Los instrumentos o mecanismos de control de acceso resultan fundamentales para la protección de instalaciones y sistemas, y de los bienes materiales o información que contienen. En este artículo conocemos más en profundidad estos dispositivos y los diferentes tipos que existen.
En este artículo hablamos de:
¿Qué es un control de acceso?
Un sistema de control de accesos se puede entender desde una vertiente física. En este sentido, se podría definir como aquel mecanismo o dispositivo que autoriza la entrada de personas o vehículos a determinadas instalaciones.
Por ejemplo, se puede instalar un control de acceso en puertas para permitir el paso a determinada áreas de instalaciones como almacenes, oficinas o departamentos a determinados empleados de una organización.
Por otro lado, el control de acceso también se puede entender desde el punto de vista de la seguridad informática, es decir, el control de acceso como medida de ciberseguridad. En este caso, se define como aquellas herramientas o aplicaciones cuyo objetivo es gestionar quién está autorizado para acceder a determinados sistemas informáticos y a los recursos que contienen.
Objetivos de los controles de acceso
El control de acceso de personas se realiza con una serie de objetivos:
- Restringir o permitir el acceso de personas a determinadas áreas o departamentos de unas instalaciones.
- Restringir o permitir el acceso a sistemas informáticos, bases de datos y otros servicios de información.
- Proteger los bienes físicos, equipos o datos de las organizaciones ante robos o accesos de terceros sin permiso.
- Detectar accesos no autorizados y poner en marcha mecanismos para evitarlos.
- Registrar y revisar eventos críticos realizados por los usuarios en los sistemas.
- Facilitar la organización de la empresa y el control de los trabajadores.
Principios básicos
Los tres principios básicos que rigen un control de acceso y seguridad son la identificación, la autenticación y la autorización. A continuación vemos en qué consiste cada uno de ellos.
Identificación
El primer paso es la identificación del usuario o trabajador. Existen diversos métodos para identificar a una persona, como pueden ser las huellas dactilares, las tarjetas de identificación o el reconocimiento por voz, entre muchos otros.
Autenticación
El siguiente principio es la autenticación. En base a estos sistemas se detecta si la persona que está intentando el acceso se encuentra en la base de datos y si cuenta con los permisos necesarios. Es decir, consiste en la verificación de la identidad del usuario.
Autorización
Una vez que el sistema ha identificado y verificado la identidad del usuario, se procede (o no) a autorizar su acceso a las instalaciones o a los sistemas informáticos. Es habitual que la autorización esté limitada a determinados recursos o instalaciones. Por ejemplo, en un control de acceso al trabajo, la entrada en el almacén puede estar limitada a los operarios del almacén o a los transportistas.
Sistemas de control de accesos
El control de acceso en empresas se puede implantar a través de diferentes métodos. Estos mecanismos se eligen en función de las necesidades particulares de cada organización o del nivel de seguridad deseado.
Por teclado
Se basa en dispositivos que cuentan con un teclado en el que el usuario debe introducir un código numérico. Este código identifica al trabajador y desbloquea el acceso a un área determinada.
Por huella dactilar
El reconocimiento de la huella dactilar es un control de acceso biométrico que se basa en el hecho de que no existen dos huellas dactilares iguales. Es uno de los sistemas más habituales y se puede usar tanto para acceder a instalaciones como a equipos informáticos o sistemas electrónicos. Por ejemplo, es habitual que los teléfonos móviles ya incluyan la identificación o desbloqueo del terminal por huella dactilar.
Reconocimiento facial
El reconocimiento facial o el ocular son otros sistemas de identificación biométricos. Se basan en un software que analiza los rasgos de la cara de una persona y comprueba si coinciden con los de alguna entrada de su base de datos.
Tarjeta identificativa
Otro de los métodos de control de accesos y presencia es a través de las tarjetas identificativas. Normalmente estas tarjetas se insertan en terminales que identifican al usuario y almacenan diversa información, por ejemplo la hora de entrada y salida del trabajador.
Por RFID
La identificación por radiofrecuencia es un método que permite la identificación automática de productos u objetos a través de la lectura de códigos de barras o similares. Se utiliza por ejemplo en los sistemas de gestión de flotas de vehículos.
Autónomos
Los sistemas de control de acceso autónomos permiten el control de vías de acceso como puertas o barreras sin necesidad de estar conectados a un ordenador o equipo central. Generalmente no pueden almacenar registros de eventos y también cuentan con otras limitaciones, por ejemplo, que en algunos casos no disponen de opciones para limitar el acceso por grupos de puertas u horarios.
En red
En este caso, son mecanismos para control de acceso que se controlan a través de un ordenador, ya sea en local o en remoto. Permiten una gestión centralizada de todas las vías de acceso a instalaciones o equipos informáticos, y son capaces de almacenar registros de fechas, horarios, permisos, etc.
Políticas de control de acceso
A la hora de decantarse por un determinado sistema de control de accesos es necesario tener en cuenta las políticas de seguridad que se quieren implantar en la empresa. Así, se puede hablar de políticas de acceso discrecionales, obligatorias, basadas en roles o basadas en normas.
Discrecional
En estos sistemas, los derechos de acceso son determinados por el propietario del recurso. Estos recursos se asocian a una lista de control de acceso en la que se asocian los distintos usuarios a los permisos de acceso, pudiendo establecer diferentes niveles jerárquicos.
Obligatorio
En el control de acceso obligatorio o Mandatory Access Control (MAC) los permisos son establecidos por una autoridad central. Un ejemplo sería una empresa que gestiona de forma centralizada todos los accesos a los recursos físicos o informáticos de la organización.
Basado en normas
También llamada Rule Based Access Control, es una política de accesos en el que la autorización para acceder a instalaciones o equipos está determinada por un conjunto de reglas gestionadas por un sistema administrador. Estas normas se incorporan a las listas de control de acceso, de manera que cuando un usuario intenta acceder a un área o equipo, se comprueba si cumple las reglas establecidas por el sistema administrador.
Basado en roles
El control de acceso basado en roles, en inglés Role Based Access Control (RBAC), establece una serie de derechos y responsabilidades asociadas a una determinada actividad. Cada usuario tiene un rol definido por su actividad, y en base a esto se gestionan los derechos y permisos de acceso a recursos o instalaciones.
El control de acceso en ciberseguridad
El control de acceso en ciberseguridad es un elemento fundamental, puesto que permite no solo la autenticación y autorización del acceso a los recursos informáticos de la empresa (bases de datos, paneles de control, servidores, red interna, archivos, documentos, etc.), sino también la trazabilidad y auditoría de los mismos, es decir, permite saber quién y cuándo accedió a qué archivo, documento o base de datos.
Además, en función del sistema o tipo de control de acceso utilizado, se puede gestionar y controlar de manera más eficiente el acceso a los recursos de la empresa, en función del puesto de trabajo y las tareas que deba desempeñar el empleado, de esa manera se limita el acceso a datos e información confidencial solo a quien deba trabajar con ella.
En ese sentido el control de acceso se convierte en una medida de seguridad tanto técnica como organizativa y es crucial también para la protección de datos de una entidad.
¿Cómo se hace un control de acceso?
Como ya hemos mencionado, el control de acceso se puede realizar a través de diferentes métodos: reconocimientos de huella dactilar, tarjetas identificativas, por radiofrecuencia, etc. Sin embargo, todos estos métodos tienen en común que para permitir o restringir el acceso se debe pasar por las fases de identificación, autenticación y autorización.
A estos tres principios se pueden añadir también el de trazabilidad, entendida como el seguimiento o rastreo de productos, personas o datos almacenados en el sistema.
En definitiva, los mecanismos de control de acceso son fundamentales para la protección de datos en empresas, y son instrumentos imprescindibles para garantizar la seguridad e integridad de instalaciones y equipos.