Conocido como Role Based Access Control, por sus siglas en ingles (RBAC), o Control de Acceso Basado en Roles que busca el cumplimiento del mínimo privilegio que tantas normativas hablan (SOC, NIST, ISO, PCI, etc). Es una idea difundida de asignar permisos a usuarios basado en su rol o perfil dentro de la empresa con la finalidad de reducir riesgos de seguridad como por ejemplo, acceso no autorizado a sistemas o partes de aplicaciones, así como la asignación de responsabilidades de acuerdo al cargo o rol designado de una persona para evitar fuga de información, modificaciones accidentales o premeditadas.

Su implementación puede ser tanto sencilla como compleja de acuerdo al tamaño de la empresa así como de la cantidad de aplicaciones o servicios utilizados, pero no significa que sea imposible, la idea es empezar.

Beneficios del RBAC

El principal beneficio de usar una matriz RBAC en la empresa es la reducción de riesgos de seguridad de la información, garantizando la integridad de los datos contenidos en los sistemas administrados, pero también encontramos otros beneficios como:

• Cumplimiento a normativas internacionales como ISO27001, NIST, PCI-DSS.
• Simplificación de las tareas administrativas en la asignación de usuarios a sistemas informáticos, y se podría extender a sistemas fuera de línea.
• Unificación de roles basados en los perfiles de la empresa definidos en ISO9001.
• Tener un punto de referencia al implementar nuevos sistemas y aplicaciones al momento de definir permisos y crear los roles.
• Facilidad al auditar los sistemas

Grupos y Roles

Ocasionalmente, se entiende que un rol es un grupo de usuarios, pero no es así, normalmente dentro de un grupo se crean los roles, por ejemplo, en el grupo de Tecnología, están los roles de Técnicos de soporte, Técnicos Especialistas, Tecnólogos de Soporte, Auxiliar de Desarrollo, etc. (Realmente es un listado extenso solo para este grupo).

De acuerdo a esto, podríamos tener una mayor claridad de las diferencias entre uno y otro, el Grupo podría considerarse el área y los roles, las funciones que tienen las personas en esta área o grupo.

Consideraciones

• Un usuario puede tener más de un rol.
• Un rol puede tener otros roles (jerarquía).
• Los roles son distintos de acuerdo al área, no es lo mismo el rol de técnico de soporte sobre una aplicación a un usuario gestor de la misma.

¿Como Aplicarlo en la Empresa?

Su aplicación, como todo proceso, puede ser extenso, de varios meses, o sencillo, de tan solo un par de semanas, de acuerdo al tamaño de la empresa. Ahora, aunque no es una ley, de acuerdo a nuestra experiencia, recomendamos:

1. Cree una política teniendo en cuenta los perfiles de cargo de la compañía, donde se manifieste que todos los sistemas que se administren o gestionen deben de ser configurados con esos mismos perfiles. Es de suma importancia mencionar, que si la compañía es grande, esta política debe de ser independiente por área.
2. Dentro de la política anterior, liste las aplicaciones usadas por el área o compañía describiendo su función, también puede referenciar la matriz de inventario de aplicaciones, para que no las tenga que volver a listar.
3. Cree una matriz con estas aplicaciones / servidores, a continuación un ejemplo de una matriz sencilla, recuerda que puede ampliarla según las necesidades, como por ejemplo, usuarios externos, localización, etc.:
4. Cree los roles definidos en las aplicaciones listadas e inicie a dar los permisos.

Cuéntanos en los comentarios si ya lo tienes aplicada esta política y como lo haces.

RECUERDA QUE EN SUGEEK ENCUENTRA UN ALIADO PARA LA ADMINISTRACIÓN DE SUS SERVICIOS