IG1 IG2 IG3

Establecer un Proceso de Otorgamiento de Acceso

Grupo de Control: 6. Gestión de Control de Acceso

Tipo de Activo: Usuarios

Función de Seguridad: Proteger

Descripción

Establecer y seguir un proceso, preferiblemente automatizado, para otorgar acceso a activos empresariales al momento de una nueva contratación, otorgamiento de derechos o cambio de rol de un usuario.

Lista de Verificación de Implementación

1

Evaluar los controles de protección actualmente implementados

2

Configurar e implementar los controles de seguridad requeridos

3

Probar la efectividad de los controles en un entorno de no producción

4

Implementar en producción y verificar la funcionalidad

5

Documentar la configuración y los procedimientos operativos

Herramientas Recomendadas

SailPoint Identity Security Gartner MQ Leader, IGA 2024

Plataforma de gobernanza y administración de identidad con certificación de acceso, gestión del ciclo de vida e inteligencia de acceso impulsada por IA

SailPoint · Suscripción por identidad

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad

Microsoft · Suscripción por usuario (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Plataforma de identidad en la nube que proporciona SSO, MFA adaptativo, gestión del ciclo de vida y gestión de acceso a API

Okta · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Acceso Excesivo Otorgado a Nuevos Empleados

Confidencialidad

Sin un proceso formal de otorgamiento, los nuevos empleados reciben acceso clonando los permisos de otro usuario, heredando privilegios innecesarios acumulados a través de los cambios de rol de ese usuario.

Acceso No Autorizado Durante Transiciones de Rol

Confidencialidad

Los usuarios que cambian de rol acumulan acceso tanto de posiciones anteriores como nuevas porque ningún proceso estructurado asegura que el acceso previo sea revisado cuando se otorga nuevo acceso.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Proceso Formal de Otorgamiento de Acceso

Sin un proceso definido para otorgar acceso, las decisiones de aprovisionamiento son ad hoc, inconsistentes y no están vinculadas a necesidades comerciales verificadas, lo que lleva al sobreaprovisionamiento.

Sin Flujo de Trabajo de Aprobación para Solicitudes de Acceso

Sin un proceso estructurado de aprobación, el acceso se otorga basándose en solicitudes informales sin autorización de la gerencia ni documentación de la justificación comercial.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Técnico	Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados	Capturado trimestralmente
Documento	Documentación de procedimientos para medidas de protección	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Cuentas y Credenciales

Control 5, Control 6

Salvaguardas Relacionadas en el Control 6

6.2 Establecer un Proceso de Revocación de Acceso

6.3 Requerir MFA para Aplicaciones Expuestas Externamente

6.4 Requerir MFA para Acceso Remoto a la Red

6.5 Requerir MFA para Acceso Administrativo

6.6 Establecer y Mantener un Inventario de Sistemas de Autenticación y Autorización

6.7 Centralizar el Control de Acceso

6.8 Definir y Mantener el Control de Acceso Basado en Roles