Política de gestión de cuentas de usuario y privilegios

La Política de gestión de cuentas de usuario y privilegios (Documento P11) proporciona un marco estructurado y obligatorio para controlar cómo se gestionan las cuentas de usuario y los privilegios de acceso en todos los sistemas de información de la organización y tecnologías. Su propósito principal es garantizar que los recursos de la organización sean accedidos únicamente por personas autorizadas, de acuerdo con roles validados y necesidades operativas. La política reconoce y aplica principios clave de seguridad de la información, como el principio de mínimo privilegio y la segregación de funciones, y exige procesos auditables para el aprovisionamiento de accesos, la gestión, el seguimiento y la revocación de acceso de cuentas de usuario. Aplicable a todos los usuarios, incluidos empleados, contratistas, proveedores terceros de servicios y consultores, esta política rige cualquier sistema donde exista autenticación de usuario. Este alcance integral cubre aplicaciones empresariales, entornos de nube y SaaS, sistemas administrativos y herramientas de acceso remoto, así como plataformas de gestión de identidades y accesos (IAM). Tanto las cuentas estándar como las cuentas privilegiadas están sujetas a sus requisitos, con un fuerte énfasis en la identificación única de cada cuenta y la prevención del uso de credenciales compartidas o cuentas compartidas o genéricas (excepto en escenarios de emergencia estrictamente controlados). Los objetivos clave de la política incluyen aplicar credenciales únicas, justificables y trazables; implementar controles del principio de mínimo privilegio para proteger frente a derechos de acceso excesivos; exigir cambios oportunos del estado de la cuenta tras cambios de rol o terminaciones; y centralizar las actividades de gestión del ciclo de vida de los accesos para lograr coherencia y auditabilidad. Se establecen disposiciones para la detección proactiva de credenciales de usuario inactivas o cuentas mal utilizadas mediante revisiones periódicas y el uso de herramientas automatizadas. La política está diseñada explícitamente para alinearse con normas de seguridad líderes (como ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR y COBIT 2019) a fin de cumplir requisitos regulatorios y de mejores prácticas. Los roles y responsabilidades se definen claramente, desde la supervisión del CISO y su función de gestión de excepciones hasta las acciones técnicas de los administradores de control de acceso, las autorizaciones de acceso de los responsables de departamento y la integración de RR. HH. con los procesos de incorporación y desvinculación. Los procedimientos garantizan que la creación, modificación y desactivación de cuentas estén estrictamente gobernadas, con el acceso privilegiado sujeto a un escrutinio adicional, aprobaciones, restricciones de tiempo y auditoría reforzada. Los controles de autenticación, incluidas las políticas obligatorias de contraseñas, la autenticación multifactor para cuentas clave, el bloqueo de sesión y los protocolos criptográficos de acceso remoto seguro, constituyen un requisito central, garantizando que la verificación de identidad no pueda eludirse. Un seguimiento robusto, registro de auditoría y medidas de revisión periódica ayudan a mantener inventarios de cuentas precisos y a aplicar el cumplimiento. La gestión de excepciones se basa en el riesgo y está controlada, con escenarios de acceso de emergencia ("break-glass") que reciben atención procedimental especial. El cumplimiento obligatorio se subraya mediante un modelo de aplicación progresiva, que incluye la deshabilitación del acceso, reentrenamiento específico, medidas disciplinarias y escalado legal/regulatorio por infracciones. La integración con políticas organizativas relacionadas garantiza un enfoque coherente en todos los dominios de seguridad de la información, y el requisito de revisiones anuales (o impulsadas por eventos) de la política garantiza la mejora continua y la alineación con la evolución de los sistemas, los modelos de negocio y los entornos regulatorios. La Política de gestión de cuentas de usuario y privilegios es fundamental para la estrategia de gestión de riesgos de la organización, reforzando la seguridad operativa y el cumplimiento normativo.