Cómo gestionar los controles de acceso según ISO 27001

Los  controles de acceso según ISO 27001  se encuentran en el Anexo A.9.1. El objetivo de este control del Anexo A es limitar el acceso a la información ya las instalaciones de procesamiento de información. Es una parte importante del  Sistema de Gestión de Seguridad de la Información – SGSI  -, especialmente si el propósito final es obtener la certificación ISO 27001.

Los controles de acceso ISO 27001 son el resultado del proceso de otorgar a los usuarios autorizados el derecho a acceder a un servicio oa una información, tanto que se impide según el acceso a otros usuarios no autorizados. ¿Cómo gestionarlos? Veamos:

 

Gestión de los controles de acceso según ISO 27001

“Los usuarios sólo deben tener acceso a la red ya los servicios para los que se les ha autorizado específicamente para usar. El acceso debe ser controlado por un procedimiento de inicio seguro y restringido, de acuerdo con la política de control de acceso” . Así reza la introducción a la Sección A9 del Anexo A. En detalle, de acuerdo con cada una de las sub cláusulas, esto es lo que debemos hacer para gestionar los controles de acceso según  ISO 27001 :

 

A.9.1.1 Política de control de acceso

Se debe  establecer, documentar y revisar con periodicidad una política de control de acceso , teniendo en cuenta los requisitos de la organización para los activos a su alcance.

Las reglas, derechos y restricciones de control de acceso, junto con la profundidad de los controles utilizados, deben reflejar los riesgos de seguridad de la información de la organización.

 

En pocas palabras,  el control de acceso debe ser concedido de acuerdo con quién necesita saber, quién necesita usar ya cuánto acceso requiere . Los controles de acceso según ISO 27001 pueden ser  de naturaleza digital y física : por ejemplo, restricciones de permisos en las cuentas de usuario, así como limitaciones sobre quién puede acceder a ciertas condiciones físicas. Para ello, la politica debe tener en cuenta:

 

  • Los requisitos de seguridad de las aplicaciones comerciales y su alineación con el esquema de clasificación de información en uso (A.8).
  • Aclarar quién necesita acceder, saber quién necesita usar la información, todo ello con base en procedimientos documentados.
  • Gestión de los derechos de acceso y derechos de acceso privilegiados, incluyendo la adición de cambios y las revisiones periódicas.
  • Reglas de control de acceso que deben estar respaldadas por procedimientos formales y responsabilidades definidas .

Los controles de acceso según ISO 27001 deben revisarse en función del cambio de roles, y, en particular, durante la salida, para alinearse con el Anexo A.7.

 

A.9.1.2 Acceso a redes y servicios de red

El  principio de acceso mínimo  es el enfoque general para la protección, en lugar de acceso ilimitado y derechos de súper usuario sin una consideración cuidadosa. Como tales, los usuarios sólo tendrán acceso a la red ya los servicios de red que necesitan usar o conocer para desarrollar su trabajo.

 

Por lo tanto, la política debe abordar:

  • Las redes y los servicios de red.
  • Procedimientos de autorización para mostrar quién tiene acceso a qué y cuándo.
  • Controles y procedimientos de gestión para evitar el acceso.
  •  

A.9.2.1 Registro de usuarios y anulación de registro

Es preciso  implementar un proceso formal de registro y cancelación de registro de usuarios . Un buen proceso para la administración de ID de usuario incluye la posibilidad de asociar ID individu ales a personas reales y limitar las ID de acceso compartido, que deben probarse y registrarse donde se haga.

 

Un buen proceso de incorporación y salida, se vincula con A7, para mostrar el registro, y evitar la reemisión de identificaciones antiguas . Una revisión periódica de las identificaciones ilustrará un buen control y reforzará la gestión continua.

 

A.9.2.2 Aprovisionamiento de acceso de usuario

Se debe  implementar un proceso – simple y documentado – para asignar o revocar derechos de acceso para todos los tipos de usuarios, a todos los sistemas y servicios . El proceso de aprovisionamiento y revocación debe incluir:

  • Autorización del propietario del sistema o servicio de información para el uso de estos activos.
  • Verificar que el acceso otorgado sea relevante para el rol que se está realizando .
  • Proteger contra el aprovisionamiento antes de que se complete la autorización.

El acceso de los usuarios siempre debe estar dirigido por la organización y basado en los requisitos de la misma.

 

A.9.2.3 Gestión de derechos de acceso privilegiado

Se trata de  administrar niveles de acceso privilegiados, más altos y más estrictos . La protección y el uso de los derechos de acceso privilegiado deben ser controlados en forma muy estricta, dados los derechos adicionales que generalmente se transmiten sobre los activos de información y los sistemas que los controlan.

 

A.9.2.4 Gestión de información secreta de autenticación de usuarios

La información secreta de autenticación es una puerta de acceso para llegar a activos valiosos. Por lo general , incluye contraseñas y claves de cifrado, por lo que debe controlarse mediante un proceso de gestión formal y debe ser mantenido en forma confidencial para el usuario .

Esto generalmente está vinculado a contratos de trabajo y procesos disciplinarios, y obligaciones de proveedores.

 

A.9.2.5 Revisión de los derechos de acceso del usuario

Los propietarios de activos de a información deben  revisar los derechos de acceso de los usuarios a intervalos regulares , tanto en torno al cambio individual – incorporación, cambio de rol y salida -, como a auditorías más amplias del acceso a los sistemas. Las autorizaciones para derechos de acceso privilegiado deben revisarse a intervalos más frecuentes, dada su naturaleza de mayor riesgo.

Los #ControlesAcceso según #ISO27001 se encuentran en el Anexo A.9.1. Aprenda cómo gestionarlos. #SeguridadInformación CLIC PARA TUITEAR

A.9.2.6 Eliminación o ajuste de los derechos de acceso

Cómo anotamos anteriormente, los derechos de acceso de todos los empleados y usuarios externos a las instalaciones de procesamiento de información, deben concluir al finalizar el vínculo laboral, el contrato o el acuerdo. Una buena política de salida garantizará que esto suceda.

 

A.9.3.1 Uso de información secreta de autenticación

Se trata simplemente de asegurar que los usuarios sigan políticas y asuman el compromiso de mantener confidencial cualquier información secreta de autenticación.

 

A.9.4.1 Restricción de acceso a la información

El  acceso a la información  y las funciones del sistema deben estar vinculados a la política de control de acceso . Las consideraciones clave deben incluir:

  • Control de acceso basado en roles.
  • Niveles de acceso.
  • Diseño de sistemas de menú, dentro de las aplicaciones.
  • Leer, escribir, eliminar y ejecutar permisos.
  • Limitación de la producción de información.
  • Controles de acceso físico y/o lógicos a aplicaciones, datos y sistemas sensibles.

El auditor verificará que se hayan hecho consideraciones para limitar el acceso dentro de los sistemas y aplicaciones que soportan políticas de control de acceso, requisitos comerciales, niveles de riesgo y segregación de funciones.

 

A.9.4.2 Procedimientos de inicio seguro

El acceso a los sistemas y aplicaciones debe controlarse mediante un procedimiento de inicio de sesión seguro , para demostrar la identidad del usuario. Esto puede ir más allá del enfoque típico de contraseña de múltiples factores, biometría, tarjetas inteligentes y otros medios de grabación en función del riesgo que se está considerando.

 

A.9.4.3 Sistema de gestión de contraseñas

El propósito de un sistema de administración de contraseñas es  garantizar que estas sean de calidad, cumplan con el nivel requerido y se apliquen de manera consistente . Los sistemas de generación y gestión de contraseñas garantizan una buena forma de centralizar el suministro de acceso, pero como sucede con cualquier control, deben implementarse cuidadosamente para garantizar niveles óptimos de seguridad y protección.

 

A.9.4.4 Uso de programas de utilidad privilegiada

Los programas informáticos que tienen la capacidad de controles anulares del sistema y de las aplicaciones, aunque resulten muy útiles, deben ser gestionados con mucha atención. Ellos pueden ser un objetivo atractivo para atacantes maliciosos. El acceso a ellos debe imponerse al menor número de personas.

 

A.9.4.5 Control de acceso al código fuente del programa

El acceso al código fuente de los programas debe estar restringido, al igual que a los elementos asociados como diseños, especificaciones, planos de verificación y validación. El código fuente de los programas informáticos, puede ser vulnerable a ataques si no está protegido en forma adecuada.

COMPARTE !!!

Share on facebook
Facebook
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email