ISO 27001

Control de acceso y principio de mínimo privilegio en ISO 27001

Por Equipo GRC360 24 de March, 2026 12 min de lectura
Control de acceso y mínimo privilegio en ISO 27001 RBAC MFA

El control de acceso es uno de los pilares de la seguridad de la información. ISO 27001:2022 dedica varios controles del Anexo A a garantizar que solo las personas autorizadas accedan a la información y a los sistemas que necesitan para su trabajo. El principio de mínimo privilegio establece que cada usuario, proceso y sistema debe tener únicamente los permisos estrictamente necesarios para cumplir su función.

Controles de acceso en el Anexo A

ControlNombreEnfoque
A.5.15Control de accesoPolítica general de control de acceso
A.5.16Gestión de identidadesCiclo de vida de identidades de usuario
A.5.17Información de autenticaciónGestión de credenciales y contraseñas
A.5.18Derechos de accesoProvisión, revisión y revocación de accesos
A.8.2Derechos de acceso privilegiadoCuentas de administrador y privilegios elevados
A.8.3Restricción del acceso a la informaciónAcceso a sistemas e información sensible
A.8.4Acceso al código fuenteControl del acceso a activos de desarrollo
A.8.5Autenticación seguraMecanismos de autenticación proporcionales al riesgo

El principio de mínimo privilegio

El principio de mínimo privilegio (Least Privilege Principle) establece que cada entidad del sistema (usuario, proceso, servicio) debe operar con el conjunto mínimo de permisos necesarios para realizar su función legítima. Esto limita el daño que puede causar un incidente, ya sea por un atacante externo que compromete una cuenta o por un empleado que actúa de forma negligente o maliciosa.

Ejemplo práctico: Un empleado del equipo de marketing no necesita acceso a la base de datos de producción, al código fuente ni a los servidores. Un desarrollador no necesita acceso a los datos personales de clientes en producción para hacer su trabajo. Un administrador de sistemas no necesita usar su cuenta privilegiada para leer el correo electrónico.

Control de acceso basado en roles (RBAC)

El modelo RBAC (Role-Based Access Control) es el más utilizado para implementar el mínimo privilegio en organizaciones medianas y grandes. En lugar de asignar permisos directamente a cada usuario, se definen roles que agrupan los permisos necesarios para una función específica, y luego se asignan roles a los usuarios.

Ventajas del RBAC

  • Simplifica la gestión de accesos cuando hay muchos usuarios
  • Facilita la revisión periódica (auditas roles, no permisos individuales)
  • Permite provisionar y desprovisionar accesos rápidamente al cambiar de rol un empleado
  • Reduce el riesgo de acumulación de privilegios no intencionada

Cómo definir roles

Mapea los roles organizacionales a los permisos que necesitan. Por ejemplo:

  • Rol: Gestor documental — Crear, editar y publicar documentos del SGSI; sin acceso a configuración del sistema
  • Rol: Auditor interno — Lectura de todos los documentos y registros; sin capacidad de modificar
  • Rol: Administrador SGSI — Configuración completa de la plataforma; acceso a todos los módulos

Gestión del ciclo de vida de identidades (A.5.16)

Alta de usuario

Al incorporarse un empleado, el proceso de onboarding debe incluir la creación de su cuenta, la asignación del rol apropiado a su función, la entrega de credenciales de forma segura y la firma del acuerdo de uso aceptable.

Cambio de rol

Cuando un empleado cambia de función, deben revisarse y actualizarse sus accesos de inmediato. El riesgo de acumulación de privilegios ocurre cuando un empleado que cambió de rol conserva los accesos del rol anterior.

Baja de usuario

Al desvincularse un empleado, deben revocarse todos sus accesos el mismo día (idealmente antes de que abandone el edificio), desactivar su cuenta de directorio activo, revocar tokens MFA, y actualizar las claves compartidas que conocía.

Autenticación multifactor (MFA)

El control A.8.5 exige autenticación segura proporcional al riesgo. Para sistemas con información confidencial o restringida, la autenticación multifactor (MFA) debe ser obligatoria. MFA requiere al menos dos factores de autenticación:

  • Algo que sabes: Contraseña, PIN
  • Algo que tienes: Token hardware, aplicación de autenticación (TOTP), SMS
  • Algo que eres: Huella dactilar, reconocimiento facial

Dónde aplicar MFA obligatoriamente

  • Acceso remoto (VPN, escritorio remoto)
  • Correo corporativo (especialmente acceso desde dispositivos personales)
  • Sistemas con información confidencial o restringida
  • Consolas de administración y cuentas privilegiadas
  • Proveedores y terceros con acceso a sistemas internos

Revisión periódica de accesos (A.5.18)

Los derechos de acceso deben revisarse a intervalos regulares. Lo habitual es una revisión trimestral o semestral donde:

  1. Los propietarios de sistemas revisan qué usuarios tienen acceso y qué permisos
  2. Se verifica que el acceso sigue siendo apropiado para la función actual
  3. Se revocan accesos innecesarios o de usuarios que cambiaron de rol
  4. Se documenta el resultado de la revisión como evidencia para la auditoría
Error frecuente: Confiar en que los procesos de RRHH informarán automáticamente los cambios de rol. En la práctica, TI suele enterarse tarde o nunca. Establece un procedimiento formal que requiera aprobación de accesos por parte del responsable de cada sistema.

Gestiona el control de acceso con GRC360

GRC360 permite gestionar roles y permisos de usuario dentro de la plataforma, con auditoría de accesos y registro de revisiones periódicas para cumplir con los controles A.5.15–A.5.18.

Crear Cuenta Gratis

Complementa este artículo con las guías sobre controles tecnológicos A.8, clasificación de la información y criptografía y cifrado.

SGSI Controles Control de Acceso
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis