Controles de acceso y su seguimiento para un SGSI basado en estándar 27001
Los controles de acceso, de acuerdo con la norma ISO 27001, se encuentran especificados en el Anexo A.9.1. El objetivo de estos controles es restringir el acceso a la información y a las instalaciones de procesamiento de información. Son una parte fundamental del Sistema de Gestión de Seguridad de la Información (SGSI), especialmente si el objetivo final es obtener la certificación ISO 27001.
Los controles de acceso establecidos por la norma ISO 27001 son el resultado de un proceso que otorga a los usuarios autorizados el derecho de acceder a servicios e información específicos, al mismo tiempo que se impide el acceso a usuarios no autorizados. A continuación, veremos cómo gestionarlos:
Gestión de los controles de acceso según ISO 27001
«Los usuarios solo deben tener acceso a la red y a los servicios para los cuales se les ha autorizado específicamente. El acceso debe ser controlado mediante un procedimiento seguro y restringido de inicio, de acuerdo con la política de control de acceso». Así comienza la sección A9 del Anexo A. A continuación, se detalla lo que se debe hacer para gestionar los controles de acceso según ISO 27001, de acuerdo con cada subcláusula:
A.9.1.1 Política de control de acceso
Es necesario establecer, documentar y revisar periódicamente una política de control de acceso, teniendo en cuenta los requisitos de la organización para los activos a los que tiene acceso.
Las reglas, derechos y restricciones de control de acceso, así como la intensidad de los controles utilizados, deben reflejar los riesgos de seguridad de la información de la organización.
En resumen, el control de acceso debe otorgarse según quién necesita saber, quién necesita usar y cuánto acceso requieren. Los controles de acceso según ISO 27001 pueden ser de naturaleza digital y física, por ejemplo, restricciones de permisos en las cuentas de usuario y limitaciones sobre quién puede acceder a determinadas ubicaciones físicas. Para ello, la política debe tener en cuenta:
- Los requisitos de seguridad de las aplicaciones comerciales y su alineación con el esquema de clasificación de información en uso (A.8).
- Identificar quién necesita acceder y quién necesita utilizar la información, todo ello basado en procedimientos documentados.
- Gestionar los derechos de acceso y los derechos de acceso privilegiados, incluyendo la adición de cambios y revisiones periódicas.
- Establecer reglas de control de acceso respaldadas por procedimientos formales y responsabilidades definidas.
- Los controles de acceso según ISO 27001 deben ser revisados cuando cambien los roles, especialmente durante las salidas, para estar en línea con el Anexo A.7.
A.9.1.2 Acceso a redes y servicios de red que ofrecen los controles de acceso
El principio del acceso mínimo es el enfoque general para la protección, en lugar de permitir un acceso ilimitado y derechos de súper usuario sin una consideración cuidadosa. Por lo tanto, los usuarios solo deben tener acceso a la red y a los servicios de red que necesitan utilizar o conocer para realizar su trabajo.
Por lo tanto, la política debe abordar:
- Las redes y los servicios de red.
- Procedimientos de autorización para mostrar quién tiene acceso a qué y cuándo.
- Controles y procedimientos de gestión para prevenir el acceso
A.9.2.1 Registro de usuarios y cancelación de registro
Es necesario implementar un proceso formal para registrar y cancelar el registro de usuarios. Un buen proceso de administración de identificadores de usuario incluye la capacidad de asociar identificadores individuales con personas reales y limitar el uso compartido de identificadores, los cuales deben ser probados y registrados en el lugar correspondiente.
Un buen proceso de incorporación y salida se relaciona con la cláusula A7, para mantener un registro y evitar la reutilización de identificaciones antiguas. Una revisión periódica de los identificadores demuestra un buen control y refuerza la gestión continua.
A.9.2.2 Aprovisionamiento del control de acceso del usuario
Debe implementarse un proceso simple y documentado para asignar o revocar los derechos de acceso de todos los tipos de usuarios a todos los sistemas y servicios. El proceso de aprovisionamiento y revocación debe incluir:
- Autorización del propietario del sistema o servicio de información para el uso de dichos activos.
- Verificación de que el acceso otorgado sea relevante para el rol desempeñado.
- Protección contra el aprovisionamiento antes de que se complete la autorización.
- El acceso de los usuarios debe ser siempre dirigido por la organización y basado en sus requisitos.
A.9.2.3 Gestión de derechos de controles de acceso privilegiados
Se trata de administrar niveles de acceso privilegiado más altos y más estrictos. La asignación y el uso de los derechos de acceso privilegiados deben ser controlados de manera rigurosa, debido a los derechos adicionales que suelen otorgarse sobre los activos de información y los sistemas que los controlan.
A.9.2.4 Gestión de información secreta de autenticación de usuarios
La información secreta de autenticación es una puerta de acceso a activos valiosos, generalmente incluye contraseñas y claves de cifrado, por lo que debe ser controlada mediante un proceso de gestión formal y mantenerse confidencial para el usuario. Esto suele estar vinculado a contratos de trabajo, procesos disciplinarios y obligaciones de proveedores.
A.9.2.5 Revisión de los derechos de controles de acceso del usuario
Los propietarios de activos de información deben revisar periódicamente los derechos de acceso de los usuarios, tanto en casos de cambios individuales (incorporación, cambio de rol, salida) como en auditorías más amplias del acceso a los sistemas. Las autorizaciones para los derechos de acceso privilegiados deben ser revisadas con mayor frecuencia debido a su mayor nivel de riesgo.
A.9.2.6 Revocación o ajuste de derechos de controles de acceso
Como mencionamos anteriormente, los derechos de acceso de todos los empleados y usuarios externos a las instalaciones de procesamiento de información deben ser finalizados al término de su relación laboral, contrato o acuerdo. Una sólida política de salida garantizará que esto se lleve a cabo de manera efectiva.
A.9.3.1 Uso de información secreta de autenticación
Se trata simplemente de asegurar que los usuarios cumplan con las políticas y se comprometan a mantener confidencial cualquier información secreta de autenticación.
A.9.4.1 Restricción de acceso a la información
El acceso a la información y las funciones del sistema debe estar alineado con la política de control de acceso. Algunas consideraciones clave incluyen:
- Control de acceso basado en roles.
- Niveles de acceso.
- Diseño de menús dentro de las aplicaciones.
- Permisos para leer, escribir, eliminar y ejecutar.
- Limitación de la divulgación de información.
- Controles de acceso físicos y/o lógicos para aplicaciones, datos y sistemas sensibles.
El auditor verificará si se han tenido en cuenta estas consideraciones para restringir el acceso en los sistemas y aplicaciones que respaldan las políticas de control de acceso, los requisitos comerciales, los niveles de riesgo y la segregación de funciones.
A.9.4.2 Procedimientos de inicio de sesión seguros
El acceso a los sistemas y aplicaciones debe ser controlado mediante procedimientos seguros de inicio de sesión para verificar la identidad del usuario. Esto puede ir más allá de un enfoque típico de contraseña e involucrar múltiples factores, biometría, tarjetas inteligentes y otros métodos de cifrado según el nivel de riesgo considerado.
A.9.4.3 Gestión de contraseñas del sistema
El propósito de un sistema de gestión de contraseñas es garantizar que estas sean de calidad, cumplan con los niveles requeridos y se apliquen de manera consistente. Los sistemas de generación y gestión de contraseñas son una buena forma de centralizar el suministro de acceso, pero al igual que cualquier control, deben implementarse cuidadosamente para garantizar niveles óptimos de seguridad y protección.
A.9.4.4 Uso de programas privilegiados de utilidad
Los programas informáticos que tienen la capacidad de anular los controles del sistema y las aplicaciones, aunque son muy útiles, deben ser gestionados con precaución. Pueden ser un objetivo atractivo para atacantes maliciosos, por lo que el acceso a ellos debe restringirse al menor número de personas posible.
A.9.4.5 Control de acceso al código fuente del programa
El acceso al código fuente de los programas debe ser restringido, al igual que a los elementos asociados como diseños, especificaciones, planes de verificación y validación. El código fuente de los programas informáticos puede ser vulnerable a ataques si no se protege adecuadamente.
Diplomado en ISO 27001 para conseguir un buenos controles de acceso
Muchas organizaciones optan por implementar la norma ISO 27001, ya sea por iniciativa propia o debido a la solicitud de sus clientes o proveedores. Para lograrlo de manera efectiva, sería fundamental contar con profesionales capacitados que puedan aplicar todos los requisitos de forma adecuada. En la Escuela Europea de Excelencia, ofrecemos un excelente Diplomado en ISO 27001 que no solo proporciona un conocimiento general necesario, sino que también brinda información específica sobre los controles de seguridad.
Aproveche la oportunidad de inscribirse en la convocatoria actual y acceda a este diplomado que le permitirá adquirir las habilidades y conocimientos necesarios para implementar y gestionar adecuadamente la seguridad de la información según los estándares de la norma ISO 27001.