IG2 IG3

Centralizar el Control de Acceso

Grupo de Control: 6. Gestión de Control de Acceso

Tipo de Activo: Usuarios

Función de Seguridad: Proteger

Descripción

Centralizar el control de acceso para todos los activos empresariales a través de un servicio de directorio o proveedor SSO, donde sea soportado.

Lista de Verificación de Implementación

1

Evaluar los controles de protección actualmente implementados

2

Configurar e implementar los controles de seguridad requeridos

3

Probar la efectividad de los controles en un entorno de no producción

4

Implementar en producción y verificar la funcionalidad

5

Documentar la configuración y los procedimientos operativos

6

Seleccionar la plataforma de gestión centralizada

7

Integrar todos los sistemas y fuentes de datos dentro del alcance

8

Configurar los paneles de control y la generación de reportes

Herramientas Recomendadas

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad

Microsoft · Suscripción por usuario (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Plataforma de identidad en la nube que proporciona SSO, MFA adaptativo, gestión del ciclo de vida y gestión de acceso a API

Okta · Suscripción por usuario

Ping Identity Gartner MQ Leader, Access Management 2024

Plataforma de seguridad de identidad empresarial con SSO, MFA, directorio y seguridad de API para identidad de fuerza laboral y clientes

Ping Identity (Thales) · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Controles de Acceso Inconsistentes Explotados entre Sistemas

Confidencialidad

Sin control de acceso centralizado, diferentes sistemas aplican diferentes políticas; los atacantes apuntan al sistema con la autenticación más débil para obtener acceso inicial.

Incapacidad para Aplicar Políticas de Acceso a Nivel Empresarial

Integridad

El control de acceso descentralizado impide la aplicación consistente de acceso condicional, restricciones geográficas o autenticación basada en riesgo en todas las aplicaciones empresariales.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Control de Acceso Descentralizado Sin SSO

Sin control de acceso centralizado vía servicio de directorio o SSO, cada aplicación gestiona su propia autenticación independientemente, creando una aplicación de seguridad inconsistente.

Sin Visibilidad Unificada de Eventos de Acceso

El control de acceso descentralizado significa que los eventos de autenticación están dispersos en sistemas individuales, haciendo imposible detectar ataques coordinados o patrones de acceso anómalos.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Técnico	Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados	Capturado trimestralmente
Documento	Documentación de procedimientos para medidas de protección	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Acceso Privilegiado

Control 5, Control 6

Salvaguardas Relacionadas en el Control 6

6.1 Establecer un Proceso de Otorgamiento de Acceso

6.2 Establecer un Proceso de Revocación de Acceso

6.3 Requerir MFA para Aplicaciones Expuestas Externamente

6.4 Requerir MFA para Acceso Remoto a la Red

6.5 Requerir MFA para Acceso Administrativo

6.6 Establecer y Mantener un Inventario de Sistemas de Autenticación y Autorización

6.8 Definir y Mantener el Control de Acceso Basado en Roles