ISO 27001:2022 Anexo A 5.15 – Control de acceso

Política de control de acceso

Para gestionar el acceso a los activos dentro del alcance de una organización, se debe desarrollar, documentar y revisar periódicamente una política de control de acceso.

El control de acceso gobierna cómo las entidades humanas y no humanas en una red acceden a los datos, los recursos de TI y las aplicaciones.

Los riesgos de seguridad de la información asociados con la información y el apetito de la organización por gestionarlos deben reflejarse en las reglas, derechos y restricciones y en la profundidad de los controles utilizados. Se trata simplemente de decidir quién tiene acceso a qué, cuánto y quién no.

Es posible configurar controles de acceso físico y digital, como limitar los permisos de las cuentas de usuario o restringir el acceso a ubicaciones físicas específicas (alineado con el Anexo A.7 Seguridad física y ambiental). La política debe tener en cuenta las siguientes consideraciones:

• Es esencial alinear los requisitos de seguridad de las aplicaciones comerciales con el esquema de clasificación de información en uso según el Anexo A 5.9, 5.10, 5.11, 5.12, 5.13 y 7.10 relacionados con la Gestión de Activos.
• Identifique quién requiere acceso, conocimiento y uso de la información, acompañado de procedimientos y responsabilidades claramente definidos.
• Se aseguran que los derechos de acceso y privilegios Los derechos de acceso (más poder, ver más abajo) se gestionan de manera efectiva, incluida la adición de cambios en la vida (por ejemplo, controles para superusuarios/administradores) y revisiones periódicas (por ejemplo, controles periódicos). auditorías internas según el requisito Anexo A 5.15, 5.16, 5.17, 5.18 y 8.2).
• Un procedimiento formal y responsabilidades definidas deberían respaldar las reglas de control de acceso.

Es vital revisar el control de acceso a medida que cambian los roles, especialmente durante las salidas, para cumplir con el Anexo A.7 Seguridad de los recursos humanos.

Las redes y los servicios de red están disponibles para los usuarios

Un enfoque general de protección es el de acceso mínimo en lugar de acceso ilimitado y derechos de superusuario sin una consideración cuidadosa.

En consecuencia, los usuarios sólo deberían tener acceso a redes y servicios de red requeridos para cumplir con sus responsabilidades. La política debe abordar; Las redes y servicios de red en el ámbito de acceso; Procedimientos de autorización para mostrar quién (basado en roles) tiene permiso para acceder a qué y cuándo; y Controles y procedimientos de gestión para impedir el acceso y monitorizarlo en caso de incidente.

La incorporación y la baja también deben tener en cuenta esta cuestión, que está estrechamente relacionada con la política de control de acceso.

Propósito de ISO 27001:2022 Anexo A 5.15

Como control preventivo, el Anexo A 5.15 mejora la capacidad subyacente de una organización para controlar el acceso a datos y activos.

un conjunto concreto de seguridad comercial e informativa Se deben satisfacer las necesidades antes de que se pueda otorgar y modificar el acceso a los recursos según el Anexo A Control 5.15.

ISO 27001 Anexo A 5.15 proporciona pautas para facilitar el acceso seguro a los datos y minimizar el riesgo de acceso no autorizado a redes físicas y virtuales.

Propiedad del Anexo A 5.15

Como se muestra en el Anexo A 5.15, el personal de gestión en varias partes de una La organización debe mantener un conocimiento profundo. a qué recursos es necesario acceder (por ejemplo, además de que RR.HH. informe a los empleados sobre sus funciones laborales, que dictan sus parámetros RBAC, los derechos de acceso son, en última instancia, una función de mantenimiento controlada por los administradores de red).

La propiedad del Anexo A 5.15 de una organización debe recaer en un miembro de la alta dirección que tenga autoridad técnica general sobre los dominios, subdominios, aplicaciones, recursos y activos de la empresa. Este podría ser el jefe de TI.

Orientación general sobre ISO 27001:2022 Anexo 5.15

Se requiere un enfoque de tema específico para el control de acceso para cumplir con el Control 27001 del Anexo A de ISO 2022:5.15 (más comúnmente conocido como enfoque de tema específico).

En lugar de adherirse a una política general de control de acceso que se aplique al acceso a recursos y datos en toda la organización, los enfoques temáticos específicos alientan a las organizaciones a crear políticas de control de acceso dirigidas a funciones comerciales individuales.

En todas las áreas temáticas específicas, el Anexo A Control 5.15 requiere que las políticas relacionadas con el control de acceso consideren los 11 puntos siguientes. Algunas de estas directrices se superponen con otras políticas.

Como pauta, las organizaciones deben consultar los controles adjuntos para obtener más información caso por caso:

• Identificar qué entidades requieren acceso a ciertos activos e información.
• Mantener un registro de las funciones laborales y los requisitos de acceso a los datos de acuerdo con la estructura organizativa de su organización es la forma más sencilla de garantizar el cumplimiento.
• Seguridad e integridad de todas las aplicaciones relevantes (vinculadas al Control 8.2).
• Se podría realizar una evaluación de riesgos formal para evaluar las características de seguridad de aplicaciones individuales.
• El control del acceso físico a un sitio (enlaces con los Controles 7.2, 7.3 y 7.4).
• Como parte de su programa de cumplimiento, su organización debe demostrar un conjunto sólido de controles de acceso a edificios y salas, incluidos sistemas de entrada administrados, perímetros de seguridad y procedimientos para visitantes, cuando corresponda.
• Cuando se trata de distribución, seguridad y categorización de la información, el principio de “necesidad de saber” debe aplicarse en toda la organización (vinculado a 5.10, 5.12 y 5.13).
• Las empresas deben adherirse a estrictas políticas de mejores prácticas que no proporcionen acceso generalizado a los datos en toda la jerarquía de una organización.
• Asegúrese de que los derechos de acceso privilegiado estén restringidos (relacionado con 8.2).
• Los privilegios de acceso de los usuarios a los que se les da acceso a datos superiores a los de un usuario estándar deben ser monitoreados y auditados.
• Garantizar el cumplimiento de cualquier legislación vigente, directrices regulatorias específicas del sector u obligaciones contractuales relacionadas con el acceso a datos (ver 5.31, 5.32, 5.33, 5.34 y 8.3).
• Las políticas de control de acceso de una organización se personalizan de acuerdo con las obligaciones externas con respecto al acceso a datos, activos y recursos.
• Estar atento a posibles conflictos de intereses.
• Las políticas deben incluir controles para evitar que un individuo comprometa una función de control de acceso más amplia en función de sus niveles de acceso (es decir, un empleado que puede solicitar, autorizar e implementar cambios en una red).
• Una Política de Control de Acceso debe abordar las tres funciones principales (solicitudes, autorizaciones y administración) de forma independiente.
• Una política de control de acceso debe reconocer que, a pesar de su naturaleza autónoma, comprende varios pasos individuales, cada uno de los cuales contiene sus requisitos.
• Para garantizar el cumplimiento de los requisitos de 5.16 y 5.18, las solicitudes de acceso deben realizarse de manera estructurada y formal.
• Las organizaciones deben implementar procesos de autorización formales que requieran la aprobación formal y documentada del personal adecuado.
• Gestionar los derechos de acceso de forma continua (vinculado al 5.18).
• Para mantener la integridad de los datos y los perímetros de seguridad, se requieren auditorías periódicas, supervisión de recursos humanos (abandonos, etc.) y cambios específicos del trabajo (por ejemplo, movimientos departamentales y cambios de roles).
• Mantener registros adecuados y controlar el acceso a ellos. Cumplimiento: las organizaciones deben recopilar y almacenar datos sobre eventos de acceso (por ejemplo, actividad de archivos), protegerse contra el acceso no autorizado a los registros de eventos de seguridad y seguir un gestión integral de incidencias estrategia.

Orientación complementaria sobre el Anexo 5.15

Según la guía complementaria, ISO 27001:2022 Anexo A Control 5.15 menciona (sin limitarse a) cuatro tipos diferentes de control de acceso, que se pueden clasificar en términos generales de la siguiente manera:

• Control de acceso obligatorio (MAC): el acceso lo gestiona centralmente una única autoridad de seguridad.
• Una alternativa a MAC es el control de acceso discrecional (DAC), en el que el propietario del objeto puede otorgar privilegios a otros dentro del objeto.
• Un sistema de control de acceso basado en funciones y privilegios laborales predefinidos se denomina control de acceso basado en roles (RBAC).
• Al utilizar el control de acceso basado en atributos (ABAC), los derechos de acceso de los usuarios se otorgan en función de políticas que combinan atributos.

Directrices para implementar reglas de control de acceso

Hemos discutido que las reglas de control de acceso se otorgan a varias entidades (humanas y no humanas) que operan dentro de una red, a las que se les asignan roles que definen su función general.

Al definir y promulgar las políticas de control de acceso de su organización, el Anexo A 5.15 le pide que considere los siguientes cuatro factores:

1. Debe mantenerse la coherencia entre los datos a los que se aplica el derecho de acceso y el tipo de derecho de acceso.
2. Es esencial garantizar la coherencia entre los derechos de acceso de su organización y los requisitos de seguridad física (perímetros, etc.).
3. Los derechos de acceso en un entorno informático distribuido (como un entorno basado en la nube) consideran las implicaciones de los datos que residen en un amplio espectro de redes.
4. Considere las implicaciones de los controles de acceso dinámico (un método granular de acceder a un conjunto detallado de variables implementado por un administrador del sistema).

Definir responsabilidades y documentar el proceso

Según ISO 27001:2022 Anexo A Control 5.15, las organizaciones deben desarrollar y mantener una lista estructurada de responsabilidades y documentación. Existen numerosas similitudes entre la lista completa de controles de ISO 27001:2022, y el Anexo A 5.15 contiene los requisitos más relevantes:

Documentación

• ISO 27001:2022 Anexo A 5.16
• ISO 27001:2022 Anexo A 5.17
• ISO 27001:2022 Anexo A 5.18
• ISO 27001:2022 Anexo A 8.2
• ISO 27001:2022 Anexo A 8.3
• ISO 27001:2022 Anexo A 8.4
• ISO 27001:2022 Anexo A 8.5
• ISO 27001:2022 Anexo A 8.18

Responsabilidades

• ISO 27001:2022 Anexo A 5.2
• ISO 27001:2022 Anexo A 5.17

granularidad

El Control 5.15 del Anexo A brinda a las organizaciones una libertad significativa para especificar la granularidad de sus políticas de control de acceso.

En general, ISO aconseja a las empresas que utilicen su criterio respecto de qué tan detallado debe ser un determinado conjunto de reglas, empleado por empleado, y cuántas variables deben aplicarse a una determinada información.

Específicamente, el Anexo A 5.15 reconoce que cuanto más detalladas sean las políticas de control de acceso de una empresa, mayor será el costo y más desafiante se vuelve el concepto de control de acceso en múltiples ubicaciones, tipos de redes y variables de aplicación.

El control de acceso, a menos que se administre con cuidado, puede salirse de control muy rápidamente. Es aconsejable simplificar las reglas de control de acceso para garantizar que sean más fáciles de gestionar y más rentables.

Casos prácticos

MIRACL convierte la confianza en ventaja competitiva con la certificación ISO 27001

Leer caso de estudio

Casos prácticos

La herramienta Proteus de Xergy genera crecimiento mediante el cumplimiento de la norma ISO 27001 utilizando ISMS.online

Leer caso de estudio

← →

¿Cuáles son los cambios con respecto a ISO 27001:2013?

El Anexo A 5.15 en 27001:2022 es una fusión de dos controles similares en 27001:2013 – Anexo A 9.1.1 (Política de control de acceso) y Anexo A 9.1.2 (Acceso a redes y servicios de red.).

Los temas subyacentes de A.9.1.1 y A.9.1.2 son similares a los del Anexo A 5.15, excepto por algunas diferencias operativas sutiles.

Al igual que en 2022, ambos controles se relacionan con la administración del acceso a la información, los activos y los recursos y operan según el principio de “necesidad de saber”, en el que los datos corporativos se tratan como un bien que requiere una gestión y protección cuidadosas.

Hay 11 pautas que rigen en 27001:2013 Anexo A 9.1.1, todas las cuales siguen los mismos principios generales que 27001:2022 Anexo A Control 5.15 con un énfasis ligeramente mayor en la seguridad perimetral y la seguridad física.

Generalmente existen las mismas pautas de implementación para el control de acceso, pero el control 2022 proporciona una guía mucho más concisa y práctica en sus cuatro pautas de implementación.

Los tipos de controles de acceso utilizados en ISO 27001:2013 Anexo A 9.1.1 han cambiado

Como se indica en el Anexo A 27001 de ISO 5.15, han surgido varias formas de control de acceso en los últimos nueve años (MAC, DAC, ABAC), mientras que en 27001:2013 Anexo A Control 9.1.1, el método principal de control de acceso comercial en ese El tiempo era RBAC.

Nivel de granularidad

Los controles de 2013 deben contener pautas significativas sobre cómo una organización debe abordar los controles de acceso granulares a la luz de los cambios tecnológicos que brindan a las organizaciones un mayor control sobre sus datos.

Por el contrario, el Anexo A 5.15 de 27001:2022 proporciona a las organizaciones una flexibilidad considerable.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Control:

¿Cómo puede ayudar ISMS.online?

El Anexo A 5.15 de ISO 27001:2022 es probablemente la cláusula de la que más se habla dentro del Anexo A, y algunos argumentan que es la más importante.

Su Sistema de Gestión de Seguridad de la Información (SGSI) tiene como objetivo garantizar que las personas adecuadas tengan acceso a la información correcta en el momento adecuado. Una de las claves del éxito es hacerlo bien, pero hacerlo mal puede afectar negativamente a su negocio.

Considere el escenario en el que accidentalmente reveló información confidencial de sus empleados a las personas equivocadas, como lo que se les paga a todos en la organización.

Si no tienes cuidado, las consecuencias de equivocarte en esta parte pueden ser graves. Por lo tanto, es imperativo tomarse el tiempo para considerar cuidadosamente todos los aspectos antes de continuar.

A este respecto, our platform puede ser un verdadero activo. Esto se debe a que sigue toda la estructura de ISO 27001 y le permite adoptar, adaptar y enriquecer el contenido que le brindamos, brindándole una ventaja considerable.

Consigue una cotización personalizada Demostración gratuita de ISMS.online hoy.