Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• CA.5-1: están implementados controles que impiden que un mismo usuario solicite, apruebe y asigne accesos en los sistemas críticos.
• CA.5-2: la asignación de privilegios es ejecutada por un responsable distinto al que la aprueba.

Nivel 2

• CA.5-3: se aplican mecanismos preventivos para evitar su asignación conjunta, salvo justificación formal y aprobación excepcional de roles en conflicto.
• CA.5-4: está limitada la cantidad de usuarios con privilegios administrativos, siguiendo criterios establecidos.
• CA.5-5: la segregación de funciones abarca también los diferentes entornos de la organización, evitando que una persona realice actividades en más de un entorno al menos de que esté debidamente justificado y documentado.
• CA.5-6: el personal de administración de accesos no es el mismo que el que realiza la auditoría sobre dichos accesos.

Nivel 3

• CA.5-7: están identificados, documentados y gestionados los posibles conflictos entre roles o combinaciones de privilegios.
• CA.5-8: están definidos y documentados los criterios para autorizar privilegios administrativos.
• CA.5-9: están definidos y documentados los criterios para determinar cuántos usuarios con privilegios de administrador deben existir por sistema o entorno.
• CA.5-10: la segregación de funciones está incluida en el procedimiento formal de control de acceso lógico.

Nivel 4

• CA.5-11: se audita periódicamente el cumplimiento del procedimiento de segregación de funciones.
• CA.5-12: en caso de identificarse desviaciones se documentan, y se realizan acciones correctivas con responsables asignados.

La autorización de acceso debe ser gestionada de manera segregada, distribuyendo responsabilidades como solicitudes de acceso, aprobaciones y provisión entre varios individuos o grupos. Esto evita concentraciones de poder y el potencial abuso de los privilegios de acceso. La segregación de funciones debe ser acompañada de procesos de auditoría y supervisión robustos, para minimizar el riesgo de que los activos de información sufran modificaciones no autorizadas.

Es fundamental limitar el número de administradores al mínimo necesario, basándose en las responsabilidades y roles específicos de cada usuario, para reducir los riesgos asociados con el acceso a información crítica. El personal de seguridad que administra los controles de acceso debe estar separado de las funciones de auditoría de estos controles, para mantener una supervisión objetiva. Las responsabilidades de desarrollo, pruebas, garantía de calidad y producción deben estar claramente divididas entre diferentes equipos o individuos, asegurando una independencia que previene conflictos de interés y fortalece la seguridad de los procesos operativos.

• Política de control de acceso lógico.
• Procedimiento de revisión de privilegio de acceso.
• Listado de usuarios con acceso privilegiado.
• Listado de conflictos entre roles o combinaciones de privilegios.  
• Evidencia de la revisión de usuarios y usuarios privilegiados en el período auditado (en el caso de los usuarios privilegiados, se busca contar con evidencia de que la organización determina lo adecuado de su asignación).
• Organigrama de la organización donde se pueda identificar la ubicación del rol o función de seguridad de la información y determinar la segregación de funciones/tareas.