Introducción
El control de acceso es uno de los pilares fundamentales de la seguridad de la información. ISO 27001 dedica todo el dominio A.9 al control de acceso, y RBAC (Role-Based Access Control) es el modelo más eficiente para implementarlo.
¿Qué es RBAC?
RBAC asigna permisos a roles, no a usuarios individuales. Los usuarios reciben roles según sus responsabilidades. Esto simplifica enormemente la gestión y reduce errores.
Estructura RBAC
| Componente | Descripción |
|---|---|
| Usuario | Persona que accede al sistema |
| Rol | Conjunto de permisos (ej: Administrador, Editor) |
| Permiso | Acción específica sobre un recurso |
| Recurso | Archivo, sistema, API, etc. |
Roles Típicos en una Empresa
- CEO/Administrador: Acceso total al sistema
- Gerente: Acceso a reportes y métricas
- Empleado: Solo a información propia
- Auditor: Acceso de solo lectura
- RH: Acceso a datos de empleados
Implementación en Linux
# Crear grupo para el rol
sudo groupadd rol-desarrollo
# Agregar usuarios al rol
sudo usermod -aG rol-desarrollo maria
sudo usermod -aG rol-desarrollo juan
# Configurar permisos por rol
sudo mkdir /proyectos/web
sudo chown root:rol-desarrollo /proyectos/web
sudo chmod 770 /proyectos/web
ISO 27001: Controles A.9 Relacionados
- A.9.1.1: Política de control de acceso
- A.9.2.1: Registro y baja de usuarios
- A.9.2.2: Asignación de privilegios
- A.9.4.1: Restricción de acceso a información
- A.9.4.3: Control de contraseñas
Conclusión
RBAC no es solo una buena práctica de ISO 27001 — es una necesidad operacional. Facilita auditorías, reduce errores y hace la gestión de acceso escalable.