Ir al contenido principal

Procedimiento de Revisión de Accesos

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • TSC: Seguridad (Common Criteria): Los siguientes criterios: CC6.1, CC6.2, CC6.3 y CC6.6.

¿Para qué me sirve esta actividad? 📚

Esta actividad te permite establecer el proceso formal para realizar revisiones periódicas de los usuarios que tienen acceso a tus sistemas, así como de sus roles y permisos.

El objetivo de este procedimiento es garantizar que no existan usuarios activos de exempleados, validar que los permisos otorgados sigan siendo los mínimos necesarios para cada función (principio de mínimo privilegio) y asegurar que los accesos se mantengan correctos y vigentes a lo largo del tiempo, cumpliendo así con el requisito de revisión periódica del criterio CC6.6.

💡 ¡Si utilizas nuestro módulo de Accesos, mantener actualizada la información y realizar estas revisiones será mucho más sencillo!

¿Qué tengo que hacer? 🚀

Para lograr esta actividad te sugerimos considerar las siguientes actividades en tu procedimiento:

  • Planificación de las revisiones

    • Estas revisiones deben realizarse periódicamente. El criterio CC6.6 exige que sea por lo menos una vez al año. Planificar con antelación un cronograma para estas revisiones es fundamental para asegurar su correcta ejecución y cumplir con el requisito.

  • Asignación de responsables

    • Establece quién debe llevar a cabo estas revisiones (por ejemplo, el dueño del activo, el jefe de cada área, el equipo de TI). Es crucial que los responsables entiendan el proceso y la importancia de validar que los accesos registrados en la “Matriz de Accesos” sean correctos.

  • Ejecución de la revisión

    • Los responsables deben comparar la información registrada en la “Matriz de Accesos” contra los permisos reales configurados en cada sistema para garantizar que coincidan y sigan siendo apropiados para el rol actual de cada usuario.

  • Identificación y tratamiento de hallazgos

    • Si durante la revisión se encuentran anomalías (usuarios que ya no están en la empresa, permisos excesivos, accesos no documentados), se deben tomar acciones correctivas inmediatas. Esto puede incluir desactivar o eliminar el usuario, ajustar los permisos o iniciar una investigación más exhaustiva.

  • Comunicación de las acciones

    • En los casos donde sea necesario, se debe comunicar a los interesados sobre las acciones realizadas. Los hallazgos pueden servir para mejorar otros procesos, como el de desvinculación de personal.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • ¡Mantén tu “Matriz de Accesos” siempre actualizada! Es la base para una revisión eficaz.

  • Ajusta este procedimiento a las operaciones reales de tu empresa, pero implementa todos los controles de seguridad que consideres necesarios.

  • Para cumplir con los requisitos de SOC 2, la revisión debe realizarse por lo menos una vez al año, pero te recomendamos hacerlo de forma más constante (por ejemplo, cada tres o seis meses) para detectar y corregir anomalías a tiempo.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
21. Procedimiento de Revisión de Accesos
46. Procedimiento de Revisión de Puntos de Acceso Inalámbricos
Matriz de Accesos
Procedimiento de Gestión de Accesos
Procedimiento de Revisión y Contratación de Proveedores
¿Ha quedado contestada tu pregunta?