El control de acceso obligatorio (MAC) es un enfoque de la seguridad del sistema en el que un administrador establece controles de acceso y el sistema los aplica, sin permitir que los usuarios anulen la configuración de seguridad. Esta puede ser una forma más agresiva de controlar el acceso a un sistema y puede usarse en situaciones en las que las computadoras contienen datos confidenciales o potencialmente comprometedores. El sistema decide qué usuarios, procesos y dispositivos deben tener acceso a qué áreas, y lo hace cumplir en todos los ámbitos.
Un administrador del sistema puede usar pautas preestablecidas de control de acceso obligatorio basadas en perfiles de usuario y también puede agregar medidas al sistema. Esto permite a los administradores ajustar el acceso dentro de un sistema. Una vez que se implementan estas configuraciones, solo el administrador puede anularlas. El sistema no puede otorgar acceso a una entidad sin la autorización adecuada, incluso si intenta anular la configuración. Esto cubre no solo a los usuarios de computadoras, sino también a los dispositivos y procesos conectados al sistema.
Esto contrasta con otro enfoque, conocido como control de acceso discrecional. En este modelo, los usuarios pueden anular la configuración de seguridad; por ejemplo, un usuario podría decirle a un directorio que muestre todos los archivos ocultos y tendría que hacerlo. Esto es menos seguro, ya que los usuarios pueden decidir cuánto acceso deben tener. Si encuentran barreras de acceso, simplemente pueden trabajar alrededor de ellas, en lugar de ser repelidas de un área donde no deberían estar, como bajo control de acceso obligatorio.
Para un sistema de alta seguridad, el control de acceso obligatorio es muy importante. Dichos sistemas se basan en controles para mantener la seguridad y confidencialidad de la información. Las agencias gubernamentales, las compañías financieras y otras organizaciones que mantienen datos complejos y personales deben mantenerlos seguros. A veces, esto es obligatorio por ley, y estas organizaciones deben poder proporcionar pruebas de los controles de acceso y otras medidas para proteger sus datos cuando los inspectores y auditores se lo soliciten.
En otros entornos, es posible que no se requiera el control de acceso obligatorio, pero puede ser útil. Los administradores pueden usarlo para mantener a los usuarios fuera de lugares donde no necesitan estar y para evitar problemas como cambios de configuración inadvertidos realizados por usuarios que no conocen el sistema informático. En una situación en la que varias personas usan una sola terminal de computadora, el control de acceso obligatorio puede evitar actividades no autorizadas. También puede limitar las oportunidades de enviar datos a dispositivos o procesos periféricos en un intento de evitar las medidas de seguridad.