Control de Acceso - La gestión primaria para la seguridad de las TI

-

La Gestión de Control de Acceso en las Tecnologías de la Información

Introducción

Debe ser irrefutable, que la gestión principal de la gerencia de TI debe ser garantizar la seguridad de los datos y del sistema. Si bien en la actualidad, casi todas las aplicaciones financieras, de manejo de recursos humanos, de contabilidad, entre otras, poseen algún procedimiento de control de acceso no necesariamente proveen privacidad, seguridad y defensa de sus datos. Si bien el control de acceso media en el intento de cada usuario de acceder a un recurso del sistema no solo se limita al ámbito del software. 

Después de la autenticación del usuario, algunos sistemas otorgan acceso completo, pero la mayoría requiere un control más sofisticado. El control de acceso considera tanto la autenticación (contraseñas) como las autorizaciones. En algunos casos, la autorización puede reflejar la estructura de la organización, mientras que en otros puede basarse en la confidencialidad de los datos y la autorización del usuario.

Las organizaciones que implementan el control de acceso deben considerar políticas, modelos y mecanismos certificados y probados. Las políticas de control de acceso especifican cómo se gestiona la información y quién puede acceder a ella. Por ejemplo, las políticas pueden basarse en factores de necesidad de conocimiento, competencia, autoridad, obligación o conflicto de intereses. Las políticas de control de acceso se aplican mediante un mecanismo que traduce la solicitud de acceso de un usuario a la estructura de un sistema. 

Métricas para la Gestión correcta de Controles de Acceso

En lugar de analizar los sistemas de control de acceso a nivel de un proceso de entrada a un software, los modelos de seguridad describen que el control de acceso debe observar la perspectiva de la organización. Los modelos de seguridad son presentaciones formales de la política de seguridad del sistema y se utilizan para demostrar limitaciones teóricas. Organizaciones como la NIST, han desarrollado modelos como el NISTIR 7316 para la evaluación de sistemas de control de acceso (Hu, V., Ferraiolo, D., & Kuhn, R., 2006, September 2), que explica cómo deben ser las políticas, modelos y mecanismos de control de acceso en una organización.

Otras Perspectivas Posibles - Análisis de una Publicación

Para comprender el alcance de las perspectivas actuales del tema de control de acceso analizaré la publicación "Detecting and Resolving Policy Misconfigurations in Access-Control Systems" (Bauer, L., Garriss, S., & Reiter, M. K., 2008).

En esta publicación los autores analizan cómo una definición errónea de las políticas de control de acceso pueden resultar en un esfuerzo desperdiciado, frustración del usuario y serias implicaciones al afectar los datos en sistemas críticos. La perspectiva de los autores está dirigida ha aplicar la minería de reglas de asociación al historial de accesos para pronosticar modificaciones a las políticas de control de acceso que probablemente sean congruentes con las intenciones de los usuarios, de modo que estos cambios puedan implementarse antes de que las configuraciones incorrectas interfieran con los accesos válidos. 

Establecer estos cambios sobre los controles de acceso de forma continua requiere el consentimiento del administrador correspondiente, por lo que se requiere determinar automáticamente a quién solicitar el consentimiento. Esta técnica pudiera reducir los costosos de administración, retrasos en el tiempo de acceso y pronosticar hasta en un 58% de forma correcta la política de acceso de control necesaria.  

La Perspectiva de Gestión de Controles de Acceso debe ser Amplia

Si bien, estas técnicas pudieran ser muy prometedoras, entiendo que aún quedan muchos aspectos de las seguridad informática por probar y analizar. Por ejemplo, un ataque de inferencia es un enfoque de extracción de datos que implica examinar datos para obtener información ilícita sobre un tema o una base de datos. Se considera que la información confidencial sobre un tema se ha visto comprometida cuando un oponente puede inferir su verdadero valor con mucha confianza. Esto demuestra un compromiso de la seguridad de la información. 

Un ataque de inferencia ocurre cuando una persona puede inferir de información trivial información más sólida sobre una base de datos sin acceder a ella directamente. El propósito de los ataques de inferencia es reunir información en un nivel de seguridad para determinar un hecho que debe protegerse con un mayor grado de seguridad.  La técnica presenta en el documento "Detecting and Resolving Policy Misconfigurations in Access-Control Systems", desde mi perspectiva, puede ser susceptible a este tipo de ataque. La técnica presentada en el documento trabaja por inferencia, de este modo, se pudiera engañar al sistema para que infiera otras políticas de control de acceso. Desde luego, tal vez no sería tan simple como decirlo, ya que dependería de los controles de acceso inicialmente establecidos. Pero, debemos recordar que existen múltiples técnicas que pudieran llevar a escalar los controles de acceso o conseguir una cuenta de administración por lo que aún con técnicas como las descritas en el documento analizado seguirían siendo susceptibles.

El futuro de la Gestión de Controles de Acceso

El documento en análisis es una investigación con objetivos y perspectivas específicas con sus limitantes. Pero, no obstante, existe la eventualidad de crear nuevos marcos de trabajo partiendo de esta publicación. Estas técnicas pudieran avanzar grandemente en el futuro aplicando la inteligencia artificial con aprendizaje profundo con infinidad de datos de casos o perfiles. 


Referencias

Bauer, L., Garriss, S., & Reiter, M. K. (2008). Detecting and resolving policy 
misconfigurations in access-control systems. Proceedings of the 13th ACM Symposium on Access Control Models and Technologies - SACMAT ’08. https://doi.org/10.1145/1377836.1377866.‌
Hu, V., Ferraiolo, D., & Kuhn, R. (2006, September 29). Assessment of Access Control
Systems. Csrc.nist.gov. https://csrc.nist.gov/publications/detail/nistir/7316/final

Comentarios

Publicar un comentario

Entradas populares de este blog

Manejo de Riesgos - Conceptos y Escenarios

-
Introducción      El proceso de identificar, evaluar y controlar las amenazas de los activos y capital de una organización se conoce como Gestión de Riesgos. Estos peligros surgen de una variedad de fuentes, incluida la incertidumbre financiera, las responsabilidades legales, los problemas tecnológicos, los errores de gestión estratégica, los accidentes y los desastres naturales.  La Gestión de Riegos adecuada ayuda a una organización a considerar todos los riesgos que puede enfrentar. La gestión de riesgos también evalúa la relación entre los riesgos y las posibles consecuencias para los objetivos estratégicos de una organización.      La gestión de riesgo no solo se centra en las amenazas internas y externas, también enfatiza en la importancia de gestionar el riesgo positivos. Los riesgos positivos son oportunidades que, si no se aprovechan, pueden aumentar el valor empresarial o perjudicar a una organización. De hecho, el objetivo de cualquier programa de gestión de riesgos no es el
Leer más

Siete recursos para facilitar la Auditoría de las Tecnologías de la Información

-
Introducción     A medida que la tecnología se integra más en la estructura de la gestión y las operaciones comerciales, se vuelve más importante evaluar la utilización de la tecnología y preparar una evaluación de las amenazas y oportunidades disponibles para auditar las Tecnologías de la Información.      En términos de amenazas, un sistema inadecuado de almacenamiento de datos o documentos puede representar un riesgo para una organización. Las políticas débiles que rigen el uso de las tecnologías de información de la empresa pueden exponer o amenazar los datos e información. El uso de software no autorizado, particularmente el software no autorizado instalado por los empleados, podría resultar en multas de miles o incluso millones de dólares por infracción de derechos de autor. Y estos son sólo los peligros evidentes.      No obstante, son mayores las oportunidades y beneficios que obtienen las empresas al utilizar las tecnologías de información en sus procesos y servicios. Las tabl
Leer más