6.8
IG3

Definir y Mantener el Control de Acceso Basado en Roles

Grupo de Control: 6. Gestión de Control de Acceso
Tipo de Activo: Datos
Función de Seguridad: Proteger

Descripción

Definir y mantener el control de acceso basado en roles, determinando y documentando los derechos de acceso necesarios para cada rol dentro de la empresa para llevar a cabo exitosamente sus funciones asignadas. Realizar revisiones de control de acceso de activos empresariales para validar que todos los privilegios estén autorizados, en un cronograma recurrente al menos anualmente o con mayor frecuencia.

Lista de Verificación de Implementación

1
Evaluar los controles de protección actualmente implementados
2
Configurar e implementar los controles de seguridad requeridos
3
Probar la efectividad de los controles en un entorno de no producción
4
Implementar en producción y verificar la funcionalidad
5
Documentar la configuración y los procedimientos operativos

Herramientas Recomendadas

SailPoint Identity Security Gartner MQ Leader, IGA 2024

Plataforma de gobernanza y administración de identidad con certificación de acceso, gestión del ciclo de vida e inteligencia de acceso impulsada por IA

SailPoint · Suscripción por identidad
Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Gestión de identidad y acceso en la nube con SSO, MFA, acceso condicional y gobernanza de identidad

Microsoft · Suscripción por usuario (P1/P2)
Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Plataforma de identidad en la nube que proporciona SSO, MFA adaptativo, gestión del ciclo de vida y gestión de acceso a API

Okta · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Acumulación de Privilegios que Lleva a Acceso No Autorizado a Datos

Confidencialidad

Sin control de acceso basado en roles definido, los usuarios acumulan permisos con el tiempo al moverse entre equipos, eventualmente teniendo acceso excesivo que viola los principios de mínimo privilegio.

Amenaza Interna Amplificada por Límites de Acceso No Definidos

Confidencialidad

Una persona interna maliciosa explota derechos de acceso vagamente definidos para acceder a datos y sistemas mucho más allá de los requisitos reales de su trabajo, ya que ningún modelo RBAC los restringe al acceso necesario.

Falla de Cumplimiento por Derechos de Acceso No Documentados

Integridad

Los auditores regulatorios encuentran que los derechos de acceso no están documentados por rol, haciendo imposible demostrar el cumplimiento de mínimo privilegio con marcos como SOX, HIPAA o PCI DSS.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Modelo de Control de Acceso Basado en Roles Definido

Sin roles definidos que mapeen funciones laborales a derechos de acceso requeridos, los permisos se otorgan ad hoc basándose en solicitudes individuales en lugar de requisitos de rol estandarizados.

Sin Proceso Recurrente de Revisión de Privilegios de Acceso

Sin revisiones anuales o más frecuentes de acceso que validen los privilegios contra las definiciones de roles, los permisos acumulados nunca se identifican ni revocan.

Requisitos de Evidencia

Tipo Elemento de Evidencia Frecuencia de Recolección
Técnico Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados Capturado trimestralmente
Documento Documentación de procedimientos para medidas de protección Revisado anualmente
Documento Documento de política vigente (actual, aprobado, comunicado) Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Acceso Privilegiado
Control 5, Control 6

Salvaguardas Relacionadas en el Control 6

6.1 Establecer un Proceso de Otorgamiento de Acceso
6.2 Establecer un Proceso de Revocación de Acceso
6.3 Requerir MFA para Aplicaciones Expuestas Externamente
6.4 Requerir MFA para Acceso Remoto a la Red
6.5 Requerir MFA para Acceso Administrativo
6.6 Establecer y Mantener un Inventario de Sistemas de Autenticación y Autorización
6.7 Centralizar el Control de Acceso
6.7