ISO 27001 – Anexo A.9: Control de acceso

¿Qué es el Anexo A.9?

El anexo A.9 trata sobre los procedimientos de control de acceso. El objetivo del Anexo A.9 es salvaguardar el acceso a la información y garantizar que los empleados solo puedan ver la información que sea relevante para su trabajo. Esta guía le explicará todo lo que necesita saber sobre el Anexo A.9.

El anexo A.9 está dividido en cuatro secciones y deberá trabajar en cada una de ellas. Son controles de acceso, gestión de acceso de usuarios, responsabilidades del usuario y controles de acceso a aplicaciones.

¿Cuál es el objetivo del Anexo A.9.1?

El anexo A.9.1 trata sobre los requisitos comerciales de control de acceso. El objetivo de este control del Anexo A es limitar el acceso a la información y a las instalaciones de procesamiento de información.

Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001. Entendamos esos requisitos y lo que significan con un poco más de profundidad.

A.9.1.1 Política de control de acceso

Se debe establecer, documentar y revisar periódicamente una política de control de acceso teniendo en cuenta los requisitos del negocio para los activos dentro del alcance.

Las reglas, derechos y restricciones de control de acceso, junto con la profundidad de los controles utilizados, deben reflejar los riesgos de seguridad de la información en torno a la información y el apetito de la organización por gestionarlos. En pocas palabras, el control de acceso se refiere a quién necesita saber, quién necesita usar y a qué acceso tiene acceso.

Los controles de acceso pueden ser de naturaleza digital y física, por ejemplo, restricciones de permisos en cuentas de usuario, así como limitaciones sobre quién puede acceder a ciertas ubicaciones físicas (alineadas con el Anexo A.11 Seguridad física y ambiental). La política debe tener en cuenta:

• Requisitos de seguridad de las aplicaciones comerciales y alinearse con el esquema de clasificación de información en uso según A.8 Gestión de activos;
• Aclarar quién necesita acceder, saber y quién necesita utilizar la información, respaldado por procedimientos y responsabilidades documentados;
• Gestión de los derechos de acceso y derechos de acceso privilegiado (más poder, ver más abajo), incluida la adición de cambios en la vida (por ejemplo, controles de superusuarios/administradores) y revisiones periódicas (por ejemplo, mediante auditorías internas periódicas de acuerdo con el requisito 9.2).
• Las reglas de control de acceso deben estar respaldadas por procedimientos formales y responsabilidades definidas;

El control de acceso debe revisarse en función del cambio de roles y, en particular, durante la salida, para alinearse con el Anexo A.7 Seguridad de los recursos humanos.

A.9.1.2 Acceso a Redes y Servicios de Red

El principio de acceso mínimo es el enfoque general favorecido para la protección, en lugar del acceso ilimitado y derechos de superusuario sin una consideración cuidadosa.

Como tales, los usuarios sólo deben tener acceso a la red y a los servicios de red que necesitan utilizar o que conocen para su trabajo. Por lo tanto, la política debe abordar; Las redes y servicios de red en el ámbito de acceso; Procedimientos de autorización para mostrar quién (basado en roles) puede acceder a qué y cuándo; y Controles y procedimientos de gestión para impedir el acceso y vigilarlo en vida.

Esto también debe tenerse en cuenta durante la incorporación y la baja, y está estrechamente relacionado con la propia política de control de acceso.

¿Cuál es el objetivo del Anexo A.9.2?

El anexo A.9.2 trata sobre la gestión del acceso de los usuarios. El objetivo de este control del Anexo A es garantizar que los usuarios estén autorizados a acceder a los sistemas y servicios, así como evitar el acceso no autorizado.

A.9.2.1 Registro y baja de usuarios

Es necesario implementar un proceso formal de registro y baja de usuarios. Un buen proceso para la gestión de ID de usuario incluye poder asociar ID individuales a personas reales y limitar los ID de acceso compartido, que deben aprobarse y registrarse cuando se haga.

Un buen proceso de incorporación y salida se vincula con A7 Human Resource Security para mostrar un registro/baja del registro rápido y claro, además de evitar la reemisión de identificaciones antiguas. Una revisión periódica de las identificaciones ilustrará un buen control y reforzará la gestión continua.

Esto puede vincularse con las auditorías internas mencionadas anteriormente para auditorías de control de acceso y revisiones periódicas por parte de los propietarios de los activos de información o de las aplicaciones de procesamiento.

A.9.2.2 Provisión de acceso de usuarios

Se debe implementar un proceso (por simple y documentado que sea) para asignar o revocar derechos de acceso para todos los tipos de usuarios a todos los sistemas y servicios. Si se hace bien, se relaciona con los puntos anteriores, así como con el trabajo más amplio de seguridad de recursos humanos.

El proceso de aprovisionamiento y revocación debe incluir: Autorización del propietario del sistema o servicio de información para el uso del sistema o servicio de información; Verificar que el acceso otorgado sea relevante para el rol que se desempeña; y protección contra el aprovisionamiento que se realiza antes de que se complete la autorización.

El acceso de los usuarios siempre debe estar dirigido por la empresa y el acceso debe basarse en los requisitos de la misma. Esto puede parecer burocrático, pero no tiene por qué serlo, y procedimientos sencillos y eficaces con acceso basado en roles por parte de sistemas y servicios pueden solucionarlo.

A.9.2.3 Gestión de derechos de acceso privilegiado

A.9.2.3 trata sobre la gestión de niveles de acceso "privilegiados" normalmente más potentes y superiores, por ejemplo, permisos de administración de sistemas frente a derechos de usuario normales.

La asignación y el uso de derechos de acceso privilegiados deben controlarse estrictamente, dados los derechos adicionales que normalmente se transmiten sobre los activos de información y los sistemas que los controlan. Por ejemplo la posibilidad de eliminar trabajos o afectar fundamentalmente la integridad de la información. Debería alinearse con los procesos de autorización formal junto con la política de control de acceso.

Eso podría incluir; claridad sistema por sistema sobre los derechos de acceso privilegiado (que se pueden gestionar dentro de la aplicación); la asignación según la necesidad de uso y no mediante un enfoque general; Se debe mantener un proceso y un registro de todos los privilegios asignados (junto con el inventario de activos de información o como parte de la evidencia A.9); y la competencia de los usuarios a los que se les otorgan los derechos debe revisarse periódicamente para alinearse con sus deberes.

Esta es otra buena área para incluir en la auditoría interna para demostrar control.

Uno de los principales factores que contribuyen a los fallos o infracciones de los sistemas es el uso inapropiado y generalizado de los privilegios de administración del sistema, con errores humanos que provocan más daños o pérdidas que si se adoptara un enfoque de "menor acceso".

Otras buenas prácticas relacionadas con esta área incluyen la separación del rol de administrador de sistemas del rol de usuario diario y tener un usuario con dos cuentas si realizan diferentes trabajos en la misma plataforma.

A.9.2.4 Gestión de la información secreta de autenticación de los usuarios

La información de autenticación secreta es una puerta de entrada para acceder a activos valiosos. Por lo general, incluye contraseñas, claves de cifrado, etc., por lo que debe controlarse mediante un proceso de gestión formal y debe mantenerse confidencial para el usuario.

Esto suele estar vinculado a contratos laborales y procesos disciplinarios (A.7) y obligaciones con los proveedores (A13.2.4 y A.15) si se comparte con partes externas.

Deben establecerse procedimientos para verificar la identidad de un usuario antes de proporcionar información de autenticación secreta nueva, de reemplazo o temporal. Cualquier información de autenticación secreta predeterminada proporcionada como parte de un nuevo uso del sistema debe cambiarse lo antes posible.

A.9.2.5 Revisión de los derechos de acceso de los usuarios

Los propietarios de activos deben revisar los derechos de acceso de los usuarios a intervalos regulares, tanto en relación con cambios individuales (incorporación, cambio de rol y salida) como con auditorías más amplias del acceso a los sistemas.

Las autorizaciones de derechos de acceso privilegiado deben revisarse a intervalos más frecuentes dada su naturaleza de mayor riesgo. Esto se relaciona con 9.2 para auditorías internas y debe realizarse al menos una vez al año o cuando se produzcan cambios importantes.

A.9.2.6 Eliminación o ajuste de derechos de acceso

Como se describió anteriormente, los derechos de acceso de todos los empleados y usuarios externos a la información y a las instalaciones de procesamiento de información deben eliminarse al finalizar su empleo, contrato o acuerdo (o ajustarse tras el cambio de función, si es necesario).

Una buena política y procedimientos de salida que se ajusten al punto A.7 también garantizarán que esto se logre y se demuestre a efectos de auditoría cuando las personas se vayan.

¿Cuál es el objetivo del Anexo A.9.3?

El Anexo A.9.3 trata sobre las responsabilidades del usuario. El objetivo de este control del Anexo A es responsabilizar a los usuarios de salvaguardar su información de autenticación.

A.9.3.1 Uso de información de autenticación secreta

Se trata simplemente de asegurarse de que los usuarios sigan las políticas y, por lo tanto, se vincularán con A7 Human Resource Security para los contratos, la educación de los usuarios para la concientización y el cumplimiento, así como también las prácticas de sentido común.

Estas incluyen: Mantener confidencial cualquier información de autenticación secreta; Evite mantener un registro del mismo al que puedan acceder personas no autorizadas; Cámbielo siempre que haya alguna sugerencia de posible compromiso; seleccionar contraseñas de calidad con suficiente longitud y solidez mínimas para seguir controles de política de contraseñas más amplios en el Anexo A.9.4.

¿Cuál es el objetivo del Anexo A.9.4?

El anexo A.9.4 trata sobre el control de acceso al sistema y a las aplicaciones. El objetivo de este control del Anexo A es evitar el acceso no autorizado a sistemas y aplicaciones.

A.9.4.1 Restricción de acceso a la información

El acceso a la información y las funciones del sistema de aplicaciones deben estar vinculados a la política de control de acceso. Las consideraciones clave deben incluir:

Éstos incluyen:

• Control de acceso basado en roles (RBAC);
• Niveles de acceso;
• Diseño de sistemas de “menús” dentro de aplicaciones;
• Permisos de lectura, escritura, eliminación y ejecución;
• Limitar la salida de información; y
• Controles de acceso físico y/o lógico a aplicaciones, datos y sistemas sensibles.

El auditor verificará que se hayan tomado consideraciones para limitar el acceso dentro de los sistemas y aplicaciones que respaldan las políticas de control de acceso, los requisitos comerciales, los niveles de riesgo y la segregación de funciones.

A.9.4.2 Procedimientos de inicio de sesión seguro

El acceso a los sistemas y aplicaciones debe controlarse mediante un procedimiento de inicio de sesión seguro para demostrar la identidad del usuario.

Esto puede ir más allá del enfoque típico de contraseña e incluir autenticación multifactor, biometría, tarjetas inteligentes y otros medios de cifrado según el riesgo que se considere.

El inicio de sesión seguro debe diseñarse de manera que no pueda eludirse fácilmente y que cualquier información de autenticación se transmita y almacene cifrada para evitar la interceptación y el uso indebido.

La orientación ISO 27002 es importante en torno a este tema, al igual que los organismos especializados como el Centro Nacional de Seguridad Cibernética (NCSC). Los consejos adicionales incluyen:

• Los procedimientos de inicio de sesión deben diseñarse de manera que no puedan eludirse fácilmente y que cualquier información de autenticación se transmita y almacene encriptada para evitar la interceptación y el uso indebido.
• Los procedimientos de inicio de sesión también deben incluir una pantalla que indique que el acceso es sólo para usuarios autorizados. Esto está diseñado para respaldar la legislación sobre ciberseguridad, como la
• Ley sobre uso indebido de computadoras de 1990 (Reino Unido).
• Tanto los inicios como los cierres de sesión exitosos y fallidos deben registrarse de manera segura para brindar capacidad de evidencia forense y se deben considerar alertas sobre intentos fallidos y posibles bloqueos.
• Dependiendo de la naturaleza del sistema, el acceso debe restringirse a determinadas horas del día o períodos de tiempo y, potencialmente, incluso restringirse según la ubicación.

En la práctica, las necesidades empresariales y la información en riesgo deberían impulsar los procedimientos de inicio y cierre de sesión. No vale la pena tener 25 pasos para iniciar sesión y luego tener tiempos de espera rápidos, etc., si el personal no puede hacer bien su trabajo y dedica una cantidad desproporcionada de tiempo a este ciclo.

A.9.4.3 Sistema de gestión de contraseñas

El propósito de un sistema de administración de contraseñas es garantizar que las contraseñas de calidad cumplan con el nivel requerido y se apliquen de manera consistente.

Los sistemas de generación y gestión de contraseñas proporcionan una buena manera de centralizar el suministro de acceso y sirven para reducir el riesgo de que las personas utilicen el mismo inicio de sesión para todo, como se ilustra en esta pequeña historia de lo que sucede cuando un cliente contacta a nuestro equipo por una contraseña olvidada. !

Como ocurre con cualquier mecanismo de control, los sistemas de generación y gestión de contraseñas deben implementarse cuidadosamente para garantizar niveles de protección adecuados y proporcionados.

Siempre que sea posible, los usuarios deberían poder elegir sus propias contraseñas, ya que esto las hace más fáciles de recordar que las generadas por máquinas; sin embargo, debe tener un cierto nivel de seguridad.

Hay muchos puntos de vista contradictorios sobre los sistemas de administración de contraseñas y las políticas de contraseñas, por lo que alentamos a las organizaciones a observar las mejores prácticas que cambian con frecuencia y adoptar enfoques basados ​​en el apetito por el riesgo y la cultura de la organización.

Como se mencionó anteriormente, NCSC es un buen lugar para revisar las prácticas más recientes o simplemente pedirnos que le presentemos a uno de nuestros socios para obtener ayuda.

A.9.4.4 Uso de programas de utilidad privilegiados

Los programas informáticos de utilidad que podrían ser capaces de anular los controles del sistema y de las aplicaciones deben gestionarse con cuidado.

Los potentes programas de utilidades de sistemas y redes pueden crear un objetivo atractivo para atacantes maliciosos y el acceso a ellos debe restringirse al menor número de personas. Como estos programas de utilidad se pueden localizar y descargar fácilmente de Internet, también es importante que los usuarios tengan restringida su capacidad para instalar cualquier software en la medida de lo posible, teniendo en cuenta los requisitos comerciales y la evaluación de riesgos. El uso de programas de utilidad debe registrarse y monitorearse/revisarse periódicamente para satisfacer las solicitudes del auditor.

A.9.4.5 Control de acceso al código fuente del programa

El acceso al código fuente del programa debe estar restringido. El acceso al código fuente del programa y a los elementos asociados (como diseños, especificaciones, planes de verificación y planes de validación) debe controlarse estrictamente.

El código fuente del programa puede ser vulnerable a ataques si no se protege adecuadamente y puede proporcionar a un atacante un buen medio para comprometer los sistemas de forma a menudo encubierta. Si el código fuente es fundamental para el éxito empresarial, su pérdida también puede destruir rápidamente el valor empresarial.

Los controles deben incluir la consideración de:

• El menor número posible de personas con acceso
• Mantener el código fuente fuera de los sistemas operativos (solo código compilado)
• El acceso al código fuente es lo más restringido posible (denegación por defecto)
• Acceso al código fuente que se registra y los registros se revisan periódicamente
• Procedimientos de control de cambios sólidos y estrictos
• Auditorías y revisiones frecuentes

¿Por qué es importante el Anexo A.9?

El Anexo A.9 es probablemente la cláusula de la que más se habla en todo el Anexo A, y algunos dirían que es la más importante.

Esto se debe a que todo su Sistema de Gestión de Seguridad de la Información (SGSI) se basa en garantizar que las personas adecuadas tengan acceso a la información adecuada en el momento adecuado. Hacerlo bien es una de las claves del éxito, pero hacerlo mal puede tener un gran impacto en su negocio.

Imagínese si accidentalmente le diera acceso a información confidencial de los empleados a las personas equivocadas, como revelar lo que se les paga a todos en la empresa, por ejemplo.

Las consecuencias de equivocarse en esta parte pueden ser importantes, por lo que vale la pena dedicar suficiente tiempo a pensarlo detenidamente.