El control de acceso hace referencia a la autorización, es decir, a los permisos que puedan tener los usuarios para realizar determinadas acciones sobre los recursos. Se podría dividir en control de acceso lógico (a los sistemas automatizados) o físico (a sistemas no automatizados o a las propias instalaciones donde están los sistemas).
El reglamento establece que debe existir una relacion actualizada de usuarios (o perfiles) y los accesos que tienen autorizados estableciendo mecanismos para evitar el acceso a aquellas zonas no autorizadas. Los usuarios sólo pueden acceder a los recursos que necesitan para poder desarrollar sus funciones (principio de mínimo privilegio).
Para empezar parece claro que el primer paso antes de nada es tener claras (documentar) las funciones y obligaciones de los usuarios (o perfiles de usuario) para luego conocer a que recursos puede acceder para poder llevarlas a cabo adecuadamente. El control de acceso se podría elaborar mediante listas de control de acceso (ALC) en la que a cada usuario se le podría asignar una serie de permisos (lectura, escritura, modificación…) sobre los recursos. Para el control de acceso a instalaciones se podrían usar las típicas tarjetas de control.
Nota: Entre las funciones del personal , si fuera necesario se deberá delegar en alguien autorizado el poder conceder, alterar, y anular el acceso a los recuros. Recordar siempre sólo el personal autorizado en el correspondiente documento podrá acceder a los recursos lógicos y físicos (incluso a las instanaciones) y que todo lo indicado aquí es de aplicación tanto para el personal del responsable como el personal ajeno a este.
Para una eficiente implementación de mecanismos de control de acceso, en casos automatizados sería recomendable (y obligatorio en caso de datos especialmente sensibles) el activar logs tanto de sistemas operativos como de aplicaciones que guarden los accesos (usuario, fecha y hora, recurso accedido, acceso autorizado o no, etc) y en los casos no automatizados el llevar algún registro en especial para aquellos realizados por personas no autorizadas. Todo esto debe quedar a disposición del responsable de seguridad para su supervisión.
El reglamento de la Ley establece que el responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer los procedimientos de identificación y autenticación necesarios para dichos accesos, es decir, disponer de mecanismos adecuados que impidan el acceso de usuarios no autorizados al sistema.
Se entiende por identificación al procedimiento que permite reconocer la identidad de un usuario (quién es) y autenticación al que permite comprobar dicha identidad (es quien dice ser). Por lo tanto el sistema deberá permitir leer los datos del usuario, compararlos con los almacenados en su base de datos y decidir si está o no autorizado para acceder.
Básicamente existen 3 tipos de técnicas/medios de autenticación de la identidad de un usuario y son las siguientes:
- Por alto que conoce (secreto): constraseña.
- Por algo que tiene: llaves.
- Por algo que es: huella dactilar.
Estas técnicas pueden usarse de forma individual o combinada según se precise mayor o menor efectividad en el mecanismo de seguridad implantado.
Es muy importante recordar que una autenticación con éxito sólo garantiza que se conoce “el secreto” pero no es capaz de diferenciar entre un usuario legítimo o no. Por ejemplo en el caso de usar contraseña, si esta ha sido comprometida por un intruso el sistema no sabrá en el momento de la autenticación si el que entra es el usuario realmente autorizado o no.
¿Qué se te da bien? ¿qué te apasiona? Estas dos preguntas son clave a la hora de decidir emprender un negocio. Creo que si eres capaz de encontrar una necesidad en la sociedad que pudieras cubrir con aquello que te apasiona aumentarán exponencialmente tus posibilidades de tener éxito. Por ejemplo, si siempre fuiste de letras y odiabas los números no pretendas dedicarte a emprender invirtiendo en bolsa o en montar una asesoría contable. ¡Deja eso para otras personas! No quiero decir que no se te pudiera dar bien, sólo que si no te gusta lo que vas a hacer estarás limitando tus oportunidades para triunfar.
Sería bueno conocer las inquietudes que tenías desde pequeño o aquellas cosas que de forma innata ya hacías bien o sin esfuerzo. También averiguar todo lo que haces bien ahora y en que te has hecho experto/a. Por ejemplo, puede que seas delineante pero llevas 8 años en natación y conoces al dedillo todos los entrecijos de ese deporte que pueda abrirte una oportunidad para emprender.
Uniendo todo se podría sacar algo que sea el inicio de una idea. Como sabes todo surge en la mente con una idea. Una vez la tengas ponte en acción para hacerla realidad. Actualmente la situación laboral en nuestro país no es la que todos desearíamos y puede ser el momento adecuado para emprender por tu cuenta. Si te interesa podrías echar un vistazo a mi artículo relacionado con la elaboración de un plan de negocio.
¿Qué se te da bien? ¿Tienes alguna idea? ¿Por qué no la coméntas? A lo mejor puedes encontrar por aquí alguién interesado en invertir en ella. ¡Mucha suerte!
