ISO 27001 ¿Cómo mejorar la seguridad de la información en las organizaciones?
ISO 27001
La norma ISO 27001 es un estándar internacional que mejora la seguridad de la información en las organizaciones que deciden implantar un Sistema de Gestión en Seguridad de la Información. Durante este post vamos a hablar sobre el control que se debe tener en cuenta a la hora de acceder a los sistemas operativos de la organización.
Por la función que realizan los sistemas operativos, estos suelen resultar críticos en el funcionamiento de las aplicaciones. Por lo que surge la necesidad de controlar el acceso mediante una configuración del sistema.
Según establece la norma ISO27001, es recomendable tener definido un procedimiento que controle la entrada en los sistemas operativos, donde se debe indicar la gestión de todos los eventos que se encuentren asociados. Todo el proceso de debe ser lo más confidencial posible, para lograrlo no se debe mostrar información o ayuda alguna a la hora de acceder al sistema operativo de la organización. Otra cosa a tener en cuenta es el registro de todos los intentos de acceso al sistema, tanto los que se produzcan exitosamente como los fallidos y si se alcanza un número determinado de intentos fallidos se interrumpa inmediatamente el proceso.
Cada uno de los usuarios del sistema debe tener su propio identificador, de uso exclusivo que le sirva para poder asignar las diferentes responsabilidades sobre las acciones que han quedado registradas. Si se dispone de un identificador que se encuentra asociado a diferentes grupos de personas, este grupo debe ser autorizado por la alta dirección de la organización y se deben implicar un mínimo de controles de monitorización adicionales. El control que se lleve a cabo para la autentificación del usuario debe ir en concordancia con la importancia de los datos que deba manejar y el tratamiento que se proporciona para que puedan acceder a estos.
Si la autentificación del usuario es mediante contraseña, se tiene que establecer una política de gestión que asegure la eficacia y la fortaleza de esta. Las cosas más importantes a tener en cuenta en estos casos son:
- Definir un procedimiento de registro de nuevos usuarios, así como la retirada de este una vez ya no esté disponible.
- Los usuarios deben disponer de un identificador personal, dependiendo de su cargo en la empresa.
- Restringir el uso de privilegios, que deben ser otorgados según las necesidades de uso que tengan.
- Se debe definir un procedimiento de asignación de contraseñas.
- Revisar los derechos de acceso de los usuarios de forma regular, por si cambia algo tenerlo actualizado.
En cada uno de los equipos existen aplicaciones que solo pueden ser manejadas por el administrador del sistema, que tiene la capacidad de invalidad los controles de acceso al mismo. La utilización de estos programas debe estar perfectamente controlada y restringida. Para ello se pueden usar controles que limiten el uso y disminuyan la utilización de recursos al mínimo número de usuarios disponibles, se pueden segregar las tareas pendientes y se deben registrar todas las acciones realizadas.
Se deben realizar unos controles básicos de seguridad que pueden equivaler a la desconexión de la sesión de usuario después de cierto tiempo de inactividad. Se debe cerrar por completo la aplicación o recurrir a un protector de pantalla protegido con contraseña. Se debe limitar el tiempo de conexión, incluye sin que haya periodo de inactividad, con esto se controlan los tiempos habituales de realización de las diferentes actividad y se puede prevenir la utilización no autorizada del sistema.
En conclusión hacia esto poder hacer el siguiente resumen. El principal objetivo es prevenir el acceso no autorizado al sistema de la organización y para ello se deben de seguir una serie de pautas básicas, las cuales son recomendadas a la hora de implantar un Sistema de Gestión de la Seguridad de la Información basado en la norma ISO-27001 :
- Se deben establecer controles de acceso a los sistemas operativos de la organización. El procedimiento a seguir para entrar en el sistema debe seguir una serie de reglas básicas de información sobre el sistema operativo.
- Identificación única para cada usuario, que corresponda con el cargo que tenga en la organización para poder generar las responsabilidades.
- Establecer los suficientes controles para gestionar las contraseñas. Se deben modificar cada cierto tiempo, además se debe controlar las nuevas contraseñas y las obsoletas.
- Se deben restringir la utilización de programas informáticos que invalida controles.
- Se deben cerrar las sesiones en un periodo de tiempo estipulado si no se está produciendo actividad.
- Limitar el tiempo de conexión para reforzar la seguridad de las aplicaciones.
Se debe llevar a cabo un control exhaustivo del acceso a las aplicaciones que se ocupan de los activos de la organización. Este control debe permitir el acceso solo de los usuarios autorizados según la política de privilegios que se encuentre perfectamente definida.
Dentro de cada aplicación utilizada por la empresa, se debe controlar todos los posibles accesos a dichas aplicaciones. La norma ISO 27001 puede implementar los controles necesarios que garanticen el respeto de los privilegios que determinan acciones, como se deben crear y ejecutar, insertar, modificar o borrar la información o consultar todos los datos de alto nivel de privacidad de la organización. Otro factor importante es controlar que todas las aplicaciones de la organización se conectan y con qué privilegios. La salida de la información hacia otras aplicaciones debe estar registrada para poder llevar a cabo su monitorización.
La organización debe diponer de alguna apliación que se encarge de la información de alto nivel de sensibilidad y que requiera que los equipos de acceso encuerntren un entorno aislado, este aislamiento puede ser:
- Físico: se llevar a cabo en un equipo exclusivamente.
- Lógico: se comparte recursos mediante aplicaciones de confianza.
Software para ISO 27001
El Software ISO 27001 incluye en su metodología de trabajo este requisito entre otros, para proporcionar un Sistema de Gestión de Seguridad de la Información eficaz, eficiente y automatizado, lo que facilitará el trabajo en numerosas organizaciones.