Índice
El mejor contenido en tu bandeja de entrada
El control de accesos ha cambiado radicalmente en la última década. Los nuevos sistemas y soluciones de seguridad han modificado la figura del controlador de accesos, dándole un papel más centrado en la atención al usuario y apoyándose en las soluciones digitales.
El concepto debe abordarse desde una perspectiva amplia, ya que por norma general se tiende a pensar que los controles de acceso se realizan únicamente en ubicaciones físicas, olvidando los sistemas de acceso de las plataformas digitales y web así como a sistemas de hardware sólo operables por determinados sujetos.
La incorporación de nuevos usuarios a plataformas digitales se entremezcla con el onboarding digital de nuevos clientes donde podemos conceder acceso instantáneo a productos contratados en el mismo proceso gracias a la firma electrónica y los procesos Know Your Customer.
En este artículo abordaremos la gestión y el control de accesos ahondando en sus tipos, las tecnologías que están ayudando a automatizar este servicio de seguridad y para qué sirven los sistemas de control de accesos modernos.
Que es el control de accesos
El control de accesos es una actividad de seguridad que tiene como objetivo garantizar que sólo puedan acceder una serie de usuarios y personas concretas a un determinado ámbito (oficinas, instalaciones, plataformas digitales, recintos para eventos físicos y virtuales, cajas, herramientas…). Esto también incluye espacios interiores (subáreas) y la valoración de niveles de seguridad por estratos.
Estos mecanismos de control proporcionan capas de seguridad y privacidad a entornos privados y empresariales. Se asegura la integridad física de las personas, los bienes o la información y evita cualquier riesgo (de distinta índole) y diversas amenazas según la naturaleza del espacio a proteger.
La verificación de identidad y la autenticación son parte fundamental del control de accesos, concediendo o restringiendo el acceso según los resultados al culminar estos procesos. Afortunadamente, a día de hoy gracias a tecnologías de IA y biometría, somos capaces de completarlos prácticamente de forma inmediata (segundos o milisegundos).
Controladores de accesos
Como veníamos avanzando en la introducción, la figura del controlador de accesos ha sido y sigue siendo muy relevante en este tipo de servicios de seguridad. Estos profesionales de la seguridad privada, capacitados a través de cursos de controlador de accesos, realizan tareas de evaluación, verificación y control en los espacios de los que se responsabilizan.
Estos especialistas en seguridad se apoyan cada vez más en los controles de acceso electrónicos que cuentan con identificación física y biométrica (reconocimiento facial). Esto es especialmente útil en instalaciones industriales (fábricas, laboratorios…) o en comunidades de vecinos. La combinación de estas con sistemas de videovigilancia y el trabajo del controlador de accesos crean un entorno de disuasión de accesos de no autorizados y blindan un espacio para dotar de una seguridad ágil y sin compromisos.
Controles y políticas de acceso: tipos y componentes
La informática aplicada y los servicios de seguridad electrónica han evolucionado enormemente en la última década. Aunque determinadas innovaciones cuentan con un gran tiempo a sus espaldas desde que fueran ideadas, no ha sido hasta hace poco que hemos visto cómo se han extendido y estandarizado. Las tarjetas NFC para entrar a una oficina o un gimnasio o los códigos de barras y QR leídos como llave electrónica en lectores en pantalla están en el día a día desde no hace tanto tiempo.
Por su parte, también hemos visto controles de acceso de vehículos con sistemas de proximidad o con lectura OCR de las matrículas. El control de acceso en parkings también ha innovado con sistemas biométricos o con huella digital de cara a la apertura de las barreras automáticas que habilitan el acceso rápido, intensivo o con cadenas.
Debemos tener en cuenta no sólo los sistemas que realizan estas identificaciones y autenticaciones de los usuarios, sino los sistemas de acceso físico que facilitan o impiden su entrada (puertas automáticas, tornos, bolardos, torniquetes, barreras…). La integración de estos sistemas con las nuevas tecnologías de identificación digital es ahora más sencilla y cómoda que nunca.
Cuando una entidad (persona física, sistema informático, vehículo u ordenador) solicita acceso a un recurso, debe comprobarse fehacientemente que es quien dice ser y que este usuario registrado tiene los derechos y el permiso pertinente para poder ingresar. Podemos dividir los recursos en la gestión de accesos en dos tipos principales: físicos (recinto, empresa, vivienda, oficina, país, edificio…) y lógicos (información, plataforma web, sistema informático, central de datos, aplicación…).
Sistemas de control de acceso
Un sistema de control de accesos es un conjunto de políticas, herramientas y tecnologías que funcionan de forma coordinada para obtener un desempeño global y eficiente de la gestión de las salidas, entradas y peticiones de acceso a recursos físicos o virtuales.
Las políticas de control de acceso presentes en los sistemas para este fin especifican los niveles de permiso que tiene un usuario solicitante y que puede ver su solicitud de acceso rechazada o concedida. El solicitante del acceso es conocido como “principal” y puede ser una persona, un proceso que se ejecuta en nombre de esta o un todo en el que esta está incluida denominado sujeto (una empresa, un vehículo, un proceso, un sistema informático operado por un humano) o un objeto (un dato enviado o un recurso lógico concreto como el que hemos definido antes).
En cuanto a las políticas de control de accesos, podemos encontrar cuatro tipos:
- Discrecionales (DAC - Discretionary Access Control): Según esta metodología de control de accesos, los permisos en cuanto a recurso son elegidos por el propietario de este. Cada objeto del recurso forma parte de una ACL (Lista de Control de Acceso) con los usuarios y los grupos con sus niveles especificados. Es de los más comunes y tienen implementaciones con dueño y con capacidades según el proveedor de control de acceso permitiendo transferencias y delegaciones entre usuarios del sistema de acceso.
- Obligatorias (MAC - Mandatory Access Control): En este sistema encontramos que hay una autoridad central u organización que decide las políticas de accesos, en lugar de un propietario único para cada recurso. Esto es visto en grandes multinacionales y otros sistemas algo más complejos y versátiles. Incluyen sistemas de seguridad multinivel MLS, que es bastante simple (con modelos Bell-LaPadula y Biba) para gestionar correctamente en base a la confidencialidad y la integridad de los recursos y su organización. Por su parte, los MCS (Seguridad multicategoría) es la escala inferior a los MLS con etiquetaje por usuario para acceder a los recursos. En las MAC también encontramos sistemas multilaterales que podrían compararse a los que realizan los bancos (que también utilizan modelos Clark-Wilson) o, con reservas, a los permisos de acceso a archivos en Google Drive o Dropbox.
- De Roles (RBAC- Role-Based Access Control): En estos modelos la asignación es crucial y se realiza en base a las responsabilidades de los usuarios y no a ellos mismos. En plataformas web como Hubspot y otros podemos encontrar ejemplos similares, donde debemos asignar un rol a los usuarios, que incluye una serie de derechos asociados.
- De normas (RUBAC - Rule Based Access Control): La instalación de los controles de acceso digitales en las empresas es cada vez mayor, por ello, debe abordarse desde una perspectiva profesionalizada y confiando en sistemas de control de acceso seguros y capaces.
No debemos olvidar por tanto otro de los aspectos clave que se deben tener en cuenta al instalar sistemas de control de accesos: la correcta utilización de los componentes de control de acceso y sus mecanismos. Encontramos tres que se deben entender en su orden: autenticación (confirma que el usuario es quien dice ser antes de solicitar el acceso), autorización (indica al recurso al que puede acceder el usuario autenticado y le concede el acceso) y trazabilidad (mecanismo para asegurar que el uso del recurso no excede los derechos concedidos sobre este una vez superado determinado nivel de acceso).
Controles de acceso automatizado
Controlar el flujo de personas de un espacio y el recorrido que realizarán dentro de él es también uno de los objetivos principales de un sistema de control de accesos. Es más, este resulta ser el motivo principal por el que más se están instalando en la actualidad.
Los sistemas de verificación de identidad actuales son capaces de identificar fehacientemente en milisegundos con cientos de controles anti-fraude a usuarios en cualquier circunstancia y con tan sólo un dispositivo conectado a internet con cámara. Los avances en biometría facial y de voz han permitido sistemas de control de acceso más ágiles y cómodos tanto para los usuarios como para los administradores.
Autorizar o restringir el paso de personas o usuarios a instalaciones físicas o virtuales es ahora más sencillo que nunca gracias a los software SaaS que no requieren que la organización que desee instalarlo en sus sistemas incurra en grandes inversiones iniciales.
Además, gracias al expertise de estos partners RegTech desarrolladores de software innovador, han renovado y ampliado las capacidades de los sistemas de control de acceso habilitando nuevos casos de uso como el poder dirigir a cada usuario a un agente concreto a la llegada al establecimiento (oficina bancaria, de sector de las telecomunicaciones, seguros…).
Con esto, si un nuevo cliente no registrado llega y muestra su rostro en la entrada, será redirigido a un agente cualificado para este tipo de cliente, mientras que si es un usuario ya registrado con X productos contratados y podemos observar que tiene una incidencia abierta sobre un aspecto concreto de sus servicios, le redirigiremos directamente al agente de atención al cliente más capaz de resolver su problema.
Los sistemas autónomos de control de acceso han quedado algo desfasados, ya que estos tienen bastantes brechas de seguridad y son más fácilmente hackeables. Por su parte, los sistemas centralizados son únicos y gestiona entradas e incidencias en múltiples puntos de acceso con diferentes lectores, pero no almacena información de una forma eficiente.
Es ahora cuando llegamos a los sistemas distribuidos, que controlan los accesos desde un punto de mando único en plataforma web cloud. Los administradores del sistema tienen un control en tiempo real de la trazabilidad de los usuarios que han accedido a sus espacios físicos o virtuales mientras que los usuarios tienen la misma experiencia que en los dos anteriores sistemas. La información queda compartida y almacenada de forma segura y en tiempo real.
En cuanto a los métodos de identificación, los usuarios lo tienen claro: ellos prefieren la biometría facial. Este estándar extendido gracias a su uso en los dispositivos móviles es seguro, eficiente y sencillo. Tanto las tarjetas identificativas como la huella dactilar, los teclados con código o los manuales han quedado desfasados por su facilidad para ser vulnerados. El reconocimiento facial es la apuesta de presente de la gran mayoría de organizaciones (educativas como IE) y empresas (Amazon).
Estos sistemas digitales se adaptan en función del tamaño y los niveles de seguridad y soporte al cliente que debe darse. La entrada a recintos como conciertos, festivales, congresos y también su uso ya en los aeropuertos avala su fiabilidad.
Ventajas de contar con sistemas digitales de seguridad, atención al cliente y control
Para finalizar, vamos a desgranar una serie de ventajas y beneficios del control de acceso:
- Más personalización en el trato al cliente, lo que revierte en más ventas y mejor reputación.
- Una seguridad excelente para cualquier entorno virtual o físico en el que trabajar y sus recursos asociados.
- Ahorro de tiempo y costes.
- Reducción de riesgos y de los gastos destinados a hacer frente a amenazas confirmadas.
- Mejor gestión de aforos.
- Eliminación completa del fraude de identidad y la suplantación.
- Experiencia innovadora y sencilla.