UNIVERSIDAD TECNICA DE AMBATO

FACULTAD DE INGENIERÍA EN SISTEMAS, ELECTRÓNICA E INDUSTRIAL

MAESTRIA EN TECNOLOGIAS DE LA INFORMACIÓN

Security Issues and Problems: Access Control

AUTOR: MARÍA ELENA BURBANO SANTAMARÍA

DOCENTE: PH.D. LORENA BARONA LÓPEZ

INTRODUCCIÓN

La seguridad adecuada de la información y los sistemas de

información es una responsabilidad fundamental de la gestión.
Casi todas las aplicaciones que se ocupan de finanzas,
privacidad, seguridad o defensa incluyen alguna forma de
control de acceso (autorización).
El control de acceso tiene que ver con la determinación de
las actividades permitidas de los usuarios legítimos, mediando
cada intento de un usuario para acceder a un recurso en el
sistema.
QUE ES CONTROL DE ACCESO

El control de acceso es una forma de seguridad física que administra quién

tiene acceso a un área en un momento dado. Los sistemas de control de
acceso restringen el acceso a los usuarios autorizados y proporcionan un
medio para realizar un seguimiento de quién entra y sale de las áreas
seguras.

Para la seguridad informática, el control de acceso incluye la autorización,

autenticación y auditoría de la entidad que intenta obtener acceso. Los
modelos de control de acceso tienen un sujeto y un objeto. El sujeto, el
usuario humano, es el que intenta obtener acceso al objeto, generalmente
el software.

Una lista de control de acceso contiene una lista de permisos y los

usuarios a quienes se aplican estos permisos.
 TIPOS DE CONTROL DE ACCESO

Sistemas de Control de Acceso Autónomos

• Son sistemas que permiten controlar una o más puertas, sin estar conectados a un PC o un
sistema central, por lo tanto, no guardan registro de eventos.
• Aunque esta es la principal limitante, algunos controles de acceso autónomos tampoco pueden
limitar el acceso por horarios o por grupos de puertas, esto depende de la robustez de la marca.
Es decir, los más sencillos solo usan el método de identificación (ya sea clave, proximidad o
biometría) como una "llave" electrónica.

Sistemas de Control de Acceso en Red

• Son sistemas que se integran a través de un PC local o remoto, donde se hace uso de un software
de control de acceso que permite llevar un registro de todas las operaciones realizadas sobre el
sistema con fecha, horario, autorización, etc.
• Van desde aplicaciones sencillas hasta sistemas muy complejos y sofisticados según se requiera.
SISTEMAS DE CONTROL DE ACCESO

• Los sistemas de control de acceso son excelentes para las empresas

que necesitan seguridad adicional. Los sistemas de control de acceso
son una mejor alternativa a la creación de múltiples llaves para el
edificio: son un sistema de llave electrónica que prueba la identidad
antes de ingresar. Se pueden usar para una sola habitación, un edificio
completo, un lote e incluso un espacio digital.

• Con los sistemas de control de acceso, las empresas pueden crear una
gran cantidad de seguridad cuando sea necesario, asegurando que cada
persona que acceda a la red sea aprobada. Los dueños de negocios
pueden asignar roles individualmente para definir el nivel de acceso o
permitir que todos tengan la misma cantidad de acceso.
CUESTIONES A TENER EN CUENTA AL
IMPLEMENTAR UN SISTEMA CONTROL DE ACCESO
Al implementar un sistema de control de acceso, hay muchos factores a considerar.

Seguridad
• La seguridad debe ser la principal preocupación: el hardware debe ser a prueba de manipulaciones, el software debe actualizarse rutinariamente
para protegerlo contra posibles vulnerabilidades, y las credenciales no deben estar sin cifrar, copiarse o compartirse fácilmente.

Experiencia de usuario
• La experiencia del usuario es otro factor importante. El sistema de control de acceso debe ser fácil de configurar para los administradores, así
como conveniente para los empleados.

Fiabilidad
• Junto con la experiencia del usuario, la fiabilidad es crucial. Los proveedores mejoran constantemente los métodos de acceso tradicionales a través
de datos biométricos, códigos PIN y, más recientemente, credenciales de teléfonos inteligentes.

Flexibilidad
• Además, los usuarios finales deben buscar un sistema que sea flexible, que permita al usuario configurar la conveniencia y seguridad según los
requisitos del usuario. Para cumplir con esos requisitos de seguridad, idealmente debería tener autenticación de dos factores o autenticación de
múltiples factores.
 FUNCIONAMIENTO CONTROL DE ACCESO
Las fases por las que se debe pasar en un sistema de control de acceso son las siguientes.

Autenticación Autorización Acceso Administrar Auditoría

PROBLEMAS COMUNES QUE TIENEN LAS EMPRESAS
CON LOS SISTEMAS DE CONTROL DE ACCESO
• Durante años, la función principal de un sistema de control de acceso (ACS, por sus siglas
en inglés) ha sido gestionar de forma segura el acceso y los derechos de los
tarjetahabientes. Hoy en día, puede hacer mucho más.
• Las nuevas tecnologías han aumentado la interconectividad entre los sistemas de
seguridad como parte del Internet de las Cosas (IoT, por sus siglas en inglés) — la red de
dispositivos en todo el mundo que están conectados a Internet — lo que ha permitido a
los ciberdelincuentes amenazar toda la red de una organización utilizando, por ejemplo,
un sistema del control de acceso (ACS, por sus siglas en inglés) como punto de entrada.
 PROBLEMAS COMUNES QUE TIENEN LAS EMPRESAS
CON LOS SISTEMAS DE CONTROL DE ACCESO
Vulnerando la red

• La mayoría de los sistemas modernos de control de acceso se basan en el Protocolo de Internet (IP), lo cual significa que se conectan a una red a través de Internet. Esto puede brindarte beneficios adicionales que un ACS
tradicional no puede, como la capacidad de escalar fácilmente o recopilar grandes cantidades de datos útiles para mejorar la seguridad y las operaciones. Los ACS antiguos pueden ser enlazados a la red de una
organización como parte de su sistema de seguridad física, pero carecen de las funcionalidades de ciberseguridad necesarias para defenderse de las constantes ciberamenazas que evolucionan y surgen cada año.

• Los ataques de skimming, por ejemplo, suceden cuando un ciberdelincuente utiliza tu propio lector para acceder a la información de credenciales de un usuario sin su conocimiento o consentimiento. En un ataque de
espionaje, un ciberdelincuente roba datos mientras se transmiten a través de una red. Con una lista de amenazas cibernéticas en evolución y el crecimiento del IoT, los ciberdelincuentes pueden moverse a través de una
red vulnerada para obtener el control de otros sistemas de seguridad o información personal de los registros internos.

Tomando el control de otros sistemas

• Tu sistema de seguridad física es tan fuerte como su eslabón más débil; por esta razón un ciberdelincuente que vulnera un sistema de control de acceso (ACS, por sus siglas en inglés) antiguo también puede obtener el
control de los otros sistemas conectados a tu red. Esto no era un problema antes, pero la mayor interconectividad entre sistemas ha facilitado que los ciberdelincuentes usen un ACS vulnerable como punto de entrada a
toda tu base de datos.

• Una vez que el ciberdelincuente obtiene acceso a tu red a través del ACS, corres el riesgo de perder el control de tus sistemas de seguridad esenciales, como tu sistema de gestión de video. Otros sistemas conectados
también son vulnerables, como la calefacción, ventilación y aire acondicionado o los sistemas de ascensores, los cuales podrían usarse para paralizar la seguridad y las operaciones si son vulnerados.

Accediendo a información privada

• Una vez que se ha vulnerado una red, todos los datos se vuelven vulnerables, incluyendo la información confidencial almacenada internamente. Los ciberdelincuentes con frecuencia buscan moverse por una red vulnerada
para buscar la información que pueda generar la mayor ganancia financiera. Esto generalmente los lleva a datos valiosos como información personal de empleados o clientes, o datos financieros privados relacionados con
tu organización.

• A medida que los ciberdelincuentes continúan buscando formas de acceder a sistemas de seguridad y datos confidenciales, un ACS antiguo e inseguro carece de las funcionalidades para defenderse de un número creciente
de amenazas cibernéticas que evolucionan rápidamente.
PROBLEMAS COMUNES QUE TIENEN LAS EMPRESAS
CON LOS SISTEMAS DE CONTROL DE ACCESO
1. No es lo suficientemente seguro

Sin una configuración adecuada, el sistema de control de acceso de una empresa puede tener una amplia gama de vulnerabilidades. Desde contraseñas fácilmente
comprometidas hasta una gestión deficiente e incluso el uso de tarjetas de acceso, las empresas pueden quedarse cortas a la hora de proporcionar el sistema de
control de acceso más seguro y optimizado.

2. Las tarjetas de acceso carecen de autorización real

Las tarjetas de acceso son un método común de autorización en los sistemas de control de acceso entre las empresas, pero surgen algunos problemas cuando esta es
la forma en que autoriza a las personas.

3. Configuración incorrecta

Una empresa puede encontrarse con una gran cantidad de problemas cuando un sistema de control de acceso no está configurado correctamente. Analizar sus
necesidades específicas, tomar las decisiones correctas y diseñar el mejor sistema para usted requiere tiempo y experiencia. Además, debe integrarse a la perfección
con sus otras tecnologías comerciales.

4. Falta de gestión

Para utilizar correctamente los sistemas de control de acceso, las empresas necesitan a alguien que se dedique a ser el administrador. El administrador del sistema de
control de acceso juega un papel importante como el que realiza un seguimiento de todos los usuarios.
CONCLUSIÓN GENERAL

• Una vez configurado, es importante mantener su sistema de control de acceso para garantizar que
funcione de manera eficiente y óptima. Lo último que desea es reducir su seguridad debido a un sistema
o equipo obsoleto.
• El nivel de seguridad que su organización necesita mantener determinará la frecuencia con la que
necesita programar un técnico para que verifique su sistema. Es posible que su sistema deba actualizarse
cada pocos años, o podría buscar solo una actualización cada varios años. Sin embargo, si espera
demasiado para actualizar su sistema, podría ser vulnerable a los piratas informáticos.
• En los negocios, las necesidades cambian en un negocio en curso, por lo que su sistema de control de
acceso también debe actualizarse. Siempre que tenga necesidades cambiantes, es importante trabajar con
su socio de control de acceso para garantizar que su sistema sea paralelo a su negocio.