Privilegiado (PAM) sólida garantizan que solo los usuarios autorizados puedan acceder a los recursos confidenciales en el momento adecuado. Los administradores de TI pueden gestionar de forma centralizada los usuarios y los sistemas de destino, y luego configurar las reglas y condiciones de autorización para otorgar o denegar automáticamente el acceso a los recursos críticos. También pueden monitorear y registrar acciones de usuarios privilegiados dentro de una sesión para propósitos de auditoría o para acabar con cualquier actividad sospechosa en tiempo real.

Una solución PAM, como la de WALLIX Bastion, ofrece una forma segura y optimizada de autorizar y monitorear a todos los usuarios privilegiados dentro de la red de TI de una empresa. Además de administrar los niveles de acceso privilegiado de los usuarios, le permite:

Eliminar la necesidad de que los usuarios privilegiados tengan o requieran contraseñas del sistema local
Crear una pista de auditoría inalterable para cualquier operación privilegiada
Cumplir con las regulaciones sobre el control de acceso, monitoreo y auditoría como GDPR, NIS, ISO 27001, HIPAA y PCI-DSS
Integrar una solución Endpoint Privilege Management (EPM), como WALLIX BestSafe, para aplicar el principio de privilegios mínimos en los dispositivos de punto final de una organización

La identificación, autenticación y autorización son aspectos clave de un marco sólido de seguridad de acceso. Se emplean en conjunto para proteger el acceso a la red de una empresa y para mantener segura la información confidencial con un enfoque de la seguridad de acceso integral y de extremo a extremo.

Descubra más detalles sobre las soluciones de seguridad de acceso y los conceptos clave básicos al descargar nuestro documento técnico «Guía de Seguridad de Accesos para Principiantes ».

Contenidos relacionados

febrero 2, 2024

Recursos relacionados

febrero 6, 2024

La guía sobre los principales Vectores de Ataque

febrero 6, 2024

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Identificación, autenticación, autorización: Los tres pasos clave en la Seguridad de Accesos

Identificación

Autenticación

Autorización

Contenidos relacionados

Integración PAM-ITSM: ¿cuáles son las buenas prácticas que deben aplicarse?

La protección de las entidades financieras gracias a las soluciones PAM

Instituciones académicas en alerta: una guía para mantener las aulas libres de riesgos

Top 10 consejos para reducir su superficie de ataque

Identificación, autenticación, autorización: Los tres pasos clave en la Seguridad de Accesos

Recursos relacionados

La guía sobre los principales Vectores de Ataque

Ciberseguridad Zero Trust

PRODUCTOS

RECURSOS

ASISTENCIA

ACERCA DE

SÍGUENOS

Identificación, autenticación, autorización: Los tres pasos clave en la Seguridad de Accesos

Identificación

Autenticación

Autorización

Compartir esta entrada

Contenidos relacionados

Recursos relacionados

PRODUCTOS

RECURSOS

ASISTENCIA

ACERCA DE

SÍGUENOS