Gestión de Control de Acceso
Usar procesos y herramientas para crear, asignar, gestionar y revocar credenciales de acceso y privilegios para cuentas de usuario, administrador y servicio en activos y software empresariales.
Plantillas de Políticas Relacionadas
Salvaguardas (8)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 6.1 | Establecer un Proceso de Otorgamiento de Acceso | Proteger |
IG1
IG2
IG3
|
5 | 3 |
| 6.2 | Establecer un Proceso de Revocación de Acceso | Proteger |
IG1
IG2
IG3
|
7 | 5 |
| 6.3 | Requerir MFA para Aplicaciones Expuestas Externamente | Proteger |
IG1
IG2
IG3
|
7 | 4 |
| 6.4 | Requerir MFA para Acceso Remoto a la Red | Proteger |
IG1
IG2
IG3
|
7 | 4 |
| 6.5 | Requerir MFA para Acceso Administrativo | Proteger |
IG1
IG2
IG3
|
7 | 4 |
| 6.6 | Establecer y Mantener un Inventario de Sistemas de Autenticación y Autorización | Identificar |
IG2
IG3
|
5 | 3 |
| 6.7 | Centralizar el Control de Acceso | Proteger |
IG2
IG3
|
5 | 3 |
| 6.8 | Definir y Mantener el Control de Acceso Basado en Roles | Proteger |
IG3
|
5 | 3 |
Detalles de Verificación de Auditoría
Establecer y seguir un proceso, preferiblemente automatizado, para otorgar acceso a activos empresariales al momento de una nueva contratación, otorgamiento de derechos o cambio de rol de un usuario.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y seguir un proceso, preferiblemente automatizado, para revocar el acceso a activos empresariales, mediante la deshabilitación inmediata de cuentas al momento de la terminación, revocación de derechos o cambio de rol de un usuario. Deshabilitar cuentas, en lugar de eliminarlas, puede ser necesario para preservar los rastros de auditoría.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
El registro de auditoría está habilitado en todos los sistemas dentro del alcance y se reenvía al SIEM centralizado.
Panel de estado de fuentes del SIEM, configuración de reenvío de registros
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Los registros se retienen según el período de retención definido y se revisan según el calendario.
Configuración de política de retención, registros de revisión de logs
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Requerir que todas las aplicaciones empresariales o de terceros expuestas externamente apliquen MFA, donde sea soportado. Aplicar MFA a través de un servicio de directorio o proveedor SSO es una implementación satisfactoria de esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
La autenticación multifactor se aplica en todos los sistemas y cuentas dentro del alcance.
Informes de estado de inscripción de MFA, configuración de política de acceso condicional
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las excepciones de MFA están documentadas, aprobadas y los controles compensatorios están implementados.
Registros de excepciones con documentación de controles compensatorios
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Estado de inscripción de MFA y configuración de aplicación | Revisado mensualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Requerir MFA para acceso remoto a la red.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
La autenticación multifactor se aplica en todos los sistemas y cuentas dentro del alcance.
Informes de estado de inscripción de MFA, configuración de política de acceso condicional
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las excepciones de MFA están documentadas, aprobadas y los controles compensatorios están implementados.
Registros de excepciones con documentación de controles compensatorios
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Estado de inscripción de MFA y configuración de aplicación | Revisado mensualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Requerir MFA para todas las cuentas de acceso administrativo, donde sea soportado, en todos los activos empresariales, ya sean gestionados en el sitio o a través de un proveedor externo.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
La autenticación multifactor se aplica en todos los sistemas y cuentas dentro del alcance.
Informes de estado de inscripción de MFA, configuración de política de acceso condicional
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las excepciones de MFA están documentadas, aprobadas y los controles compensatorios están implementados.
Registros de excepciones con documentación de controles compensatorios
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Estado de inscripción de MFA y configuración de aplicación | Revisado mensualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener un inventario de los sistemas de autenticación y autorización de la empresa, incluyendo los alojados en el sitio o en un proveedor de servicios remoto. Revisar y actualizar el inventario, como mínimo, anualmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Centralizar el control de acceso para todos los activos empresariales a través de un servicio de directorio o proveedor SSO, donde sea soportado.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Definir y mantener el control de acceso basado en roles, determinando y documentando los derechos de acceso necesarios para cada rol dentro de la empresa para llevar a cabo exitosamente sus funciones asignadas. Realizar revisiones de control de acceso de activos empresariales para validar que todos los privilegios estén autorizados, en un cronograma recurrente al menos anualmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |