Política de gestión de cuentas de usuario y privilegios - PYME

La Política de gestión de cuentas de usuario y privilegios (P11S) es una oferta integral, centrada en PYMES, diseñada para gobernar la creación, el uso, el seguimiento y la eliminación de cuentas de usuario y privilegios dentro de una organización. Como política adaptada de normas globales y mandatos regulatorios, establece un marco para garantizar que solo los usuarios autorizados tengan el acceso adecuado, un control crítico para prevenir la actividad no autorizada y reducir las amenazas internas. En particular, P11S está redactada específicamente para pequeñas y medianas empresas (PYMES), como indica la rendición de cuentas del Director General (DG) y la ausencia de estructuras complejas de gobernanza de TI como SOC o un Director de Seguridad de la Información (CISO) dedicados. Este enfoque hace que el control de acceso de alta garantía sea alcanzable y gestionable para organizaciones que carecen de grandes equipos de seguridad, manteniendo la alineación con ISO/IEC 27001:2022 y marcos relacionados. La política se aplica a todos los empleados, contratistas, becarios y terceros con acceso a sistemas de información de la organización. Cubre cuentas de usuario tradicionales, cuentas de administrador y cuentas de servicio, así como credenciales temporales o de invitado. Las reglas abarcan todo el ciclo de vida de la cuenta, desde la incorporación inicial y el aprovisionamiento de accesos, hasta la revisión periódica y la revocación de acceso durante la desvinculación. A cada usuario se le asigna una identidad única y trazable para garantizar la rendición de cuentas, y las credenciales compartidas están explícitamente prohibidas salvo en excepciones documentadas controladas. Los privilegios elevados deben someterse a una capa adicional de justificación y autorización, siempre sujeta a documentación y a revisión periódica. Los roles y responsabilidades son simplificados y claros: el DG proporciona supervisión general, garantizando el cumplimiento de la política y abordando cualquier incidente de seguridad de la información relacionado con cuentas de usuario. Las tareas de implementación y aplicación técnica recaen en el Responsable de TI (o proveedor tercero de servicios de TI externo), que gestiona el aprovisionamiento, la deshabilitación, el seguimiento y el registro de auditoría, todo estrictamente basado en aprobaciones documentadas. Los superiores jerárquicos desempeñan un papel crucial al solicitar, revisar y validar el acceso a medida que cambian los roles de los miembros de su equipo, mientras que cada usuario es responsable de salvaguardar sus credenciales y notificar actividad sospechosa. La política está estrictamente gobernada, exigiendo que todos los cambios de cuenta, creaciones, desactivaciones y elevación de privilegios del sistema se registren y se asocien con personas identificadas. Se exigen revisiones periódicas de derechos de acceso al menos cada seis meses. La complejidad de la contraseña, la autenticación multifactor cuando sea posible, el bloqueo de cuenta tras intentos fallidos y la revisión sistemática de cuentas de servicio y acceso de terceros están integrados en las reglas. Los procedimientos de desvinculación garantizan la eliminación rápida del acceso y la recuperación de todos los tokens o dispositivos digitales, reduciendo los riesgos de acceso persistente. La gestión de excepciones se mantiene con un estándar elevado: cualquier desviación de la política principal (como el uso poco frecuente de cuentas compartidas o de prueba) debe justificarse por escrito, compensarse con controles compensatorios, revisarse trimestralmente y estar sujeta a revocación eventual. Las cuentas de emergencia de “break glass” se permiten solo bajo condiciones definidas y documentadas y deben restablecerse tras su uso. La política estipula auditorías periódicas, revisiones de incidentes de seguridad y actualizaciones anuales para mantener la alineación con la evolución de los requisitos regulatorios y empresariales. Por último, se vincula explícitamente a políticas complementarias que cubren, respectivamente, gobernanza, política de control de acceso, política de incorporación y cese, formación y sensibilización en seguridad de la información y política de respuesta a incidentes (P30), garantizando un enfoque holístico de la gestión de accesos y el cumplimiento.