Política de Gestión de Cuentas y Credenciales

Se deberá establecer un proceso centralizado de gestión de cuentas que cubra el ciclo de vida completo: solicitud, aprobación, aprovisionamiento, revisión, modificación y desaprovisionamiento de cuentas.

La creación de cuentas deberá requerir autorización documentada del gerente del usuario y, para cuentas privilegiadas, de [PERSONALIZAR: CISO/Director de TI].

El desaprovisionamiento de cuentas deberá ocurrir dentro de [PERSONALIZAR: 24 horas] de la separación del personal (terminación, renuncia o fin de contrato).

Las cuentas inactivas por [PERSONALIZAR: 45/60/90] días deberán desactivarse automáticamente. Las cuentas desactivadas que no se reactiven dentro de [PERSONALIZAR: 30] días deberán eliminarse.

Todas las acciones de aprovisionamiento, modificación y desaprovisionamiento de cuentas deberán registrarse y ser auditables.

Las contraseñas deberán cumplir con los siguientes requisitos mínimos: mínimo [PERSONALIZAR: 12/14/16] caracteres de longitud, no coincidir con una lista de contraseñas comprometidas conocidas, no contener el nombre de usuario ni palabras comunes del diccionario, y ser cambiadas inmediatamente si se sospecha de compromiso.

Se deberán requerir credenciales únicas para cada usuario. Las cuentas compartidas están prohibidas excepto donde sea técnicamente inevitable, en cuyo caso deberán documentarse con controles compensatorios.

Las credenciales de cuentas de servicio deberán gestionarse a través de una solución de gestión de secretos, rotarse al menos [PERSONALIZAR: trimestralmente/anualmente] y no incrustarse en el código fuente.

Las credenciales predeterminadas en todos los sistemas y aplicaciones deberán cambiarse antes de la implementación en producción.

La autenticación multifactor (MFA) deberá requerirse para: todas las conexiones de acceso remoto, todo el acceso a cuentas privilegiadas, el acceso a datos Confidenciales y Restringidos, las consolas administrativas de servicios en la nube y las conexiones VPN.

Los métodos MFA deberán usar al menos dos de: algo que sabes (contraseña), algo que tienes (token, tarjeta inteligente, teléfono) o algo que eres (biométrico).

Se desaconseja el MFA basado en SMS. Se prefieren las aplicaciones de autenticación, tokens de hardware o FIDO2/WebAuthn.

MFA deberá aplicarse para todas las aplicaciones accesibles externamente dentro de [PERSONALIZAR: 6/12] meses de la fecha de entrada en vigor de esta política.

Los derechos de acceso de los usuarios deberán revisarse al menos [PERSONALIZAR: trimestral/semestralmente] por el gerente del propietario de la cuenta para verificar la pertinencia continua.

El acceso privilegiado deberá revisarse al menos [PERSONALIZAR: trimestralmente] por [PERSONALIZAR: CISO/Equipo de Seguridad de TI].

Los hallazgos de la revisión de acceso que requieran remediación deberán abordarse dentro de [PERSONALIZAR: 14/30] días.