Casi dos tercios de las empresas tienen 1000 o más archivos de alto valor accesibles para cada empleado. Los sistemas de control de acceso basado en roles (RBAC) ayudan a las organizaciones a:
- Asignar roles a los empleados en función de las funciones del puesto.
- Asegúrese de que los roles y permisos se otorguen únicamente a los empleados apropiados.
Aquí presentamos 6 ejemplos reales de implementaciones de RBAC, sus desafíos, soluciones y resultados.
Ejemplos reales de RBAC
1. Banco de Dresde
Importante banco europeo con 368 funciones laborales diferentes y 1.300 puestos de trabajo.
Desafío: Gestión manual de privilegios de acceso
Los privilegios de acceso de cada empleado se gestionaban manualmente a nivel de aplicación. El mayor uso de aplicaciones internas generó una carga administrativa considerable. Mantener varios archivos de privacidad a nivel de aplicación para cada usuario resultaba ineficiente y no se ajustaba a la estructura general de la política de seguridad.
El banco modificó la estructura, la administración y los conceptos de control de su sistema de seguridad mediante la implementación de RBAC.
Agrupación específica de empleados y roles: Antes del control de acceso basado en roles (RBAC), los empleados solo podían clasificarse según su rol, jerarquía y unidad organizativa. Con el RBAC, se asignan permisos de acceso específicos para cada grupo en función de diferentes factores (datos demográficos, departamento).
Estructura de herencia: Anteriormente, el banco no tenía una estructura de herencia de roles. El puesto de gerente financiero no heredaba la titularidad de puestos estrechamente relacionados, como especialista en contabilidad o asistente de gerente de contabilidad.
El control de acceso basado en roles (RBAC) permitió al banco acceder a los derechos heredados a través de la jerarquía de roles, lo que posibilitó un control de acceso granular.
Ejemplo: Antes de la implementación de RBAC, el gerente financiero tenía que pedirle al especialista en contabilidad que editara las notas contables mensuales. Ahora, el gerente financiero accede directamente a las notas contables mensuales, ya que su cargo hereda las funciones del especialista en contabilidad. 1
2. Centro Médico Interreligioso
Organización comunitaria de atención médica y educativa con sede en EE. UU., que cuenta con múltiples sedes, 50.659 empleados y 1.459 sucursales en todo el mundo.
Desafío: Mantener el cumplimiento de la HIPAA
La ley HIPAA exige establecer controles internos basados en roles para que los empleados protejan los datos electrónicos de los pacientes contra el uso indebido.
Los administradores del Interfaith Medical Center tuvieron que configurar manualmente la base de datos para que solo los empleados autorizados (codificadores médicos, gerentes de atención médica) tuvieran acceso a los datos de los pacientes.
Solución y resultado: Los administradores de TI utilizaron funciones de administración masiva para crear, eliminar y editar numerosas cuentas de Active Directory con el fin de establecer permisos de usuario específicos en una sola operación.
Gestión de acceso centralizada: Los administradores se aseguraron de que todo el acceso a la red se realizara mediante un inicio de sesión único para cada empleado y no se compartiera.
Gestión RBAC automatizada: Tras la implementación masiva del control de acceso basado en roles, la empresa afirma que puede gestionar con confianza más de 1000 objetos de usuario, más de 750 buzones de correo y más de 850 estaciones de trabajo con dos administradores de bases de datos y cinco especialistas de soporte técnico. 2
Muchos hospitales ahora combinan el control de acceso basado en roles (RBAC) con el acceso restringido por tiempo. El cirujano obtiene acceso privilegiado solo durante la ventana de tiempo programada para la operación, y luego los permisos se restablecen automáticamente.
Estructura moderna del RBAC en el sector sanitario:
Médicos:
- Acceso completo a los historiales médicos de los pacientes.
- Capacidad para recetar medicamentos
Enfermeras:
- Acceso a planes de tratamiento y signos vitales
- No hay acceso a la modificación del diagnóstico
Personal administrativo:
- Acceso a la programación y facturación
- No hay acceso a los historiales médicos.
Personal de TI:
- Acceso a la infraestructura
- No hay visibilidad del contenido del paciente.
3. Western Union
Firma estadounidense de servicios financieros internacionales con más de 5.000 empleados y sede en Denver, Colorado.
Desafíos en la operación del almacén de identidades centralizado: Los sistemas actuales de la empresa no permitían obtener datos de origen de las numerosas aplicaciones almacenadas, lo que generaba una visión poco clara de los controles de acceso de los usuarios. Cuando los gerentes solicitaban la corrección de problemas de acceso, debían utilizar el sistema de tickets; sin embargo, este sistema no actualizaba eficazmente el perfil del usuario.
Administración de controles de acceso que consumía mucho tiempo: El tiempo dedicado a administrar los controles de acceso y a reaccionar ante los cambios normativos era considerable. Cada nuevo empleado requería acceso a entre 7 y 10 aplicaciones y los permisos correspondientes. El acceso se gestionaba manualmente y se tardaban unos 20 minutos por persona en enviar la solicitud y obtener la aprobación de primer nivel.
La empresa esperaba poder determinar quién tiene acceso a qué programas, servicios y archivos, y cómo evaluar si dicho acceso cumple con la política de seguridad.
Solución y resultado: Western Union realizó la transición a una plataforma de gestión de identidades y accesos (IAM) con capacidades RBAC para aproximadamente 750 aplicaciones.
Mayor visibilidad de la red con un almacén de identidades: Western Union comenzó a recopilar todos los datos de identidad necesarios basados en roles de los sistemas de recursos humanos en un único almacén de identidades, lo que permite una visión completa de los privilegios de acceso de los usuarios en un entorno centralizado con más de 600 aplicaciones.
Gestión robusta de la base de datos de usuarios: La empresa afirma que su solución de gestión de identidades basada en roles simplificó el procedimiento de aprovisionamiento para los departamentos que contratan nuevos empleados con frecuencia. El aprovisionamiento de 50 usuarios ahora tarda 2,5 minutos, en lugar de los 14 minutos anteriores. 3
Actualmente, los bancos y las empresas fintech consideran el RBAC como parte de un modelo de confianza cero con auditoría continua.
Estructura RBAC de los servicios financieros modernos:
Analistas de fraude:
- Acceso a patrones de transacciones
- No se pueden iniciar las transferencias.
Comerciantes:
- Puede ejecutar operaciones
- No se pueden modificar los modelos de riesgo.
Responsables de cumplimiento normativo:
- Acceso de solo lectura en todos los sistemas.
- Visibilidad del registro de auditoría
Modelos de riesgo de IA:
- Ejecutarse bajo cuentas de servicio con roles de alcance limitado.
- Sin permisos a nivel humano
Los roles de RBAC ahora se auditan de forma continua. Si el comportamiento de un empleado se desvía del patrón normal de su rol, el acceso puede restringirse temporalmente mientras se realiza la revisión.
4. Banco grande (Equipo de ingeniería de confiabilidad del sitio)
Gran banco con un equipo centralizado de ingeniería de confiabilidad de sitios (SRE) para supervisar las operaciones de seguridad de la red para todos los recursos dentro de la empresa.
Desafío: Controles de acceso manual mediante Kubernetes y despliegue en la nube.
Mantener manualmente la configuración de acceso en un número cada vez mayor de cuentas era:
- Propenso a errores
- No cumplió con ciertos controles de auditoría de red.
Solución y resultado: El banco utilizó plantillas para definir controles de acceso basados en roles (RBAC) para el equipo de SRE y los asignó a las cuentas de la organización.
Control mejorado con plantillas de políticas de acceso: Bank creó plantillas para administrar clústeres de Kubernetes y servicios en la nube para instancias de MongoDB en subcuentas. A continuación, asignó la plantilla de perfil a las cuentas de usuario y proporcionó al equipo de SRE las plantillas de políticas necesarias. Finalmente, con las plantillas de perfil basadas en roles, se habilitó el acceso de SRE en las cuentas de usuario y los administradores de subcuentas perdieron la capacidad de modificar los controles de acceso. 4
La mayoría de las empresas operan con múltiples proveedores de servicios en la nube y un estricto mapeo de permisos.
Patrón RBAC de infraestructura en la nube moderna:
Arquitectos de la nube:
- Derechos completos de diseño y aprovisionamiento
Ingenieros de DevOps:
- Permisos de despliegue y escalado
- Sin autoridad de facturación
Equipo de seguridad:
- Aplicación de políticas y acceso a auditorías
- Sin derechos de creación de recursos
Desarrolladores:
- Acceso específico del entorno (solo para desarrollo/pruebas)
Las organizaciones bloquean cada vez más los "roles comodín". Cada permiso debe estar vinculado a una función empresarial clara, lo que reduce el impacto de las cuentas comprometidas.
5. VLI
Proveedor de servicios logísticos ferroviarios en Brasil. Gestiona el sistema ferroviario, 100 locomotoras, más de 6.000 vagones, con 8.000 empleados y 1.000 contratistas.
Desafío: Controles de acceso complejos en la cadena de suministro: La empresa tuvo dificultades para asignar el acceso a los registros de movimiento de mercancías y transacciones.
El CISO de VLI declaró: “Tenemos aproximadamente 9000 empleados que necesitan utilizar diversos sistemas para mover trenes, y necesitamos un sistema controlado para una mejor sincronización; los empleados no pueden esperar para tener acceso a descargar el camión”.
Los camioneros y los operadores de trenes debían iniciar sesión continuamente en los sistemas para obtener información y realizar transacciones como parte de su rutina de transporte de carga, lo que ralentizaba el proceso y reducía la productividad. A pesar de contar con amplios equipos de TI y desarrollo, no existía ningún mecanismo para detectar o rastrear a las personas con privilegios que accedían a los servidores VLI. 5
Solución y resultado: VLI migró a una plataforma centralizada de control de acceso de usuarios.
Gestión rápida del acceso de los usuarios: VLI alcanzó la capacidad necesaria para otorgar a los usuarios adecuados acceso a los recursos pertinentes en el momento oportuno. Se redujeron los tiempos de respuesta a las solicitudes de acceso de los usuarios de 5 días a segundos.
Servidores seguros: Servidores seguros gracias a la eliminación del requisito de compartir información de inicio de sesión autorizada.
Menor riesgo de ataques de malware y ransomware: Número limitado de usuarios no administradores con acceso administrativo en los puntos finales y creación de listas de aplicaciones e instrucciones fiables y no fiables, lo que minimiza el riesgo de ciberataques.
6. Nine Entertainment
La mayor empresa de medios de comunicación de propiedad nacional de Australia.
Desafío: Permisos de control de acceso : El mantenimiento de soluciones personalizadas se convirtió en una enorme carga para el personal técnico, ya que no lograban gestionar miles de permisos de control de acceso.
Solución y resultado : Nine Entertainment creó un directorio unificado con sincronización de Active Directory en tiempo real y autenticación multifactor (MFA) para establecer procedimientos de control de acceso basado en roles (RBAC) estandarizados. 6
Gestión de acceso unificada: La empresa utiliza eficazmente más de 200 conexiones para proporcionar acceso a más de 50 aplicaciones y múltiples sitios de WordPress basándose en permisos personalizados.
Controles de autenticación mejorados: Gracias a la implementación del software, los usuarios de Nine Entertainment ya no necesitan introducir códigos MFA; la autenticación se realiza sin problemas.
Ejemplo: Gracias a las funciones de gestión de identidades y control de acceso basado en roles (RBAC), Nine Entertainment puede detectar a los usuarios que inician sesión desde cualquier ubicación, como la oficina en casa. Si el usuario necesita registrarse con autenticación basada en identidades, se le guía mediante un procedimiento de registro guiado por un asistente.
7. Empresa SaaS
Esta empresa SaaS de tamaño mediano gestiona docenas de herramientas: repositorios Git, pipelines de CI/CD, bases de datos de clientes, paneles de análisis y sistemas de gestión de incidencias.
RBAC en la práctica
Ingenieros de backend:
- Acceso de lectura/escritura a los repositorios de código de producción.
- Acceso limitado a las bases de datos de producción (a menudo de solo lectura).
- Sin acceso a los sistemas de facturación o de recursos humanos.
Gerentes de producto:
- Acceso de solo lectura a análisis y registros.
- Acceso de escritura a las herramientas de configuración del producto
- Sin acceso al código fuente ni a la infraestructura.
Agentes de atención al cliente:
- Acceso a sistemas de venta de entradas y datos de clientes anonimizados.
- No se permite el acceso directo a la base de datos ni al servidor.
Gracias a la integración de IA en las herramientas para desarrolladores, las empresas ahora pueden restringir qué roles pueden activar implementaciones automatizadas o cambios de código impulsados por IA. El control de acceso basado en roles (RBAC) evita acciones accidentales o no autorizadas iniciadas por integraciones de IA.
8. Plataforma de comercio electrónico: Protección de sistemas críticos para los ingresos
Una empresa de comercio electrónico diferencia el acceso en función del riesgo de ingresos.
RBAC en acción
Equipo de marketing:
- Acceso a herramientas de CMS, promociones y pruebas A/B
- Sin acceso a motores de precios ni pasarelas de pago.
Equipo de Merchandising:
- Acceso al catálogo de productos y al inventario
- Permisos de precios limitados
Equipo de Finanzas:
- Reembolsos, facturación y conciliación
- Sin acceso al contenido ni a la campaña.
Proveedores externos:
- Acceso temporal con restricciones de rol
- No hay movimiento lateral entre sistemas.
El sistema RBAC ahora está estrechamente integrado con los sistemas de prevención de fraude. Un cambio de rol (por ejemplo, un empleado de marketing que ayuda temporalmente al departamento de finanzas) activa flujos de trabajo de aprobación obligatorios y un registro de eventos mejorado.
9. Equipos de IA y datos: Control del acceso a modelos y datos
La adopción de la IA obligó a las empresas a replantearse el control de acceso basado en roles (RBAC).
Configuración moderna de RBAC
Científicos de datos:
- Acceso a conjuntos de datos de entrenamiento
- No se permite el acceso a los identificadores de clientes sin procesar.
Ingenieros de aprendizaje automático:
- Permisos de implementación del modelo
- Acceso limitado a los datos
Analistas de Negocios:
- Acceso únicamente al panel de control
- No se permite ninguna modificación del modelo o de los datos.
Agentes de IA:
- Roles de servicio con permisos de propósito único
- No hay acceso entre sistemas
El sistema RBAC ahora se aplica a las identidades no humanas con el mismo rigor que a los empleados.
¿Qué es RBAC?
El control de acceso basado en roles (RBAC, por sus siglas en inglés) es un modelo para gestionar el acceso de los usuarios con el fin de proteger recursos como información, aplicaciones y sistemas contra el acceso no autorizado.
Figura 1: Asignación de roles en el control de acceso basado en roles.
Problemas sin RBAC
Aplicar el principio del "privilegio mínimo" es difícil: los administradores no pueden comprender los roles y permisos de los usuarios. Es posible que no identifiquen el nivel mínimo de acceso que un empleado necesita para realizar sus tareas.
El proceso de incorporación lleva más tiempo: los permisos de usuario para los nuevos empleados se envían caso por caso a través de formularios específicos.
Los cambios de trabajo son complejos: controlar el acceso de las personas que cambian de empleo requiere solicitudes de ajuste individualizadas.
Riesgo de acceso no autorizado: Podría implicar un uso indebido, provocando un acceso duplicado (el acceso de Bert aparecería como el de Eva).
Demostración de RBAC: Asignación de roles y permisos
Consideremos un consultorio dental que se suscribe a un producto SaaS para administrar y promocionar servicios de atención médica a clientes potenciales con los siguientes módulos:
Módulo de facturación: Cobra los pagos de las compañías de seguros y de los pacientes por los servicios médicos cubiertos por los códigos de facturación dental.
Módulo de ventas: Permite a las clínicas dentales categorizar a los clientes potenciales según la probabilidad de que compren un producto o servicio.
Configurar permisos
Los administradores de consultorios dentales utilizan la interfaz de usuario del software para asignar permisos de acceso a diversas funciones empresariales.
Mediante la función de arrastrar y soltar, los administradores crean diferentes permisos: "ver", "editar", "crear" y "eliminar".
Permisos del módulo de facturación (solo para el administrador de facturación):
- Ver: códigos_de_facturación
- vista: ID_cliente
- crear: factura
Permisos del módulo de ventas (gerente de ventas):
- vista: base_de_datos_de_ventas
- crear: base_de_datos_de_ventas
- editar: base_de_datos_de_ventas
- eliminar: base_de_datos_de_ventas
Tras configurar los permisos, el administrador crea el rol de "gerente de ventas" y le asigna dichos permisos, limitando así el acceso de otros empleados a la base de datos de ventas.
Figura 2: Evaluación de las políticas RBAC para el "gerente de ventas" con elementos de la interfaz de usuario (UI).
Figura 3: Ejemplo de cómo podría verse el archivo data.json para los roles “billing_manager” y “sales_manager”:
5 beneficios de RBAC
1. Limitación del acceso excesivo
Con la transición a la infraestructura en la nube, las aplicaciones SaaS y el inicio de sesión único (SSO), es frecuente que tanto individuos como grupos hereden roles con accesos excesivos. El control de acceso basado en roles (RBAC) reduce este riesgo al definir grupos y subgrupos, de modo que los usuarios solo tengan acceso a lo que necesitan.
Ejemplo: Los usuarios envían imágenes a un concurso de las mejores fotos de viajes. Solo los jueces del concurso deben ver esas fotos. La política permite que cualquier usuario con el rol de "jueces de fotos de viajes" examine la foto "travel_photo1997.jpg".
Esto se logra mediante la evaluación RBAC, que transmite la información del grupo al motor de evaluación y determina si la entrada indicada en la solicitud de permiso pertenece a un miembro del grupo.
2. Políticas de control de acceso únicas
Los sistemas RBAC proporcionan políticas de control de acceso más detalladas y adaptadas a las necesidades de la empresa que los sistemas mainframe.
Ejemplo: Los administradores de sistemas RBAC emplean roles con fines administrativos, restringiendo el acceso a la red en función del rol de cada individuo, como por ejemplo "usuario invitado con permisos limitados".
3. Soporte a nivel de aplicación
RBAC ayuda a las empresas a tener un enfoque de acceso granular al admitir permisos a nivel de aplicación.
Ejemplo: RBAC puede asignar un conjunto de permisos en un programa de escritura que permita a los usuarios leer, editar y eliminar contenido.
4. Asignación flexible de roles
Los modelos RBAC establecen relaciones entre roles, permisos y usuarios. Dos roles pueden ser mutuamente excluyentes, lo que permite que un mismo usuario tenga dos roles. Los roles pueden heredar los permisos otorgados a otros roles.
Ejemplo: Cuando se establece un permiso, este puede asignarse a numerosos roles. Matt puede desempeñar roles tanto administrativos como de especialista financiero, mientras que Eva solo puede desempeñar el rol de especialista financiero.
5. Demostración del cumplimiento
La implementación de RBAC ayuda a las instituciones financieras y a los proveedores de atención médica a demostrar el cumplimiento de los estándares técnicos y operativos, incluidos HIPAA, PCI y PHI.
¿Por qué utilizar RBAC?
El acceso no autorizado a la red representó el 40 % de las intrusiones cibernéticas de terceros en 2023. Dado que el acceso no autorizado es uno de los principales factores que impulsan las filtraciones de datos, establecer un control de acceso basado en roles (RBAC) es fundamental, especialmente para las empresas con muchos empleados.
1. Seguridad mejorada
Riesgo minimizado de acceso no autorizado: Al asignar permisos en función de los roles en lugar de a las personas, es más fácil garantizar que los usuarios solo tengan acceso a la información y los recursos necesarios para sus funciones.
Aplique el principio de mínimo privilegio: a los usuarios se les concede el nivel mínimo de acceso necesario para realizar su trabajo, lo que reduce el riesgo de filtraciones de datos internas y la exposición a información confidencial.
2. Gestión simplificada
Facilidad de administración: Los administradores pueden asignar y gestionar fácilmente los permisos de usuario por rol, en lugar de gestionarlos individualmente.
Escalabilidad: A medida que las organizaciones crecen, los nuevos usuarios se asignan rápidamente a roles predefinidos, lo que agiliza el proceso de incorporación y garantiza políticas de control de acceso coherentes.
3. Menor riesgo de errores
Control centralizado: La gestión centralizada de roles reduce el riesgo de errores humanos en la asignación de permisos y garantiza que las políticas de acceso se apliquen de forma coherente.
Responsabilidad clara: Con el sistema RBAC es más fácil determinar la responsabilidad y la rendición de cuentas en el acceso a recursos sensibles.
4. Cumplir con la normativa
Cumplimiento normativo: RBAC ayuda a las organizaciones a cumplir con diversos requisitos normativos al garantizar que el acceso a los datos confidenciales esté controlado y documentado.
Registros de auditoría: La naturaleza basada en roles del control de acceso facilita el seguimiento y la auditoría de quién tiene acceso a qué recursos, lo que permite una mejor supervisión y elaboración de informes.
El futuro de RBAC
En todos los sectores, el RBAC ha pasado de:
Títulos de trabajo estáticos: Roles dinámicos basados en tareas
Permisos permanentes: Acceso temporal y contextual
Control exclusivamente humano: Gobernanza de la identidad humana y de la IA
El control de acceso basado en roles (RBAC) ya no se trata solo de "quién puede iniciar sesión". Se trata de quién puede actuar, cuándo y bajo qué condiciones, con la posibilidad de rastrear cada acción.
Lecturas adicionales
- Las 10 mejores herramientas de microsegmentación
- Prevención de intrusiones: ¿Cómo funciona? y 3 métodos
- Control de acceso basado en roles (RBAC)
- Segmentación de redes: 6 beneficios y 8 mejores prácticas
- Más de 80 estadísticas de seguridad de red
- Soluciones de gestión de políticas de seguridad de red (NSPM)
- Los 10 mejores programas de SDP según más de 4000 reseñas.
- Las 10 mejores herramientas de auditoría de seguridad de red según 4000 reseñas.
Enlaces de referencia
Sé el primero en comentar
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios.