El ISO 27001:2022 revisada El Anexo A 5.16 Gestión de identidades establece un marco para aprobar, registrar y administrar identidades humanas y no humanas en cualquier red, definido como el “ciclo de vida completo”.
Las redes informáticas utilizan identidades para identificar la capacidad subyacente de una entidad (un usuario, grupo de usuarios, dispositivo o activo de TI) para acceder a un conjunto de recursos de hardware y software.
El propósito del Anexo A 5.16 es describir cómo una organización puede identificar quién (usuarios, grupos de usuarios) o que (aplicaciones, sistemas y dispositivos) accede a datos o activos de TI en un momento dado, y cómo se conceden derechos de acceso a esas identidades.
Como medida preventiva, el Anexo A 5.16 tiene como objetivo mantener el riesgo estableciendo el perímetro principal para toda la seguridad de la información relacionada y operaciones de seguridad cibernética, así como el modo principal de gobernanza que determina el proceso de gestión de acceso e identidad de una organización.
Teniendo en cuenta que el Anexo A 27001 de ISO 2022:5.16 sirve principalmente como función de mantenimiento, la propiedad debe otorgarse al personal de TI con derechos de administrador global (o equivalente para infraestructura que no sea Windows).
Además de otras funciones integradas que permiten a los usuarios administrar identidades (como Administrador de dominio), el Anexo A 5.16 debe ser propiedad del individuo responsable de toda la red de la organización, incluidos todos los subdominios y los inquilinos de Active Directory.
El cumplimiento del Anexo A 5.16 se logra expresando claramente los procedimientos basados en la identidad en los documentos de políticas y monitoreando el cumplimiento del personal diariamente.
En el Anexo A 5.16 se enumeran seis procedimientos para garantizar que una organización cumpla con los estándares requeridos de seguridad de la información y gobernanza de la ciberseguridad:
Lograr el cumplimiento significa que las políticas de TI deben estipular claramente que los usuarios no deben compartir información de inicio de sesión ni permitir que otros usuarios deambulen por la red utilizando una identidad distinta a la que se les ha asignado.
Para lograr el cumplimiento, el registro de identidades compartidas debe manejarse por separado del registro de usuario único, con un proceso de aprobación dedicado.
Una identidad no humana también debe tener su propio proceso de aprobación y registro, reconociendo la diferencia fundamental entre asignar una identidad a una persona y otorgarla a un activo, aplicación o dispositivo.
El departamento de TI debe realizar auditorías periódicas para determinar qué identidades se están utilizando y qué entidades se pueden suspender o eliminar. Es importante que el personal de RR.HH. incluya la gestión de identidad en los procedimientos de baja e informe al personal de TI inmediatamente cuando una persona se marcha.
Para cumplir, el personal de TI debe asegurarse de que las entidades no reciban derechos de acceso basados en más de una identidad al asignar roles en una red.
Es posible interpretar el término "evento significativo" de manera diferente, pero en un nivel básico, las organizaciones deben asegurarse de que sus procedimientos de gobernanza incluyan una lista completa de identidades asignadas en un momento dado, protocolos sólidos de solicitud de cambios con procedimientos de aprobación adecuados y un protocolo de solicitud de cambio aprobado.
Al crear una identidad y otorgarle acceso a los recursos de la red, el Anexo A 5.16 también enumera cuatro pasos que las empresas deben seguir (la modificación o eliminación de los derechos de acceso se muestra en ISO 27001:2022 Anexo A 5.18):
Cada vez que se crea una identidad, la gestión de la misma se vuelve exponencialmente más desafiante. Es aconsejable que las organizaciones creen nuevas identidades sólo cuando sea claramente necesario.
Los procedimientos de gestión de identidades y acceso deben garantizar que, una vez aprobado el caso de negocio, un individuo o activo que reciba nuevas identidades tenga la autoridad requerida antes de que se cree una identidad.
Su personal de TI debe construir una identidad en línea con el caso de negocio requisitos, y debe limitarse a lo que se describe en cualquier documentación de solicitud de cambio.
Como paso final del proceso, se asigna una identidad a cada uno de sus permisos y roles basados en acceso (RBAC), así como a cualquier servicio de autenticación requerido.
ISO 27001:2022 El Anexo A 5.16 reemplaza ISO 27001:2013 A.9.2.1 (anteriormente conocido como 'Registro y baja de usuarios').
Si bien los dos controles comparten algunas similitudes sorprendentes (principalmente en los protocolos de mantenimiento y la desactivación de identificaciones redundantes), el Anexo A 5.16 contiene un conjunto integral de pautas que abordan la Gestión de Identidades y Accesos en su conjunto.
Existen algunas diferencias entre el Anexo 2022 y su predecesor en el sentido de que, a pesar de las diferencias en los procesos de registro, los humanos y los no humanos ya no son tratados por separado cuando se trata de la administración general de la red.
Se ha vuelto más común en el gobierno de TI y en las pautas de mejores prácticas hablar de identidades humanas y no humanas indistintamente desde la llegada de la moderna gestión de identidades y accesos y los protocolos RBAC basados en Windows.
En el Anexo A 9.2.1 de ISO 27001:2013, no hay ninguna guía sobre cómo gestionar identidades no humanas, y el texto se ocupa únicamente de gestionar lo que llama 'ID de usuario' (es decir, información de inicio de sesión junto con una contraseña que se utiliza para acceder a una red).
El Anexo A 5.16 proporciona orientación explícita sobre las implicaciones generales de seguridad del gobierno de la identidad y cómo las organizaciones deben registrar y procesar la información antes de la asignación de identidades, así como durante todo el ciclo de vida de la identidad.
Comparativamente, ISO 27001:2013 A.9.2.1 solo menciona brevemente la función de gobierno de TI que rodea la administración de identidades y se limita a la práctica física de la administración de identidades.
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles organizacionales | Anexo A 5.1 | Anexo A 5.1.1 Anexo A 5.1.2 | Políticas de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
| Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
| Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
| Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
| Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
| Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
| Controles organizacionales | Anexo A 5.8 | Anexo A 6.1.5 Anexo A 14.1.1 | Seguridad de la información en la gestión de proyectos |
| Controles organizacionales | Anexo A 5.9 | Anexo A 8.1.1 Anexo A 8.1.2 | Inventario de Información y Otros Activos Asociados |
| Controles organizacionales | Anexo A 5.10 | Anexo A 8.1.3 Anexo A 8.2.3 | Uso aceptable de la información y otros activos asociados |
| Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
| Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
| Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
| Controles organizacionales | Anexo A 5.14 | Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 | Transferencia de información |
| Controles organizacionales | Anexo A 5.15 | Anexo A 9.1.1 Anexo A 9.1.2 | Control de Acceso |
| Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
| Controles organizacionales | Anexo A 5.17 | Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 | Información de autenticación |
| Controles organizacionales | Anexo A 5.18 | Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 | Derechos de acceso |
| Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
| Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
| Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
| Controles organizacionales | Anexo A 5.22 | Anexo A 15.2.1 Anexo A 15.2.2 | Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
| Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
| Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
| Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
| Controles organizacionales | Anexo A 5.29 | Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 | Seguridad de la información durante la disrupción |
| Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
| Controles organizacionales | Anexo A 5.31 | Anexo A 18.1.1 Anexo A 18.1.5 | Requisitos legales, estatutarios, reglamentarios y contractuales |
| Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
| Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
| Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
| Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
| Controles organizacionales | Anexo A 5.36 | Anexo A 18.2.2 Anexo A 18.2.3 | Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
| Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
| Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
| Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
| Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
| Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
| Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
| Controles de personas | Anexo A 6.8 | Anexo A 16.1.2 Anexo A 16.1.3 | Informes de eventos de seguridad de la información |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
| Controles físicos | Anexo A 7.2 | Anexo A 11.1.2 Anexo A 11.1.6 | Entrada Física |
| Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
| Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
| Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
| Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
| Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
| Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
| Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| Controles físicos | Anexo A 7.10 | Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 | Medios de almacenamiento |
| Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
| Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
| Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
| Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
| Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
|---|---|---|---|
| Controles Tecnológicos | Anexo A 8.1 | Anexo A 6.2.1 Anexo A 11.2.8 | Dispositivos terminales de usuario |
| Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
| Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
| Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
| Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
| Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
| Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
| Controles Tecnológicos | Anexo A 8.8 | Anexo A 12.6.1 Anexo A 18.2.3 | Gestión de Vulnerabilidades Técnicas |
| Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
| Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
| Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
| Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
| Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
| Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
| Controles Tecnológicos | Anexo A 8.15 | Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 | Inicio de sesión |
| Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
| Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
| Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados |
| Controles Tecnológicos | Anexo A 8.19 | Anexo A 12.5.1 Anexo A 12.6.2 | Instalación de Software en Sistemas Operativos |
| Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
| Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
| Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
| Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
| Controles Tecnológicos | Anexo A 8.24 | Anexo A 10.1.1 Anexo A 10.1.2 | Uso de criptografía |
| Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
| Controles Tecnológicos | Anexo A 8.26 | Anexo A 14.1.2 Anexo A 14.1.3 | Requisitos de seguridad de la aplicación |
| Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Principios de ingeniería y arquitectura de sistemas seguros |
| Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
| Controles Tecnológicos | Anexo A 8.29 | Anexo A 14.2.8 Anexo A 14.2.9 | Pruebas de seguridad en desarrollo y aceptación |
| Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
| Controles Tecnológicos | Anexo A 8.31 | Anexo A 12.1.4 Anexo A 14.2.6 | Separación de entornos de desarrollo, prueba y producción. |
| Controles Tecnológicos | Anexo A 8.32 | Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 | Gestión del cambio |
| Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
| Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
Siempre que actualice los procesos de su sistema de gestión de seguridad para reflejar los controles mejorados, cumplirá con la norma ISO 27001:2022. Esto puede ser manejado por ISMS.online si no tiene los recursos necesarios internamente.
Simplificamos la implementación de ISO 27001:2022 a través de nuestro flujo de trabajo y herramientas intuitivos, incluidos marcos, políticas, controles, documentación procesable y orientación. Con nuestro software basado en la nube, puede administrar todos sus Soluciones SGSI en un lugar.
Nuestra plataforma le permite definir el alcance de su ISMS, identificar riesgos e implementar controles fácilmente.
Para obtener más información sobre cómo ISMS.online puede ayudarle a alcanzar sus objetivos ISO 27001, por favor póngase en contacto hoy para reservar una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
