IG1 IG2 IG3

Restringir Privilegios de Administrador a Cuentas de Administrador Dedicadas

Grupo de Control: 5. Gestión de Cuentas

Tipo de Activo: Usuarios

Función de Seguridad: Proteger

Descripción

Restringir los privilegios de administrador a cuentas de administrador dedicadas en activos empresariales. Realizar actividades informáticas generales, como navegación por internet, correo electrónico y uso de suite de productividad, desde la cuenta principal no privilegiada del usuario.

Lista de Verificación de Implementación

1

Evaluar los controles de protección actualmente implementados

2

Configurar e implementar los controles de seguridad requeridos

3

Probar la efectividad de los controles en un entorno de no producción

4

Implementar en producción y verificar la funcionalidad

5

Documentar la configuración y los procedimientos operativos

Herramientas Recomendadas

CyberArk Privileged Access Manager Gartner MQ Leader, PAM 2024

Plataforma de gestión de acceso privilegiado para asegurar, gestionar y auditar credenciales y sesiones privilegiadas

CyberArk · Suscripción por usuario

BeyondTrust Privilege Management Gartner MQ Leader, PAM 2024

Gestión de acceso privilegiado con gestión de privilegios de endpoint, acceso remoto seguro y bóveda de contraseñas

BeyondTrust · Suscripción por usuario

Delinea Secret Server Gartner MQ Leader, PAM 2024

Gestión de acceso privilegiado con bóveda de contraseñas, grabación de sesiones y elevación de privilegios justo a tiempo

Delinea · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Cuenta de Administrador Comprometida por Phishing con Toma de Control Total del Dominio

Confidencialidad

Un administrador que usa su cuenta privilegiada para el correo electrónico diario y la navegación web es víctima de phishing, y las credenciales comprometidas otorgan al atacante acceso inmediato de administrador de dominio.

Descarga Drive-By Ejecutándose con Privilegios de Administrador

Integridad

Un usuario que navega por la web con una cuenta que tiene privilegios administrativos encuentra un exploit de descarga drive-by que ejecuta malware con derechos completos de administrador en el sistema.

Robo de Credenciales mediante Sesión de Navegador de Cuenta Administrativa

Confidencialidad

Los atacantes roban credenciales almacenadas en caché del navegador de una sesión ejecutándose bajo una cuenta administrativa, obteniendo tokens o contraseñas guardadas que otorgan acceso elevado en toda la empresa.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Privilegios Administrativos Usados para Actividades Diarias

Los administradores que usan sus cuentas privilegiadas para correo electrónico, navegación y trabajo general exponen sus credenciales elevadas a ataques de phishing, malware y robo de credenciales.

Sin Separación entre Cuentas de Administrador y de Usuario Estándar

Sin cuentas de administrador dedicadas separadas de las cuentas de uso diario, el compromiso de la sesión de cualquier usuario administrador otorga inmediatamente al atacante acceso administrativo completo.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Técnico	Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados	Capturado trimestralmente
Documento	Documentación de procedimientos para medidas de protección	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Cuentas y Credenciales

Control 5, Control 6

Política de Gestión de Acceso Privilegiado

Control 5, Control 6

Salvaguardas Relacionadas en el Control 5

5.1 Establecer y Mantener un Inventario de Cuentas

5.2 Usar Contraseñas Únicas

5.3 Deshabilitar Cuentas Inactivas

5.5 Establecer y Mantener un Inventario de Cuentas de Servicio

5.6 Centralizar la Gestión de Cuentas