🔐 ISO 27001

RBAC: Control de Acceso Basado en Roles según ISO 27001

← Volver al Blog

Introducción

El control de acceso es uno de los pilares fundamentales de la seguridad de la información. ISO 27001 dedica todo el dominio A.9 al control de acceso, y RBAC (Role-Based Access Control) es el modelo más eficiente para implementarlo.

¿Qué es RBAC?

RBAC asigna permisos a roles, no a usuarios individuales. Los usuarios reciben roles según sus responsabilidades. Esto simplifica enormemente la gestión y reduce errores.

Estructura RBAC

ComponenteDescripción
UsuarioPersona que accede al sistema
RolConjunto de permisos (ej: Administrador, Editor)
PermisoAcción específica sobre un recurso
RecursoArchivo, sistema, API, etc.

Roles Típicos en una Empresa

Implementación en Linux

# Crear grupo para el rol
sudo groupadd rol-desarrollo

# Agregar usuarios al rol
sudo usermod -aG rol-desarrollo maria
sudo usermod -aG rol-desarrollo juan

# Configurar permisos por rol
sudo mkdir /proyectos/web
sudo chown root:rol-desarrollo /proyectos/web
sudo chmod 770 /proyectos/web

ISO 27001: Controles A.9 Relacionados

Conclusión

RBAC no es solo una buena práctica de ISO 27001 — es una necesidad operacional. Facilita auditorías, reduce errores y hace la gestión de acceso escalable.