Los controles de acceso según ISO 27001 se encuentran en el Anexo A.9.1. El objetivo de este control del Anexo A es limitar el acceso a la información y a las instalaciones de procesamiento de información. Es una parte importante del Sistema de Gestión de Seguridad de la Información – SGSI -, especialmente si el propósito final es obtener la certificación ISO 27001.
Los controles de acceso según ISO 27001 son el resultado del proceso de otorgar a los usuarios autorizados el derecho a acceder a un servicio o a una información, en tanto que se impide el acceso a otros usuarios no autorizados. ¿Cómo gestionarlos? Veamos:
Gestión de los controles de acceso según ISO 27001
“Los usuarios sólo deben tener acceso a la red y a los servicios para los que se les ha autorizado específicamente para usar. El acceso debe ser controlado por un procedimiento de inicio seguro y restringido, de acuerdo con la política de control de acceso”. Así reza la introducción a la Sección A9 del Anexo A. En detalle, de acuerdo con cada una de las sub cláusulas, esto es lo que debemos hacer para gestionar los controles de acceso según ISO 27001:
A.9.1.1 Política de control de acceso
Se debe establecer, documentar y revisar con periodicidad una política de control de acceso, teniendo en cuenta los requisitos de la organización para los activos a su alcance.
Las reglas, derechos y restricciones de control de acceso, junto con la profundidad de los controles utilizados, deben reflejar los riesgos de seguridad de la información de la organización.
En pocas palabras, el control de acceso debe ser concedido de acuerdo con quién necesita saber, quién necesita usar y a cuánto acceso requieren. Los controles de acceso según ISO 27001 pueden ser de naturaleza digital y física: por ejemplo, restricciones de permisos en las cuentas de usuario, así como limitaciones sobre quién puede acceder a ciertas ubicaciones físicas. Para ello, la política debe tener en cuenta:
- Los requisitos de seguridad de las aplicaciones comerciales y su alineación con el esquema de clasificación de información en uso (A.8).
- Aclarar quién necesita acceder, saber quién necesita usar la información, todo ello con base en procedimientos documentados.
- Gestión de los derechos de acceso y derechos de acceso privilegiados, incluyendo la adición de cambios y las revisiones periódicas.
- Reglas de control de acceso que deben estar respaldadas por procedimientos formales y responsabilidades definidas.
Los controles de acceso según ISO 27001 deben revisarse en función del cambio de roles, y, en particular, durante la salida, para alinearse con el Anexo A.7.
A.9.1.2 Acceso a redes y servicios de red
El principio de acceso mínimo es el enfoque general para la protección, en lugar de acceso ilimitado y derechos de súper usuario sin una cuidadosa consideración. Como tales, los usuarios sólo deberían tener acceso a la red y a los servicios de red que necesitan usar o conocer para desarrollar su trabajo.
Por lo tanto, la política debe abordar:
- Las redes y los servicios de red.
- Procedimientos de autorización para mostrar quién tiene acceso a qué y cuándo.
- Controles y procedimientos de gestión para evitar el acceso.
A.9.2.1 Registro de usuarios y anulación de registro
Es preciso implementar un proceso formal de registro y cancelación de registro de usuarios. Un buen proceso para la administración de ID de usuario incluye la posibilidad de asociar ID individuales a personas reales y limitar las ID de acceso compartido, que deben probarse y registrarse donde se haga.
Un buen proceso de incorporación y salida, se vincula con A7, para mostrar el registro, y evitar la re-emisión de identificaciones antiguas. Una revisión periódica de las identificaciones ilustrará un buen control y reforzará la gestión continua.
A.9.2.2 Aprovisionamiento de acceso de usuario
Se debe implementar un proceso – simple y documentado – para asignar o revocar derechos de acceso para todos los tipos de usuarios, a todos los sistemas y servicios. El proceso de aprovisionamiento y revocación debe incluir:
- Autorización del propietario del sistema o servicio de información para el uso de estos activos.
- Verificar que el acceso otorgado sea relevante para el rol que se está realizando.
- Proteger contra el aprovisionamiento antes de que se complete la autorización.
El acceso de los usuarios siempre debe estar dirigido por la organización y basado en los requisitos de la misma.
A.9.2.3 Gestión de derechos de acceso privilegiado
Se trata de administrar niveles de acceso privilegiados, más altos y más estrictos. La asignación y el uso de los derechos de acceso privilegiado deben ser controlados en forma muy estricta, dados los derechos adicionales que generalmente se transmiten sobre los activos de información y los sistemas que los controlan.
A.9.2.4 Gestión de información secreta de autenticación de usuarios
La información secreta de autenticación es una puerta de acceso para llegar a activos valiosos. Por lo general, incluye contraseñas y claves de cifrado, por lo que debe controlarse mediante un proceso de gestión formal y debe ser mantenida en forma confidencial para el usuario.
Esto generalmente está vinculado a contratos de trabajo y procesos disciplinarios, y obligaciones de proveedores.
A.9.2.5 Revisión de los derechos de acceso del usuario
Los propietarios de activos de a información deben revisar los derechos de acceso de los usuarios a intervalos regulares, tanto en torno al cambio individual – incorporación, cambio de rol y salida -, como a auditorías más amplias del acceso a los sistemas. Las autorizaciones para derechos de acceso privilegiado deben revisarse a intervalos más frecuentes, dada su naturaleza de mayor riesgo.
Los #ControlesAcceso según #ISO27001 se encuentran en el Anexo A.9.1. Aprenda cómo gestionarlos. #SeguridadInformación Clic para tuitearA.9.2.6 Eliminación o ajuste de los derechos de acceso
Cómo anotamos anteriormente, los derechos de acceso de todos los empleados y usuarios externos a las instalaciones de procesamiento de información, deben concluir al finalizar el vínculo laboral, el contrato o el acuerdo. Una buena política de salida garantizará que esto suceda.
A.9.3.1 Uso de información secreta de autenticación
Se trata simplemente de asegurar que los usuarios sigan políticas y asuman el compromiso de mantener confidencial cualquier información secreta de autenticación.
A.9.4.1 Restricción de acceso a la información
El acceso a la información y las funciones del sistema deben estar vinculadas a la política de control de acceso. Las consideraciones clave deben incluir:
- Control de acceso basado en roles.
- Niveles de acceso.
- Diseño de sistemas de menú, dentro de las aplicaciones.
- Leer, escribir, eliminar y ejecutar permisos.
- Limitación de la producción de información.
- Controles de acceso físicos y/o lógicos a aplicaciones, datos y sistemas sensibles.
El auditor verificará que se hayan hecho consideraciones para limitar el acceso dentro de los sistemas y aplicaciones que soportan políticas de control de acceso, requisitos comerciales, niveles de riesgo y segregación de funciones.
A.9.4.2 Procedimientos de inicio seguro
El acceso a los sistemas y aplicaciones debe controlarse mediante un procedimiento de inicio de sesión seguro, para demostrar la identidad del usuario. Esto puede ir más allá del enfoque típico de contraseña de múltiples factores, biometría, tarjetas inteligentes y otros medios de cifrado en función del riesgo que se está considerando.
A.9.4.3 Sistema de gestión de contraseñas
El propósito de un sistema de administración de contraseñas es garantizar que estas sean de calidad, cumplan con el nivel requerido y se apliquen de manera consistente. Los sistemas de generación y gestión de contraseñas proporcionan una buena forma de centralizar el suministro de acceso, pero como sucede con cualquier control, deben implementarse cuidadosamente para garantizar niveles óptimos de seguridad y protección.
A.9.4.4 Uso de programas de utilidad privilegiada
Los programas informáticos que tienen la capacidad de anular controles del sistema y de las aplicaciones, aunque resulten muy útiles, deben ser gestionados con mucha atención. Ellos pueden ser un objetivo atractivo para atacantes maliciosos. El acceso a ellos debe restringirse al menor número de personas.
A.9.4.5 Control de acceso al código fuente del programa
El acceso al código fuente de los programas debe estar restringido, al igual que a los elementos asociados como diseños, especificaciones, planes de verificación y de validación. El código fuente de los programas informáticos, puede ser vulnerable a ataques si no está protegido en forma adecuada.
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
Ciertamente, gestionar los controles de acceso según ISO 27001 no es tarea fácil. La formación y el conocimiento de la norma sin duda contribuyen al éxito de la tarea.
El Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 2700127001:2013 capacita a los profesionales del sector para implementar, mantener y auditar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001.
Este es un programa de formación de alto nivel, con cupos limitados. Pero aún puede obtener uno inscribiéndose aquí.
