Una mirada más de cerca a la autorización
¿Cómo podemos equilibrar la seguridad y la privacidad? Conoce más sobre autorización
Cuando Apple y el FBI se enfrentaron por el desbloqueo de un teléfono inteligente, los ciudadanos comunes se dieron cuenta de un problema con el que los que estamos en la industria de la seguridad hemos estado lidiando por mucho tiempo. Es decir, comenzaron a pensar en el equilibrio entre seguridad y privacidad.
El control de acceso físico, el reconocimiento de placas vehiculares (LPR, por sus siglas en inglés) y los sistemas de videovigilancia ayudan a proteger nuestros edificios, activos, comunidades y personas. Una de las formas en que lo hacen es recopilando y almacenando datos relacionados con las identidades de los usuarios: dónde están, a dónde van y qué están haciendo.
Estos datos son invaluables cuando se trata de prevenir o enjuiciar comportamientos ilegales o amenazantes, pero ¿qué pasa con los datos recopilados de quienes simplemente hacen su vida diaria?
Recopilar datos sin sacrificar la privacidad
La privacidad es importante. Después de todo, no queremos que cualquiera tenga acceso a nuestras actividades o información de identificación. Queremos estar seguros de que los datos recopilados sobre nosotros estén seguros.
A medida que los municipios, las corporaciones, los centros de datos y las instituciones altamente reguladas, como los hospitales, comparten videos y otros datos con las agencias policiales, también aumentan las preocupaciones sobre la seguridad de nuestros datos, particularmente en lo que se refiere a la privacidad.
Cuando se trata de proteger nuestros datos, las amenazas no provienen solo del exterior. Con la mayor integración y colaboración entre sistemas, hay más entidades que nunca interactuando con nuestros sistemas de seguridad y accediendo a datos privilegiados.
Además de proteger el acceso a través de los mecanismos de autenticación adecuados, debemos asegurarnos de poder controlar quién ve nuestros datos y qué puede hacer con ellos.
Ya hemos discutido cómo la encriptación evita que los datos sean descifrados por entidades no autorizadas y cómo la autenticación asegura que todos los que acceden al sistema son quienes dicen ser.
Ahora veremos cómo la autorización ayuda a proteger la privacidad al definir claramente cómo se otorga al personal autorizado acceso a datos específicos y si dicho personal puede modificar esos datos o el comportamiento del sistema.
¿Qué es la autorización?
La autorización es la función que permite a los administradores del sistema de seguridad especificar los derechos y privilegios de acceso del usuario (operador). Específicamente, los administradores restringen el alcance de la actividad cuando:
- otorgan derechos de acceso a grupos o individuos para recursos, datos o aplicaciones
- definen qué pueden hacer los usuarios con estos recursos.
En el caso de secuencias de video, la capacidad de restringir la actividad y el acceso es extremadamente importante. El acceso al video grabado o transmitido debe ser altamente seguro y protegido para garantizar la privacidad.
Autorización dentro de los sistemas de seguridad
Para proteger los datos en un sistema de seguridad, los administradores deben poder, entre otras cosas, implementar privilegios detallados de acceso de usuario, seleccionar la información que se puede compartir internamente con socios y autoridades, y controlar cuánto tiempo se guardan los datos. Las particiones lógicas y los privilegios son dos mecanismos que lo hacen posible.
Configuración de particiones lógicas
Los administradores pueden configurar particiones lógicas para determinar si uno o más usuarios pueden ver datos específicos, como video grabado. Si el usuario no tiene acceso a una partición, no podrá ver el video archivado ubicado en ella.
Definición de los privilegios de usuario
El siguiente paso es definir los privilegios de un usuario. Por ejemplo, aunque un usuario pueda ver un video archivado, sus privilegios determinarán si puede exportar, modificar o eliminar ese video. Esto asegura que las grabaciones solo sean gestionadas por aquellos investigadores con suficientes derechos de acceso. Esto minimiza el riesgo de que se envíen evidencias a partes no autorizadas.
Para eliminar aún más el error humano, las organizaciones pueden usar un servidor LDAP, como Microsoft Active Directory, para agregar y eliminar automáticamente cuentas de usuario de seguridad, otorgar derechos de acceso o eliminar usuarios cuando ya no estén trabajando con la organización.
Cuando los administradores gestionan lo que su personal puede ver y hacer, están garantizando la seguridad de los datos transmitidos y almacenados dentro de su sistema de seguridad. Esto no solo aumenta la seguridad del sistema en su conjunto, sino que también mejora la seguridad de otros sistemas conectados a él.
Para resumir lo que sabemos sobre la seguridad de nuestra seguridad, puedes leer la última publicación de nuestra serie de blogs sobre el tema.