Parte 1. Conociendo e implementando controles de Acceso y Seguridad, bajo estándares y metodologías ISO 27001. Control A9.
Administrar infraestructura TIC bajo modelos probados y aprobados internacionalmente conlleva grandes beneficios para las empresas que adoptan e implementan adecuadamente estas normas, tal es el caso de los estándares ISO y en particular de la Norma ISO 27001 relativa a Gestión de la Seguridad de la Información.
En estos tiempos de distanciamiento social por la Pandemia, realizamos Home office o Teletrabajo y por ello se debe poner especial foco y análisis sobre las amenazas globales a nuestra infraestructura TIC y por supuesto a nuestra Información empresarial en ella contenida.
Hacerlo de esta forma da el valor a la adecuada toma de decisiones estratégicas, la cual está en riesgo continuo de ser bloqueada o inhabilitada por factores y acciones naturales o humanas, y, por lo tanto, de quedar fuera de operaciones con las desastrosas consecuencias que traería al negocio.
En esta serie de artículos relativos al Anexo A y a los controles de la Norma ISO 27001 no detallaremos a profundidad los aspectos relativos a la documentación, definición, auditoría para certificación y certificación propiamente dicha de la norma ISO 27001, pues esto es motivo de otro análisis.
El Control de Acceso A9 ISO 27001 permite a usuarios autorizados acceder a aplicaciones y su información, mientras restringe el acceso a otros usuarios no autorizados.
Control de Acceso y Seguridad A9
Este control, se puede subdividir en 4 temas fundamentales:
- Los requisitos del negocio para el control de acceso
- La gestión del acceso de los usuarios
- El control de acceso a aplicaciones y sistemas y, por último,
- Las responsabilidades del usuario.
Adelante describimos los incisos relacionados a este importante Dominio y Control A9.
Ciberseguridad en tiempos de Pandemia
Dado que hablamos de seguridad y nos referimos específicamente a la información, esta serie de artículos harán referencia a los Controles de Seguridad bajo el estándar ISO 27001, y, debido a la situación mundial actual en términos de Ciberseguridad, mencionaremos tres de ellos que deberían ser completa y correctamente implementados en el corto plazo, dado su alto impacto negativo a las operaciones y por lo común de su incidencia en ambientes TIC:
- Control A9 referido al Control de Acceso, motivo de este artículo.
- Control A12 Seguridad de las operaciones, será la parte 2.
- Control A17 Aspectos de la seguridad para la gestión de la Continuidad del Negocio, Parte 3.
Como ya definimos, y dada nuestra realidad y las tendencias informáticas de ciberseguridad para este año 2021, iniciamos con el primero de ellos.
Análisis de Riesgos en las aplicaciones
Partamos de la premisa de que una gran fuente de ataques informáticos se origina por el uso poco metodológico y poco seguro de aplicaciones críticas (CRM, Correo, DB, etc..) lo cual, al ser una fuente primaria y conocida de riesgo, debe robustecerse tanto como sea posible, pues a través de estas aplicaciones de negocio, es como comúnmente se afectan e inhabilitan los sistemas TIC.
Tomando el enfoque de análisis de riesgo, podemos decir que, según datos de la industria, de todos los ataques, un gran porcentaje fueron oportunistas, esto es al azar.
Otro modus operandi utilizado, son los ataques por la vía del sabotaje y cabe destacar que gran parte de estos fueron llevados a cabo por ex-colaboradores y espías informáticos que, utilizando principalmente el correo corporativo como fuente primaria, lograron en el 75% de los casos, inocular el código malicioso tipo “malware”.
Aproximadamente el 74% de las empresas reportaron que tienen implementados filtros de correo, y el 62% IDS (Intrusion Detection System)
Ejemplos y recomendaciones
A manera de definición y planeación de ejecución, para entender en dónde estamos parados actualmente, deberíamos de tener evidencias y resultados concretos al preguntarnos lo siguiente: ¿Cómo saber si hay solidez y seguridad de acceso en nuestro actual entorno?
En un análisis inicial es necesario considerar un mínimo de aspectos en términos de la implementación de las políticas y los procedimientos (preferentemente automatizados) y su adecuado uso.
Por esta razón deben ser analizados y revisados a detalle los siguientes servicios de nuestra(s) aplicación(es), que, a manera de ejemplo representativo, el correo corporativo:
- Dominio
- Directorio
- Certificación
- Federación
- Gestión de derechos
- Administración de identidad y acceso local y/o remoto
Este es el punto de partida para robustecer el control de acceso, al menos en esta importante fuente particular de peligro, el correo, de una manera metodológica que provea a nuestros usuarios con un acceso local o remoto seguro y supervisado.
La recomendación es que mantengas un contrato de soporte con el fabricante, que permita las actualizaciones de las aplicaciones de manera regular. Las actualizaciones generalmente están relacionadas a minimizar Riesgos y Vulnerabilidades por medios de parches.
Otra recomendación es acercarte a expertos en Ciberseguridad para realizar pruebas de Penetración y Análisis de Vulnerabilidades. El resultado mostrará aquellos puertos y bugs de software por lo que podría entrar un Cibercriminal.
El beneficio será que con una implementación sólida y con el asesoramiento de nuestros SOCIOS TECNOLÓGICOS CONSULTORES expertos del tema, además de reforzar y mejorar el control de acceso, y por lo tanto la seguridad de la información, se avanza en el camino del cumplimiento de la norma ISO 27001 y el Control de Acceso A9.
Sección A9 del Anexo A
Como parte de una gestión adecuada del control de acceso A9 Norma ISO 27001, es importante mencionar que existen sub-cláusulas o subíndices y tecnologías relacionadas con cada uno.
A.9.1.1 Política de control de acceso
A.9.1.2 Acceso a redes y servicios de red
A.9.2.1 Registro de usuarios y anulación de registro
A.9.2.2 Aprovisionamiento de acceso de usuario
A.9.2.3 Gestión de derechos de acceso privilegiado
A.9.2.4 Gestión de información secreta de autenticación de usuarios
A.9.2.5 Revisión de los derechos de acceso del usuario
A.9.2.6 Eliminación o ajuste de los derechos de acceso
A.9.3.1 Uso de información secreta de autenticación
A.9.4.1 Restricción de acceso a la información
A.9.4.2 Procedimientos de inicio seguro
A.9.4.3 Sistema de gestión de contraseñas
A.9.4.4 Uso de programas de utilidad privilegiada
A.9.4.5 Control de acceso al código fuente del programa
0 comentarios