Versión 1.

19-6- 24

POLITICA GESTION DE ACCESOS

Fecha de emisión 19/06/2024
versión: 1.0
Fecha de Actualización: 19/06/2024

ESTE DOCUMENTO ES CONFIDENCIAL Y NO PUEDE SER DISTRIBUIDO FUERA DE INTENERNET

 Versión 1.0

19-6- 24
Objetivo
Establecer un proceso claro y consistente para otorgar acceso a los recursos de la empresa
a usuarios, administradores y servicios.

Alcance
Esta política se aplica a todas las cuentas de usuario y servicio en la infraestructura de TI de
la organización, incluyendo, pero no limitado a sistemas internos, aplicaciones, bases de
datos y servicios en la nube.

Beneficios:
 Mayor Seguridad: Reduce el riesgo de acceso no autorizado al garantizar que solo los
usuarios autorizados tengan acceso a los recursos que necesitan
 Mejor Eficiencia: Agiliza el proceso de concesión de acceso y reduce la carga de
trabajo Manuel para el personal de TI.
 Mayor Cumplimiento: Facilita el cumplimiento de las regulaciones de seguridad que
quieren controles de accesos adecuados

Roles y Responsabilidades

Gerencia de Seguridad informática:

 Definir áreas críticas de la organización
 Creación de Políticas y implementación
 Evaluar el riesgo de la organización

Administrador de Seguridad del Sistema

 Implantación, gestión y mantenimiento de las
medidas de seguridad
 Gestion, configuración y actualización del hardware y

ESTE DOCUMENTO ES CONFIDENCIAL Y NO PUEDE SER DISTRIBUIDO FUERA DE INTENERNET

 Versión 1.0

19-6- 24
software de seguridad, asi como su supervisión
 Gestion de las autorización y privilegios concedidos a
los usuarios del sistema
 Aplicación de los de los procedimientos de seguridad
y verificación de su cumplimiento

Responsable de personal
 Comunicar el alta y baja de usuarios, a través del
procedimiento descrito en el presente documento

Usuarios
 Dar cumplimiento al presente procedimiento

DIRECTRICES DE LA POLITICA

1. Establecer un proceso para la autorización de acceso

Este proceso se aplica tanto para la creación de los usuarios en la red de acceso a los
computadores como en los correos electrónicos de la organización bajo los parámetros que
se encuentran en la Política de Uso de Sistemas, Internet y Correo Electrónico. En este,
antes de la llegada del nuevo miembro de la organización, Gestión de Personas o las
jefaturas avisa a Soporte a través de sistema ticket

Para usuarios nuevos, cuando IDM Sailpoint identifique la creación de una nueva identidad
en cualquiera de las bases de datos respectivas, colaboradores directos o terceros, procederá
de forma automática con la creación de accesos en las aplicaciones que correspondan según
su cargo

ESTE DOCUMENTO ES CONFIDENCIAL Y NO PUEDE SER DISTRIBUIDO FUERA DE INTENERNET

 Versión 1.0

19-6- 24

 El departamento de recursos humanos envía una solicitud de nuevo usuario a

SailPoint Identity IQ.
 SailPoint Identity IQ crea automáticamente una nueva cuenta de usuario para el
empleado
 SailPoint Identity IQ asigna al nuevo usuario los permisos de acceso adecuados
para su rol
 El nuevo usuario recibe una notificación por correo electrónico con su información
de acceso.
 El nuevo usuario puede acceder a los recursos de la empresa a los que tiene
permiso.

2. Establecer un proceso de revocación de acceso

El objetivo principal de revocar el acceso a usuarios, cuentas o servicios es minimizar el

riesgo de accesos no autorizados a recursos de la empresa y proteger la información
confidencial.

 Integración IDM con Base de Datos de Recursos Humanos: El sistema

IDM (Identity and Access Management) se integra con la base de datos o
software de recursos humanos de empleados y contratistas. Esta integración
permite que IDM acceda a la información sobre el estado laboral de los
usuarios.

 Detección de Terminación de Contrato: La base de datos de recursos

humanos envía notificaciones en tiempo real o con una frecuencia definida
a IDM cuando se produce la terminación de un contrato de un empleado o
contratista. La notificación incluye la fecha y hora exactas de la
terminación, así como la identificación del usuario afectado.

El proceso anterior funciona de manera similar apara el cambio de rol o cargo de un

usuario, IDM recibe la notificación de cambio de acceso y deshabilita las cuentas que no
corresponden con el alcance del rol

3. Exigir MFA para aplicaciones expuestas externamente o

Control de Acceo Remoto

ESTE DOCUMENTO ES CONFIDENCIAL Y NO PUEDE SER DISTRIBUIDO FUERA DE INTENERNET

 Versión 1.0

19-6- 24
La gerencia de seguridad de Iluminadas Spa para la información implementa en el software de
Check Point un segundo factor de autenticación de envió de mensajes corto a celular (OTP) para los
colabores directos o de terceros que requieran acceder a los sistemas de la organización fuera de la
red de esta, se implementara en lo siguiente;

 Control 6.3 Aplicaciones expuestas externamente

 Control 6.4 Acceso remoto a la red
 Control 6.5 Acceso administrativo

Beneficios de la implementación de OTP:

 Mayor seguridad: Agregar un segundo factor de autenticación al proceso de acceso remoto

dificulta considerablemente el acceso no autorizado a la red de la organización, incluso si
un ciberdelincuente obtiene las credenciales del usuario.

 Protección contra ataques de relleno de credenciales: OTP ayuda a proteger contra

ataques de relleno de credenciales, donde los atacantes intentan acceder a las cuentas
utilizando combinaciones de nombres de usuario y contraseñas robadas o filtradas.

 Mejor experiencia del usuario: OTP puede ofrecer una experiencia de usuario más segura
y conveniente, ya que los usuarios no tienen que recordar contraseñas complejas o llevar
consigo tokens físicos de seguridad.

Implementar un segundo factor de autenticación mediante SMS para el acceso remoto en Check
Point mejora significativamente la seguridad de la red. Esta configuración garantiza que solo
usuarios autorizados puedan acceder a la red, utilizando un método de autenticación adicional que
reduce el riesgo de accesos no autorizados y refuerza la seguridad general de la organización.

4. Establecer y mantener un inventario de sistemas de

autenticación y autorización

La gerencia de seguridad de la información de Iluminadas Spa ha tomado una decisión acertada al

definir lineamientos para la implementación del protocolo OAuth 2.0 en las aplicaciones de la
organización. Este protocolo estándar de la industria ofrece un mecanismo robusto para la
autenticación y autorización de usuarios en aplicaciones web y móviles, tanto en el data center de la
organización como en aplicaciones en la nube administradas por terceros.

ESTE DOCUMENTO ES CONFIDENCIAL Y NO PUEDE SER DISTRIBUIDO FUERA DE INTENERNET

 Versión 1.0

19-6- 24
Algunos lineamientos para la Implementación de OAuth 2.0
 Comprender OAuth 2.0: Protocolo de autorización que permite a las aplicaciones obtener
acceso limitado a los recursos de usuario en un servidor HTTP.
 Definir Requisitos de Seguridad: Se establece política para la seguridad de los tokens de
acceso y actualización (almacenamiento seguro, expiración, revocación).
 Cifrado y Firma: Utilizar cifrado y firma para asegurar la integridad y confidencialidad de
los tokens.

5. Control de Acceso Centralizado y Control de Acceso basado en

roles
Control de Acceso Centralizado (CAC) es crucial para gestionar de manera eficiente y
segura los accesos a los recursos de una organización. Un CAC permite la gestión uniforme
de políticas de acceso, mejora la seguridad y facilita el cumplimiento normativo. A
continuación, se describen los lineamientos para implementar un CAC en una organización
utilizando un sistema de gestión de identidades y accesos (IAM) como SailPoint,
combinado con un proveedor de autenticación como OAuth 2.0.

 Se mantendrá un Inventario para Control de Accesos, en la que se identifiquen los

usuarios y los accesos autorizados y denegados

 Los sistemas deben estar diseñados o configurados de tal forma que solo se acceda a
las funciones permitidas

 Al menos, cada tres mees , se realizara una revisión de los privilegios de accesos a
todos los usuarios

 Cuando se trate de accesos especiales, tal revision se deberá realizar, al menos cada
mes, y , en cualquier caso, siempre que existan: Altas de nuevos usuarios - Bajas de
usuarios.

 Además, los accesos de usuarios, tanto internos como eternos, deben ser revisados
siempre que existan cambios en las funciones o responsabilidades.

 Para ambos tipos de usuario se tendrán en cuanta, al menos, las siguientes

cuestiones:

- Necesidad de nuevos permisos

- Cancelación de antiguos permisos

ESTE DOCUMENTO ES CONFIDENCIAL Y NO PUEDE SER DISTRIBUIDO FUERA DE INTENERNET

 Versión 1.0

19-6- 24
- Segregación de funciones
- Devolución de activos y modificación o cancelación de permisos de accesos
físicos
- Modificación de contraseñas de accesos
- Notificación al personal implicado de su baja o cambio
- Necesidad de retención de registro
Existirán flujos de comunicación que aseguren que este procedimiento se realiza
correctamente.

Difusión

La comunicación y difusión de la presente política especifica es responsabilidad de

cada Encargado de seguridad de la información o en quien designe esta función,
pudiendo utilizar para ello los canales de difusión establecidos, como Intranet,
correo corporativo, entre otros.

Revisión

La presente política especifica debe ser revisada anualmente o cuando la

organización lo requiera, para asegurar su continuidad, considerando los cambios
que puedan producirse, tales como; enfoques a la gestión de seguridad,
circunstancias de la organización, cambios legales, cambias al ambiente técnico.

ESTE DOCUMENTO ES CONFIDENCIAL Y NO PUEDE SER DISTRIBUIDO FUERA DE INTENERNET

 Versión 1.0

19-6- 24

ESTE DOCUMENTO ES CONFIDENCIAL Y NO PUEDE SER DISTRIBUIDO FUERA DE INTENERNET