Estimados amigos de Inseguros !!!
En el Tema 6 de los Controles CIS entramos en gestión de control de acceso. Y aquí la idea base es muy clara: en ciberseguridad moderna, el perímetro ya no es “la red”, es la identidad.
Hace años se trabajaba desde la oficina, con una LAN clara y fronteras más o menos definidas. Hoy se trabaja desde casa, sedes remotas, servidores on-prem, SaaS y cloud pública como Azure /privada/híbrida. En ese escenario, el control de acceso deja de ser “dónde estás conectado” y pasa a ser “qué identidad eres y qué se permite hacer con esa identidad”.
El control 6.1 empieza por lo más genérico: establecer y garantizar un proceso de gestión de accesos. No es “dame un usuario y ya”. Es proceso. Proceso significa: cómo se conceden accesos, cómo se conceden roles, quién es propietario del rol, quién aprueba, qué evidencia queda, y cómo se traza el ciclo completo.
Un ejemplo muy típico: dar de alta un partner que entra una mañana a un servidor. La pregunta no es solo “¿entra o no entra?”. La pregunta es: quién lo aprueba, qué log queda cuando entra, qué log queda cuando sale, y qué log queda cuando se le revoca el acceso. No solo importa el log de acceso. Importa el log de la revocación. Y siempre con el principio de mínimo privilegio.
Otro punto importante del 6.1 es entender que el proceso tiene disparadores distintos: alta de empleado, cambio de departamento, baja, accesos puntuales “just in time” para una implantación dentro de dos semanas, etc. Y además hay una realidad organizativa: el dueño del permiso en el ERP no tiene por qué ser el mismo que el dueño del permiso en la VPN, ni el mismo que gestiona permisos en el sistema operativo o en cloud. En organizaciones grandes, esto se vuelve complejo y tiene que estar documentado como proceso global.
En Azure se ve perfectamente: en entornos grandes, pedir permisos implica justificar roles, abrir ticket, solicitud, aprobación, cambio aplicado, fecha, cierre y responsable. Y esto no es teoría: se menciona el caso real de esperar un mes para conseguir permisos. Y cuando por fin llegan, aparece el “me falta otro permiso puntual” y toca repetir el circuito. Si no existe proceso, lo que existe es fricción, improvisación y permisos “a ojo” que luego se quedan abiertos.
El 6.1 también introduce la parte de automatización del proceso. La idea es que no todo dependa de “ir corriendo el lunes”. Se habla de orquestación con herramientas actuales (por ejemplo, automatismos que arrancan desde un correo de RRHH y conectan por API o scripts a los distintos sistemas: VPN, dominio, ERP…), para que la concesión y revocación no sea manual y para que el rastro de evidencias sea consistente.
Y como siempre, esto es un autoassessment. El objetivo no es “perfecto o suspenso”. Es mirarlo con honestidad: no hay nada automatizado, existe pero no está documentado, está casi todo pero falta una pata, o está muy maduro. El 6.1 es la definición del proceso; en los siguientes controles del Tema 6 se va bajando al detalle.
Para profundizar en control de acceso, roles, identidad y operación real en entornos corporativos, en www.seguridadsi.com están los cursos y programas orientados a profesionales que trabajan con estos problemas todos los días.
Gracias por leerme !!!
