| Objetivo | Definir, aplicar y revisar los permisos, derechos y autorizaciones de acceso lógico a sistemas, redes, aplicaciones y activos de información; conforme a las políticas de seguridad, aplicando los principios de mínimo privilegio, con trazabilidad, revisión periódica y cumplimiento normativo. |
| Guía de implementación | Definición y autorización de permisos de acceso
La organización debe asegurar que todos los derechos, permisos y autorizaciones de acceso a sistemas, redes, aplicaciones y activos de información sean previamente definidos y formalmente autorizados, de acuerdo a las políticas de seguridad vigentes. El otorgamiento de permisos debe estar respaldado por un proceso documentado, asegurando que cada acceso otorgado responda a una necesidad justificada y esté alineado a las funciones y responsabilidades del usuario o servicio involucrado. Toda autorización debe ser registrada para garantizar la trazabilidad y la posterior revisión de los accesos. Aplicación del menor privilegio
El acceso lógico y los permisos otorgados deben seguir estrictamente el principio de mínimo privilegio, garantizando que cada usuario cuente únicamente con los derechos indispensables para el cumplimiento de sus tareas. Las autorizaciones y cambios en los derechos de acceso deben ser documentados y actualizados de forma centralizada. Procedimientos y política de acceso lógico
La política de control de acceso lógico establece los lineamientos generales que debe seguir la organización para gestionar y proteger el acceso a los activos de información. Su objetivo es asegurar que únicamente las personas autorizadas puedan acceder, y solo a la información mínima necesaria para cumplir con sus funciones. Para ello, la organización debe contar con mecanismos formales de autorización, así como procedimientos definidos para la solicitud, aprobación, revocación y notificación de accesos. Además, debe establecerse un proceso para la gestión de accesos de terceros, el cual debe estar respaldado por acuerdos específicos aprobados por la Dirección o quien ésta designe. Gestión de accesos privilegiados y autenticación reforzada
La política de acceso lógico debe contemplar el uso diferenciado y la gestión rigurosa de los usuarios privilegiados, estableciendo controles específicos para su uso, revisión y auditoría. Para los activos de información identificados como críticos, se debe exigir el uso de autenticación con múltiple factor (MFA), reforzando así el nivel de seguridad sobre estos recursos y minimizando el riesgo de accesos no autorizados. Revisión, cumplimiento normativo y mejora continua
La organización debe establecer mecanismos para la revisión continua de los accesos y permisos otorgados, considerando las políticas, normas, estándares y regulaciones aplicables en materia de protección de datos y privacidad de la información. Las revisiones periódicas deben identificar accesos innecesarios, cuentas obsoletas o privilegios excesivos, permitiendo su corrección oportuna. Los procesos de auditoría y revisión deben estar documentados, y sus resultados deben alimentar acciones de mejora y la actualización de políticas y procedimientos para asegurar el cumplimiento normativo y la eficacia de los controles implementados. |
| Instituciones de salud | Acceso lógico a dispositivos médicos
Dentro de la política de gestión de acceso lógico se debe incluir también el acceso a los dispositivos médicos con los que cuente la institución. Trazas o logs
Con relación a la generación de trazas o “logs”, se debe tener en cuenta lo mencionado en el artículo 13 del decreto 242/017: “Todos los accesos a la historia clínica electrónica deben quedar debidamente registrados y disponibles. La información no podrá ser alterada o eliminada sin que quede registrada la modificación de que se trate. En caso de ser necesaria su corrección, se agregará el nuevo dato con la fecha, hora y firma electrónica del que hizo la corrección, sin suprimir lo corregido.”. Gestión de accesos
Al momento del alta (y en principio, también al momento de la modificación) de usuarios, se debe determinar si dichos usuarios accederán o no a información de salud.
Se debe definir específicamente la gestión de acceso del personal temporal (por ejemplo, residentes, pasantes, etc.) con acceso a información de salud de los usuarios y contar con procedimientos específicos para las bajas de usuarios de los sistemas, una vez que el personal abandona la institución.
Para al acceso a las historias clínicas de los usuarios, es deseable que el acceso sea mediante doble factor de autenticación. Mínimo privilegio para terceros
El acceso concedido a terceros a información sensible, como la Historia Clínica Electrónica (HCE), debe ser estrictamente limitado al mínimo necesario y restringido en duración, revocándose tan pronto como deje de ser necesario. Todas las conexiones remotas con terceros deben asegurarse mediante canales encriptados para proteger la transmisión de información. |
| Guía de evidencia para auditoría | - Política de control de acceso lógico.
- Política de gestión de usuarios y contraseñas.
- Mecanismos de autenticación utilizados.
- Controles aplicados para el acceso remoto a información confidencial.
- Esquema de seguridad de las aplicaciones críticas.
- Listado de ingresos y egresos de funcionarios en el período auditado con detalle de su cargo y accesos otorgados o dados de baja (RRHH).
- Formularios de solicitud de Alta/Baja de cuentas de usuario para acceso a equipos de red y comunicaciones, sistemas operativos, aplicativos, otros, para una muestra de funcionarios tomada del listado de ingresos y egresos obtenido de RRHH, para el período auditado.
- Formularios de solicitud de modificaciones de privilegios de cuentas de usuario para acceso a equipos de comunicaciones, sistemas operativos, aplicativos y otros, dentro del período auditado.
- Listados de altas y bajas de funcionarios a los equipos de comunicaciones, sistemas operativos y aplicativos (sistemas), dentro del periodo auditado.
|
