👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.9.2.1, A.9.2.2, A.9.2.6, A.12.1.1
ISO 27001 en su versión 2022: 5.16, 5.18, 5.37
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para establecer e implementar un procedimiento que te permita garantizar la segregación y asignación correcta de los accesos y permisos a tus sistemas y activos de información. La implementación de este procedimiento te ayudará a evitar accesos no autorizados, y por ende, proteger tus activos y la información contenida en ellos.
¿Qué tengo que hacer? 🚀
Para comenzar esta actividad, te recomendamos leer en su totalidad el template que te proporcionamos para comprender todos los aspectos que debe considerar tu procedimiento.
Los aspectos mínimos que debes definir son los siguientes:
Cómo se deben levantar y recibir las solicitudes de acceso dentro de tu organización.
Debes definir cómo tus colaboradores pueden solicitar acceso a tus sistemas.
Esto puede ser, por ejemplo, por medio de un formulario que recopile toda la información relevante, por medio de un correo electrónico donde se envíe un formato especial para la solicitud, etcétera.
Recuerda que las solicitudes pueden ser para dar de alta o baja a los usuarios, o para modificaciones en sus accesos y/o permisos por cambio de funciones.
📝 Por ejemplo, tenemos el siguiente caso:
Juan Pérez, que tiene un rol como auxiliar administrativo en el área de Finanzas solo tiene accesos de “vista” en el sistema MyFinance utilizado por la empresa, con el cual solo hace revisión de nóminas. Pero recientemente ha recibido un ascenso para ser analista de finanzas, por lo que sus permisos dentro del sistema deben cambiar para que también pueda realizar cambios o ajustes.
El formato de su solicitud que enviará por correo electrónico debería verse así:
Fecha: 01/06/2023 |
Tipo de solicitud: Modificación de permisos |
Nombre del solicitante: Juan Pérez |
Nombre de quién requiere el acceso: Juan Pérez |
Tipo de permiso requerido: De edición |
Sistema(s) involucrado(s): MyFinance |
Justificación: Por cambio de puesto, se requiere el permiso de edición dentro del sistema para poder ejercer las nuevas funciones asignadas. |
Cómo se debe analizar la solicitud para autorizarla, y quién será el responsable de esto.
Para asignar al responsable más adecuado para analizar la solicitud te recomendamos considerar al dueño del activo involucrado, al administrador del sistema, al líder del área Tecnología, al jefe directo de la persona solicitante y/o de la persona que requiere el acceso, o alguien con un puesto similar que pueda decidir sobre los sistemas y otorgar accesos.
También es importante involucrar al Oficial de Seguridad de la Información (OSI) para que esté enterado de los cambios y pueda realizar las acciones de registro y/o revisión pertinentes.
Para el análisis de la solicitud es muy importante corroborar que la justificación sea válida para evitar incidentes de seguridad y una mala segregación de accesos y permisos.
Recomendamos que si la solicitud no puede ser autorizada, ésto se notifique por el mismo medio por el que se realizó la solicitud, indicando los motivos de rechazo.
Cómo se deben otorgar los accesos y/o permisos.
El responsable asignado debe realizar las acciones necesarias dentro del activo o sistema para cumplir con lo solicitado.
Una vez aplicadas dichas acciones, se debe generar y compartir la evidencia pertinente con todos los interesados. ¡Recuerda que esto es súper importante durante una auditoría!
Cómo se deben registrar las acciones realizadas.
Los accesos y permisos otorgados al usuario nuevo o ya existente deben quedar registrados, y para ello debes ir al módulo de Accesos de nuestra plataforma (o a tu Matriz de Accesos) y generar una actualización con esta información, colocando el nombre de la persona y su puesto, e indicando el permiso que tiene asignado en cada uno de los sistemas.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Este procedimiento debe estar alineado a tus operaciones reales, pero recuerda que la implementación de nuevas medidas de seguridad es necesaria para estar en cumplimiento.
Debes revisar, por lo menos una vez al año tus procedimientos para asegurarte que están alineados a las necesidades de la organización.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.