IG2 IG3

Establecer y Mantener un Inventario de Cuentas de Servicio

Grupo de Control: 5. Gestión de Cuentas

Tipo de Activo: Usuarios

Función de Seguridad: Identificar

Descripción

Establecer y mantener un inventario de cuentas de servicio. El inventario, como mínimo, debe contener el propietario del departamento, fecha de revisión y propósito. Realizar revisiones de cuentas de servicio para validar que todas las cuentas activas estén autorizadas, en un cronograma recurrente al menos trimestralmente o con mayor frecuencia.

Lista de Verificación de Implementación

1

Documentar el estado actual y crear un inventario de referencia

2

Definir los campos de datos y atributos a rastrear

3

Asignar la propiedad y las responsabilidades

4

Establecer la cadencia de revisión y los procedimientos de actualización

Herramientas Recomendadas

SailPoint Identity Security Gartner MQ Leader, IGA 2024

Plataforma de gobernanza y administración de identidad con certificación de acceso, gestión del ciclo de vida e inteligencia de acceso impulsada por IA

SailPoint · Suscripción por identidad

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad

Microsoft · Suscripción por usuario (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Plataforma de identidad en la nube que proporciona SSO, MFA adaptativo, gestión del ciclo de vida y gestión de acceso a API

Okta · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Abuso de Credenciales de Cuentas de Servicio para Acceso Persistente

Confidencialidad

Los atacantes descubren y comprometen cuentas de servicio no rastreadas con contraseñas estáticas y privilegios elevados, usándolas para acceso persistente y sigiloso que sobrevive a los restablecimientos de contraseña de usuarios.

Explotación de Cuentas de Servicio Huérfanas

Integridad

Las cuentas de servicio creadas para aplicaciones dadas de baja permanecen activas con permisos amplios, proporcionando a los atacantes rutas de acceso con altos privilegios que nadie monitorea ni revisa.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Inventario de Cuentas de Servicio

Sin un inventario mantenido de cuentas de servicio, la organización no sabe cuántas cuentas de servicio existen, a qué pueden acceder o si siguen siendo necesarias.

Cuentas de Servicio Sin Propiedad ni Revisión Definidas

Sin propietarios documentados y revisiones recurrentes, las cuentas de servicio operan indefinidamente sin que nadie verifique su autorización, alcance de acceso o necesidad continua.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Documento	Documentación del inventario o catálogo actual	Mantenido continuamente, revisado trimestralmente
Documento	Documentación de procesos/procedimientos para actividades de identificación	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Cuentas y Credenciales

Control 5, Control 6

Política de Gestión de Acceso Privilegiado

Control 5, Control 6

Salvaguardas Relacionadas en el Control 5

5.1 Establecer y Mantener un Inventario de Cuentas

5.2 Usar Contraseñas Únicas

5.3 Deshabilitar Cuentas Inactivas

5.4 Restringir Privilegios de Administrador a Cuentas de Administrador Dedicadas

5.6 Centralizar la Gestión de Cuentas