Políticas de Certificación

Política de Gestión de Identidad y Acceso

Publicada por Diana Morán en
Título del Documento:Política de Gestión de Identidad y Acceso
Código:FP-08
Versión:Rev. 1.0
Propietario/Responsable:Jefe de TI
Fecha de Aprobación:21 de octubre de 2024
Fecha Última Revisión:10 de julio de 2025

1. Misión, Objetivos y Finalidad del Proceso

Acorde con los controles 5.15, 5.16, 5.17, 5.18, 8.2, 8.3, 8.4, 8.5 y 8.18 del Anexo A de la norma ISO 27001:2022, esta política define las directrices para la gestión de identidades y el control de acceso a los sistemas de información, equipos, instalaciones, infraestructura y código fuente de Databyte S.A. El objetivo es proteger los activos de información de Databyte S.A. y sus clientes contra accesos no autorizados, modificaciones indebidas o denegación de servicio, asegurando la confidencialidad, integridad y disponibilidad de la información, mediante la implementación de procesos robustos y el uso de plataformas tecnológicas especializadas. Esta política busca cumplir con los requerimientos legales, de negocio y de seguridad aplicables.

2. Alcance

Esta política es de cumplimiento obligatorio para todo el personal de Databyte S.A. (incluyendo directivos, empleados permanentes y temporales), así como para contratistas, proveedores y cualquier tercero que requiera o se le conceda acceso a la infraestructura, sistemas, plataformas y código fuente gestionados directamente por Databyte S.A.

Para los sistemas, máquinas virtuales, aplicaciones o datos que los clientes de Databyte S.A. administran de forma autónoma dentro de los servicios de datacenter provistos (ej. housing, IaaS donde el cliente gestiona el sistema operativo y las aplicaciones), la responsabilidad de implementar y gestionar sus propias políticas de identidad y acceso, equivalentes o superiores a las aquí descritas, recae en el cliente. Databyte S.A. es responsable de la seguridad de la infraestructura subyacente que provee (ej. hipervisores, red del datacenter hasta el punto de demarcación del cliente, Host Bastión) y se adhiere a esta política para su gestión.

Databyte S.A. recomienda encarecidamente a sus clientes la adopción de buenas prácticas de seguridad para los entornos que ellos administran, incluyendo el uso de autenticación fuerte, gestión segregada de accesos privilegiados, y el acceso administrativo a sus sistemas a través de conexiones seguras (ej. VPN, un Host Bastión u otras medidas de acceso seguro, etc.).

3. Definiciones

  • Identidad Digital: Representación única de un usuario (persona o sistema) dentro del entorno digital de Databyte S.A.
  • Autenticación: Proceso de verificar la identidad digital de un usuario o sistema que intenta acceder a un recurso.
  • Autorización: Proceso de conceder o denegar derechos de acceso a un usuario o sistema autenticado sobre recursos específicos.
  • Acceso Privilegiado: Nivel de acceso que permite realizar cambios significativos en la configuración, administración o datos de los sistemas de información.
  • Autenticación Multifactor (MFA): Método de autenticación que requiere que el usuario proporcione dos o más factores de verificación para acceder a un recurso.
  • Host Bastión (Jump Server): Servidor seguro y dedicado (Ubuntu Server con GUI) que actúa como único punto de entrada para el acceso administrativo a la infraestructura crítica.
  • Plataforma de Monitoreo de Seguridad (Wazuh): Sistema utilizado por Databyte S.A. que recopila, analiza y correlaciona eventos de seguridad de múltiples fuentes para la detección de amenazas y la generación de informes (cumple funciones de SIEM/XDR).
  • IAM (Identity and Access Management): Plataforma para la gestión centralizada de identidades digitales y sus accesos (FreeIPA).
  • VPN (Virtual Private Network): Red privada virtual (OpenVPN) que permite una conexión segura a la red corporativa a través de redes públicas.
  • Código Fuente: Conjunto de instrucciones escritas en un lenguaje de programación que componen un software o script.
  • FreeIPA: Solución integrada de gestión de identidades y autenticación utilizada por Databyte S.A.
  • privacyIDEA: Solución de gestión de autenticación multifactor utilizada por Databyte S.A.
  • GitLab: Plataforma de gestión de repositorios de código fuente utilizada por Databyte S.A.
  • Bitwarden en Carpeta Segura Samsung: Gestor de contraseñas utilizado para la custodia de credenciales críticas, instalado en la Carpeta Segura de dispositivos móviles Samsung del Gerente General y del Jefe de TI.

4. Roles y Responsabilidades

  • Gerente General (Cristóbal Muñoz Vial):
    • Aprobador final de esta política y sus revisiones.
    • Responsable de la aprobación formal de asignación de accesos privilegiados críticos y cambios significativos en la política de acceso.
    • Custodio (junto con el Jefe de TI) de las credenciales de cuentas de emergencia y del inventario de cuentas por defecto, almacenadas de forma segura en Bitwarden dentro de la Carpeta Segura Samsung. Punto primario de solicitud para acceso a estas credenciales.
    • Supervisor de la correcta implementación y cumplimiento general de esta política.
  • Jefe de TI (Tom Vega):
    • Propietario y responsable principal de la ejecución de esta política.
    • Responsable de la implementación, administración, mantenimiento y configuración segura de las plataformas IAM (FreeIPA, privacyIDEA), plataforma de monitoreo de seguridad (Wazuh), VPN (OpenVPN), Host Bastión y GitLab.
    • Responsable de la ejecución del ciclo de vida de las identidades (altas, bajas, modificaciones), configuración de roles y permisos, y gestión técnica de los accesos.
    • Encargado de realizar la revisión periódica de privilegios, gestionar los incidentes de seguridad relacionados con el acceso, y proponer actualizaciones a esta política.
    • Custodio secundario (junto con el Gerente General) de las credenciales de cuentas de emergencia y del inventario de cuentas por defecto, almacenadas de forma segura en Bitwarden dentro de la Carpeta Segura Samsung. Punto de solicitud en caso de no disponibilidad del Gerente General.
  • Usuarios (Todo el personal, contratistas y terceros autorizados):
    • Responsables de leer, comprender y cumplir con esta política y la “Política de Seguridad de Contraseñas de Databyte S.A.”
    • Responsables del uso adecuado y seguro de las credenciales y accesos asignados.
    • Obligados a reportar cualquier incidente o sospecha de compromiso de seguridad relacionado con identidades o accesos al Jefe de TI.

5. Política General de Control de Acceso

  • Principio de Mínimo Privilegio: A cada usuario se le asignarán únicamente los derechos de acceso estrictamente necesarios para el desempeño de sus funciones y responsabilidades.
  • Acceso Basado en Roles: Siempre que sea posible, los permisos de acceso se asignarán a través de roles predefinidos en la plataforma IAM (FreeIPA), en lugar de asignarlos directamente a usuarios individuales.
  • Segregación de Funciones: Se buscará la segregación de funciones en tareas críticas. La asignación de derechos de acceso privilegiado y la aprobación de cambios críticos en la configuración de las plataformas de gestión de identidad y seguridad son responsabilidad del Jefe de TI, con la aprobación formal del Gerente General. Las plataformas IAM y de monitoreo de seguridad (Wazuh) registrarán las acciones realizadas, permitiendo una auditoría independiente.

6. Gestión de Identidades de Usuario

  • 6.1. Identificadores de Usuario:
    • Todo usuario que requiera acceso a los sistemas de Databyte S.A. deberá poseer un identificador de usuario único y personal, gestionado centralmente a través de la plataforma IAM (FreeIPA).
    • Está estrictamente prohibido el uso de identificadores de usuario compartidos.
  • 6.2. Proceso de Alta, Baja y Modificación de Usuarios (ABM):
    • Altas: La solicitud de alta de un nuevo usuario será realizada por el supervisor directo del nuevo empleado (o por el Gerente General/Jefe de TI si aplica) al Jefe de TI. El Jefe de TI, con la aprobación del Gerente General para la asignación de roles y accesos iniciales, creará la cuenta en la plataforma IAM.
    • Modificaciones: Las solicitudes de modificación de accesos seguirán un proceso similar de solicitud (por el usuario o su supervisor), evaluación por el Jefe de TI y aprobación por el Gerente General para cambios significativos de privilegios o asignación de nuevos roles.
    • Bajas: La revocación de todos los derechos de acceso y la deshabilitación de la cuenta de usuario en la plataforma IAM se ejecutarán inmediatamente por el Jefe de TI al término de la relación contractual, cese de funciones, o cuando el acceso ya no sea necesario. Este proceso será iniciado por el Gerente General o el Jefe de TI.
    • Todos los procesos de ABM generarán registros auditables en la plataforma IAM y serán monitoreados por la plataforma de monitoreo de seguridad (Wazuh).
  • 6.3. Revisión Periódica de Derechos de Acceso de Usuario:
    • El Jefe de TI realizará una revisión trimestral de todos los derechos de acceso de todos los usuarios (estándar y privilegiados). Esta revisión verificará la necesidad y adecuación de los permisos y roles asignados.
    • Se utilizarán los informes generados por la plataforma IAM para facilitar esta revisión.
    • Un informe de la revisión, detallando las cuentas revisadas, los hallazgos y las acciones correctivas implementadas, será presentado al Gerente General para su aprobación y archivo de forma mensual o trimestral, según defina la Gerencia General.

7. Gestión de la Autenticación

  • 7.1. Política de Contraseñas:
    • La creación, uso y gestión de contraseñas se rige estrictamente por la “Política de Seguridad de Contraseñas de Databyte S.A.” (versión vigente del 11 de julio de 2022, o la más reciente aprobada). Todos los usuarios están obligados a conocer y cumplir dicha política.
    • La plataforma IAM (FreeIPA) se configurará para hacer cumplir técnicamente los requisitos establecidos en la Política de Seguridad de Contraseñas, incluyendo longitud mínima, complejidad, caducidad periódica (máximo 90 días), historial de no reutilización de contraseñas, y bloqueo de cuentas tras un máximo de 5 intentos fallidos de autenticación por un período de 15 minutos.
    • Excepciones: Para sistemas heredados donde la aplicación técnica de la longitud o complejidad total de la política de contraseñas no sea viable, se documentará una excepción formal. Esta excepción debe incluir medidas compensatorias (ej. aislamiento de red, monitoreo intensificado) y ser aprobada por escrito por el Jefe de TI y el Gerente General. Las excepciones serán revisadas anualmente.
  • 7.2. Autenticación Multifactor (MFA):
    • Será obligatorio el uso de Autenticación Multifactor (MFA), gestionada a través de la plataforma privacyIDEA, para los siguientes accesos:
      • Conexión a la VPN corporativa (OpenVPN).
      • Acceso al Host Bastión (incluyendo acceso SSH o a la GUI).
      • Acceso a las consolas de administración de las plataformas IAM (FreeIPA, privacyIDEA) y de monitoreo de seguridad (Wazuh), si aplica para su administración.
      • Acceso a la plataforma GitLab.
      • Acceso a otros sistemas y aplicaciones designados como críticos por la Gerencia General o el Jefe de TI que soporten MFA.
    • El método preferente para el segundo factor será TOTP (Time-based One-Time Password) mediante aplicaciones autenticadoras aprobadas.

8. Gestión de Acceso Privilegiado

  • 8.1. Modelo de Acceso Administrativo (Host Bastión):
    • Todo acceso administrativo a la infraestructura crítica del datacenter de Databyte S.A. (servidores, bases de datos, equipos de red, plataformas de virtualización) deberá realizarse exclusivamente a través de un Host Bastión (Ubuntu Server con GUI) dedicado y securizado. Cada administrador accederá al Host Bastión con su cuenta personal gestionada en FreeIPA y autenticación MFA.
    • El acceso al Host Bastión se realizará únicamente mediante una conexión VPN segura (OpenVPN), la cual requerirá autenticación contra la plataforma IAM corporativa (FreeIPA) y el uso de MFA (gestionado por privacyIDEA). El acceso SSH o a la GUI del Host Bastión, posterior a la conexión VPN, también requerirá la autenticación del usuario (potencialmente con MFA adicional si la tecnología lo permite y se considera necesario).
    • Se prohibirá o restringirá técnicamente la transferencia de archivos (subida/bajada) entre la estación de trabajo del administrador y el Host Bastión, así como entre el Host Bastión y los sistemas administrados, salvo autorización explícita, justificada y documentada del Gerente General para casos específicos y limitados en tiempo. Dichas transferencias excepcionales serán monitoreadas.
    • El Host Bastión y los sistemas críticos serán sometidos a un proceso de hardening según los estándares de la industria y las recomendaciones del fabricante. Se realizarán análisis de vulnerabilidades periódicos.
    • Los privilegios dentro del bastión (ej. sudo) serán gestionados centralmente vía FreeIPA.
  • 8.2. Identificación y Gestión de Cuentas Privilegiadas:
    • Todas las identidades de usuario, incluyendo aquellas con privilegios elevados (administradores de sistemas, bases de datos, aplicaciones, red), serán gestionadas centralmente a través de la plataforma IAM (FreeIPA).
    • Se mantendrá un inventario actualizado de roles y usuarios con privilegios elevados dentro de esta plataforma.
  • 8.3. Asignación y Aprobación de Privilegios:
    • La solicitud de acceso privilegiado deberá ser justificada por el solicitante (o su supervisor) y dirigida al Jefe de TI.
    • El Jefe de TI evaluará la necesidad y el alcance del privilegio solicitado. Si procede, y especialmente para privilegios de alto impacto, la solicitud será elevada al Gerente General para su aprobación formal.
    • Una vez aprobada, el Jefe de TI configurará los permisos correspondientes en la plataforma IAM (FreeIPA), asignando los roles o permisos específicos.
    • Todas las aprobaciones de acceso privilegiado se documentarán (ej. mediante correo electrónico archivado o un sistema de tickets interno). Los cambios de privilegios quedarán registrados en los logs de la plataforma IAM, los cuales son monitoreados por la plataforma de monitoreo de seguridad (Wazuh).
  • 8.4. Cuentas de Emergencia (“Break-Glass”):
    • Se dispondrá de un número mínimo y estrictamente controlado de cuentas específicas con privilegios elevados para situaciones de emergencia (“break-glass”).
    • Las credenciales (contraseña robusta y única) de estas cuentas de emergencia se almacenarán de forma segura y cifrada en el gestor de contraseñas corporativo (Bitwarden), instalado y accesible a través de la funcionalidad de Carpeta Segura en los dispositivos móviles Samsung del Gerente General y del Jefe de TI. Ambos tendrán acceso a estas credenciales.
    • El uso de una cuenta de emergencia requerirá la solicitud y autorización explícita, en primer lugar, del Gerente General. En caso de no disponibilidad comprobada del Gerente General ante una emergencia justificada, la autorización podrá ser otorgada por el Jefe de TI.
    • Todo uso de una cuenta de emergencia será registrado detalladamente (quién la autorizó, quién la usó, cuándo, por qué y qué acciones se realizaron) y auditado inmediatamente después de su utilización a través de los logs del sistema y de la plataforma de monitoreo de seguridad (Wazuh).
    • Las contraseñas de las cuentas de emergencia se cambiarán obligatoriamente después de cada uso.
  • 8.5. Cuentas Genéricas y por Defecto:
    • El uso de cuentas de usuario genéricas (ej. “administrador”, “soporte_app”) se minimizará al máximo. Cuando sea estrictamente necesario para tareas de servicio o aplicación donde no sea técnicamente viable asignar una cuenta personal, la cuenta genérica deberá:
      • Ser aprobada formalmente por el Jefe de TI.
      • Tener un responsable individual asignado.
      • Su contraseña deberá cumplir con la “Política de Seguridad de Contraseñas de Databyte S.A.” y ser cambiada periódicamente (al menos cada 90 días) o tras cada uso si es de alta sensibilidad y su uso es esporádico.
    • Todas las cuentas por defecto provistas por fabricantes de software o hardware deben ser deshabilitadas o sus contraseñas cambiadas inmediatamente tras la instalación o configuración inicial del sistema, aplicando los estándares de la Política de Seguridad de Contraseñas.
    • Un inventario de las cuentas por defecto que, por razones técnicas documentadas, deban mantenerse activas (con sus contraseñas cambiadas y robustas) se conservará de forma segura y cifrada en el gestor de contraseñas corporativo (Bitwarden en Carpeta Segura Samsung), accesible por el Gerente General y el Jefe de TI. El acceso a este inventario será auditado.
  • 8.6. Revisión Periódica de Accesos Privilegiados:
    • Además de la revisión trimestral general de accesos, el Jefe de TI realizará una revisión específica y más detallada de todos los accesos privilegiados gestionados en la plataforma IAM.
    • Esta revisión verificará la continuidad de la necesidad y la adecuación de los privilegios asignados a cada usuario privilegiado.
    • Un informe de esta revisión, con las acciones correctivas si las hubiera, será presentado al Gerente General para su aprobación y archivo de forma mensual o trimestral, según defina la Gerencia General.

9. Control de Acceso a la Red y Sistemas

  • 9.1. Acceso Remoto (VPN):
    • Todo acceso remoto a la red interna de Databyte S.A. y al Host Bastión por parte de empleados o terceros autorizados deberá realizarse exclusivamente a través de la solución de VPN (OpenVPN) corporativa.
    • La autenticación en la VPN se realizará contra la plataforma IAM (FreeIPA), requiriendo credenciales de usuario y un segundo factor de autenticación (MFA gestionado por privacyIDEA).
    • Todos los intentos de conexión (exitosos y fallidos) y las sesiones VPN activas serán registrados y sus logs enviados a la plataforma de monitoreo de seguridad (Wazuh) para monitoreo.
  • 9.2. Bloqueo de Sesiones por Inactividad:
    • Se configurará el bloqueo automático de sesiones por inactividad en todas las estaciones de trabajo y servidores críticos que lo permitan técnicamente. El tiempo de inactividad para el bloqueo será de 30 minutos.
    • Esta política se aplicará a través de configuraciones en los sistemas operativos y, donde sea posible, mediante políticas gestionadas centralmente (ej. a través de FreeIPA para sistemas Linux integrados o Group Policies para Windows si aplica).
  • 9.3. Restricción de Utilidades del Sistema y Herramientas:
    • El uso de herramientas y utilidades del sistema con capacidad de modificar configuraciones críticas o acceder a datos sensibles estará restringido a personal autorizado y se realizará preferentemente desde el Host Bastión.
    • Se evitará la instalación de software no autorizado en servidores críticos y en el Host Bastión.

10. Control de Acceso al Código Fuente

  • El acceso al código fuente de los desarrollos de software y scripts propiedad de o gestionados por Databyte S.A. se administrará a través de la plataforma GitLab auto-alojada.
  • Se habilitará el acceso a GitLab para los desarrolladores a través de un túnel SSH seguro, el cual será accesible únicamente tras establecer una conexión a la VPN corporativa (OpenVPN) y autenticarse con credenciales gestionadas por IAM y MFA. Este túnel permitirá la transferencia de modificaciones desde las máquinas locales de los desarrolladores a los repositorios de GitLab.
  • Se definirán permisos específicos por proyecto y repositorio utilizando los roles nativos de GitLab (ej. Guest, Reporter, Developer, Maintainer, Owner) según el principio de mínimo privilegio.
  • Las solicitudes de acceso a repositorios o cambios de nivel de permiso serán realizadas al Jefe de TI. El Jefe de TI evaluará la solicitud y, para roles con capacidad de modificación de código o administración de repositorios (Developer o superior), requerirá la aprobación formal del Gerente General.
  • Se mantendrá un registro de los usuarios con acceso y sus roles asignados a cada repositorio directamente a través de las funcionalidades de GitLab y los registros de aprobación formal.
  • Los logs de auditoría de GitLab que registren accesos (incluyendo accesos SSH al servidor GitLab), cambios de permisos, push de código y otras actividades significativas serán configurados para ser reenviados a la plataforma de monitoreo de seguridad (Wazuh).
  • La autenticación de usuarios de GitLab se integrará con la plataforma IAM (FreeIPA) para centralizar la gestión de identidades de los desarrolladores y aplicar políticas de contraseña y MFA de forma consistente.

11. Monitoreo, Registro y Auditoría de Accesos

  • Se utilizará la plataforma de monitoreo de seguridad (Wazuh) para la recolección centralizada, correlación, análisis y almacenamiento de logs de eventos de seguridad y acceso de las siguientes fuentes (lista no exhaustiva):
    • Eventos de autenticación (éxitos, fallos) de la plataforma IAM (FreeIPA, privacyIDEA).
    • Logs de conexión y actividad de la VPN (OpenVPN).
    • Logs de sistema operativo (incluyendo inicios de sesión, uso de sudo, cambios críticos) del Host Bastión y servidores críticos.
    • Actividad específica dentro del Host Bastión (ej. comandos ejecutados).
    • Logs de auditoría de GitLab (accesos SSH, HTTPS, push, cambios de permisos).
    • Alertas de seguridad de otras herramientas o sistemas.
  • El Jefe de TI será responsable de:
    • Configurar y mantener actualizadas las reglas de detección de actividades sospechosas o no autorizadas en Wazuh.
    • Revisar diariamente las alertas críticas generadas por Wazuh e investigar los posibles incidentes de seguridad.
    • Generar informes periódicos (mensuales o trimestrales, según defina la Gerencia General) sobre la actividad de acceso privilegiado, eventos de seguridad relevantes y el estado general del cumplimiento de esta política, para revisión por la Gerencia General.
  • Los logs de auditoría se conservarán por un período mínimo definido por los requisitos legales aplicables y las necesidades de negocio de Databyte S.A., asegurando su integridad y disponibilidad para investigaciones o auditorías.

12. Cumplimiento y Revisión de la Política

  • Esta política será comunicada a todo el personal y partes relevantes de Databyte S.A.
  • El cumplimiento de esta política es obligatorio. El incumplimiento podrá acarrear medidas disciplinarias, de acuerdo con la normativa interna de Databyte S.A. y la legislación vigente.
  • Esta política será revisada al menos una vez al año por el Jefe de TI y el Gerente General, o cuando ocurran cambios significativos en la infraestructura tecnológica, los procesos de negocio, los riesgos de seguridad o los requisitos legales/normativos.
  • Cualquier excepción a esta política, incluyendo las excepciones a la política de contraseñas para sistemas heredados, deberá ser documentada, justificada, incluir medidas compensatorias y ser aprobada formalmente por el Gerente General, con una duración limitada y revisión periódica (al menos anual).

Contenido Relacionado