Norma ISO 27002: control de accesos
Norma ISO 27002
El objetivo de la norma ISO 27002 es controlar el acceso mediante un sistema de restricciones y excepciones a la información como base de todo Sistema de Seguridad de la Información.
Para impedir el acceso no autorizado al Sistema de Gestión de Seguridad de la Información según la norma ISO 27002 se deberán implantar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar de forma clara en los documentos, los comunicados y controlarlos en cuanto a su cumplimiento.
Los procedimientos comprenden todas las etapas de ciclo de vida de los accesos de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privación final de los derechos de todos los usuarios que ya no requieren el acceso.
La cooperación de todos los usuarios es esencial para la eficiencia de la seguridad, por lo que es necesario que se conciencie sobre las responsabilidades que tiene el mantenimiento de los controles de acceso eficientes, en particular aquellos que se relacionan con la utilización de las contraseñas y la seguridad del equipamiento.
9.1 Requisitos de negocio para el control de accesos
Es necesario controlar los accesos de la información, los recursos de tratamiento de la información y los procesos de negocio, según la norma ISO 27002, en base a las necesidades de seguridad y de negocio de la empresa.
Las regulaciones para el control de los accesos deben considerar las políticas de distribución de la información y de autorizaciones.
Los propietarios de activos de información son responsables ante la dirección de la protección de los activos que deben tener la capacidad de definir o aprobar las reglas de control de acceso y otros controles de seguridad. Es necesario asegurarse de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes.
Actividades de control del riesgo
Política de control de accesos
Es necesario establecer, documentar y revisar la política de control de accesos en base a las necesidades de seguridad y de negocio en la empresa.
Control de acceso a las redes y servicios asociados
Es necesario proveer a los usuarios de los accesos a redes y los servicios de red para los que han sido de forma expresa autorizados para que sean utilizados.
9.2 Gestión de acceso de usuario
Según establecer la norma ISO 27002 es necesario establecer procedimientos formales para controlar la asignación de los permisos de acceso a los sistemas y servicios de información.
Los procedimientos tienen que cubrir todas las etapas del ciclo de vida durante el acceso de los usuarios, desde el registro inicial hasta los nuevos usuarios y en el momento en que se realice su baja cuando ya no sea necesario su acceso a los sistemas y servicios de información.
Es necesario prestar especial atención, si fuera oportuno, a la necesidad de controlar la asignación de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema.
Actividades de control del riesgo
Gestión de altas/bajas en el registro de usuarios
Debería existir un procedimiento formal de alta y baja de usuarios con objeto de habilitar la asignación de todos los derechos de acceso.
Gestión de los derechos de acceso asignados a usuarios
Es necesario implementar un proceso formal de aprovisionamiento de accesos a los usuarios para asignar o revocar los derechos de acceso de todos los tipos de usuarios y para todos los sistemas y servicios.
Gestión de los derechos de acceso con privilegios especiales
La utilización de los derechos de acceso con privilegios especiales debe ser restringida y controlados.
Gestión de información confidencial de autenticación de usuarios
La asignación de información confidencial para la autenticación debe ser controlada mediante un proceso de gestión controlado.
Revisión de los derechos de acceso de los usuarios
Todos los propietarios de los activos tienen que revisar con regularidad de los derechos de acceso de los usuarios.
Retirada o adaptación de los derechos de acceso
Es necesario retirar los derechos de acceso a todos los trabajadores, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del trabajo, contrato o acuerdo, o ser revisados en caso de cambio.
9.3 Responsabilidades del usuario
La cooperación de los usuarios autorizados es esencial para una seguridad efectiva. Todos los usuarios deben ser conscientes de sus responsabilidades durante el mantenimiento de controles de acceso eficientes, en particular respecto a la utilización de las contraseñas y la seguridad en los equipos puestos en su disposición.
Es necesario implementar una política para mantener los escritorios y los monitores libres de cualquier información con objetivo de disminuir el riesgo de acceso no autorizados o el deterioro de documentos, medios y recursos para el tratamiento de la información.
Es necesario que se asegure de establecer las responsabilidades de seguridad y son entendidas por el personal afectado. Una buena estrategia es definir y documentar de forma clara todas las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo.
Son imprescindibles las revisiones periódicas para incluir cualquier cambio. Es necesario que se comunique de forma regular a los empleados de los perfiles de sus puestos, para recordarles sus responsabilidades y recoger cualquier cambio.
Actividades de control del riesgo
Uso de información confidencial para la autenticación
Se debería exigir a los usuarios la utilización de las buenas prácticas de seguridad de la organización en el uso de información confidencial para la autenticación.
9.4 Control de acceso a sistemas y aplicaciones
Los medios deben estar controlados y protegidos.
Es necesario establecer los procedimientos operativos adecuados para proteger los documentos, medios informáticos, datos de entrada o salida y documentación del sistema contra la divulgación, modificación, retirada o destrucción de los activos no autorizadas.
Es necesario que se asegure todos los soportes y la información en tránsito no solo físico sino electrónico. Es necesario que se cifren todos los datos sensibles o valiosos antes de ser transportados.
Actividades de control del riesgo
Restricción del acceso a la información
Es necesario que se restrinjan los accesos de los usuarios y el personal de mantenimiento a la información y funciones de los diferentes sistemas de aplicación, en relación con la política de control de accesos definidos.
Procedimientos seguros de inicio de sesión
Cuando sea requerido por la política de control de accesos se debe controlar el acceso a los sistemas y las aplicaciones mediante un procedimiento seguro.
Gestión de contraseñas de usuario
Todos los sistemas de gestión de contraseñas deben ser interactivos y asegurar contraseñas de calidad.
Uso de herramientas de administración de sistemas
La utilización de un software que pueden ser capaces de anular o evitar controles en aplicaciones y los sistemas deben estar restringidos y estrechamente controlados.
Control de acceso al código fuente de los programas
Es necesario restringir el acceso al código fuente de las aplicaciones del software.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.