Si el Control 5 se ocupa de qué cuentas existen, el sexto Control CIS se ocupa de la pregunta siguiente y decisiva: ¿qué puede hacer cada cuenta? El control de acceso define los permisos, y su principio rector es uno de los más importantes de toda la seguridad: el privilegio mínimo. Cada usuario, cada sistema, debe poder acceder únicamente a lo que necesita para su trabajo. Ni un permiso de más.
Por qué el privilegio mínimo lo cambia todo
Cuando una cuenta tiene más permisos de los que necesita, esos permisos de más no ayudan a su dueño —que no los usa— pero sí ayudan a quien comprometa esa cuenta. Si el atacante roba las credenciales de alguien de contabilidad y esa cuenta, por comodidad, tenía acceso a media empresa, el daño es enorme. Si esa cuenta solo podía tocar lo de contabilidad, el daño queda contenido. El privilegio mínimo no evita que te comprometan una cuenta; limita cuánto daño puede hacer quien la comprometa. Es la diferencia entre un incidente contenido y una catástrofe.
El otro pilar: autenticación multifactor (MFA)
El control de acceso también exige verificar de verdad que quien usa una cuenta es su dueño, y ahí la medida estrella es la autenticación multifactor (MFA): además de la contraseña, un segundo factor (un código, una app, una llave física). Su valor es brutal: aunque un atacante robe o adivine la contraseña, sin el segundo factor no entra. La MFA es, medida por medida, una de las defensas más eficaces que existen contra el robo de credenciales, que es una de las vías de ataque más comunes. Si tuvieras que elegir una sola cosa para mejorar tu seguridad hoy, MFA estaría en la conversación.
Qué pide en la práctica
- Privilegio mínimo: otorgar solo el acceso necesario, y revisarlo (los permisos tienden a acumularse con el tiempo).
- MFA donde importa: accesos remotos, cuentas administrativas, aplicaciones sensibles, y cada vez más, en todo.
- Control especial del acceso privilegiado: las cuentas de administrador se gestionan con rigor extra —es el terreno de la gestión de accesos privilegiados (PAM)—.
- Revisar accesos periódicamente: quitar lo que sobra, sobre todo cuando alguien cambia de rol y arrastra permisos viejos.
El aterrizaje honesto
El enemigo del privilegio mínimo es la comodidad: dar acceso amplio "para que no molesten pidiendo permisos" es fácil y tentador, y es exactamente cómo se acumula el riesgo. La disciplina de dar poco y ampliar solo cuando se justifica es más trabajo al principio y muchísimo menos daño después. Y activar MFA, que a veces genera resistencia por la fricción del segundo paso, es de las decisiones con mejor retorno de seguridad que una organización puede tomar. Junto con la gestión de cuentas, este control es el corazón de tratar la identidad como el perímetro real de tu seguridad.