Ir al contenido principal

Matriz de Accesos

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • TSC: Seguridad (Common Criteria): Los siguientes criterios: CC6.1, CC6.2, CC6.3 y CC6.6.

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayuda a registrar, monitorear y controlar los accesos, roles y permisos que tienen tus colaboradores a los sistemas y a la información de la empresa. Esta matriz es el registro central de tu programa de control de acceso lógico (CC6.1).

💡 Además, esta matriz es la herramienta fundamental para poder llevar a cabo las revisiones de acceso periódicas, un requisito clave del criterio CC6.6 que los auditores de SOC 2 siempre verifican.

¿Qué tengo que hacer? 🚀

Antes de comenzar, refresquemos los conceptos asociados al control de accesos, que se relacionan directamente con el criterio CC6.3:

  • Una alta corresponde al otorgamiento de nuevos accesos.

  • Una baja corresponde a la remoción de accesos tras una desvinculación o cambio de rol.

  • Un cambio corresponde a cualquier modificación en los roles o permisos de un usuario existente.

Con esta información clara, podemos comenzar con la matriz de accesos. Te sugerimos realizar los siguientes pasos:

  • Identifica los sistemas y aplicaciones en alcance

    • Para esto te recomendamos tomar todos los activos de tu “Inventario de Activos” que hayas identificado con el tipo "software" y que requieran un usuario y contraseña para ingresar.

  • Investiga los roles y permisos de cada sistema

    • Enlista los roles que existen en cada sistema (por ejemplo, admin, member, read-only) y los permisos que cada uno conlleva.

  • Realiza la asignación y segregación de accesos

    • Define qué sistemas, roles y permisos necesita cada colaborador, aplicando siempre el principio de mínimo privilegio, como lo exige el criterio CC6.2. Esto significa otorgar solo los permisos estrictamente necesarios para que cada persona realice sus funciones.

Ejemplo visual de cómo podría verse un registro de accesos:

  • Mantén actualizada la matriz y realiza revisiones periódicas

    • Esta matriz debe ser un documento vivo. Es crucial que la revises periódicamente (por lo menos una vez al año) para asegurar que los accesos sigan siendo apropiados. Esta revisión periódica es la forma en que se cumple con el criterio CC6.6.

💡 Durante una auditoría de SOC 2, es muy probable que el auditor te pida que le muestres en vivo los accesos de un usuario en un sistema para compararlos con lo que está documentado en tu matriz. ¡Debe coincidir!

Puedes implementar todos estos pasos desde nuestro módulo de Accesos de una forma muy sencilla y aprovechar las automatizaciones que tenemos para ti ya que con nuestro módulo de Personal y nuestro módulo de Activos, ¡tendrás toda la información lista para que tu gestión de accesos sea súper eficiente!.

💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Utiliza nuestro Módulo de Accesos 🚀.

  • Asegúrate de contar con una asignación de accesos para todos los activos de tipo software que se encuentren dentro del alcance de tu reporte SOC 2.

  • Toma siempre en cuenta el puesto y las funciones de cada colaborador antes de hacer altas o cambios en sus permisos.

  • Mantén tu matriz de accesos bien estructurada y actualizada para cumplir con los requisitos de SOC 2.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
19. Matriz de Accesos
31. Matriz de Accesos
Matriz de SoD
Procedimiento de Gestión de Accesos
Procedimiento de Revisión de Accesos
¿Ha quedado contestada tu pregunta?