Funcionamiento de los controles de acceso

Podemos definir los controles de acceso como aquellos sistemas que, en función de la identificación y autenticación del usuario, autorizan o no su acceso a recintos, datos o recursos. El funcionamiento de los controles de acceso se compone de varios pasos, que se ejecutan de manera consecutiva: identificación, autenticación, autorización y registro de incidencias.

Funcionamiento de los controles de acceso

Cómo funcionan los controles de acceso

Los controles de acceso son aquellos sistemas de seguridad cuya función es determinar quién puede utilizar qué, gestionando los recursos, usuarios y permisos de acuerdo a una serie de criterios establecidos previamente por el administrador del sistema.

Así pues, podemos definir el control de accesos como la restricción selectiva de acceso a un lugar u otro recurso. El hecho de acceder puede tener distintos significados, como entrar, usar o consumir. El permiso para acceder a un recurso se llama autorización.

Los controles de acceso se aplican en muchos tipos de situaciones, como pueden ser el acceso físico de personas a instalaciones, el acceso de vehículos a zonas restringidas, el acceso de usuarios a sistemas informáticos, control de presencia o control horario.

Respecto al funcionamiento de los controles de acceso, básicamente los controles de acceso autorizan o no el acceso a recintos, datos o recursos, en función de la identificación y autenticación del usuario.

Los controles de acceso desempeñan su tarea en varios pasos:

  • Identificación: el usuario solicita acceso al sistema, el cual requiere al individuo algún tipo de credencial que le identifique, como puede ser un password, nombre de usuario, tarjeta o huella dactilar, que posteriormente será validada o no en el proceso de autenticación.
  • Autenticación o autentificación: el sistema verifica la identidad del usuario, es decir, comprueba si el usuario es quien dice ser, validando según sus reglas si las credenciales aportadas por el usuario en la identificación son suficientes para dar acceso al usuario o no. En función del número de credenciales necesarias para realizar la autenticación, podemos clasificar los sistemas de autenticación en dos grandes grupos: Autenticación de un factor cuando emplea credenciales pertenecientes a una única categoría, y Autenticación multi-factor cuando el proceso de autenticación requiere la presentación de credenciales pertenecientes a dos o más categorías de identificadores de usuario: algo que el usuario sabe, algo que el usuario tiene y algo que el usuario es o hace involuntariamente. Son muy comunes la Autenticación de dos factores y la Autenticación de tres factores.
  • Autorización: una vez identificado y autenticado el usuario, el sistema comprueba los permisos del usuario y verifica si está autorizado a acceder a los recursos que solicita o realizar las funciones que pretende.
  • Registro o contabilización: los controles de acceso permiten saber quién, a qué y cuándo accede, así como quién lo intenta, por lo que deben guardar un registro completo de todas las incidencias para poder controlar su actividad en todo momento. Así pues, mediante el proceso de registro o contabilización de incidencias se registran todos y cada uno de los accesos a los recursos que realizan los usuarios, autorizados o no, y se realiza un seguimiento de todas las actividades del sistema, de cara a obtener información que puede usarse posteriormente para la administración, planificación, facturación u otros propósitos. La información que típicamente se recoge en el proceso de registro es la identidad del usuario, el tipo de acceso solicitado, cuándo se solicitó el acceso y si hay un estado de reportar. El registro de incidencias puede hacerse en tiempo real, cuando los datos generados se entregan al mismo tiempo que se produce la incidencia, o por lotes, cuando se procede a la grabación de los datos de las incidencias para su entrega en algún momento posterior. Dentro de los procesos de registro o contabilización se incluye la funcionalidad de auditoría, que permite verificar la exactitud de los procedimientos llevados a cabo sobre la base de los datos generados por el sistema.

En ocasiones se engloban los dos primeros pasos en uno sólo, considerando que el proceso de autenticación incluye la identificación (IA, Identification and authentication). En estos casos se emplea la expresión Protocolo AAA (Authentication, Authorization and Accounting en inglés, Autenticación, Autorización y Contabilización) para describir un sistema de control de accesos que ofrezca los tres servicios citados.

En algunos casos se considera que las tareas de auditoría tienen entidad suficiente como para figurar separadamente de la tarea de contabilización, en cuyo caso se habla de Protocolo AAAA (Authentication, Authorization, Accounting and Auditing).