Aunque a menudo la autenticación y la autorización se utilizan como sinónimos, en realidad, son procesos individuales que se emplean para proteger una organización contra los ciberataques. Dado que las filtraciones de datos siguen aumentando tanto en frecuencia como en alcance, la autenticación y la autorización son la primera línea de defensa para evitar que los datos confidenciales caigan en manos equivocadas. Por eso, la estrategia de seguridad general de cualquier organización debe incluir métodos de autenticación y de autorización sólidos.
Autenticación frente a autorización
¿Cuál es la diferencia entre autenticación y autorización? En palabras simples, la autenticación es el proceso de verificar la identidad de alguien, mientras que la autorización es el proceso de verificar a qué aplicaciones, archivos y datos específicos tiene acceso un usuario. La situación es parecida a la de una aerolínea que necesita determinar qué personas pueden subir a bordo. El primer paso es la confirmación de la identidad de un pasajero para asegurar que sea quien dice ser. Una vez que se determina la identidad de un pasajero, el siguiente paso es la verificación de cualquier servicio especial al que el pasajero tenga acceso, por ejemplo, volar en primera clase o acceso a la sala VIP.
En el mundo digital, la autenticación y la autorización cumplen los mismos objetivos. La autenticación se utiliza para verificar que los usuarios sean quienes dicen ser. Una vez confirmados, la autorización les permite a los usuarios acceder a los diferentes niveles de información y llevar a cabo funciones específicas, según las normas establecidas para los diferentes tipos de usuarios.
| Autenticación | Autorización |
| La autenticación verifica la identidad del usuario. | La autorización determina a qué recursos puede acceder un usuario. |
| La autenticación se lleva a cabo mediante contraseñas, pines de un solo uso, información biométrica y cualquier otra información que suministre o introduzca el usuario. | La autorización se lleva a cabo mediante la configuración que implementa y mantiene la organización. |
| La autenticación es el primer paso de un buen proceso de administración de identidades y accesos. | La autorización siempre ocurre después de la autenticación. |
| La autenticación es visible para el usuario y puede ser parcialmente modificada por él. | La autorización es invisible para el usuario y no puede ser modificada por él. |
| Ejemplo: Con la verificación de su identidad, los empleados pueden acceder a aplicaciones de recursos humanos (RR. HH.) que contienen su información personal de pago, periodo de vacaciones y datos de 401K. | Ejemplo: Una vez que se haya autorizado su nivel de acceso, los empleados y los directores de RR. HH. pueden acceder a diferentes niveles de datos según los permisos que establezca la organización. |
Métodos de autenticación comunes
Aunque tradicionalmente la identidad de los usuarios se validaba mediante la combinación de un nombre de usuario y contraseña, los métodos de autenticación actuales a menudo se basan en tres clases de información:
- Lo que sabe: Por lo general, se trata de una contraseña. No obstante, también puede ser la respuesta de una pregunta de seguridad o un pin de un solo uso que otorgará el acceso a solo una sesión u operación.
- Lo que posee: Podría ser un dispositivo móvil o aplicación, un token de seguridad o un tarjeta de identificación digital.
- Lo que es: Se refiere a los datos biométricos como las huellas dactilares, el escaneo de retinas o el reconocimiento facial.
Con frecuencia, este tipo de información se combina mediante múltiples capas de autenticación. Por ejemplo, se le puede pedir a un usuario que suministre un nombre de usuario y contraseña para finalizar una compra en línea. Una vez confirmado, se puede enviar un pin de un solo uso al teléfono celular del usuario, lo que representaría una segunda capa de seguridad. Gracias a la combinación de diversos método de autenticación con protocolos de autenticación coherentes, las organizaciones pueden garantizar la seguridad y la compatibilidad entre los sistemas.
Métodos de autorización comunes
Una vez que se haya autenticado el usuario, se aplican los controles de autorización para que los usuarios puedan acceder a los datos que necesitan para sus funciones específicas como añadir o eliminar información de acuerdo con los permisos que otorgue la organización. Estos permisos se pueden asignar a nivel de infraestructura, de sistema operativo o de aplicación. A continuación, se describen dos técnicas habituales de autorización:
- Controles de acceso basado en funciones (RBAC): Este método de autorización les otorga a los usuarios el acceso a la información según su función dentro de la organización. Por ejemplo, es posible que todos los empelados dentro de una empresa puedan ver, pero no modificar, su información personal de remuneración, periodo de vacaciones y datos de 401K. Sin embargo, es posible que a los directores de recursos humanos (RR. HH.) se les otorgue el acceso a la información de recursos humanos de todos los empleados junto con la capacidad de agregar, borrar y cambiar estos datos. Gracias a la asignación de permisos de acuerdo con la función de cada persona, las organizaciones pueden garantizar la productividad de cada usuario y, al mismo tiempo, limitar el acceso a información confidencial.
- Control de acceso basado en atributos (ABAC): El ABAC otorga permisos a los usuarios en un nivel más granular que el RBAC; más específicamente, mediante una serie de atributos específicos. Puede incluir atributos como el nombre del usuario, su función, organización, identificación y autorización de seguridad. También puede abarcar atributos ambientales como la hora de acceso, la ubicación de los datos y los niveles de amenaza actuales de la organización. Asimismo, incluye atributos de recursos como el propietario del recurso, el nombre del archivo y el nivel de confidencialidad de los datos. El ABAC es un proceso de autorización más complejo que el RBAC, que está diseñado para limitar aún más el acceso. Por ejemplo, en vez de permitir que todos los directores de recursos humanos de una organización modifiquen los datos de recursos humanos de los empleados, se puede limitar el acceso a ciertas ubicaciones geográficas u horas del días para mantener límites de seguridad rigurosos.
Es esencial contar con una estrategia de autorización y autenticación sólida
Una estrategia de seguridad sólida exige la protección de los recursos propios tanto con la autenticación como con la autorización. Con la implementación de una estrategia de autenticación y autorización fuerte, las organizaciones pueden verificar consistentemente la identidad de cada usuario y lo que tienen permitido hacer; esto previene cualquier actividad no autorizada que suponga una amenaza grave. Con la garantía de que todos los usuarios se identificarán de manera adecuada y accederán solo a los recursos que necesitan, las organizaciones pueden maximizar la productividad al mismo tiempo que refuerzan su seguridad en un momento en que las filtraciones de datos quitan a las empresas de sus ingresos y su reputación.
Descubra cómo SailPoint se integra con los proveedores de autenticación adecuados.
Quizás también le interese:
Asuma el control de su plataforma en la nube.
Obtenga más información sobre las integraciones de SailPoint y las soluciones de los proveedores de autenticación.