👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.9.1.2, A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.5, A.9.2.6, A.9.4.1, A.9.4.4, A.9.4.5
ISO 27001 en su versión 2022: A.5.15, A.5.16, A.5.18, A.8.2, A.8.3, A.8.4, A.8.18
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayuda a registrar los accesos, roles y permisos que tienen tus colaboradores a la información de la empresa, así como también te permite monitorear, controlar y documentar las altas, bajas y cambios que surgen dentro de los sistemas.
💡 Puedes registrar también los accesos que tienen tus clientes, proveedores o cualquier tercero al que le compartas información, para asegurarte que solo pueden ver lo mínimo necesario para desempeñar sus funciones.
¿Qué tengo que hacer? 🚀
Antes de comenzar, refresquemos los conceptos asociados al control de accesos:
Un alta corresponde al otorgamiento de accesos, originado por:
El ingreso de un nuevo colaborador a la empresa.
El acceso que requiere un colaborador ya existente a un nuevo sistema o uno que no había utilizado antes, asegurando siempre otorgar los permisos mínimos indispensables para ejecutar sus funciones.
Una baja corresponde a la remoción de accesos, originada por:
La terminación laboral con un colaborador.
La finalización de la necesidad de uso de un colaborador activo de la empresa a un sistema.
Un cambio corresponde a cualquier modificación realizada a los roles y/o permisos de un usuario ya existente, originado por:
Cambios en el puesto de trabajo del colaborador.
La finalización de la necesidad de uso de un colaborador activo de la empresa a ciertos tipos de permisos, como por ejemplo de edición.
Ahora bien, teniendo clara esta información, ¡podemos comenzar con la matriz de accesos! Y para ello te sugerimos realizar los siguientes pasos:
Identifica los sistemas, aplicaciones, plataformas, herramientas, servicios de nube, TICs, etcétera de los procesos alcanzados por el SGSI.
Para esto te recomendamos tomar todos los activos de tu inventario que hayas identificado con el tipo “software”, y todos aquellos que requieran un usuario y contraseña para ingresar.
Investiga los roles, tipos de usuarios y permisos que tiene cada uno de los sistemas que identificaste en el primer paso. Éstos deberás enlistarlos y asociarlos correctamente al sistema que pertenecen.
Algunos de los usuarios más comunes pueden ser super admin, admin, member, owner, etcétera.
Algunos de los permisos más comunes pueden ser edit, view, read only, etcétera.
Realiza la asignación y segregación de accesos. Es importante definir qué sistemas y qué tipo de roles y permisos requieren cada uno de tus colaboradores.
Por ejemplo, Raúl Velázquez (nombre del colaborador), es el CTO (puesto) del área de Tecnología, y tiene acceso a JIRA (sistema) como administrador (tipo de rol/usuario).
Cuando realices la carga de tus colaboradores activos y sus usuarios, te recomendamos analizar si los permisos que tienen son adecuados a sus funciones. De no ser así, implementa las acciones correctivas necesarias para mantener la seguridad y confidencialidad de tu información.
Ejemplo visual, muy sencillo, de cómo podría verse un registro de accesos:
Mantén actualizada esta matriz y realiza revisiones periódicas de los registros, por lo menos una vez al año. Al hacer esto, podrás identificar si existen errores o anomalías en los accesos en una etapa temprana, con el objetivo de evitar un mal uso de la información, o incluso una brecha de seguridad.
💡 Durante una auditoría, es súper importante que la información de esta matriz refleje los accesos y permisos reales de tus colaboradores a los sistemas de la empresa, ya que te pueden solicitar mostrarlo en vivo.
Puedes implementar todos estos pasos desde nuestro módulo de Accesos de una forma muy sencilla y aprovechar al máximo las automatizaciones que tenemos para ti, ya que con nuestro módulo de Personal y nuestro módulo de Activos, ¡tendrás toda la información lista para que tu gestión de accesos sea súper eficiente!
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Para este caso puedes subir una captura de pantalla de la vista principal del módulo.
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Utiliza nuestro módulo de Accesos 🚀.
Recuerda que si estás implementando un SGSI, debes contar con una asignación de accesos para todos los activos de tipo software que hayas identificado en tu inventario.
Toma siempre en cuenta el puesto y las funciones de cada colaborador antes de hacer altas o cambios en sus permisos dentro de los sistemas de la empresa.
Mantén tu matriz de accesos bien estructurada y actualizada para cumplir con los requisitos de seguridad normativos.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.