6.6
IG2 IG3

Establecer y Mantener un Inventario de Sistemas de Autenticación y Autorización

Grupo de Control: 6. Gestión de Control de Acceso
Tipo de Activo: Usuarios
Función de Seguridad: Identificar

Descripción

Establecer y mantener un inventario de los sistemas de autenticación y autorización de la empresa, incluyendo los alojados en el sitio o en un proveedor de servicios remoto. Revisar y actualizar el inventario, como mínimo, anualmente o con mayor frecuencia.

Lista de Verificación de Implementación

1
Documentar el estado actual y crear un inventario de referencia
2
Definir los campos de datos y atributos a rastrear
3
Asignar la propiedad y las responsabilidades
4
Establecer la cadencia de revisión y los procedimientos de actualización

Herramientas Recomendadas

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad

Microsoft · Suscripción por usuario (P1/P2)
Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Plataforma de identidad en la nube que proporciona SSO, MFA adaptativo, gestión del ciclo de vida y gestión de acceso a API

Okta · Suscripción por usuario
Ping Identity Gartner MQ Leader, Access Management 2024

Plataforma de seguridad de identidad empresarial con SSO, MFA, directorio y seguridad de API para identidad de fuerza laboral y clientes

Ping Identity (Thales) · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Compromiso No Descubierto del Sistema de Autenticación

Confidencialidad

Un sistema de autenticación no incluido en el inventario es comprometido, pero la brecha pasa desapercibida porque el sistema no es monitoreado, parcheado ni incluido en las revisiones de seguridad.

Políticas de Seguridad Inconsistentes en Sistemas de Autenticación Desconocidos

Integridad

Los sistemas de autenticación no rastreados en el inventario operan con diferentes políticas de seguridad, creando eslabones débiles que los atacantes apuntan para el acceso inicial.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Inventario de Sistemas de Autenticación y Autorización

Sin un inventario mantenido, la organización no conoce todos los sistemas que autentican o autorizan usuarios, dejando algunos no gestionados y potencialmente mal configurados.

Proveedores de Identidad No Gestionados

Los sistemas de autenticación no capturados en el inventario son excluidos de los procesos de refuerzo de seguridad, monitoreo y respuesta a incidentes, creando puntos ciegos en la seguridad de identidad.

Requisitos de Evidencia

Tipo Elemento de Evidencia Frecuencia de Recolección
Documento Documentación del inventario o catálogo actual Mantenido continuamente, revisado trimestralmente
Documento Documentación de procesos/procedimientos para actividades de identificación Revisado anualmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Acceso Privilegiado
Control 5, Control 6

Salvaguardas Relacionadas en el Control 6

6.1 Establecer un Proceso de Otorgamiento de Acceso
6.2 Establecer un Proceso de Revocación de Acceso
6.3 Requerir MFA para Aplicaciones Expuestas Externamente
6.4 Requerir MFA para Acceso Remoto a la Red
6.5 Requerir MFA para Acceso Administrativo
6.7 Centralizar el Control de Acceso
6.8 Definir y Mantener el Control de Acceso Basado en Roles
6.5 6.7