IG1 IG2 IG3

Establecer y Mantener un Inventario de Cuentas

Grupo de Control: 5. Gestión de Cuentas

Tipo de Activo: Usuarios

Función de Seguridad: Identificar

Descripción

Establecer y mantener un inventario de todas las cuentas gestionadas en la empresa. El inventario debe incluir tanto cuentas de usuario como de administrador. El inventario, como mínimo, debe contener el nombre de la persona, nombre de usuario, fechas de inicio/fin y departamento. Validar que todas las cuentas activas estén autorizadas, en un cronograma recurrente al menos trimestralmente o con mayor frecuencia.

Lista de Verificación de Implementación

1

Documentar el estado actual y crear un inventario de referencia

2

Definir los campos de datos y atributos a rastrear

3

Asignar la propiedad y las responsabilidades

4

Establecer la cadencia de revisión y los procedimientos de actualización

Herramientas Recomendadas

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad

Microsoft · Suscripción por usuario (P1/P2)

SailPoint Identity Security Gartner MQ Leader, IGA 2024

Plataforma de gobernanza y administración de identidad con certificación de acceso, gestión del ciclo de vida e inteligencia de acceso impulsada por IA

SailPoint · Suscripción por identidad

CyberArk Privileged Access Manager Gartner MQ Leader, PAM 2024

Plataforma de gestión de acceso privilegiado para asegurar, gestionar y auditar credenciales y sesiones privilegiadas

CyberArk · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Abuso de Cuentas Huérfanas por Exempleados

Confidencialidad

Exempleados, contratistas o terceros retienen cuentas activas que no se rastrean en un inventario, usándolas para acceder a sistemas y datos después de que su autorización ha terminado.

Acumulación de Privilegios en Cuentas No Rastreadas

Confidencialidad

Las cuentas no rastreadas en un inventario acumulan permisos con el tiempo a través de cambios de rol sin revisión, creando cuentas con privilegios excesivos que representan objetivos de alto valor.

Cuenta Compartida Comprometida Sin Atribución

Integridad

Las cuentas compartidas o genéricas no capturadas en el inventario son comprometidas, y las investigaciones no pueden atribuir acciones a un individuo específico debido a la falta de seguimiento de cuentas.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Inventario Centralizado de Cuentas

Sin un inventario mantenido de todas las cuentas, la organización no puede determinar cuántas cuentas existen, quién las posee o si todas siguen autorizadas.

Sin Validación Recurrente de Autorización de Cuentas

Sin revisiones trimestrales contra el inventario de cuentas, las cuentas no autorizadas o huérfanas persisten indefinidamente sin detección ni remediación.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Documento	Documentación del inventario o catálogo actual	Mantenido continuamente, revisado trimestralmente
Documento	Documentación de procesos/procedimientos para actividades de identificación	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Cuentas y Credenciales

Control 5, Control 6

Salvaguardas Relacionadas en el Control 5

5.2 Usar Contraseñas Únicas

5.3 Deshabilitar Cuentas Inactivas

5.4 Restringir Privilegios de Administrador a Cuentas de Administrador Dedicadas

5.5 Establecer y Mantener un Inventario de Cuentas de Servicio

5.6 Centralizar la Gestión de Cuentas