Cada empleado dentro de su organización debe tener acceso a computadoras, bases de datos, sistemas de información y aplicaciones específicas para realizar sus tareas.
Por ejemplo, tu recursos humanos El departamento puede necesitar acceso a información médica confidencial sobre los empleados. Además, es posible que su departamento de finanzas necesite acceder y utilizar bases de datos que contengan información salarial de los empleados.
Debe proporcionar, modificar y revocar los derechos de acceso según la política de control de acceso y las medidas de control de acceso de la empresa. Esto evitará el acceso no autorizado, la modificación y la destrucción de activos de información.
Si no revoca los derechos de acceso de su ex empleado, ese empleado puede robar datos confidenciales.
Según ISO 27001:2022, el Control 5.18 del Anexo A aborda cómo se deben asignar, modificar y revocar los derechos de acceso en función de los requisitos comerciales.
De acuerdo con el Anexo A Control 5.18, una organización puede implementar procedimientos y controles para asignar, modificar y revocar derechos de acceso a sistemas de información consistentes con su política de control de acceso.
El Oficial de Seguridad de la Información debe ser responsable de establecer, implementar y revisar las reglas, procesos y controles apropiados para la provisión, modificación y revocación de derechos de acceso a los sistemas de información.
Es responsabilidad del responsable de seguridad de la información considerar cuidadosamente las necesidades comerciales al asignar, modificar y revocar derechos de acceso. Además, el oficial de seguridad de la información. debe trabajar en estrecha colaboración con los propietarios de activos de información para garantizar que se sigan las políticas y procedimientos.
Para asignar o revocar derechos de acceso de todo tipo de usuarios a todos los sistemas y servicios, se debe implementar un proceso (por simple y documentado que sea). Lo ideal sería que se relacionara con los puntos anteriores y con la iniciativa más amplia de seguridad de recursos humanos.
Un sistema o servicio de información debe ser aprovisionado o revocado basándose en los siguientes criterios: autorización del propietario del sistema o servicio de información, verificación de que el acceso es apropiado para la función que se está desempeñando y protección contra el aprovisionamiento que se produce antes de que se haya obtenido la autorización.
A los usuarios siempre se les debe otorgar acceso según los requisitos comerciales como parte de un enfoque empresarial. Aunque esto pueda parecer burocrático, no tiene por qué serlo. Este problema se puede abordar eficazmente mediante la implementación de procedimientos efectivos con acceso basado en roles a los sistemas y servicios.
Los propietarios de activos deben revisar los derechos de acceso de los usuarios periódicamente durante los cambios individuales (incorporación, cambios de roles y salidas) y durante auditorías más amplias del acceso al sistema.
Las autorizaciones deben revisarse con más frecuencia a la luz del mayor riesgo asociado con derechos de acceso privilegiados. Al igual que con 9.2, esto debe hacerse al menos una vez al año o siempre que se hayan realizado cambios significativos.
Es necesario eliminar los derechos de acceso de todos los empleados y usuarios externos a la información y a las instalaciones de procesamiento de información al finalizar su empleo, contrato o acuerdo (o ajustar sus derechos de acceso al cambiar de función, si es necesario).
Si las políticas y procedimientos de salida están bien diseñados y alineados con A.7, esto también se logrará y demostrado para fines de auditoría cuando los empleados se van.
Para la cesión y revocación de derechos de acceso a personas autentificadas, las organizaciones deberán incorporar las siguientes reglas y controles:
Las revisiones periódicas de los derechos de acceso físico y lógico deben tener en cuenta lo siguiente:
Se deben considerar los factores de riesgo. al evaluar y modificar los derechos de acceso de un empleado a los sistemas de procesamiento de información. Esto es antes de que sean ascendidos o degradados dentro de la misma organización:
Se recomienda que las organizaciones establezcan roles de acceso de usuarios de acuerdo con sus requisitos comerciales. Además de los tipos y números de derechos de acceso que se otorgarán a cada grupo de usuarios, estos roles deben especificar el tipo de derechos de acceso.
Crear tales roles hará que solicitudes de acceso y derechos para ser gestionados y revisados más fácilmente.
Se recomienda que las organizaciones incluyan disposiciones en sus contratos de empleo/servicio con su personal que aborden el acceso no autorizado a sus sistemas y las sanciones por dicho acceso. Se deben seguir los controles 5.20, 6.2, 6.4 y 6.6 del Anexo A.
Las organizaciones deben tener cuidado al tratar con empleados descontentos despedidos por la dirección, ya que pueden dañar intencionalmente los sistemas de información.
Las organizaciones que decidan utilizar técnicas de clonación para otorgar derechos de acceso deben hacerlo en función de los roles que la organización haya definido.
Existe un riesgo asociado con la clonación en el sentido de que se pueden conceder derechos de acceso excesivos.
ISO 27001:2022 Anexo A 5.18 reemplaza a ISO 27001:2013 Anexo A Controles 9.2.2, 9.2.5 y 9.2.6.
La versión 2013 del Anexo A Control 9.2.2 describió seis requisitos para asignar y revocar derechos de acceso; sin embargo, el Anexo A Control 5.18 introduce tres requisitos adicionales además de estos seis:
Según ISO 27001:2013, el Anexo A Control 9.5 establece explícitamente que las organizaciones deben revisar la autorización de derechos de acceso privilegiados con más frecuencia que otros derechos de acceso. Este requisito no se incluyó en el Anexo A Control 5.18 en la Versión 2022.
En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.
Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
---|---|---|---|
Controles organizacionales | Anexo A 5.1 | Anexo A 5.1.1 Anexo A 5.1.2 | Políticas de Seguridad de la Información |
Controles organizacionales | Anexo A 5.2 | Anexo A 6.1.1 | Funciones y responsabilidades de seguridad de la información |
Controles organizacionales | Anexo A 5.3 | Anexo A 6.1.2 | Segregación de deberes |
Controles organizacionales | Anexo A 5.4 | Anexo A 7.2.1 | Responsabilidades de gestión |
Controles organizacionales | Anexo A 5.5 | Anexo A 6.1.3 | Contacto con autoridades |
Controles organizacionales | Anexo A 5.6 | Anexo A 6.1.4 | Contacto con grupos de interés especial |
Controles organizacionales | Anexo A 5.7 | NUEVO | Inteligencia de amenaza |
Controles organizacionales | Anexo A 5.8 | Anexo A 6.1.5 Anexo A 14.1.1 | Seguridad de la información en la gestión de proyectos |
Controles organizacionales | Anexo A 5.9 | Anexo A 8.1.1 Anexo A 8.1.2 | Inventario de Información y Otros Activos Asociados |
Controles organizacionales | Anexo A 5.10 | Anexo A 8.1.3 Anexo A 8.2.3 | Uso aceptable de la información y otros activos asociados |
Controles organizacionales | Anexo A 5.11 | Anexo A 8.1.4 | Devolución de Activos |
Controles organizacionales | Anexo A 5.12 | Anexo A 8.2.1 | Clasificación de la información |
Controles organizacionales | Anexo A 5.13 | Anexo A 8.2.2 | Etiquetado de información |
Controles organizacionales | Anexo A 5.14 | Anexo A 13.2.1 Anexo A 13.2.2 Anexo A 13.2.3 | Transferencia de información |
Controles organizacionales | Anexo A 5.15 | Anexo A 9.1.1 Anexo A 9.1.2 | Control de Acceso |
Controles organizacionales | Anexo A 5.16 | Anexo A 9.2.1 | Gestión de identidad |
Controles organizacionales | Anexo A 5.17 | Anexo A 9.2.4 Anexo A 9.3.1 Anexo A 9.4.3 | Información de autenticación |
Controles organizacionales | Anexo A 5.18 | Anexo A 9.2.2 Anexo A 9.2.5 Anexo A 9.2.6 | Derechos de acceso |
Controles organizacionales | Anexo A 5.19 | Anexo A 15.1.1 | Seguridad de la Información en las Relaciones con Proveedores |
Controles organizacionales | Anexo A 5.20 | Anexo A 15.1.2 | Abordar la seguridad de la información en los acuerdos con proveedores |
Controles organizacionales | Anexo A 5.21 | Anexo A 15.1.3 | Gestión de la seguridad de la información en la cadena de suministro de TIC |
Controles organizacionales | Anexo A 5.22 | Anexo A 15.2.1 Anexo A 15.2.2 | Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores |
Controles organizacionales | Anexo A 5.23 | NUEVO | Seguridad de la información para el uso de servicios en la nube |
Controles organizacionales | Anexo A 5.24 | Anexo A 16.1.1 | Planificación y preparación de la gestión de incidentes de seguridad de la información |
Controles organizacionales | Anexo A 5.25 | Anexo A 16.1.4 | Evaluación y Decisión sobre Eventos de Seguridad de la Información |
Controles organizacionales | Anexo A 5.26 | Anexo A 16.1.5 | Respuesta a Incidentes de Seguridad de la Información |
Controles organizacionales | Anexo A 5.27 | Anexo A 16.1.6 | Aprender de los incidentes de seguridad de la información |
Controles organizacionales | Anexo A 5.28 | Anexo A 16.1.7 | Recolección de evidencia |
Controles organizacionales | Anexo A 5.29 | Anexo A 17.1.1 Anexo A 17.1.2 Anexo A 17.1.3 | Seguridad de la información durante la disrupción |
Controles organizacionales | Anexo A 5.30 | NUEVO | Preparación de las TIC para la continuidad del negocio |
Controles organizacionales | Anexo A 5.31 | Anexo A 18.1.1 Anexo A 18.1.5 | Requisitos legales, estatutarios, reglamentarios y contractuales |
Controles organizacionales | Anexo A 5.32 | Anexo A 18.1.2 | DERECHOS DE PROPIEDAD INTELECTUAL |
Controles organizacionales | Anexo A 5.33 | Anexo A 18.1.3 | Protección de registros |
Controles organizacionales | Anexo A 5.34 | Anexo A 18.1.4 | Privacidad y protección de la PII |
Controles organizacionales | Anexo A 5.35 | Anexo A 18.2.1 | Revisión independiente de la seguridad de la información |
Controles organizacionales | Anexo A 5.36 | Anexo A 18.2.2 Anexo A 18.2.3 | Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información |
Controles organizacionales | Anexo A 5.37 | Anexo A 12.1.1 | Procedimientos operativos documentados |
Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
---|---|---|---|
Controles de personas | Anexo A 6.1 | Anexo A 7.1.1 | examen en línea. |
Controles de personas | Anexo A 6.2 | Anexo A 7.1.2 | Términos y condiciones de empleo |
Controles de personas | Anexo A 6.3 | Anexo A 7.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
Controles de personas | Anexo A 6.4 | Anexo A 7.2.3 | Proceso Disciplinario |
Controles de personas | Anexo A 6.5 | Anexo A 7.3.1 | Responsabilidades después de la terminación o cambio de empleo |
Controles de personas | Anexo A 6.6 | Anexo A 13.2.4 | Acuerdos de confidencialidad o no divulgación |
Controles de personas | Anexo A 6.7 | Anexo A 6.2.2 | Trabajo remoto |
Controles de personas | Anexo A 6.8 | Anexo A 16.1.2 Anexo A 16.1.3 | Informes de eventos de seguridad de la información |
Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
---|---|---|---|
Controles físicos | Anexo A 7.1 | Anexo A 11.1.1 | Perímetros de seguridad física |
Controles físicos | Anexo A 7.2 | Anexo A 11.1.2 Anexo A 11.1.6 | Entrada Física |
Controles físicos | Anexo A 7.3 | Anexo A 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones |
Controles físicos | Anexo A 7.4 | NUEVO | Monitoreo de seguridad física |
Controles físicos | Anexo A 7.5 | Anexo A 11.1.4 | Protección contra amenazas físicas y ambientales |
Controles físicos | Anexo A 7.6 | Anexo A 11.1.5 | Trabajar en áreas seguras |
Controles físicos | Anexo A 7.7 | Anexo A 11.2.9 | Limpiar escritorio y limpiar pantalla |
Controles físicos | Anexo A 7.8 | Anexo A 11.2.1 | Ubicación y protección de equipos |
Controles físicos | Anexo A 7.9 | Anexo A 11.2.6 | Seguridad de los activos fuera de las instalaciones |
Controles físicos | Anexo A 7.10 | Anexo A 8.3.1 Anexo A 8.3.2 Anexo A 8.3.3 Anexo A 11.2.5 | Medios de almacenamiento |
Controles físicos | Anexo A 7.11 | Anexo A 11.2.2 | Servicios públicos de apoyo |
Controles físicos | Anexo A 7.12 | Anexo A 11.2.3 | Seguridad del cableado |
Controles físicos | Anexo A 7.13 | Anexo A 11.2.4 | Mantenimiento De Equipo |
Controles físicos | Anexo A 7.14 | Anexo A 11.2.7 | Eliminación segura o reutilización del equipo |
Anexo A Tipo de control | Identificador del Anexo A de ISO/IEC 27001:2022 | Identificador del Anexo A de ISO/IEC 27001:2013 | Anexo A Nombre |
---|---|---|---|
Controles Tecnológicos | Anexo A 8.1 | Anexo A 6.2.1 Anexo A 11.2.8 | Dispositivos terminales de usuario |
Controles Tecnológicos | Anexo A 8.2 | Anexo A 9.2.3 | Derechos de acceso privilegiados |
Controles Tecnológicos | Anexo A 8.3 | Anexo A 9.4.1 | Restricción de acceso a la información |
Controles Tecnológicos | Anexo A 8.4 | Anexo A 9.4.5 | Acceso al código fuente |
Controles Tecnológicos | Anexo A 8.5 | Anexo A 9.4.2 | Autenticación Segura |
Controles Tecnológicos | Anexo A 8.6 | Anexo A 12.1.3 | Gestión de capacidad |
Controles Tecnológicos | Anexo A 8.7 | Anexo A 12.2.1 | Protección contra malware |
Controles Tecnológicos | Anexo A 8.8 | Anexo A 12.6.1 Anexo A 18.2.3 | Gestión de Vulnerabilidades Técnicas |
Controles Tecnológicos | Anexo A 8.9 | NUEVO | Configuration Management |
Controles Tecnológicos | Anexo A 8.10 | NUEVO | Eliminación de información |
Controles Tecnológicos | Anexo A 8.11 | NUEVO | Enmascaramiento de datos |
Controles Tecnológicos | Anexo A 8.12 | NUEVO | Prevención de fuga de datos |
Controles Tecnológicos | Anexo A 8.13 | Anexo A 12.3.1 | Copia de seguridad de la información |
Controles Tecnológicos | Anexo A 8.14 | Anexo A 17.2.1 | Redundancia de instalaciones de procesamiento de información |
Controles Tecnológicos | Anexo A 8.15 | Anexo A 12.4.1 Anexo A 12.4.2 Anexo A 12.4.3 | Inicio de sesión |
Controles Tecnológicos | Anexo A 8.16 | NUEVO | Actividades de seguimiento |
Controles Tecnológicos | Anexo A 8.17 | Anexo A 12.4.4 | Sincronización de reloj |
Controles Tecnológicos | Anexo A 8.18 | Anexo A 9.4.4 | Uso de programas de utilidad privilegiados |
Controles Tecnológicos | Anexo A 8.19 | Anexo A 12.5.1 Anexo A 12.6.2 | Instalación de Software en Sistemas Operativos |
Controles Tecnológicos | Anexo A 8.20 | Anexo A 13.1.1 | Seguridad de Redes |
Controles Tecnológicos | Anexo A 8.21 | Anexo A 13.1.2 | Seguridad de los servicios de red |
Controles Tecnológicos | Anexo A 8.22 | Anexo A 13.1.3 | Segregación de Redes |
Controles Tecnológicos | Anexo A 8.23 | NUEVO | Filtrado Web |
Controles Tecnológicos | Anexo A 8.24 | Anexo A 10.1.1 Anexo A 10.1.2 | Uso de criptografía |
Controles Tecnológicos | Anexo A 8.25 | Anexo A 14.2.1 | Ciclo de vida de desarrollo seguro |
Controles Tecnológicos | Anexo A 8.26 | Anexo A 14.1.2 Anexo A 14.1.3 | Requisitos de seguridad de la aplicación |
Controles Tecnológicos | Anexo A 8.27 | Anexo A 14.2.5 | Principios de ingeniería y arquitectura de sistemas seguros |
Controles Tecnológicos | Anexo A 8.28 | NUEVO | Codificación segura |
Controles Tecnológicos | Anexo A 8.29 | Anexo A 14.2.8 Anexo A 14.2.9 | Pruebas de seguridad en desarrollo y aceptación |
Controles Tecnológicos | Anexo A 8.30 | Anexo A 14.2.7 | Desarrollo subcontratado |
Controles Tecnológicos | Anexo A 8.31 | Anexo A 12.1.4 Anexo A 14.2.6 | Separación de entornos de desarrollo, prueba y producción. |
Controles Tecnológicos | Anexo A 8.32 | Anexo A 12.1.2 Anexo A 14.2.2 Anexo A 14.2.3 Anexo A 14.2.4 | Gestión del cambio |
Controles Tecnológicos | Anexo A 8.33 | Anexo A 14.3.1 | Información de prueba |
Controles Tecnológicos | Anexo A 8.34 | Anexo A 12.7.1 | Protección de los sistemas de información durante las pruebas de auditoría |
ISO 27001:2022, Anexo A 5.18, es una de las cláusulas más discutidas. Muchos sostienen que es la cláusula más importante de todo el documento.
Esto se debe a que toda la Sistema de Gestión de Seguridad de la Información (SGSI) se basa en garantizar que las personas adecuadas tengan acceso a la información correcta en el momento adecuado. Alcanzar el éxito requiere hacerlo bien, pero puede afectar gravemente a su negocio.
Por ejemplo, imagínese si accidentalmente revelara información confidencial de un empleado a la persona equivocada, como el salario de cada empleado.
Un error aquí podría tener consecuencias importantes, por lo que vale la pena tomarse el tiempo para pensarlo detenidamente.
Nuestro La plataforma puede ser extremadamente útil. a este respecto. Como resultado, se adhiere a toda la estructura de ISO 27001 y le permite adoptar, adaptar y agregar contenido que proporcionamos. Esto le da una ventaja significativa. Por qué no programe una demostración para obtener más información?
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración