Sigue este consejo para usarla correctamente
Índice
Desde aquí te dejamos el índice para que veas en qué artículo estás y cuáles son los siguientes de la saga ISO 27001.
1. Mantén la calma: Esto es la ISO 27001
2. ¿Mi startup debería cumplir con ISO 27001?
3. Cómo prepararte para la auditoría de certificación en ISO 27001
4. 7 beneficios de invertir en ISO 27001
5. Guía para implementar la ISO 27001
6. Creando un inventario en 4 sencillos pasos
7. Matriz de control de accesos: Qué es y cómo hacerla paso a paso
8. Plan de continuidad del negocio (BCP): Qué es y en qué consiste
9. 6 pasos para armar un plan de continuidad del negocio (BCP)
10. Plan de recuperación ante desastres (DRP): Qué es y cómo hacerlo [+Plantilla gratis]
11. Cómo hacer un descriptivo de roles y responsabilidades
12. Cómo hacer tu política de seguridad de la información
Uno de los desafíos que tienen las startup al cumplir con una regulación o una normativa como ISO 27001 es crear los documentos de seguridad desde cero. Hemos notado que uno de los que generan más dudas es la matriz de control de accesos.
Al mismo tiempo, sabemos que es más simple de lo que crees: una matriz de control de accesos no es más que una herramienta que te permite conocer y administrar los accesos y los permisos que los empleados tienen a la información de tu empresa.
Es una gran ayuda sobre todo para las startups que al no tener un área dedicada a esta gestión, terminan dando accesos de administrador al 80% de los empleados y exponiendo la información crítica y confidencial sin saberlo.
Si mientras leías esto te asomaste a Hubspot, Github o Slack y te diste cuenta que, en efecto, este es el caso de tu empresa, no te alarmes, esa es exactamente la razón por la que se creó esta herramienta.
¿Qué es una matriz de control de accesos?
Como ya lo mencionamos, formalmente, es una herramienta para conocer y administrar los accesos y los permisos que los empleados tienen a la información de tu empresa.
Aunque su definición puede quedar un poco ambigua todavía, no temas, es solo un documento con filas y columnas donde defines a qué aplicaciones puede ingresar tu equipo y qué pueden hacer una vez dentro (ver, editar, administrar, etc.). En general, ayuda a construir pautas para limitar y proteger el acceso a los datos críticos y confidenciales de una empresa.
Te preguntarás: ¿Por qué necesito una si todos en mi equipo son de confianza? La matriz de control de accesos es un requisito deseable para cumplir con normativas de seguridad de la información como ISO 27001, aunque no es obligatorio.
De todas formas, te aconsejamos implementarla ya que tarde o temprano un cliente te la pedirá en sus cuestionarios de ciberseguridad. Que no se te caiga un contrato por algo tan simple.
Cómo asignar los accesos y permisos al equipo
¿Te suena familiar? Al diseñar tu matriz, es muy probable que quieras asignar los accesos basándote en las personas, en lugar de basarte en sus roles. Este es un error muy frecuente y es fuertemente recomendable evitarlo para que la asignación de accesos sea todavía más fácil.
La recomendación es, entonces, asignar los accesos y permisos del personal en función de sus roles y responsabilidades.
Por ejemplo, quienes tengan el rol de Analista de Sistemas tendrán “X” accesos, quienes tengan el rol de Programador tendrán “Y” accesos, y así con cada puesto.
6 pasos para crear una matriz de accesos basada en roles
Ahora sí, pasemos a la acción. Si quieres crear tu propia matriz de accesos desde cero sigue estos pasos:
1. Listar los roles
En una tabla de excel haz una lista de los roles que existen en la empresa. Para ello puedes ayudarte del organigrama o de las descripciones de trabajo de cada puesto. Esta información irá en las filas de la matriz.
2. Agregar las aplicaciones que usa la empresa
En las columnas de la matriz agrega las aplicaciones y bases de datos que usa tu startup. Lo recomendable es listarlas todas, pero si no, como mínimo, deben figurar las que tienen información crítica o las que hayas definido en el alcance de este proyecto.
3. Crear el modelo de accesos y permisos para cada rol
Ahora es momento de definir un modelo a seguir de permisos y accesos. Para ello, marca con una cruz los permisos que idealmente deberían tener cada uno de los roles.
4. Conocer el panorama real de accesos y permisos
Revisemos cómo está la situación en la realidad. Dirígete a cada aplicación y exporta la lista de usuarios con acceso para comparar con tu matriz y poder resaltar aquellos permisos que debas corregir o agregar.
Hackmetrix Insight: recuerda que puedes buscar cómo exportar estas listas en la documentación de cada aplicación. En el caso de las bases de datos, puedes obtener este reporte mediante una consulta estándar.
5. Configurar y corregir los accesos
Toma todo lo que resaltaste y comienza a corregir o agregar los accesos y permisos. ¡Recuerda modificarlos tanto en la aplicación como en la matriz!
6. Controlar periódicamente
En el caso de las startups, recomendamos realizar controles a la matriz con una frecuencia mínima semestral o trimestral, porque muy probablemente en tres o seis meses, ya no tengas la misma cantidad de aplicaciones, o incluso la misma cantidad de empleados.
Así que por favor, ¡agéndalo!
Conclusión
Una matriz de control de acceso es un documento que visibiliza quiénes tienen acceso a qué plataformas y al mismo tiempo, qué pueden hacer una vez adentro.
Esto, con el objetivo de proteger la información crítica y confidencial que puede verse en riesgo si no se limita, documenta, comunica ni controla formalmente.
Lo importante y lo más recomendable al crear tu matriz es usar un modelo de accesos basado en roles. Esto quiere decir que antes de otorgar cualquier acceso, definas un esquema o un modelo en el que los asignes en función de cada rol.
De esta forma, la tarea de gestionar y controlar será más fácil ya que siempre sabrás qué accesos y permisos le corresponden a cada empleado.
Sigue estos 6 sencillos pasos y tendrás tu matriz lista para presentar a tus auditores.
Si hay otro documento que no entiendas o no sepas cómo crear, o si quieres saber cómo obtener más plantillas de políticas de seguridad, contáctanos para asesorarte.