Matriz de Accesos o Registro de Accesos

Posted on August 4, 2024

Una matriz de control de acceso tiene como objetivo proteger la información crítica y confidencial que puede verse en riesgo si no se limita, documenta, comunica ni controla formalmente.

Esta matriz es un documento que visibiliza quiénes tienen acceso a qué plataformas y al mismo tiempo, qué pueden hacer una vez adentro. Nos permite identificar los accesos y permisos de manera rápida sin tener que salir a preguntar cada vez que sea necesario.

Roles

Uno de los desafíos que pueden surgir, si se trata de una startup, es que no tengamos totalmente definidos los roles, áreas y responsabilidades de la empresa; o que una o varias personas presenten varios “sombreros” (diferentes roles y responsabilidades). Esto no nos va a presentar un problema para esta matriz, siempre y cuando estén listados todos los roles.

Una de las primeras tareas que deberemos realizar es el organigrama de la empresa, y una vez que éste esté definido, realizaremos un descriptivo de roles y responsabilidades para así asignar los accesos y permisos del personal en función de sus roles y responsabilidades.

Creación de la matriz paso a paso

  1. Definir roles y responsabilidades
  2. Listar los roles
  3. Agregar las aplicaciones que usa la empresa: recordar listar aquellas que están involucradas en la normativa a certificar en caso de que exista.
  4. Crear el modelo de accesos y permisos para cada rol
  5. Relevar la realidad de los accesos y permisos
  6. Configurar y corregir los accesos: aquellos roles que no encajan en los accesos/permisos definidos para el rol, revisar si es necesario, y si encaja más en algún rol existente o si se debe plantear la creación de un nuevo rol.
  7. Controlar periódicamente: se debe establecer una fecha en la cuál sean revisados los accesos para detectar incongruencias.

Recomendaciones

  • Utilizar una herramienta fácil y directa para realizar la matriz (e.g. Excel).
  • Limitar el acceso de lectura y escritura a la matriz.
  • Establecer, al menos, un responsable de mantenerla y revisarla.
  • Campos necesarios: nombre del rol, herramienta, permiso, activo/inactivo.
  • Si es una herramienta con múltiples entornos, separarla.
  • Si una persona tiene más de un rol, se sugiere agregar un nuevo campo que sea nombre y apellido.
Tags: PCI DSS ISO 27002 Accesos
Share: LinkedIn