Establecer un Proceso de Revocación de Acceso
Descripción
Establecer y seguir un proceso, preferiblemente automatizado, para revocar el acceso a activos empresariales, mediante la deshabilitación inmediata de cuentas al momento de la terminación, revocación de derechos o cambio de rol de un usuario. Deshabilitar cuentas, en lugar de eliminarlas, puede ser necesario para preservar los rastros de auditoría.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de gobernanza y administración de identidad con certificación de acceso, gestión del ciclo de vida e inteligencia de acceso impulsada por IA
SailPoint · Suscripción por identidad
Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad
Microsoft · Suscripción por usuario (P1/P2)
Plataforma de identidad en la nube que proporciona SSO, MFA adaptativo, gestión del ciclo de vida y gestión de acceso a API
Okta · Suscripción por usuario
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Empleado Despedido Retiene Acceso al Sistema
ConfidencialidadUn empleado despedido retiene acceso a los sistemas empresariales durante días o semanas después de su partida porque no existe un proceso de revocación, permitiendo el robo de datos o sabotaje por represalia.
Acceso de Contratista Persiste Después del Fin del Compromiso
ConfidencialidadLas cuentas de contratistas terceros permanecen activas indefinidamente después de que su compromiso termina porque ningún proceso de revocación activa el desaprovisionamiento cuando la relación comercial finaliza.
Acumulación de Privilegios Sin Revocación en Cambio de Rol
IntegridadLos usuarios que cambian de departamento o rol retienen su acceso previo además de los permisos del nuevo rol, acumulando gradualmente privilegios excesivos en toda la empresa.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Proceso Formal de Revocación de Acceso
Sin un proceso definido para revocar el acceso al momento de la terminación o cambio de rol, las cuentas permanecen activas y privilegiadas mucho después de que la autorización del usuario ha terminado.
Sin Integración entre RRHH y TI para Desaprovisionamiento
Sin enlaces automatizados o procedimentales entre eventos de terminación de RRHH y desaprovisionamiento de cuentas de TI, no hay disparador para deshabilitar cuentas cuando los usuarios abandonan la organización.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Panel del SIEM que muestre las fuentes de registros y el estado de recopilación | Capturado mensualmente |
| Registro | Registros de revisión de logs y hallazgos | Por ciclo de revisión |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |