Este documento describe los diferentes tipos de controles de acceso para sistemas de información, incluyendo la identificación y autenticación de usuarios, roles de usuario, transacciones, limitaciones de servicios, modalidad y ubicación de acceso. También cubre controles de acceso internos como contraseñas, encriptación y listas de control, así como controles de acceso externos como dispositivos de control de puertos y firewalls. Finalmente, enumera varios niveles de seguridad que van desde ninguna protección hasta protección verificada de alto nivel.
2. Control de acceso:
Son aquellos controles que nos
permiten saber quien interactúa
con el sistema.
Este control tiene diferentes partes:
:
Identificación y autentificación: El usuario presenta sus datos únicos de acceso,
el sistema los corrobora.
Roles: Los usuarios tienes varios niveles de autorización dependiendo de su
función en la organización.
Transacciones: requerimientos de claves en distintas transacciones.
Limitaciones a los servicios: Se restringen algunos servicios por defecto.
Modalidad de acceso: es la forma en la que se accede a los datos, ya sea
escritura, lectura, ejecución y borrado.
Ubicación: los niveles de autorización para el acceso de datos depende de la
ubicación física del usuario.
3. Control de acceso interno:
Palabras claves (passwords): claves que nos dan acceso a zonas
restringidas
Encriptación: disfraza los datos de manera que solo serán revelados
si se posee la clave necesaria.
Listas de control de accesos: Lista física de los usuarios de
determinado recurso.
Limites sobre la interfaz de usuario: restringen a los usuarios el
acceso a ciertos recursos. Se usan con las listas de control.
Etiquetas de seguridad: designaciones para los recursos que pueden
ser usados.
4. Control de acceso externo:
Dispositivos de control de puertos: autorizan el acceso a un puerto
determinado.
Firewalls o puertas de seguridad: permite bloquear o filtrar el acceso
entre redes.
Acceso de personal contratado o consultores: perfiles de bajo nivel
de autorización que siempre debe ser revisado.
Accesos públicos: se debe tener en cuenta en los sistemas que van
de cara al público ya que pueden sufrir ataques externos.
5. Niveles de seguridad
Nivel D: (ninguna protección)
Nivel C1: protección discrecional (existe un súper usuario)
Nivel C2: protección de acceso controlado
Nivel B1: seguridad etiquetada (Seguridad multinivel)
Nivel B2: protección estructurada
Nivel B3: dominios de seguridad
Nivel A: protección verificada (Nivel elevado)