ISO 27001 ¿Cómo controlar el control de acceso?
ISO 27001
El control de acceso es una actividad técnica que tiene relación con la apertura de cuentas, contraseñas y cosas parecidas. El control de acceso incluye todas estas cosas, pero el control de acceso no comienza como algo técnico. Es una decisión de negocios.
La norma ISO 27001 requiere:
- Definir el control de acceso en la sección A.9 del Anexo A.
- Contar con un total de 14 controles.
Los requisitos de negocio de control de acceso
Se debe establecer una política de control de acceso, y definir qué usuarios tendrán acceso a las redes y servicios. Esto supone que se deben establecer las reglas en primer lugar, y entonces dar permiso a los usuarios.
Se pueden configurar las reglas de acceso de diferentes formas. Por regla general existen dos enfoques:
- Se definen perfiles de usuario.
- En función de cada puesto se asignan perfiles de usuarios correspondientes.
Se puede definir:
- Usuario A: Acceso a aplicaciones y servicios básicos.
- Usuario B: Acceso a todo.
Se establece que todos los empleados tengan un perfil de usuario A y los más privilegiados utilizan el perfil de usuario B.
El segundo enfoque es el que se define por los propietarios de los activos. Se debe aprobar el acceso a diferentes usuarios cada vez que necesiten tener acceso a esos activos. La combinación de estos dos enfoques se utiliza muy a menudo, como se explica más adelante.
La política de control de acceso se centra en el Sistema de Gestión de Seguridad de la Información. La norma ISO 27001 permite que se den ambos enfoques. Aprobar el acceso a una zona física no tiene muchas diferencias en comparación con la que se aprueba en el acceso a un sistema de información.
Gestión de acceso de usuario
Las cosas comienzan a ponerse más técnicas. Se debe definir cómo se necesitan los usuarios que se registran en su sistema, cómo se les asigna el acceso y cómo se gestionan todos los datos de autentificación. Tiene que hacerse cargo de algunas cosas de la empresa, es decir, si necesita permitir el acceso. Para ello será necesario definir quién puede aprobar dicha excepción de acceso a los usuarios. Lo que se suele hacer es que las organizaciones definen perfiles de usuario y en su caso el acceso debe ser aprobado por el encargado. Se trata como un acceso privilegiado y el propietario del activo debe aprobar la excepción.
Desde siempre existen estas excepciones, los propietarios de los activos deben revisar de forma periódica quién tiene acceso privilegiado. Se deberá decidir si siguen siendo necesarios. Tiene que existir un proceso de eliminación de todos los derechos de acceso. Esto es necesario sobre todo cuando una persona abandona una organización o cuando una persona cambia su puesto en la empresa. Muchas veces ha sucedido que las personas siguen teniendo acceso años después de abandonar la empresa. Es un hecho muy peligroso que debe ser controlado.
Se pueden definir todas las reglas en la misma política de control de acceso, o se pueden desarrollar documentos separados. Es posible desarrollar una política de contraseñas que se defina para realizar la autenticación.
Responsabilidades del usuario
Se requiere que se defina cómo los usuarios deben mantener su información secreta. Esto se hace de forma general mediante los documentos de política de uso aceptable. Se deben definir las siguientes reglas:
- No escribir contraseñas.
- No revelárselas a nadie.
- No utilizar la misma contraseña en diferentes sitios.
Sistema de control de acceso y de aplicación
Se tienen que asegurar de que el acceso a los sistemas es compatible con la política de control de acceso. El acceso se encuentra protegido con seguridad de inicio de sesión, las contraseñas deben ser complejas y seguras.
Si tu organización se encuentra desarrollando programas, se tiene que definir la forma de proteger el acceso al código fuente. El acceso se define mediante la política de control de acceso, como en todos los problemas de acceso.
Se tiene que definir la manera de proteger el acceso a la información cuando se utilizan software especiales que permiten el acceso directo. Por lo general son programas que utiliza el administrador del sistema. La utilización de las herramientas debe estar restringido, permite ser utilizado sólo en circunstancias muy específicas, y bajo la supervisión.
No tenemos ningún control de acceso, lo que significa no tener ninguna seguridad. Este es uno de los principales elementos constitutivos de seguridad de la información que debe ser realizado. Se debe diseñar para que sea suficientemente seguro y aceptable para los usuarios. Lo que no quiere que suceda es tener un plan muy ambicioso para cambiar las contraseñas cada mes. Algunos empleados ha rechazado este sistema porque piensan que no es práctico.
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.