Ir al contenido principal

21. Procedimiento de Revisión de Accesos

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO 27001 en su versión 2013: A.9.2.5, A.12.1.1

  • ISO 27001 en su versión 2022: A.5.18, A.5.37

¿Para qué me sirve esta actividad? 📚

Esta actividad te permite establecer cómo realizarás las revisiones de los usuarios que tienen acceso a tus sistemas, así como sus roles y permisos para asegurar que sean los más adecuados y los mínimos necesarios para ejecutar sus funciones de trabajo.

💡 ¡Si utilizas nuestro módulo de Accesos, mantener actualizada la información y realizar estas revisiones será mucho más sencillo!

El objetivo de este procedimiento es garantizar que no cuentes con usuarios activos de empleados que ya no forman parte de tu empresa, y validar que los permisos otorgados se encuentren correctos y vigentes.

¿Qué tengo que hacer? 🚀

Para lograr esta actividad te sugerimos considerar las siguientes actividades:

  1. Planificación de las revisiones. Estas revisiones deben realizarse periódicamente, por lo menos una vez al año, por lo que planificar con antelación un cronograma con las actividades para efectuarlas es de gran ayuda para asegurar su correcta ejecución, y cumplir con la periodicidad definida.

  2. Asignación de responsables. Establecer quién debe llevar a cabo estas revisiones es de suma importancia. Hacerlo en una etapa temprana te ayudará a capacitarlos correctamente a revisar, y en caso de ser necesario, a actualizar y dar mantenimiento a tu matriz de accesos. ¡Recuerda que puedes llevar tu matriz desde nuestro módulo de Accesos! 😎

  3. Ejecución de la revisión. Los responsables de realizar la revisión deben comparar la información registrada en la matriz de accesos contra la información directamente en tus sistemas para garantizar que está alineada.

  4. Identificación y tratamiento de hallazgos. Si durante la revisión se encontraron errores o anomalías (datos erróneos, usuarios que no deberían seguir activos, permisos no adecuados, etcétera), debes tomar las acciones correctivas pertinentes, como por ejemplo validar con el área correspondiente o con Recursos Humanos, desactivar y/o eliminar el usuario directamente si está dentro de tus funciones, realizar una investigación más exhaustiva, etcétera.

  5. Comunicación de las acciones. En los casos donde sea necesario, se debe comunicar a todos los posibles interesados de las acciones realizadas. La comunicación de los hallazgos identificados puede servir para concientizar y promover las buenas prácticas de seguridad en otras áreas, e incluso mejorar los procesos de la empresa para evitar que pase un incidente similar en el futuro.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • ¡Mantén tu matriz de accesos siempre actualizada!

  • Ajusta este procedimiento a las operaciones reales de tu empresa en cuanto a gestión de accesos, pero implementa todas las mejoras y controles de seguridad que consideres necesarios.

  • Para cumplir con los requisitos normativos, la revisión debe realizarse por lo menos una vez al año, pero te recomendamos hacerlo más constante, cada tres o seis meses, para prevenir cualquier error o anomalía.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
20. Procedimiento de Gestión de Accesos
30. Procedimiento de Gestión de Logs
Procedimiento de Revisión y Contratación de Proveedores
46. Procedimiento de Revisión de Puntos de Acceso Inalámbricos
Procedimiento de Revisión de Accesos
¿Ha quedado contestada tu pregunta?