Objetivo | Revisar y controlar periódicamente los derechos de acceso lógico a los activos de información (incluyendo los permisos de los usuarios privilegiados). |
Controles | Nivel 1 - CA.2-1: la revisión de privilegios se realiza en forma reactiva frente a un cambio o baja, al menos para los sistemas críticos.
Nivel 2 - CA.2-2: está establecida la periodicidad con la que se realizan las revisiones de los privilegios y la validez de las cuentas asociadas.
- CA.2-3: están definidos los responsables de la revisión de privilegios y de la validez de las cuentas en cada sistema.
- CA.2-4: se mantiene un inventario de usuarios con permisos y privilegios elevados, validando también la vigencia de las cuentas.
Nivel 3 - CA.2-5: existe una política de control de acceso lógico donde se estipula la revisión de privilegios periódicamente a todos los usuarios y en todos los sistemas.
- CA.2-6: existen y se aplican procedimientos formales de revisión de permisos que abarcan todo el ciclo de vida (alta, baja y modificación) de los usuarios, incluyendo los privilegiados.
- CA.2-7: se realizan revisiones de los derechos de acceso de los usuarios y se cuenta con registro de tales acciones.
- CA.2-8: se documentan los resultados de cada revisión y se comunican al RSI, a las gerencias y demás partes interesadas.
Nivel 4 - CA.2-9: el resultado de las revisiones se comunica formalmente a las gerencias y otras partes interesadas.
- CA.2-10: se realizan auditorías internas sobre el cumplimiento del procedimiento de revisión de privilegios y la política de control de acceso lógico, en específico de su apartado de revisiones periódicas.
|
Guía de implementación | Se debe definir un procedimiento periódico para la revisión de los derechos de acceso lógico de todos los usuarios, incluidos los usuarios con acceso privilegiado, con asignación de responsables y documentación que evidencie la revisión realizada.
En el caso de los usuarios privilegiados, se deben verificar periódicamente sus competencias para evaluar si dicho acceso está alineado con sus funciones en la organización. Se recomienda definir la periodicidad de las revisiones de acceso lógico. A la hora de la revisión, siempre se debe tener presente la necesidad de acceso y el otorgamiento del mínimo privilegio. |
Instituciones de salud | Asegurar que los datos de salud de los usuarios son accedidos únicamente por personal autorizado y no por otros roles que no requieren conocimiento de este tipo de información. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría | - Política de control de acceso lógico.
- Procedimiento de revisión de privilegio de acceso.
- Listado de usuarios con acceso privilegiado.
- Evidencia de la revisión de usuarios y usuarios privilegiados en el período auditado (en el caso de los usuarios privilegiados, se busca contar con evidencia de que la organización determina lo adecuado de su asignación).
|
Normativa asociada | No aplica |