El control 8.2 de la norma ISO 27001 se centra en uno de los aspectos más críticos de la seguridad de la información: la gestión de los derechos de acceso privilegiado. Su finalidad es garantizar que los accesos con mayor capacidad de impacto sobre los sistemas, los datos y la infraestructura estén estrictamente limitados, justificados y controlados de forma sistemática.
Cuando una organización declara conformidad con este control, debe poder demostrar que la concesión, uso y revocación de los accesos privilegiados no se realiza de forma informal o discrecional, sino siguiendo criterios definidos, documentados y alineados con el sistema de gestión de la seguridad de la información.
Qué se entiende por acceso privilegiado
Los accesos privilegiados son aquellos permisos que permiten realizar acciones que no están disponibles para usuarios o procesos estándar. Normalmente incluyen capacidades como administrar sistemas, modificar configuraciones críticas, crear o eliminar usuarios, acceder a información sensible o alterar el funcionamiento de aplicaciones e infraestructuras.
Estos privilegios suelen estar asociados a roles técnicos como administradores de sistemas, responsables de bases de datos, personal DevOps, responsables de seguridad o cuentas técnicas utilizadas por aplicaciones y servicios. El riesgo no reside únicamente en quién tiene estos accesos, sino en cómo se gestionan y supervisan.
Cuentas privilegiadas y su impacto en la seguridad
Las cuentas privilegiadas son aquellas que disponen de este tipo de permisos elevados. Pueden ser cuentas de personas o cuentas no humanas, y en ambos casos representan un vector de riesgo significativo.
En el caso de las cuentas humanas, un uso indebido, un error o una credencial comprometida puede provocar accesos no autorizados, fugas de información, sabotajes o interrupciones graves del servicio. Desde el punto de vista externo, los atacantes suelen buscar precisamente estas cuentas, ya que su compromiso les permite obtener un control amplio o total del entorno.
Por este motivo, el control 8.2 refuerza el principio de mínimo privilegio, que consiste en conceder únicamente los permisos estrictamente necesarios para desempeñar una función concreta y durante el tiempo imprescindible. Reducir privilegios reduce la superficie de ataque y limita el impacto de cualquier incidente.
Beneficios de una gestión adecuada del acceso privilegiado
Una correcta gestión de los accesos privilegiados aporta beneficios claros tanto en seguridad como en control operativo. Permite proteger información sensible como datos personales, financieros o propiedad intelectual, mejora la trazabilidad de las acciones realizadas y refuerza la responsabilidad individual.
Además, dificulta el movimiento lateral de los atacantes dentro de la red, protege infraestructuras críticas y reduce el riesgo de cambios accidentales o no autorizados en sistemas y configuraciones. En conjunto, este control es un pilar esencial para una postura de ciberseguridad sólida y sostenible.
Cuentas no humanas y riesgos asociados
Más allá de los usuarios, las organizaciones utilizan un gran número de cuentas no humanas para que los sistemas funcionen correctamente. Cuentas de servicio, usuarios de bases de datos, claves API, tokens, certificados, claves SSH, cuentas de automatización o credenciales de dispositivos forman parte del día a día de cualquier entorno tecnológico moderno.
Estas cuentas suelen tener privilegios elevados y, en muchos casos, pasan desapercibidas durante años sin revisiones ni controles adecuados. El control 8.2 exige que estas identidades estén igualmente inventariadas, protegidas y sujetas a políticas de acceso, independientemente de que se gestionen mediante herramientas de IAM generales o soluciones específicas.
Gestión de acceso privilegiado y buenas prácticas
La gestión de acceso privilegiado, conocida como PAM, engloba el conjunto de políticas, procesos y medidas técnicas destinadas a proteger y supervisar las cuentas con mayores privilegios. No se trata únicamente de implantar herramientas, sino de establecer una disciplina clara.
Entre las buenas prácticas más relevantes se encuentran la identificación e inventario de todas las cuentas privilegiadas, la asignación de permisos basada en roles, la eliminación de privilegios innecesarios y el uso de autenticación reforzada. También es fundamental proteger las credenciales, registrar las actividades realizadas, generar alertas ante comportamientos anómalos y revisar periódicamente la vigencia de los accesos.
La segregación de funciones y el escalamiento controlado de privilegios ayudan a evitar concentraciones excesivas de poder técnico y reducen riesgos operativos. Todo ello debe complementarse con formación y concienciación del personal, así como con una gestión estricta de los accesos de terceros.
Aplicación del control en empresas de desarrollo de software
En las empresas de desarrollo de software, el control 8.2 adquiere una relevancia especial. Estas organizaciones gestionan código fuente, repositorios, pipelines de CI/CD, entornos de desarrollo, pruebas y producción, así como credenciales de clientes y plataformas externas.
Una gestión inadecuada de los accesos privilegiados puede afectar directamente a la propiedad intelectual, a la seguridad de los despliegues y a la confianza de los clientes. En modelos SaaS, donde la empresa suele administrar tanto la aplicación como la infraestructura, un fallo puede impactar simultáneamente a múltiples clientes. En entornos on-premise, el control total de la infraestructura incrementa la responsabilidad y el riesgo asociado a cuentas heredadas o compartidas.
El control 8.2 en pequeñas empresas y pymes
En pymes, este control suele ser especialmente crítico porque los privilegios se concentran en muy pocas personas y rara vez se gestionan de forma formal. Es habitual que un responsable técnico o un proveedor externo tenga acceso completo a todos los sistemas sin límites claros ni supervisión.
Aplicar el control 8.2 en una pequeña empresa no implica grandes inversiones, sino empezar por lo esencial: identificar qué cuentas privilegiadas existen, justificar su necesidad, limitar permisos, proteger credenciales y revisar accesos de forma periódica. La trazabilidad básica de quién accede, cuándo y para qué es clave tanto para la seguridad como para responder ante auditorías o incidentes.
En definitiva, el control 8.2 no va de complejidad técnica, sino de responsabilidad y disciplina. Gestionar correctamente los accesos privilegiados reduce riesgos graves, mejora la seguridad real de la organización y demuestra una diligencia clara en la protección de los sistemas de información.
