CA.5 Segregación de funciones en el acceso lógico
Requisito CA.4 | Segregación de funciones en el acceso lógico |
---|---|
Objetivo | Implementar para el acceso lógico una segregación clara de funciones entre los roles críticos dentro de la organización, previniendo así conflictos de interés y reduciendo el riesgo de manipulación no autorizada de la información y los sistemas. |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | La autorización de acceso debe ser gestionada de manera segregada, distribuyendo responsabilidades como solicitudes de acceso, aprobaciones y provisión entre varios individuos o grupos. Esto evita concentraciones de poder y el potencial abuso de los privilegios de acceso. La segregación de funciones debe ser acompañada de procesos de auditoría y supervisión robustos, para minimizar el riesgo de que los activos de información sufran modificaciones no autorizadas. Es fundamental limitar el número de administradores al mínimo necesario, basándose en las responsabilidades y roles específicos de cada usuario, para reducir los riesgos asociados con el acceso a información crítica. El personal de seguridad que administra los controles de acceso debe estar separado de las funciones de auditoría de estos controles, para mantener una supervisión objetiva. Las responsabilidades de desarrollo, pruebas, garantía de calidad y producción deben estar claramente divididas entre diferentes equipos o individuos, asegurando una independencia que previene conflictos de interés y fortalece la seguridad de los procesos operativos. |
Instituciones de salud | No aplica |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría |
|
Normativa asociada | No aplica |