No­r­ma­l­me­n­te las empresas y or­ga­ni­za­cio­nes solo asignan au­to­ri­za­cio­nes de acceso a sus sistemas in­fo­r­má­ti­cos a los usuarios que realmente las necesitan para de­sem­pe­ñar sus funciones. De este modo, los datos co­n­fi­de­n­cia­les quedan pro­te­gi­dos de accesos no au­to­ri­za­dos y de cambios no deseados. Para ga­ra­n­ti­zar la seguridad en las grandes or­ga­ni­za­cio­nes, las au­to­ri­za­cio­nes de acceso in­di­vi­dua­les se definen en la de­no­mi­na­da access control list (ACL) o lista de control de acceso. Su in­co­n­ve­nie­n­te es que, cuanto mayor es el número de usuarios, más trabajo de ma­n­te­ni­mie­n­to conlleva y más errores se pueden producir al asignar las au­to­ri­za­cio­nes in­di­vi­dua­les. Una al­te­r­na­ti­va flexible y, al mismo tiempo, eficiente es el control de acceso basado en roles o role based access control, abreviado como RBAC.

¿Qué es el role based access control?

El role based access control, cuyas siglas son RBAC, se traduce como “control de acceso basado en roles”. Este modelo de seguridad permite asignar funciones y au­to­ri­za­cio­nes en la in­frae­s­tru­c­tu­ra in­fo­r­má­ti­ca de una or­ga­ni­za­ción. El término “basado en roles” es clave para entender cómo funciona el RBAC, ya que lo distingue de otros conceptos de seguridad, como el mandatory access control. En este modelo, el ad­mi­ni­s­tra­dor del sistema asigna un nivel y una categoría de seguridad a cada usuario y objeto en de­pe­n­de­n­cia del rol que cumple. El sistema operativo enlaza au­to­má­ti­ca­me­n­te los dos niveles y luego concede o deniega el acceso.

Con el RBAC, los derechos de acceso se asignan de acuerdo con un modelo de rol definido. Los roles de usuario definidos abstraen los procesos de trabajo de una or­ga­ni­za­cio­nes y, por lo tanto, varían de una empresa a otra. Como puntos de re­fe­re­n­cia para la cla­si­fi­ca­ción, las empresas pueden referirse a los de­pa­r­ta­me­n­tos, ubi­ca­cio­nes, centros de costes o funciones de los empleados.

Fu­n­cio­na­mie­n­to del control de acceso basado en roles

Antes de que se pueda aplicar el concepto de au­to­ri­za­ción del RBAC en una empresa, los derechos de los roles se deben es­pe­ci­fi­car de la manera más detallada posible. Esto incluye la es­pe­ci­fi­ca­ción precisa de las au­to­ri­za­cio­nes en las si­guie­n­tes áreas:

  • Cambiar los derechos de los datos (read, read and write, full access)
  • Derechos de acceso a las apli­ca­cio­nes em­pre­sa­ria­les
  • Au­to­ri­za­cio­nes dentro de las so­li­ci­tu­des

Para apro­ve­char ple­na­me­n­te las ventajas del modelo RBAC, se deben crear siempre primero los roles y au­to­ri­za­cio­nes. De este modo, la or­ga­ni­za­ción tra­n­s­fie­re todas las funciones de los empleados a roles que de­te­r­mi­nan sus co­rre­s­po­n­die­n­tes derechos de acceso. En el segundo paso, los roles se asignan a los empleados según sus tareas. Con el role based access control, se pueden asignar uno o más roles por usuario. Así, se pueden también asignar au­to­ri­za­cio­nes de acceso dentro del modelo de rol de forma in­di­vi­dual. El objetivo de esta asi­g­na­ción es asegurar que los accesos permitan a los usuarios llevar a cabo todas sus ac­ti­vi­da­des sin necesidad de realizar más ajustes.

La apli­ca­ción y la su­pe­r­vi­sión del RBAC tienen lugar a través de un sistema de gestión de acceso a la identidad (identity access ma­na­ge­me­nt system o IAM). Para las empresas con un gran número de empleados, este sistema es pa­r­ti­cu­la­r­me­n­te útil en las áreas de registro, control y ac­tua­li­za­ción de todas las ide­n­ti­da­des y derechos de acceso. La asi­g­na­ción de au­to­ri­za­cio­nes se denomina pro­vi­sio­ni­ng, mientras que la retirada se denomina de-pro­vi­sio­ni­ng. Para utilizar este sistema, se debe crear un concepto de rol uniforme y no­r­ma­li­za­do.

Consejo

Existen portales de au­to­se­r­vi­cio que dan a los usuarios la po­si­bi­li­dad de cambiar sus au­to­ri­za­cio­nes por sí mismos. En este caso, el sistema informa au­to­má­ti­ca­me­n­te a los ad­mi­ni­s­tra­do­res, que tienen la po­si­bi­li­dad de deshacer los cambios in­me­dia­ta­me­n­te.

¿Cómo se crea un RBAC?

El control de acceso basado en roles se basa en una es­tru­c­tu­ra de tres niveles compuesta por usuarios, roles y grupos. En el llamado role mining, las or­ga­ni­za­cio­nes definen los roles, que en general están orie­n­ta­dos a la es­tru­c­tu­ra or­ga­ni­za­ti­va de la empresa. A cada empleado se le asignan uno o más roles, que a su vez co­m­pre­n­den una o más au­to­ri­za­cio­nes de acceso. También uno o más grupos que no ne­ce­sa­ria­me­n­te coincidan de manera exacta pueden vi­n­cu­lar­se a un rol.

En la mayoría de los casos, para crear el concepto de rol, se emplea la siguiente es­tra­te­gia piramidal:

La cima: au­to­ri­za­cio­nes para todos los empleados

En la cima, se definen las au­to­ri­za­cio­nes que cada empleado de la or­ga­ni­za­ción necesita. Estas suelen incluir el acceso a la intranet, el paquete de Office, el cliente de correo ele­c­tró­ni­co, el di­re­c­to­rio co­m­pa­r­ti­do de la red o el inicio de sesión a través del Di­re­c­to­rio Activo.

El segundo nivel: pe­r­te­ne­n­cia a de­pa­r­ta­me­n­tos

En una empresa, los empleados de un de­pa­r­ta­me­n­to realizan ac­ti­vi­da­des en un ámbito similar. Por ejemplo, el de­pa­r­ta­me­n­to de Finanzas necesita acceder al sistema ERP y al disco duro del de­pa­r­ta­me­n­to, mientras que el de­pa­r­ta­me­n­to de Recursos Humanos necesita acceder a todos los datos de los empleados. Las au­to­ri­za­cio­nes co­rre­s­po­n­die­n­tes se asignan a todos los empleados de cada de­pa­r­ta­me­n­to.

El tercer nivel: funciones

Otras au­to­ri­za­cio­nes se definen según la función de los empleados y las tareas im­pli­ca­das.

Consejo

Los jefes de de­pa­r­ta­me­n­to son los que mejor conocen las tareas de sus propios empleados. Por esto, se re­co­mie­n­da que pa­r­ti­ci­pen en la de­fi­ni­ción de las funciones. A través de un sistema IAM, los jefes de de­pa­r­ta­me­n­to pueden consultar y confirmar au­to­má­ti­ca­me­n­te las apro­ba­cio­nes.

El fu­n­da­me­n­to: roles

En muchos casos, los empleados realizan ac­ti­vi­da­des que no se han cubierto en la asi­g­na­ción del de­pa­r­ta­me­n­to y las funciones. Por esto, fi­na­l­me­n­te la or­ga­ni­za­ción asigna a cada empleado los roles adi­cio­na­les que necesite de acuerdo con sus tareas reales.

Fuentes de datos para el RBAC

Para definir y asignar los roles, una or­ga­ni­za­ción necesita datos completos y ac­tua­li­za­dos sobre los empleados. Sobre todo en las empresas de mayor tamaño, estos datos se registran en detalle en el sistema de recursos humanos. Al crear un concepto de rol y au­to­ri­za­ción, se re­co­mie­n­da tener en cuenta también funciones que no se estén de­sem­pe­ña­n­do en la ac­tua­li­dad. A menudo, estas están a cargo de los becarios de un de­pa­r­ta­me­n­to o son puestos que no han sido ocupados en mucho tiempo.

Ventajas e in­co­n­ve­nie­n­tes del RBAC

En algunas co­n­di­cio­nes, el role based access control se ha es­ta­ble­ci­do como un modelo de mejores prácticas. Si el concepto de rol y au­to­ri­za­ción se define y se aplica de forma coherente en toda la empresa, el RBAC ofrece numerosas ventajas:

  • Fle­xi­bi­li­dad: la empresa asigna solo uno o más roles a un empleado, de­pe­n­die­n­do de los re­qui­si­tos. Los cambios en la es­tru­c­tu­ra or­ga­ni­za­ti­va o las au­to­ri­za­cio­nes se tra­n­s­fie­ren rá­pi­da­me­n­te a todos los empleados, y su rol co­rre­s­po­n­die­n­te cambia au­to­má­ti­ca­me­n­te.
  • Menor esfuerzo ad­mi­ni­s­tra­ti­vo: el RBAC vuelve obsoleta la compleja tarea de asignar au­to­ri­za­cio­nes in­di­vi­dua­les.
  • Baja su­s­ce­p­ti­bi­li­dad a errores: las au­to­ri­za­cio­nes in­di­vi­dua­les son más complejas y también más propensas a los errores que la asi­g­na­ción de au­to­ri­za­cio­nes de acceso basadas en roles.
  • Aumento de la efi­cie­n­cia: al reducir el esfuerzo y la aparición de errores, aumenta la efi­cie­n­cia del de­pa­r­ta­me­n­to in­fo­r­má­ti­co y de los otros empleados. Se eliminan los cambios manuales, la gestión de errores, los tiempos de espera y la apli­ca­ción in­di­vi­dual de los derechos.
  • Seguridad: los derechos de acceso se definen ex­clu­si­va­me­n­te a través del concepto de rol, para así evitar que los empleados tengan de­ma­sia­das au­to­ri­za­cio­nes. Esto co­rre­s­po­n­de al principio del menor pri­vi­le­gio (PoLP, por sus siglas en inglés).
  • Tra­n­s­pa­re­n­cia: los nombres de los roles suelen ser fáciles de entender, lo que aumenta la tra­n­s­pa­re­n­cia y la co­m­pre­n­si­bi­li­dad para los usuarios.

Los in­co­n­ve­nie­n­tes del control de acceso basado en roles incluyen los si­guie­n­tes:

  • La creación es laboriosa: tra­n­s­fe­rir las es­tru­c­tu­ras or­ga­ni­za­ti­vas al modelo RBAC implica un gran esfuerzo.
  • Asi­g­na­cio­nes te­m­po­ra­les: si un usuario necesita derechos de acceso ampliados solo te­m­po­ra­l­me­n­te, es más fácil olvidar la asi­g­na­ción con el RBAC que si los derechos se asignan de manera in­di­vi­dual.
  • Apli­ca­ción: en las pequeñas empresas, la creación y el ma­n­te­ni­mie­n­to de los roles sería más costosa que la asi­g­na­ción de derechos in­di­vi­dua­les. Por esto, el modelo RBAC solo es útil a partir de un cierto número de funciones y empleados. No obstante, incluso en las grandes empresas, el control de acceso basado en roles tiene la de­s­ve­n­ta­ja de que es muy fácil crear un enorme número de roles. Si una empresa tiene diez de­pa­r­ta­me­n­tos y diez funciones, esto ya resulta en 100 grupos di­fe­re­n­tes.

¿Cuándo se usa el RBAC?

En muchas or­ga­ni­za­cio­nes, el role based access control se ha es­ta­ble­ci­do como el mejor método para gestionar los derechos de acceso. Sin embargo, el modelo RBAC también se utiliza en sistemas ope­ra­ti­vos y otros tipos de software, por ejemplo, en el servicio de di­re­c­to­rio del Di­re­c­to­rio Activo de Microsoft Windows Server, el sistema operativo Linux op­ti­mi­za­do para seguridad SELinux o el sistema operativo Unix Solaris.

Ir al menú principal