Ir al contenido
SGSI.online

A.5.16 Gestión de identidades: gestión de identidades y cuentas multiinquilino para MSPS

A medida que la identidad reemplaza el perímetro de la red, los MSP deben demostrar que cada cuenta y privilegio es deliberado, único y fácil de revocar. La norma ISO 27001 A.5.16 convierte la gestión de identidades en un control auditable: clientes y auditores ahora esperan claridad, evidencia y confianza en cómo las identidades abarcan múltiples inquilinos. Un enfoque sólido genera confianza, simplifica el cumplimiento normativo y convierte la seguridad en una ventaja comercial.

Autor
Marcos Sharron
Actualizado diciembre 1, 2025
Estrellas 4 / 5

Por qué la gestión de identidades se volvió esencial para los MSP

La gestión de identidades se ha vuelto esencial para los MSP, ya que un pequeño número de identidades de ingenieros y herramientas ahora median el acceso a muchos clientes a la vez, convirtiendo cualquier cuenta mal gestionada en un posible incidente multicliente. Si no puede demostrar que cada identidad y privilegio es deliberado, apropiado y fácil de revocar, los clientes, los auditores y su propia dirección lo tratarán como un riesgo crítico y sistémico, en lugar de un detalle operativo menor.

Esta información es de naturaleza general y no constituye asesoramiento legal o regulatorio.

La identidad es ahora la puerta de entrada a cada cliente inquilino

La identidad es ahora la puerta de entrada a cada inquilino de cliente, ya que casi todas las acciones de sus ingenieros o herramientas se ejecutan a través de una cuenta, un rol o un token. Cuando estas identidades abarcan varios inquilinos, un diseño deficiente o una gobernanza deficiente convierten cada uno en un posible punto de entrada a varios entornos de clientes a la vez.

Para un MSP, la identidad ha reemplazado eficazmente el perímetro de red tradicional, ya que prácticamente todas las acciones en un entorno de cliente ahora se realizan a través de una cuenta, un rol o un token que puede traspasar los límites de los inquilinos. Análisis independientes de los riesgos en la nube y del proveedor, como la guía europea de seguridad de la red y de la información sobre amenazas internas en la nube, también destacan cómo la identidad y las rutas de acceso se han convertido en la superficie de control práctica en entornos multiinquilino.

En modelos más antiguos, más centrados en el perímetro, uno podía tener la tranquilidad de que una VPN, una regla de firewall y un pequeño grupo de ingenieros de confianza mantenían la seguridad. Hoy en día, las plataformas en la nube, el teletrabajo y los planos de gestión compartidos facilitan la operación a escala, pero también implican que cada privilegio adicional que tenga su equipo en un inquilino puede aumentar la exposición en muchos otros. Al superponer la norma ISO 27001:2022 Anexo A.5.16, que eleva la gestión de identidades a un control explícito, el cambio es aún más evidente: la norma complementaria ISO/IEC 27002:2022 introduce el Anexo A.5.16 como un control de gestión de identidades independiente, lo que refuerza explícitamente la necesidad de tratar las identidades y sus ciclos de vida como objetos de seguridad de primera clase, en lugar de detalles de implementación incidentales.

Cuando el diseño de la identidad va a la zaga del crecimiento, el riesgo crece en las sombras.

Los clientes también han notado este cambio. Los compradores con experiencia en seguridad ahora preguntan detalladamente qué personal de MSP puede acceder a sus sistemas, cómo se crean y eliminan esas cuentas y cómo evitar que el incidente de un cliente se propague a otros. Los controles de identidad ya no son solo "buena higiene"; se están convirtiendo rápidamente en elementos clave para captar y conservar a los clientes que se preocupan por la norma ISO 27001 o marcos similares.

Por qué los clientes y auditores han comenzado a preocuparse

A los clientes y auditores les importa la gestión de identidades, ya que las cuentas de sus ingenieros se encuentran dentro de su cadena de suministro y pueden afectar directamente la confidencialidad, integridad y disponibilidad de sus sistemas y datos. Si el control de estas identidades es deficiente, cualquier incidente en su entorno puede convertirse rápidamente en su propio incidente, independientemente de dónde se haya producido la vulneración inicial.

Desde la perspectiva de su cliente, usted forma parte de su entorno extendido. Si un atacante compromete una de sus cuentas de ingeniero y la utiliza para manipular su inquilino, el impacto es muy real para él, incluso si el primer acceso fue en sus sistemas. Por ello, muchos reguladores y aseguradoras ahora tratan el acceso a MSP como un riesgo de alto valor en lugar de un detalle técnico de bajo nivel. Por ejemplo, las directrices sobre terceros y externalización en el sector financiero, como las directrices de externalización de la Autoridad Bancaria Europea, definen explícitamente el acceso y la gobernanza de los proveedores como un riesgo operativo sustancial que requiere la atención de la junta directiva.

En la encuesta sobre el estado de la seguridad de la información de 2025 de ISMS.online, aproximadamente el 41 % de las organizaciones mencionaron la gestión del riesgo de terceros y el seguimiento del cumplimiento de los proveedores como uno de los principales desafíos de seguridad.

Los equipos de auditoría han seguido el mismo camino. Mientras que las auditorías anteriores de la norma ISO 27001 se centraban principalmente en las listas de usuarios internos y en unas pocas revisiones de acceso, la norma A.5.16 anima a los auditores a formular preguntas más precisas. Quieren saber si cada identidad de MSP es única, si se puede rastrear quién autorizó el acceso a cada inquilino, con qué rapidez se elimina el acceso cuando los usuarios abandonan la organización y si se revisan periódicamente los privilegios en función de los roles actuales. Las directrices de acreditación y certificación para la norma ISO/IEC 27001, como el material de IAF sobre auditorías de la norma ISO/IEC 27001, refuerzan este enfoque en la trazabilidad, la singularidad y la evidencia sólida en torno a los controles relacionados con la identidad.

Esta es también la razón por la que la identidad se ha convertido en un tema de conversación en ventas y renovaciones. Los grandes clientes potenciales suelen solicitar descripciones detalladas de su modelo de gobernanza de identidad antes de firmar. Los clientes existentes pueden exigir garantías de que ha retirado las cuentas de administrador compartidas o ha reforzado las rutas de acceso heredadas. Si puede responder con seguridad y mostrar evidencia estructurada, la identidad se convierte en un factor generador de confianza. Si no puede, se convierte en una fuente recurrente de fricción y retrasos.

El beneficio comercial de tener una identidad correcta

Una identidad correcta no solo reduce el riesgo, sino que también genera ventajas comerciales al hacer que su servicio sea más confiable, escalable y fácil de explicar a quienes toman decisiones sin conocimientos técnicos. Cuando la identidad es un control activo en lugar de una maraña de cuentas oculta, puede usarla como parte de su propuesta de valor, en lugar de algo que espera que los clientes no pregunten.

La encuesta ISMS.online 2025 indica que los clientes esperan cada vez más que los proveedores se alineen con marcos formales como ISO 27001, ISO 27701, GDPR, Cyber ​​Essentials, SOC 2 y estándares de IA emergentes.

Es fácil considerar todo esto como una simple sobrecarga de cumplimiento, pero los MSP que adoptan la norma A.5.16 como un reto de diseño en lugar de un simple requisito de auditoría están mejor posicionados para obtener beneficios tangibles. Un modelo de identidad claro y estandarizado para todos los usuarios puede facilitar la incorporación de nuevos ingenieros, reducir el tiempo dedicado a solucionar problemas de acceso y ofrecer al departamento de ventas una explicación convincente cuando se les pregunta por qué se les debe confiar sistemas críticos, aunque las ganancias exactas varían entre organizaciones.

Cuando puede decir: "Aquí está nuestro catálogo de roles, así es como lo asignamos entre los usuarios, así es como eliminamos el acceso cuando el personal cambia de rol y así es como lo revisamos", ya no solo discute sobre el precio. Ofrece garantía. Una plataforma como ISMS.online puede ayudarle a expresar y evidenciar ese modelo de forma que clientes y auditores lo entiendan, sin obligarle a convertirse en un especialista en estándares a tiempo completo. La identidad se convierte en algo de lo que puede hablar con total confianza.

Contacto


Lo que realmente exige la norma ISO 27001:2022 A.5.16

La norma ISO 27001:2022 A.5.16 exige que se demuestre que cada identidad dentro del alcance se crea deliberadamente, se le asignan los derechos adecuados, se revisa periódicamente y se elimina con prontitud cuando ya no es necesaria, en lugar de aparecer por costumbre o conveniencia. Para los MSP, esta disciplina debe aplicarse de forma coherente en todos sus sistemas internos y en todos los clientes relevantes a los que su personal o herramientas puedan acceder, no solo en los sistemas de su propiedad. El texto de control complementario de la norma ISO/IEC 27002:2022 A.5.16 lo explicita al exigir políticas y procesos que rijan la identificación, la asignación y la gestión del ciclo de vida de las identidades utilizadas para acceder a la información y los servicios.

En esencia, A.5.16 le exige demostrar que las identidades y sus derechos de acceso asociados se gestionan deliberadamente a lo largo de su ciclo de vida. Para un MSP, esto significa ir más allá de la creación de cuentas ad hoc o de enfoques de "darles lo que necesitan por ahora", y, en su lugar, definir reglas claras sobre cómo se crean, modifican, revisan y eliminan las identidades en todos los entornos que utiliza. No necesita ser un especialista en ISO; necesita una forma repetible de gestionar las identidades que auditores y clientes puedan comprender.

En la encuesta ISMS.online de 2025, casi todas las organizaciones afirmaron que lograr o mantener certificaciones de seguridad como ISO 27001 o SOC 2 es una máxima prioridad.

Las obligaciones básicas en A.5.16

El A.5.16 puede traducirse en un pequeño conjunto de obligaciones concretas, fáciles de describir, pero que exigen una implementación consistente en múltiples inquilinos. Para los MSP, estas obligaciones deben extenderse más allá de los sistemas internos a todos los lugares donde su personal y herramientas pueden actuar en los entornos del cliente, incluyendo las consolas en la nube y las plataformas de gestión.

Si reducimos el artículo A.5.16 a lo esencial, se destacan cuatro obligaciones:

  • Asegúrese de que cada identidad que pueda acceder a la información o los sistemas dentro del alcance sea única y rastreable hasta una persona o función real.
  • Registre, apruebe y cree cada identidad a través de un proceso definido antes de conceder el acceso por primera vez.
  • Asigne derechos de acceso en función de roles documentados o necesidades comerciales, en lugar de hábitos o preferencias individuales.
  • Revisar las identidades y los derechos en un ciclo planificado, ajustándolos o revocándolos cuando ya no sean apropiados.

Para un MSP, esto no se limita a su inquilino interno de Microsoft 365 ni a su sistema de tickets. Incluye las cuentas y roles que su personal utiliza dentro de cada inquilino de cliente, las cuentas de servicio de las que dependen sus herramientas e incluso las identidades genéricas o compartidas que aún pueda utilizar por motivos históricos. La norma A.5.16 no prohíbe necesariamente las cuentas no personales, pero sí exige que, cuando existan, su uso se minimice, se controle estrictamente y sea totalmente rastreable. Los comentarios prácticos de la norma ISO 27002, como la guía orientada a la comunidad sobre la norma ISO/IEC 27002, destacan que las cuentas de servicio o compartidas son aceptables cuando están claramente justificadas, reguladas y auditables.

Desde un punto de vista práctico, debe poder responder preguntas como "¿quién solicitó este acceso, quién lo aprobó, cuándo se otorgó, qué permite y cuándo se revisó por última vez?". Esta es una pregunta más exigente que "tenemos una lista de usuarios", pero también es el tipo de pregunta que ayuda a sus clientes a dormir tranquilos.

Cómo se relaciona A.5.16 con otros controles de la norma ISO 27001

Comprender la relación entre el punto A.5.16 y los controles cercanos facilita enormemente el diseño de un sistema coherente que satisfaga a los auditores sin duplicar esfuerzos. Para los MSP, los vínculos más importantes son con los puntos A.5.17, A.5.18 y A.8.2, que abarcan la información de autenticación, los derechos de acceso y las cuentas privilegiadas, respectivamente.

La gestión de identidades no es un tema aislado. El apartado A.5.16 está estrechamente vinculado a varios otros controles de la revisión de 2022 de la norma ISO 27001, y los auditores suelen considerarlos conjuntamente. El apartado A.5.17 (información de autenticación) se centra en cómo proteger contraseñas, tokens, claves y otros autenticadores. El apartado A.5.18 (derechos de acceso) aborda la concesión, modificación y revocación de derechos de acceso. El apartado A.8.2 se centra específicamente en los derechos de acceso privilegiados, como las cuentas administrativas o de nivel raíz. La guía de mapeo y las descripciones de los controles de la norma ISO 27002, incluidas las resumidas en compendios independientes de la norma, tratan estas áreas como aspectos distintos pero coordinados del control de acceso.

Una forma de considerar este grupo es que A.5.16 responde a "¿Quiénes existen en el sistema y qué hemos decidido que pueden hacer?", A.5.17 responde a "¿Cómo comprobamos que realmente son ellos cuando inician sesión?", y A.8.2 responde a "¿Cómo tratamos con especial cuidado a las cuentas más poderosas?". Al diseñar un modelo de identidad multiusuario, se diseña en la práctica cómo funcionarán estos tres controles para los ingenieros y las herramientas.

Comprender estas relaciones le ayuda a evitar duplicaciones y lagunas. Por ejemplo, si adopta el acceso privilegiado justo a tiempo para ingenieros, está abordando simultáneamente el ciclo de vida de la identidad (A.5.16), la concesión de acceso (A.5.18), los derechos de acceso privilegiado (A.8.2) y la protección del autenticador (A.5.17). Cuanto más claramente pueda demostrar cómo sus patrones satisfacen cada uno de estos requisitos, más fáciles serán las auditorías y las conversaciones con los clientes.

¿Quién y qué está dentro del alcance de la gestión de identidad?

El punto A.5.16 se aplica a toda identidad que pueda influir en la información o los servicios incluidos en el alcance, independientemente de si la cuenta pertenece técnicamente a su organización o a un cliente. Para los MSP, el alcance debe abarcar al personal interno, las herramientas y la automatización de todos los usuarios relevantes, no solo a un pequeño grupo de usuarios internos.

Un error común es asumir que el punto A.5.16 solo se refiere a las cuentas de empleados en sistemas de su propiedad. Para un MSP, este alcance es demasiado limitado. Cualquier identidad utilizada por su organización que pueda influir en la información o los servicios dentro de los límites de su sistema de gestión de seguridad de la información debe considerarse, independientemente de si la cuenta técnicamente le pertenece a usted o a un cliente.

Esto incluye cuentas de ingenieros con nombre dentro de los inquilinos de la nube del cliente, roles delegados asignados a sus identidades corporativas, cuentas de servicio utilizadas por herramientas de backup o monitorización, e identidades de automatización utilizadas por scripts o plataformas de integración. También incluye cuentas compartidas o genéricas que aún puedan existir en configuraciones heredadas. Incluso si planea eliminarlas gradualmente, debe considerarlas dentro del alcance hasta que desaparezcan.

Cuanto más cuidadosamente defina este alcance desde el principio, menos probable será que se sorprenda más adelante cuando un auditor o cliente le pregunte sobre una categoría de cuentas que no había considerado. Un alcance claro también facilita la decisión de dónde invertir en automatización y dónde puede confiar con seguridad en procesos manuales bien controlados.



ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Comenzar


Reformulación de A.5.16 para la realidad de MSP multiinquilino

Reformular la norma A.5.16 para la realidad de los MSP multiinquilino implica abordar el radio de expansión entre inquilinos y el riesgo de la cadena de suministro compartida como problemas de diseño de primera clase. Su interpretación del control debe reflejar que una identidad puede abarcar varios entornos de clientes y, por lo tanto, conlleva un mayor riesgo sistémico que en una empresa monoinquilino.

Una vez que comprenda la redacción formal de A.5.16, el siguiente paso es reinterpretarla en el contexto de un proveedor que opera en múltiples entornos de clientes. Los riesgos y las responsabilidades son diferentes cuando una de sus identidades puede conectarlo con varios inquilinos con un solo clic, y su modelo de identidad debe reflejar esa diferencia de escala e impacto.

Comprender el perfil de riesgo multiinquilino de MSP

El perfil de riesgo de un MSP se define por la posibilidad de que una sola identidad de ingeniero o cuenta de herramienta se use indebidamente para acceder a varios inquilinos de clientes a la vez, en lugar de perjudicar solo a una organización a la vez. Esto hace que el radio de acción y la exposición compartida sean las preguntas principales que debe abordar su diseño de identidad, en lugar de ser una preocupación secundaria.

La mayoría de las organizaciones que participaron en la encuesta ISMS.online 2025 afirmaron que ya se habían visto afectadas por al menos un incidente de seguridad relacionado con un tercero o un proveedor en el último año.

En una empresa tradicional de un solo inquilino, el impacto de una cuenta de administrador comprometida suele limitarse a una sola organización. En un MSP, una identidad de ingeniero comprometida puede, en algunos modelos de servicio, otorgar derechos a docenas o incluso más inquilinos de clientes, especialmente si históricamente se ha priorizado la comodidad sobre la separación estricta. Los análisis de ataques a la cadena de suministro contra MSP, como los casos prácticos publicados sobre ataques dirigidos a MSP, muestran cómo el uso indebido de las credenciales de proveedor puede propagarse simultáneamente a varios entornos de clientes.

Replantear la norma A.5.16 para este mundo implica pensar en términos de radio de acción y exposición compartida. Es necesario saber qué identidades pueden cruzar los límites de los inquilinos, qué permisos tienen en cada entorno y cómo evitar que un fallo en un lugar se propague a otros. Esto incluye considerar cómo sus propios inquilinos en la nube, herramientas de gestión e infraestructura local podrían utilizarse como trampolines para acceder a los clientes si un atacante obtuviera el control.

También requiere revisar las prácticas informales. Las cuentas compartidas de "administrador de MSP", los perfiles VPN heredados reutilizados entre clientes o las excepciones no documentadas para ingenieros específicos pueden socavar la imagen de identidad limpia que A.5.16 espera. Revelar estos problemas sin culpar a nadie es el primer paso para diseñar un sistema más robusto.

Aclarar la propiedad de las identidades entre MSP, clientes y proveedores

Aclarar la propiedad de las identidades entre MSP, clientes y proveedores es esencial, ya que A.5.16 espera que usted sepa quién aprueba el acceso, quién opera las cuentas y quién es responsable en caso de uso indebido de dichas identidades. Sin esta claridad, corre más riesgos de los que cree y le resultará difícil responder a preguntas básicas de diligencia debida.

La realidad multiinquilino también difumina las fronteras entre la propiedad de cada identidad. Algunas cuentas están claramente controladas por usted, como las cuentas de su proveedor de identidad corporativa y los roles que desempeñan en los inquilinos de los clientes. Otras pueden ser creadas y administradas por clientes, pero utilizadas por su personal. Otras pueden ser administradas por proveedores externos cuyas herramientas usted revende o integra.

Una interpretación viable de A.5.16 para MSP debe definir la propiedad y la responsabilidad en todos estos aspectos. Para cada categoría, debe poder indicar quién aprueba los nuevos accesos, quién crea y configura la identidad, quién la revisa periódicamente y quién es responsable en caso de uso indebido. Estas respuestas deben ser coherentes con sus contratos, las expectativas de los clientes y sus evaluaciones de riesgos.

Escribir esto en un lenguaje sencillo, junto con diagramas que muestran dónde residen las identidades y cómo atraviesan los sistemas, puede ser sorprendentemente eficaz. Proporciona a sus equipos un modelo mental compartido y ofrece a clientes y auditores una forma de comprender un tema complejo sin perderse en detalles técnicos.

Aspectos regulatorios y jurisdiccionales que no puedes ignorar

Los aspectos regulatorios y jurisdiccionales son importantes porque las identidades pueden conectar regiones y conjuntos de datos donde se aplican diferentes normas de privacidad y acceso. Los reguladores esperan cada vez más que los proveedores de servicios gestionados (MSP) demuestren que el acceso transfronterizo o sensible está justificado, registrado y restringido, por lo que un diseño de identidad que ignore estos límites genera problemas evitables.

Muchos MSP trabajan con clientes en sectores regulados o en varios países, donde la gestión de identidades se entrelaza con los requisitos de privacidad, residencia de datos y acceso transfronterizo. Si el personal de una jurisdicción puede acceder a sistemas que contienen datos de otra, los reguladores podrían exigirle que demuestre cómo controla y justifica dicho acceso, especialmente cuando las leyes locales restringen quién puede ver qué datos y desde dónde. Las directrices europeas de protección de datos para responsables y encargados del tratamiento, como las del Supervisor Europeo de Protección de Datos, hacen hincapié en la gobernanza, el registro y la claridad contractual para los encargados del tratamiento que gestionan datos transfronterizos o sensibles en nombre de los responsables del tratamiento.

Según la encuesta ISMS.online 2025, alrededor de dos tercios de las organizaciones dicen que la velocidad y el volumen de los cambios regulatorios están haciendo que el cumplimiento sea más difícil de mantener.

Al rediseñar la identidad según la norma A.5.16, conviene preguntarse: ¿qué ingenieros en qué ubicaciones pueden acceder a qué clases de datos, bajo qué condiciones y cómo se documenta esto? Esto es especialmente relevante cuando los contratos con los clientes o la legislación local exigen que nunca se acceda a ciertos datos desde determinadas regiones, o que el acceso se limite a personas designadas con autorizaciones específicas.

Reunir a sus equipos de privacidad, legal y seguridad para analizar estas cuestiones desde la perspectiva de la identidad puede evitar sorpresas desagradables en el futuro. También ayuda a evitar crear una arquitectura de identidad teóricamente sólida que resulte incompatible con las realidades regulatorias, especialmente para los servicios transfronterizos.



Diseño de un modelo de gestión de identidades multiinquilino

Diseñar un modelo de gestión de identidades multiinquilino implica elegir una arquitectura, un conjunto de herramientas y un conjunto de patrones de gestión de fallos que implementen identidades únicas con mínimos privilegios en todos los inquilinos de los clientes sin sobrecargar a los ingenieros. El modelo debe ser intencional, documentado y práctico para operar a medida que su MSP crece y cambia.

Con el panorama de riesgos y las responsabilidades claras, puede empezar a diseñar un modelo de identidad multiinquilino práctico y alineado con la norma A.5.16. Aquí es donde decide cómo se integran las identidades desde su propio directorio a los inquilinos de los clientes, qué herramientas son esenciales para su entorno y cómo gestionar situaciones excepcionales sin comprometer el diseño en su conjunto.

Elección de una arquitectura de identidad multiinquilino

Su arquitectura de identidad debe especificar claramente dónde residen las identidades, cómo asumen roles en los inquilinos del cliente y con qué facilidad se puede revocar el acceso en todos esos entornos cuando cambia el personal. La mayoría de los MSP optan por un modelo radial, un modelo de cuenta por inquilino o un modelo híbrido que combina elementos de ambos.

A grandes rasgos, los MSP suelen elegir entre tres patrones. En un modelo radial, su propio proveedor de identidades es el centro y los ingenieros utilizan las identidades de ese directorio para asumir roles en múltiples inquilinos de clientes. En un modelo por inquilino, cada inquilino de cliente tiene su propio conjunto de cuentas para su personal, a veces con directorios locales. Los híbridos combinan el control central para algunos aspectos con el aislamiento por inquilino para otros.

Una simple comparación puede ayudar a enmarcar la decisión:

Enfoque | Beneficio principal | Riesgo principal
—|—|—
Concentrador y radio | Políticas centralizadas y fácil desvinculación | Mayor radio de ataque multiinquilino en caso de vulneración del concentrador
Por inquilino | Mayor aislamiento entre clientes | Más difícil de gestionar a escala y mantener la coherencia
Híbrido | Equilibra el control central con los límites locales | Requiere mayor esfuerzo de diseño y documentación

En resumen, la arquitectura radial optimiza el control central, la arquitectura por inquilino maximiza el aislamiento y la arquitectura híbrida equilibra ambos aspectos, a costa de un mayor esfuerzo de diseño y documentación. Las guías profesionales de auditoría de TI, como las publicadas por ISACA y organismos similares, suelen enfatizar que a los auditores les preocupa menos el patrón elegido y más que se pueda explicar con claridad, demostrar cómo reduce el riesgo y demostrar que se aplica de forma consistente.

Su elección debe basarse en su tamaño, las expectativas de sus clientes, las plataformas que soporta y su predisposición a la complejidad. Sea cual sea la arquitectura que elija, A.5.16 espera que sea intencional y esté documentada. Debe poder demostrar por qué la eligió, cómo mantiene las identidades únicas y trazables, y cómo fluyen los eventos del ciclo de vida a través de ella. Esta documentación no tiene que ser extensa, pero sí coherente.

Colocando las herramientas adecuadas en el centro

Colocar las herramientas adecuadas en el centro de su modelo garantiza una cadena única y fiable desde los eventos empresariales (incorporaciones, cambios, bajas y nuevos clientes) hasta los cambios de cuentas, roles y evidencias. Sin esto, la identidad se convierte rápidamente en una mezcla opaca de hábitos y excepciones, difícil de defender ante una auditoría.

Una vez que se cuenta con una arquitectura conceptual, es necesario decidir qué herramientas ocupan la posición de "fuente de verdad" para la identidad y el acceso. Para algunos MSP, este será el proveedor de identidad corporativa. Para otros, puede ser una plataforma de gobernanza de identidad, una solución de gestión de acceso privilegiado o incluso un sistema de tickets que actúa como registro fidedigno de quién solicitó y aprobó qué.

La clave es que exista una cadena clara desde los eventos empresariales (la incorporación, el cambio de rol o la salida de alguien; la incorporación de un nuevo cliente; un cambio de contrato) hasta los cambios de identidad en sus diversos sistemas e inquilinos. Si su sistema de RR. HH. o plataforma de servicios profesionales es donde se generan nuevos roles, necesita saber cómo se integra esto en su proveedor de identidad (IdP), en los inquilinos de los clientes y en su registro de evidencias.

Aquí también es donde una plataforma de gestión de seguridad de la información como ISMS.online puede ser útil. Al vincular sus políticas, catálogos de roles, diagramas y registros de aprobaciones con controles específicos como el A.5.16, le permite comprobar en un solo lugar si el modelo diseñado se está siguiendo realmente y demostrar dicha vinculación cuando los auditores o clientes soliciten pruebas.

Diseño para el fracaso y la continuidad

Diseñar para fallos y continuidad implica planificar cómo se comportarán las identidades cuando las herramientas, el personal o la infraestructura clave no estén disponibles, para proteger a los clientes incluso en situaciones de estrés. Esto requiere estrategias de recuperación controladas y procedimientos de recuperación que sigan la intención de A.5.16 en lugar de ignorarla.

Ningún modelo de identidad está completo si solo funciona cuando todo lo demás funciona correctamente. También debe planificar para situaciones en las que su proveedor de identidad no esté disponible, una plataforma de gestión de claves no funcione o un ingeniero con conocimientos críticos desaparezca repentinamente. Estas situaciones son incómodas, pero ignorarlas a menudo conduce a soluciones improvisadas que socavan sus controles.

Un diseño resiliente incluirá rutas de acceso de emergencia claramente definidas que respeten el principio del mínimo privilegio. Esto podría implicar un número reducido de cuentas de emergencia con protecciones muy sólidas y procedimientos estrictos, o procesos fuera de línea preaprobados para escenarios específicos. Es fundamental documentar, supervisar y revisar su existencia y uso para evitar su uso indebido oculto con el tiempo.

Pensar en estos modos de fallo con antelación e incorporarlos en su sistema de gestión de seguridad de la información facilita enormemente la explicación a clientes y auditores sobre cómo gestionar una crisis sin obviar todos sus controles de identidad cuidadosamente diseñados. Además, le da a su equipo la confianza de que puede actuar bajo presión sin tener que inventar atajos arriesgados.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


Patrones de separación de cuentas de administrador, RBAC y privilegios mínimos

El control de acceso basado en roles, el mínimo privilegio y la clara separación entre cuentas estándar, privilegiadas y de emergencia convierten su arquitectura de identidad de alto nivel en un comportamiento cotidiano y concreto que limita el alcance de ataques multiinquilino cuando algo falla. Gracias a estos patrones, A.5.16 se convierte en un control activo para los MSP, en lugar de una política archivada.

Una vez que su modelo general esté claro, puede avanzar un nivel hacia abajo, adentrándose en los patrones que rigen el acceso diario. El control de acceso basado en roles, el mínimo privilegio y la cuidadosa separación entre cuentas estándar, privilegiadas y de emergencia son las herramientas que convierten los principios de A.5.16 en un diseño práctico que los ingenieros pueden seguir y los auditores pueden probar.

Creación de un catálogo de roles para todo el MSP

Un catálogo de roles para todo el MSP debería ofrecerle un conjunto reducido y bien definido de roles que se asignan de forma coherente a los permisos en todas las plataformas e inquilinos, de modo que los ingenieros tengan acceso por responsabilidades, en lugar de por historial personal o excepciones informales. Además, facilita la explicación de su modelo a personas no especializadas.

Un catálogo de roles es simplemente una lista de roles definidos, cada uno con un propósito claro y derechos asociados. Para un MSP, los roles típicos podrían incluir soporte de primera línea, ingeniero sénior, analista de seguridad, ingeniero de proyectos y gerente de cuentas. Cada rol debe describirse en términos que tanto el personal comercial como el técnico comprendan, con ejemplos de los tipos de tareas que abarca.

El valor de un catálogo reside en que ofrece un punto de partida estándar. En lugar de decidir el acceso inquilino por inquilino y persona por persona, se decide una vez a nivel de rol y luego se asignan esos roles a permisos específicos de la plataforma en cada entorno. Esto facilita enormemente demostrar que el acceso está vinculado a responsabilidades, no a relaciones personales ni a accidentes históricos.

Al crear un catálogo de este tipo, conviene empezar poco a poco. Identifique los roles que cubren a la mayor parte de su personal, defínalos bien, asigne funciones a una o dos plataformas principales y perfeccione a partir de ahí. Así podrá gestionar las excepciones como variaciones documentadas, en lugar de inventar nuevos roles para cada caso inusual. Con el tiempo, podrá añadir más roles o perfeccionar los existentes a medida que sus servicios crezcan.

Separación del acceso estándar, privilegiado y de ruptura de cristal

Separar el acceso estándar, privilegiado y de emergencia permite aplicar diferentes controles, ciclos de supervisión y revisión al trabajo diario, la actividad administrativa y las emergencias reales. Esta clara separación también ayuda a los ingenieros a comprender qué identidad deben usar en cada situación y qué nivel de escrutinio esperar.

En muchos MSP, se utiliza la misma identidad de ingeniero para el trabajo diario y para acciones con privilegios elevados en los inquilinos de los clientes. Esto puede parecer conveniente, pero difumina la responsabilidad y dificulta la aplicación de medidas de seguridad adicionales a operaciones sensibles. La norma A.5.16 y sus controles relacionados le animan a definir límites más claros para proteger los entornos de los clientes de forma más eficaz.

Un patrón práctico que adoptan muchos MSP se ve así:

  • Identidades estándar para el trabajo diario y tareas de soporte de bajo riesgo.
  • Identidades o roles privilegiados para tareas administrativas, idealmente con elevación justo a tiempo.
  • Cuentas de emergencia reservadas estrictamente para emergencias, con mayor protección y supervisión.

Las identidades estándar gestionan tickets rutinarios y cambios de bajo riesgo, y se supervisan mediante el registro normal. Las identidades privilegiadas se utilizan solo cuando es necesario, se elevan temporalmente y están sujetas a una revisión más exhaustiva. Las cuentas de emergencia están estrictamente controladas, se utilizan con poca frecuencia bajo condiciones definidas y siempre se revisan después de su uso para garantizar que las emergencias no se conviertan en puertas traseras.

Probar que su diseño realmente contiene el radio de explosión

Solo sabrá que sus patrones de acceso y separación basados ​​en roles funcionan cuando haya probado su comportamiento en escenarios de fallo realistas, como dispositivos comprometidos o credenciales filtradas. Sin estas pruebas, podría depender de un diseño que parece sólido en teoría, pero que no ofrece protección contra incidentes reales.

Los roles y patrones de separación pueden verse excelentes en diagramas, pero funcionar mal bajo presión. Para evitar una falsa sensación de seguridad, debe comprobar periódicamente si su diseño realmente limita el impacto de una cuenta comprometida o un escenario de uso indebido como espera, mediante ejercicios técnicos y organizativos.

Esto podría implicar ejercicios prácticos donde se repasan incidentes hipotéticos: el robo del dispositivo de un ingeniero; un atacante accede a una bóveda de contraseñas; o la filtración de un token privilegiado. También podría implicar simulaciones técnicas, utilizando herramientas o revisión manual para ver a qué usuarios y sistemas puede acceder una identidad determinada y qué puede hacer allí.

El objetivo no es romper el diseño por sí mismo, sino encontrar puntos débiles antes de que lo haga un atacante. Al ajustar roles, privilegios o patrones como respuesta, registre esos cambios y sus motivos. Con el tiempo, esto se convierte en una prueba contundente de que está tratando la identidad como un control vivo, no como una configuración estática congelada el día de la certificación.



Acceso justo a tiempo entre inquilinos para quienes se incorporan, se mudan y se van

Los procesos de incorporación, mudanza y salida, así como los procesos justo a tiempo, son donde su modelo de identidad se adapta a los cambios diarios, por lo que deben mantener las cuentas alineadas con la realidad de todos los usuarios sin generar fricciones excesivas. El A.5.16 se evalúa a menudo por la eficacia de estos flujos en la práctica, no solo por su descripción en políticas o diagramas.

Un modelo de identidad bien diseñado fracasa si no se mantiene actualizado a medida que las personas se incorporan, cambian de rol y se marchan. Para los MSP, el proceso de incorporación, traslado y salida es donde el diseño teórico se topa con la compleja realidad: rotación de personal, cambios organizacionales, nuevos clientes y proyectos urgentes que atraen a las personas a nuevos inquilinos con poca antelación.

Diseño de flujos robustos de incorporación-descenso-descenso

Los flujos robustos de incorporación, traslado y salida parten de eventos empresariales fiables y los traducen consistentemente en cambios de identidad en cada inquilino relevante, en lugar de dejar que los ingenieros recuerden actualizaciones puntuales. Esto implica definir qué debe suceder con las incorporaciones, traslados y salidas, y automatizar y repetir estos pasos al máximo.

Un proceso JML sólido comienza anclando los cambios de identidad en eventos confiables. Las incorporaciones deben ser activadas por RR. HH. o la incorporación contractual; las transferencias, por cambios de rol o responsabilidad aprobados; y las salidas, por procesos formales de salida o rescisiones de contrato. Cada tipo de evento debe corresponder a acciones claras en sus sistemas y en cada inquilino del cliente que el ingeniero o la herramienta tocan.

Una forma sencilla de hacer esto tangible es definir una secuencia corta y repetible para cada etapa:

Carpinteros

  • Crear identidades en el directorio corporativo.
  • Asignar roles estándar y acceso base.
  • Otorgar acceso específico a los inquilinos cuando los contratos lo permitan.
  • Capture aprobaciones y registre fechas de vigencia.

en el Sur de Florida

  • Revise los roles actuales y el acceso de los inquilinos.
  • Agregue los roles requeridos y elimine aquellos que ya no sean necesarios.
  • Actualizar las membresías de grupos y los permisos de herramientas.
  • Registrar las aprobaciones y las justificaciones de los cambios.

Dejando

  • Revocar inmediatamente todo acceso de inquilinos y herramientas.
  • Deshabilitar o eliminar cuentas en el directorio corporativo.
  • Eliminar de grupos privilegiados y roles de administrador.
  • Confirmar la finalización y conservar evidencia para la auditoría.

La ventaja de la gestión multiinquilino es que estos pasos suelen repetirse en múltiples entornos y herramientas. Automatizar las partes predecibles, como las actualizaciones de miembros de grupos o las aprobaciones de flujos de trabajo, y limitar la intervención humana a casos excepcionales, ayuda a mantener la coherencia sin sobrecargar a los equipos ni depender de la memoria individual. La literatura sobre gobernanza de identidades, por ejemplo, la guía sobre el ciclo de vida de las identidades y los patrones de gobernanza, enfatiza esta disciplina integral del ciclo de vida (registro, modificación y revocación), que se alinea estrechamente con lo que se solicita demostrar en la norma A.5.16.

Utilizar la elevación justo a tiempo sin ralentizar a los ingenieros

Usar la elevación justo a tiempo sin ralentizar a los ingenieros requiere diseñar rutas de elevación que minimicen el riesgo al reducir las ventanas privilegiadas, a la vez que permiten una respuesta rápida. Si se involucra a los ingenieros en el diseño, el JIT puede considerarse una parte normal del trabajo, en lugar de una barrera que se intenta sortear.

El acceso justo a tiempo puede resultar una carga adicional para los ingenieros acostumbrados a derechos administrativos permanentes. Si se implementa mal, ralentiza los tiempos de respuesta y fomenta los atajos. Si se implementa bien, puede reducir considerablemente el riesgo y, al mismo tiempo, permitir que el personal realice su trabajo con mínima fricción.

En la práctica, JIT para MSP suele implicar que los ingenieros trabajen con acceso estándar la mayor parte del tiempo y luego soliciten una elevación temporal para tareas específicas que realmente lo requieran. Las solicitudes pueden activarse automáticamente a partir de tickets, cambios o flujos de trabajo de incidentes, e incluir aprobaciones según el riesgo de la acción. La elevación tiene un límite de tiempo y se registra, y el acceso se normaliza posteriormente sin necesidad de limpieza manual.

Para que esto funcione, es necesario diseñar el proceso con los ingenieros, no solo para ellos. Esto incluye elegir duraciones predeterminadas razonables, evitar aprobaciones innecesarias para tareas de bajo riesgo y hacer que la ruta de solicitud sea rápida y familiar. Si el proceso está claramente vinculado a su estrategia de gobernanza de identidades y los clientes reconocen su valor, es más fácil generar apoyo cultural y evitar soluciones alternativas.

Automatizando lo que puedes, revisando lo que debes

Automatizar lo posible y revisar lo imprescindible permite gestionar cambios de identidad frecuentes y de bajo riesgo a gran escala, reservando el criterio humano para casos inusuales o de mayor riesgo. El A.5.16 es más fácil de evidenciar cuando los pasos rutinarios de incorporación, traslado y salida, así como los pasos justo a tiempo, son consistentes, están bien registrados y son repetibles.

No todos los aspectos de JML y JIT pueden ni deben automatizarse. Los cambios frecuentes y de bajo riesgo, como añadir un rol estándar para un nuevo ingeniero o actualizar las membresías de grupos, son buenos candidatos para la automatización, especialmente en herramientas multiusuario, donde los errores pueden propagarse rápidamente. También lo son los pasos rutinarios de desaprovisionamiento que pueden activarse de forma fiable desde los sistemas de RR. HH. o de contratos.

Por otro lado, las solicitudes de acceso inusuales, las excepciones entre inquilinos y el uso de emergencias de emergencia siempre deben incluir una revisión humana. En estos casos, el criterio es fundamental y se desea demostrar que alguien consideró el riesgo y tomó una decisión deliberada en lugar de simplemente marcar una casilla.

La conciliación regular entre lo que sus sistemas de identidad consideran verdadero, lo que indican sus registros de RR. HH. y contractuales, y la realidad existente en cada inquilino del cliente es la clave. Cuando encuentre discrepancias (cuentas inactivas, privilegios persistentes, identidades sin documentar), considérelas como oportunidades de aprendizaje. Solucione el problema específico y luego pregunte cómo puede ajustar sus procesos o automatización para evitar brechas similares en el futuro. Esta conciliación es una prueba contundente de que está cumpliendo con las expectativas del ciclo de vida de A.5.16, y no solo con sus requisitos de documentación.

Si ya siente la tensión de mantener alineado el acceso de quienes se incorporan, se mudan y se van, y el acceso justo a tiempo entre muchos inquilinos que usan hojas de cálculo y memoria, puede que valga la pena explorar cómo una plataforma de gestión de seguridad de la información estructurada podría soportar parte de ese peso y ayudar a convertir A.5.16 en un control vivo más sostenible en lugar de una serie de soluciones ad hoc.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


Demostración del cumplimiento de A.5.16: documentación, evidencia y auditorías

Demostrar el cumplimiento de la norma A.5.16 significa poder demostrar, en cualquier momento, cómo se pretende gestionar las identidades, cómo se comportan realmente en la práctica y cómo se aprende de las auditorías e incidentes. Para los MSP, esta evidencia debe abarcar las realidades multiusuario, así como los sistemas internos, para que se pueda tranquilizar a los clientes y auditores bajo presión.

El diseño y la operación son solo dos tercios de la historia. A.5.16 también presupone que puede demostrar, cuando se le solicite, cómo funciona realmente su gestión de identidad. Esto significa contar con los documentos correctos, mantenerlos alineados con la práctica y convertir la actividad diaria en evidencia que pueda presentar ante auditores, clientes y reguladores sin un esfuerzo desesperado de último minuto.

El documento mínimo establecido para A.5.16

El documento mínimo establecido para A.5.16 consiste en un pequeño conjunto de políticas y procedimientos claros y bien mantenidos que describen su intención y responsabilidades en materia de identidad. Estos documentos deben reflejar la realidad multiusuario tal como la opera actualmente, no una visión teórica que solo existe para auditorías.

No necesita cientos de páginas, pero sí un conjunto pequeño que exprese claramente su intención. Como mínimo, esto suele implicar una política de gestión de identidades, un estándar para roles y asignaciones de acceso, procedimientos para procesos de incorporación, traslado y baja, y un estándar para cuentas de administrador y de emergencia.

Cada uno de estos debe describir no solo lo que usted hace, sino también quién lo hace y cómo sabe que se ha realizado. Deben estar alineados con su evaluación de riesgos y con otras políticas relevantes, como el control de acceso, la gestión de proveedores y la continuidad del negocio. Para los MSP, también deben cubrir explícitamente los aspectos multiusuario: administración delegada, roles multiusuario, cuentas de servicio en entornos de cliente y cuentas compartidas heredadas.

Redactar estos documentos en un lenguaje claro y comprensible da sus frutos rápidamente. Se convierten en referencias útiles para ingenieros y personal de operaciones, y no solo en formalidades para auditores. ISMS.online puede ayudarle a mantener estos documentos vinculados a controles como el A.5.16, a registros de riesgos y a acciones de mejora, para que se mantengan actualizados en lugar de actualizarse solo cuando se acerca la próxima auditoría.

Construyendo un registro de evidencia que funcione bajo presión

Crear un registro de evidencias que funcione bajo presión implica asignar cada requisito A.5.16 a artefactos específicos y repetibles que se puedan producir rápidamente. El objetivo es facilitar la reutilización del trabajo rutinario como evidencia de auditoría, en lugar de convertir cada solicitud en un caos reactivo.

Cuando llega la temporada de auditorías o un cliente potencial importante solicita pruebas, el peor momento para recopilar evidencias es la semana anterior a la conversación. En su lugar, conviene crear un registro de evidencias simple que asigne cada requisito de A.5.16 a elementos específicos y repetibles: informes, extractos de configuración, ejemplos de tickets, registros de revisión de acceso y registros que pueda generar de forma fiable.

Por ejemplo, podría vincular el requisito de identidades únicas con las exportaciones de su proveedor de identidades que muestran las convenciones de nomenclatura y los tipos de cuenta, y con los procedimientos para crear nuevas cuentas. Podría vincular los requisitos del ciclo de vida con los registros de cambios que muestran cómo se incorporó un usuario y se eliminó un usuario en varios inquilinos, junto con una exportación del proveedor de identidades (IdP) para el mismo período. Podría vincular las expectativas de revisión periódica con las campañas de revisión de acceso documentadas y sus resultados.

Al mantener este registro estructurado, se convierte el trabajo diario en material que puede recopilarse rápidamente para crear un conjunto coherente de pruebas. Cuando alguien pregunta "¿cómo sabe que sus identidades se gestionan correctamente?", no se está revolviendo; se está seleccionando entre un conjunto de elementos acordados y fáciles de producir. Cualquier MSP puede diseñar un registro de este tipo; una plataforma SGSI dedicada es simplemente una forma de mantener el mapeo integrado y visible.

Utilizando auditorías e incidentes para fortalecer su tienda

Utilizar auditorías e incidentes para fortalecer su nivel A.5.16 implica tratarlos como ciclos de retroalimentación estructurados, en lugar de eventos de cumplimiento puntuales. Cada hallazgo o casi incidente es una oportunidad para mejorar el diseño de su identidad, sus procesos y la evidencia de maneras que pueda demostrar posteriormente.

Las auditorías internas y externas pueden parecer conflictivas, pero también son oportunidades para validar y mejorar la gestión de identidades. Al planificar una auditoría interna, considere muestrear deliberadamente una combinación de usuarios, tipos de identidad y roles. Busque la coherencia entre su diseño y los hallazgos, y capture tanto las fortalezas como las deficiencias para poder incorporarlas en sus evaluaciones de riesgos y políticas.

De igual manera, cuando un incidente afecta la identidad, ya sea una brecha real, un cuasi accidente o simplemente una solicitud de acceso confusa, tómese el tiempo de preguntarse qué le dice sobre su diseño y procesos. ¿Su documentación facilitó o dificultó la investigación? ¿Los registros estaban disponibles y eran útiles? ¿Se comprendió qué identidades estaban dentro del alcance y cuáles no?

Registrar los resultados de estas revisiones e incorporarlos a su sistema de gestión de seguridad de la información cierra el círculo. Demuestra a los auditores y clientes que usted considera A.5.16 como un control activo y brinda a su equipo directivo la confianza de que la gestión de identidades no es un proyecto puntual, sino una práctica continua que mejora con el aprendizaje.



Reserve una demostración con ISMS.online hoy mismo

ISMS.online le ayuda a transformar un entorno de identidad complejo y multiinquilino en una infraestructura coherente y lista para auditorías que cumple con la norma ISO 27001 A.5.16 y garantiza a sus clientes que se toma el acceso en serio. Al integrar sus políticas, modelos a seguir, procesos de incorporación, traslado y salida, y justo a tiempo, y la evidencia en un espacio estructurado, es mucho más fácil identificar sus fortalezas, sus deficiencias y cómo los cambios en un área afectan a otras.

Lo que gana al centralizar sus pruebas de identidad

Centralizar la evidencia relacionada con la identidad en un entorno único y estructurado le ofrece una visión continuamente actualizada del cumplimiento de la norma A.5.16 en su organización y sus clientes, en lugar de depender de búsquedas puntuales de documentos antes de cada auditoría o revisión de cliente. La experiencia adquirida en SGSI y prácticas de gobernanza de la identidad, reflejada en guías de integración independientes, como los libros blancos del sector sobre la integración de SGSI y controles de identidad, sugiere que la gestión centralizada del control y la evidencia puede mejorar significativamente la visibilidad del estado del control a lo largo del tiempo.

Cuando la gestión de identidades se dispersa en hojas de cálculo, comentarios de tickets y memoria individual, cada auditoría o solicitud de diligencia debida se convierte en un miniproyecto. Al centralizar el diseño de control y las evidencias, se crea un único lugar donde el equipo puede ver cómo deben gestionarse las identidades, qué controles lo respaldan y qué registros lo demuestran.

Esto facilita enormemente responder a preguntas de los clientes, como "¿quién en su empresa puede acceder a nuestros inquilinos?", con una garantía más que vaga. Puede destacar roles definidos, procesos documentados y resultados reales de las revisiones de acceso. También reduce su dependencia de unas pocas personas que "saben cómo funciona todo", lo cual es crucial a medida que crece y el personal cambia de rol o se marcha.

Desde un punto de vista operativo, la centralización reduce la duplicación y la confusión. Cuando sus políticas cambian, las actualiza una vez y las vincula con los controles, tareas y registros pertinentes. Al completar una revisión o cerrar un hallazgo de auditoría, la evidencia se adjunta en contexto. Con el tiempo, esto crea un historial completo y fácil de navegar de cómo ha fortalecido la gestión de identidades para su propia organización y para los usuarios a los que da soporte.

Una forma de bajo riesgo de comenzar a utilizar ISMS.online

Comenzar con una pequeña parte de A.5.16 en ISMS.online le permite demostrar el valor de la centralización sin comprometerse con un cambio de proceso completo desde el primer día. Puede comenzar con una política de identidad y un flujo único de incorporación, traslado y salida, y luego expandirlo a medida que su equipo se sienta cómodo y vea beneficios prácticos.

Si ya siente la presión de gestionar identidades multiinquilino sin un sistema de gestión de seguridad de la información estructurado, la idea de añadir otra plataforma puede resultar abrumadora. La realidad puede ser mucho más sencilla de lo que cree. Muchos MSP empiezan incorporando una pequeña parte de A.5.16 a ISMS.online y aprenden de esa experiencia antes de expandirse a otros controles y marcos.

Por ejemplo, podría comenzar con su política de identidad, catálogo de roles y un único proceso de incorporación, traslado y salida, vinculándolos con A.5.16 y los controles relacionados, y adjuntando algunos elementos de evidencia recientes. A partir de ahí, puede experimentar con la programación de revisiones, la asignación de tareas de mejora y la integración de otras partes de su modelo de identidad en el sistema a medida que gane confianza.

Una breve conversación con el equipo de ISMS.online puede ayudarle a decidir si este enfoque se adapta a su cultura, escala y herramientas existentes. Verá cómo otros MSP han utilizado la plataforma para expresar modelos de identidad multiinquilino, cómo suelen responder los auditores y cómo es una hoja de ruta realista. Elija ISMS.online si desea que la gestión de identidades multiinquilino se sienta controlada, basada en evidencias y explicable; si valora la fiabilidad para clientes, auditores y organismos reguladores, el siguiente paso será fácil de dar.

Contacto


Preguntas frecuentes

¿Cómo cambia realmente la norma ISO 27001:2022 A.5.16 la forma en que un MSP debe gestionar las identidades en los inquilinos de los clientes?

La norma ISO 27001:2022 A.5.16 le permite pasar de "tenemos acceso" a "siempre podemos demostrar con exactitud quién tiene qué acceso, por qué y durante cuánto tiempo" en cada inquilino del cliente. Para un proveedor de servicios gestionados, esto incluye su propio patrimonio corporativo y todas las identidades delegadas o integradas en los entornos del cliente.

¿Qué significa “sin manos anónimas” en un MSP multiinquilino?

A.5.16 espera que usted trate la identidad como un activo gobernado, no como un conjunto disperso de inicios de sesión:

  • Toda identidad humana y no humana que pueda llegar a un inquilino es listados, poseídos y justificados.
  • Cada identidad está ligada a una rol, contrato o servicio, no un acceso vago de “administrador”.
  • Cambios a lo largo del tiempo: incorporación, acceso al proyecto, elevación de incidentes, salida. Siga pasos definidos.
  • Las aprobaciones, revisiones y eliminaciones son registrado y muestreable meses después.

Esa disciplina debe atravesar varias capas:

  • Funciones de administrador delegado/socio en hiperescaladores.
  • Cuentas de administración directa heredadas en inquilinos más antiguos.
  • Cuentas de servicio para RMM, backup, supervisión y herramientas de seguridad.
  • Identidades de ruptura para trabajos de continuidad o incidentes.

Desde la perspectiva de un comprador o auditor, una ruta administrativa controlada por un MSP se ha convertido en una superficie de ataque principal. Al poder identificar la identidad de un ingeniero o servicio específico, mostrar dónde reside, qué roles asume en cada inquilino y cómo se integran las aprobaciones y revisiones en su Sistema de Gestión de Seguridad de la Información (SGI), A.5.16 deja de ser una cláusula obligatoria para pasar a ser una razón para confiar en usted. ISMS.online le ayuda a construir esa estructura vinculando políticas, diagramas, registros de riesgos y evidencia del ciclo de vida directamente con el control, para que sus acciones y sus palabras se mantengan alineadas.

¿Cómo puede un MSP diseñar una arquitectura de identidad multiinquilino que sobreviva a la norma A.5.16 y a la debida diligencia empresarial?

Una arquitectura de identidad multiinquilino que resiste el escrutinio le ofrece un conjunto reducido de patrones estándar que rigen cómo su personal y herramientas entran y operan en cualquier inquilino del cliente, con una contención clara en caso de que algo salga mal. A.5.16 no prescribe tecnología; pregunta si su patrón es intencional, documentado y repetible.

¿Qué decisiones de arquitectura de identidad deberías adoptar de una vez?

Reduces el riesgo y el dolor de la auditoría cuando dejas de debatir los aspectos básicos caso por caso y estableces algunos puntos como reglas de la casa:

  • Donde viven las identidades:

Decida si las cuentas de ingeniero residen centralmente (por ejemplo, en Entra ID) y asumen roles en los inquilinos, si se crean dentro de cada inquilino bajo reglas estrictas o si utilizan un modelo híbrido. Sea cual sea su elección, documente el patrón y cíñase a él.

  • ¿Qué sistema es “fuente de verdad” para el cambio?

Seleccione un único maestro (RR. HH., ITSM, IdP, herramienta de gobernanza) para los eventos de incorporación, traslado y salida, y asegúrese de que todo lo demás, incluido el acceso de los inquilinos, se realice en sentido descendente. El punto A.5.16 se cumple cuando se puede mostrar una señal clara que impulse todos los cambios de acceso.

  • Rutas de entrada permitidas a los inquilinos:

Estandarice con una lista corta: grupos de administradores delegados, acceso bastión, elevación justo a tiempo, estaciones de trabajo con acceso privilegiado, etc. Las rutas únicas sin soporte son donde suelen esconderse las sorpresas y los hallazgos de auditoría.

  • Modos de rotura de cristales y fallos planificados:

Define qué sucede si falla tu IdP, PAM o el plano de control de un cliente. El acceso de emergencia registrado y con límite de tiempo, vinculado a tickets, es mucho más fácil de justificar que memorizar una contraseña de administrador global.

Un simple diagrama visual que muestra "Plano de identidad MSP → Patrones de acceso → Planos de inquilinos" puede ser más útil en una consulta de diligencia debida que una política de diez páginas. Cuando ese diagrama, las políticas relacionadas y las evaluaciones de riesgos conviven en ISMS.online y se vinculan con A.5.16, no solo se genera un artefacto para una auditoría, sino que se mantiene un diseño dinámico al que nuevos ingenieros, nuevos inquilinos y nuevas plataformas pueden acceder sin improvisar.

¿Cómo se ve el acceso basado en roles fuertes y el mínimo privilegio para los ingenieros de MSP en muchos clientes?

Para un MSP, el privilegio mínimo creíble significa que los derechos de cada ingeniero en cada inquilino son un derecho. expresión actual de su papelNo se trata de un historial de cada incidente y favor que hayan gestionado. El apartado A.5.16 se vuelve mucho más fácil de evidenciar cuando los derechos siguen un modelo claro y la elevación es claramente excepcional.

¿Cómo se puede estructurar el RBAC para poder defenderlo bajo presión?

Los proveedores que responden a los cuestionarios de seguridad del cliente sin pánico suelen compartir algunos patrones:

  • Un catálogo de roles ajustado y mantenido:

En lugar de docenas de roles “casi iguales”, definen un conjunto enfocado (por ejemplo, mesa de ayuda, ingeniero senior, especialista en seguridad, ingeniero de proyecto, gerente de turno) y asignan a cada uno de ellos derechos por plataforma y por nivel de inquilino (por ejemplo, alta regulación vs. estándar).

  • Separación estricta del trabajo normal y privilegiado:

Los ingenieros usan una sola identidad para sus actividades diarias y la elevan o cambian a una cuenta reforzada para cambios de alto riesgo. La autenticación multifactor y el registro son innegociables en cuanto a la elevación.

  • Alcance específico del inquilino:

Los grupos y roles reflejan lo que realmente se ha vendido y acordado con cada cliente. Ser ingeniero sénior no implica automáticamente amplios derechos en todos los inquilinos.

  • Excepciones visibles y con límite de tiempo:

Los roles amplios entre inquilinos o de emergencia solo existen para escenarios claramente definidos, como respuesta a incidentes, con propietarios explícitos, fechas de vencimiento y evidencia de revisión.

Una prueba directa pero efectiva es elegir a un ingeniero sénior y preguntarse: "Si esta identidad se viera comprometida hoy, ¿qué inquilinos podrían verse afectados y con qué gravedad?". Si no puede responder desde sus sistemas en cuestión de minutos, su modelo RBAC es más frágil de lo que parece. Centralizar las definiciones de roles, las asignaciones y la evidencia de revisión de acceso en ISMS.online le ofrece un único lugar para refinar ese modelo y demostrar a auditores y clientes que su riesgo está disminuyendo, no desviándose.

¿Cómo puede un MSP mantener confiable el acceso de quienes se incorporan, se mudan y se van, y el acceso justo a tiempo, cuando el personal trabaja con docenas de inquilinos?

Cuando las personas se incorporan, cambian de rol o se van, el acceso en cada inquilino afectado debe cambiar de forma predecible, no mediante modificaciones improvisadas que nadie pueda reconstruir seis meses después. La norma A.5.16 se centra menos en herramientas específicas y más en si los cambios de identidad siguen flujos definidos y repetibles que dejan evidencia.

Los MSP que no temen ser objeto de control en materia de cambios de acceso generalmente han simplificado la realidad en unos pocos hábitos confiables:

  • Comenzar desde un evento de una sola persona:

Capture nuevas contrataciones, movimientos internos, promociones, cambios de contrato y bajas una vez en RR. HH. o en su herramienta ITSM, luego deje que eso impulse todos los cambios de identidad posteriores: creación de cuentas, membresía de grupos, acceso de inquilinos y desaprovisionamiento.

  • Estandarizar acciones de acceso recurrentes:

Incorporar ingenieros a grupos de inquilinos, cambiar el equipo que cubre horas específicas o revocar el acceso de contratistas a herramientas compartidas se realizan mediante procedimientos sencillos, sin depender de la memoria. Estos procedimientos especifican quién aprueba qué, en qué plazo y qué evidencia se conserva.

  • Automatizar la rutina, depender del criterio humano para el riesgo:

Cuando los patrones son repetitivos, como añadir un rol estándar a diez inquilinos o eliminar una identidad de herramientas compartidas, la automatización funciona bien, siempre que deje registros que se puedan consultar. Los cambios excepcionales, como los derechos inusualmente amplios en un inquilino regulado, aún requieren aprobación explícita y validación registrada.

  • Considere la elevación del JIT como un evento controlado, no como un favor:

Cuando los ingenieros necesitan mayores permisos, los solicitan para una ventana definida vinculada a un ticket. Conceda, inicie y finalice la elevación de todos los registros de permisos que podrá mostrar posteriormente.

Los miembros de su equipo suelen aceptar estos controles con mayor facilidad si comprenden que no se limitan solo a los auditores: bien implementados, implican menos persecución, menos pasos manuales y menos conversaciones incómodas sobre derechos olvidados. Usar ISMS.online para mapear los procedimientos JML y JIT con tickets reales, eventos de RR. HH. y el control A.5.16 facilita enormemente demostrar, tanto a sus propios líderes como a sus clientes, que el riesgo de identidad forma parte de la gestión semanal del negocio, no una lista de verificación anual.

¿Qué evidencia de identidad realmente garantiza a los clientes y auditores que un MSP cumple con el criterio A.5.16 en todos los inquilinos?

Los auditores y compradores empresariales rara vez esperan la perfección, pero sí esperan que su planta, sus procesos y sus registros coincidan. La evidencia de identidad que mejor funciona suele tener más que ver con... coherencia que el volumen.

¿Qué artefactos A.5.16 generan confianza en lugar de ahogar a las personas en detalles?

Para un MSP multiinquilino, un conjunto de evidencia convincente a menudo tiene estos elementos:

  • Documentos de políticas y procedimientos: escrito en lenguaje sencillo que menciona explícitamente a los inquilinos externos, las principales plataformas que admite y cómo funcionan los procesos de incorporación, transferencia y salida, la asignación de roles y el acceso elevado.
  • Catálogo de roles y asignaciones actuales: que muestran cómo los roles internos se traducen en derechos específicos en sistemas como administrador delegado de Microsoft 365, RMM, respaldo, herramientas de seguridad e infraestructura local.
  • Un pequeño número de ejemplos reales de JML: donde puede mostrar la incorporación, los cambios y la salida, incluido el acceso de inquilinos agregado o eliminado y las aprobaciones capturadas.
  • Registros de revisiones de acceso programadas: – digamos trimestral o semestral – esa lista qué identidades de MSP pueden alcanzar a cada inquilino, qué cambió desde la revisión anterior y qué acciones correctivas tomó.
  • Registros de cambios e incidentes: seguimiento de eventos de acceso de mayor riesgo desde la solicitud hasta la aprobación y la implementación, con notas de prueba o reversión cuando corresponda.
  • Evidencia de aprendizaje a lo largo del tiempo: – hallazgos de auditoría interna, pruebas de penetración o incidentes en los que el acceso jugó un papel, además de las acciones de seguimiento registradas y cerradas.

Intentar recopilar esta información a demanda desde buzones personales, hojas de cálculo exportadas y archivos dispersos es donde la mayoría de los MSP experimentan el estrés. Mantenerlo en un Sistema de Gestión de Seguridad de la Información estructurado y vincular cada elemento con la norma A.5.16 permite responder a preguntas difíciles con una estructura clara y coherente. Al utilizar ISMS.online para esta estructura, su equipo puede prepararse una vez y luego reutilizar la misma vista controlada para auditorías ISO, licitaciones importantes y cuestionarios de aseguradoras, en lugar de reinventar su paquete de evidencia cada vez.

¿Cómo puede un MSP utilizar ISMS.online para convertir A.5.16 en una práctica de identidad multiinquilino repetible en lugar de un proyecto único?

La mayoría de los MSP ya saben cómo es una "buena" gestión de identidad; lo difícil es hacerlo. seguramente Al mismo tiempo que admite múltiples usuarios, diferentes plataformas y un equipo activo, ISMS.online le ofrece un único lugar para describir cómo debería funcionar la identidad, vincular esa descripción a la actividad real y mostrar cómo mejora.

¿Cómo integrar una identidad multiinquilino en su SGSI para que realmente perdure?

Los equipos que gestionan A.5.16 con confianza y sin simulacros de incendio constantes tienden a utilizar la plataforma de algunas maneras tangibles:

  • Documentar y poseer el modelo de identidad:

Mantenga sus diagramas de arquitectura de identidad, catálogo de roles y patrones de administración estándar en un solo espacio de trabajo, vinculado a A.5.16 y controles relacionados, como restricción de acceso, registro y acceso de proveedores. Al adaptar el modelo a una nueva plataforma, sector o tolerancia al riesgo, el cambio se versiona, se revisa y se asume su responsabilidad.

  • Vincular los procedimientos directamente con la práctica vivida:

Vincule los procedimientos JML/JIT y los pasos de revisión de acceso con tickets, exportaciones, registros e informes que demuestren su correcta ejecución. Este puente convierte A.5.16 de "lo que decimos que hacemos" a "lo que podemos demostrar que hacemos" cuando alguien lo solicite.

  • Convierta los hallazgos en mejoras visibles:

Cuando las auditorías internas, los incidentes o las preguntas de los clientes detecten debilidades en la identidad, regístrelas como acciones con responsables y fechas, en lugar de preocupaciones subyacentes. Con el tiempo, su visión del SGSI de A.5.16 se convierte en un cronograma de decisiones de fortalecimiento, en lugar de una declaración de control estática.

  • Responda siempre las mismas preguntas difíciles:

Trabaje desde la misma perspectiva de control cuando un auditor ISO muestrea la norma A.5.16, cuando el equipo de seguridad de un cliente importante pregunta qué personas pueden contactar a su inquilino o cuando su aseguradora desea comprender su modelo de identidad. Usted ajusta la profundidad que comparte, no los datos subyacentes.

Si su infraestructura de identidades actual depende en gran medida de unas pocas personas que simplemente saben cómo funciona, comience con poco en lugar de intentar mapearlo todo de una vez. Elija un flujo crítico —como la forma en que se otorga, revisa y elimina el acceso privilegiado para usuarios regulados— y modeléelo claramente en ISMS.online según la norma A.5.16. Una vez que pueda asistir a una reunión y explicar ese flujo sin notas ni buscar pruebas, tendrá un patrón que podrá aplicar al resto de sus identidades e usuarios, y una ventaja mucho mayor al presentar su servicio gestionado no solo como funcional, sino también como demostrablemente confiable.

Marcos Sharron

Mark Sharron lidera la Estrategia de Búsqueda e IA Generativa en ISMS.online. Su enfoque es comunicar cómo funcionan en la práctica las normas ISO 27001, ISO 42001 y SOC 2, vinculando el riesgo con los controles, las políticas y la evidencia con una trazabilidad lista para auditorías. Mark colabora con los equipos de producto y cliente para integrar esta lógica en los flujos de trabajo y el contenido web, ayudando a las organizaciones a comprender y demostrar la seguridad, la privacidad y la gobernanza de la IA con confianza.

Twitter

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.