6.5
IG1 IG2 IG3

Requerir MFA para Acceso Administrativo

Grupo de Control: 6. Gestión de Control de Acceso
Tipo de Activo: Usuarios
Función de Seguridad: Proteger

Descripción

Requerir MFA para todas las cuentas de acceso administrativo, donde sea soportado, en todos los activos empresariales, ya sean gestionados en el sitio o a través de un proveedor externo.

Lista de Verificación de Implementación

1
Evaluar los controles de protección actualmente implementados
2
Configurar e implementar los controles de seguridad requeridos
3
Probar la efectividad de los controles en un entorno de no producción
4
Implementar en producción y verificar la funcionalidad
5
Documentar la configuración y los procedimientos operativos
6
Identificar los sistemas que requieren autenticación multifactor
7
Seleccionar e implementar la solución MFA
8
Inscribir a los usuarios y distribuir los factores de autenticación
9
Probar MFA en todos los sistemas identificados

Herramientas Recomendadas

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad

Microsoft · Suscripción por usuario (P1/P2)
Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Plataforma de identidad en la nube que proporciona SSO, MFA adaptativo, gestión del ciclo de vida y gestión de acceso a API

Okta · Suscripción por usuario
Cisco Duo Gartner MQ Leader, Access Management 2024

Plataforma de autenticación multifactor y acceso de confianza cero con confianza de dispositivos y políticas de acceso adaptativo

Cisco · Suscripción por usuario
Ping Identity Gartner MQ Leader, Access Management 2024

Plataforma de seguridad de identidad empresarial con SSO, MFA, directorio y seguridad de API para identidad de fuerza laboral y clientes

Ping Identity (Thales) · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Compromiso de Credenciales de Administrador que Lleva a la Toma Total del Dominio

Confidencialidad

Un atacante obtiene credenciales de administrador a través de phishing, keylogging o robo de hash y obtiene acceso administrativo irrestricto porque ningún segundo factor protege las cuentas privilegiadas.

Escalación de Privilegios mediante Contraseña de Administrador Robada

Integridad

Un atacante escala de un compromiso estándar a control administrativo completo usando una contraseña de administrador robada, ya que no se requiere MFA para el acceso administrativo a ningún sistema empresarial.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin MFA en Cuentas Administrativas

Las cuentas administrativas protegidas solo por contraseñas representan los objetivos de mayor valor y menor resistencia; una sola contraseña comprometida otorga control completo del sistema.

Portales de Administración de Terceros Sin MFA

El acceso administrativo a servicios en la nube, plataformas SaaS y portales de proveedores de servicios gestionados carece de MFA, permitiendo la toma administrativa remota con credenciales robadas.

Requisitos de Evidencia

Tipo Elemento de Evidencia Frecuencia de Recolección
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Técnico Estado de inscripción de MFA y configuración de aplicación Revisado mensualmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Acceso Privilegiado
Control 5, Control 6

Salvaguardas Relacionadas en el Control 6

6.1 Establecer un Proceso de Otorgamiento de Acceso
6.2 Establecer un Proceso de Revocación de Acceso
6.3 Requerir MFA para Aplicaciones Expuestas Externamente
6.4 Requerir MFA para Acceso Remoto a la Red
6.6 Establecer y Mantener un Inventario de Sistemas de Autenticación y Autorización
6.7 Centralizar el Control de Acceso
6.8 Definir y Mantener el Control de Acceso Basado en Roles
6.4 6.6