Minimizar privilegios

La cuenta de cada usuario debe contar con los mínimos privilegios necesarios para realizar su trabajo. Esto incluye los permisos de acceso a los diferentes sistemas de la organización.

Es necesario, para la entrega de permisos efectiva, realizar una identificación previa de los tipos de información que maneja la institución, y quién debe tener acceso a qué tipos de datos. Considerar asimismo la implementación de limitaciones geográficas y temporales para la conexión a ciertos sistemas.

Debe existir un procedimiento de validación para los usuarios que pidan mayores permisos para realizar tareas específicas, y que estos sean retirados en cuanto hayan terminado. Las cuentas de administrador deben contar con autenticación multifactor (MFA). Asimismo, es necesario determinar los niveles de privilegio que se entregue a proveedores, clientes y socios, y asegurarse de que entiendan sus roles y responsabilidades.

En sectores de mayor criticidad, se puede definir que las cuentas estén excluidas de conectarse a internet, salvo excepciones explícitas.

Deben existir mecanismos automatizados para monitorear el uso de cuentas en sistemas críticos de la organización, detectando posibles amenazas internas, y que permitan, incluso, bloquear cuentas de usuario. Es recomendable que toda cuenta sea desactivada automáticamente tras cierto período de inactividad, a menos que fuera considerada esencial. Y que se monitoree todo acceso remoto a los sistemas de la organización.