DivisionCero
Políticas, Procesos y Procedimientos

Política de Control de Acceso

Lineamientos para la gestión segura del acceso a sistemas.

Quieres aprender más?

Descarga el Kit de Ciberseguridad.

📋 Información General

Documento: Política de Control de Acceso
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Todos los usuarios, administradores de sistemas, equipo de seguridad

🎯 Propósito

Establecer los lineamientos para la gestión segura del acceso a los sistemas de información, aplicaciones y recursos de DivisionCero, asegurando que solo usuarios autorizados tengan acceso a la información y recursos necesarios para desempeñar sus funciones laborales, basado en el principio de menor privilegio.

🏢 Alcance

Esta política aplica a:

  • Todos los sistemas de información de DivisionCero
  • Aplicaciones internas y de terceros
  • Bases de datos y repositorios de información
  • Servicios en la nube y plataformas SaaS
  • Dispositivos de red y telecomunicaciones
  • Estaciones de trabajo y dispositivos móviles

📚 Definiciones

  • Control de Acceso: Medidas para asegurar que el acceso a activos está autorizado y restringido
  • Principio de Menor Privilegio: Otorgar el mínimo nivel de acceso necesario para realizar tareas
  • Autenticación: Proceso de verificar la identidad de un usuario
  • Autorización: Proceso de otorgar permisos específicos a usuarios autenticados
  • Segregación de Funciones: Separación de responsabilidades para prevenir conflictos de interés

🛡️ Política

Principios de Control de Acceso

Menor Privilegio

  • Los usuarios tendrán únicamente los accesos mínimos necesarios para sus funciones
  • Los privilegios serán revisados periódicamente y ajustados según cambios de rol
  • Se requerirá justificación de negocio para accesos adicionales
  • Los accesos temporales tendrán fecha de expiración automática

Necesidad de Conocer

  • El acceso a información se basará en la necesidad legítima de conocimiento
  • La clasificación de información determinará los niveles de acceso requeridos
  • Se documentará la justificación para acceso a información sensible
  • Los accesos se revocarán cuando ya no sean necesarios

Segregación de Funciones

  • Se separarán funciones críticas entre diferentes usuarios
  • Ningún usuario tendrá control completo sobre procesos críticos de negocio
  • Se implementarán controles compensatorios donde la segregación no sea práctica
  • Los conflictos de interés serán identificados y mitigados

Gestión de Identidades

Registro de Usuarios

Proceso de Alta:

  • Solicitud formal con aprobación del supervisor
  • Verificación de identidad y autorización
  • Asignación de credenciales únicas e intransferibles
  • Documentación en sistema de gestión de identidades

Información Requerida:

  • Datos personales y de contacto
  • Rol organizacional y responsabilidades
  • Supervisor directo y área de trabajo
  • Fecha de inicio y duración estimada del acceso

Gestión del Ciclo de Vida

  • Provisión: Creación de cuentas según roles autorizados
  • Modificación: Cambios basados en modificaciones de rol o responsabilidades
  • Suspensión: Desactivación temporal por ausencias prolongadas
  • Revocación: Eliminación definitiva al terminar relación laboral

Autenticación

Factores de Autenticación

Autenticación Multifactor (MFA) Obligatoria para:

  • Acceso a sistemas críticos de negocio
  • Acceso remoto a la red corporativa
  • Cuentas con privilegios administrativos
  • Aplicaciones que procesan datos sensibles

Métodos Aceptados:

  • Tokens de hardware FIDO2/WebAuthn
  • Aplicaciones de autenticación móvil (TOTP)
  • SMS como factor secundario (solo en casos excepcionales)
  • Biometría en dispositivos corporativos

Gestión de Contraseñas

Requisitos Mínimos:

  • Longitud mínima de 12 caracteres
  • Combinación de letras, números y símbolos
  • Prohibición de información personal identificable
  • Cambio obligatorio cada 90 días para cuentas privilegiadas

Buenas Prácticas:

  • Uso de gestores de contraseñas corporativos
  • Contraseñas únicas para cada sistema
  • Notificación inmediata de comprometimiento
  • Verificación de contraseñas en listas de comprometidas conocidas

Autorización y Accesos

Modelo de Acceso Basado en Roles (RBAC)

  • Definición de roles estándar según funciones organizacionales
  • Asignación de permisos a roles en lugar de usuarios individuales
  • Revisión periódica de roles y permisos asociados
  • Documentación de matriz de autorización por sistemas

Accesos Privilegiados

Cuentas Administrativas:

  • Cuentas separadas para funciones administrativas
  • Acceso mediante "break-glass" para emergencias
  • Sesiones privilegiadas grabadas y monitoreadas
  • Rotación automática de credenciales

Gestión de Cuentas de Servicio:

  • Inventario completo de cuentas de servicio
  • Contraseñas complejas y rotación automática
  • Monitoreo de uso y detección de anomalías
  • Documentación de propósito y propietario

Control de Acceso a Redes

Segmentación de Red

  • Separación de redes según criticidad y función
  • Controles de acceso entre segmentos de red
  • Monitoreo de tráfico entre zonas de seguridad
  • Políticas de firewall basadas en principio de denegación por defecto

Acceso Remoto

VPN Corporativa:

  • Autenticación multifactor obligatoria
  • Cifrado fuerte para todas las conexiones
  • Registro y monitoreo de sesiones remotas
  • Políticas de acceso basadas en ubicación geográfica

Monitoreo y Auditoría

Registro de Actividades

  • Registro de todos los intentos de autenticación
  • Auditoría de cambios en permisos y accesos
  • Monitoreo de actividades privilegiadas
  • Alertas automáticas para actividades sospechosas

Revisiones Periódicas

  • Revisión trimestral de accesos por parte de propietarios de datos
  • Auditoría semestral de cuentas privilegiadas
  • Certificación anual de accesos por supervisores
  • Reporte de accesos huérfanos o no utilizados

👥 Roles y Responsabilidades

  • Propietarios de Datos: Autorizar accesos a información bajo su responsabilidad
  • Administradores de Sistemas: Implementar y mantener controles técnicos
  • Supervisores: Aprobar solicitudes de acceso de su personal
  • Usuarios: Cumplir con políticas y proteger sus credenciales
  • Equipo de Seguridad: Monitorear cumplimiento y investigar violaciones

📊 Cumplimiento y Medición

Métricas de Control:

  • Porcentaje de sistemas con MFA implementado
  • Tiempo promedio de provisión/revocación de accesos
  • Número de accesos privilegiados vs. justificación de negocio
  • Porcentaje de cumplimiento en revisiones de acceso

Indicadores de Riesgo:

  • Cuentas inactivas no deshabilitadas
  • Intentos de acceso fallidos anómalos
  • Accesos compartidos o no personalizados
  • Uso de credenciales por defecto

🚨 Incumplimiento

Violaciones Menores:

  • Compartir credenciales con colegas
  • No cambiar contraseñas por defecto
  • Usar contraseñas débiles

Violaciones Graves:

  • Acceso no autorizado a sistemas
  • Intentos de eludir controles de seguridad
  • Uso indebido de cuentas privilegiadas

Consecuencias:

  • Suspensión temporal de accesos
  • Capacitación obligatoria en seguridad
  • Medidas disciplinarias según gravedad
  • Reporte a autoridades en casos de actividad criminal

📖 Referencias

  • ISO 27001:2022 - A.9 Control de Acceso
  • NIST SP 800-63 - Digital Identity Guidelines
  • OWASP Authentication Cheat Sheet
  • Política de Gestión de Identidades
  • Procedimiento de Alta y Baja de Usuarios

📝 Control de Versiones

VersiónFechaCambiosAutor
1.0.0Enero 2025Versión inicialEquipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025

Política de Continuidad del Negocio

Lineamientos para garantizar la continuidad operativa y recuperación ante desastres.

Política de Cumplimiento Regulatorio y Legal

Política de cumplimiento regulatorio y legal.