Control 6: Gestión del control de acceso

Por -

Gestión del control de acceso

(CIS Control 6 – Access Control Management)

Propósito del control

Objetivo: Asegurar que los usuarios solo tengan acceso a los recursos necesarios para cumplir sus funciones.
Resultado esperado: El acceso está restringido por rol, necesidad y contexto, con controles de autorización y revisión continua.

⚠️ Motivación:
El exceso de privilegios es una de las principales causas de escalamiento de ataques. Limitar el acceso reduce el impacto potencial de cualquier compromiso.

Alcance del control

Ámbitos de aplicación:

  • Acceso a sistemas operativos
  • Aplicaciones empresariales
  • Bases de datos
  • Recursos en la nube
  • Redes internas y VPN

Tipos de acceso:

  • Lectura, escritura, ejecución
  • Acceso administrativo
  • Acceso remoto
  • Acceso temporal o de terceros

Desarrollo por niveles de madurez

🟢 IG1 – Fundacional

  • Asignación de permisos mínimos necesarios
  • Revisión manual de accesos
  • Separación de cuentas administrativas y de usuario
  • Desactivación de accesos no utilizados
  • Política de control de accesos documentada

Evidencias sugeridas:

  • Lista de permisos por usuario
  • Registro de revisión de accesos
  • Captura de política de acceso mínimo

🟡 IG2 – Gestión activa

  • Control de acceso basado en roles (RBAC)
  • Revisión periódica de accesos por responsables
  • Gestión de accesos temporales
  • Alertas por accesos fuera de horario o ubicación
  • Integración con sistemas de gestión de identidades

Herramientas recomendadas:

  • Azure AD, Okta, SailPoint
  • CyberArk, BeyondTrust
  • IAM de AWS, GCP, Azure

Evidencias sugeridas:

  • Captura de roles asignados
  • Reporte de accesos temporales
  • Alertas de acceso anómalo

🔴 IG3 – Madurez avanzada

  • Acceso basado en atributos (ABAC)
  • Políticas de acceso condicional dinámico
  • Revisión continua basada en riesgo
  • Correlación de accesos con SIEM
  • Auditoría automatizada de accesos privilegiados

Herramientas avanzadas:

  • Microsoft Conditional Access
  • Okta Advanced Server Access
  • Google BeyondCorp
  • SIEM + UEBA

Evidencias sugeridas:

  • Política de acceso condicional
  • Alertas de comportamiento anómalo
  • Reporte de revisión continua

Riesgos que mitiga

  • Escalamiento de privilegios
  • Accesos innecesarios o no autorizados
  • Persistencia de atacantes internos o externos
  • Incumplimiento de principios de mínimo privilegio

📘 Referencias normativas

  • CIS Controls v8 – Control 6
  • NIST SP 800-53 – AC-1, AC-3, AC-6, AC-17
  • NIST CSF – PR.AC-4, PR.AC-5, PR.AC-6
  • ISO/IEC 27001 – A.5.15, A.9.1, A.9.4

📚 Bibliografía y recursos ampliados

Ficha

Nombre del control: Acceso Controlado Basado en Necesidad (CIS Control 6)
Resumen: El acceso no es un derecho, es una excepción justificada y temporal.

Riesgos que mitiga:

  • Escalamiento de privilegios
  • Accesos innecesarios
  • Persistencia de atacantes
  • Incumplimiento del mínimo privilegio

Niveles de madurez:

  • IG1: Revisión manual y separación de cuentas
  • IG2: RBAC, alertas, accesos temporales
  • IG3: ABAC, acceso condicional, SIEM

Herramientas típicas: Azure AD, Okta, IAM, SIEM, UEBA

Evidencias recomendadas: Reportes de acceso, alertas, políticas condicionales

Comentarios

Publicar un comentario

Los comentarios son parte del proceso doctrinal. Aporta, corrige o amplia cuando desees.

Entradas más populares de este blog

Del spoofing al MitM: defensa contextual por capas OSI

Por -
Ataques en capas OSI y contramedidas modernas Nota para arquitectos de seguridad: Muchos manuales describen ataques sin precisar en qué capa del modelo OSI actúan ni qué propiedad de seguridad comprometen. Esta clasificación es esencial para diseñar defensas estratificadas y contextualizadas. 📐 Clasificación por capa OSI Capa OSI Ataques típicos Propiedades afectadas Contramedidas modernas Capa 2 (Enlace de datos) MAC spoofing, ARP poisoning Integridad, Confidencialidad Port Security, Dynamic ARP Inspection (DAI), NAC Capa 3 (Red) IP spoofing, DoS/DDoS Disponibilidad, Autenticación Firewalls con filtrado, IDS/IPS, rate limiting Capa 4 (Transporte) TCP SYN flood, UDP flood Disponibilidad SYN cookies, balanceadores con protección, mitigación DDoS Capas 5–7 (Sesión, Presentación, Aplicación) Man-in-the-M...
Read more »

Fallos arquitectónicos en redes internas: el enemigo ya está dentro

Por -
Fallos arquitectónicos en redes internas: el enemigo ya está dentro En muchas organizaciones, la seguridad se centra en firewalls, antivirus y soluciones de perímetro. Sin embargo, la mayoría de los incidentes graves no empiezan en la frontera , sino dentro de la red, aprovechando configuraciones débiles, redes planas y errores invisibles que pueden persistir durante años. Los atacantes internos —o externos que logran entrar— no necesitan explotar vulnerabilidades sofisticadas. Les basta con encontrar un entorno mal segmentado, un switch sin hardening o un puerto configurado por defecto. La seguridad interna no falla por falta de tecnología, sino por falta de criterio arquitectónico. 🧱 Errores estructurales comunes 1. Redes planas Una red plana es aquella donde todos los dispositivos comparten el mismo dominio de broadcast y pueden comunicarse sin restricciones. Riesgos: Facilita el movimiento lateral Permite ataques de Capa 2 sin contención Habilita escaneo ...
Read more »

Índice de controles CIS

Por -
📚 Serie doctrinal: CIS Control 1 – Índice completo Objetivo: Esta entrada reúne los 18 controles del CIS Control 1 con enlaces internos y visuales para facilitar su estudio, documentación y validación cruzada en el simulador doctrinal. 📑 Índice de controles CIS 🛡️ Control 1 – Inventario y control de activos 🧰 Control 2 – Inventario de software autorizado 🔐 Control 3 – Protección de datos sensibles ⚙️ Control 4 – Configuración segura de activos 🧱 Control 5 – Gestión de cuentas y privilegios 📦 Control 6 – Mantenimiento y gestión de vulnerabilidades 🧼 Control 7 – Protección contra malware 📶 Control 8 – Gestión de puertos y protocolos 🧯 Control 9 – Limitación y control de puertos de red 🔄 Control 10 – Copias de seguridad y recuperación 🧪 Control 11 – Pruebas de seguridad y evaluación continua 🧭 Control 12 – Defensa contra ingeniería social 📋 Control 13 – Gestión de seguridad en operaciones 🔍 Control 14 – Monitoreo y análisis de logs 🚨 Control 15 – Gestió...
Read more »