Control A9 de Acceso, ISO 2700

por | May 7, 2021 | Controles ISO 27001, Implementando ISO 27001

Parte 1. Conociendo e implementando controles de Acceso y Seguridad, bajo estándares y metodologías ISO 27001. Control A9.

 Administrar infraestructura TIC bajo modelos probados y aprobados internacionalmente conlleva grandes beneficios para las empresas que adoptan e implementan adecuadamente estas normas, tal es el caso de los estándares ISO y en particular de la Norma ISO 27001 relativa a Gestión de la Seguridad de la Información.

En estos tiempos de distanciamiento social por la Pandemia, realizamos Home office o Teletrabajo y por ello se debe poner especial foco y análisis sobre las amenazas globales a nuestra infraestructura TIC y por supuesto a nuestra Información empresarial en ella contenida.

Hacerlo de esta forma da el valor a la adecuada toma de decisiones estratégicas, la cual está en riesgo continuo de ser bloqueada o inhabilitada por factores y acciones naturales o humanas, y, por lo tanto, de quedar fuera de operaciones con las desastrosas consecuencias que traería al negocio.

En esta serie de artículos relativos al Anexo A y a los controles de la Norma ISO 27001 no detallaremos a profundidad los aspectos relativos a la documentación, definición, auditoría para certificación y certificación propiamente dicha de la norma ISO 27001, pues esto es motivo de otro análisis.

El Control de Acceso A9 ISO 27001 permite a usuarios autorizados acceder a aplicaciones y su información, mientras restringe el acceso a otros usuarios no autorizados.

Control de Acceso y Seguridad A9

Este control, se puede subdividir en 4 temas fundamentales:

  1. Los requisitos del negocio para el control de acceso
  2. La gestión del acceso de los usuarios
  3. El control de acceso a aplicaciones y sistemas y, por último,
  4. Las responsabilidades del usuario.

Adelante describimos los incisos relacionados a este importante Dominio y Control A9.

Ciberseguridad en tiempos de Pandemia

Dado que hablamos de seguridad y nos referimos específicamente a la información, esta serie de artículos harán referencia a los Controles de Seguridad bajo el estándar ISO 27001, y, debido a la situación mundial actual en términos de Ciberseguridad, mencionaremos tres de ellos que deberían ser completa y correctamente implementados en el corto plazo, dado su alto impacto negativo a las operaciones y por lo común de su incidencia en ambientes TIC:

  • Control A9 referido al Control de Acceso, motivo de este artículo.
  • Control A12 Seguridad de las operaciones, será la parte 2.
  • Control A17 Aspectos de la seguridad para la gestión de la Continuidad del Negocio, Parte 3.

Como ya definimos, y dada nuestra realidad y las tendencias informáticas de ciberseguridad para este año 2021, iniciamos con el primero de ellos.

Análisis de Riesgos en las aplicaciones

Partamos de la premisa de que una gran fuente de ataques informáticos se origina por el uso poco metodológico y poco seguro de aplicaciones críticas (CRM, Correo, DB, etc..) lo cual, al ser una fuente primaria y conocida de riesgo, debe robustecerse tanto como sea posible, pues a través de estas aplicaciones de negocio, es como comúnmente se afectan e inhabilitan los sistemas TIC.

 Tomando el enfoque de análisis de riesgo, podemos decir que, según datos de la industria, de todos los ataques, un gran porcentaje fueron oportunistas, esto es al azar.

Otro modus operandi utilizado, son los ataques por la vía del sabotaje y cabe destacar que gran parte de estos fueron llevados a cabo por ex-colaboradores y espías informáticos que, utilizando principalmente el correo corporativo como fuente primaria, lograron en el 75% de los casos, inocular el código malicioso tipo “malware”.

Aproximadamente el 74% de las empresas reportaron que tienen implementados filtros de correo, y el 62% IDS (Intrusion Detection System)

Ejemplos y recomendaciones

A manera de definición y planeación de ejecución, para entender en dónde estamos parados actualmente, deberíamos de tener evidencias y resultados concretos al preguntarnos lo siguiente: ¿Cómo saber si hay solidez y seguridad de acceso en nuestro actual entorno?

En un análisis inicial es necesario considerar un mínimo de aspectos en términos de la implementación de las políticas y los procedimientos (preferentemente automatizados) y su adecuado uso. 

Por esta razón deben ser analizados y revisados a detalle los siguientes servicios de nuestra(s) aplicación(es), que, a manera de ejemplo representativo, el correo corporativo:

  • Dominio
  • Directorio
  • Certificación
  • Federación
  • Gestión de derechos
  • Administración de identidad y acceso local y/o remoto

Este es el punto de partida para robustecer el control de acceso, al menos en esta importante fuente particular de peligro, el correo, de una manera metodológica que provea a nuestros usuarios con un acceso local o remoto seguro y supervisado.

La recomendación es que mantengas un contrato de soporte con el fabricante, que permita las actualizaciones de las aplicaciones de manera regular. Las actualizaciones generalmente están relacionadas a minimizar Riesgos y Vulnerabilidades por medios de parches.

Otra recomendación es acercarte a expertos en Ciberseguridad para realizar pruebas de Penetración y Análisis de Vulnerabilidades. El resultado mostrará aquellos puertos y bugs de software por lo que podría entrar un Cibercriminal.

El beneficio será que con una implementación sólida y con el asesoramiento de nuestros SOCIOS TECNOLÓGICOS CONSULTORES expertos del tema, además de reforzar y mejorar el control de acceso, y por lo tanto la seguridad de la información, se avanza en el camino del cumplimiento de la norma ISO 27001 y el Control de Acceso A9.

Sección A9 del Anexo A

Como parte de una gestión adecuada del control de acceso A9 Norma ISO 27001, es importante mencionar que existen sub-cláusulas o subíndices y tecnologías relacionadas con cada uno.

A.9.1.1 Política de control de acceso

A.9.1.2 Acceso a redes y servicios de red

A.9.2.1 Registro de usuarios y anulación de registro

A.9.2.2 Aprovisionamiento de acceso de usuario

A.9.2.3 Gestión de derechos de acceso privilegiado

A.9.2.4 Gestión de información secreta de autenticación de usuarios

A.9.2.5 Revisión de los derechos de acceso del usuario

A.9.2.6 Eliminación o ajuste de los derechos de acceso

A.9.3.1 Uso de información secreta de autenticación

A.9.4.1 Restricción de acceso a la información

A.9.4.2 Procedimientos de inicio seguro

A.9.4.3 Sistema de gestión de contraseñas

A.9.4.4 Uso de programas de utilidad privilegiada

A.9.4.5 Control de acceso al código fuente del programa

0 comentarios
Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tecnologías TIC Relacionadas

En otros artículos profundizaremos en cada una de las sub-cláusulas o subíndices , ubicando tecnologías TIC y recomendaciones.  Sin embargo, podemos adelantar que debes de considerar ahora mismo:

Como última recomendación, pero no menos importante que la tecnología apropiada, es buscar a Consultores especialistas en Tecnologías de Información que te apoyarán a facilitar el camino y marcar la diferencia.

conclusiones

Debido a los miles de ataques informáticos o Ciberataques, el Foro Económico Mundial ha determinado que la Ciberseguridad es un elemento que debe ser mandatorio en todas las organizaciones. La Ciberdelincuencia un riesgo para la Humanidad de proporciones semejantes a la falta de agua, clima, economía y pandemias.

Implementar planes basados en la Norma ISO 27001, Anexo A, 14 dominios y 114 Controles para la Protección de la Seguridad es una estrategia obligada para aquellas empresas que quieren preservarse en el mercado en base a su agilidad, flexibilidad y resiliencia.

En futuras publicaciones, abordaremos detalles específicos de los diferentes controles de seguridad y tecnologías asociadas.

No dejes de revisar nuestros artículos y suscríbete para recibir ideas de cómo proteger la información de tu empresa.

Cuestionario ISO 27001 en línea sin costo
Cuestionario ISO 27001 en línea sin costo

Artículos relacionados ISO 27001

Caja Fuerte Antiransomware
Diagnóstica tu Organización en ISO27001 Aquí
Share This

Comparte

Con tus Colegas y Amigos