Autorización

Autorización o autorización (ver diferencias ortográficas) es la función de especificar derechos/privilegios de acceso a los recursos, que está relacionada con la seguridad general de la información y la seguridad informática, y para control de acceso en particular. Más formalmente, "autorizar" es definir una política de acceso. Por ejemplo, el personal de recursos humanos normalmente está autorizado para acceder a los registros de los empleados y esta política a menudo se formaliza como reglas de control de acceso en un sistema informático. Durante el funcionamiento, el sistema utiliza las reglas de control de acceso para decidir si las solicitudes de acceso de los consumidores (autenticados) se aprobarán (otorgarán) o rechazarán (rechazarán). Los recursos incluyen archivos individuales o datos de un elemento, programas informáticos, dispositivos informáticos y la funcionalidad proporcionada por las aplicaciones informáticas. Ejemplos de consumidores son usuarios de computadoras, software de computadora y otro hardware en la computadora.

Resumen

El control de acceso en sistemas informáticos y redes se basa en políticas de acceso. El proceso de control de acceso se puede dividir en las siguientes fases: fase de definición de políticas en la que se autoriza el acceso y fase de aplicación de políticas en la que se aprueban o desaprueban las solicitudes de acceso. La autorización es la función de la fase de definición de políticas que precede a la fase de aplicación de políticas en la que las solicitudes de acceso se aprueban o desaprueban en función de las autorizaciones previamente definidas.

La mayoría de los sistemas operativos multiusuario modernos incluyen control de acceso basado en roles (RBAC) y, por lo tanto, dependen de la autorización. El control de acceso también utiliza la autenticación para verificar la identidad de los consumidores. Cuando un consumidor intenta acceder a un recurso, el proceso de control de acceso verifica que el consumidor haya sido autorizado para usar ese recurso. La autorización es responsabilidad de una autoridad, como un administrador de departamento, dentro del dominio de la aplicación, pero a menudo se delega a un custodio, como un administrador del sistema. Las autorizaciones se expresan como políticas de acceso en algunos tipos de "aplicación de definición de políticas", p. en forma de una lista de control de acceso o una capacidad, o un punto de administración de políticas, p. XACML. Sobre la base del "principio del mínimo privilegio": los consumidores solo deberían estar autorizados a acceder a lo que necesiten para hacer su trabajo. Los sistemas operativos más antiguos y de un solo usuario a menudo tenían sistemas de control de acceso y autenticación débiles o inexistentes.

"Consumidores anónimos" o "invitados", son consumidores que no han sido requeridos para autenticarse. A menudo tienen una autorización limitada. En un sistema distribuido, a menudo es deseable otorgar acceso sin requerir una identidad única. Los ejemplos familiares de tokens de acceso incluyen claves, certificados y boletos: otorgan acceso sin probar la identidad.

Los consumidores de confianza suelen estar autorizados para acceder sin restricciones a los recursos de un sistema, pero deben verificarse para que el sistema de control de acceso pueda tomar la decisión de aprobación del acceso. "De confianza parcial" y los invitados a menudo tendrán una autorización restringida para proteger los recursos contra el acceso y uso inapropiados. La política de acceso en algunos sistemas operativos, por defecto, otorga a todos los consumidores acceso total a todos los recursos. Otros hacen lo contrario, insistiendo en que el administrador autorice explícitamente a un consumidor para usar cada recurso.

Incluso cuando el acceso se controla a través de una combinación de autenticación y listas de control de acceso, los problemas de mantenimiento de los datos de autorización no son triviales y, a menudo, representan tanta carga administrativa como la gestión de las credenciales de autenticación. A menudo es necesario cambiar o eliminar la autorización de un usuario: esto se hace cambiando o eliminando las reglas de acceso correspondientes en el sistema. El uso de la autorización atómica es una alternativa a la gestión de autorizaciones por sistema, en la que un tercero de confianza distribuye de forma segura la información de autorización.

Interpretaciones relacionadas

Política pública

En las políticas públicas, la autorización es una característica de los sistemas confiables que se utilizan para la seguridad o el control social.

Banca

En la banca, una autorización es una retención en la cuenta de un cliente cuando se realiza una compra con una tarjeta de débito o crédito.

Publicación

En la publicación, a veces se publican conferencias públicas y otros textos de libre acceso sin la aprobación del autor. Estos se llaman textos no autorizados. Un ejemplo es el 'La teoría del todo: el origen y el destino del universo' de 2002; , que se recopiló de las conferencias de Stephen Hawking y se publicó sin su permiso según la ley de derechos de autor.