6.4
IG1 IG2 IG3

Requerir MFA para Acceso Remoto a la Red

Grupo de Control: 6. Gestión de Control de Acceso
Tipo de Activo: Usuarios
Función de Seguridad: Proteger

Descripción

Requerir MFA para acceso remoto a la red.

Lista de Verificación de Implementación

1
Evaluar los controles de protección actualmente implementados
2
Configurar e implementar los controles de seguridad requeridos
3
Probar la efectividad de los controles en un entorno de no producción
4
Implementar en producción y verificar la funcionalidad
5
Documentar la configuración y los procedimientos operativos
6
Identificar los sistemas que requieren autenticación multifactor
7
Seleccionar e implementar la solución MFA
8
Inscribir a los usuarios y distribuir los factores de autenticación
9
Probar MFA en todos los sistemas identificados

Herramientas Recomendadas

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad

Microsoft · Suscripción por usuario (P1/P2)
Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Plataforma de identidad en la nube que proporciona SSO, MFA adaptativo, gestión del ciclo de vida y gestión de acceso a API

Okta · Suscripción por usuario
Cisco Duo Gartner MQ Leader, Access Management 2024

Plataforma de autenticación multifactor y acceso de confianza cero con confianza de dispositivos y políticas de acceso adaptativo

Cisco · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Robo de Credenciales VPN que Permite Intrusión de Red

Confidencialidad

Las credenciales VPN robadas otorgan a los atacantes acceso directo a la red desde Internet porque el acceso remoto depende únicamente de contraseñas sin un segundo factor de autenticación.

Corredor de Acceso Remoto Vendiendo Credenciales VPN Robadas

Disponibilidad

Los corredores de acceso inicial venden credenciales VPN comprometidas en mercados de la dark web; los compradores las usan para acceder a redes empresariales para el despliegue de ransomware cuando no se aplica MFA.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin MFA para Acceso Remoto a la Red

Las conexiones de acceso remoto (VPN, puerta de enlace de escritorio remoto) protegidas solo por contraseñas pueden ser comprometidas por cualquier atacante que obtenga o adivine credenciales válidas.

Acceso Remoto como Punto Único de Falla

Sin MFA, la VPN o puerta de enlace de acceso remoto se convierte en un punto de entrada a solo una contraseña de distancia de toda la red interna desde cualquier lugar en Internet.

Requisitos de Evidencia

Tipo Elemento de Evidencia Frecuencia de Recolección
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Técnico Estado de inscripción de MFA y configuración de aplicación Revisado mensualmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Acceso Privilegiado
Control 5, Control 6

Salvaguardas Relacionadas en el Control 6

6.1 Establecer un Proceso de Otorgamiento de Acceso
6.2 Establecer un Proceso de Revocación de Acceso
6.3 Requerir MFA para Aplicaciones Expuestas Externamente
6.5 Requerir MFA para Acceso Administrativo
6.6 Establecer y Mantener un Inventario de Sistemas de Autenticación y Autorización
6.7 Centralizar el Control de Acceso
6.8 Definir y Mantener el Control de Acceso Basado en Roles
6.3 6.5