Ahora vamos a hacer un escenario realista y complejo como lo vería un CISO.
Te voy a mostrar:

📌 Qué proteger (los activos y la información crítica)
📌 Quién accede (usuarios, departamentos, partners)
📌 Dónde y cuándo acceden (contexto: oficinas, remoto, proveedores externos)
📌 Cómo protegerlo (implementando MAC, DAC, RBAC y ABAC en capas)

🎯 CASO COMPLETO: CORPORACIÓN GLOBAL "NEXA BIOTECH"

Nexa Biotech es una multinacional farmacéutica con las siguientes características:

Oficinas en 20 países.
Centros de I+D (Investigación y Desarrollo) en 5 países.
Fábricas en 10 países.
Acceso de proveedores externos (partners, laboratorios, consultores).
Empleados híbridos (trabajan desde casa y desde oficinas).
Información ULTRA CONFIDENCIAL (nuevas patentes de medicamentos + datos médicos de pacientes en pruebas).
Infraestructura híbrida (cloud + on-premise).

🧠 Como CISO tengo que pensar:

1️⃣ ¿QUÉ proteger? (Clasificación de activos)

Activo Sensibilidad
Patentes y fórmulas de medicamentos Ultra Secreto
Datos personales de pacientes Alto
Documentación interna de proyectos Medio
Carpetas personales de empleados Bajo

2️⃣ ¿QUIÉN accede? (Roles y tipos de usuarios)

Usuario Necesidad de acceso
Científicos de I+D Solo sus propios proyectos + colaboración limitada
Administrativos / RRHH Solo datos de empleados
Consultores externos Solo proyectos específicos asignados
Proveedores Solo sistemas de pedidos e inventario
Usuarios de fábrica Solo manuales y procedimientos

3️⃣ ¿CUÁNDO y DÓNDE acceden? (Contexto dinámico)

Ubicación / Momento Restricciones
Oficina Nexa → horario laboral Acceso permitido según rol
Remoto → horario laboral Solo con VPN + MFA
Remoto → fuera de horario laboral Acceso restringido o bloqueado
Países con leyes de protección de datos Políticas específicas de bloqueo o anonimización

4️⃣ ¿CÓMO protegerlo? (Modelo de control de acceso)

Nivel de activo - Solución
- Patentes y fórmulas (Ultra secreto) MAC + ABAC → Solo acceso según etiqueta de clasificación y solo desde países autorizados.
- Datos médicos (Alto) MAC + ABAC → Etiquetas de datos sensibles + políticas dinámicas (ej: bloquear si es fuera del país o sin antivirus actualizado).
- Documentación interna (Medio) RBAC → Roles por departamento + pertenencia a grupos.
- Carpetas personales (Bajo) DAC → Los propios usuarios gestionan el acceso a sus carpetas.

✅ COMBINACIÓN DE MODELOS (Arquitectura final)

Ultra secreto → MAC + ABAC → Solo científicos autorizados + en oficinas + horario laboral. Datos confidenciales → MAC + ABAC → Acceso en base a políticas dinámicas + departamentos de privacidad. Documentación interna → RBAC → Roles de negocio / departamentos. Carpetas personales → DAC → Usuarios finales.

🚨 Purple Team → ¿Cómo se ataca y cómo se defiende?

Ataques comunes:

Phishing para robar credenciales de usuarios con acceso a patentes (RBAC/DAC vulnerable).
Malware para elevar privilegios en endpoints y robar claves (bypass de DAC y RBAC).
Exploits para acceder a datos fuera de horarios / ubicaciones permitidas (ABAC mal configurado).
Insider threat → Científico filtrando información ultra secreta (MAC mal implementado).

Defensas clave:

Aplicar MAC en información ultra sensible.
Configurar ABAC para bloquear accesos fuera de contexto (horas, geolocalización).
Revisar regularmente roles RBAC para evitar privilegios residuales.
Limitar DAC solo para carpetas personales.
DLP, SIEM y UEBA para detectar comportamientos anómalos.
Autenticación fuerte y monitoreo continuo.

✅ Resumen práctico

Como CISO, combino MAC + ABAC + RBAC + DAC según el riesgo y el contexto:

- Ultra secreto → MAC + ABAC (Restricciones estrictas + contexto dinámico)

- Sensible → MAC + ABAC (Control por etiqueta + políticas adaptativas)

- Medio → RBAC (Roles de negocio claros) - Bajo → DAC (Gestión flexible por usuarios)

Esto se implementa por capas para evitar ataques como phishing, escalada de privilegios o insiders. La clave es segmentar bien los accesos y actualizar políticas dinámicas para evitar accesos indebidos.