Qué son las políticas de seguridad basadas en el riesgo (RBAC) y cómo se implementan en la nube

Según un estudio de QBE, cerca del 16% de las grandes empresas han sufrido un ciberataque en 2024. De acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), las amenazas digitales dirigidas a las empresas españolas han aumentado significativamente en los últimos años, registrándose un incremento del 24% en los incidentes cibernéticos reportados entre 2022 y 2023.

Por ello, la implementación de herramientas específicas en ciberseguridad es cada vez más importante para proteger los sistemas empresariales frente a ciberataques que puedan comprometer la información y los datos que albergan.

Role-Based Access Control (RBAC)

El modelo de control de acceso basado en roles (RBAC) permite autorizar a los usuarios finales para acceder a sistemas, aplicaciones y datos, tomando como referencia el rol previamente asignado a cada usuario. El administrador es el encargado de gestionar estos accesos, asignando a cada usuario individual una o más funciones. Cada función representa un conjunto de permisos o privilegios para el usuario.

Por ejemplo, el director financiero de una empresa puede delegar a un usuario concreto la realización de compras, el uso de un software de previsión o el acceso a los sistemas de gestión de la cadena de suministro.

Implementar este modelo de gestión de accesos en tu empresa tiene múltiples beneficios:

  • Exposición reducida. Al limitar el acceso en función de las necesidades específicas, se evitan accesos no autorizados por parte de terceros ajenos a la empresa.

  • Cumplimiento normativo. El RBAC también ayuda a las empresas a cumplir con las regulaciones de protección de datos. Ofrece transparencia a los reguladores sobre quién, cuándo y cómo accede o modifica la información confidencial.

  • Eficiencia operativa. Optimizar la gestión de permisos agiliza tanto el onboarding como el offboarding de empleados, reduciendo el trabajo administrativo. Esto permite al equipo de IT centrarse en labores estratégicas en lugar de gestionar accesos de forma manual.

Cómo funciona el RBAC

  1. Definición de roles. Se identifican los roles dentro de la organización (por ejemplo, gerente, empleado, recursos humanos, etc.). Cada rol agrupa las responsabilidades y funciones que implican ciertos permisos.

  2. Asignación de permisos a roles. A cada rol se le otorgan permisos específicos para acceder a recursos o realizar acciones (por ejemplo, leer documentos, escribir informes, modificar configuraciones, descargar archivos, etc.). Los permisos se asocian a los roles, no directamente a los usuarios.

  3. Asignación de roles a usuarios. Una vez definidos los permisos, se asignan los roles establecidos a los usuarios concretos. Cada usuario hereda automáticamente los permisos asociados a los roles asignados.

  4. Acceso basado en roles. Cuando un usuario intenta acceder a un recurso, el sistema verifica si su rol tiene los permisos necesarios. Si los permisos están definidos para el rol, se permite el acceso; de lo contrario, se deniega.

Diferencias entre RBAC y ABAC

La principal diferencia entre el RBAC (Role-Based Access Control) y el ABAC (Attribute-Based Access Control) radica en cómo gestionan los permisos de acceso y toman decisiones para permitir o denegar el acceso a recursos.

  • RBAC. Se basa en permisos asignados según roles específicos.

  • ABAC. Los permisos se conceden en función de atributos o propiedades del usuario, del recurso, del entorno o de la acción. Por ejemplo:some text
    • Atributos de usuario: nombre, departamento, ubicación, antigüedad, etc.
    • Atributos de recurso: tipo de archivo, nivel de clasificación, propietario, etc.
    • Atributos del entorno: hora, ubicación, tipo de dispositivo, etc.

Ambos modelos protegen a las empresas contra accesos no autorizados y fugas de datos. En algunos casos, se combinan para aprovechar lo mejor de cada modelo, usando roles como base y atributos para decisiones más específicas.

Ciberataques que evitan las políticas RBAC

Como se ha mencionado, la implementación de estas políticas puede proteger a tu empresa de ciberataques que comprometan la continuidad de su actividad. Algunos de los ciberataques que pueden prevenirse incluyen:

  • Fugas de datos. Estas políticas dificultan que ciberdelincuentes que obtienen acceso a los sistemas mediante ataques de phishing o fuerza bruta escalen privilegios. Así, no podrán extraer información fuera de los sistemas de la empresa.

  • Ransomware. En caso de un ataque de ransomware, el RBAC puede limitar el alcance del acceso del malware. Los roles restringen los accesos, lo que evita que el ransomware afecte a datos o sistemas a los que el usuario comprometido no debería tener acceso.

Para que estas políticas sean efectivas, es fundamental complementarlas con otras medidas básicas de ciberseguridad, como la autenticación multifactor (2FA), el uso de contraseñas seguras o la formación en prácticas ciberseguras, como la detección de correos electrónicos fraudulentos.

Suscríbete a nuestro blog
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Escanear mi website gratis