👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 11 del Marco COSO y CC6.1, CC6.2, CC6.3 y CC6.6.
TSC: Integridad del Procesamiento: PI1.4.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para establecer e implementar el proceso paso a paso que garantiza la correcta asignación, modificación y eliminación de accesos a tus sistemas. Este procedimiento es la ejecución práctica de tus políticas de control de acceso. Te ayuda a evitar accesos no autorizados y, al asegurar que solo el personal autorizado puede modificar la información, actúa como un control preventivo clave para garantizar la integridad del procesamiento de datos (PI1.4).
¿Qué tengo que hacer? 🚀
Para comenzar esta actividad, te recomendamos leer en su totalidad el template que te proporcionamos. Los aspectos mínimos que debes definir en tu procedimiento son los siguientes:
Cómo se deben levantar y recibir las solicitudes de acceso Debes definir el canal y formato oficial para que tus colaboradores soliciten un alta, baja o modificación de accesos (por ejemplo, un ticket, un formulario, un correo electrónico con un formato específico).
Ejemplo de formato de solicitud:
Fecha: 01/06/2025
Tipo de solicitud: Modificación de permisos
Nombre del solicitante: Juan Pérez
Sistema involucrado: MyFinance
Justificación: Por cambio de puesto, se requiere permiso de edición.
Cómo se debe analizar y autorizar la solicitud
El procedimiento debe especificar quién tiene la autoridad para aprobar una solicitud. Generalmente, es el dueño del activo o el jefe directo de la persona. Este paso de autorización formal es clave para cumplir con el criterio CC6.2. Es vital corroborar que la justificación sea válida para mantener el principio de mínimo privilegio.
Cómo se deben otorgar los accesos y/o permisos
Una vez autorizada, el responsable técnico (por ejemplo, un administrador de sistemas) ejecuta la acción. Este es el proceso de aprovisionamiento que se exige en el criterio CC6.3. Es fundamental generar y guardar la evidencia de que el cambio se aplicó según lo solicitado.
Cómo se deben registrar las acciones realizadas
Los accesos otorgados deben quedar registrados en tu “Matriz de Accesos” (o en el módulo de Accesos de nuestra plataforma). Este registro centralizado es la fuente de verdad para tus auditorías y para las revisiones periódicas de acceso (CC6.6).
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Este procedimiento debe estar alineado a tus operaciones reales, pero recuerda que la implementación de nuevas medidas de seguridad es necesaria para estar en cumplimiento.
Debes revisar este procedimiento por lo menos una vez al año para asegurarte de que sigue alineado a las necesidades de la organización.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.