Usted probablemente está familiarizado con el concepto de autenticación, la forma en que los sistemas de seguridad le desafían a demostrar su calidad de cliente, usuario o empleado ―siendo quien dice ser―, mediante una contraseña, símbolo u otra forma de acreditación. Sin embargo, puede estar menos familiarizado con el concepto de la autorización, y el término relacionado: control de acceso.
Autorización
La autenticación verifica su identidad y habilita la autorización. Una política de autorización dicta lo que su identidad tiene permitido hacer. Por ejemplo, cualquier cliente de un banco puede crear y utilizar una identidad (por ejemplo, un nombre de usuario) para iniciar sesión e ingresar al servicio en línea de ese banco pero, una vez que su identidad ha sido verificada, la política de autorización del banco debe garantizar que sólo se le autorice a usted a acceder a su cuenta individual.
La autorización se puede aplicar a los niveles más granulares que simplemente un sitio web o la intranet de una empresa. Su identidad individual puede ser incluida en un grupo de identidades que comparten una política de autorización común. Por ejemplo, imagine una base de datos que contiene tanto las compras de los clientes como la información personal y de tarjetas de crédito de un cliente. Un comerciante puede crear una política de autorización para esta base de datos a fin de permitir un acceso grupal de marketing a todas las compras del cliente, pero evitar el acceso a toda la información personal y de tarjeta de crédito de los clientes, de modo que el grupo de marketing pueda identificar productos populares para promover o colocar en promoción.
Cuando utilizamos las redes sociales, creamos políticas de autorización en forma implícita: Facebook, LinkedIn o Twitter pueden autenticar a cientos de millones de usuarios, pero hasta cierto punto nosotros podemos autorizar si o cómo esos usuarios se relacionan con nosotros. Lo mismo ocurre cuando se comparte archivos, videos o fotos desde sitios como Google Docs, Dropbox, Instagram, Pinterest o Flickr o incluso cuando se crea una carpeta "compartida" en su computadora portátil.
Controles de acceso
Considerando que las políticas de autorización definen a qué puede acceder una identidad individual o grupal, los controles de acceso (también llamados permisos o privilegios) son los métodos que utilizamos para hacer cumplir estas políticas. Veamos algunos ejemplos:
- A través de las configuraciones de Facebook –¿Quién puede ver mis cosas? ¿Quién me puede contactar? ¿Quién me puede buscar?– permitimos o denegamos el acceso a lo que publiquemos en Facebook, para los usuarios o el público.
- Las configuraciones de Google Docs nos permiten editar o compartir privilegios para los documentos que utilizamos en forma colaborativa.
- Las configuraciones de Flickr nos permiten crear o compartir álbumes o imágenes con la familia, amigos, o públicamente, bajo diferentes licencias de derechos de publicación (por ejemplo, Creative Commons).
- Los intercambios y permisos en el sistema operativo MacOS o en la solapa de seguridad del cuadro de diálogo de las propiedades de archivos de Windows OS le permiten configurar los privilegios de acceso para los archivos o carpetas individuales.
La configuración correcta de los privilegios de acceso constituye un componente fundamental para la protección de la información contra el acceso no autorizado y la protección de los sistemas informáticos respecto del abuso, pero la configuración del control de acceso es un asunto complicado. En nuestro próximo artículo veremos los ataques que actores maliciosos o delincuentes pueden llevar a cabo cuando los controles de acceso no son adecuados para impedir el uso no autorizado, la divulgación no intencional o la intervención progresiva de privilegios.