Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• CA.1.1: todos los sistemas requieren autenticación.
• CA.1-2: el acceso a la red y los sistemas debe realizarse con usuarios nominados.
• CA.1-3: el uso de usuarios privilegiados se encuentra controlado.
• CA.1-4: los accesos a aplicaciones se realizan utilizando mecanismos de autenticación seguros.

Nivel 2

• CA.1-5: el uso de usuarios genéricos debe estar fundamentado y autorizado por excepción.   
• CA.1-6: existen pautas definidas para la realización de altas, bajas y modificaciones de acceso lógico que además incluyen aprobaciones.
• CA.1-7: se identifican los casos que requieren autenticación fuerte y se determinan los controles requeridos.
• CA.1-8: las credenciales de autenticación (contraseñas, certificados, tokens, biometría) están protegidas en reposo y en tránsito mediante mecanismos criptográficos robustos.

Nivel 3

• CA.1-9: se define una política de gestión de usuarios y contraseñas, y se instruye al personal para su uso correcto.
• CA.1-10: se cuenta con un procedimiento para el ABM de usuarios.
• CA.1-11: la gestión de identidades y credenciales se realiza en forma centralizada, al menos en forma administrativa.
• CA.1-12: los tokens o credenciales utilizadas para el acceso (por ejemplo, SAML assertions, JWTs) se validan en cada acceso y su integridad es verificada.

Nivel 4

• CA.1-13: se establecen procesos de revisiones y auditorías continuas para verificar que las redes, sistemas, recursos y dispositivos están funcionando con la autenticación y configuración requerida y acordada por la organización.
• CA.1-14: la política y procedimientos son revisados periódicamente. 

Procesos de gestión de identidades digitales
La organización debe establecer procedimientos centralizados para administrar el ciclo de vida de las identidades digitales, abarcando la creación, modificación, suspensión y baja de cuentas de usuario. Cada cuenta debe asociarse inequívocamente a una persona, función o servicio autorizado, permitiendo así la asignación de permisos y privilegios según las responsabilidades asignadas. El acceso a sistemas y redes se debe conceder únicamente a través de usuarios nominados y validados, prohibiéndose por defecto el uso de cuentas genéricas, salvo excepciones debidamente justificadas y documentadas.

Control y uso de cuentas privilegiadas
El uso de cuentas con privilegios elevados debe encontrarse acotado a situaciones justificadas y bajo una estricta supervisión. Estas cuentas deberán tener credenciales diferenciadas de las cuentas de uso habitual y estar sujetas a controles que permitan identificar y auditar todas las acciones realizadas bajo dichas identidades. Las revisiones periódicas sobre el uso y la vigencia de estas cuentas son indispensables para detectar y corregir posibles desviaciones.

Mecanismos de autenticación segura y protección de credenciales
Los mecanismos de autenticación seguros son los métodos y procesos que se utilizan para verificar la identidad de un usuario, dispositivo o sistema de una manera fiable y resistente a los ataques. El objetivo principal es garantizar que solo las entidades autorizadas puedan acceder a datos, sistemas o recursos protegidos. Por ejemplo: múltiples factores de autenticación, contraseña de un solo uso, autenticación biométrica, entre otros.

Todos los accesos a los sistemas y recursos de la organización deben realizarse mediante mecanismos de autenticación segura que garanticen la individualización de los usuarios. Se debe usar la autenticación multifactor especialmente para accesos remotos, aplicaciones o servicios críticos o que manejen información sensible. Las credenciales asociadas a las identidades digitales (contraseñas, certificados, tokens, etc.) deben protegerse tanto en reposo como en tránsito utilizando tecnologías criptográficas robustas y procedimientos que eviten su divulgación o reutilización indebida. Los sistemas que utilicen tokens de acceso o credenciales temporales deben validar su integridad y vigencia en cada autenticación.

Política y procedimientos de gestión de usuarios y contraseñas
Se debe formalizar una política de gestión de identidades y credenciales que contemple los requisitos mínimos para la creación de cuentas, el proceso de autorización de nuevos accesos, la modificación o revocación de privilegios, y los mecanismos para la baja segura de usuarios. Los procedimientos asociados deben incluir la aprobación documentada de cada acción relevante, el registro detallado de los cambios realizados y la notificación a las partes interesadas. Es fundamental que la administración de estos procesos se realice de manera centralizada para facilitar el control y la trazabilidad.

Métodos de autenticación y verificación de identidad

• En aquellos casos que se requiera una autenticación fuerte y verificación de identidad se podrá establecer la utilización de métodos alternativos como: eID (cédula electrónica), token, autenticación multifactor, entre otros.
• En otros casos se puede considerar la autenticación adaptativa, también conocida como autenticación basada en riesgo (RBA), evaluando en cada caso el contexto de la conexión para decidir si debe permitir el acceso, bloquearlo o solicitar una prueba de identidad adicional.

Definición de cuentas de usuario y control interno

• Para la creación de los usuarios, es necesario contemplar la separación de funciones de acuerdo con los procesos de negocio para evitar posibles fraudes y accesos no autorizados. Se deben considerar principios como: menor privilegio (acceder solo a la información necesaria para cumplir con un legítimo propósito), necesidad de saber (solo se concede acceso a la información que se necesita saber), necesidad de utilizar (solo se da acceso a recursos de TI, información, activos de información, etc. que se requiere para llevar a cabo una tarea).
• Los usuarios con acceso privilegiado deben contar con una identificación diferente a la que utilizan habitualmente en actividades del negocio donde no requieren de una cuenta privilegiada. Las cuentas de usuarios privilegiados deben ser revisadas periódicamente.
• Restricciones para acceso remoto a información confidencial.
• Al acceder a información confidencial desde ubicaciones remotas, se deben definir controles específicos. Por ejemplo, podría considerarse restringir acciones como copiar, mover, imprimir, utilizar capturas de pantalla o almacenar información en discos duros locales y medios electrónicos extraíbles, a menos que exista una autorización explícita y con una necesidad justificada.

Revisión, auditoría y mejora continua
La organización debe realizar auditorías periódicas para verificar que todas las identidades y credenciales activas correspondan a usuarios vigentes y autorizados, y que los controles implementados sigan siendo efectivos frente a las amenazas emergentes. Se recomienda establecer revisiones automáticas o manuales sobre los accesos concedidos, la configuración de autenticación y los privilegios asignados. Los resultados de estas auditorías deben utilizarse para actualizar procedimientos, corregir desvíos y fortalecer la seguridad en la gestión de identidades digitales.

Acceso lógico a dispositivos médicos
Dentro de la política de gestión de usuarios y contraseñas se debe incluir también el acceso a los dispositivos médicos con los que cuente la institución. Debe evitarse el uso de usuarios genéricos en los equipos médicos.

Identificación y autenticación
Asimismo, en el artículo 18, se menciona: “Las instituciones con competencias legales en materia de salud, públicas y privadas, a los efectos de conectarse a la Red Salud y acceder a la Plataforma de Historia Clínica Electrónica Nacional deberán estar debidamente identificadas electrónicamente. Del mismo modo, deberán garantizar mediante mecanismos informáticos seguros la autenticación de las personas cuyo acceso autorizan, así como la privacidad y la integridad de la información clínica intercambiada, de forma que ésta no sea revelada ni manipulada por terceros.”.

Gestión de accesos
Al momento del alta (y en principio, también al momento de la modificación) de usuarios, se debe determinar si dichos usuarios accederán o no a información de salud. 
Se debe definir específicamente la gestión de acceso del personal temporal (por ejemplo, residentes, pasantes, etc.) con acceso a información de salud de los usuarios y contar con procedimientos específicos para las bajas de usuarios de los sistemas, una vez que el personal abandona la institución. 
Para al acceso a las historias clínicas de los usuarios, debe ser mediante doble factor de autenticación.

• Política de gestión de usuarios y contraseñas.
• Mecanismos de autenticación utilizados.
• Controles aplicados para el acceso remoto a información confidencial.
• Esquema de seguridad de las aplicaciones críticas.
• Listado de ingresos y egresos de funcionarios en el período auditado con detalle de su cargo y accesos otorgados o dados de baja (RRHH).
• Formularios de solicitud de Alta/Baja de cuentas de usuario para acceso a equipos de red y comunicaciones, sistemas operativos, aplicativos, otros, para una muestra de funcionarios tomada del listado de ingresos y egresos obtenido de RRHH, para el período auditado.
• Formularios de solicitud de modificaciones de privilegios de cuentas de usuario para acceso a equipos de comunicaciones, sistemas operativos, aplicativos y otros, dentro del período auditado.
• Listados de altas y bajas de funcionarios a los equipos de comunicaciones, sistemas operativos y aplicativos (sistemas), dentro del periodo auditado.