Control 5: Gestión de cuentas

Por -

Control 5: Gestión de cuentas

(CIS Control 5 – Account Management)

Propósito del control

Objetivo: Gestionar el ciclo de vida completo de las cuentas de usuario, asegurando que solo las personas autorizadas tengan acceso a los sistemas.
Resultado esperado: Todas las cuentas están justificadas, controladas, revisadas y eliminadas cuando ya no son necesarias.

⚠️ Motivación:
Las cuentas huérfanas, compartidas o con privilegios excesivos son una de las principales causas de brechas de seguridad.

Alcance del control

Tipos de cuentas cubiertas:

  • Cuentas de usuario estándar
  • Cuentas administrativas
  • Cuentas de servicio
  • Cuentas de aplicación
  • Cuentas temporales o de terceros

Sistemas afectados:

  • Directorio activo (AD, Azure AD)
  • Sistemas operativos
  • Aplicaciones corporativas
  • Plataformas cloud y SaaS

Desarrollo por niveles de madurez

🟢 IG1 – Fundacional

  • Registro de altas y bajas de cuentas
  • Revisión manual de cuentas activas
  • Política de contraseñas básica
  • Desactivación de cuentas inactivas
  • Prohibición de cuentas compartidas

Evidencias sugeridas:

  • Lista de cuentas activas
  • Registro de baja de cuentas
  • Política de contraseñas documentada

🟡 IG2 – Gestión activa

  • Integración con HR para automatizar altas/bajas
  • Revisión periódica de cuentas y permisos
  • Separación de funciones (SoD)
  • Gestión de cuentas privilegiadas (PAM)
  • Alertas por creación o uso anómalo de cuentas

Herramientas recomendadas:

  • Microsoft Identity Manager, Azure AD
  • CyberArk, BeyondTrust, Thycotic
  • SailPoint, Okta, One Identity

Evidencias sugeridas:

  • Reporte de revisión de cuentas
  • Captura de flujo de alta/baja automatizado
  • Registro de uso de cuentas privilegiadas

🔴 IG3 – Madurez avanzada

  • Gestión de identidades federadas (SSO, SAML, OIDC)
  • Revisión continua basada en riesgo
  • Integración con SIEM para correlación de accesos
  • Aplicación de políticas de acceso condicional
  • Auditoría en tiempo real de cuentas críticas

Herramientas avanzadas:

  • Azure AD Conditional Access
  • Okta Identity Governance
  • Google Workspace IAM
  • SIEM + UEBA (User Behavior Analytics)

Evidencias sugeridas:

  • Captura de política de acceso condicional
  • Alertas de comportamiento anómalo
  • Registro de federación de identidades

Riesgos que mitiga

  • Accesos no autorizados
  • Cuentas huérfanas o sin dueño
  • Privilegios excesivos
  • Uso indebido de cuentas compartidas
  • Incumplimiento de auditoría

📘 Referencias normativas

📚 Bibliografía y recursos ampliados

Ficha doctrinal

Nombre del control: Gestión de Cuentas de Usuario (CIS Control 5)
Resumen: Cada cuenta es una llave. Solo deben existir las necesarias, y cada una debe tener dueño.

Riesgos que mitiga:

  • Accesos indebidos
  • Cuentas huérfanas
  • Privilegios sin control

Niveles de madurez:

  • IG1: Registro manual y revisión básica
  • IG2: Automatización, PAM, alertas
  • IG3: Acceso condicional, federación, SIEM

Herramientas típicas: Azure AD, CyberArk, Okta, SailPoint

Evidencias recomendadas: Reportes de revisión, Alertas de comportamiento, Flujos de alta/baja

Comentarios

Publicar un comentario

Los comentarios son parte del proceso doctrinal. Aporta, corrige o amplia cuando desees.

Entradas más populares de este blog

Del spoofing al MitM: defensa contextual por capas OSI

Por -
Ataques en capas OSI y contramedidas modernas Nota para arquitectos de seguridad: Muchos manuales describen ataques sin precisar en qué capa del modelo OSI actúan ni qué propiedad de seguridad comprometen. Esta clasificación es esencial para diseñar defensas estratificadas y contextualizadas. 📐 Clasificación por capa OSI Capa OSI Ataques típicos Propiedades afectadas Contramedidas modernas Capa 2 (Enlace de datos) MAC spoofing, ARP poisoning Integridad, Confidencialidad Port Security, Dynamic ARP Inspection (DAI), NAC Capa 3 (Red) IP spoofing, DoS/DDoS Disponibilidad, Autenticación Firewalls con filtrado, IDS/IPS, rate limiting Capa 4 (Transporte) TCP SYN flood, UDP flood Disponibilidad SYN cookies, balanceadores con protección, mitigación DDoS Capas 5–7 (Sesión, Presentación, Aplicación) Man-in-the-M...
Read more »

Fallos arquitectónicos en redes internas: el enemigo ya está dentro

Por -
Fallos arquitectónicos en redes internas: el enemigo ya está dentro En muchas organizaciones, la seguridad se centra en firewalls, antivirus y soluciones de perímetro. Sin embargo, la mayoría de los incidentes graves no empiezan en la frontera , sino dentro de la red, aprovechando configuraciones débiles, redes planas y errores invisibles que pueden persistir durante años. Los atacantes internos —o externos que logran entrar— no necesitan explotar vulnerabilidades sofisticadas. Les basta con encontrar un entorno mal segmentado, un switch sin hardening o un puerto configurado por defecto. La seguridad interna no falla por falta de tecnología, sino por falta de criterio arquitectónico. 🧱 Errores estructurales comunes 1. Redes planas Una red plana es aquella donde todos los dispositivos comparten el mismo dominio de broadcast y pueden comunicarse sin restricciones. Riesgos: Facilita el movimiento lateral Permite ataques de Capa 2 sin contención Habilita escaneo ...
Read more »

Índice de controles CIS

Por -
📚 Serie doctrinal: CIS Control 1 – Índice completo Objetivo: Esta entrada reúne los 18 controles del CIS Control 1 con enlaces internos y visuales para facilitar su estudio, documentación y validación cruzada en el simulador doctrinal. 📑 Índice de controles CIS 🛡️ Control 1 – Inventario y control de activos 🧰 Control 2 – Inventario de software autorizado 🔐 Control 3 – Protección de datos sensibles ⚙️ Control 4 – Configuración segura de activos 🧱 Control 5 – Gestión de cuentas y privilegios 📦 Control 6 – Mantenimiento y gestión de vulnerabilidades 🧼 Control 7 – Protección contra malware 📶 Control 8 – Gestión de puertos y protocolos 🧯 Control 9 – Limitación y control de puertos de red 🔄 Control 10 – Copias de seguridad y recuperación 🧪 Control 11 – Pruebas de seguridad y evaluación continua 🧭 Control 12 – Defensa contra ingeniería social 📋 Control 13 – Gestión de seguridad en operaciones 🔍 Control 14 – Monitoreo y análisis de logs 🚨 Control 15 – Gestió...
Read more »