PBAC vs ABAC: ¿cuáles son las diferencias?

Con la rápida evolución de la tecnología, se está produciendo una migración masiva de industrias y grandes organizaciones a la nube. Casi todos los recursos informáticos, datos y otras entidades corporativas se almacenan ahora en la nube. Esta novedad exige medidas de seguridad más fuertes y eficaces para evitar cualquier forma de amenaza a la seguridad de la nube.

PBAC vs ABAC

El control de acceso basado en políticas (PBAC) y el control de acceso basado en atributos (ABAC) son dispositivos de control de acceso que proporcionan seguridad dentro de las organizaciones. Pero, ¿qué tipo de seguridad ofrecen y en qué principios se basan exactamente? ¿En qué se diferencian estos sistemas?

Control de acceso basado en políticas (PBAC)

El control de acceso basado en políticas, o PBAC, es una estrategia de control de acceso que integra la función de un usuario con las políticas definidas por la organización para conceder el acceso autorizado al sistema. Estas políticas se centran en las funciones del usuario y en otras características de la organización. En otras palabras, el PBAC concede el acceso a un sistema seguro en función de las políticas establecidas por la organización. Hasta cierto punto, se tiene en cuenta el rol del usuario, pero no tan a fondo como en el caso de RBAC (Role Based Access Control)¹.

¿Cuáles son los componentes del PBAC?

El PBAC, como cualquier otra medida de control de acceso, actúa sobre estos tres elementos básicos: el sujeto, el objeto y la solicitud o acción de acceso. El sujeto es el usuario que solicita el acceso al archivo o sistema seguro. Se determina por el título, la división, las cualificaciones, las certificaciones o la formación. El objeto es el recurso o la entidad a la que el sujeto quiere acceder. Puede ser un proyecto, un archivo, un documento o incluso dinero. La solicitud/acción es la operación que se realiza. Puede ser un acceso, una compra o una subvención. Para el PBAC, las políticas son los principios que la organización ha establecido cada vez que es necesario acceder a un bien seguro.

Por ejemplo, si la política de una empresa establece que sólo los responsables de equipo que lleven cinco años en su puesto pueden acceder a un archivo seguro, esto significa que el sujeto debe ser un responsable de equipo (Título), el sujeto es el archivo seguro y la acción es el acceso. Se comprueban los tres elementos; sin embargo, si el jefe de equipo sólo lleva tres años en el puesto, se le deniega el acceso al expediente debido a la política adoptada, aunque cumpla los criterios de los elementos básicos.

La política establecida por la empresa u organización es, por lo tanto, un factor decisivo en la aplicación de una estrategia de PBAC.

Control de acceso basado en atributos (ABAC)

El control de acceso basado en atributos, o ABAC, es otra estrategia de control de acceso que concede el acceso en función de los atributos del usuario. Esta estrategia de control contiene tres elementos: sujeto, objeto y acción. El entorno también forma parte de sus elementos y puede incluir la ubicación, el dispositivo o el tiempo.

PBAC vs ABAC

ABAC permite el acceso en base a los atributos del usuario. En lugar de desplazarse manualmente por la relación entre un sujeto y un objeto, el acceso está automatizado. Cuando los atributos de un sujeto cambian, el acceso del sujeto también cambia.

En una empresa, todos los miembros del equipo pueden acceder a un archivo seguro desde las 9 de la mañana hasta las 5 de la tarde todos los días, pero sólo un responsable de equipo puede acceder a él después de las 5 y hasta las 9 de la noche.

Así, en el primer caso, el sujeto son los miembros del equipo, el objeto es el archivo seguro, la acción es el acceso y el factor ambiental es la hora (9 a 17 horas). Esto significa que no puede acceder al archivo hasta que haya completado los tres primeros elementos. Así que tienes que ser un miembro del equipo que solicita permiso para acceder a un archivo seguro en particular, y todo lo que quieres es el acceso. A partir de ese momento, tiene permiso para acceder al expediente de 9 a 17 horas; fuera de este horario no se permite ninguna acción a menos que el sujeto sea un jefe de equipo.

Si uno de los miembros del equipo se convierte en responsable de equipo, el atributo se modifica para que el acceso cambie automáticamente. El nuevo jefe de equipo podrá acceder al expediente después de las 17 horas. Los expertos en seguridad no necesitan ajustar manualmente los permisos de los nuevos miembros. Lo único que tienen que hacer es cambiar el atributo.

Eficacia y limitaciones de los sistemas PBAC y ABAC

Tanto el ABAC como el PBAC tienen sus ventajas e inconvenientes. A continuación, examinaremos la eficacia de estos sistemas y sus puntos débiles.

El ABAC es un sistema exitoso en varios aspectos

  • Automatización: Con ABAC, no tiene que gestionar el control de acceso manualmente. Una vez establecido el sistema de control y definidos los atributos de cada miembro de la organización, el sistema ABAC automatiza el proceso. De este modo, en lugar de cambiar manualmente el acceso cuando cambian los roles, las reglas o las políticas, el acceso anterior se revoca para el sujeto una vez que se cambian sus atributos y el permiso correspondiente se concede automáticamente.
  • Granularidad: Una vez configurado, ABAC es muy sencillo de controlar. Si se produjeran cambios en el sistema, serían cambios en los atributos del sujeto. Esto facilita el mantenimiento del sistema, ya que no es necesario crear y modificar constantemente los roles.
  • Características de seguridad/privacidad: ABAC ofrece un alto nivel de seguridad. Puede utilizarse en empresas y organizaciones de cualquier tamaño para proteger los archivos y recursos de la empresa y de los clientes, limitando y controlando el acceso.

ABAC, un modelo complejo con visibilidad limitada

  • Complejidad: La estrategia ABAC no es muy compleja una vez que la configuración está completa. Sin embargo, la aplicación de esta configuración es especialmente difícil. Se necesita tiempo, esfuerzo y energía para reunir los atributos de cada persona y estructurarlos en función de los demás elementos que se ajustan a su descripción. El objetivo es lograr un alto nivel de precisión y evitar errores.
  • Falta de transparencia y visibilidad: ABAC no tiene el mismo nivel de transparencia y visibilidad que otras medidas de control de acceso. Es relativamente difícil identificar todos los recursos a los que puede acceder un usuario. A diferencia de RBAC, que utiliza roles, y de PBAC, que utiliza políticas, ABAC requiere una auditoría exhaustiva para saber qué sujeto puede acceder a qué recurso.

PBAC, un modelo flexible con gran capacidad de adaptación

  • Flexibilidad: PBAC es flexible y puede utilizarse en cualquier tecnología, dispositivo o aplicación. Lo único que hay que controlar es la política, que se reflejará en todos los aspectos del sistema seguro y se aplicará a todos los usuarios que deseen acceder a él.
  • Escalabilidad: Este sistema es bastante flexible y fácil de usar. Sólo tiene que escribir una política una vez, y afectará a todas las configuraciones cada vez que un usuario haga una solicitud de acceso. Ya no se depende exclusivamente del equipo de TI para tomar el control; el conjunto de políticas puede ser aplicado fácilmente por los usuarios con acceso autorizado. Se aplica al proyecto actual, así como a los proyectos futuros, hasta que se produzca un cambio en la política de la organización.

Problemas de compatibilidad del sistema PBAC

Por muy emocionante y fácil de aplicar que parezca, el PBAC no es necesariamente compatible con todas las organizaciones. No todas las organizaciones pueden establecer políticas que afecten al acceso a recursos sensibles sin comprometer la seguridad. No todas las organizaciones lo encontrarán adecuado.

PBAC vs ABAC: ¿Qué solución debo elegir para mi organización?

En términos de seguridad, ambas soluciones están a la altura y son bastante eficaces para mantener a raya las ciberamenazas. El sistema ABAC, sin embargo, alcanza un nivel de seguridad superior al de otros modelos de control de acceso. También es relativamente sofisticado y se utiliza en grandes organizaciones debido a su complejidad y coste de implantación.

El PBAC y el ABAC pueden ser complementados o incluso sustituidos por un enfoque basado en la Persona. La nueva versión de la solución inWebo IAM ofrece esta evolución.

¿Qué es el PBAC?

El control de acceso basado en políticas (PBAC) es una estrategia de control de acceso que integra la función de un usuario con las políticas de una organización para conceder acceso autorizado a un sistema. El PBAC, como cualquier otra medida de control de acceso, opera sobre estos tres elementos básicos: el sujeto, el objeto y la solicitud o acción de acceso.

¿Qué es el ABAC?

El control de acceso basado en atributos (ABAC) es una estrategia de control de acceso que contiene 3 elementos: sujeto, objeto y acción. Este último concede el acceso en función de los atributos del usuario. En lugar de desplazarse manualmente por la relación entre un sujeto y un objeto, el acceso está automatizado. Cuando los atributos de un sujeto cambian, el acceso del sujeto también cambia.

¿Por qué aplicar una estrategia de control de acceso?

En un mundo digital en rápida expansión, las grandes organizaciones y empresas confían cada vez más en la nube para almacenar sus recursos, datos y otras entidades informáticas. Por lo tanto, una estrategia de control de acceso eficaz y adecuada es esencial para prevenir cualquier forma de amenaza a la seguridad de la nube.

Autenticación fuerte MFA sin compromiso

Póngase en contacto con nosotros para una demostración o para solicitar su cuenta de prueba

Nivel de seguridad muy alto

inWebo MFA dispone de la tecnología única y patentada de claves aleatorias dinámicas que le permite ofrecer el mayor nivel de seguridad del mercado. Solución certificada por la ANSSI.

Fácil integración y despliegue

Accesible como SaaS, rico en conectores, APIs y SDKs, inWebo MFA se adapta a sus limitaciones técnicas, sin imponer otras nuevas. Desplegar un MFA rápidamente y a gran escala, sin contacto humano y sin logística.

Experiencia de usuario sin contraseña y sin dispositivos

inWebo le permite ofrecer una experiencia de usuario simplificada, extendida a todas las dimensiones de la autenticación, desde la inscripción hasta el inicio de sesión, gracias a sus tokens universales, sin contraseña y sin dispositivo.

Reciba las últimas noticias sobre autenticación fuerte

Nuestras últimas noticias

Solicite una demostración