Control de acceso (PR.CA)
El acceso a los activos e instalaciones se limita a usuarios, procesos o dispositivos, actividades y transacciones autorizadas.
Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
PR.CA-1. Las identidades y credenciales para usuarios y dispositivos autorizados son gestionadas. | Existen controles de acceso lógico a redes, recursos y sistemas de información basados en usuarios nominados. | Existen pautas definidas para la realización de altas, bajas y modificaciones de acceso lógico que además incluyen aprobaciones. | Se define una política y procedimiento de acceso lógico a redes, recursos y sistemas de información. La gestión de identidades y credenciales se realiza en forma centralizada, al menos en forma administrativa. La revisión de privilegios se realiza en forma reactiva frente a un cambio o baja, al menos para los sistemas críticos. | Se realizan revisiones proactivas periódicas de los privilegios de acceso de los usuarios, especialmente los privilegiados, según un procedimiento formal. Los resultados de las revisiones se documentan formalmente y se comunican al RSI, a las gerencias y demás partes interesadas. Existe sinergia entre las áreas de gestión humana, las gerencias y los responsables de la revisión de privilegios para obtener en tiempo y forma la información para las revisiones. Se realizan actividades de control interno para verificar la realización de revisiones de privilegios. |
PR.CA-2. Se gestiona y protege el acceso físico a los activos. | Existen controles de acceso físico a las instalaciones de los centros de datos. Se gestionan las autorizaciones de acceso al centro de datos. | Existen controles de acceso físico para otras áreas definidas como seguras y se gestionan las autorizaciones de acceso. | Se cuenta con una política de control de acceso físico. Se establecen perímetros de seguridad al centro de datos y áreas seguras. Se realizan revisiones reactivas. | Se revisan periódicamente los registros de accesos realizados a los centros de datos y áreas seguras, según un procedimiento formal. La revisión periódica de accesos retroalimenta la gestión del acceso físico. Se realizan actividades de control interno para verificar el cumplimiento de los procedimientos establecidos. |
PR.CA-3. Gestión de acceso remoto. | El acceso remoto se realiza mediante el uso de comunicaciones y mecanismos de autenticación seguros. | Existen acuerdos de no divulgación firmados por el personal de la organización con permisos de acceso remoto y para proveedores que lo requieran. Se otorga el acceso remoto con base en una lista blanca de todos los recursos disponibles. | Existe un procedimiento documentado de solicitud de acceso remoto. Existe un responsable para la asignación de permisos de acceso remoto. Los proveedores tienen permisos de acceso remoto que caducan luego de realizada la actividad (o de una fecha establecida) para la cual se les otorgó el acceso. Se implementa el doble factor de autenticación para el acceso remoto. Se centraliza el acceso remoto al menos en forma administrativa. | Se realizan revisiones periódicas de los usuarios con acceso remoto. Las revisiones periódicas de accesos remotos incluyen la revisión de los registros de acceso remoto. Esta información retroalimenta la gestión del acceso remoto y proporciona información para la toma de decisiones de mejora continua. Se realizan actividades de control interno para verificar el cumplimiento de los procedimientos establecidos. |
PR.CA-4. Gestión de permisos de acceso, incorporando los principios de menor privilegio y segregación de funciones. | El acceso a la red y los sistemas cuentan con, al menos, usuario y contraseña con usuarios nominados. El uso de usuarios genéricos y/o privilegiados se encuentra controlado. | Se incorpora los principios de menor privilegio y segregación de funciones. Se identifican los casos que requieren una fuerte autenticación y verificación de identidad para determinar métodos alternativos (token, factor de doble autenticación, etc.). La gestión de usuarios y permisos de acceso se realiza en forma centralizada, al menos del punto de vista administrativo. | Se define una política de acceso lógico que incluye el uso de usuarios privilegiados. Se define una política de gestión de usuarios y contraseñas, y se instruye al personal para su uso correcto. Se cuenta con un procedimiento para el ABM de usuarios. Los derechos de acceso son autorizados y se cuenta con registro de tales acciones. Se realizan revisiones de los derechos de acceso de los usuarios y se cuenta con registro de tales acciones. | Se define un procedimiento documentado de revisión periódica de derechos de acceso de los usuarios incluyendo los privilegiados. El resultado de las revisiones se comunica formalmente a las gerencias y otras partes interesadas. Existe sinergia entre las áreas de gestión humana, las gerencias y las áreas de tecnología encargadas de habilitar técnicamente los derechos de acceso y se logra actuar proactivamente frente a cambios relacionados con el personal (altas, bajas, modificaciones). |
PR.CA-5. Protección de la integridad de la red incorporando segregación cuando es apropiado. | La red se encuentra segmentada al menos en redes con contacto directo con redes externas (por ejemplo, Internet) y redes privadas de la organización. Existe un diagrama de red actualizado.
| Se identifican los posibles dominios de red en función de las necesidades de la organización. Se establece la segmentación de las redes en función de los dominios definidos para proteger la infraestructura y los servicios de red. Se genera una postura de manejo de tráfico por defecto entre segmentos.
| Se conoce y se analiza el tráfico en los diferentes dominios de la red. Se protegen las comunicaciones entrantes y salientes entre los diferentes segmentos. Se trabaja en la definición de controles de detección de amenazas. Se definen alertas cuando el tráfico no autorizado es bloqueado o detectado. Se define un procedimiento de contención de incidentes en el segmento cuando se detectan las amenazas. | Existe un procedimiento documentado de monitoreo de los diferentes segmentos apoyado, si es viable, por herramientas automatizadas. El procedimiento de contención de incidentes se encuentra alineado con la política de gestión de incidentes. Se registran los incidentes que se detectan en los diferentes segmentos para aprender de ellos y retroalimentar las lecciones aprendidas facilitando la toma de decisiones. |
PR.CA-6. Las identidades son verificadas y vinculadas a credenciales y afirmadas en las interacciones. | Existe segregación de los distintos roles o perfiles del personal que accede al centro de datos, y se generan y almacenan los registros de las actividades que desempeñan. | Todos los usuarios nominados que ingresan a los sistemas de la organización y en especial a los que contienen información catalogada como sensible conocen y entienden sus responsabilidades en base a la seguridad de la información y están notificados de las medidas de auditoria implementadas en los sistemas. | Existen y se aplican procedimientos formales de revisión de permisos que abarcan todo el ciclo de vida (alta, baja y modificación) de los usuarios nominados y genéricos de los sistemas de información. | Ver PR.CA-1 (nivel 4) |
PR.CA-7. Se autentican los usuarios, dispositivos y otros activos (por ejemplo, autenticación de un solo factor o múltiples factores) acorde al riesgo de la transacción (por ejemplo, riesgos de seguridad y privacidad de individuos y otros riesgos para las organizaciones). | Todos los sistemas requieren autenticación. Todos los usuarios son nominados conforme la política de control de acceso definida por la organización. La autenticación de dispositivos para conexión y uso está autorizada. | Se realiza control sobre los usuarios privilegiados de los sistemas y aplicaciones (por ejemplo: bases de datos, servidores, etc.). Los accesos remotos a aplicaciones críticas del negocio se realizar utilizando más de un control de autenticación. El uso de dispositivos externos requiere identificación (inventariado y responsable) y autentificación (permiso de acceso por el rol del usurario o algún otro método). | Se define un procedimiento de acceso lógico a las redes, sistemas, recursos y dispositivos. Se disponen de controles de autenticación diferenciados, así como también autenticación de dispositivos, conforme la clasificación de la información a ser accedida. Las medidas implementadas para el acceso están directamente asociadas al análisis de riesgos sobre el acceso a la información. Se aplica el criterio de menor privilegio para la asignación de permisos. | Se establecen procesos de revisiones y auditorias continua para verificar que las redes, sistemas, recursos y dispositivos están funcionando con la autenticación y configuración requerida y acordada por la organización a fin de mantener confidencialidad, integridad y disponibilidad de la información. Al realizar estos procedimientos de revisión continua, se consideran las políticas, normas, estándares y regulaciones aplicables a la organización en relación a la protección de datos y privacidad de la información. |