Introducción
El control de acceso es una de las medidas más importantes en seguridad de la información. Según ISO 27001 A.9.2, las organizaciones deben implementar un proceso de gestión de derechos de acceso que garantice que los usuarios tienen únicamente los privilegios necesarios para realizar su trabajo.
¿Qué es RBAC?
Role-Based Access Control (RBAC) es un modelo donde los permisos se asignan a roles, no directamente a usuarios. Los usuarios reciben roles que les otorgan los privilegios necesarios para sus funciones laborales.
Diseño de Roles
Define roles basado en funciones laborales, no en personas:
| Rol | Descripción | Acceso típico |
|---|---|---|
| Administrador TI | Gestión de infraestructura | Todos los sistemas, sudo/admin |
| Coordinador Académico | Gestión de cursos | Sistema académico, solo lectura en otros |
| Docente | Enseña y califica | Sistema académico,仅限于 sus cursos |
| Estudiante | Aprendizaje | Portal estudiante, recursos asignados |
| Invitado | Visitante temporal | Solo WiFi invitados |
Matriz de Acceso
Documenta qué rol tiene acceso a qué recurso:
| Archivo | Base Datos | Admin Sistema | WiFi
Administrador | RW | RW | RW | RW
Coordinador | R | R | - | RW
Docente | - | R | - | RW
Estudiante | R | - | - | RO
Invitado | - | - | - | RO
RW = Lectura/Escritura, R = Solo lectura, RO = Solo lectura, - = Sin accesoImplementación en Linux
# Crear grupo para cada rol
sudo groupadd admin-ti
sudo groupadd coordinadores
sudo groupadd docentes
# Agregar usuarios a grupos
sudo usermod -aG admin-ti juan.perez
sudo usermod -aG coordinadores maria.garcia
# Configurar sudo para administradores
echo "%admin-ti ALL=(ALL) ALL" >> /etc/sudoers
# Permisos basados en grupos para archivos
chgrp admin-ti /srv/datos/admin
chmod 770 /srv/datos/admin
chgrp coordinadores /srv/datos/coordinacion
chmod 750 /srv/datos/coordinacionRevisión Periódica
ISO 27001 requiere revisiones periódicas. Programa quarterly reviews:
- Validación de roles: ¿Siguen siendo necesarios?
- Remover accesos huérfanos: Usuarios sin rol activo
- Verificar principio mínimo: ¿Alguien tiene más de lo necesario?
- Documentar cambios: Log de quién tuvo acceso y por qué
Conclusión
RBAC no es un proyecto de una vez. Es un proceso continuo de gestión de acceso. Implementa la matriz de roles, automatiza la asignación donde sea posible, y revisa regularmente. Esto no solo cumple ISO 27001 sino que reduce significativamente tu superficie de ataque.