Page 46 - PROYECTO TEXTO
P. 46
3.2 Estrategias de Mitigación programas de formación continua para todos los
usuarios y administradores del entorno cloud [11].
Esta investigación también nos dice que la
implementación de políticas de acceso basado en roles Un ejemplo claro de esta estrategia es una empresa que
(RBAC) es esencial para proteger los datos en la nube. implementa RBAC para garantizar que solo los
administradores puedan modificar configuraciones
Modelo RBAC: El marco de gestión de entrada críticas, mientras que otros usuarios tienen acceso a
denominado Gestión de Acceso por Roles (GAR) es funciones limitadas. En la nube, los datos se
un método para controlar el acceso a la tecnología, almacenan cifrados, representados visualmente como
basándose en los diferentes cargos y responsabilidades bloques de datos rodeados por una capa de protección.
que cada miembro tiene en su organización. Su Además, el sistema de auditoría regular está en marcha
principal ventaja radica en que no concede permisos para garantizar que no haya accesos no autorizados.
directamente a los individuos, sino a los cargos que
desempeñan. Este método garantiza un control más
preciso y seguro sobre los métodos de entrada a la
tecnología [5].
El acceso a los recursos debe estar restringido a
usuarios autorizados según sus necesidades y
responsabilidades. Descubrí que, además de tener
roles bien definidos, es necesario utilizar tecnologías
como el cifrado de datos en tránsito y en reposo para
asegurar la confidencialidad y la integridad de la
información. También es clave realizar auditorías y
monitoreo continuo para detectar comportamientos
inusuales y prevenir accesos no autorizados. Una Figura 2:Esquema de roles y accesos en un sistema basado en la
nube.
estrategia de mitigación eficaz debe incluir una
combinación de políticas de acceso, tecnologías de La Fig. 2 muestra un esquema de roles y accesos en la
protección y vigilancia constante para garantizar la nube, destacando privilegios de administradores,
seguridad de los datos en la nube. usuarios limitados, protección de datos y auditoría.
Frente a las amenazas detectadas, se identificaron 3.3 Modelos de control de acceso
diversas estrategias de mitigación ampliamente
recomendadas por la literatura especializada y En el contexto de la ciberseguridad en entornos de
organismos de ciberseguridad. Entre ellas destacan:
computación en la nube, los modelos de control de
acceso son fundamentales para garantizar que los
Autenticación multifactor (MFA): Implementar usuarios tengan únicamente los permisos necesarios
múltiples capas de verificación de identidad para para realizar sus funciones. Estos modelos definen las
reducir el riesgo de accesos no autorizados [6]. reglas y políticas bajo las cuales se permite o restringe
el acceso a recursos digitales, como datos,
Cifrado de datos: Asegurar que los datos estén aplicaciones o servicios.
cifrados tanto en tránsito como en reposo, utilizando
algoritmos robustos reconocidos internacionalmente Regulación Discrecional del Acceso (DAC)
[7].
El Regulación Discrecional del Acceso (DAC, por sus
Gestión segura de configuraciones: Aplicar siglas en inglés) permite que el propietario del recurso
configuraciones predeterminadas seguras, revisar o dato decida la manera en que se controla el acceso a
periódicamente las políticas de acceso y utilizar este. Bajo esta modalidad, el propietario puede otorgar
herramientas automatizadas para detectar fallas [8]. o restringir el acceso de acuerdo a su criterio. Un
ejemplo práctico de este tipo de control de acceso son
Monitoreo continuo y análisis de amenazas: los permisos de archivos otorgados por el propietario
Implementar soluciones de monitoreo que permitan en un sistema operativo [12].
detectar actividades inusuales o maliciosas en tiempo
real [9]. Regulación Obligatoria del Acceso (MAC)
Planes de respuesta a incidentes: Establecer En cambio, la Regulación Obligatoria del Acceso
procedimientos claros para la detección, contención,
erradicación y recuperación ante incidentes de (MAC, por sus siglas en inglés) toma decisiones
seguridad [10]. de acceso basadas en la clasificación del dato y las
autorizaciones de seguridad del usuario. Este método
Concientización y capacitación del personal: se emplea mayormente en situaciones en las que la
Promover una cultura de seguridad mediante protección de datos es crucial, como en entidades
gubernamentales o fuerzas militares. En una
40
