Guía de Auditoria del Marco de Ciberseguridad 5.0

Control de acceso 

Conjunto de posible evidencia que permite probar el cumplimiento de cada requisito incluido en esta sección. 

Requisito CA.1 - Gestión de identidades y credenciales  

  1. Configuraciones del sistema, capturas de pantallas, reportes de seguridad o documentación técnica que evidencien que todos los sistemas requieren autenticación para acceder. 

  1. Listados de cuentas, registros de acceso, configuraciones de usuarios o políticas internas que demuestren que el acceso a redes y sistemas se realiza únicamente con usuarios identificables y asignados a personas específicas. 

  1. Listados actualizados de usuarios con privilegios, registros de monitoreo, configuraciones de roles o reportes de acceso que evidencien que el uso de cuentas privilegiadas está sujeto a control. 

  1. Configuraciones de autenticación, reportes técnicos, capturas de sistemas o instructivos que permitan verificar que el acceso a aplicaciones se realiza mediante mecanismos de autenticación seguros. 

  1. Formularios de excepción, resoluciones internas, actas de autorización o tickets de solicitud que permitan verificar que el uso de usuarios genéricos está justificado, controlado y autorizado formalmente por la organización. 

  1. Instructivos operativos, formularios con campos de aprobación, flujos de proceso o tickets que reflejen que existen reglas claras para el alta, baja o modificación de accesos lógicos, incluyendo las aprobaciones correspondientes. 

  1. Listados de sistemas críticos, análisis de riesgos, matrices de categorización o criterios de seguridad donde se identifiquen los escenarios que requieren autenticación fuerte y los controles definidos para ellos. 

  1. Configuraciones de cifrado, políticas técnicas, auditorías internas, pruebas de seguridad o documentación de arquitectura que evidencien que las credenciales están protegidas en tránsito y en reposo mediante mecanismos criptográficos robustos. 

  1. Política aprobada, manual de seguridad, publicación interna o presentación institucional que establezca los criterios para la gestión de usuarios y contraseñas, y su comunicación formal al personal. 

  1. Procedimientos formalizados, instructivos, diagramas de flujo o registros operativos que detallen cómo se realiza el alta, baja y modificación de usuarios dentro de la organización. 

  1. Configuraciones de sistemas de identidad, capturas de plataformas, informes técnicos o actas que acrediten que la gestión de credenciales se realiza desde una única área o sistema, al menos de forma administrativa. 

  1. Configuraciones del sistema, documentación de arquitectura, pruebas de integridad o capturas de logs que demuestren que los tokens utilizados (como SAML assertions o JWTs) son validados en cada uso y se verifica su integridad. 

  1. Informes de auditoría, registros de monitoreo, alertas automatizadas, listas de verificación o cronogramas de control que permitan comprobar que se realizan revisiones periódicas sobre autenticación y configuración de accesos en redes, sistemas y dispositivos. 

  1. Versiones anteriores de la política y/o procedimientos, registros de revisión (actas, correos, tickets, informes de actualización), cronogramas de revisión aprobados, comentarios de revisión del RSI o del CSI, y controles de cambio documentados que evidencien la periodicidad de la revisión y los ajustes realizados. 

 

Requisito CA.2 - Revisar los privilegios de acceso lógico.  

  1. Tickets de baja o modificación, registros de gestión de accesos, planillas internas o flujos de proceso aplicados en casos concretos que permitan verificar que, ante una baja o cambio, se revisan los privilegios al menos en los sistemas críticos. 

  1. Políticas internas, cronogramas de control, instructivos operativos o comunicaciones institucionales que establezcan cada cuánto se debe revisar la validez de las cuentas y privilegios asignados.  

  1. Manuales de funciones, resoluciones, matrices de asignación de roles o flujos de procedimiento donde se indique quién es responsable de revisar privilegios y validar cuentas por cada sistema o área. 

  1. Listados generados desde sistemas, reportes de plataformas de identidad, planillas de control o registros firmados por responsables que permitan comprobar que se mantiene un inventario actualizado de usuarios con privilegios elevados, incluyendo validación de su vigencia. 

  1. Política formal vigente que incluya cláusulas sobre la revisión periódica de privilegios de todos los usuarios, en todos los sistemas, aprobada por las instancias correspondientes y difundida institucionalmente. 

  1. Procedimientos operativos o instructivos que detallen cómo se realizan las revisiones de permisos en cada etapa del ciclo de vida de los usuarios (alta, modificación, baja), incluyendo usuarios privilegiados. 

  1. Planillas de control, logs de revisión, reportes de cumplimiento, tickets u otros registros que evidencien que las revisiones de accesos efectivamente se ejecutan y quedan registradas. 

  1. Informes de revisión con resultados, registros de envío, actas de reuniones, correos o presentaciones que demuestren que los resultados son documentados y comunicados al RSI, gerencias y demás partes interesadas. 

  1. Actas, correos institucionales, informes de seguimiento o presentaciones utilizadas para formalizar la entrega de los resultados de las revisiones de privilegios a las áreas correspondientes. 

  1. Informes de auditoría interna, planes de auditoría, hallazgos identificados o listas de verificación que permitan verificar que se audita periódicamente el cumplimiento del procedimiento de revisión de privilegios y de lo establecido en la política de control de acceso lógico. 

 

 

Requisito CA.3 - Establecer controles criptográficos.  

  1. Listados de respaldos críticos, instructivos internos o documentación de arquitectura que identifiquen qué datos históricos y respaldos deben protegerse mediante controles criptográficos u otros mecanismos seguros. 

  1. Configuraciones del sistema de respaldo, reportes de herramientas de respaldo, capturas de configuración, registros de procesos o documentación técnica que permitan verificar que los respaldos offline o datos históricos se almacenan en forma cifrada. 

  1. Manuales técnicos, configuraciones de herramientas, instructivos de seguridad o fichas técnicas de implementación que detallen los algoritmos, longitudes de clave y protocolos utilizados en los mecanismos criptográficos de la organización. 

  1. Documento de política vigente, aprobado y difundido internamente, que defina los lineamientos para el uso de criptografía en la organización. 

  1. Matrices de roles, manuales de funciones, actas de designación o procedimientos donde se especifique quiénes son los responsables de generar, custodiar, renovar y revocar las claves criptográficas, cubriendo todo su ciclo de vida.  

  1. Informes de control interno, listas de verificación, planes de revisión o registros de auditoría que evidencien que se evalúan periódicamente los controles criptográficos implementados para asegurar su adecuación y eficacia. 

  1. Informes de revisión firmados, correos institucionales, minutas de reunión o presentaciones que permitan comprobar que los resultados de las revisiones criptográficas fueron registrados e informados al Responsable de Seguridad de la Información. 

  1. Diagrama de arquitectura, configuraciones de HSM, plataformas de gestión de llaves, políticas criptográficas o registros de custodia, que permitan verificar que la organización gestiona las claves criptográficas de forma centralizada.   

 

Requisito CA.4 - Establecer los controles para el uso de firma electrónica.  

  1. Listados de sistemas, matrices de requerimientos, relevamientos funcionales, flujos de proceso o informes de análisis que evidencien que la organización ha identificado qué procesos y sistemas requieren el uso de firma electrónica avanzada. 

  1. Capturas de configuración, documentación técnica, manuales del sistema o reportes de validación que permitan comprobar que los sistemas implementan certificados X.509v3 emitidos por prestadores acreditados por la UCE. 

  1. Informes de configuración de sistemas, análisis de seguridad, pruebas de penetración o documentación técnica que demuestren que se utilizan protocolos criptográficos seguros. 

  1. Configuraciones del sistema, documentación técnica, informes de cumplimiento o ejemplos de documentos firmados que reflejen el uso de estándares adecuados como XAdES, PAdES o PDFSignature, según corresponda. 

  1. Logs de verificación, configuraciones del sistema, reportes técnicos o capturas de herramientas que evidencien que los certificados electrónicos son validados mediante OCSP, CRL o mecanismos equivalentes. 

  1. Funcionalidades implementadas, reportes de error, bitácoras del sistema o manuales que permitan constatar que la solución detecta firmas inválidas, rotas o alteradas, y mantiene trazabilidad de los eventos asociados. 

  1. Procedimientos aprobados, instructivos técnicos y funcionales o flujos operativos que documenten cómo se implementa la firma electrónica avanzada en la organización. 

  1. Especificaciones técnicas, configuraciones del sistema, informes de pruebas o manuales del proveedor que evidencien que los sistemas soportan el uso de dispositivos criptográficos dedicados (como tokens o HSM) en todos los casos de uso requeridos. 

  1. Capturas de pantallas, manuales de usuario, informes de pruebas funcionales o documentación técnica que evidencien que la firma electrónica avanzada se encuentra integrada en los sistemas institucionales, permitiendo a los usuarios firmar o validar documentos directamente dentro del flujo de cada proceso. 

  1. Configuraciones del sistema, ejemplos de firmas con sellado, certificados de servidores TSA o reportes técnicos que evidencien que se utilizan sellos de tiempo compatibles con la especificación RFC 3161. 

  1. Informes de auditoría, pruebas de cumplimiento técnico, resultados de revisión o listas de verificación que permitan confirmar que se han auditado los módulos de firma, incluyendo aspectos como protocolos, formatos, manejo de claves y uso de sellado de tiempo. 

  1. Planes de mejora, actas de revisión, correos de comunicación o presentaciones institucionales que evidencien que los resultados de las auditorías fueron analizados y utilizados para la mejora continua de la solución, y comunicados formalmente al RSI. 

 

Requisito CA.5 - Segregación de funciones en el acceso lógico  

  1. Configuraciones de flujo de autorizaciones, matrices de control de funciones, registros de tickets o procedimientos que evidencien que no es posible que un mismo usuario solicite, apruebe y asigne accesos en sistemas críticos.   

  1. Tickets de acceso, flujos de aprobación, configuraciones de sistema o planillas de control que permitan verificar que quien ejecuta la asignación de privilegios es distinto al que la aprueba. 

  1. Controles técnicos en herramientas de gestión, matrices de segregación, formularios de aprobación excepcional o reportes de revisión que evidencien que se impide la asignación conjunta de roles en conflicto salvo justificación formal. 

  1. Listados de usuarios con privilegios, criterios de asignación documentados, reportes de revisión de cuentas o configuraciones de sistemas que permitan verificar que se limita la cantidad de usuarios con privilegios administrativos conforme a lineamientos establecidos. 

  1. Diagramas de roles por entorno, configuraciones de herramientas, tickets de justificación o registros de revisión que evidencien que no se permite operar en múltiples entornos salvo justificación formal y documentada. 

  1. Manuales de funciones, matrices de segregación, actas de asignación de roles o evidencia organizacional que confirme que el personal que administra accesos no realiza auditoría sobre los mismos. 

  1. Matrices de incompatibilidades, instructivos internos, configuraciones de sistemas o planillas de revisión que permitan verificar que los conflictos entre roles o combinaciones de privilegios están identificados, documentados y gestionados. 

  1. Políticas internas, criterios documentados, formularios de aprobación o publicaciones oficiales donde se especifiquen las condiciones bajo las cuales se pueden autorizar privilegios administrativos. 

  1. Documentación de seguridad, lineamientos operativos, instructivos aprobados o actas que definan y justifiquen cuántos usuarios con privilegios de administrador deben existir por sistema o entorno. 

  1. Procedimiento de control de acceso lógico vigente que incluya una sección específica sobre la segregación de funciones, disponible en sistemas internos, manuales de seguridad o plataformas de documentación institucional. 

  1. Informes de auditoría, listas de verificación, reportes de revisión o actas de control que evidencien que se audita periódicamente el cumplimiento del procedimiento de segregación de funciones. 

  1. Informes de hallazgos, tickets de corrección, planes de acción o registros de seguimiento con responsables asignados que permitan constatar que las desviaciones identificadas se documentan y se gestionan adecuadamente.  

 

Requisito CA.6 - Gestión de accesos y permisos  

  1. Formularios de solicitud de acceso, tickets aprobados, registros en sistemas de gestión o planillas firmadas por responsables que evidencien que los derechos de acceso se otorgan solo tras una autorización explícita. 

  1. Inventarios de dispositivos, formularios de asignación, tickets de aprobación, registros de configuración o controles de acceso que evidencien que los dispositivos externos utilizados por el personal están identificados, tienen un responsable asignado y su uso está autorizado. 

  1. Tickets aprobados, planillas de control, registros del sistema de gestión de identidades o archivos históricos que permitan verificar que toda autorización de acceso queda documentada. 

  1. Configuraciones del sistema, reportes técnicos, capturas de autenticación o instructivos de seguridad que permitan constatar que el acceso a activos críticos requiere autenticación con múltiple factor (MFA). 

  1. Configuraciones de permisos, matrices de roles, instructivos de asignación o reportes de revisión de accesos que evidencien que los accesos son otorgados según el mínimo nivel necesario para desempeñar la función asignada. 

  1. Procedimiento operativo aprobado y vigente, instructivo interno o diagrama de flujo que detalle los pasos para acceder a redes, sistemas o recursos de información de forma controlada. 

  1. Documento formal de política aprobado y difundido institucionalmente, que establezca criterios, responsabilidades y restricciones para el acceso lógico a los activos de información. 

  1. Informes de análisis de riesgo, matrices de amenazas, configuraciones de seguridad o documentación técnica que evidencien que los controles de acceso fueron definidos en función del nivel de riesgo asociado a los activos protegidos. 

  1. Secciones específicas de la política de acceso lógico, anexos o cláusulas donde se regulen los accesos privilegiados, sus condiciones de uso y los mecanismos de control aplicados. 

  1. Listas de verificación, actas de revisión, informes de cumplimiento o evidencias de evaluación que reflejen que en los procedimientos de revisión continua de accesos consideran las políticas, normas y regulaciones sobre protección de datos y privacidad. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Políticas de Ciberseguridad Ciberseguridad Seguro te conectás Herramientas para organismos Política Digital del Uruguay