Gestión de Cuentas
Usar procesos y herramientas para asignar y gestionar la autorización de credenciales para cuentas de usuario, incluidas cuentas de administrador, así como cuentas de servicio, en activos y software empresariales.
Plantillas de Políticas Relacionadas
Salvaguardas (6)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 5.1 | Establecer y Mantener un Inventario de Cuentas | Identificar |
IG1
IG2
IG3
|
5 | 3 |
| 5.2 | Usar Contraseñas Únicas | Proteger |
IG1
IG2
IG3
|
7 | 4 |
| 5.3 | Deshabilitar Cuentas Inactivas | Responder |
IG1
IG2
IG3
|
5 | 3 |
| 5.4 | Restringir Privilegios de Administrador a Cuentas de Administrador Dedicadas | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 5.5 | Establecer y Mantener un Inventario de Cuentas de Servicio | Identificar |
IG2
IG3
|
5 | 3 |
| 5.6 | Centralizar la Gestión de Cuentas | Proteger |
IG2
IG3
|
5 | 3 |
Detalles de Verificación de Auditoría
Establecer y mantener un inventario de todas las cuentas gestionadas en la empresa. El inventario debe incluir tanto cuentas de usuario como de administrador. El inventario, como mínimo, debe contener el nombre de la persona, nombre de usuario, fechas de inicio/fin y departamento. Validar que todas las cuentas activas estén autorizadas, en un cronograma recurrente al menos trimestralmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar contraseñas únicas para todos los activos empresariales. La implementación de mejores prácticas incluye, como mínimo, una contraseña de 8 caracteres para cuentas que usan MFA y una contraseña de 14 caracteres para cuentas que no usan MFA.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
La autenticación multifactor se aplica en todos los sistemas y cuentas dentro del alcance.
Informes de estado de inscripción de MFA, configuración de política de acceso condicional
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las excepciones de MFA están documentadas, aprobadas y los controles compensatorios están implementados.
Registros de excepciones con documentación de controles compensatorios
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Estado de inscripción de MFA y configuración de aplicación | Revisado mensualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Eliminar o deshabilitar cualquier cuenta inactiva después de un período de 45 días de inactividad, donde sea soportado.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Restringir los privilegios de administrador a cuentas de administrador dedicadas en activos empresariales. Realizar actividades informáticas generales, como navegación por internet, correo electrónico y uso de suite de productividad, desde la cuenta principal no privilegiada del usuario.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener un inventario de cuentas de servicio. El inventario, como mínimo, debe contener el propietario del departamento, fecha de revisión y propósito. Realizar revisiones de cuentas de servicio para validar que todas las cuentas activas estén autorizadas, en un cronograma recurrente al menos trimestralmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Centralizar la gestión de cuentas a través de un directorio o servicio de identidad.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |