Control de acceso basado en roles (RBAC)

Explicación del control de acceso basado en roles (RBAC)

RBAC se asocia a la idea de mínimo privilegio, donde a cada usuario o proceso solo se le permite un acceso mínimo a la información, datos y recursos necesarios para llevar a cabo su rol, nada más.

Al recurrir a controles de acceso basados en roles, las organizaciones primero deben determinar qué debe hacer un usuario en particular para llevar a cabo su trabajo, y luego crear o asignar el rol correcto (políticas de acceso) que solo les permita realizar las tareas específicas relacionadas con su posición. Si en algún momento en el futuro necesitan más permisos o adicionales, solo entonces se expanden sus permisos. Se debe evitar lo contrario al crear permisos demasiado amplios y restringirlos más adelante.

¿Por qué es importante RBAC?

Los controles RBAC que implementan privilegios mínimos reducen los riesgos de seguridad de los datos y mejoran la privacidad de los datos, por lo que solo a quienes se les debe dar acceso a datos confidenciales se les otorga acceso. Hay muchos casos en los que los controles RBAC son pertinentes para su empresa. Por ejemplo, estos controles pueden ayudar a evitar que un empleado de nivel de entrada tropiece con información confidencial que podría malinterpretar. Los controles también pueden evitar que los empleados tengan acceso a una tarea de alto nivel en la que podrían intentar trabajar y que se equivoquen.

Los controles RBAC también pueden ser útiles cuando una empresa comparte información con contratistas o terceros. RBAC puede permitir que los permisos se limiten solo a la información necesaria para terceros. Con estos controles, puede estar seguro de que la información confidencial de la empresa está protegida al compartir contenido.

Los controles RBAC son útiles especialmente durante la contratación. Tradicionalmente, al contratar a un nuevo empleado se pasa por el proceso de otorgar permiso para acceder a diversos niveles de datos. Al reemplazar a un antiguo empleado, bloquea al antiguo empleado en múltiples canales y permite el permiso para cambiar innumerables contraseñas para que el nuevo empleado obtenga acceso y tenga control sobre los datos.

Sin embargo, los controles RBAC permiten que la transición de incorporar nuevos empleados y reemplazar a los antiguos empleados ocurra de manera mucho más fluida. Con RBAC, simplemente necesita cambiar su configuración para no permitir que los antiguos empleados tengan acceso a los datos y permitir que los nuevos empleados tengan acceso a los datos. Esto permite que la transición de la información y el acceso a los datos se realice de manera mucho más fluida.

Además, las organizaciones implementan controles RBAC para cumplir con los requerimientos reglamentarios de seguridad y privacidad, ya que existe un estricto control sobre cómo se accede a los datos. Esta seguridad puede ayudar a generar confianza entre los clientes y aumentar la confianza de que la información compartida con su empresa se mantiene privada. Adicionalmente, con RBAC en su lugar, las organizaciones pueden implementar la separación de tareas con respecto al acceso y uso de las aplicaciones.

Roles, Permisos y Alcances

Veamos algunos de los términos relevantes vinculados a RBAC.

El primero es la idea de un rol. Los roles se crean relacionados con el trabajo de un usuario, por lo que se le asignará un rol para niveles específicos de acceso, es decir, lo que puede o no puede hacer, definido por permisos.

Los roles pueden variar desde administrador o superusuario, hasta usuario, editor, visor, lector, etc. y cada uno consta de un puñado de permisos.

Una vez que se crea un rol, se asignan permisos para definir lo que se le permite hacer a ese rol en particular. Los permisos pueden abarcar desde privilegios completos para editar y eliminar hasta permisos parciales para redactar una política, por ejemplo, sin poder aprobarla y aprovisionar, hasta solo poder ver recursos. El mínimo privilegio es muy relevante aquí para poder asignar la menor cantidad de acceso necesaria para que un empleado pueda realizar su trabajo.

Para mejorar aún más el impacto del privilegio mínimo, podemos agregar alcances para definir o limitar a qué recursos se otorgará acceso (a través del rol correcto con permisos).

Beneficios de RBAC

Hay una serie de beneficios del control de acceso basado en roles, que incluyen:

• En lugar de otorgar permisos puntuales y ad hoc, los roles en RBAC hacen que la administración de acceso sea bien definida y repetible.
• Dejar que las organizaciones cumplan con las obligaciones de cumplimiento con respecto a la privacidad de los datos.
• Deshacerse del misterio de averiguar qué usuarios tienen qué permisos y privilegios de acceso.
• Permite una clara separación de funciones en las empresas.

Ejemplo de RBAC con microsegmentación

Veamos un ejemplo de RBAC para la creación y provisioning de políticas de microsegmentación para una aplicación ERP. El propietario de la aplicación conoce mejor la aplicación, por lo que nos gustaría que ellos creen la política, pero queremos que los administradores revisen la política y la aprovisione.

Para empezar, al propietario de la aplicación se le asigna una función de Administrador de conjunto de reglas limitadas. Ese rol tiene permisos para agregar, editar y eliminar todos los conjuntos de reglas de segmentación. Sin embargo, el alcance de dónde pueden operar se limita a la aplicación ERP, dondequiera que se encuentre en el ciclo de desarrollo y dondequiera que residan las cargas de trabajo de la aplicación ERP. En otras palabras, solo pueden ver y crear políticas para la aplicación ERP.

Una vez que el propietario del ERP haya creado las políticas de segmentación adecuadas, un rol con mayores permisos “globales” revisará y aprovisionar (push live) la política creada por el propietario de la aplicación.

Como puede ver, RBAC permite una fuerte separación de tareas entre los propietarios de aplicaciones y los administradores de TI y las organizaciones saben con precisión lo que alguien asignado al rol de administrador de conjunto de reglas puede y no puede hacer.

La diferencia entre RBAC y ABAC

El control de acceso basado en roles y el control basado en atributos (ABAC) tienen enfoques diferentes, pero ambos son tipos de métodos de control de acceso.

ABAC permite el control de acceso basado en diferentes combinaciones de atributos que un sistema puede reconocer y organizar. Los ejemplos de atributos incluyen características, tipos de acción, rol, ID, autorización de seguridad, atributos de recursos, etc. En comparación, RBAC permite el acceso dependiendo de los roles de los usuarios.

Los métodos RBAC son el mejor lugar para comenzar para el acceso básico al control del negocio. Los controles ABAC pueden ser más técnicos y, por lo tanto, más confusos si aún no está familiarizado con los métodos de control de acceso. Sin embargo, ambos pueden ser beneficiosos para cualquier negocio u organización.

Mejores Prácticas para Implementar RBAC

La implementación de RBAC puede parecer desalentadora al principio. Sin embargo, la implementación y el uso de RBAC permitirán que su organización funcione de manera más transparente y eficiente. A continuación, enumeraremos las mejores prácticas a tener en cuenta al implementar el control de acceso basado en roles en su empresa.

• Roles actuales: Puede ser difícil diferenciar entre roles dentro de su empresa. Sin embargo, establecer roles es esencial en el control de acceso basado en roles para asegurarse de que los empleados solo tengan acceso a la información que necesitan. Comience por crear roles que tengan las mismas necesidades de acceso. Por ejemplo, puede crear un rol de acceso básico que tenga acceso al correo electrónico y a la intranet corporativa. A continuación, cree roles que tengan que ver con diferentes posiciones dentro de la organización y luego cree roles que tengan que ver con personas de terceros que necesitan acceso a la información dentro de su organización. Tenga en cuenta que desea evitar la creación de demasiados roles para mantener los roles en línea con el control de acceso basado en roles y no con el control de acceso basado en el usuario.
• Asignaciones de roles: A continuación, pase por cada rol y asigne recursos a los que cada persona dentro de ese rol necesitaría tener acceso. Por ejemplo correo electrónico, sistemas de administración o bases de datos específicas.
• Escribe una guía del usuario: Es importante anotar todos los roles y el acceso disponibles para cada uno de estos roles. Este paso le ayudará en el proceso de implementación a analizar mejor qué va bien y qué se puede mejorar. Una Guía del usuario también le ayudará a la hora de asignar roles en el futuro para recordar qué acceso se otorga a cada persona dentro de ese rol.
• Implementar cambios: Una vez que haya escrito los roles, las aplicaciones asignadas y una guía del usuario terminada, asigne a los empleados a cada rol y ponga en marcha. Esta puede ser la parte más aterrorizada, pero avise a sus empleados de antemano y tenga todas las manos en la cubierta listas para ayudar en el ajuste durante las primeras semanas para ayudar a que el proceso se desarrolle de manera más fluida.
• Llevar a cabo la capacitación: Es probable que sus empleados puedan experimentar cierta frustración con los cambios dentro de la empresa. Esto es de esperar con cualquier cambio, especialmente con las transiciones de software. Para ayudar a que las cosas funcionen mejor, lleve a cabo capacitaciones para sus empleados antes y después de la implementación para ayudarlos a familiarizarse más con los cambios y sentirse más seguros en el futuro.
• Aprende y Adápate: Después de la implementación, recuerde realizar periódicamente auditorías de sus empleados, sus roles y estado de seguridad. Es probable que en las primeras semanas y meses de implementación sea necesario realizar cambios frecuentes. Después de que las cosas comiencen a funcionar de manera más fluida, continúe auditando y ajustando donde sea necesario para garantizar la mejor seguridad de la empresa.

Illumio puede proporcionarle el software necesario para implementar RBAC de manera efectiva en su empresa u organización.