Repaso rápido
Repaso rápido: Controles de acceso – ISC2 CC
Esta ficha de repaso te ayuda a revisar los conceptos fundamentales de los controles de acceso antes de afrontar el quiz sobre el tema Controles de acceso.
Lo que realmente debes saber
Los controles de acceso sirven para establecer quién puede acceder a sistemas, datos, aplicaciones y recursos, y con qué permisos. Para ISC2 CC debes entender la diferencia entre identificación, autenticación, autorización y accounting.
El punto central es simple: no basta con saber quién es un usuario. También hay que verificar su identidad, asignar solo los permisos necesarios y controlar con el tiempo que esos accesos sigan siendo correctos.
Conceptos clave
- Identificación: el usuario declara quién es, por ejemplo mediante un username.
- Autenticación: el sistema verifica la identidad del usuario.
- Autorización: el sistema decide qué puede hacer el usuario.
- Accounting: registra y rastrea las actividades del usuario.
- MFA: requiere múltiples factores de autenticación.
- Least privilege: concede solo los permisos necesarios.
- Need to know: permite acceso solo a la información necesaria.
- RBAC: asigna permisos según el rol.
- Account lifecycle: gestión de las cuentas desde la creación hasta la desactivación.
- Access review: revisión periódica de los permisos asignados.
Diferencias que no debes confundir
| Concepto | Significado principal |
|---|---|
| Identificación | Declarar quién se es |
| Autenticación | Verificar la identidad |
| Autorización | Establecer qué se puede hacer |
| Accounting | Rastrear las actividades |
| MFA | Usar múltiples factores de autenticación |
| Least privilege | Dar solo los permisos necesarios |
| Need to know | Dar acceso solo a la información necesaria |
| RBAC | Gestionar permisos según los roles |
Identificación, autenticación y autorización
Estos tres conceptos se confunden a menudo en los quiz.
La identificación ocurre cuando un usuario declara su identidad, por ejemplo introduciendo un username.
La autenticación ocurre cuando el sistema verifica que el usuario sea realmente quien dice ser, por ejemplo mediante contraseña, token, huella digital o MFA.
La autorización ocurre después de la autenticación y establece qué puede hacer el usuario: leer datos, modificar archivos, acceder a una aplicación o administrar un sistema.
Ejemplo sencillo:
- username = identificación;
- contraseña o MFA = autenticación;
- permisos asignados = autorización.
Accounting y seguimiento
El accounting se refiere al registro de las actividades de los usuarios. Sirve para saber quién hizo qué, cuándo y desde dónde.
Ejemplos de accounting:
- logs de acceso;
- audit trail;
- registro de modificaciones;
- seguimiento de actividades administrativas;
- monitorización de accesos fallidos.
Para ISC2 CC debes recordar que el accounting es importante para investigaciones, auditorías, compliance y detección de comportamientos sospechosos.
MFA
La MFA, Multi-Factor Authentication, requiere múltiples factores de autenticación. Los principales factores son:
- algo que sabes, como una contraseña;
- algo que tienes, como un token o un smartphone;
- algo que eres, como una huella digital o reconocimiento biométrico.
La MFA es más segura que solo una contraseña porque reduce el riesgo de que una cuenta sea comprometida si se roba un único factor.
Least privilege
El principio de least privilege establece que usuarios, procesos y aplicaciones deben tener solo los permisos mínimos necesarios para realizar su tarea.
Esto reduce el riesgo de abuso, error humano y daños en caso de cuenta comprometida.
Ejemplo: un usuario que solo debe consultar informes no debería tener permisos de administrador.
Need to know
El principio de need to know establece que un usuario debe acceder solo a la información realmente necesaria para su trabajo.
Es similar a least privilege, pero se centra sobre todo en el acceso a la información.
Ejemplo: un empleado puede estar autorizado a acceder al sistema de RR. HH., pero no necesariamente debe ver todos los datos sensibles de los empleados si no los necesita.
RBAC
RBAC significa Role-Based Access Control. En este modelo, los permisos se asignan a los roles y los usuarios reciben accesos según el rol que ocupan.
Ejemplos de roles:
- usuario estándar;
- responsable;
- administrador;
- auditor;
- help desk.
RBAC simplifica la gestión de accesos porque evita asignar permisos manualmente usuario por usuario.
Account lifecycle
El ciclo de vida de las cuentas incluye todas las fases de gestión de una cuenta:
- creación;
- asignación de permisos;
- modificación de permisos cuando cambia el rol;
- suspensión;
- desactivación;
- eliminación de accesos que ya no son necesarios.
Un error muy común es dejar activas cuentas de usuarios que ya no trabajan en la organización o mantener privilegios antiguos después de un cambio de rol.
Access review
Las access review son controles periódicos sobre los permisos asignados a los usuarios.
Sirven para verificar que:
- los usuarios sigan necesitando los accesos concedidos;
- no haya privilegios excesivos;
- se eliminen las cuentas inactivas;
- los accesos administrativos estén justificados;
- los cambios de rol se hayan gestionado correctamente.
Las revisiones periódicas reducen el riesgo de privilege creep, es decir, la acumulación progresiva de permisos que ya no son necesarios.
Errores comunes en los quiz
- Confundir autenticación y autorización.
- Pensar que el username es autenticación.
- Pensar que la contraseña sola siempre es suficiente.
- Confundir least privilege y need to know.
- Olvidar que los accesos deben revisarse periódicamente.
- Pensar que RBAC significa dar los mismos permisos a todos.
- Olvidar desactivar cuentas que ya no se usan.
- Confundir accounting con autenticación.
Mini escenario de examen
Un empleado cambia de departamento pero mantiene todos los permisos del rol anterior, además de los nuevos permisos. Esta situación representa un problema de privilege creep.
La solución correcta es realizar una revisión de accesos y eliminar los permisos que ya no son necesarios, aplicando el principio de least privilege.
Mini checklist antes del quiz
Antes de empezar el quiz deberías saber explicar:
- la diferencia entre identificación, autenticación y autorización;
- para qué sirve el accounting;
- por qué la MFA es más segura que solo una contraseña;
- qué significa least privilege;
- qué significa need to know;
- cómo funciona RBAC;
- por qué el ciclo de vida de las cuentas es importante;
- por qué los accesos deben revisarse periódicamente;
- qué significa privilege creep.
FAQ
¿Cuál es la diferencia entre autenticación y autorización?
La autenticación verifica la identidad del usuario. La autorización establece qué puede hacer el usuario después de haber sido autenticado.
¿El username es autenticación?
No. El username sirve principalmente para identificar al usuario. La autenticación ocurre cuando el sistema verifica la identidad, por ejemplo con contraseña, MFA o biometría.
¿Por qué es importante la MFA?
La MFA reduce el riesgo de compromiso de las cuentas porque requiere múltiples factores de autenticación, no solo una contraseña.
¿Qué significa least privilege?
Significa conceder solo los permisos necesarios para realizar una tarea, evitando privilegios excesivos.
¿Qué es RBAC?
RBAC, Role-Based Access Control, es un modelo en el que los permisos se asignan a los roles y los usuarios reciben accesos según el rol ocupado.
¿Por qué hacen falta las access review?
Sirven para controlar periódicamente que los usuarios sigan teniendo solo los accesos necesarios y para eliminar permisos obsoletos o excesivos.
Ahora pon a prueba lo que has repasado
Después del repaso, pasa al quiz para comprobar si realmente has entendido los conceptos principales.