- See Norma ISO 27002:2022 5.18 para obtener más información.
- See ISO 27001:2013 Anexo A 9.2.2 para obtener más información.
- See ISO 27001:2013 Anexo A 9.2.5 para obtener más información.
- See ISO 27001:2013 Anexo A 9.2.6 para obtener más información.
Comprensión del Anexo A 27001 de la norma ISO 5.18: Mejores prácticas para los derechos de acceso
Cada empleado dentro de su organización debe tener acceso a computadoras, bases de datos, sistemas de información y aplicaciones específicas para realizar sus tareas.
Por ejemplo, tu recursos humanos El departamento puede necesitar acceso a información médica confidencial sobre los empleados. Además, es posible que su departamento de finanzas necesite acceder y utilizar bases de datos que contengan información salarial de los empleados.
Debe proporcionar, modificar y revocar los derechos de acceso según la política de control de acceso y las medidas de control de acceso de la empresa. Esto evitará el acceso no autorizado, la modificación y la destrucción de activos de información.
Si no revoca los derechos de acceso de su ex empleado, ese empleado puede robar datos confidenciales.
Según ISO 27001:2022, el Control 5.18 del Anexo A aborda cómo se deben asignar, modificar y revocar los derechos de acceso en función de los requisitos comerciales.
¿Cuál es el propósito del Anexo A 27001 de la norma ISO 2022:5.18?
De acuerdo con el Anexo A Control 5.18, una organización puede implementar procedimientos y controles para asignar, modificar y revocar derechos de acceso a sistemas de información consistentes con su política de control de acceso.
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
¿Quién es propietario del Anexo A 5.18?
El Oficial de Seguridad de la Información debe ser responsable de establecer, implementar y revisar las reglas, procesos y controles apropiados para la provisión, modificación y revocación de derechos de acceso a los sistemas de información.
Es responsabilidad del responsable de seguridad de la información considerar cuidadosamente las necesidades comerciales al asignar, modificar y revocar derechos de acceso. Además, el oficial de seguridad de la información. debe trabajar en estrecha colaboración con los propietarios de activos de información para garantizar que se sigan las políticas y procedimientos.
Derechos de acceso: orientación sobre concesión y revocación
Para asignar o revocar derechos de acceso de todo tipo de usuarios a todos los sistemas y servicios, se debe implementar un proceso (por simple y documentado que sea). Lo ideal sería que se relacionara con los puntos anteriores y con la iniciativa más amplia de seguridad de recursos humanos.
Un sistema o servicio de información debe ser aprovisionado o revocado basándose en los siguientes criterios: autorización del propietario del sistema o servicio de información, verificación de que el acceso es apropiado para la función que se está desempeñando y protección contra el aprovisionamiento que se produce antes de que se haya obtenido la autorización.
A los usuarios siempre se les debe otorgar acceso según los requisitos comerciales como parte de un enfoque empresarial. Aunque esto pueda parecer burocrático, no tiene por qué serlo. Este problema se puede abordar eficazmente mediante la implementación de procedimientos efectivos con acceso basado en roles a los sistemas y servicios.
Revisión de los derechos de acceso de los usuarios
Los propietarios de activos deben revisar los derechos de acceso de los usuarios periódicamente durante los cambios individuales (incorporación, cambios de roles y salidas) y durante auditorías más amplias del acceso al sistema.
Las autorizaciones deben revisarse con más frecuencia a la luz del mayor riesgo asociado con derechos de acceso privilegiados. Al igual que con 9.2, esto debe hacerse al menos una vez al año o siempre que se hayan realizado cambios significativos.
Eliminar o ajustar los derechos de acceso
Es necesario eliminar los derechos de acceso de todos los empleados y usuarios externos a la información y a las instalaciones de procesamiento de información al finalizar su empleo, contrato o acuerdo (o ajustar sus derechos de acceso al cambiar de función, si es necesario).
Si las políticas y procedimientos de salida están bien diseñados y alineados con A.7, esto también se logrará y demostrado para fines de auditoría cuando los empleados se van.
Para la cesión y revocación de derechos de acceso a personas autentificadas, las organizaciones deberán incorporar las siguientes reglas y controles:
- Para acceder y utilizar activos de información relevantes, el propietario del activo de información debe autorizar el acceso y el uso. Además, las organizaciones deberían considerar solicitar una aprobación separada de la gerencia antes de otorgar derechos de acceso.
- Se deben tener en cuenta las necesidades comerciales de la organización y su política. en cuanto al control de acceso.
- Las organizaciones deberían considerar la separación de funciones. Por ejemplo, la aprobación y la implementación de los derechos de acceso pueden ser manejadas por personas separadas.
- Los derechos de acceso de una persona deben revocarse inmediatamente cuando ya no necesite acceso a los activos de información, especialmente si ha abandonado la organización.
- Se puede conceder un derecho de acceso temporal a los empleados u otro personal que trabaje temporalmente para la organización. Cuando dejen de ser empleados de la organización, sus derechos deberán ser revocados.
- La política de control de acceso de la organización debe determinar el nivel de acceso de un individuo y ser revisada y verificada periódicamente. Además, debe cumplir con otros requisitos de seguridad de la información, como ISO 27001:2022 Control 5.3, que especifica la segregación de funciones.
- La organización debe garantizar que los derechos de acceso se activen una vez que se haya completado el proceso de autorización adecuado.
- Los derechos de acceso asociados con cada identificación, como una identificación o una física, deben mantenerse en un sistema central de gestión de control de acceso.
- Es imperativo actualizar el nivel de derechos de acceso de un individuo si su función o deberes cambian.
- Se pueden utilizar los siguientes métodos para eliminar o modificar derechos de acceso físicos o lógicos: Eliminación o reemplazo de claves, tarjetas de identificación o información de autenticación.
- Es obligatorio registrar y mantener los cambios en los derechos de acceso físico y lógico de un usuario.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Directrices complementarias para la revisión de los derechos de acceso
Las revisiones periódicas de los derechos de acceso físico y lógico deben tener en cuenta lo siguiente:
- Cuando un usuario asciende o degrada dentro de la misma organización o cuando finaliza su empleo, sus derechos de acceso pueden cambiar.
- Procedimiento de autorización de acceso a privilegios.
Orientación sobre cambios de empleo o terminación del empleo
Se deben considerar los factores de riesgo. al evaluar y modificar los derechos de acceso de un empleado a los sistemas de procesamiento de información. Esto es antes de que sean ascendidos o degradados dentro de la misma organización:
- Esto incluye determinar si el empleado inició el proceso de despido o la organización lo inició y el motivo del despido.
- Una descripción de las responsabilidades actuales del empleado dentro de la organización.
- Acceso de los empleados a los activos de información y su importancia y valor.
Orientación suplementaria adicional
Se recomienda que las organizaciones establezcan roles de acceso de usuarios de acuerdo con sus requisitos comerciales. Además de los tipos y números de derechos de acceso que se otorgarán a cada grupo de usuarios, estos roles deben especificar el tipo de derechos de acceso.
Crear tales roles hará que solicitudes de acceso y derechos para ser gestionados y revisados más fácilmente.
Se recomienda que las organizaciones incluyan disposiciones en sus contratos de empleo/servicio con su personal que aborden el acceso no autorizado a sus sistemas y las sanciones por dicho acceso. Se deben seguir los controles 5.20, 6.2, 6.4 y 6.6 del Anexo A.
Las organizaciones deben tener cuidado al tratar con empleados descontentos despedidos por la dirección, ya que pueden dañar intencionalmente los sistemas de información.
Las organizaciones que decidan utilizar técnicas de clonación para otorgar derechos de acceso deben hacerlo en función de los roles que la organización haya definido.
Existe un riesgo asociado con la clonación en el sentido de que se pueden conceder derechos de acceso excesivos.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Cuáles son los cambios y diferencias con respecto a ISO 27001:2013?
ISO 27001:2022 Anexo A 5.18 reemplaza a ISO 27001:2013 Anexo A Controles 9.2.2, 9.2.5 y 9.2.6.
La versión 2022 contiene requisitos más completos para otorgar y revocar derechos de acceso
La versión 2013 del Anexo A Control 9.2.2 describió seis requisitos para asignar y revocar derechos de acceso; sin embargo, el Anexo A Control 5.18 introduce tres requisitos adicionales además de estos seis:
- Se podrán conceder temporalmente derechos de acceso temporal a empleados u otro personal que trabaje para la organización. Tan pronto como dejen de trabajar para la organización, estos derechos deberían ser revocados.
- La eliminación o modificación de derechos de acceso físicos o lógicos se puede lograr de las siguientes maneras: Eliminación o reemplazo de claves, tarjetas de identificación o información de autenticación.
- El cambio de los derechos de acceso físico o lógico de un usuario debe registrarse y documentarse.
Los requisitos de derechos de acceso privilegiado son más detallados en la versión 2013
Según ISO 27001:2013, el Anexo A Control 9.5 establece explícitamente que las organizaciones deben revisar la autorización de derechos de acceso privilegiados con más frecuencia que otros derechos de acceso. Este requisito no se incluyó en el Anexo A Control 5.18 en la Versión 2022.
Tabla de todos los controles del Anexo A de ISO 27001:2022
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Control:
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 |
Anexo A 5.1.1 Anexo A 5.1.2 |
Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 |
Anexo A 6.1.5 Anexo A 14.1.1 |
Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 |
Anexo A 8.1.1 Anexo A 8.1.2 |
Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 |
Anexo A 8.1.3 Anexo A 8.2.3 |
Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 |
Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 |
Transferencia de información |
| Controles organizacionales | Anexo A 5.15 |
Anexo A 9.1.1 Anexo A 9.1.2 |
Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 |
Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 |
Información de autenticación |
| Controles organizacionales | Anexo A 5.18 |
Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 |
Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 |
Anexo A 15.2.1 Anexo A 15.2.2 |
Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 |
Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 |
Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 |
Anexo A 18.1.1 Anexo A 18.1.5 |
Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 |
Anexo A 18.2.2 Anexo A 18.2.3 |
Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 |
Anexo A 16.1.2 Anexo A 16.1.3 |
Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 |
Anexo A 11.1.2 Anexo A 11.1.6 |
Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 |
Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 |
Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 |
Anexo A 6.2.1 Anexo A 11.2.8 |
Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 |
Anexo A 12.6.1 Anexo A 18.2.3 |
Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 |
Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 |
Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados Derechos de acceso |
| Controles Tecnológicos | Anexo A 8.19 |
Anexo A 12.5.1 Anexo A 12.6.2 |
Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 |
Anexo A 10.1.1 Anexo A 10.1.2 |
Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 |
Anexo A 14.1.2 Anexo A 14.1.3 |
Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Arquitectura de sistemas seguros y principios de ingeniería: aprendizaje a partir de incidentes de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 |
Anexo A 14.2.8 Anexo A 14.2.9 |
Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 |
Anexo A 12.1.4 Anexo A 14.2.6 |
Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 |
Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 |
Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
[caso_estudio_slider_id=”88859,101932,92016″ reproducción automática=”verdadero” velocidad_reproducción automática=”5000″]
Cómo ayuda ISMS.online
ISO 27001:2022, Anexo A 5.18, es una de las cláusulas más discutidas. Muchos sostienen que es la cláusula más importante de todo el documento.
Esto se debe a que toda la Sistema de Gestión de Seguridad de la Información (SGSI) Se basa en garantizar que las personas adecuadas tengan acceso a la información correcta en el momento oportuno. Para lograr el éxito es fundamental hacerlo bien, pero esto puede tener un impacto negativo significativo en su negocio.
Por ejemplo, imagínese si accidentalmente revelara información confidencial de un empleado a la persona equivocada, como el salario de cada empleado.
Un error aquí podría tener consecuencias importantes, por lo que vale la pena tomarse el tiempo para pensarlo detenidamente.
Nuestro La plataforma puede ser extremadamente útil. a este respecto. Como resultado, se adhiere a toda la estructura de ISO 27001, y le permite adoptar, adaptar y agregar contenido que proporcionamos. Esto le da una ventaja significativa. Por qué no programe una demostración para obtener más información?
