ISO 27001: Acceso a los sistemas de información
ISO 27001
ISO 27001 es una herramienta perfecta para controlar la seguridad de la información y aplicar medios que permitan conseguirla.
Pero, en una empresa, ya sea pequeña, mediana o grande existen diferentes empleados, encargados de distintos tipos de tareas, y no todos tienen acceso a toda la información de la misma, entonces ¿Cómo se controla el acceso a los sistemas de información?
Lo primero de todo para controlar el acceso es identificar qué usuarios que tienen derecho a acceder a cada tipo de información, los cuales accederán a ella mediante:
- Autenticación: proceso por el que el usuario de identifica en el equipo donde se alojan los recursos a los que quiere acceder.
- Autorización: proceso mediante el que el usuario obtiene los privilegios necesarios para poder tratar la información.
En consonancia a este tema y a los Sistemas de Gestión de Seguridad de la Información ISO-27001, existen una serie de cuestiones a resolver tales como la definición de una política de control de acceso, la gestión de acceso de usuarios o las responsabilidades de estos últimos.
Política de control de acceso
Toda política de control de acceso definida necesariamente tendrá en cuenta los requisitos de seguridad y el desarrollo de negocio. La política es un documento que debe:
- Establecer unas reglas de acceso, físicas y lógicas, para cada tipo de usuario.
- Tener en cuenta la política existente sobre clasificación de la información para la asignación de privilegios.
- Considerar la normativa y legislación aplicable.
- Ser actualizada y revisada periódicamente.
En este tema se debe considerar de qué forma o qué procedimiento se va a utilizar para conceder privilegios de acceso y quienes van a ser los responsables de los mismos, evitando que la persona que autoriza y cambia los permisos sea la misma.
Es decir, debe existir una segregación de tareas en todo el proceso relacionado con el acceso: requerimiento, autorización y administración del acceso. Esta actividad es comparable con la asignación de roles, responsabilidades y autoridades que plantea ISO 27001:2013 para el SGSI.
Gestión de acceso del usuario
A la hora de gestionar el control de acceso, es necesario definir unos procedimientos que describan cómo gestionar los privilegios de los usuarios. Estos procedimientos son:
- Registro de usuario
Se trata de un procedimiento para otorgar y revocar permisos de acceso a los sistemas pertinentes. Cada usuario dispondrá de un identificador que será único para poder asignar responsabilidades, y deberán confirmar que conocen y entienden los derechos de acceso de los que son poseedores.
Existirá un listado de usuarios con sus correspondientes privilegios y derechos que se deberá revisar de forma periódica para mantenerlo actualizado y conforme a la política de control de acceso. El cómo, cuándo y por qué se va a realizar dicha revisión se establecerá en un procedimiento formal.
- Gestión de privilegios
En este caso lo que queremos es establecer un proceso para autorizar la concesión o revocación de privilegios. Para cada sistema se necesita contemplar el tipo de privilegios y la asignación de cada usuario. Los privilegios se asignarán según la necesidad de uso o los requerimientos de usuarios durante el tiempo necesario.
- Gestión de contraseñas de los usuarios
Una contraseña es un buen aliado para el SGSI de ISO 27001, y es el medio mediante el cual un usuario verifica su identidad en un sistema al que accede. Esta es la técnica más habitual pero existen otras como la tecnología biométrica, tarjetas inteligentes…
Si la organización lo cree conveniente se puede plantear que los usuarios firmen un compromiso de confidencialidad de su contraseña personal.
La contraseña la suministrará un administrador que y bien puede ser gestionada por él mismo y cambiarla cuando esté previsto o puede ser gestionada por el propio usuario. En este último caso la organización se debe asegurar que dicha gestión se realiza de acuerdo a la política definida.
Si las contraseñas están almacenadas en un equipo, éste debe utilizar un cifrado seguro que garantice su confidencialidad.
Responsabilidades de usuario
Cualquier usuario que tenga acceso a los activos de la empresa y a su tratamiento tiene responsabilidades con el sistema. Los usuarios deben ser conscientes de esta responsabilidad y trabajar para que el sistema de control de acceso y el SGSI sea eficaz.
Otras responsabilidades más específicas que tiene el usuario son las relativas a la gestión de contraseñas, protección de equipos o gestión del puesto de trabajo.
Respecto al primero tema, es necesario que exista una política de gestión de contraseñas que defina unas buenas prácticas de seguridad. La contraseña deberá tener cierta calidad referente a la longitud y juego de caracteres utilizados. Una buena gestión de contraseñas incluye el cambio periódico de las mismas o el cambio en caso de que haya algún incidente, nunca se reutilizarán contraseñas antiguas.
El usuario está en la obligación de mantener la confidencialidad de las contraseñas, no podrá compartirlas con otras personas ni aplicarlas en algún sistema de almacenamiento.
Respecto a la protección de equipos, cualquier trabajador debe asegurar que su equipo no es accesible cuando el puesto de trabajo está desatendido. Lo más habitual es el uso de protectores de pantalla con contraseña que aparecerán cuando la persona se ausente.
Otra técnica para reducir riesgos de acceso no autorizados a la información es implantar una política de puesto de trabajo despejado y pantalla limpia. Además del puesto de trabajo, hay que ocuparse de los soportes de información, hay que guardarlos cuando no se utilicen, de las entradas y salidas de correo postal, de las máquinas de fax, impresoras y fotocopiadoras.
Cualquier control que se aplique en la organización sobre seguridad de la información deberá estar en consonancia con el nivel de criticidad de la información y de los recursos disponibles.
En conclusión como responsabilidades de los usuarios en seguridad de la información encontramos:
- La gestión de contraseñas.
- La protección de equipos desatendidos.
- Seguir una política de puesto de trabajo despejado y pantalla limpia.
Software para ISO 27001
El Software ISO para los Sistemas de Gestión de Seguridad de la Información es una herramienta que cuenta con una serie de aplicaciones específicas para esta temática tales como evaluación de riesgos de seguridad de la información o aplicaciones de autodiagnóstico que dan la posibilidad de automatizar la implantación y mantenimiento de la norma ISO27001 de forma eficaz en cualquier tipo de organización, independientemente de su sector o tamaño.