ISO 27001: Controlar el acceso no permitido

ISO 27001

La norma ISO 27001 nos ofrece ayuda a la hora de controlar el acceso a datos importantes de la organización, por lo general es una actividad técnica que tiene relación con la apertura de cuentas, establecer contraseña y cosas parecidas. El control de acceso incluye todas las acciones, pero el control de acceso no empieza por algo técnico sino que comienza como una decisión para el buen funcionamiento del negocio.

La norma ISO 27001 nos ofrece unos 14 controles dentro de la sección A.9 del Anexo A, se representan más del 12% de todos los controles, lo que significa que el tema toma mucha importancia.

Los requisitos del negocio para el control de acceso

Dentro de este apartado de la norma ISO 27001 lo que se debe hacer es realizar una política de control de acceso, y se usa para definir todos los usuarios que tienen acceso a las redes y a los servicios de la empresa. Lo que significa que se tienen que establecer primero unas reglas y sólo entonces se tiene que permitir a los usuarios navegar por todos los servicios y las redes.

La configuración de las reglas de acceso que pueda llevar a cabo de diferentes formas, pero por regla general se usan dos enfoques diferentes:

El primero define todos los perfiles de usuario, cada uno con su nivel de acceso. En función al puesto de trabajo que lleve a cabo en la empresa se le designará un perfil de usuario correspondiente, de esta manera se puede definir una regla para todos los usuarios de la organización.
El segundo enfoque se utiliza para definir a las personas propietarias de activos, es decir, los que tienen que aprobar el acceso a muchos usuarios y que son necesarios para acceder a los activos. Este enfoque necesita mucho más tiempo.

Como general se realiza la combinación de los enfoques. La política de control de acceso según la norma ISO 27001 que se puede centrar en los Sistemas de Gestión de Seguridad de la Información y en el acceso físico a las zonas seguras. En realidad no existe gran diferencia entre el permiso que da el acceso físico a algunas zonas y el acceso a los sistemas de información.

Gestión de acceso de usuario

Empezamos con la parte más técnica en la que tiene que definir la forma en la que los usuarios deben registrar sus sistemas, los datos que se les asignan para poder acceder y cómo se realiza la gestión de estos datos.

Será necesario conocer a la persona encargada de ofrecer los privilegios, es decir, si por alguna casualidad es necesario que se ceda un permiso extraordinario tiene que existir un encargado para ello. Lo que hacen las empresas es definir todos los perfiles de usuario, y en caso de que se de alguna situación como la que hemos nombrado anteriormente se considera un acceso privilegiado y el propietario de los activos de información tiene que aprobar dicha excepción.

No tener el control de acceso establecido, significa no tener seguridad, confía en #ISO27001

Click To Tweet

Existen diferentes excepciones, los propietarios de activos deben revisar, cada cierto tiempo, todas las personas que disponen de acceso privilegiados y tiene que decir si todavía lo necesitan.

Tiene que existir un proceso de eliminación de todos los derechos de acceso cuando alguien deja una compañía o la modifica en el momento que alguien cambia su puesto dentro de la organización. Muchas veces ha sucedido que las personas tienen acceso a los sistemas un par de años después de dejar la empresa, y esto sucede porque alguien no se ha acordado de cerrar el acceso.

Se pueden definir las reglas en la política de control de acceso o se puede llevar a cabo en diferentes documentos con el mismo propósito.

Responsabilidades del usuario

Esta sección establece la definición de los usuarios que deben mantener en secreto la información de autentificación. Se lleva a cabo de forma general mediante algún documento, como puede ser la política de utilización en la que se incluyen los siguientes requisitos:

No se pueden escribir las contraseñas
No se pueden reenviar a nadie
No se puede utilizar la misma contraseña para diferentes sistemas

Sistema de control de acceso y aplicación

La cosa se pone mucho más técnica, el responsable se tendrá que asegurar que el acceso a los sistemas de información sean compatibles con la política de control de acceso, controlar que el acceso se encuentra protegido, que las contraseñas son complejas, etc.

Si la empresa está desarrollando programas, se tiene que establecer como protegerá el acceso al código fuente, por regla general el acceso se define como la política de control de acceso.

Se debe definir la forma de proteger la información de accesos no deseados cuando se encuentran utilizando la herramienta de software especial para facilitar el acceso de información de forma directa, sin pasar por los sistemas de control establecidos. De forma normal las únicas personas que tienen acceso suelen ser los administradores del sistema.

Utilizar diferentes herramientas tiene que encontrarse restringido, se facilita la utilización en circunstancias muy específicas y bajo la supervisión de un experto.

En conclusión podemos decir que no tener controlado el acceso significa no tener seguridad, siendo este uno de los principales problemas de seguridad de la información. El control de acceso tiene que ser diseñado para que sea seguro y aceptado por los usuarios. Lo único que no se puede permitir el establecimiento de un sistema ambicioso en el que se tienen que cambiar las contraseñas de todo cada mes.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.