Notas de la sesión: Gobierno y Gestión de Accesos
Contexto y objetivo de la sesión
Esta sesión corresponde a la segunda reunión de trabajo sobre gobernanza y gestión de accesos, enfocada en identificar brechas y oportunidades de mejora para las capacidades de gestiones e identidades de acceso. Se mencionó que el contexto general ya se había cubierto en la primera sesión, vinculada a iniciativas para liderar futuras acciones. El objetivo principal es cubrir la parte de gobierno y gestión de accesos, alineando preguntas y comentarios para avanzar en la comprensión y la definición de requerimientos. Se indicó la presencia de equipos clave: NDTT y Compartamos, y se recordó el programa IAN, que abarca autenticación, identidades, accesos privilegiados, directorio, autorización, reportería y toda la parte de interacción con la experiencia del colaborador, auditoría interna, ciberfraude, cumplimiento, arquitectura, unidades de negocio, ciberseguridad y datos analíticos.
Equipo de trabajo y alcance del programa IAN
Se describió al equipo de NDTT y al equipo de Compartamos como responsables de las diferentes áreas involucradas en el programa IAN. El alcance incluye la gestión de autenticación, identidades y accesos privilegiados, así como la gestión de directorio y autorización, junto con reportería y monitoreo. Además, se destacó la interacción con la experiencia del colaborador, la auditoría interna, el ciberfraude, el cumplimiento regulatorio, la arquitectura de la solución, las unidades de negocio y la ciberseguridad, así como el manejo de datos analíticos. Este alcance sugiere un enfoque integral de IAM que se extiende más allá de la mera tecnología hacia procesos y gobernanza.
Marco de gobierno y políticas de gestión de accesos
En el marco de lineamientos y políticas, se señaló que la gestión de accesos incluye autenticación y autorización; se ha implementado un multifactor de autenticación (MFA) para aplicaciones de Office 365, gestionado en ciertas aplicaciones. Se indicó que el control de accesos es segregado y que existen procesos para altas, bajas y modificaciones (ABM). En el ámbito operativo, Compartamos maneja controles de acceso a nivel de usuarios finales para colaboradores y proveedores, mientras que otros temas pueden manejarse de forma general. Se planteó la duda de si los accesos se gestionan por funciones (segregación de funciones) o mediante un único procedimiento, y se solicitó un alcance breve para poder continuar con las demás preguntas.
Repositorio de lineamientos y revisión de políticas
Se confirmó que los lineamientos, políticas y procedimientos se encuentran en un repositorio público interno, gestionado desde la plataforma Agent (la plataforma de conexión). Dentro de esa plataforma existe un módulo para la gestión normativa donde se alojan los documentos asociados. Sobre la revisión periódica, se mencionó que la buena práctica es revisar entre 1 y 2 años, dependiendo del tipo de documento, con comunicaciones al dueño, modificaciones y un flujo de validaciones y áreas de control previas a la publicación. Se indicó además que estas políticas cubren la gestión de accesos y pueden ser parte de una política de seguridad de la información más amplia, manteniéndose la posibilidad de que existan políticas separadas de gestión de accesos.
Alcance, alcance operativo y flujos de ABM
La conversación distinguió entre el alcance de las cuentas nominales (colaboradores y proveedores) y las cuentas privilegiadas. En la política y reglamento de segunda línea se mencionan todas las cuentas relevantes, aunque, desde la visión de mejora, se considera que las categorías de privilegios pueden requerir mejoras en la granularidad de las políticas. Se mencionó que el perfilamiento de accesos se rige por el principio de segregación de funciones; se discute la periodicidad de revisión como anual para la mayor parte de las apps, aunque para aplicaciones críticas la revisión podría ser semestral o trimestral.
En el contexto del banco, se identificó que existen unas ~100 aplicaciones (entre herramientas y software) dentro del alcance de ABM para colaboradores y proveedores. De estas, se ha fijado un bloque de 36 aplicaciones como prioritarias para monitoreo de cumplimiento desde la segunda línea de seguridad de la información. Esto sugiere una priorización basada en criticidad y riesgo.
Roles y responsabilidades en la matriz de accesos
Se abordó la forma en que se definen y gestionan los perfiles de acceso: para cada aplicación core hay especialistas de TI que asesoran sobre qué perfiles aplicar con base en las funciones requeridas. Existe un enfoque de revisión por MOF (perfil por funciones) para garantizar el menor privilegio posible. En el proceso se mencionó la existencia de un grupo de segregación (conformado por áreas de procesos, seguridad de la información y la propia jefatura) que actúa como filtro para validar que el acceso solicitado corresponde a las funciones y al principio de privilegio mínimo. No se identificó actualmente una figura formal de “gestor de matriz de roles” que gestione la matriz de forma continua; esa responsabilidad recae en el área de procesos, con la supervisión de seguridad de la información, más apoyo del área de RH para casos de incorporación de nuevo personal.
Cuentas nominales vs cuentas privilegiadas; herramientas de gestión de privilegios
Las cuentas nominales (colaboradores) siguen un flujo de alta, baja y modificación amarrado a la estructura organizacional y a la matriz de roles; estas cuentas se gestionan a través de la primera y segunda línea, y la apertura de accesos está habitualmente regulada por el movimiento de personal y los procesos de recursos humanos. Las cuentas privilegiadas (privilegios de alto nivel) requieren aprobaciones adicionales y se gestionan mediante un inventario de usuarios privilegiados y herramientas PAM (Privileged Access Management). Se mencionó específicamente CyberArk como la solución para administrar contraseñas y accesos de cuentas privilegiadas. Se añadió que existe un bando o “PAN” ( privileged access management) asociado con estas cuentas, y que su gestión está sujeta a aprobaciones del propietario del activo y al buzón central de seguridad de la información. Además, se indicó que la aprobación para accesos privilegiados pasa por un canal de seguridad de la información y, cuando corresponde, por un propietario del activo (por ejemplo, una base de datos) para la concesión de acceso.
Interacciones entre procesos, áreas y aprobación de cambios
Se describió un flujo doble para cambios de perfiles: usuarios solicitantes deben validar que el perfil propuesto se alinea con sus funciones (a través del grupo de procesos) y, posteriormente, Seguridad de la Información verifica que cumple con el principio de segregación de funciones y la matriz de privilegios. Esta doble validación constituye un control de segregación de funciones (SoD) para fortalecer la gobernanza sobre cambios de accesso.
Se discutió la necesidad de un mecanismo de gestión para nuevos puestos o cargos que impliquen perfiles críticos: se observa que no existe una figura dedicada de “gestor de matriz” que mantenga y actualice la matriz de roles de forma individual; en su lugar, RH y el área de procesos colaboran para identificar y gestionar estos cambios. Se mencionó que cuando hay un cargo nuevo, se está buscando una mejora para que, durante el proceso de selección y contratación, el gerente inmediato pueda gestionar los accesos antes de la llegada de la persona; esto requerirá coordinación entre RR. HH., procesos y TI/seguridad para anticipar accesos de acuerdo a las funciones previstas.
Onboarding, alta y gestión de tickets; herramientas de soporte
El inicio del ciclo ABM para cuentas nominales recae en Adrián (parámetro de RR. HH.), con el servicio de TI encargado de crear los accesos. El rastro y la trazabilidad se gestionan a través del sistema de tickets Sisite (o SeaSight como la plataforma de ticketing de apoyo) para la solicitud de accesos y cambios, mientras que el AD (Active Directory) es el repositorio de identidad donde se crean y agrupan los accesos y asignaciones por defecto.
Existe una distinción entre cuentas de aplicación/servicio (privilegiadas) y cuentas nominales: para las cuentas privilegiadas, la solicitud debe pasar por el buzón central de seguridad de la información, y la aprobación debe provenir del propietario del activo o del área correspondiente, con la revisión adicional de seguridad de la información para evitar excesos de privilegios. Las cuentas nominales no pasan por ese buzón y se gestionan principalmente mediante la matriz de cargos y las directrices de segunda línea.
Producción de nuevas aplicaciones: evaluación de riesgos y matrices de control
Para nuevas iniciativas o proyectos significativos, hay un proceso de evaluación de riesgos que debe considerar los requisitos de cumplimiento de accesos. El equipo de arquitectura y seguridad de la información evalúa estos requisitos mediante un checklist y produce una matriz de cumplimiento de segregación de funciones. Se observó que, en revisiones anteriores, de 98 aplicaciones analizadas, aproximadamente la mitad no tenían matrices bien definidas o no estaban suficientemente transparentadas entre seguridad de la información y TI. Se ha planteado un plan para mapear progresivamente todas las aplicaciones y generar matrices de control de segregación de funciones para cada una.
Casos especiales y escenarios prácticos
Se mencionó un caso práctico de practicantes: no se deben asignar ciertas funciones formales por normativa. Se maneja una excepción documentada con firma del gerente correspondiente y un acuerdo de confidencialidad para permitir un acceso mínimo en ciertas circunstancias. En el caso de practicantes, el acceso mínimo básico (correo, directorio a nivel de usuario) está contemplado, pero el uso de excepciones debe quedar documentado.
En el contexto de un ERP (por ejemplo Oracle), se ha requerido acceso parametrizado para ciertas opciones específicas, a veces no disponibles para perfiles estándar sin costo adicional o coordinación especial. Cuando es necesario por funciones, se evalúa la posibilidad de otorgar el acceso; si no es viable, se evalúan excepciones como último recurso. Se mencionó que existen escenarios donde no se otorga cierto acceso para mantener la segregación de funciones. En general, se busca otorgar el menor privilegio posible y justificar cada excepción con documentación y revisión.
Planes de monitoreo, priorización y gobernanza futura
Se acordó fijar un bloque de 36 aplicaciones como prioridad para monitoreo de cumplimiento en el año actual, dentro de un total de aproximadamente 100 aplicaciones. Este enfoque permite concentrar esfuerzos de seguridad sin perder de vista el alcance total. Se mencionó la necesidad de coordinar la revisión de estas áreas con la agenda y el espacio físico de la sede para evitar conflictos con operaciones y otros compromisos; se propuso compartir las minutas y actas de cada reunión y, cuando sea necesario, llevar a cabo sesiones offline para resolver consultas puntuales.
Gestión documental, revisión y próximos pasos
Se acordó compartir el acta de la reunión y las minutas, así como requerir la documentación que se mencionó durante la sesión para avanzar en la revisión de flujos y controles. Se propuso una sesión adicional con el equipo de cuentas privilegiadas (con la participación de Omar y el equipo de pagos) para profundizar en el tema, y, de ser posible, agendar una sesión específica para el equipo de CyberArk. Se mencionó la necesidad de diseñar procedimientos y políticas con antelación para agilizar la revisión en futuras reuniones. Asimismo, se destacó la disposición de los participantes para asistir de manera presencial cuando sea posible y avanzar más rápido.
Imlicaciones prácticas y consideraciones éticas
Gobernanza y responsabilidad: hay un claro enfoque de segregación de funciones y de doble verificación entre áreas de procesos y seguridad de la información. Esto reduce riesgos de privilegios indebidos, pero añade complejidad operativa, especialmente para nuevos puestos o cambios de perfil.
Gestión de cambios: la existencia de un grupo de segregación para validar cambios refuerza la gobernanza, pero no hay una figura formal de gestor de matriz de roles. Esto puede generar cuellos de botella si no se formaliza una propiedad clara de la matriz.
Priorización de aplicaciones: la decisión de monitorear 36 de 100 apps priorizadas busca balancear seguridad y operatividad; sin embargo, la ausencia de matrices en casi la mitad de las aplicaciones históricamente puede suponer riesgos de control no consistentes.
Proveedores y terceros: las cuentas de proveedores están cubiertas dentro del alcance de las políticas de acceso, con procesos de aprobación y controles para evitar conflictos de interés y mantener la seguridad de la información.
Transparencia y trazabilidad: el uso de plataformas de gestión (AD, SISite, SeaSight) y de un buzón central para aprobaciones de accesos privilegiados ayuda a mantener trazabilidad, pero requiere que todas las partes estén alineadas en el flujo y en la documentación de excepciones.
Preparación para el futuro: la necesidad de mapear todas las aplicaciones y de formalizar comités o responsables de matrices indica un paso clave para una madurez mayor en la gestión de accesos. La coordinación entre RR. HH., procesos, TI y seguridad debe fortalecerse para reducir retrasos y garantizar cumplimiento continuo.
Proximos pasos acordados
Compartir la minuta y las evidencias solicitadas; avanzar con la recopilación de documentación de lineamientos y políticas.
Coordinar una sesión adicional con el equipo de cuentas privilegiadas (cyberArk) para profundizar en la gestión de privilegios y el control de contraseñas.
Definir y calendarizar sesiones para revisar flujos ABM de alto nivel y, en paralelo, avanzar en la generación de matrices de roles para las aplicaciones críticas y, a futuro, para el total de aplicaciones.
Confirmar horarios y disponibilidad para la próxima semana en la sede y evitar solapar con otras actividades operativas.
Consideraciones finales
La reunión permitió identificar claramente las áreas de mejora y las prácticas actuales en gobernanza y gestión de accesos, destacando la necesidad de documentar con mayor detalle las matrices de roles, fortalecer la trazabilidad y acelerar la actualización de políticas, especialmente para aplicaciones críticas y cuentas privilegiadas. Se acordó un plan de acción para avanzar en estas áreas y fomentar una colaboración más estrecha entre las distintas funciones (RR. HH., procesos, TI y seguridad de la información). Este enfoque holístico es crucial para elevar la madurez de IAM dentro de la organización y para garantizar un equilibrio entre seguridad, cumplimiento y agilidad operativa.