ISMS Copilot
Ingeniería GRC

Cómo implementar el control de acceso y la gestión de identidades mediante IA

Resumen

El control de acceso y la gestión de identidades se sitúan en la intersección de los requisitos de cumplimiento y la ingeniería de seguridad diaria. Todos los marcos de trabajo principales exigen controles sobre quién puede acceder a qué, en qué condiciones y cómo se gobierna ese acceso a lo largo del tiempo. La norma ISO 27001 dedica los anexos A.5.15 a A.5.18 (política de control de acceso, gestión de identidades, autenticación, derechos de acceso) y A.8.2 a A.8.5 (acceso privilegiado, restricción de acceso, autenticación segura, acceso al código fuente) al tema. Los Criterios de Servicios de Confianza de SOC 2, CC6.1 a CC6.3, requieren controles de acceso lógico y físico, y el NIST CSF PR.AC cubre la gestión de identidades, la autenticación y el control de acceso en todas las categorías de activos.

A pesar de la amplitud de estos requisitos, la implementación es donde la mayoría de las organizaciones tienen dificultades. El diseño de jerarquías de roles, la automatización de los eventos del ciclo de vida de la identidad, el despliegue de la autenticación multifactor, la gestión de cuentas privilegiadas y la ejecución de revisiones de acceso exigen tanto conocimientos de cumplimiento como ejecución de ingeniería. Esta guía le muestra cómo utilizar la IA para cerrar esa brecha, generando diseños, procedimientos y plantillas conformes que puede adaptar a su entorno específico.

A quién va dirigido

  • Ingenieros de seguridad que diseñan y despliegan infraestructura IAM

  • Gerentes de TI responsables del control de acceso en toda la organización

  • Profesionales de GRC que traducen los requisitos de los marcos normativos en controles técnicos

  • Consultores que implementan programas de control de acceso para múltiples clientes

Prerrequisitos

  • Un espacio de trabajo activo en ISMS Copilot dedicado a su proyecto de IAM

  • Una evaluación de riesgos completada que identifique los riesgos relacionados con el acceso (o acceso a su registro de riesgos)

  • Comprensión de su infraestructura de identidad actual (servicios de directorio, IdP, proveedor de SSO)

  • Familiaridad con el alcance de cumplimiento de su organización (qué marcos de trabajo se aplican)

Diseño de modelos RBAC/ABAC

El control de acceso basado en roles (RBAC) y el control de acceso basado en atributos (ABAC) son los dos modelos dominantes para aplicar el privilegio mínimo a escala. ISO 27001 A.5.15 exige que las reglas de control de acceso se establezcan en función de los requisitos del negocio y de la seguridad de la información. SOC 2 CC6.1 requiere que la seguridad del acceso lógico se implemente utilizando el principio de privilegio mínimo. Acertar con el modelo en la fase de diseño evita la acumulación de privilegios y simplifica la recopilación de evidencias de auditoría más adelante.

Uso de la IA para diseñar su modelo RBAC

Empiece haciendo que ISMS Copilot analice su estructura organizativa y la asocie con roles:

"Somos una empresa de [tamaño] del sector [industria] que utiliza [proveedor de identidad]. Nuestros departamentos incluyen [lista de departamentos]. Diseña un modelo RBAC que aplique el privilegio mínimo. Para cada departamento, define: roles base, roles elevados, jerarquía de roles y reglas de herencia, restricciones de segregación de funciones (combinaciones de roles incompatibles) y permisos de denegación por defecto. Mapea el modelo con ISO 27001 A.5.15 y SOC 2 CC6.2".

Para organizaciones con requisitos de acceso más complejos, ABAC añade la toma de decisiones basada en el contexto por encima de los roles:

"Necesitamos ampliar nuestro modelo RBAC con un control de acceso basado en atributos para [caso de uso, p. ej., acceso a datos multiinquilino, restricciones geográficas, acceso basado en clasificación]. Define: atributos de usuario (departamento, nivel de acceso, ubicación, estado del dispositivo), atributos de recursos (clasificación de datos, propietario, nivel de sensibilidad), atributos ambientales (hora del día, zona de red, nivel de amenaza) y lógica de evaluación de políticas. Mapea con NIST SP 800-162 e ISO 27001 A.5.15".

Cargue su organigrama actual, descripciones de puestos o matriz de acceso existente en ISMS Copilot antes de diseñar los roles. La IA produce definiciones de roles mucho más precisas cuando puede referenciar su estructura real en lugar de trabajar a partir de suposiciones genéricas.

Matriz de segregación de funciones

Un resultado crítico del diseño de RBAC es la matriz de segregación de funciones (SoD), que evita que una sola persona controle todas las fases de un proceso crítico. Pregunte a ISMS Copilot:

"Genera una matriz de segregación de funciones para nuestro [sistema/entorno]. Identifica pares de roles que creen conflicto (p. ej., aprobación de pagos y ejecución de pagos, aprovisionamiento de usuarios y revisión de acceso, despliegue de código y acceso a la base de datos de producción). Para cada par en conflicto, especifica: el riesgo si se combinan, el control compensatorio si la separación no es viable y la referencia al control ISO 27001/SOC 2".

Gestión del ciclo de vida de la identidad

La gestión del ciclo de vida de la identidad (el proceso de altas, cambios y bajas) es donde la política de control de acceso se encuentra con la realidad operativa. Las normas ISO 27001 A.5.16 (gestión de identidades) y A.5.18 (derechos de acceso) exigen procesos formales para el aprovisionamiento, la modificación y la revocación del acceso. SOC 2 CC6.2 requiere que se autoricen los nuevos accesos lógicos, se modifiquen los accesos existentes cuando cambien los roles y se elimine el acceso cuando ya no sea necesario. NIST PR.AC-1 exige que las identidades y credenciales se emitan, gestionen, verifiquen, revoquen y auditen.

Proceso de altas (Joiner)

Utilice la IA para diseñar flujos de trabajo de incorporación automatizados que se integren con su sistema de RR.HH.:

"Diseña un proceso de altas automatizado para nuestra organización. Utilizamos [HRIS, p. ej., Workday/BambooHR] como fuente de verdad y [IdP, p. ej., Okta/Azure AD/Google Workspace] para la gestión de identidades. Incluye: eventos desencadenantes del HRIS, mapeo de roles a accesos por departamento y puesto, creación automatizada de cuentas en [lista de sistemas], requisitos de registro en MFA, ajustes de seguridad por defecto, pasos de notificación y verificación del gerente, y la pista de auditoría capturada en cada etapa. Alinéalo con ISO 27001 A.5.16 y SOC 2 CC6.2".

Proceso de cambios (Mover)

Los cambios de rol son el evento del ciclo de vida que más se pasa por alto y el principal impulsor de la acumulación de privilegios:

"Diseña un proceso de cambios activado cuando un empleado cambia de departamento, de puesto o de gerente. Incluye: detección automática del evento de cambio, comparación del acceso anterior frente al nuevo acceso requerido, revocación del acceso que ya no es necesario, aprovisionamiento del nuevo acceso para el nuevo rol, flujo de trabajo de aprobación del gerente para el cambio neto y una ventana de transición de 30 días con monitorización. Referencia ISO 27001 A.5.18 y SOC 2 CC6.2".

El proceso de cambios es la brecha que los auditores encuentran con más frecuencia. Muchas organizaciones tienen flujos sólidos para altas y bajas, pero carecen de un proceso para revocar el acceso antiguo cuando alguien se traslada internamente. Esto provoca una acumulación acumulativa de privilegios que viola los requisitos de privilegio mínimo de ISO 27001 A.5.15 y SOC 2 CC6.1.

Proceso de bajas (Leaver)

La revocación oportuna del acceso en caso de desvinculación es un control crítico y un hallazgo de auditoría frecuente:

"Crea un proceso de bajas integral que cubra tanto la desvinculación voluntaria como la involuntaria. Incluye: acciones inmediatas dentro de un [plazo] tras la notificación, secuencia de desactivación de cuentas en todos los sistemas (SSO, VPN, nube, SaaS, acceso físico, correo electrónico), copia de seguridad de datos y transferencia al gerente, procedimientos de devolución de equipos y borrado de dispositivos, rotación de credenciales compartidas, eliminación de listas de distribución y membresía de grupos, terminación de acceso a contratistas y terceros, y pasos de verificación post-revocación. Mapea con ISO 27001 A.5.10, A.5.18 y SOC 2 CC6.2".

Estrategia de autenticación multifactor

MFA es uno de los controles de mayor impacto disponibles para prevenir el acceso no autorizado. ISO 27001 A.8.5 (autenticación segura) exige una robustez de autenticación proporcional a la clasificación de la información a la que se accede. SOC 2 CC6.1 requiere autenticación multifactor para el acceso remoto y las cuentas privilegiadas. NIST PR.AC-7 especifica que los mecanismos de autenticación deben ser acordes con el riesgo.

Planificación del despliegue de MFA

Un despliegue por fases evita la carga de soporte y la resistencia de los usuarios de un enfoque de "big-bang":

"Diseña un plan de despliegue de MFA por fases para nuestra organización de [tamaño]. Actualmente utilizamos [método de autenticación actual] y nuestro IdP es [proveedor]. Incluye: alcance de la Fase 1 (cuentas privilegiadas, personal de TI), alcance de la Fase 2 (todo el acceso remoto, aplicaciones en la nube), alcance de la Fase 3 (todos los usuarios, todas las aplicaciones), métodos MFA recomendados por población de usuarios (aplicación de autenticación, tokens de hardware, passkeys), flujo de trabajo de registro y plantillas de comunicación para el usuario, procedimientos de escalada del help desk, periodo de gracia y cronograma de aplicación por fase, y proceso de gestión de excepciones con documentación de aceptación de riesgos. Mapea cada fase a ISO 27001 A.8.5 y SOC 2 CC6.1".

Evaluación de métodos de autenticación

No todos los métodos MFA ofrecen la misma garantía de seguridad. Use la IA para evaluar las opciones frente a su perfil de riesgo:

"Compara los métodos MFA para nuestra organización: aplicaciones de autenticación TOTP, llaves de hardware FIDO2/WebAuthn, notificaciones push, SMS OTP y autenticación basada en certificados. Para cada método, evalúa: resistencia al phishing (crítica para nuestro modelo de amenazas), usabilidad y fricción en la adopción del usuario, coste por usuario a [escala], requisitos del dispositivo, opciones de recuperación y respaldo, y alineación de cumplimiento con los niveles AAL de NIST SP 800-63B. Recomienda qué método usar para cada población".

Gestión de excepciones

Cada despliegue de MFA encuentra casos especiales: cuentas de servicio, sistemas legados, requisitos de accesibilidad. Documente estos casos antes de que se conviertan en hallazgos de auditoría:

"Crea un procedimiento de gestión de excepciones de MFA. Define: categorías de excepción válidas (incompatibilidad con sistemas legados, requisito de accesibilidad, cuenta de servicio, acceso de emergencia), documentación requerida para cada tipo de excepción, controles compensatorios cuando no se puede aplicar MFA (restricción de IP, monitorización mejorada, límites de tiempo de sesión), autoridad de aprobación y escalada, frecuencia de revisión de excepciones (trimestral) y criterios de finalización para eliminar excepciones. Alinéalo con ISO 27001 A.5.1 (excepciones a la política) y SOC 2 CC6.1".

Gestión de accesos privilegiados

Las cuentas privilegiadas representan el mayor riesgo en cualquier programa de control de acceso. Una sola credencial de administrador comprometida puede eludir cualquier otro control de seguridad. La norma ISO 27001 A.8.2 aborda específicamente los derechos de acceso privilegiado con requisitos de asignación restringida, autorización formal y registro de actividad. SOC 2 CC6.3 requiere que el acceso a los recursos del sistema se gestione a través de controles de acceso basados en roles. NIST PR.AC-4 exige que los permisos de acceso se gestionen con el principio de privilegio mínimo.

Diseño de la política de PAM

Utilice la IA para crear una política de PAM integral adaptada a su entorno:

"Diseña una política de gestión de accesos privilegiados para nuestra organización. Tenemos aproximadamente [número] cuentas de administrador en [lista de sistemas: nube, local, SaaS]. Incluye: definición e inventario de cuentas privilegiadas (root, admin de dominio, admin de base de datos, admin de IAM en la nube, cuentas de servicio con permisos elevados), flujo de trabajo de aprobación para otorgar acceso privilegiado, duración máxima del privilegio y expiración automática, requisitos de grabación y monitorización de sesiones, almacenamiento en bóveda de credenciales y calendario de rotación, separación de cuentas de administrador de las cuentas de uso diario y requisitos de registro de auditoría. Mapea con ISO 27001 A.8.2, SOC 2 CC6.3 y NIST AC-6".

Acceso justo a tiempo (Just-in-time)

Los privilegios permanentes (acceso de administrador que siempre está activado) crean una exposición innecesaria. El acceso justo a tiempo (JIT) reduce la superficie de ataque al otorgar privilegios elevados solo cuando se necesitan y solo por una duración definida:

"Diseña un modelo de acceso privilegiado justo a tiempo para nuestro [entorno]. Incluye: flujo de trabajo de solicitud y justificación (vinculado a un ticket de cambio o incidente), reglas de aprobación automatizadas (p. ej., preaprobado para ingenieros de guardia durante un incidente), duración máxima de la sesión por nivel de privilegio (p. ej., 4 horas para administrador de nube, 1 hora para administrador de base de datos), revocación automática de privilegios al finalizar la sesión, registro de actividad durante las sesiones elevadas, integración con [herramienta PAM o IdP, p. ej., Azure PIM, CyberArk, HashiCorp Boundary] y métricas de informes (duración media de la sesión, tiempo de aprobación, frecuencia de uso). Referencia ISO 27001 A.8.2 y NIST SP 800-53 AC-2(5)".

Procedimientos de emergencia (Break-glass)

Deben existir procedimientos de acceso de emergencia para situaciones en las que los canales de acceso normales no estén disponibles:

"Crea procedimientos de acceso de emergencia para [sistemas críticos]. Incluye: inventario de cuentas de emergencia y almacenamiento seguro (sobre sellado en caja fuerte, credenciales divididas entre dos personas, token de hardware en armario bajo llave), criterios de activación (caída del sistema que afecte a [umbral], fallo del IdP, incidente de seguridad crítico), proceso de autorización (quién puede aprobar la activación y a través de qué canal), monitorización y alertas (notificación inmediata al equipo de seguridad ante cualquier uso de una cuenta de emergencia), acciones post-uso (revisión completa de la actividad en 24 horas, rotación de credenciales, documentación del incidente), calendario de pruebas (simulacro anual de acceso de emergencia) y documentación de cumplimiento. Mapea con ISO 27001 A.8.2 y SOC 2 A1.2".

Pida a ISMS Copilot que genere una plantilla de inventario de cuentas privilegiadas antes de diseñar su política de PAM. Comprender todo el alcance de las cuentas de administrador (incluidas las cuentas de servicio y las claves de API con permisos elevados) es esencial para un programa de PAM completo. Muchas organizaciones descubren de dos a tres veces más cuentas privilegiadas de las que esperaban.

Revisión de acceso y recertificación

Las revisiones periódicas de acceso verifican que los derechos de acceso sigan siendo adecuados con el tiempo. ISO 27001 A.5.18 exige que los derechos de acceso se revisen a intervalos definidos. SOC 2 CC6.2 requiere que el acceso se revise y valide periódicamente. Sin revisiones regulares, se acumulan la acumulación de privilegios, las cuentas huérfanas y los permisos obsoletos, creando tanto brechas de cumplimiento como riesgos de seguridad.

Diseño de su programa de revisión de acceso

Utilice la IA para crear un programa de revisión calibrado según la sensibilidad del acceso que se está revisando:

"Diseña un programa de revisión periódica de acceso para nuestra organización. Tenemos [número] empleados repartidos en [número] sistemas. Incluye: frecuencia de revisión por tipo de acceso (trimestral para acceso privilegiado y a datos sensibles, semestral para acceso estándar, mensual para acceso de terceros/proveedores), lógica de asignación de revisores (el gerente directo revisa el acceso estándar, el propietario del recurso revisa el acceso específico de la aplicación, el equipo de seguridad revisa el acceso privilegiado), flujo de trabajo de revisión con escalada en caso de falta de respuesta, alcance por ciclo de revisión (todos los usuarios y permisos frente a enfoque de muestreo) e integración con [herramienta IGA o proceso manual]. Mapea con ISO 27001 A.5.18 y SOC 2 CC6.2".

Plantillas de revisión y evidencia

Los auditores necesitan ver que las revisiones se realizaron, qué decisiones se tomaron y que se completó la remediación:

"Genera una plantilla de revisión de acceso que capture: nombre e ID del usuario, sistema o aplicación, permisos y roles actuales, justificación comercial para cada permiso, decisión del revisor (confirmar, modificar, revocar), nombre del revisor y fecha, y seguimiento de la remediación para el acceso revocado. Crea también una plantilla de informe de resumen de revisión que muestre: total de cuentas revisadas, porcentaje confirmado vs. modificado vs. revocado, tiempo medio para completar la revisión, elementos de remediación pendientes y datos de tendencias en comparación con ciclos de revisión anteriores".

Flujos de trabajo de remediación

La revisión en sí es solo la mitad del proceso. El acceso revocado debe eliminarse realmente, y esa eliminación debe verificarse:

"Diseña un flujo de trabajo de remediación para los hallazgos de la revisión de acceso. Incluye: creación automática de tickets para cada decisión de revocación, asignación al equipo de aprovisionamiento correspondiente, SLA para la remediación (p. ej., 5 días hábiles para estándar, 24 horas para privilegiado), paso de verificación que confirme que el acceso fue realmente eliminado, ruta de escalada para SLAs incumplidos, proceso de excepción para el acceso que no puede revocarse inmediatamente (con controles compensatorios) y documentación de cierre para evidencia de auditoría. Referencia ISO 27001 A.5.18 y SOC 2 CC6.2".

Las revisiones de acceso generan hallazgos de auditoría cuando no se cierra el ciclo de remediación. Un auditor comprobará no solo que se realizaron las revisiones, sino que las decisiones de revocación se ejecutaron en un plazo razonable. Incorpore SLAs de remediación y pasos de verificación en su proceso de revisión desde el principio.

Ejemplos de prompts

Los siguientes prompts están listos para usar en ISMS Copilot. Reemplace los marcadores entre corchetes con sus detalles específicos.

Modelo RBAC para una organización nativa de la nube

Design an RBAC model for a cloud-native SaaS company with 200 employees across engineering, product, sales, customer success, and finance departments. We use Google Workspace for identity, AWS for infrastructure, and Okta for SSO. For each department, define: standard role, elevated role, admin role, permitted resources in AWS (using IAM policy patterns), and segregation of duties constraints. Ensure the model satisfies ISO 27001 A.5.15, SOC 2 CC6.1-CC6.2, and NIST PR.AC-4. Output as a role matrix with permission details.

Procedimiento completo de altas/cambios/bajas

Create a complete identity lifecycle management procedure covering joiner, mover, and leaver events. Our HRIS is BambooHR, IdP is Azure AD, and we use SCIM for automated provisioning to [list SaaS apps]. For each lifecycle event, define: trigger, automated actions, manual steps, approval requirements, SLA, audit trail captured, and compliance mapping to ISO 27001 A.5.16, A.5.18, SOC 2 CC6.2, and NIST PR.AC-1. Include a RACI matrix for each process.

Plan de despliegue de MFA con gestión de excepciones

Create a three-phase MFA rollout plan for a 500-person organization currently using password-only authentication. Phase 1: IT and privileged users (month 1-2). Phase 2: all remote and cloud access (month 3-4). Phase 3: all users and applications (month 5-6). For each phase, include: scope, recommended MFA methods, enrollment process, communication plan, support procedures, and success metrics. Also create an exception handling procedure with compensating controls for legacy systems that cannot support MFA. Map to ISO 27001 A.8.5 and NIST SP 800-63B.

Modelo de acceso privilegiado justo a tiempo

Design a just-in-time privileged access model for our AWS and Azure environments. We have 15 infrastructure engineers who currently have standing admin access. Define: JIT request workflow integrated with ServiceNow, automated approval rules for common scenarios (on-call incident response, scheduled maintenance), maximum session durations by privilege level, session recording requirements, automatic revocation process, and monthly reporting metrics. Include a comparison of current state (standing access) versus target state (JIT) risk levels. Map to ISO 27001 A.8.2, SOC 2 CC6.3, and NIST AC-2(5).

Programa de revisión trimestral de acceso

Design a quarterly access review program for an organization with 300 users across 25 SaaS applications, 3 cloud environments, and 2 on-premises systems. Define: review scope and scheduling, reviewer assignment by system type, review workflow with automated reminders and escalation, decision criteria (confirm, modify, revoke), remediation process with 5-day SLA, evidence collection for audit, and KPIs to track program effectiveness over time. Include templates for the review form and summary report. Map to ISO 27001 A.5.18 and SOC 2 CC6.2.

Gobernanza de acceso de proveedores y terceros

Create a third-party access governance framework for managing vendor, contractor, and partner access. We have approximately 40 vendors with system access. Include: access request and risk assessment process, dedicated account requirements (no shared credentials), network segmentation for vendor access, MFA enforcement, time-limited access with automatic expiry, activity monitoring and logging, monthly access reviews, termination procedures at contract end, and annual vendor access audit process. Map to ISO 27001 A.5.19-A.5.22, SOC 2 CC6.2-CC6.3, and NIST PR.AC-3.

Recursos relacionados

  • Prompts de control de acceso y gestión de identidades: plantillas de prompts listas para usar para tareas de ingeniería de IAM

  • Descripción general de la biblioteca de prompts de ingeniería GRC: índice completo de colecciones de prompts de ingeniería de cumplimiento

  • Prompts de seguridad de infraestructura y nube: líneas base de IAM en la nube y prompts de seguridad de red

  • Descripción general de la biblioteca de prompts de ISO 27001: orientación más amplia para la implementación de ISO 27001

  • Descripción general de la ingeniería de prompts: técnicas para obtener mejores resultados de ISMS Copilot

¿Te fue útil?