Cumplimiento del control de acceso en las regulaciones globales: Sistemas heredados vs. MyCena®

Este apéndice compara cómo los sistemas tradicionales de credenciales gestionados por los usuarios frente a MyCena® ML-DAES se alinean con los requisitos clave de control de acceso en las regulaciones globales de ciberseguridad. Esta tabla sirve como herramienta práctica para CISOs, auditores y responsables de cumplimiento que buscan evaluar o reforzar la postura de seguridad y la preparación de auditoría de su organización.

Área de control Requisito normativo Regulaciones y artículos relevantes (incl. FSC Taiwán) Cumplimiento en sistemas heredados Cumplimiento en MyCena® ML-DAES
Provisionamiento de acceso de usuarios Solo usuarios autorizados deben acceder a los sistemas ISO 27001 A.9.2, DORA Art. 5, NIS2 Art. 21, GDPR Art. 25, MAS TRM 9.1.2, 11.1, LGPD Art. 46, FSC Taiwán §2.2.1.1–2.2.1.3, FCA/PRA, CBEST, GLBA §501(b), APRA CPS 230, HIPAA §164.308(a)(3) Depende—creación manual de usuarios; gobernanza inconsistente. Provisionamiento automatizado mediante entrega cifrada de credenciales.
Complejidad de contraseñas Credenciales fuertes, únicas y complejas ISO 27001 A.9.2.1, PCI DSS 8.2.3, NIST SP 800-63, MAS TRM 11.2.2, LGPD Art. 46, FSC Taiwán §2.2.3.1–2.2.3.2, HIPAA §164.308(a)(5)(ii)(D) Contraseñas débiles o reutilizadas. Credenciales generadas automáticamente, cifradas y seguras por defecto.
Política de control de acceso Aplicación basada en roles y políticas ISO A.9.1, DORA Art. 6, NIS2 Art. 21, CBEST, LGPD Art. 46, FCA/PRA, FSC Taiwán §2.2.1.5, HIPAA §164.312(a)(1) Parcialmente definida, aplicada de forma inconsistente. Bóvedas segmentadas por rol y sistema, impulsadas por políticas.
Segmentación de acceso Prevenir movimiento lateral, minimizar datos ISO A.9.1.2, GDPR Art. 5(1)(c), DORA Art. 9, CBEST, LGPD Art. 46, FSC Taiwán §2.2.1.6, HIPAA §164.308(a)(4) Estructura de acceso plana con riesgo lateral. Zonas de acceso segmentadas (Bronce/Plata/Oro).
Mínimo privilegio Ajustar el acceso al rol laboral ISO A.9.2.3, GDPR Art. 5(1)(c), DORA Art. 9, LGPD Art. 46, FSC Taiwán §2.2.1.4, GLBA §501(b), HIPAA §164.308(a)(4) Sobreespecificación de accesos común. Asignación de credenciales por rol y sistema.
Joiner-Mover-Leaver Actualización de accesos basada en cambios de rol ISO A.9.2.6, DORA Art. 8, NIS2 Art. 23, APRA CPS 230, MAS TRM 11.1.2, CBEST, FCA/PRA, GLBA §501(b), LGPD Art. 46, FSC Taiwán §2.2.1.7, HIPAA §164.308(a)(3) Manual y lento. Revocación y aprovisionamiento en tiempo real.
Almacenamiento y cifrado de credenciales Las contraseñas deben estar cifradas e invisibles para los usuarios ISO A.10.1, GDPR Art. 32, DORA Art. 6, NIS2 Art. 21, PCI DSS 3.4, MAS TRM 11.2.3, APRA CPS 230, FSC Taiwán §2.2.3.2, LGPD Art. 46, HIPAA §164.312(a)(2)(iv) A menudo visibles/almacenadas de forma insegura (navegadores, documentos). Credenciales cifradas e invisibles para los usuarios.
Seguridad de autenticación Inicio de sesión seguro más allá de contraseñas (MFA, zero-trust) ISO A.9.4.2, DORA Art. 6, NIST SP 800-63B, PCI DSS 8.3, MAS TRM 11.2.4, GDPR Art. 25, FSC Taiwán §2.2.3.3, LGPD Art. 46, HIPAA §164.312(d) MFA limitado o evitable; credenciales aún gestionadas por usuarios. Acceso cifrado no susceptible de phishing con MFA opcional.
Registros de auditoría de accesos Registrar todos los eventos de acceso para trazabilidad ISO A.12.4.1, DORA Art. 9, NIS2 Art. 22, FCA/PRA, MAS TRM 11.2.5, GLBA §501(b), FSC Taiwán §2.2.4.1, LGPD Art. 37, Art. 41, HIPAA §164.312(b) Registros básicos; no en tiempo real ni completos o listos para auditoría. Registros inmutables en tiempo real y paneles.
Gestión de acceso de terceros Controlar el acceso de proveedores y cadena de suministro ISO A.15, DORA Art. 6(9), NIS2 Art. 21(3), GLBA §501(b), CBEST, APRA CPS 230, MAS TRM 11.3, FSC Taiwán §2.2.5.1, LGPD Art. 42, HIPAA §164.308(b)(1) Poca visibilidad o control de terceros. Acceso de proveedores no gestionado. Cuentas o accesos API de proveedores segmentados y cifrados, opcionalmente restringidos por IP/dispositivo.
Revocación de accesos Eliminar acceso instantáneamente si ya no es necesario ISO A.9.2.6, DORA Art. 8, NIS2 Art. 23, GDPR Art. 17, GLBA §501(b), CBEST, FSC Taiwán §2.2.1.7, MAS TRM 11.1.2, LGPD Art. 46, HIPAA §164.308(a)(3)(ii)(C) Manual, propenso a errores, lento. Revocación con un clic desde la consola.
Cumplimiento de rotación Rotación periódica de credenciales ISO A.9.2.4, NIST SP 800-53 IA-5, PCI DSS 8.2.4, MAS TRM 11.2.2, FSC Taiwán §2.2.3.4, HIPAA §164.308(a)(5)(ii)(C) Depende de que los usuarios/admins recuerden rotar. Rotación totalmente automatizada o controlada por administradores.
Riesgo de visibilidad de credenciales Prevenir el intercambio, reutilización y robo de contraseñas ISO A.9.4.3, NIS2 Art. 21, GDPR Art. 25, PCI DSS 8.2.5, CBEST, LGPD Art. 46, FSC Taiwán §2.2.3.2, HIPAA §164.312(a)(2)(iv) Contraseñas visibles para usuarios; propensas a reutilización y filtraciones. Los usuarios nunca ven ni gestionan credenciales; no compartibles ni susceptibles de phishing.
MyCena<sup>®</sup>
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.