El cumplimiento normativo tiene que ver con el cumplimiento de una organización de las leyes, normativas, estándares, directrices y especificaciones que establecen los gobiernos, las agencias, los grupos comerciales, así como otros organismos. Por lo general, las normativas que impulsan el cumplimiento normativo se implementan para proteger algo o a alguien (p. ej., los empleados, los usuarios, el público o el medioambiente). El cumplimiento normativo tiene como objetivo asegurar que todas las organizaciones se mantengan dentro de los límites de las prácticas aceptables para garantizar la seguridad de cualquier persona o entidad con la que interactúen.

El cumplimiento normativo es pertinente para muchas organizaciones y sectores a nivel mundial. Casi todas las organizaciones deben cumplir algún tipo de normativa. La privacidad de los datos es una de las normas de cumplimiento más extendida en todos los sectores y en la mayoría de los países.

Cumplimiento normativo en Estados Unidos

En Estados Unidos, se implementan numerosas leyes y normativas para proteger a los empleados, al público y a las otras partes interesadas contra la negligencia y el fraude. Por ejemplo, existen leyes y estándares industriales que exigen el cumplimiento normativo. A continuación, presentamos algunas agencias, grupos y mandatos importantes que promueven el cumplimiento normativo.

Agencias gubernamentales como:

• Civil Rights Center del Federal Department of Labor
• Employee Benefits Security Administration (EBSA)
• Employment and Training Administration del Federal Department of Labor
• Environmental Protection Agency (EPA)
• Comisión para la Igualdad de Oportunidades en el Empleo (EEOC)
• Federal Financial Institutions Examination Council (FFIEC)
• Comisión Federal de Comercio (FTC)
• Administración de Alimentos y Medicamentos (FDA)
• Occupational Safety and Health Administration (OSHA)
• Agencia Federal de Pequeños Negocios (SBA)
• U.S. Office of Foreign Assets Control (OFAC)
• U.S. Securities and Exchange Commission (SEC)
• United States Sentencing Commission

Entre las entidades no gubernamentales que respaldan y hacen cumplir las normativas se encuentran:

• American Society of Mechanical Engineers (ASME)
• Financial Industry Regulatory Authority (FINRA)
• Payment Card Industry Standards Security Council (PCI SSC)
• Public Company Accounting Oversight Board (PCAOB)

Entre los estándares que dirigen el cumplimiento normativo en Estados Unidos se encuentran:

• El marco de Control Objectives for Information Technologies (COBIT)
• Organización Internacional de Normalización (ISO)
• Estándares del National Institute of Standards and Technology (NIST)
• U.S. Department of Defense (DoD)
• Cybersecurity Maturity Model Certification (CMMC) International

Decenas de miles de leyes y normativas establecen requisitos de cumplimiento normativo para las organizaciones.

A continuación, se presentan ejemplos de mandatos en varios sectores clave:

Ejemplos de cumplimiento normativo relacionado con los derechos civiles

• Age Discrimination Act
• Americans with Disabilities Act
• Civil Rights Act
• Congressional Accountability Act
• Equal Credit Opportunity
• Equal Educational Opportunities Act
• Fair Housing Act
• Genetic Information Nondiscrimination Act
• Rehabilitation Act
• Title IX
• Uniformed Services Employment and Reemployment Rights Act
• Voting Rights Act

Ejemplos de cumplimiento normativo relacionado con el empleo y el lugar de trabajo

• Equal Pay Act
• Fair Labor Standards Act (FLSA)
• Family and Medical Leave Act (FMLA)
• Federal Workers’ Compensation Act
• Uniformed Services Employment and Reemployment Rights Act (USERRA)
• Worker Adjustment and Retraining Notification Act (WARN)
• Workers’ Compensation Laws

Ejemplos de cumplimiento normativo relacionado con el medioambiente

• Atomic Energy Act (AEA) 
• Beaches Environmental Assessment and Coastal Health (BEACH) Act
• Chemical Safety Information, Site Security and Fuels Regulatory Relief Act
• Clean Air Act (CAA)
• Clean Water Act

• Toxic Substances Control Act

Ejemplos de cumplimiento normativo relacionado con las finanzas

• Dodd-Frank Act 
• Payment Card Industry Data Security Standard (PCI DSS)
• Sarbanes-Oxley Act (SOX)
• Gramm–Leach–Bliley Act (GLBA)
• Fair Credit Reporting Act
• Sherman Act
• Securities Exchange Act
• Securities Act de 1933
• Bank Secrecy Act (BSA)

Ejemplos de cumplimiento normativo relacionado con la atención médica

• Anti-Kickback Statute (AKBS)
• Emergency Medical Treatment and Labor Act (EMTALA)
• Health Information Technology for Economic and Clinical Health (HITECH) Act
• Health Insurance Portability and Accountability Act (HIPAA)
• Occupational Safety and Health Act
• Patient Safety and Quality Improvement Act (PSQIA)

Ejemplos de cumplimiento normativo relacionado con la seguridad de los datos y la privacidad

• California Consumer Privacy Act de 2018 (CCPA) 
• Colorado Privacy Act
• Connecticut Personal Data Privacy and Online Monitoring Act
• Federal Information Security Management Act (FISMA) 
• Maryland Online Consumer Protection Act
• Massachusetts Data Privacy Law
• New York Privacy Act
• Utah Consumer Privacy Act
• Virginia Consumer Data Protection Act

Cumplimiento normativo en la UE y en otras regiones

Las normativas varían según el país y la región, pero la mayoría ha promulgado leyes similares a las de Estados Unidos. Las organizaciones que se relacionan con ciudadanos de otros países deben cumplir los requisitos de dichas regiones.

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) es un ejemplo particularmente riguroso. El RGPD es pertinente para cualquier organización que recopile datos de ciudadanos de la UE, independientemente del lugar donde se encuentre la organización. También se aplica para los datos de ciudadanos no europeos que residan en un país de la UE.

Por qué es importante el cumplimiento normativo

Los requisitos de conformidad continúan aumentando, ya que diversos gobiernos y grupos perfeccionan las normas existentes e incorporan nuevas para abordar amenazas crecientes, muchas de las cuales son producto de los avances tecnológicos. Los procesos y las estrategias que se derivan del cumplimiento normativo garantizan que una organización funcione de conformidad con todas las leyes y normativas pertinentes.

Un subproducto del cumplimiento normativo es ayudar a las organizaciones a mejorar sus operaciones. Los informes de auditoría que se relacionan con los requisitos de conformidad demuestran el compromiso de una organización para respetar las normas y garantizar el bienestar de aquellos con quienes hace negocios.

El cumplimiento normativo fortalece la reputación de las organizaciones, ya que aumenta la confianza.

Además, los requisitos de conformidad promueven la seguridad y reducen los riesgos en muchos sectores. Las normas creadas con el fin de abordar los riesgos específicos del sector para las personas y el medioambiente han marcado una diferencia material. Los empleados, los usuarios y el medioambiente se benefician de protecciones que reducen las posibilidades de accidentes, lesiones e incidentes fatales en el trabajo y que protegen al público contra productos y prácticas perjudiciales o fraudulentas.

En algunos casos, la importancia del cumplimiento normativo es muy simple: permite el funcionamiento de una organización, puesto que se deben implementar algunos requisitos para que las operaciones se lleven a cabo de forma legal. En caso de que una organización no cumpla los requisitos de cumplimiento normativo, puede ser multada o, incluso, cerrada.

Beneficios del cumplimiento normativo

Las organizaciones obtienen muchos beneficios cuando logran y demuestran el cumplimiento normativo. A continuación, se enumeran algunas de las ventajas más citadas a corto plazo y a largo plazo.

Evitar problemas legales costosos e innecesarios 
La implementación y el mantenimiento de programas de cumplimiento normativo ayudan a las organizaciones a evitar problemas legales largos y costosos que resultan del incumplimiento normativo. Esto se debe al hecho de que las políticas de cumplimiento normativo establecen marcos que satisfacen todas las obligaciones necesarias.

Mejora de la eficiencia operativa, aumento de la productividad y disminución de los costos 
La eficiencia operativa es un subproducto bien documentado del cumplimiento normativo. Se deben implementar sistemas y procesos claros y sólidos con el fin de lograr el cumplimiento normativo. Además de respaldar los requisitos de conformidad, dan lugar a procedimientos y procesos optimizados que mejoran las operaciones, aumentan la productividad y disminuyen los costos.

Mayor resiliencia y continuidad comercial 
Las organizaciones conformes cuentan con una mayor resiliencia frente a normativas cambiantes, puesto que ya implementaron sistemas para satisfacer las exigencias normativas. Esto ayuda a las organizaciones a planificar mejor los cambios futuros, lo que facilita una mayor continuidad comercial.

Mayor retención y productividad de los empleados  
Gracias al respaldo de la priorización de la seguridad e igualdad en el trabajo, el cumplimiento normativo tiene como efecto residual el aumento de la satisfacción de los empleados, lo que genera una mejorar de la productividad y disminuye la tasa de rotación de personal.

Mejora la salud del mercado 
Uno de los beneficios del cumplimiento normativo menos considerado es la eliminación de monopolios que pueden perjudicar la competencia y crear mercados poco saludables. A menudo, las normativas promueven prácticas justas que ofrecen a todas las organizaciones la oportunidad de alcanzar el éxito y fomentar la innovación.

Mejora de la igualdad y seguridad en el trabajo 
El cumplimiento normativo requiere la implementación de normas que tratan de eliminar la discriminación y el acoso en el trabajo. Además, el cumplimiento normativo requiere la ejecución de protocolos y estándares de seguridad estrictos que prevengan accidentes y daños a las personas y la infraestructura. De esta manera, el cumplimiento normativo puede promover un ambiente laboral que mejore la productividad, la eficiencia y la satisfacción en general.

Reputación positiva
Cuando las organizaciones cumplen sus obligaciones de cumplimiento normativo, el sector, los empleados, los clientes y el público en general confían más en ellas, ya que el hecho de demostrar que respetan las normativas exhibe su compromiso con estándares profesionales y éticos elevados. Las organizaciones que mantienen el cumplimiento normativo disfrutan a menudo de un mayor valor de marca y de la confianza de las partes interesadas.

Consecuencias del incumplimiento normativo

El incumplimiento de las obligaciones normativas puede causar que las organizaciones reciban sanciones por incumplimiento, como multas y amonestaciones. Las sanciones específicas varían en función de la normativa, pero a continuación se exponen varias categorías generales que ofrecen una visión general de lo que puede ocurrir en caso de incumplimiento.

Sanciones financieras 
El incumplimiento de las obligaciones normativas puede conllevar multas exorbitantes. Por ejemplo, en Estados Unidos, los requisitos de la HIPAA relacionados con una filtración de datos basan las multas en la gravedad del incidente. En la Unión Europea (UE), el RGPD tiene dos niveles de sanciones y cada uno cuenta con obligaciones financieras importantes para las organizaciones no conformes.

Impacto en las operaciones de las organizaciones 
El incumplimiento normativo puede provocar la disminución de la productividad a medida que las organizaciones lidien con multas y otras clases de sanciones. En casos extremos, las organizaciones pueden perder contratos, licencias o autorizaciones debido al incumplimiento normativo.

Por ejemplo, la normativa del sector PCI DSS (Payment Card Industry Data Security Standard) puede desautorizar el uso de las redes de pago de las tarjetas de crédito de los miembros. Un ejemplo gubernamental podrían ser el FedRAMP (Federal Risk and Authorization Management Program) y la CMMC (Cybersecurity Maturity Model Certification), las cuales pueden hacer que las organizaciones pierdan certificaciones debido al incumplimiento normativo, lo que les imposibilitaría operar.

Responsabilidad legal 
En casos donde el incumplimiento de los requisitos de conformidad causen daño a individuos y o a una organización, podría haber consecuencias jurídicas. La HIPAA y el RGPD ejemplifican la gravedad de las responsabilidades legales.

La HIPAA tiene diversos niveles de sanciones, incluida la pena de cárcel por fraude o infracciones graves. Las violaciones del RGPD también pueden exponer a los directivos a penas de cárcel. Huelga decir que los gastos legales de defensa son exorbitantes.

Daño a la reputación  
Aunque las multas son dolorosas, el daño a las marcas y a la reputación debido al incumplimiento normativo es aún más problemático.

Cuando el incumplimiento de los requisitos de conformidad provocan un incidente, en especial cuando se infringe una ley, la opinión pública puede ser implacable.

Las organizaciones corren el riesgo de perder su cuota de mercado e ingresos cuando pierden la confianza del público debido a un problema relacionado con el incumplimiento normativo.

Políticas de cumplimiento normativo

Una política de cumplimiento normativo establece un marco para satisfacer obligaciones relacionadas. Además, especifica los sistemas, procesos y procedimientos para implementar, mantener e informar relacionados con todos los controles de cumplimiento normativo.

Una política de cumplimiento normativo debe incluir:

• Principios rectores que dirijan todas las decisiones y medidas relacionadas con el cumplimiento normativo
• Sistemas, funciones y procedimientos específicos y necesarios que garanticen el cumplimiento normativo
• Información sobre qué autoridades realizarán las auditorías
• Definición de roles y funciones para supervisar y revisar el estado
• Protocolos de comunicación y de documentación relacionados con el cumplimiento normativo
• Resumen de los requisitos de conformidad pertinentes

Aunque los detalles específicos varían según la organización, a continuación, se presentan las preguntas que se deben considerar cuando se formule una política de cumplimiento normativo:

• ¿Cómo se utilizará la política para disminuir el riesgo, promover la comunicación y educar a las partes interesadas?
• ¿Para quién es pertinente la política y en calidad de qué?
• ¿Existen excepciones o limitaciones con respecto a la utilización de la política?
• ¿Qué impacto tienen el cumplimiento normativo en la organización?
• ¿Cómo se equilibrarán los deberes de cumplimiento normativo entre los diferentes equipos de la organización (p. ej., equipo legal, equipo de auditoría y equipo de finanzas)?
• ¿Cómo la política puede fomentar el cumplimiento normativo en todos los diferentes equipos y ubicaciones?
• ¿Qué sistemas supervisarán, gestionarán y elaborarán informes relacionados con el cumplimiento normativo?
• ¿Cómo la política puede ayudar a medir el valor del cumplimiento normativo, incluidas las evaluaciones de rendimiento de los empleados?

Es importante que las organizaciones implementen políticas de cumplimiento normativo, ya que posibilitan una comunicación clara con los empleados, socios y reguladores sobre cómo se logra dicho cumplimiento.

En muchos casos, cualquier persona sujeta a los requisitos de cumplimiento normativo debe reconocer que leyó y comprendió las políticas.

Funciones dentro del cumplimiento normativo

Crear funciones dedicadas al cumplimiento normativo ayuda a las organizaciones a navegar y cumplir mandatos y leyes estrictos y complejos. Dado que los responsables del cumplimiento son injustamente propensos a ser menospreciados por otros miembros de la organización, es importante que la dirección eduque a los miembros del equipo sobre el papel fundamental que desempeñan. Posicionar al personal de cumplimiento normativo como compañeros ayuda a los demás a verlos de forma más positiva.

Con el aumento de la cantidad de normativas, muchas organizaciones han creado puestos centrados en garantizar el cumplimiento de las normas, como especialistas, analistas y responsables de cumplimiento.

Las funciones de la gestión de cumplimiento normativo abarcan diversas áreas, entre las cuales se encuentran: 

Asesoría 
Las funciones de cumplimiento normativo ayudan a las organizaciones a cumplir las normas y normativas mediante la supervisión y el asesoramiento relacionado con las modificaciones necesarias de los sistemas o procesos. Además, cuando surgen problemas, los asesores aportan conocimientos y experiencia para garantizar una solución rápida y eficaz. Los miembros del equipo de cumplimiento normativo también ofrecen asesoría en relación con la preparación y presentación de documentación para auditorías.

Clasificación de datos
Una función importante del personal encargado del cumplimiento normativo es apoyar la regulación de datos, en concreto, la clasificación. Clasificar con precisión los datos almacenados permite cumplir más fácilmente los requisitos de conformidad y realizar auditorías con mayor rapidez y sin problemas.

Supervisión 
Los equipos de cumplimiento normativo ayudan a las organizaciones a estar al día con las nuevas y cambiantes normas. Con la continua publicación de nuevas normativas, es importante contar con un equipo centrado en cómo afectan a la organización y en tomar medidas para garantizar que se realicen los cambios o actualizaciones necesarios.

Prevención 
Evitar pasos en falso en materia de cumplimiento normativo no solo previene sanciones, sino también interrupciones en las operaciones. Los equipos de cumplimiento normativo crean y aplican programas que evitan a las organizaciones los problemas causados por el incumplimiento de las numerosas normas y que reducen el riesgo global.

Solución 
En el desafortunado caso de que se produzca una infracción de los controles de cumplimiento normativo, es necesaria una respuesta rápida. Abordar los problemas a tiempo minimiza los daños y puede mitigar las perturbaciones, los perjuicios y las sanciones.

Responsabilidad
Contar con miembros del equipo centrados en el cumplimiento normativo hace que la responsabilidad recaiga en una persona o equipo. Ser responsable del cumplimiento les permite a los equipos o a las personas dedicar el tiempo necesario para desarrollar un conocimiento profundo de las normas y de cómo afectan a la empresa. Esto incluye ayudar a otros departamentos a hacer su parte para garantizar el cumplimiento normativo y mantenerlos al día de las revisiones de las normas existentes o de las nuevas.

Mejores prácticas del cumplimiento normativo

Para satisfacer los requisitos de cumplimiento normativo, las organizaciones deben comprender qué leyes y reglamentos son pertinentes. Dado que muchas normativas tienen un alcance extendido, especialmente las que se originan fuera de Estados Unidos (por ejemplo, el RGPD), se requiere un conocimiento profundo de las responsabilidades de la organización.

Entre las mejores prácticas que se deben tener en cuenta a la hora de evaluar cómo cumplir los requisitos de conformidad se incluyen las siguientes:

Asignar funciones a individuos en departamentos relevantes para que respalden el mantenimiento, la elaboración de informes y las auditorías en términos de cumplimiento normativo.

Establecer requisitos relacionados con el cumplimiento normativo en todos los mandatos pertinentes y desarrollar planes para garantizar su cumplimiento.

Desarrollar y mantener un código de conducta para fomentar una cultura de cumplimiento normativo en toda la organización.

Documentar los procesos de cumplimiento normativo, con instrucciones explícitas para el mantenimiento del cumplimiento normativo con el fin de garantizar que se respeten todas las normas y que la organización esté preparada para las auditorías.

Identificar normativas pertinentes para determinar qué normas atañen a la organización en función de su huella geográfica, sector y operaciones.

Supervisar los cambios en los requisitos de cumplimiento normativo continuamente para conocer las actualizaciones que puedan aplicarse a la organización.

Programar formaciones periódicas para mantener al día al personal y a otras personas sobre los requisitos y la mejor manera de mantener el cumplimiento normativo.

El cumplimiento normativo busca el bien común

Aunque el cumplimiento normativo se considere a menudo como una carga, respalda el bien común tanto de la empresa como de la sociedad. Como los requisitos continúan aumentando a nivel mundial, se está realizando un esfuerzo para alinearlas con el fin de crear cierto grado de normalización.

En el caso de los individuos, el resultado de estos requisitos de conformidad los favorece, ya que el mínimo común denominador impulsa a las organizaciones a utilizar los estándares más estrictos como base. Esto ofrece beneficios que van desde productos más seguros y mejores controles medioambientales hasta la mejora de la privacidad de los datos y la protección contra el fraude.

En el caso de las organizaciones, el cumplimiento normativo proporciona un conjunto coherente de normas que son pertinentes para todos, lo que genera igualdad de condiciones en términos de normas.

Quizás también le interese:

Artículo

Principio de privilegios mínimos

Articulo

Guía de cumplimiento de la SOX: ¿Qué es el cumplimiento de la SOX?

eBook

La gestión de identidades será la clave para el cumplimiento de NIS2

The post ¿Qué es el cumplimiento normativo? appeared first on SailPoint.

Una filtración de datos es un incidente de ciberseguridad que tiene como resultado la exposición, exfiltración o daño de datos protegidos, privados, confidenciales o sensibles a un individuo no autorizado. A menudo, el término “filtración de datos” se utiliza de manera incorrecta como sinónimo de “ciberataque”.­­

La diferencia más destacada entre una filtración de datos y un ciberataque es que una filtración de datos se trata de un tipo de incidente de seguridad específico que conlleva la exposición de información confidencial. Es importante destacar que una filtración de datos, generalmente referida a la información digital, abarca datos en soportes físicos, como documentos en papel, memorias USB, computadoras portátiles, dispositivos móviles y discos duros externos. Por su parte, un ciberataque puede dar lugar a una filtración de datos, pero también incluye otras actividades maliciosas, como los ataques de denegación de servicio distribuido (DDoS).

Las organizaciones de todo tipo y tamaño corren el riesgo de sufrir una filtración de datos: de pequeñas empresas a grandes corporaciones, hospitales, escuelas, gobiernos e individuos. Por lo general, la información que es objeto de una filtración de datos incluye:

• Información financiera (p. ej., información de cuentas bancarias, números de tarjetas de crédito, etc.)
• Información médica personal (PHI) (p., ej., historias clínicas, resultados de análisis de laboratorio, etc.)
• Información de identificación personal (PII) (p. ej., números de seguridad social, números de permiso de conducir, etc.)­
• Secretos comerciales (p. ej., código fuente, fórmulas, etc.)
• Otra información confidencial (p. ej., información de clientes, documentos legales, etc.)

Con una filtración de datos, se puede copiar o transmitir cualquier información sin dañar la fuente y también se puede perder el acceso a los datos debido al robo o al ransomware. En algunos casos, simplemente se destruyen los datos por venganza o en un intento de ocasionar una perturbación catastrófica.

El costo de una filtración de datos

Una filtración de datos puede generar costos blandos y duros. Es decir, una filtración de datos puede tener costos monetarios o más efímeros, como daño a la reputación o pérdida de oportunidades.

En la mayoría de los casos, ocurren ambos tipos de daños. Por ejemplo, los ataques de ransomware, que son filtraciones de datos comunes, pueden provocar que una organización pague rescates costosos para recuperar el acceso a sus datos y pueden afectar la reputación de la marca cuando el público se entera de la filtración de datos.

Existen muchos otros costos relacionados con la filtración de datos, por ejemplo:

• Interrupción de las operaciones, lo que tiene un impacto en la producción y en las cadenas de suministro
• Identificación, contención, evaluación y solución de la filtración junto con los requisitos de auditoría, notificaciones y modificaciones de los procesos y tecnologías para prevenir incidentes futuros
• Pérdida de clientes debido a inquietudes sobre la capacidad de la organización para proteger la información confidencial

Entre los gastos comerciales adicionales de una filtración de datos se pueden encontrar:

• Honorarios de abogados
• Multas por incumplimiento
• Notificaciones a los clientes
• Caída del precio de las acciones en el caso de sociedades cotizadas
• Aumento de la prima del seguro
• Pérdida de propiedad intelectual
• Costos de relaciones públicas

En últimas instancias, los costos de una filtración de datos dependen del tamaño y del tipo de organización, así como de la causa de la filtración.

Por qué ocurren las filtraciones de datos

Entre los motivos de las filtración de datos se encuentran:

• Financieros: robar dinero o activos valiosos para venderlos
• Geopolíticos: perjudicar o perturbar a un político o gobierno en particular
• Personales: venganza como respuesta a una acción negativa real o percibida
• Renombre: demostrar proezas técnicas (p. ej., piratear un sistema de alto perfil)

En el caso de los cibercriminales, los beneficios financieros son el motivo principal. Por ejemplo, a menudo, venden o intercambian información confidencial, robada con una filtración de datos, en la web oscura. Esta información también se puede utilizar para:

• Solicitar beneficios del gobierno
• Presentar una declaración de impuestos falsa para obtener reembolsos
• Generar documentos falsos (p. ej. permisos de conducir, pasaportes, etc.)
• Solicitar y utilizar tarjetas de crédito nuevas
• Retirar dinero de cuentas bancarias o cuentas de inversión

Cómo ocurren las filtraciones de datos

Una filtración de datos puede ocurrir de diferentes maneras. A continuación, se describen algunos ejemplos de los vectores que se suelen utilizar.

Los ataques de filtración de datos dirigidos se centran en organizaciones o individuos determinados con el fin de obtener información confidencial. Entre sus tácticas se encuentran:

• Fuga o exposición imprevista de datos
• Clonación de tarjetas e intrusión de puntos de venta
• Ataques de denegación de servicio distribuido (DDoS)
• Error humano
• Dispositivos robados o perdidos
• Personas maliciosas con información privilegiada
• Malware
• Adivinación de contraseñas
• Phishing
• Violación de seguridad física
• Ransomware
• Grabación de pulsación de teclas
• Ingeniería social
• Spear phishing
• Inyección de SQL (lenguaje de consulta estructurada)
• Credenciales robadas o comprometidas­
• Explotación de vulnerabilidades

Independientemente del vector, los ciberdelincuentes por lo general siguen un patrón de ataque similar para ejecutar una filtración de datos con éxito. Los pasos clave de un plan de filtración de datos abarcan:

1. Observar objetivos potenciales. Los ciberdelincuentes inician su proceso de ataque buscando objetivos y luego identificando vulnerabilidades técnicas, como sistemas de seguridad débiles, puertos abiertos o protocolos accesibles. En otros casos, planifican campañas de ingeniería social dirigidas a grandes grupos (es decir, phishing) o individuos (es decir, spear phishing) que cuentan con acceso privilegiado a los sistemas.
2. Ejecutar una violación de seguridad. El atacante finaliza con éxito una violación de seguridad y accede a los sistemas y redes.
3. Obtener el acceso. Si el sistema atacado no otorga el acceso deseado, los cibercriminales se mueven lateralmente a través de las redes y la escala de privilegios para acceder a, y comprometer, otros sistemas y cuentas de usuario.
4. Finalizar la filtración de datos. Una vez identificados los datos confidenciales deseados, los atacantes los exfiltran para sus fines nefastos, como venderlos en el mercado negro o en la web oscura, o para pedir un rescate.

Ejemplos de filtraciones de datos

Muchos caminos pueden llevar a la filtración de datos. A continuación, se describen algunos ejemplos de filtraciones de datos exitosas.

En un ataque dirigido a un minorista, los cibercriminales pudieron acceder a datos confidenciales mediante las cajas registradoras. Se utilizó un cifrado débil para proteger la red. Los atacantes pudieron descifrar la red inalámbrica y luego se desplazaron desde las cajas registradoras de la tienda hacia los sistemas de backend. Debido a esta filtración de datos, más de un cuarto de millón de registros de clientes se vieron comprometidos.

En otro incidente, se expusieron los nombres, fechas de nacimiento, direcciones de correo y contraseñas de varios miles de millones de personas. En este caso, los ciberdelincuentes explotaron una vulnerabilidad de un sistema de cookies que utilizaba la organización.

En otro ejemplo, se utilizó el sistema de monitoreo de red de una organización como vector de ataque. Los atacantes pudieron utilizarlo para distribuir malware a sus clientes de manera encubierta, luego se infiltraron en los sistemas de los clientes para poder acceder a información confidencial.

Otra organización se vio comprometida, ya que ciberdelincuentes compraron la contraseña de un empleado en la web oscura. Esta sola contraseña se utilizó para violar la red y lanzar un ataque de ransomware que le costó millones de dólares a la organización.

Un problema con el proceso de hashing que usaba una organización para cifrar las contraseñas de sus usuarios la obligó a realizar un esfuerzo masivo para que cientos de millones de usuarios cambiaran sus contraseñas a fin de remediar la vulnerabilidad.

Una referencia de objeto directo insegura (IDOR) expuso casi mil millones de documentos confidenciales. Este error de diseño del sitio web hizo público un enlace que debía estar solo disponible para una persona concreta, lo que expuso los documentos.

Prevención de filtraciones de datos

Los programas eficaces que previenen las filtraciones de datos se diseñan con una defensa multicapas compuesta por tecnologías y procesos. A continuación, se enumeran algunos de los diversos componentes de una estrategia defensiva de protección de datos contra las filtraciones.

Educación y formación

La causa principal de las filtraciones de datos es un ataque que empieza con un vector humano. Debido a las debilidades inherentes al ser humano, se le considera el eslabón más débil de cualquier estrategia de prevención contra la filtración de datos.

Para luchar contra ello, es fundamental la capacitación. Los empleados necesitan capacitarse para reconocer y evitar ataques (p. ej., phishing), y deben aprender a manejar datos confidenciales para evitar fugas y filtraciones imprevistas de datos.

Detección y respuesta a las amenazas de los endpoints

La detección y respuesta de endpoint (EDR), también conocida como detección y respuesta de amenazas en endpoints (ETDR), proporciona una solución integrada que protege los endpoints. La EDR previene una filtración de datos gracias a que combina la supervisión continua en tiempo real y la recopilación de datos de los endpoints­ con capacidades de análisis y de respuesta automatizados y basados en normas para identificar y neutralizar ciberataques.

Administración de identidades y accesos (IAM)

Las soluciones de administración de identidades y accesos (IAM) proporcionan una defensa sólida contra la filtración de datos. Entre las características de las soluciones de IAM se pueden encontrar las políticas sólidas de contraseñas, los gestores de contraseñas, la autenticación de dos factores (2FA) o la autenticación multifactor (MFA), el inicio de sesión único (SSO) y el acceso basado en roles. Estas tecnologías y procesos ayudan a las organizaciones a evitar intentos de filtración de datos que utilicen credenciales robadas o comprometidas.

Planes de respuesta a incidentes

La preparación es una de las mejores defensas contra cualquier filtración de datos. Un plan de respuesta a incidentes suministra instrucciones detalladas para manejar la filtración antes, durante y después de un incidente confirmado o sospechoso.

El plan de respuesta a incidentes incluye una explicación de las funciones y responsabilidades, así como procesos paso a paso para cada fase.

Se ha demostrado que un plan de respuesta a incidentes es una herramienta eficaz para los planes de defensa contra la filtración de datos. Puede agilizar el tiempo de resolución y de recuperación, y disminuir los costos de una filtración de datos.

Autenticación multifactor (MFA)

El uso de la autenticación multifactor (MFA) permite superar la debilidad inherente de los usuarios y contraseñas. Con la MFA, en vez de introducir su nombre de usuario y contraseña, el usuario debe llevar a cabo un proceso de múltiples pasos para iniciar sesión en una cuenta.

La MFA le pide al usuario que realice pasos adicionales para verificar su identidad. Por ejemplo, se le puede solicitar a un usuario que introduzca un código que se envió por correo electrónico o mensaje de texto, que responda una pregunta secreta o que se someta a escaneo biométrico (p. ej., reconocimiento facial, de la retina o de la huella digital).

Prueba de penetración

La prueba de penetración, también conocida como pen test o piratería ética, previene las filtraciones de datos mediante la simulación de ciberataques para probar los sistemas e identificar cualquier vulnerabilidad explotable. Los expertos que realizan la prueba utilizan las mismas herramientas, técnicas y procesos que utilizarían los ciberdelincuentes para simular ataques reales que podrían causar una filtración.

Parches de seguridad y actualizaciones de software

Los parches y las actualizaciones de software y de sistemas operativos siempre se deben instalar ni bien estén disponibles. Con frecuencia, estas actualizaciones incluyen parches que reparan vulnerabilidades que podrían ocasionar una filtración de datos.

Contraseñas fuertes

El uso de contraseñas fuertes elimina un vector común de ciberataque. Los ciberdelincuentes, como saben que las personas suelen utilizar contraseñas débiles, lanzan con frecuencia ataques (p. ej., password spraying) para explotar dicha debilidad. Las contraseñas fuertes, junto con políticas que exijan a los usuarios cambiar frecuentemente sus contraseñas y utilizar diferentes contraseñas para servicios y aplicaciones, representan una defensa eficaz contra cualquier intento de filtración de datos.

Enfoque de seguridad de confianza cero

El enfoque de seguridad de confianza cero asume que no se debe confiar en ningún usuario o sistema, incluso si se encuentran dentro de una red. Entre los componentes del enfoque de la seguridad de confianza cero se encuentran:

• Autenticación, autorización y validación continuas de cualquier usuario o sistema que intente acceder a una red o a algún recurso de la red
• Acceso con privilegios mínimos, que solo permite el acceso mínimo necesario para llevar a cabo una tarea o función
• Supervisión integral de todas las actividades en la red

Mitigación de las filtraciones de datos

Una respuesta rápida e integral es crucial cuando se identifica una filtración de datos. A continuación, se describen algunos pasos que se deben seguir:

1. Reducir el impacto de la filtración. Detenga la propagación aislando los sistemas o redes afectados y bloqueando cualquier cuenta comprometida, incluidas las que se utilizaron para acceder a los datos. Esto impedirá que se exponga cualquier información adicional y dificultará el desplazamiento lateral entre las redes.
2. Realizar una evaluación. Identifique la causa del ataque para determinar si existen riesgos adicionales relacionados con la intrusión inicial, como cuentas de sistema o de usuario comprometidas malware o inactivo al acecho.
3. Restablecer los sistemas y parchear las vulnerabilidades. Utilice copias de seguridad limpias y, en algunos casos, nuevos sistemas para reconstruir y restablecer los sistemas afectados. En este punto, se debe realizar cualquier actualización de seguridad disponible para reparar la vulnerabilidad que dio lugar a la filtración de datos.
4. Notificar a las partes afectadas. Una vez que se determinan la magnitud y el alcance de la filtración, se debe notificar a las partes afectadas. En función del tipo de organización y de la información comprometida, esto puede ir desde la notificación a ejecutivos y empleados hasta la notificación a todos los clientes y la emisión de una declaración pública.
5. Documentar las lecciones aprendidas. Para prevenir futuras filtraciones de datos, es importante documentar la información y el conocimiento adquirido de la filtración. Esta información se debe utilizar para actualizar sistemas y prácticas existentes, y debe guardarse para futuras referencias.

La preparación limita los riesgos de las filtraciones de datos

Muchos consideran que las filtraciones de datos son uno de los tipos de incidentes de ciberseguridad más comunes y costosos. Las filtraciones de datos, que afectan a organizaciones de todos los tamaños y de cualquier lugar, pueden causar daños generalizados que se traducen en perjuicios económicos y físicos.

La mejor defensa contra la filtración de datos es la preparación, que incluye la implementación de defensas técnicas y procesos que garanticen una detección y respuesta tempranas.

Hemos podido observar que las organizaciones que cuentan con sistemas de defensa contra la filtración de datos y planes de respuesta sólidos se recuperan con mayor rapidez y sufren menos daños.

Además de implementar las herramientas y procedimientos adecuados, es importante probar todos los sistemas. Este enfoque proactivo identifica las vulnerabilidades antes de que ocurra cualquier filtración de datos. La adopción de medidas para identificar y corregir las vulnerabilidades, junto con la elaboración y puesta en práctica de planes de respuesta, protege la información confidencial en gran medida contra una filtración de datos.

Quizás también le interese:

Artículo

Principio de privilegios mínimos

Artícul

Riesgo cibernético

Artículo

¿Qué es la administración de identidades y accesos (IAM)?

The post ¿Qué es la filtración de datos? appeared first on SailPoint.

¿Qué es el inicio de sesión único?

El inicio de sesión único, a veces denominado SSO, es un tipo de autenticación que permite a los usuarios utilizar un solo conjunto de credenciales de acceso (p, ej., nombre de usuario y contraseña) para acceder a múltiples aplicaciones, sitios web o servicios. A diferencia de otras opciones de control de acceso, el inicio de sesión único puede ser utilizado por pequeñas, medianas y grandes empresas para eliminar la necesidad de iniciar sesión en diversas ocasiones o de recordar diferentes contraseñas.

Cómo funciona el inicio de sesión único

El inicio de sesión único se basa en un acuerdo de gestión de identidades federadas (también conocido como federación de identidades) entre múltiples dominios de confianza (p. ej., una organización que les permite a sus usuarios utilizar los mismos datos de identificación para acceder a todos los recursos). Los sistemas locales utilizan los dominios de confianza para autenticar usuarios.

El inicio de sesión único usa estándares abiertos, como el Lenguaje de Marcado de Aserciones de Seguridad (SAML), OAuth u OpenID, los cuales permiten que servicios externos (p. ej., sitios web, aplicaciones, etc.) usen la información de la cuenta de los usuarios sin exponer sus contraseñas. La información de identidad se envía como tókenes que contienen los datos de los usuarios, como su correo electrónico o nombre de usuario.

A continuación, se muestra un resumen del proceso del inicio de sesión único.

• El usuario abre el sitio web o la aplicación y, si no ha iniciado sesión, aparece una solicitud de inicio de sesión con una opción de inicio de sesión único.
• El usuario ingresa sus credenciales de acceso (p. ej., nombre de usuario y contraseña) en el formulario de inicio de sesión único.
• El sitio web o aplicación genera un token de inicio de sesión único y envía una solicitud de autenticación al sistema de inicio de sesión único.
• El sistema de inicio de sesión único revisa el dominio de confianza para determinar si el usuario fue autenticado.
• Si el usuario no fue autenticado, lo enviará a un sistema de inicio de sesión para que se autentique con sus credenciales de acceso.
• Si el usuario fue autenticado, se enviará un token al sitio web o aplicación para confirmar el éxito de la autenticación y otorgarle el acceso al usuario.

Si un usuario introduce credenciales incorrectas, se le pedirá que las vuelva a introducir. Por lo general, si se realizan múltiples intentos fallidos, se bloqueará el usuario durante cierto periodo de tiempo o se bloqueará por completo después de numerosos intentos.

Tókenes de inicio de sesión único

El token de inicio de sesión único consiste en un archivo digital que se utiliza para trasladar un conjunto de datos o información entre los sistemas durante el proceso de inicio de sesión único. Contiene información de identificación del usuario, como su nombre de usuario o dirección de correo electrónico, y datos del sistema que envía el token.

Con el fin de garantizar que los tókenes provengan de una fuente de confianza, deben estar firmados digitalmente. Durante el proceso de configuración inicial del inicio de sesión único, se intercambia el certificado digital.

Seguridad e inicio de sesión único

El inicio de sesión único se utiliza ampliamente porque simplifica el acceso y elimina la proliferación de nombres de usuario y contraseñas que ocasionan dolores de cabeza a los usuarios y administradores, especialmente en las empresa que cuentan con cientos o miles de aplicaciones. Sin embargo, el inicio de sesión único no está libre de riesgos.

Las organizaciones que implementan el inicio de sesión único deben considerar y mitigar los riesgos, ya que un conjunto único de credenciales puede proporcionar acceso no autorizado a diversas aplicaciones y procesos. Entre los problemas comunes relacionados con el inicio de sesión único se encuentran:

• Secuestro de cuentas
• Filtraciones de datos que pueden causar fugas de datos, pérdida de datos y pérdidas financieras
• Suplantación de identidad
• Secuestro de sesión

La regulación de identidades y la autenticación multifactor son dos medidas de seguridad efectivas que se pueden implementar junto con el inicio de sesión único para proporcionar explotación de la protección.

Regulación de identidades

La regulación de identidades es una iniciativa basada en políticas que ayuda a los administradores a gestionar y controlar mejor el acceso del inicio de sesión único. La regulación de identidades ofrece a los administradores una visibilidad integral de qué empleado tiene acceso a qué sistemas y datos, y les permite detectar credenciales débiles, accesos inapropiados e infracciones de políticas.

Los administradores utilizan las herramientas de regulación de identidades para cambiar, revocar o eliminar los niveles variantes de acceso si tienen la sospecha (o evidencias) de que se comprometieron las credenciales de inicio de sesión único de un usuario.

Autenticación multifactor (MFA)

La implementación de la autenticación multifactor o de dos factores (2FA) con el inicio de sesión único ayuda a mantener seguros los dominios de confianza, ya que se necesita una verificación de identidad adicional, además de las credenciales de inicio de sesión único, para poder acceder. Se puede implementar la autenticación multifactor en todas las cuentas asociadas con el inicio de sesión único para ofrecer una mayor protección.

Cómo implementar el inicio de sesión único

1. Fijar objetivos para la implementación del inicio de sesión único.
2. Determinar los requisitos y los usuarios.
3. Evaluar las capacidades existentes e identificar brechas.
4. Definir el control de acceso y otros requisitos.
5. Asegurarse de que la arquitectura de TI de las organizaciones sea compatible con el inicio de sesión único y realizar ajustes para solucionar las deficiencias.
6. Crear una lista de soluciones que cumpla los criterios principales.
7. Hacer una evaluación de las opciones para identificar la solución óptima.
8. Trabajar con los equipos de TI y de seguridad para garantizar que la implementación del inicio de sesión único cumpla los requisitos de TI y de usuario.

Tipos de SSO

Inicio de sesión único empresarial

El inicio de sesión único empresarial, conocido también como E-SSO, se implementa en entornos de integración de aplicaciones empresariales (EAI). El inicio de sesión único empresarial les permite a los usuarios acceder a todas las aplicaciones, alojadas localmente o en la nube, mediante un conjunto único de credenciales de acceso.

Gracias al inicio de sesión único empresarial, los administradores obtienen las credenciales cuando los usuarios inician sesión en un principio y las utilizan automáticamente para autenticar los inicios de sesión posteriores en otras aplicaciones y sistemas. Con la centralización de los nombres de usuario y contraseñas, el inicio de sesión único empresarial evita que los administradores realicen largas tareas de gestión de nombres de usuario y contraseñas. Según los controles que establezcan los administradores, los usuarios pueden otorgar acceso a las aplicaciones durante cierta cantidad de tiempo sin el soporte de los administradores.

Inicio de sesión único federado

El inicio de sesión único federado utiliza protocolos de SSO estándar del sector que permiten a los usuarios acceder a sitios web sin tener que lidiar con los obstáculos de autenticación. Amplía el inicio de sesión único estándar mediante la unión de grupos diversos en un sistema centralizado de autenticación. El inicio de sesión único federado se puede utilizar para otorgar acceso a diversos sistemas dentro de una sola empresa o empresas dispares.

Inicio de sesión único móvil

Con el inicio de sesión único móvil, una sola identidad puede otorgar acceso a diversas aplicaciones móviles conectadas. Los tókenes de acceso se almacenan en el keychain del sistema operativo del dispositivo móvil, lo que permite que se reconozcan las sesiones activas.

Inicio de sesión único con tarjeta inteligente

En vez de basarse en tókenes digitales y software, el inicio de sesión único con tarjeta inteligente utiliza una tarjeta física para autenticar usuarios. El inicio de sesión único con tarjeta inteligente necesita que un usuario use las credenciales que están almacenadas en la tarjeta para llevar a cabo el inicio de sesión inicial. Se requiere un lector para obtener la información de la tarjeta. Además, las tarjetas deben contar con una banda magnética o algún método de transferencia de datos sin contacto.

Inicio de sesión único web

Con el inicio de sesión único web, los usuarios pueden acceder a múltiples sitios web conectados mediante un solo inicio de sesión. Una vez que el usuario inicie sesión en una propiedad, se puede mover de una a otra y será reconocido, autenticado y de confianza.

Por lo general, el inicio de sesión único web se emplea para aplicaciones que se acceden mediante sitios web. Existen dos técnicas principales para configurar el inicio de sesión único web.

1. El inicio de sesión único se gestiona dentro de la aplicación web o mediante agentes en aplicaciones protegidas. Uno de los desafíos importantes de este método es que las aplicaciones deben modificarse para admitir el agente de inicio de sesión único; además, la aplicación debe ser visible desde el navegador web del usuario.
2. El inicio de sesión único utiliza un proxy inverso para gestionar los datos de autenticación en la aplicación y permitir que los procesos de inicio de sesión único funcionen independientemente de los servidores web. En este caso, el proxy inverso actúa como un intermediario que gestiona el acceso y habilita el proceso de inicio de sesión único.

Seleccionar una solución de inicio de sesión único

Lo que se debe considerar al seleccionar una solución de inicio de sesión único varía según la organización y los casos de uso, pero, a continuación, se presentan algunos elementos básicos para tener en cuenta durante el proceso de evaluación.

Consideraciones organizacionales

• ¿Aborda la solución de inicio de sesión único los casos de uso de la organización?
• ¿Es compatible con los recursos de TI que necesitan el inicio de sesión único (p. ej., aplicaciones, dispositivos, redes, etc.)?
• ¿Es una solución de inicio de sesión único de corto plazo apropiada que se puede reemplazar por una cantidad aceptable de interrupciones y cargas para el equipo de TI?
• ¿Puede la solución de inicio de sesión único ajustarse para satisfacer requisitos previstos?
• ¿Funciona bien con otros sistemas de seguridad?

Consideraciones de funcionalidad del inicio de sesión único

• Opciones de autenticación, como compatibilidad con la autenticación multifactor, la autenticación flexible, la autenticación automática forzada y mediante el protocolo ligero de acceso a directorios (LDAP)
• Respuesta y análisis de comportamiento, como la inclusión de direcciones de protocolo de Internet (IP) en la lista negra o blanca, configuración de respuestas para contrarrestar los intentos de fuerza bruta y disposiciones para la reautenticación de usuarios
• Cumplimiento de los estándares de seguridad, como ISO 27017, ISO 27018, ISO 27001, SOC 2 tipo 2 y leyes (p. ej., el Reglamento General de Protección de Datos [RGPD], la Ley de Privacidad del Consumidor de California [CCPA], etc.)
• Capacidades de federación que permitan la implementación mediante el uso de proveedores preferidos de identidad, como el Directorio Activo de Microsoft y Directorio de Google
• Opciones de validación flexible de contraseñas, como el personalización del límite de caducidad de contraseñas, complejidad de las contraseñas y notificaciones de caducidad
• Capacidades móviles de inicio de sesión único que permitan la compatibilidad con dispositivos móviles
• Conexiones prediseñadas y personalizadas para las aplicaciones de Lenguaje de Marcado de Aserciones de Seguridad (SAML)
• Autenticación que emplee protocolos de estándar abierto, como JSON Web Token (JWT), Kerberos, Open Authorization (OAuth), OpenID Connect (OIDC) y SAML
• Soporte para desarrolladores, como soporte para el control adecuado del ciclo de vida de las interfaces de programación de aplicaciones (API) y kits de desarrollo de software (SDK) para las principales plataformas

Beneficios del inicio de sesión único

• Centraliza los procesos de acceso a los sitios web, aplicaciones y otras cuentas, incluidos el aprovisionamiento y las desincorporaciones
• Mejora la productividad ya que optimiza el acceso a los recursos
• Amplía la adopción de las aplicaciones promovidas por la empresa al facilitar su acceso
• Facilita la auditoría del acceso de los usuario al brindar un control sólido del acceso a todos los tipos de datos relacionados con el acceso
• Libera a los usuarios de la ardua tarea de elegir contraseñas seguras para varias cuentas
• Ayuda a las organizaciones a cumplir las normativas de seguridad de datos
• Mejora la postura de seguridad al minimizar la cantidad de contraseñas por usuario
• Mantiene un acceso seguro a las aplicaciones y sitios web
• Hace posible que las aplicaciones utilicen otros servicios para autenticar usuarios
• Reduce el riesgo de los malos hábitos de uso de las contraseñas
• Evita la TI en la sombra, puesto que les permite a los administradores de TI mejorar la supervisión de las actividades de los usuarios en los servidores de trabajo
• Ofrece una mejor experiencia de usuario
• Reduce los costos al disminuir la necesidad de acudir al servicio de asistencia técnica para solucionar problemas con las contraseñas
• Elimina las credenciales de acceso de los servidores o redes de almacenamiento para disminuir el riesgo cibernético
• Fortalece la seguridad de las contraseñas

Protocolos de SSO

El inicio de sesión único valida y autentica las credenciales de los usuarios mediante diferentes protocolos y estándares abiertos, incluidos los que se describen a continuación.

Token Web JSON (JWT)

El Token Web JSON, o JWT, es un protocolo de inicio de sesión único que se utiliza ampliamente en aplicaciones destinadas al consumidor. Este estándar abierto (RFC 7519) se emplea para transmitir información para el inicio de sesión único como objetos JSON de forma segura.

Kerberos

Kerberos, un sistema de autenticación basado en tickets, permite a diversas entidades verificar mutuamente su identidad mediante el cifrado para evitar el acceso no autorizado a la información de identificación. Cuando se emplea Kerberos en las funciones de inicio de sesión único, una vez validadas las credenciales, se emite un ticket que se usa para recuperar otros tickets de servicio para otras aplicaciones a las que necesitan acceder los usuarios autenticados.

Open authorization (OAuth)

Con OAuth, u Open Authorization, las aplicaciones pueden acceder a la información de los usuarios desde otros sitios web sin suministrar ninguna contraseña. OAuth se utiliza en lugar de las contraseñas con el fin de obtener el permiso para acceder a información protegida por contraseña. En vez de solicitar contraseñas de usuario, las aplicaciones emplean OAuth para obtener el permiso de acceso a datos protegidos por contraseña.

OpenID connect (OIDC)

OpenID connect (OIDC), normalizado por la OpenID Foundation y basado en el marco de OAuth 2.0, es un protocolo de autenticación que ofrece un enfoque descentralizado en lo que respecta al inicio de sesión único. Con OIDC, el sitio web o la aplicación autentica las credenciales de los usuarios. En vez de enviar un token a un proveedor de identidad externo, OpenID connect hace que el sitio web o la aplicación solicite información adicional para autenticar a los usuarios.

Lenguaje de Marcado de Aserciones de Seguridad (SAML)

SAML, o Lenguaje de Marcado de Aserciones de Seguridad, es un protocolo que utilizan los sitios web y las aplicaciones para intercambiar información de identificación con un servicio de inicio de sesión único mediante XLM. SAML les permite a los usuarios iniciar sesión una vez en una red antes de otorgarles el acceso a todas las aplicaciones que se encuentran en esa red.

Mediante los servicios de inicio de sesión único basado en SAML, las aplicaciones no necesitan almacenar las credenciales de usuario en su sistema, lo que hace que sea una opción más flexible y segura que otras. Además, aborda los problemas que tienen los administradores de TI cuando tratan de implementar el inicio de sesión único junto con el protocolo ligero de acceso a directorios (LDAP).

Casos de uso del inicio de sesión único

Inicio de sesión único con autenticación multifactor

Usados en conjunto, el inicio de sesión único y la autenticación multifactor hacen que la autenticación sea simple y segura. Esta combinación mejora la seguridad, aumenta la accesibilidad a aplicaciones y sitios web, y reduce el tiempo que los administradores deben dedicar al aprovisionamiento y control del acceso.

Inicio de sesión único y LDAP

La función de inicio de sesión único del LDAP, que se emplea para almacenar las credenciales de los usuarios, se puede utilizar para gestionar las bases de datos del LDAP en diversas aplicaciones.

Inicio de sesión único para equipos remotos

La adopción generalizada del trabajo remoto extendió el uso del inicio de sesión único en casi todos los recursos de TI. El inicio de sesión único se utiliza de manera extendida porque va más allá de otros sistemas de administración de identidades y accesos. Ofrece un enfoque basado en la nube, impulsado por protocolos y agnóstico a plataformas y sistemas operativos para la autenticación y autorización de los accesos.

El inicio de sesión único facilita la autenticación para los usuarios y administradores

El inicio de sesión único consiste en una tecnología que optimiza los flujos de trabajo y mejora la productividad de los usuarios y administradores. Gracias a diversas opciones de implementación, el inicio de sesión único puede adaptarse a casi cualquier caso de uso. Como elimina dolores de cabeza y vulnerabilidades de la proliferación de contraseñas, el inicio de sesión único es una herramienta popular en seguridad de TI.

Quizás también le interese:

Artículo

La gestión de identidades federadas en comparación con el inicio de sesión único

Artículo

El SSO basado en SAML en comparación con el LDAP

Artículo

Comparación del aprovisionamiento justo a tiempo con el SSO basado en SAML

The post Cómo funciona el inicio de sesión único (SSO) appeared first on SailPoint.

La autenticación multifactor (MFA) es un marco avanzado de autenticación en capas que requiere al menos dos formas independientes de verificación para validar la identidad de un usuario y otorgar el acceso a un recurso, como aplicaciones, servidores o VPN. La autenticación multifactor tiene como objetivo suministrar una defensa por niveles para evitar que una persona no autorizada acceda a un objetivo (p. ej., ubicación física, dispositivo informático, red, base de datos, etc.) al dificultar el acceso a dicho objetivo. Con la autenticación multifactor, si se ve comprometido uno de los factores, todavía queda al menos una barrera adicional para proteger el acceso.

La autenticación multifactor, un componente fundamental de los marcos de la administración de identidades y accesos (IAM), mejora el umbral de acceso a los recursos. Aunque la autenticación de dos factores es técnicamente una forma multifactor de autenticación, por lo general se utilizan más de dos factores en la autenticación multifactor.

Por qué es necesaria la autenticación multifactor

La autenticación multifactor es necesaria principalmente porque mejora la postura general de seguridad de las organizaciones. Lleva a un nuevo nivel las credenciales de nombre de usuario y contraseña, lo que aumenta radicalmente la eficacia de la protección del acceso. Añadir factores adicionales, además de las contraseñas, permite evitar las filtraciones de contraseñas e impide que los hacker que utilizan credenciales robadas ingresen a la cuenta.

Además, la autenticación multifactor permite superar comportamientos riesgosos que son naturales para los usuarios, pero que hacen que sus credenciales sean susceptibles de ataques de fuerza bruta, por ejemplo:

• Reutilización de contraseñas
• Guardar la información de la contraseña en notas adhesivas o en ubicaciones digitales (p. ej., documentos, hojas de cálculo, contactos, etc.)
• Uso de contraseñas predecibles

Beneficios de la autenticación multifactor

• Se adapta a diferentes casos de uso
• Añade capas de seguridad en los niveles de hardware, software e identificación personal
• Les permite a los administradores ejecutar políticas que restringen el acceso según el horario o la ubicación
• Los usuarios la pueden configurar con facilidad
• Disminuye los costos de gestión al enfocarse en las conductas marcadas como sospechosa en lugar de que los administradores tengan que revisar todas las actividades
• Los usuarios ya no tienen que almacenar, recordar ni gestionar diferentes contraseñas de diversas cuentas
• Emplea un sistema de defensa multicapas que evita que los usuarios no autorizados o los cibercriminales accedan a recursos como cuentas, dispositivos, redes o bases de datos
• Permite el uso de contraseñas de un solo uso (OTP) que se generan de manera aleatoria en tiempo real y que se envían por mensaje de texto o correo electrónico
• Garantiza el cumplimiento de las normas establecidas por la administración empresarial, los gobiernos y los estándares del sector
• Mejora la confianza del usuario gracias a la protección de la información personal
• Incluye una opción para el acceso sin conexión en el caso de usuarios sin conexión a Internet
• Aumenta la productividad facilitándoles a los usuarios el acceso a los recursos desde cualquier dispositivo o ubicación sin comprometer la seguridad general
• Supervisa la actividad de los usuarios para identificar anomalías, como el procesamiento de transacciones de gran valor o el acceso a información confidencial desde redes o dispositivos desconocidos
• Ofrece una estructura de costo escalable que se ajusta a los presupuestos de todos los tamaños
• Previene el fraude ya que garantiza que los usuarios son quienes dicen ser
• Disminuye las filtraciones de seguridad más que usar solo las contraseñas
• Elimina los obstáculos de adopción gracias a un proceso con pocas fricciones para los usuarios
• Rastrea el uso de acuerdo con varios factores de riesgo, como la geolocalización, la dirección de protocolo de Internet (IP) y la hora del último inicio de sesión

Cómo funciona la autenticación multifactor

La autenticación multifactor solicita información de verificación adicional (lo cual se conoce como factor) además de las credenciales estándar de nombre de usuario y contraseña cuando un usuario intenta acceder a un recurso. Una vez autenticado, el usuario se conecta al recurso.

La autenticación multifactor se puede emplear en dispositivos y aplicaciones:

• La MFA para dispositivos verifica a un usuario cuando inicia sesión.
• La MFA para aplicaciones verifica a un usuario para que pueda acceder a una aplicación, o más.

Autenticación multifactor flexible

La autenticación multifactor flexible, conocida también como autenticación basada en riesgos, analiza factores adicionales mediante la consideración del contexto y del comportamiento. La autenticación multifactor flexible utiliza la inteligencia artificial (IA) para recopilar y procesar datos contextuales con el fin de calcular una calificación de riesgo relacionada con el intento de inicio de sesión mediante un análisis en tiempo real.

Según la calificación de riesgo, se puede determinar el método óptimo para la autenticación del usuario, por ejemplo:

• Si el riesgo bajo, solo se requiere una contraseña
• Si el riesgo es medio, se necesita la autenticación multifactor
• Si el riesgo es alto, se requieren procesos de autenticación adicionales

La autenticación multifactor flexible es dinámica, por lo que no usa ninguna lista estática de normas para los inicios de sesión. Gracias a la IA, se puede adaptar al comportamiento y a las características de los usuarios para luego usar el tipo de verificación de identidad más apropiado en cada sesión de usuario. Los factores considerados incluyen:

• Dispositivo ¿Está el usuario intentando iniciar sesión mediante un dispositivo no autorizado?
• Dirección IP ¿Se trata de la misma dirección IP que utiliza normalmente el usuario cuando inicia sesión en un recurso?
• Ubicación ¿Intentó el usuario iniciar sesión en una cuenta desde dos ubicaciones diferentes durante un corto periodo de tiempo? ¿Es la ubicación del inicio de sesión inusual para el usuario? ¿Está el usuario tratando de iniciar sesión desde una red pública y no desde una red empresarial?
• Confidencialidad ¿Está el usuario tratando de acceder a información confidencial?
• Horario de inicio de sesión ¿Se corresponde la hora de inicio de sesión con las horas de inicio de sesión normales del usuario?

Ejemplo de autenticación multifactor flexible

La autenticación multifactor flexible puede identificar a un usuario que intenta iniciar sesión desde una cafetería a altas horas de la noche, lo que representa un comportamiento inusual. Entonces, se le solicita al usuario que introduzca una contraseña de un solo uso, la cual se envía por mensaje de texto a su teléfono, además de colocar su nombre de usuario y contraseña.

En otras circunstancias, si el usuario intenta iniciar sesión desde la oficina a las 8:00 a. m., como lo hace todos los días, es posible que solo se le pida que introduzca su nombre de usuario y contraseña.

Inteligencia artificial (IA) y autenticación multifactor

Incorporar la inteligencia artificial (IA) a la autenticación multifactor mejora esta práctica de seguridad en términos de eficacia y eficiencia. Los ciberdelincuentes evolucionan constantemente y se han convertido en expertos en robar las credenciales de los usuarios. El hecho de incorporar la IA al proceso les dificulta a los ladrones burlar las protecciones de la autenticación multifactor.

El sistema de autenticación multifactor basado en la IA aprende y se adapta con el tiempo para ir un paso por delante de los ciberdelincuentes sin afectar a los usuarios finales.

La MFA basada en la IA se puede utilizar para verificar las identidades de los usuarios según su comportamiento. Por ejemplo, la biometría del comportamiento puede rastrear todo: desde la manera como los usuarios sostienen sus teléfonos hasta su modo único de caminar.

La autenticación multifactor basada en la IA también incluye:

• Autenticación biométrica
• Reconocimiento facial
• Reconocimiento de huella digital
• Reconocimiento de iris
• Reconocimiento de palma
• Reconocimiento de voz

Ejemplos de autenticación multifactor

Verificación biométrica

Los dispositivos inteligentes o computadoras con funciones de autenticación biométrica pueden verificar la identidad. La biometría se utiliza cada vez más como parte de la autenticación multifactor, ya que proporciona a los usuarios un paso de inicio de sesión de baja fricción y aumenta la seguridad, puesto que es imposible de falsificar.

Autenticación mediante token de correo electrónico

Con la autenticación mediante token de correo electrónico, los usuarios reciben un correo electrónico con una contraseña de un solo uso (OTP). Esta OTP, así como un método de autenticación adicional, o más, se emplea para verificar la identidad del usuario. A menudo, se ofrece como alternativa a la autorización por token de SMS en el caso de usuarios que no tengan un teléfono móvil a la mano.

Autenticación mediante token de hardware

Los tókenes de hardware se utilizan en la autenticación multifactor para añadir un nivel de seguridad adicional. Aunque es más costoso que la autenticación mediante token de correo electrónico o de mensaje de texto, se considera que es el método de seguridad más alta. Los tókenes de hardware se deben introducir en un dispositivo para validar la identidad del usuario y otorgar el acceso al dispositivo.

Autenticación mediante inicio de sesión social

El inicio de sesión social, o verificación de identidad social, se puede utilizar en la autenticación multifactor si un usuario ya inició sesión en una plataforma de red social. Aunque este factor de autenticación se considera más riesgoso que otros, puede ser efectivo cuando se emplea con otros métodos de identificación de identidad.

Autenticación mediante token de software

Se pueden usar las aplicaciones de autenticación de dispositivos inteligentes para la autenticación multifactor. Esta aplicación convierte el dispositivo inteligente en un token que se puede vincular a los servicios de autenticación para agregar un nivel multifactor de autenticación.

Autenticación basada en riesgos

La autenticación basada en riesgos (RBA) es compatible con la autenticación multifactor, ya que supervisa el comportamiento y la actividad (p. ej., ubicación, dispositivo, pulsación de teclas, etc.). De acuerdo con las conclusiones, la RBA puede notificar la frecuencia de las revisiones de la autenticación multifactor con el fin de mejorar la seguridad y disminuir los riesgos.

Preguntas de seguridad

Se pueden usar un tipo de autenticación basada en conocimientos (KBA), la seguridad estática o las preguntas dinámicas en la autenticación multifactor. En el caso de las preguntas estáticas, los usuarios proporcionan respuestas a preguntas durante la configuración de su cuenta, las cuales luego se formulan aleatoriamente para verificar su identidad durante el proceso de inicio de sesión.

Las preguntas dinámicas se generan en tiempo real utilizando información disponible públicamente. Por lo general, a los usuarios se les hace una pregunta con una serie de respuestas (p. ej., en qué ciudad nació, vivió en algunas de las siguientes direcciones, alguna vez tuvo uno de los siguientes números telefónicos, etc.). Para verificar su identidad, deben seleccionar la respuesta correcta.

Autenticación mediante servicio de mensajes cortos (SMS)

En el caso de la autenticación mediante token de SMS, se envía un mensaje de texto con un número de identificación personal (PIN). El PIN se utiliza como OTP junto con un factor, o más.

La autenticación mediante token de SMS es un método multifactor de autenticación que se puede implementar con facilidad. Suele ofrecerse como método de entrega alternativo a la autenticación mediante token de correo electrónico.

Autenticación mediante contraseña de un solo uso y por tiempo limitado

Las contraseñas de un solo uso y por tiempo limitado (TOTP) se generan cuando un usuario intenta iniciar sesión y caducan después de un tiempo determinado. Las TOTP se envían a los teléfonos inteligentes o computadoras de los usuarios por medio de SMS o correo electrónico.

Métodos multifactor de autenticación

La autenticación multifactor combina varios métodos de autenticación. Los métodos principales de MFA se basan en tres tipos de información que se usa para verificar la identidad:

• Conocimiento o datos que sabe el usuario
• Posesiones u objetos que tiene el usuario
• Factores o características inherentes del usuario
• Autenticación basada en el tiempo

Categoría de conocimientos para la autenticación multifactor

Con la autenticación multifactor, la verificación de identidad basada en conocimientos implica que el usuario debe responder una pregunta de seguridad. En el caso de la autenticación multifactor, algunos ejemplos de conocimientos pueden ser:

• Respuestas a preguntas de seguridad (p. ej., el lugar de nacimiento del usuario, su color favorito, la mascota de su secundaria, el apellido de soltera de su madre, etc.)
• OTP
• Contraseñas
• PIN

Categoría de posesiones para la autenticación multifactor

Un factor de posesión en el caso de la autenticación multifactor requiere que el usuario posea un objeto para iniciar sesión, puesto que sería difícil que un ciberdelincuente lo tuviera. Los objetos incluidos en la categoría de posesiones de MFA son:

• Insignias
• Llaves remotas
• Llaveros
• Dispositivos móviles
• Tókenes físicos
• Tarjetas inteligentes
• Tókenes de software
• Memorias USB

Categoría de factores inherentes para la autenticación multifactor

En la autenticación multifactor, cualquiera de las características biológicas del usuario se puede utilizar para verificar la identidad. Los factores inherentes incluyen los siguientes métodos de verificación biométrica:

• Reconocimiento facial
• Escaneo de huellas digitales
• Autenticación por voz
• Escaneo de retina o iris
• Autenticación por voz
• Geometría de la mano
• Escáneres de firmas digitales
• Geometría del lóbulo de la oreja

Autenticación multifactor basada en el tiempo

El tiempo también se puede utilizar en la autenticación multifactor. La autenticación basada en el tiempo puede probar la identidad de una persona mediante la detección de su presencia a una hora determinada y permitir el acceso a un sistema o lugar específico. Por ejemplo, si se realiza una extracción desde un cajero en EE. UU. y diez minutos después se intenta realizar otro retiro desde un cajero en China, se bloqueará la tarjeta.

Mejores prácticas de la autenticación multifactor

No es difícil implementar la autenticación multifactor, pero hacerlo con las mejores prácticas permite una ejecución eficiente y efectiva. A continuación, se exponen las mejores prácticas comúnmente citadas para implementar y gestionar los sistemas de MFA.

Enseñar a los usuarios la importancia de la autenticación multifactor y cómo utilizarla. >br/>Los usuarios, considerados como los eslabones más débiles de las cadenas de seguridad, desempeñan un papel integral en el éxito de la implementación de la MFA. Tomarse el tiempo para enseñarles cómo funciona el sistema y la importancia de seguir las normas representa un gran apoyo para el programa.

Implementar la autenticación multifactor en toda la empresa.  Evite brechas que puedan debilitar la autenticación multifactor mediante la inclusión de todos los puntos de acceso, en toda la organización, durante la ejecución. Asegúrese de incorporar el acceso remoto a las redes durante la implementación de la MFA para incluir los usuarios remotos y distribuidos de todos los sistemas.

Incluir la autenticación multifactor flexible.  Aproveche el contexto con el fin de desarrollar un enfoque flexible y escalonado para la MFA que solo solicite a los usuarios factores adicionales según las calificaciones de riesgo y no de manera predeterminada.

Ofrecer a los usuarios diversos tipos de MFA. Mejore la experiencia y la adopción de los usuarios ofreciéndoles diversos tipos de MFA o factores de autenticación. Esta flexibilidad evita un enfoque único para todos que pueda ser restrictivo y engorroso para los usuarios. Ofrecer opciones de factores de autenticación a los usuarios aumenta su satisfacción en relación con el sistema y la adopción general.

Reevaluar la implementación de la autenticación multifactor.  Lleve a cabo evaluaciones con regularidad para garantizar que la implementación de la autenticación multifactor sea óptima para hacer frente a las amenazas actuales y que cubra todos los puntos de acceso.

Adoptar un enfoque basado en estándares.  Siga estándares para garantizar que el sistema multifactor de autenticación funcione de manera óptima dentro de la infraestructura de TI existente. El Remote Authentication Dial-in User Service (RADIUS) es uno de los estándares que se debe considerar, así como Open Authentication (OAuth), que habilita la autenticación de todos los usuarios en todos los dispositivos y en todas las redes.

Utilizar la autenticación multifactor junto con otras herramientas de seguridad complementarias.  La autenticación multifactor, combinada con otras soluciones de control de acceso como el inicio de sesión único (SSO) y el acceso con privilegios mínimos, proporciona una mayor seguridad.

La MFA ofrece una excelente defensa de primera línea

Los ciberataques provienen de muchos vectores, pero los usuarios finales son los objetivos frecuentes. La autenticación multifactor mejora los puntos de acceso de los usuarios finales, por lo que, incluso si se aprovechan de los puntos débiles y se roban las credenciales, existen capas adicionales de protección.

La autenticación multifactor, como hace uso de la IA y de otras tecnologías emergentes, continúa siendo una de las soluciones más eficientes para proteger el acceso de los usuarios finales. Las soluciones de MFA ofrecen una protección efectiva que con mínimo impacto en los usuarios finales y en los administradores de TI, que ya están sobrecargados.

Quizás también le interese:

Artículo

Guía de cumplimiento de la SOX: ¿Qué es el cumplimiento de la SOX?

Artículo

¿Cuál es la diferencia entre autenticación y autorización?

Webinar

Riesgos de SAP SoD: ¿Es posible gestionarlos?

The post ¿Qué es la autenticación multifactor (MFA)? appeared first on SailPoint.

¿Qué es el RBAC?

El control de acceso basado en roles (RBAC) es un conjunto de métodos de seguridad que se basa en la gestión del acceso de los usuarios para proteger los recursos —incluidos datos, aplicaciones y sistemas— contra el acceso, la modificación, la incorporación o la eliminación inadecuados. El RBAC otorga el acceso según las necesidades de un usuario y su cargo. Además, se definen las funciones y los privilegios relacionados, y se conceden permisos para controlar el acceso (es decir, lo que puede ver un usuario), el alcance de las operaciones aprobadas (es decir, lo que puede hacer un usuario, como ver, crear o modificar) y el tiempo de la sesión (es decir, cuánto tiempo puede acceder un usuario).

Tres principios comunes del RBAC

Con el control de acceso basado en roles, los permisos se basan exclusivamente en las funciones, lo que simplifica su administración. Cuando cambia el cargo de un usuario, incluso si termina su relación con la organización, los administradores solo cambian su función y se actualizan los permisos de manera automática. Gracias al RBAC, se puede asignar diversas funciones a los usuarios.

1. La asignación de la función del usuario define el permiso o los derechos de acceso de los usuarios según una función o tarea.
2. La autorización de la función del usuario confirma que el usuario cuenta con aprobación para una función y para realizar las tareas relacionadas.
3. Los derechos de acceso y el permiso de la función del usuario definen de manera específica lo que puede, o no puede, hacer un usuario.

Permisos del RBAC

Con el control de acceso basado en roles, es importante recordar que los permisos van después de las funciones y no al revés. Determine lo que cada función debe hacer y otorgue los permisos como corresponda. Estas son consideraciones adicionales que se deben tener en cuenta al configurar los permisos del RBAC para especificar a qué tienen acceso los usuarios y qué pueden hacer en el sistema:

Acceso

• ¿Qué usuarios pueden abrir un elemento específico, como un archivo, una aplicación o una base de datos?
• ¿Qué usuarios deben saber que existen ciertos activos?
• ¿Qué limitaciones se deben imponer a la visibilidad?

Modificación

• ¿Qué usuarios pueden realizar cambios en elementos específicos?
• ¿Qué aprobaciones se necesitan para realizar cambios?

Difusión

• ¿Qué usuarios pueden descargar un documento?
• ¿Qué usuarios pueden compartir un documento?

Mejores prácticas del RBAC

Las mejores prácticas que debe considerar una empresa al implementar el control de acceso basado en roles son:

• Analizar a los usuarios, incluidos sus flujos de trabajo y los recursos que necesitan.
• Realizar auditorías de las funciones con regularidad para mantenerlas actualizadas y ajustarlas a los requisitos actuales.
• Crear una función básica que incluya el acceso que necesita cada usuario.
• Determinar qué funciones tienen un conjunto común de requisitos de acceso.
• Garantizar que el RBAC se integre en todos los sistemas de la organización.
• Establecer un proceso para gestionar los cambios en las funciones, incluida la configuración y la desincorporación de usuarios.
• Identificar los recursos que requieren un control de accesos.
• Incluir los principios del RBAC y cómo funciona en los programas de formación de los empleados.
• No crear demasiadas funciones.

Tipos de control de acceso basado en roles

De acuerdo con el estándar del RBAC, el control de accesos se puede dividir en cuatro tipos: básico, jerárquico, simétrico y restringido.

RBAC básico

El RBAC básico detalla los componentes clave del sistema. Se puede utilizar de manera independiente o como base para el RBAC jerárquico y el restringido. El RBAC básico se compone de cinco elementos estáticos: usuarios, funciones, permisos, operaciones y objetos. Los permisos están compuestos por las operaciones, que se aplican a los objetos.

RBAC jerárquico

El RBAC jerárquico usa una jerarquía dentro de la estructura de funciones para establecer relaciones entre las funciones (p. ej., sénior, nivel intermedio o júnior). Con el RBAC jerárquico, los usuarios con funciones sénior reciben todos los permisos de sus subordinados y aquellos específicos para sus necesidades.

RBAC simétrico

El RBAC simétrico permite a los administradores revisar las funciones de los usuarios y los permisos de las funciones para evaluar los permisos otorgados a las funciones existentes.

RBAC restringido

El RBAC restringido mejora el RBAC básico gracias a la segregación de tareas (SoD), que puede ser estática o dinámica. Con la segregación de tareas estática (SSD), ningún usuario puede poseer funciones mutuamente excluyentes. Por ejemplo, un usuario no puede realizar y aprobar una propuesta. Por su parte, la segregación de tareas dinámica (DSD) permite a los usuarios tener funciones contradictorias, pero no pueden llevar a cabo ambas funciones durante la misma sesión.

Tipos de control de acceso adicionales

Control de acceso basado en atributos (ABAC)

El control de acceso basado en atributos es una solución de autorización de usuarios que evalúa los atributos o las características de los usuarios, en vez de sus funciones, para determinar privilegios de acceso basados en las políticas de seguridad de una organización. Con el ABAC, las normas de acceso pueden ser hipergranulares.

Lista de control de accesos (ACL)

Una lista de control de accesos es un cuadro que enumera los permisos asociados a un recurso. Para cada usuario, hay una entrada que especifica los atributos de seguridad de cada objeto.

Una ACL le indica al sistema operativo qué usuarios pueden acceder a un objeto y qué acciones tienen permitido ejecutar. Se otorga o se niega el acceso en dos categorías: redes y sistemas de archivos. En cuanto a las redes, se aplica una ACL a los routers y switches para evaluar el tráfico.

La ACL también evalúa las actividades y si están permitidas en la red. El sistema de archivos usa la ACL para filtrar y gestionar el acceso a los archivos y directorios a través del sistema operativo.

Control de acceso discrecional (DAC)

El control de acceso discrecional otorga o limita el acceso a un objeto según la política determinada por sujetos propietarios o un grupo de propietarios de un objeto. El DAC concede a los usuarios un control total de sus recursos, por lo que es una alternativa menos restrictiva que otras opciones de control de accesos.

Con el DAC, si un sujeto recibe permiso para acceder a un objeto, puede:

• Permitir a los usuarios compartir sus privilegios con otros sujetos.
• Cambiar atributos de seguridad.
• Seleccionar los atributos de seguridad que se asociarán a objetos nuevos o actualizados.
• Modificar las normas que regulan el control de accesos.
• Compartir la información de los atributos con otros sujetos y objetos.

Control de acceso obligatorio (MAC)

El control de acceso obligatorio limita el acceso a los recursos según la confidencialidad de la información y el nivel de los permisos de los usuarios. Los administradores definen los criterios del MAC y luego el sistema operativo o un kernel de seguridad lo implementan; de esta forma, los usuarios no lo pueden modificar.

RBAC vs. Lista de control de accesos (ACL)

El control de acceso basado en roles y la ACL cumplen propósitos diferentes. Por ejemplo, se considera que el RBAC es la mejor opción para gestionar las aplicaciones empresariales y el acceso a los datos. Por su parte, se cree que la ACL es mejor para administrar la seguridad a nivel de usuario individual y se usa en caso de datos de bajo nivel. Además, el RBAC es una buena opción para la seguridad de la organización en su totalidad y la ACL funciona bien para otorgar acceso a un archivo específico.

RBAC vs. control de acceso basado en atributos (ABAC)

La diferencia principal entre el control de acceso basado en roles y el ABAC es la manera como se otorga el acceso. El RBAC otorga el acceso según las funciones y responsabilidades de los usuarios. Con el ABAC, se otorga el acceso de acuerdo con atributos o características, como:

Tipos de usuario

• Autorizaciones de seguridad
• Nombre de usuario
• Edad
• Puesto de trabajo
• Departamento

Hora del día

• Bloqueo del acceso a los recursos durante la noche
• Limitación de ediciones cuando el usuario no está bajo supervisión
• Restricción del acceso a materiales durante los fines de semana

Ubicación

• Restricción del acceso a un área específica (p. ej., la oficina, el campus, el país, etc.)
• Negación del acceso desde dispositivos específicos (p. ej., teléfonos celulares, computadoras portátiles con Wi-Fi, etc.)

Por lo general, las organizaciones usan el RBAC para lograr un control de acceso de granularidad gruesa, mientras que el ABAC se emplea para alcanzar un control de acceso de granularidad fina.

Implementación del RBAC

Es necesario un enfoque metódico cuando se implementa un sistema de control de acceso basado en roles. Se debe tomar el tiempo para analizar la información con el fin de garantizar que el sistema cumpla los requisitos de seguridad. A continuación, se describen los pasos específicos para implementar el RBAC.

Pasos para la implementación del RBAC

• Realice un inventario exhaustivo de todos los recursos, incluidos aplicaciones (es decir, locales y en la nube), servidores, documentos, archivos, servidor de archivos, base de datos, así como otros recursos que requieran seguridad.
• Trabaje con los directores y el departamento de recursos humanos para identificar las funciones.
• Revise todas las funciones y determine cuántas se deben incluir y cuáles se pueden agrupar en conjuntos mixtos.
• Solicite comentarios sobre las funciones e información sobre los niveles de permiso a los directores y otros sectores clave.
• Asigne permisos de acceso para las funciones.
• Desarrolle un cronograma de integración que incluya: el desarrollo del sistema, las comunicaciones dirigidas a los usuarios y la capacitación.
• Implemente el plan, esté atento a cualquier error y haga las correcciones y ajustes según sea necesario.

Mejores prácticas para gestionar la implementación del RBAC

• Cuente con una política escrita sobre cómo se debe utilizar el sistema de control de acceso basado en roles, incluida la descripción detallada del proceso para realizar cambios.
• Sea receptivo a los comentarios de los directivos y usuarios sobre cómo puede optimizarse el sistema de RBAC y realice los cambios pertinentes según sea necesario.
• Evalúe continuamente las funciones y el estado de la seguridad.
• Considere el motivo y las consecuencias de cualquier solicitud de cambio en los permisos de los usuarios antes de llevar a cabo los cambios.
• Ejecute los protocolos de seguridad relacionados con los permisos.

Ejemplos de RBAC

Ejemplos de designaciones de RBAC

Las designaciones comunes de un sistema de RBAC incluyen:

• Asignación de funciones de gestión, que asocia una función con un grupo de funciones
• Grupo de funciones de gestión, donde se pueden añadir o eliminar miembros
• Alcance de las funciones de gestión, que establece qué objetos gestiona un grupo de funciones

Ejemplos de funciones de RBAC

Con el control de acceso basado en roles, se pueden asignar a los usuarios diversas funciones dentro de una aplicación. Estas funciones difieren según el tipo de aplicación. A continuación, se muestran algunos ejemplos de funciones de RBAC.

Elementos de asignación de funciones de RBAC de Kubernetes 

• Función: especifica los permisos en el nivel del espacio de nombres
• ClusterRole: especifica los permisos en el nivel de clústeres o en el caso de espacio de nombres en todo el entorno
• Sujeto: describe a un usuario, grupo o cuenta de servicio
• RoleBinding: enumera los sujetos y sus funciones asignadas para vincular funciones con entidades en el nivel del espacio de nombres
• ClusterRoleBinding: enumera los sujetos y funciones asignadas en el nivel de clústeres para cada espacio de nombres del clúster

Elementos de asignación de funciones de RBAC de Microsoft Azure 

• Entidad: una entidad de servicio, grupo o usuario, o identidad gestionada que solicita un recurso y se le otorga el acceso
• Definición de función: un conjunto de permisos que definen lo que una entidad con una cierta función puede hacer con un recurso
• Alcance: define los recursos a los que tienen acceso las funciones, así como los niveles de permisos

Ejemplos de permisos de RBAC

Los permisos de control de acceso basado en roles se otorgan según las funciones y los requisitos de acceso. Las funciones y los permisos se ajustan al cargo de un usuario dentro de una organización, como administrador, usuario especializado o usuario final. A continuación, se presentan algunos ejemplos de permisos de RBAC:

• Administrativo: para usuarios que realizan tareas administrativas
• Facturación: para que un usuario final acceda a la cuenta de facturación
• Principal: para el contacto principal de una función o cuenta específicas
• Técnico: para los usuarios que realizan tareas técnicas

Con el RBAC, los permisos de acceso de los usuarios están vinculados a las responsabilidades y necesidades de un grupo, como el departamento de Recursos Humanos, Ventas o Finanzas. A cada función se le otorga un conjunto de permisos, como se muestra a continuación:

Beneficios del RBAC

Permite la segregación de tareas

Dado que los roles están separados, en teoría ningún usuario puede causar una filtración significativa, ya que un hacker tendría acceso limitado a los recursos permitidos para esa cuenta.

Mejora la eficiencia operativa

El control de acceso basado en roles simplifica la administración y mejora la eficiencia operativa, ya que proporciona un enfoque optimizado para asignar y gestionar los permisos de acceso. El RBAC también permite a los administradores agregar y modificar rápidamente las funciones e implementarlas en todos los sistemas operativos, plataformas y aplicaciones de forma global. Esto puede realizarse en el caso de usuarios internos y externos, incluidos aquellos que solo necesitan un acceso temporal.

Mejora el cumplimiento normativo

El control de acceso basado en roles permite a las organizaciones cumplir con los requisitos de privacidad y protección de datos establecidos en una gran cantidad de normativas al restringir el acceso a los recursos.

La automatización del acceso basado en roles también permite el cumplimiento normativo, puesto que reduce los errores humanos que podrían exponer inadvertidamente datos confidenciales a usuarios no autorizados.

De igual manera, el RBAC respalda el proceso de auditoría, lo cual ayuda a abordar los requisitos de cumplimiento normativo.

Libera valioso tiempo administrativo

Al disminuir el tiempo que invierten los administradores en los permisos a los usuarios, el control de acceso basado en roles les permite trabajar en tareas de mayor valor. Asimismo, al limitar el acceso a ciertos procesos y aplicaciones, las organizaciones pueden optimizar el uso de recursos, como el ancho de banda de la red, la memoria y el almacenamiento.

Mejora la visibilidad

El control de acceso basado en roles ofrece a los administradores y gestores de red una mayor visibilidad y supervisión de las operaciones y actividades de los usuarios. Además, les permite ver a qué recursos pueden acceder los usuarios para garantizar el cumplimiento normativo y el respeto de los protocolos de seguridad.

Logra la seguridad de confianza cero

El control de acceso basado en roles facilita la implementación y la ejecución del principio de privilegios mínimos, piedra angular de la seguridad de confianza cero. Al limitar los permisos de acceso de un usuario según sus funciones y necesidades para realizar las tareas asociadas a su función, el RBAC reduce de manera significativa el riesgo de filtraciones y fugas de datos.

RBAC para la gestión de privilegios de usuarios avanzados

El control de acceso basado en roles, una solución de eficacia probada para la seguridad centrada en el usuario, es el método más utilizado por los administradores. Es confiable y fácil de usar. El RBAC protege los recursos y permite a las organizaciones cumplir los estándares de seguridad y privacidad incluidos en muchas normativas.

Artículo

Artículo

El Guía de seguridad de la confianza cero: ¿Qué es la confianza cero?

Artículo

Riesgo cibernético

Solución

Gestión de la política de segregación de tareas

The post Control de acceso basado en roles (RBAC) appeared first on SailPoint.

Mira el webinar web

Resolviendo fácil y rápidamente la falta de gobierno de identidades de los no empleados en su estrategia de IGA

The post Mira el webinar web: Resolviendo fácil y rápidamente la falta de gobierno de identidades de los no empleados en su estrategia de IGA appeared first on SailPoint.

Reporte ESPECIAL

Horizontes de seguridad de la identidad,
2023-24

Evaluar la solidez de su estrategia de identidad

Vea una comparación entre su empresa y empresas homólogas e identifique las lagunas que hay en su recorrido hacia el siguiente hito.

Evaluar su identidad

Con la confianza de empresas líderes

The post Adopción de horizontes de seguridad de la identidad appeared first on SailPoint.

Webinar

Riesgos de SAP SoD: ¿Es posible gestionarlos?

The post Riesgos de SAP SoD: ¿Es posible gestionarlos? appeared first on SailPoint.

Reporte especial

La seguridad basada en la identidad maximiza la eficacia de la ciberseguridad

Recursos adicionales exclusivos

Evaluar la solidez de su estrategia de identidad

Vea cómo se compara su solución con la de sus homólogos e identifique las lagunas en su camino hacia el siguiente hito.

Comenzar ahora(EN)

Con la confianza de empresas líderes

The post La seguridad basada en la identidad de Gartner maximiza la eficacia de la ciberseguridad appeared first on SailPoint.

Trusted by leading companies

The SailPoint difference

Innovation & scale for identity security advantage

From the most sophisticated identity technologies to the scale to support complex, global enterprises, SailPoint makes it possible to automate and streamline your identity journey. We marry technical expertise with business acumen to deliver identity security that will drive your business forward.

The post La gestión de identidades será la clave para el cumplimiento de NIS2   appeared first on SailPoint.