¿Cómo controlar el acceso según la norma ISO IEC 27001?
IEC 27001
La norma ISO IEC 27001 nos ayuda a controlar el acceso, por lo general es una actividad técnica que tiene relación con la apertura de cuentas, el establecimiento de contraseñas y cosas similares. El control de acceso incluye todas esas acciones, pero el control de acceso no comienza como algo técnico sino que empieza como una decisión de negocios.
La norma ISO IEC 27001 nos ofrece un total de 14 controles dentro de la sección A.9 del Anexo A, representan más del 12% del total de controles de la norma, esto significa que el tema es muy importante.
Los requerimientos del negocio de control de acceso
Esta sección de la norma establece la política de control de acceso, y se utiliza para definir los usuarios que tienen acceso a las redes y servicios de la organización. Esto significa que se deben establecer las reglas primero y sólo entonces se debe permitir a los usuarios navegar por las redes y servicios.
La configuración de las reglas de acceso se puede realizar de diferentes maneras, pero por regla general se utilizan dos enfoques:
- El primero permite definir todos los perfiles de usuario, cada uno con su nivel de acceso. En función al puesto de trabajo que desarrolle en la organización se le asigna un perfil de usuario correspondiente, de esta forma se puede definir una regla para todos los usuarios de la compañía.
- El segundo enfoque sirve para definir a las personas propietarias de activos, es decir, los que deben aprobar el acceso a ciertos usuarios cada vez que son necesitados para acceder a los activos. Este segundo enfoque requiere de mucho más tiempo.
Como regla general se realiza la combinación de los dos enfoques. La política de control de acceso según la norma ISO IEC 27001 se puede centrar sólo en los Sistemas de Gestión de Seguridad de la Información y en el acceso físico a zonas seguras. En realidad no existe mucha diferencia entre el permiso que se otorga para el acceso a zonas físicas con el que se otorga para el acceso a los sistemas de información.
Gestión de acceso de usuario
Ahora comenzamos con la parte más técnica en la que se debe definir la manera que tienen los usuarios de registrar sus sistemas, los datos que les son asignados para el acceso y cómo se gestionan dichos datos de autentificación.
Es necesario conocer quién será la persona encargada de ofrecer dichos privilegios, es decir, si por algún casual es necesario que se ceda un permiso extraordinario debe existir un encargado de ello. Lo que hacen las organizaciones por regla general es que definen diferentes perfiles de usuario, y en el caso de que suceda un caso como el nombrado anteriormente será considerado acceso privilegiado y el propietario de los activos de información debe aprobar dicha excepción.
Siempre existen estas excepciones, los propietarios de activos tiene que revisar cada cierto tiempo las personas que disponen de accesos privilegiados y decidir si todavía lo necesitan.
Por último, debe existir un proceso de eliminación de todos los derechos de acceso cuando alguien deja la compañía o modificarlo cuando alguien cambie de puesto dentro de la empresa. Muchas veces ha sucedido que la gente tiene acceso a los sistemas un par de años después de haber dejado la organización, y esto sucede porque alguien no se ha acordado de cerrar dicho acceso.
Se pueden definir todas las reglas en la misma política de control de acceso o se pueden realizar diferentes documentos para dicho propósito.
Responsabilidades del usuario
En esta breve sección se requiere que se definan todos los usuarios que van a mantener en secreto la información de autentificación. Se realiza de forma general mediante algún documento, como puede ser la política de uso aceptable que incluyen los siguientes requisitos:
- No escribir las contraseñas
- No revelárselas a nadie
- No utilizar la misma contraseña en diferentes sistemas, etc.
Sistema de control de acceso y aplicación
Ahora la cosa se pone mucho más técnica, el responsable se tendrá que asegurar de que el acceso a los sistemas de información sea compatible con la política de control de acceso, que el acceso se encuentra protegido, que las contraseñas son complejas, etc.
Si la organización se encuentra desarrollando programas, se debe establecer cómo proteger el acceso al código fuente, por regla general el acceso se define en la política de control de acceso.
Se tiene que definir la manera de proteger la información de accesos no deseados cuando se están utilizando herramientas de software especiales que permiten el acceso a la información de forma directa, sin pasar por los sistemas de control establecidos. Normalmente las únicas personas que tienen acceso suelen ser los administradores del sistema.
La utilización de ciertas herramientas tiene que estar restringido, se permite su utilización en circunstancias muy específicas y bajo la supervisión de un experto.
Como conclusión podemos decir que no tener el control de acceso establecido significa no tener seguridad, siendo este uno de los principales problemas de seguridad de la información. El control de acceso debe ser diseñado para que sea seguro y aceptado por los usuarios. Lo único que no se puede permitir es establecer un sistema muy ambicioso en el que se deban cambiar las contraseñas de todo cada mes y los trabajadores rechacen el sistema porque piensen que no práctico.
Software ISO 27001
El Software ISOTools Excellence para ISO IEC 27001 se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.