Muestra o revisión de acceso completa: ¿qué acepta el auditor?
A gran escala, una revisión completa es inviable. Las muestras basadas en riesgo son una alternativa válida, siempre que puedas explicar claramente cómo has realizado el muestreo.
Para una pyme de 200 personas con 40 sistemas, una revisión genera 8.000 filas. Eso no es viable. Una muestra basada en riesgo es la respuesta, pero solo si puedes defenderla.
¿Cuándo hacer una revisión completa?
- Menos de 500 celdas en total (con ±15 personas × ±10 sistemas).
- La revisión "grande" anual — aunque los trimestres sean por muestreo, una vez al año se revisa todo.
- Tras un incidente grave.
¿Cuándo usar muestreo?
- Más de 1.000 celdas.
- Revisiones trimestrales en organizaciones más grandes.
¿Cómo realizar un muestreo basado en riesgo?
- Prioriza el acceso privilegiado. 100%.
- Usuarios inactivos o recién activados. 100%.
- Sistemas de alto riesgo (contabilidad, RRHH, datos de clientes). 100% de las filas de acceso.
- El resto: muestra del 20% por rol, centrada en cambios de rol del último trimestre y antigüedad de la última verificación.
Documentación
El auditor querrá ver tu estrategia de muestreo: una política escrita, no algo decidido sobre la marcha en cada revisión. Consulta documentación probatoria.
Véase también: pilar de revisión.
Volledige gids: Revisiones de acceso periódicas: proceso, frecuencia y evidencia
Dit artikel is onderdeel van onze uitgebreide Access reviews-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →