ISO 27001. ¿Cómo controlar el acceso a la red?
ISO 27001
En las organizaciones la red es la parte más vulnerable, por la que pueden entrar a los archivos de la empresa, por lo que se debe tener una espacial protección de estos documentos. Para asegurar la protección de la red está disponible la norma ISO 27001. Si en algún momento se produce el acceso al sistema, la organización tendrá muchos sistemas críticos que se convierten en vulnerables antes ataques malintencionados.
Por estos motivos se crea la necesidad de establecer una política de uso en los servicios de red, en los que es necesario especificar los derechos de acceso a cada red y los medios autorizados para dicho acceso, además de definir los procedimientos adecuados para obtener la autorización de derechos de acceso y los controles implantados para protegerse sobre el acceso no autorizado.
Las conexiones que se realizan desde el exterior de las instalaciones de la organización son especialmente críticas por ser más vulnerables a los posibles ataques. Esto provoca que se deban seleccionar los métodos adecuados de autentificación que se tienen que implantar, para seleccionar el método adecuado se tiene que realizar una valoración del riesgo inicial. Para facilitar toda la gestión a las organizaciones, estas pueden implantar un Sistema de Gestión de Seguridad de la Información, el cual cuenta con todas las herramientas necesarias para proteger los documentos en la red de la empresa.
La manera de proteger una red cuando se trabaja desde un ordenador remoto es identificar primeramente el equipo antes de permitir al usuario el acceso. Esto facilita el control a la hora de comprobar si la conexión se ha realizado desde un equipo que tiene permitido el acceso a la red. Con esto se limita mucho la utilización de equipos remotos que puedan acceder a los sistemas que contienen la información de la organización.
La norma ISO27001 pone a disposición de los usuarios herramientas de diagnóstico y configuración remota para los ordenadores que se encuentran fuera de las instalaciones de la organización. Si por algún casual se encuentra desprotegido el acceso a la herramienta de diagnóstico, esto puede provocar una vía de ataque sencilla. Si un equipo no está siendo usado, deben desconectarse los puertos y los servicios para evitar que se puedan generar intrusiones en la red.
En el sistema de red de la organización una buena práctica es la separación de funciones, segregando de una manera lógica, las diferentes redes en distintos dominios, dependiendo de la función que desarrollen o el tipo de datos que hagan circular. Dentro de cada dominio se pueden crear diferentes controles de acceso, dependiendo de su nivel de importancia. Para llevar a cabo la segregación se deben seguir unas pautas como pueden ser los requisitos de seguridad definidos y el coste de implantación.
El control de capacidad de conexión de los usuarios es otro requisito de la norma ISO-27001, ya que permite el acceso a los diferentes dominios según la necesidad del usuario. Para conseguir un control sobre los usuarios que tienen acceso a diferentes dominios se puede realizar una lista de acceso que se configuran en los diferentes equipos de red y que hacen la función de pasarela entre los diferentes dominios.
Gracias a la implantación de un Sistema de Gestión de Seguridad de la Información se pueden realizar controles de direccionamiento que se utilizan para confirmar cuáles son las direcciones de origen y de destino dentro de las conexiones en las redes. Según la ISO 27001, los controles que se deben implantar en los diferentes dominios de red deben cumplir con la política de control de acceso que la organización ha definido.
Se pueden seguir unos pasos básicos, recomendados por el Sistema de Gestión de Seguridad de la Información, con los que configurar el control de acceso a la red de la organización:
- Las aplicaciones en los equipos de red tienen que estar desarrolladas para que estas prevean un posible acceso no autorizado a la información.
- Crear perfiles de seguridad para todos los usuarios que se encuentren relacionados con las responsabilidades en su puesto de trabajo en la organización.
- Pedir a todos los usuarios que firmen un acuerdo de uso apropiado antes de que tengan acceso a los equipos de la organización.
- Poner límites a los usuarios para que solo puedan disponer de la información necesaria para llevar a cabo sus labores en la empresa.
- La organización debe tener procedimientos donde se registren las altas, las bajas y los cambios de usuarios que tengan posibilidad de entrar en la red.
- Las zonas donde pueden entrar los usuarios deben ser revisadas cada cierto tiempo.
- Durante la pantalla de inicio se debe notificar a todos los usuarios, permitidos o no, que el sistema se encuentra bajo vigilancia y que cualquier actividad fuera de lo autorizado será castigado.
- No facilitar ninguna información que haga referencia al equipo, a la red o a la organización antes de que el usuario sea registrado en el sistema.
- Educar a los usuarios para que no divulguen información a cualquier persona que la solicite en nombre del responsable de informática, ya que solo el responsable de informática será el encargado de proporcionar la información pertinente.
- Instalar un sistema que limite las veces en las que se puede introducir la contraseña de manera errónea.
- Limitar mucho las zonas desde donde el usuario puede conectarse.
- Los usuarios deben tener su propia clave, con la que pueden acceder a la red y a los recursos que necesiten.
- Emplear autenticación fuerte para acceso a sistemas críticos.
- Deshabilitar las cuentas de usuarios después de cierto tiempo de inactividad o eliminarlas si se trata de un periodo muy largo de tiempo.
- Definir una longitud mínima para la contraseña, además de que deban tener una combinación de letras, tanto mayúsculas y minúsculas, números y signos.
- Cambiar las contraseñas cada cierto tiempo, este tiempo tiene que estar predefinido.
- Empleo de herramientas que aseguren que la contraseña es segura.
- El cambio de contraseña debe ser por omisión de la instalación de sistemas operativos, software y aplicaciones.
- Segmentación de redes para prevenir la intrusión en la información.
- Utilizar un firewall para controlar la seguridad de la red.
Software para el Sistema de Gestión de Seguridad de la Información
El Software ISO para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.