Anexo A 5.15 de la Norma ISO 27001:2022; Tu guía paso a paso para entenderlo y afrontarlo.
El Anexo A 5.15 se refiere a los procedimientos de control de acceso. El objetivo del Anexo A.9 es salvaguardar el acceso a la información y garantizar que los empleados solo tengan acceso a la información que necesitan para desempeñar sus funciones.
Es uno de los elementos esenciales de una sistema de gestión de la seguridad de la información (SGSI), especialmente si planea obtener la certificación ISO 27001.
Hacer bien esta parte es un componente crítico de ISO 27001 certificación y donde muchas empresas requieren asistencia. Para comprender mejor estos requisitos, echemos un vistazo más de cerca a lo que implican.
Para gestionar el acceso a los activos dentro del alcance de una organización, se debe desarrollar, documentar y revisar periódicamente una política de control de acceso.
El control de acceso gobierna cómo las entidades humanas y no humanas en una red acceden a los datos, los recursos de TI y las aplicaciones.
Los riesgos de seguridad de la información asociados con la información y el apetito de la organización por gestionarlos deben reflejarse en las reglas, derechos y restricciones y en la profundidad de los controles utilizados. Se trata simplemente de decidir quién tiene acceso a qué, cuánto y quién no.
Es posible configurar controles de acceso físico y digital, como limitar los permisos de las cuentas de usuario o restringir el acceso a ubicaciones físicas específicas (alineado con el Anexo A.7 Seguridad física y ambiental). La política debe tener en cuenta las siguientes consideraciones:
Es vital revisar el control de acceso a medida que cambian los roles, especialmente durante las salidas, para cumplir con el Anexo A.7 Seguridad de los recursos humanos.
Reserva una charla de 30 minutos con nosotros y te mostraremos cómo
Un enfoque general de protección es el de acceso mínimo en lugar de acceso ilimitado y derechos de superusuario sin una consideración cuidadosa.
En consecuencia, los usuarios sólo deberían tener acceso a redes y servicios de red requeridos para cumplir con sus responsabilidades. La política debe abordar; Las redes y servicios de red en el ámbito de acceso; Procedimientos de autorización para mostrar quién (basado en roles) tiene permiso para acceder a qué y cuándo; y Controles y procedimientos de gestión para impedir el acceso y monitorizarlo en caso de incidente.
La incorporación y la baja también deben tener en cuenta esta cuestión, que está estrechamente relacionada con la política de control de acceso.
Como control preventivo, el Anexo A 5.15 mejora la capacidad subyacente de una organización para controlar el acceso a datos y activos.
un conjunto concreto de seguridad comercial e informativa Se deben satisfacer las necesidades antes de que se pueda otorgar y modificar el acceso a los recursos según el Anexo A Control 5.15.
ISO 27001 Anexo A 5.15 proporciona pautas para facilitar el acceso seguro a los datos y minimizar el riesgo de acceso no autorizado a redes físicas y virtuales.
Como se muestra en el Anexo A 5.15, el personal de gestión en varias partes de una La organización debe mantener un conocimiento profundo. a qué recursos es necesario acceder (por ejemplo, además de que RR.HH. informe a los empleados sobre sus funciones laborales, que dictan sus parámetros RBAC, los derechos de acceso son, en última instancia, una función de mantenimiento controlada por los administradores de red).
La propiedad del Anexo A 5.15 de una organización debe recaer en un miembro de la alta dirección que tenga autoridad técnica general sobre los dominios, subdominios, aplicaciones, recursos y activos de la empresa. Este podría ser el jefe de TI.
Se requiere un enfoque de tema específico para el control de acceso para cumplir con el Control 27001 del Anexo A de ISO 2022:5.15 (más comúnmente conocido como enfoque de tema específico).
En lugar de adherirse a una política general de control de acceso que se aplique al acceso a recursos y datos en toda la organización, los enfoques temáticos específicos alientan a las organizaciones a crear políticas de control de acceso dirigidas a funciones comerciales individuales.
En todas las áreas temáticas específicas, el Anexo A Control 5.15 requiere que las políticas relacionadas con el control de acceso consideren los 11 puntos siguientes. Algunas de estas directrices se superponen con otras políticas.
Como pauta, las organizaciones deben consultar los controles adjuntos para obtener más información caso por caso:
Según la guía complementaria, ISO 27001:2022 Anexo A Control 5.15 menciona (sin limitarse a) cuatro tipos diferentes de control de acceso, que se pueden clasificar en términos generales de la siguiente manera:
Hemos discutido que las reglas de control de acceso se otorgan a varias entidades (humanas y no humanas) que operan dentro de una red, a las que se les asignan roles que definen su función general.
Al definir y promulgar las políticas de control de acceso de su organización, el Anexo A 5.15 le pide que considere los siguientes cuatro factores:
Según ISO 27001:2022 Anexo A Control 5.15, las organizaciones deben desarrollar y mantener una lista estructurada de responsabilidades y documentación. Existen numerosas similitudes entre la lista completa de controles de ISO 27001:2022, y el Anexo A 5.15 contiene los requisitos más relevantes:
El Control 5.15 del Anexo A brinda a las organizaciones una libertad significativa para especificar la granularidad de sus políticas de control de acceso.
En general, ISO aconseja a las empresas que utilicen su criterio respecto de qué tan detallado debe ser un determinado conjunto de reglas, empleado por empleado, y cuántas variables deben aplicarse a una determinada información.
Específicamente, el Anexo A 5.15 reconoce que cuanto más detalladas sean las políticas de control de acceso de una empresa, mayor será el costo y más desafiante se vuelve el concepto de control de acceso en múltiples ubicaciones, tipos de redes y variables de aplicación.
El control de acceso, a menos que se administre con cuidado, puede salirse de control muy rápidamente. Es aconsejable simplificar las reglas de control de acceso para garantizar que sean más fáciles de gestionar y más rentables.
El Anexo A 5.15 en 27001:2022 es una fusión de dos controles similares en 27001:2013 – Anexo A 9.1.1 (Política de control de acceso) y Anexo A 9.1.2 (Acceso a redes y servicios de red.).
Los temas subyacentes de A.9.1.1 y A.9.1.2 son similares a los del Anexo A 5.15, excepto por algunas diferencias operativas sutiles.
Al igual que en 2022, ambos controles se relacionan con la administración del acceso a la información, los activos y los recursos y operan según el principio de “necesidad de saber”, en el que los datos corporativos se tratan como un bien que requiere una gestión y protección cuidadosas.
Hay 11 pautas que rigen en 27001:2013 Anexo A 9.1.1, todas las cuales siguen los mismos principios generales que 27001:2022 Anexo A Control 5.15 con un énfasis ligeramente mayor en la seguridad perimetral y la seguridad física.
Generalmente existen las mismas pautas de implementación para el control de acceso, pero el control 2022 proporciona una guía mucho más concisa y práctica en sus cuatro pautas de implementación.
Como se indica en el Anexo A 27001 de ISO 5.15, han surgido varias formas de control de acceso en los últimos nueve años (MAC, DAC, ABAC), mientras que en 27001:2013 Anexo A Control 9.1.1, el método principal de control de acceso comercial en ese El tiempo era RBAC.
Los controles de 2013 deben contener pautas significativas sobre cómo una organización debe abordar los controles de acceso granulares a la luz de los cambios tecnológicos que brindan a las organizaciones un mayor control sobre sus datos.
Por el contrario, el Anexo A 5.15 de 27001:2022 proporciona a las organizaciones una flexibilidad considerable.
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 | Anexo A 5.1.1 Anexo A 5.1.2 | Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 | Anexo A 6.1.5 Anexo A 14.1.1 | Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 | Anexo A 8.1.1 Anexo A 8.1.2 | Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 | Anexo A 8.1.3 Anexo A 8.2.3 | Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 | Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 | Transferencia de información |
| Controles organizacionales | Anexo A 5.15 | Anexo A 9.1.1 Anexo A 9.1.2 | Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 | Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 | Información de autenticación |
| Controles organizacionales | Anexo A 5.18 | Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 | Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 | Anexo A 15.2.1 Anexo A 15.2.2 | Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 | Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 | Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 | Anexo A 18.1.1 Anexo A 18.1.5 | Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 | Anexo A 18.2.2 Anexo A 18.2.3 | Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 | Anexo A 16.1.2 Anexo A 16.1.3 | Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 | Anexo A 11.1.2 Anexo A 11.1.6 | Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 | Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 | Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 | Anexo A 6.2.1 Anexo A 11.2.8 | Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 | Anexo A 12.6.1 Anexo A 18.2.3 | Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 | Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 | Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados |
| Controles Tecnológicos | Anexo A 8.19 | Anexo A 12.5.1 Anexo A 12.6.2 | Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 | Anexo A 10.1.1 Anexo A 10.1.2 | Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 | Anexo A 14.1.2 Anexo A 14.1.3 | Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Principios de ingeniería y arquitectura de sistemas seguros |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 | Anexo A 14.2.8 Anexo A 14.2.9 | Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 | Anexo A 12.1.4 Anexo A 14.2.6 | Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 | Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 | Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
El Anexo A 5.15 de ISO 27001:2022 es probablemente la cláusula de la que más se habla dentro del Anexo A, y algunos argumentan que es la más importante.
Su Sistema de Gestión de Seguridad de la Información (SGSI) tiene como objetivo garantizar que las personas adecuadas tengan acceso a la información correcta en el momento adecuado. Una de las claves del éxito es hacerlo bien, pero hacerlo mal puede afectar negativamente a su negocio.
Considere el escenario en el que accidentalmente reveló información confidencial de sus empleados a las personas equivocadas, como lo que se les paga a todos en la organización.
Si no tienes cuidado, las consecuencias de equivocarte en esta parte pueden ser graves. Por lo tanto, es imperativo tomarse el tiempo para considerar cuidadosamente todos los aspectos antes de continuar.
A este respecto, nuestra plataforma puede ser un verdadero activo. Esto se debe a que sigue toda la estructura de ISO 27001 y le permite adoptar, adaptar y enriquecer el contenido que le brindamos, brindándole una ventaja considerable.
¡Suscríbete a nuestro Newsletter Demostración gratuita de ISMS.online hoy.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
