Política de control de acceso

La Política de control de acceso constituye un pilar crítico de la seguridad de la organización, al establecer principios y controles detallados para la gestión del acceso a sistemas de información, aplicaciones, instalaciones físicas y activos de datos. Esta política garantiza que toda forma de acceso, ya sea acceso lógico o acceso físico, esté gobernada por la necesidad del negocio, la función del puesto y el perfil de riesgo general de la organización, en alineación con normas reconocidas globalmente como ISO/IEC 27001:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA y COBIT 2019. Su propósito es aplicar principios estrictos como el principio de mínimo privilegio, el principio de necesidad de conocer y la segregación de funciones, esenciales para mitigar riesgos relacionados con el acceso no autorizado y las amenazas internas. La política respalda y operacionaliza requisitos de acceso lógico y acceso físico, autenticación de usuario y gestión del ciclo de vida de los accesos completa, desde la incorporación hasta el desaprovisionamiento de accesos. Se establecen controles tanto para recursos digitales como del mundo real para prevenir el uso no autorizado, el abuso o el compromiso. Esta política se aplica de forma universal en toda la organización; su alcance abarca a todos los usuarios, incluidos empleados, contratistas, proveedores terceros y personal temporal, así como todos los sistemas e instalaciones cubiertos por el Sistema de gestión de la seguridad de la información (SGSI). Aborda escenarios de acceso complejos, extendiendo controles a entornos en las instalaciones, nube y entornos híbridos, hardware y software corporativos, y activos tanto lógicos (sistemas, redes, interfaces de programación de aplicaciones) como físicos (edificios, centros de datos). De forma importante, la política exige que el acceso se gobierne durante todo el ciclo de vida, integrándose estrechamente con eventos impulsados por Recursos Humanos (RR. HH.) como la incorporación, las transferencias internas y el proceso de terminación para garantizar actualizaciones y revocaciones oportunas. Los requisitos de gobernanza robusta incluyen definir derechos de acceso mediante una matriz de roles formalizada; integrar el aprovisionamiento de accesos y el desaprovisionamiento de accesos con procesos de Recursos Humanos (RR. HH.) y técnicos; aplicar flujos de trabajo de aprobación estructurados; y exigir Gestión de accesos privilegiados (PAM) mediante cuentas separadas, monitorización y grabación de sesiones y autenticación multifactor. Estas prácticas se complementan con requisitos de revisiones de acceso trimestrales, registro de auditoría integral y la alineación de las prácticas de gestión de accesos con imperativos normativos y empresariales. La política también describe mecanismos explícitos para la gestión de excepciones y la gestión del riesgo, la aplicación y cumplimiento y la revisión periódica, garantizando que el programa se mantenga adaptativo ante amenazas emergentes, cambios normativos y nuevas tecnologías. Además, la política establece disposiciones específicas para el comportamiento del usuario, el acceso de terceros, la segregación de funciones y el mecanismo de denuncia. Aplica un marco claro para la gestión de infracciones de la política, establece expectativas para requisitos de revisión y actualización periódicos y exige el almacenamiento de versiones históricas para el cumplimiento. Todos estos elementos se combinan para crear un entorno de gobernanza de accesos que sea responsable, auditable y capaz de respaldar una certificación o un escrutinio legal, sin realizar suposiciones ni afirmaciones más allá de lo estrictamente documentado.