En un mundo que depende en gran medida de la tecnología, la gestión del acceso a los sistemas informáticos se ha vuelto vital para mantener la integridad de los datos y garantizar el buen funcionamiento. Equilibrar la seguridad y el acceso efectivo requiere una comprensión profunda de los requisitos técnicos y la mejor manera de lograrlos.
Para garantizar la seguridad de los datos almacenados en los sistemas informáticos, es necesario controlar quién tiene acceso a la red. De modo que se impida que personas no autorizadas trabajen en su interior. En un sistema informático multiusuario, a cada usuario se le asigna un token único, que el sistema utiliza para autenticar y controlar el uso de recursos y la duración de la sesión.
Con la evolución de las tecnologías de acceso y las complejidades de los sistemas informáticos, este artículo viene a brindarle una guía completa sobre cómo administrar y mejorar el acceso a los sistemas informáticos. Revisaremos las mejores prácticas y orientación para principiantes en este campo, con un enfoque en los pasos básicos que se deben seguir para garantizar un acceso seguro y efectivo a los sistemas.
Entonces, ¿cómo funciona todo este proceso? ¿Cómo se puede controlar el acceso a las redes? Verificar ¿Qué es el control de acceso y por qué lo necesita?
Enlaces rápidos
Introducción a la gestión de sesiones en sistemas informáticos
Para proteger la integridad, confidencialidad y usabilidad de los datos, es necesario controlar el acceso al sistema informático, es decir, evitar que personas no autorizadas trabajen en el sistema.
Una sesión es el tiempo que un usuario pasa en el sistema. La red verifica los inicios de sesión en el sistema informático al comienzo de la sesión.
Cada usuario dentro de un sistema informático multiusuario tendrá un código único asignado por el sistema. Este código ayuda a analizar qué usuario consume qué recursos y durante cuánto tiempo. Este código también es útil para mantener los derechos de operación, la información de auditoría y las estadísticas, así como la información del censo relacionada con el usuario. Sin embargo, los controles del usuario no terminan con probar el token único que usa el sistema operativo al iniciar sesión. Normalmente, el sistema genera códigos utilizando una lógica bastante simple, que no es confidencial ni segura.
Si eso suena un poco confuso, considere una escuela en su lugar. Suponga que el sistema informático de esta escuela genera códigos de usuario para los estudiantes al agregar un número de tres dígitos en orden alfabético al apellido de la familia, después del código de clase al que se relaciona. En este caso, cualquier estudiante puede adivinar fácilmente el código de su amigo.
Además del token de usuario, debe usar una segunda información específica del usuario. Hay varias formas de comprobar si la persona que quiere iniciar sesión introduciendo el código es el propietario real de la misma.
Puede agruparlos en tres categorías, desde los más simples hasta los más complejos: basados en contraseñas, basados en ID y propiedades físicas.
Control basado en contraseña
El tipo de autenticación más común para los usuarios que desean iniciar sesión es mediante una contraseña. Cuando intenta iniciar sesión ingresando un código de usuario, el sistema operativo le solicita que ingrese una contraseña que actúa como contraseña. El sistema operativo compara la contraseña ingresada por el usuario con la registrada en el sistema. Si hay una coincidencia, comienza la sesión.
La contraseña la determina el sistema operativo cuando el usuario se registra en el sistema y se la asigna. Sin embargo, el usuario normalmente puede cambiar libremente esta contraseña en cualquier momento. Los sistemas operativos almacenan contraseñas en forma cifrada en el sistema, para evitar el robo directo de claves que se mantienen como texto sin formato.
Los usuarios suelen preferir elegir contraseñas con nombres propios que sean fáciles de recordar. Esto facilita que otros adivinen estas combinaciones de palabras secretas. Alguien que intente iniciar una sesión con el token de usuario de otra persona podría obtener acceso al sistema probando una serie de contraseñas diferentes en el dispositivo, como el nombre de un perro o la fecha de nacimiento.
Los sistemas operativos implementan varias medidas para evitar intentos de adivinar estas contraseñas. Por ejemplo, a menudo hay un límite en la cantidad de contraseñas que los usuarios pueden ingresar en sucesión. Después de un cierto número de intentos, si aún no se puede ingresar la contraseña correcta, la terminal respectiva se bloqueará por un período específico. Para complicar aún más el proceso de adivinar contraseñas, se pueden usar varias contraseñas. El usuario ingresa estas contraseñas secuencialmente al comienzo de la sesión o el sistema las solicita aleatoriamente durante la operación del usuario que se ejecuta en la terminal. Esto fortalece la seguridad de la red para atrapar a usuarios no autorizados.
Sin embargo, estos controles también pueden ser inconvenientes. Esto afecta negativamente la calidad del servicio brindado, por lo tanto, en sistemas donde son necesarios controles estrictos, en lugar de un sistema complejo de contraseñas, las organizaciones recurren a tarjetas de identificación privadas o controles basados en propiedades físicas.
control de tarjeta de identificación
Un método de autenticación más confiable que el control basado en contraseñas es el uso de tarjetas de identificación. Cada usuario tiene una tarjeta de identificación legible por el sistema; Los cuales suelen contener una banda magnética donde se almacena la información de identificación del usuario. Además de esto, están las tarjetas inteligentes, donde los detalles de identificación están incrustados de forma segura dentro de la propia tarjeta. Para acceder a los sistemas informáticos, el usuario suele iniciar su sesión utilizando un lector de tarjetas integrado con un terminal para escanear su tarjeta.
Para mitigar el riesgo de robo o pérdida, las empresas suelen utilizar tarjetas de identificación junto con contraseñas. Al escanear la tarjeta, el sistema solicita al titular de la tarjeta que ingrese su contraseña; Luego, el sistema compara la contraseña ingresada con la contraseña real almacenada en la tarjeta. Si los dos coinciden, comienza la sesión.
Un ejemplo de autenticación basada en tarjetas de identificación es el sistema bancario electrónico, donde los cajeros automáticos actúan como unidades terminales privadas. Utilizan tarjetas de identificación para reforzar la seguridad y verificar las identidades de los usuarios. Verificar ¿Qué es la gestión de identidades y accesos (IAM)?.
Control basado en propiedades físicas
La verificación de identidad garantizada significa que debe confiar en información que no se puede imitar. En tales casos, en lugar de proporcionar a los usuarios tarjetas de identificación y contraseñas personalizadas, el sistema puede recurrir al uso de datos biométricos como huellas dactilares, fotos, audio y retinas, que son de naturaleza diferente de una persona a otra.
Por supuesto, tales verificaciones basadas en este tipo de información requieren el uso de dispositivos de entrada especializados, que suelen ser costosos. Por ejemplo, en los sistemas donde la verificación se basa en imágenes de los rostros de los usuarios, es fundamental que la red capture rápidamente la imagen actual de una persona que intenta ingresar al sistema a través de una cámara y tome una decisión inmediata al compararla con la imagen almacenada dentro. el sistema.
Los sistemas de reconocimiento de voz e imagen también requieren equipos especiales (¡es decir, costosos!), ya que deben mantener una alta velocidad de procesamiento. Estos costos suelen ser el mayor obstáculo para los sistemas que utilizarán mecanismos de verificación basados en propiedades físicas.
La importancia del control de acceso
Entonces, ¿por qué necesita tener un buen control sobre el acceso a las computadoras? ¡Porque los sistemas almacenan una gran cantidad de datos confidenciales importantes! Además, el control de acceso no solo protege los activos críticos, sino que también ayuda a mantener el cumplimiento de los requisitos reglamentarios y los estándares de la industria, promoviendo una cultura de confianza y responsabilidad. Reconocer y priorizar la importancia del control de acceso es esencial para promover un entorno informático seguro tanto para las personas como para las empresas. Puedes ver ahora ¿Debe subcontratar la seguridad de la red? Aquí están las ganancias y pérdidas..