0/23Evaluados
0Conformes
0No Conformes
0OM
HACER
H-08
Prueba
Revisión documental

A.8.18 ISO 27002:2022

¿El uso de utilidades y privilegios administrativos en producción está gobernado mediante un mecanismo de PAM (Privileged Access Management) con sesiones acotadas, credenciales temporales, procedimiento de break-glass y registro auditable?

Descripción de la prueba

Acceder al panel de IAM en AWS Console y revisar: cuántos usuarios tienen políticas administrativas (AdministratorAccess, PowerUserAccess), si las credenciales son temporales (STS, SSO) o estáticas (Access Keys de larga duración), si existe procedimiento de break-glass documentado, y si los accesos privilegiados están registrados en CloudTrail con justificación. Verificar ausencia o presencia de herramientas PAM (AWS SSO, HashiCorp Vault, Teleport).

Evidencia / Muestreo esperado

Captura del panel IAM con usuarios y políticas asignadas. Procedimiento de break-glass documentado o ausencia. Configuración de AWS SSO/IAM Identity Center si existe. Eventos de CloudTrail correlacionados con tickets de cambio.

Justificación contextual OmniControl

El acceso privilegiado mal gobernado es el vector de mayor impacto en compromiso de cuenta cloud. En OmniControl, con un equipo de 9 personas, 6 colaboradores tienen acceso AWS directo (2 Admin, 2 PowerUser, 2 ReadOnly+DeveloperRole) mediante Access Keys estáticas en sus laptops BYOD personales, sin PAM, sin break-glass formal, sin sesiones temporales. Una credencial comprometida de cualquiera de los 6 = compromiso total de la infraestructura productiva con datos de 60 clientes.

Qué buscar como auditor
  • 01¿Cuántos usuarios tienen AdministratorAccess o PowerUserAccess?
  • 02¿Las credenciales son temporales (SSO/STS) o estáticas (Access Keys)?
  • 03¿Existe procedimiento documentado de break-glass para emergencias?
  • 04¿AWS IAM Identity Center (SSO) está habilitado?
  • 05¿Las acciones privilegiadas se correlacionan con tickets/justificación?

Artefactos para ejecutar la prueba

Herramienta
AWS IAM — Usuarios, roles y políticas privilegiadas
Panel detallado de identidades, políticas asignadas, antigüedad de Access Keys y procedimiento de break-glass
Interpretación según contexto OmniControl

La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.

Recomendación del auditorOculta

La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.

Hallazgo del auditor
Clasificación del hallazgo
Control anterior (H-07)Siguiente control (V-01)