Cómo encontrar el Nirvana del control de acceso a la información

La reciente detención del piloto de las Fuerzas Aéreas estadounidenses Jack Teixeira, por compartir ilegalmente información clasificada para presumir ante sus compañeros, ha puesto de relieve el debate sobre el control de acceso. En el caso de Teixeira, existían todos los ingredientes necesarios para proteger la información clasificada, pero lamentablemente parece que Teixeira y sus superiores los ignoraron y abusaron de ellos.

En la mítica tierra del Nirvana, donde todo es perfecto, los CISO tendrían todos los recursos necesarios para proteger la información corporativa. La dura realidad que cada CISO experimenta a diario es que pocas entidades disponen de recursos ilimitados. De hecho, en muchas entidades cuando llega el recorte de gastos, no es raro que los programas de seguridad que no se han posicionado (hasta ahora) como un ingrediente clave en la preservación de los ingresos se queden por el camino - si alguna vez necesitó motivación para ejercer el control de acceso a la información, ahí la tiene-.

Disponer de controles de acceso para proteger las numerosas categorías de datos de una entidad es primordial. Lo que necesitan los encargados de proteger los datos (como acertadamente expuso Joseph Carson, científico jefe de Seguridad y asesor CISO en Delinea, con quien charlé en la reciente RSAC 2023) es "conocer el camino y no el contenido". Veamos algunas de las opciones de las que disponen los CISO para evaluar quién tiene acceso a qué.

Control de acceso basado en funciones

En un gran número de casos, tiene todo el sentido conceder a un empleado, contratista o proveedor individual un acceso basado en roles, en función de su rol, si se cumplen tres condiciones.

¿La tarea o la función requieren absolutamente que se conceda acceso a los datos en cuestión?

¿Dispone la persona de autorización suficiente para requerir este nivel de acceso?

¿Está claramente definido el nivel de acceso con barandillas (políticas)?

Control de acceso basado en políticas

A medida que las organizaciones maduran, crean políticas que sirven para formar el corpus de los controles basados en políticas. En otras palabras, si no hay nada escrito de antemano que justifique que el individuo obtenga acceso a información sensible o el individuo no cumple los requisitos de una política establecida, no obtendrá acceso hasta que satisfaga los requisitos.

Individuo: A menudo se ven como ecuaciones binarias que identifican las reglas por las que se puede permitir el acceso al individuo identificado. Por ejemplo, las políticas alineadas basadas en la geografía, el puesto de trabajo, la asignación de proyectos, la investigación de antecedentes, etc., que pueden determinar los criterios que deben cumplirse antes de permitir el acceso, se reducen a una cascada de decisiones de sí/no.

Información: Políticas similares en evolución que rigen los datos en cuestión. Algunas no son negociables y sirven como requisitos gubernamentales mínimos que deben cumplirse. Aunque las políticas de datos deben superar los requisitos de cumplimiento, el viejo adagio de la infoseguridad sigue siendo válido: "Cumplimiento no es igual a seguridad". La seguridad debe ser algo más que rellenar el cartón del bingo del cumplimiento.

¿A quién pertenecen estas políticas? La respuesta no es TI o infoseguridad. Las políticas cibernéticas de toda la empresa pueden pertenecer a la entidad que es responsable en última instancia de la función: finanzas, RRHH, legal, etc. El equipo de infoseguridad está ahí para ayudar, apoyar y aplicar las políticas. Y también para asesorar sobre el cumplimiento, las excepciones y las anomalías; y, a continuación, trabajar para garantizar que se están tomando medidas para mitigar cualquier riesgo identificable.

Control de acceso basado en atributos

Para los que creían haber terminado con la lógica booleana en secundaria, ha vuelto, y el control de acceso basado en atributos (ABAC) es un excelente ejemplo de la utilidad de emplear la lógica de los árboles de decisión para determinar los permisos de acceso. La adopción de ABAC permite que el acceso a la información protegida sea "hipergranular".

El acceso de una persona puede estar definido inicialmente por su función y, desde luego, ajustarse a las políticas establecidas. Después, con ABAC, los ficheros, documentos y partes de documentos pueden ser accesibles o denegados en función de criterios establecidos que incluyen etiquetas de datos. Los atributos asignados a un individuo son la clave, y luego se aplican las políticas y herramientas asociadas con la aplicación del nivel correcto de acceso.

Por ejemplo, en el mundo de la seguridad nacional, un atributo puede ser el nivel de la clasificación de autorización de una persona. Una persona ha sido examinada para que se le permita acceder a información hasta el nivel SECRET. ABAC mantendría encriptadas partes de un determinado archivo o documento de nivel TOP SECRET, pero permitiría a la persona acceder a la información de nivel SECRET o inferior.

"Elevar la aplicación, no el usuario", comentó Carson en este contexto. Continuó diciendo que el objetivo debería ser evolucionar hacia un "acceso a los datos operativo y justo a tiempo" en comparación con un acceso persistente y permanente. De este modo, la información se expone sólo cuando y como se necesita.

En resumen, los CISO o quienes tengan entre sus funciones la seguridad de la información, tanto si carecen de recursos como si tienen el armario lleno, el único concepto que deben adoptar, independientemente del tamaño de su entidad o de su sector, es el "principio del menor privilegio". Con este principio como guía, se puede construir un modelo eficaz de control de datos basado en el papel de un individuo, las políticas apropiadas y el colofón final, "la necesidad de saber".