06 Mar Control 5.16 de ISO 27001: Gestión de identidades
La gestión de identidades es uno de los elementos fundamentales de la seguridad de la información. El control 5.16 de la norma ISO/IEC 27001 establece que las organizaciones deben gestionar adecuadamente el ciclo de vida completo de las identidades utilizadas para acceder a sus sistemas y recursos.
Este control busca garantizar que solo las personas o sistemas autorizados puedan acceder a la información y que los accesos se mantengan actualizados conforme cambian los roles, responsabilidades o relaciones con la organización.
¿Qué es la gestión de identidades?
En el contexto de la seguridad de la información, una identidad representa a una persona, sistema o servicio que necesita acceder a recursos digitales. Para identificar a esa entidad se utilizan credenciales como nombres de usuario, identificadores únicos o cuentas de acceso.
La gestión de identidades consiste en administrar estas identidades durante todo su ciclo de vida. Esto incluye su creación, modificación y eliminación. Gracias a este proceso se puede asegurar que los accesos concedidos a cada usuario o sistema sean adecuados y estén alineados con las necesidades reales de la organización.
Una gestión correcta de las identidades también ayuda a prevenir problemas como el uso indebido de cuentas, accesos innecesarios o el fraude de identidad.
El ciclo de vida de una identidad
El control 5.16 pone especial énfasis en gestionar el ciclo de vida completo de las identidades.
Este ciclo comienza cuando se registra una nueva identidad dentro de la organización. Por ejemplo, cuando un empleado se incorpora a la empresa o cuando se crea una cuenta técnica para un servicio o aplicación.
A lo largo del tiempo, esta identidad puede sufrir modificaciones. Un usuario puede cambiar de departamento, asumir nuevas responsabilidades o trasladarse a otra ubicación dentro de la empresa. Estos cambios deben reflejarse también en los permisos de acceso que tiene asignados.
Finalmente, el ciclo de vida de la identidad termina cuando la persona deja de trabajar en la organización o cuando una cuenta técnica deja de ser necesaria. En ese momento, las cuentas deben eliminarse, bloquearse o desactivarse para evitar accesos no autorizados.
Identidades humanas y técnicas
Cuando se habla de gestión de identidades, normalmente se piensa en usuarios humanos. Sin embargo, también existen identidades asociadas a sistemas, aplicaciones o servicios.
Por ejemplo, una aplicación puede utilizar una cuenta técnica para acceder a una base de datos o para comunicarse con otro sistema. Estas cuentas deben gestionarse con el mismo nivel de control que las identidades de usuarios.
Es importante asignar a estas identidades técnicas únicamente los permisos necesarios y supervisar su uso para evitar riesgos de seguridad.
Relación con el control de acceso
La gestión de identidades está estrechamente relacionada con el control de acceso. Antes de conceder permisos a un usuario o sistema, es necesario disponer de una identidad correctamente registrada.
Por ello, la gestión de identidades constituye la base sobre la que se construyen los controles de acceso dentro de la organización. Una identidad bien gestionada permite asignar permisos de forma adecuada y mantener un control efectivo sobre quién puede acceder a cada recurso.
En muchas organizaciones, este proceso se gestiona mediante soluciones de gestión de identidades y accesos, conocidas como sistemas IAM.
Aplicación en empresas de desarrollo de software
En empresas de desarrollo de software, este control es especialmente relevante. Los equipos técnicos trabajan con recursos sensibles como repositorios de código, entornos de desarrollo, plataformas de integración continua o sistemas de producción.
Una gestión adecuada de identidades permite controlar quién puede acceder a estos recursos y evitar accesos indebidos al código o a los sistemas.
En entornos donde se ofrecen soluciones SaaS, la gestión de identidades también se extiende a los usuarios finales de la aplicación. La organización debe gestionar tanto las identidades internas como las de los clientes que utilizan el servicio.
En soluciones on-premise, el software suele ejecutarse en la infraestructura del cliente. En este caso, la empresa desarrolladora gestiona las identidades internas de sus equipos, mientras que el cliente administra las identidades de los usuarios finales dentro de su propio entorno.
Aplicación en pequeñas empresas
Las pequeñas empresas también deben aplicar este control, aunque normalmente con procesos más simples.
Una práctica básica consiste en asignar cuentas individuales a cada empleado para acceder a los sistemas de la empresa. De esta manera es posible identificar quién accede a cada sistema y registrar las acciones realizadas.
También es importante crear y eliminar cuentas de forma controlada cuando una persona se incorpora o abandona la organización.
En muchas pequeñas empresas, la gestión de identidades se realiza directamente desde las herramientas utilizadas, como plataformas de correo, servicios cloud o aplicaciones empresariales.
Revisar periódicamente las cuentas existentes y los permisos asignados es una medida sencilla que ayuda a reducir riesgos de seguridad.
Beneficios de una buena gestión de identidades
Aplicar correctamente el control 5.16 aporta múltiples beneficios a la organización.
Permite reducir el riesgo de accesos no autorizados, facilita el cumplimiento de requisitos normativos y mejora la trazabilidad de las actividades realizadas en los sistemas.
Además, ayuda a mantener una gestión más ordenada de los usuarios y a garantizar que los accesos se mantengan alineados con las necesidades reales del negocio.
En definitiva, la gestión de identidades es una pieza clave para proteger la información y asegurar que los recursos digitales solo sean utilizados por las personas o sistemas que realmente lo necesitan.