CIP-04 - Aprovisionamiento, cambios y desaprovisionamiento de identidades
Control del ciclo de vida completo de identidades
🎯 Objetivo del Control
Automatizar y controlar el proceso completo de gestión del ciclo de vida de identidades desde su creación hasta su eliminación, asegurando accesos apropiados en cada etapa.
📋 Descripción
Este control establece procesos automatizados para:
- Aprovisionamiento de nuevas identidades
- Modificación de accesos por cambios de rol
- Desaprovisionamiento al terminar relación laboral
- Sincronización con sistemas autoritativos (HRIS)
- Auditoría de cambios
🛡️ Controles Requeridos
Aprovisionamiento (Joiner)
Trigger: Nueva contratación en HRIS
Proceso Automático:
- Creación de cuenta en directorio (Azure AD/Okta)
- Asignación de email corporativo
- Provisión de licencias según rol
- Acceso a aplicaciones estándar del departamento
- Grupos de seguridad según plantilla
- Equipo de cómputo asignado
Workflow:
- Solicitud desde HRIS o ITSM
- Aprobación de manager
- Provisión automática
- Notificación a IT y usuario
- Onboarding checklist
Cambios (Mover)
Trigger: Cambio de departamento/rol en HRIS
Proceso Automático:
- Revisión de accesos actuales
- Revocación de accesos del rol anterior
- Asignación de accesos del nuevo rol
- Actualización de grupos de seguridad
- Notificación a managers involucrados
Consideraciones:
- Período de transición si es necesario
- Validación de segregación de funciones
- Aprobación de accesos adicionales
Desaprovisionamiento (Leaver)
Trigger: Término de relación laboral en HRIS
Proceso Automático Inmediato:
- Desactivación de cuenta (no eliminación)
- Revocación de accesos
- Logout forzado de sesiones
- Deshabilitación de MFA
- Notificación a manager y IT
Post-Desactivación (30-90 días):
- Backup de datos del usuario
- Reasignación de recursos (emails, archivos)
- Eliminación de cuenta
- Recuperación de equipos
Automatización con HRIS
- Integración con Workday, BambooHR, SAP
- Sincronización en tiempo real o diaria
- Atributos sincronizados:
- Nombre, apellido, email
- Departamento, título, manager
- Fecha de inicio/término
- Ubicación, tipo de empleado
Excepciones y Extensiones
- Proceso para solicitudes fuera de estándar
- Aprobación de excepciones documentada
- Revisión periódica de excepciones activas
- Vencimiento automático de extensiones temporales
📊 Métricas e Indicadores
- Tiempo de aprovisionamiento (objetivo: menos de 4 horas)
- Tiempo de desaprovisionamiento (objetivo: menos de 1 hora)
- Porcentaje de aprovisionamiento automatizado
- Cuentas huérfanas (sin propietario)
- Auditoría de compliance de procesos
🔗 Herramientas Recomendadas
- IGA: SailPoint, Saviynt, Microsoft Entra Identity Governance
- HRIS: Workday, BambooHR, SAP SuccessFactors
- ITSM: ServiceNow, Jira Service Management
- Workflow: Microsoft Power Automate, Zapier, Workato
- Directorio: Azure AD, Okta, Google Workspace
📚 Referencias
- Procedimiento de Alta y Baja de Usuarios
- Política de Seguridad Ciclo de Vida del Empleado
- Proceso de Salida Segura
- ISO 27001:2022 - A.5.16, A.5.17
- NIST SP 800-53 - AC-2 Account Management
✅ Checklist de Implementación
- Integración HRIS con Identity Provider
- Plantillas de aprovisionamiento por rol/departamento
- Workflow de aprobaciones configurado
- Proceso de desaprovisionamiento automatizado
- Notificaciones automáticas configuradas
- Dashboard de joiner/mover/leaver
- Auditoría de cambios habilitada
- Proceso de excepciones documentado
- Backup automático de datos de usuarios salientes
- Capacitación a HR y managers
¿Te ha resultado útil esta página?
Última modificación: 24 de noviembre de 2025