ISO 27001

Gestión de identidades y acceso (IAM) en ISO 27001

Por Equipo GRC360 24 de March, 2026 12 min de lectura
Gestión identidades acceso IAM ISO 27001 controles A.5.15 A.8.5 MFA PAM

La gestión de identidades y acceso (IAM) es uno de los pilares más importantes de la seguridad de la información. Según el informe Verizon DBIR, más del 80% de las brechas de seguridad involucran credenciales comprometidas o abuso de accesos privilegiados. ISO 27001 dedica un conjunto significativo de controles a este dominio.

Esta guía explica los controles IAM de ISO 27001:2022, cómo implementar el ciclo de vida completo de identidades y qué tecnologías son necesarias. Complementa con los artículos sobre seguridad de redes y prevención de pérdida de datos.

Los controles IAM en ISO 27001:2022

ControlNombreTema principal
A.5.15Control de accesoPolítica y reglas de control de acceso basadas en principios de mínimo privilegio
A.5.16Gestión de identidadGestión del ciclo de vida de las identidades (alta, modificación, baja)
A.5.17Información de autenticaciónPolíticas de contraseñas, protección de credenciales, gestión de secretos
A.5.18Derechos de accesoAsignación y revisión periódica de derechos de acceso
A.8.2Derechos de acceso privilegiadoGestión estricta de cuentas de administrador y acceso privilegiado
A.8.5Autenticación seguraTecnologías y procedimientos de autenticación segura

El ciclo de vida de la identidad digital

1. Provisión (Joiner)

Cuando una persona ingresa a la organización: solicitud de acceso formal con justificación y aprobación del responsable, asignación de accesos según el rol (RBAC), y activación de MFA desde el primer día para cuentas críticas.

2. Modificación (Mover)

Cuando una persona cambia de rol: revisión y ajuste de accesos al nuevo rol eliminando los del rol anterior, aplicando el principio de mínimo privilegio. Documentar el cambio con aprobación formal.

3. Baja (Leaver)

Cuando una persona abandona la organización: desactivación inmediata de todos los accesos el mismo día de la baja, revocación de certificados digitales y tokens MFA, y cambio de contraseñas compartidas en cuentas de servicio.

El problema de las cuentas huérfanas: Las cuentas de usuarios que han dejado la organización pero siguen activas son uno de los hallazgos más frecuentes en auditorías de certificación. Implementa un proceso formal de baja vinculado con RRHH que garantice la desactivación el mismo día de la salida del empleado.

Principios fundamentales de IAM

Mínimo privilegio (Least Privilege)

Cada usuario, proceso y sistema debe tener únicamente los accesos necesarios para realizar su función. Los accesos elevados deben ser temporales y auditados.

Segregación de funciones (SoD)

Las funciones incompatibles deben asignarse a personas diferentes. Un usuario no debe poder crear y aprobar el mismo registro; un programador no debe poder desplegar código en producción sin aprobación.

Revisión periódica de accesos (Access Certification)

ISO 27001 (A.5.18) exige revisar periódicamente los derechos de acceso: accesos privilegiados mensualmente, accesos a sistemas críticos trimestralmente y accesos generales semestralmente.

Tecnologías IAM que apoyan el cumplimiento

Single Sign-On (SSO)

Permite que los usuarios accedan a múltiples sistemas con una sola autenticación. Simplifica la gestión y mejora la experiencia del usuario, lo que aumenta la adopción de controles de seguridad.

Autenticación Multifactor (MFA)

Control A.8.5. Es uno de los controles con mayor impacto en la reducción del riesgo. MFA debe implementarse como mínimo en accesos remotos (VPN), cuentas administrativas y privilegiadas, acceso a sistemas con datos sensibles y plataformas cloud (Microsoft 365, Google Workspace, AWS).

Gestión de Accesos Privilegiados (PAM)

Las herramientas PAM (CyberArk, BeyondTrust, Delinea) gestionan el acceso a cuentas de administrador mediante bóveda de contraseñas, acceso just-in-time, grabación de sesiones y rotación automática de contraseñas.

Evidencias para la auditoría IAM

  • Política de control de acceso documentada y aprobada
  • Procedimiento formal de alta, modificación y baja de usuarios
  • Registros de las últimas revisiones periódicas de accesos
  • Evidencia de MFA habilitado en cuentas críticas (capturas, reportes)
  • Lista de cuentas privilegiadas con justificación de negocio
  • Registros de actividad de cuentas privilegiadas (logs)

Controla el cumplimiento IAM en GRC360

GRC360 te permite documentar la política de control de acceso, registrar las revisiones periódicas, gestionar evidencias de cumplimiento de los controles A.5.15–A.5.18 y A.8.2–A.8.5, y preparar el informe para la auditoría. Todo el ciclo IAM en una plataforma.

Comenzar Gratis

Complementa con los controles de seguridad de redes, prevención de pérdida de datos y seguridad en la nube.

SGSI Controles Control de Acceso
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis