¿Cuál es el propósito del control 5.15?
Según la guía complementaria, el Control 5.15 menciona (pero no se limita a) cuatro tipos diferentes de control de acceso, que se pueden clasificar en términos generales de la siguiente manera:
- Control de Acceso Obligatorio (MAC) – El acceso está gestionado de forma centralizada por una única autoridad de seguridad.
- Control de acceso discrecional (DAC) – El método opuesto a MAC, donde los propietarios de objetos pueden transferir privilegios a otros usuarios.
- Control de acceso basado en roles (RBAC) – El tipo más común de control de acceso comercial, basado en funciones y privilegios laborales predefinidos.
- Control de acceso basado en atributos (ABAC) – Los derechos de acceso se otorgan a los usuarios mediante el uso de políticas que combinan atributos.
5.15 es un control preventivo que mantiene el riesgo mejorando la capacidad subyacente de una organización para controlar el acceso a datos y activos.
5.15 es explícito al afirmar que el acceso a los recursos debe otorgarse y modificarse en función de un conjunto concreto de requisitos de seguridad comerciales y de la información.
Las organizaciones deben implementar 5.15 para facilitar el acceso seguro a los datos y minimizar el riesgo de acceso no autorizado a su red, ya sea física o virtual.
Atributos de Control 5.15
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Gestión de identidad y acceso | #Proteccion |
| #Integridad | ||||
| #Disponibilidad |
Propiedad
Mientras que 5.15 depende de que el personal directivo de varias partes de una organización mantenga un conocimiento profundo de quién necesita acceso a qué recursos (es decir, RR.HH. informa sobre el rol laboral de los empleados, lo que a su vez dicta sus parámetros RBAC), los derechos de acceso son, en última instancia, una función de mantenimiento que están controlados por personal con derechos administrativos sobre cualquier red determinada.
Como tal, la propiedad de 5.15 debe recaer en un miembro de la alta gerencia con autoridad técnica general en todos los dominios, subdominios, aplicaciones, recursos y activos de una organización, como un Jefe de TI.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación general
El cumplimiento del Control 5.15 implica adherirse a lo que se conoce como enfoque 'temático específico' al control de acceso (más comúnmente conocido como enfoque 'específico').
Los enfoques temáticos específicos alientan a las organizaciones a crear Access Políticas de control que se adaptan a funciones comerciales individuales, en lugar de adherirse a una política general de control de acceso que se aplica al acceso a datos y recursos en todos los ámbitos.
Control 5.15 requiere que las políticas de control de acceso en todas las áreas temáticas específicas tengan en cuenta los siguientes 11 puntos de orientación. Algunos de los siguientes puntos de orientación se cruzan con otros controles, que se enumeran como referencia.
Las organizaciones deben consultar estos controles adjuntos caso por caso para obtener más información.
- Determinar qué entidades requieren acceso a ciertas partes de información y/o activos.
Compliance – Esto se logra fácilmente manteniendo un registro preciso de las funciones laborales y los requisitos de acceso a los datos, que esté en línea con su estructura organizacional.
- La integridad y seguridad de todas las aplicaciones relevantes (vinculadas con Control 8.2)
Compliance - Formal evaluación de riesgos podrían llevarse a cabo estudios para examinar las características de seguridad de aplicaciones individuales.
- Controles de acceso físico (sitio) (vinculados con los Controles 7.2, 7.3 y 7.4)
Compliance – Su organización debe poder demostrar que cuenta con un conjunto sólido de controles de acceso a edificios y salas, incluidos sistemas de entrada administrados, perímetros de seguridad y procedimientos para visitantes, cuando corresponda.
- Un principio de “necesidad de saber” en toda la empresa, cuando se trata de distribución, seguridad y categorización de la información (vinculado con 5.10, 5.12 y 5.13)
Compliance – Las empresas deben adherirse a políticas estrictas de mejores prácticas que no ofrezcan acceso generalizado a los datos de un organigrama.
- Garantizar restricciones a los derechos de acceso privilegiado (vinculado con 8.2)
Compliance – Los privilegios de acceso a datos superiores a los de un usuario estándar deben estar estrechamente monitoreado y auditado.
- Adhesión a cualquier pieza de legislación vigente, directrices regulatorias específicas del sector u obligaciones contractuales relacionadas con el acceso a datos (vinculado con 5.31, 5.32, 5.33, 5.34 y 8.3)
Compliance – Las organizaciones adaptan sus propias políticas de control de acceso de acuerdo con cualquier obligación externa que tengan con respecto al acceso a datos, activos y recursos.
- Supervisión de posibles conflictos de funciones
Compliance – Las políticas deben incluir controles que eliminen la capacidad de un individuo de comprometer una función de control de acceso más amplia, en función de sus propios niveles de acceso (es decir, un empleado que tiene la capacidad de solicitar, autorizar e implementar cambios en una red).
- Las tres funciones principales de una Política de Control de Acceso (solicitudes, autorizaciones y administración) deben abordarse de forma aislada
Compliance – Las políticas de control de acceso deben reconocer que, si bien el control de acceso es una función autónoma, se compone de una serie de pasos individuales que conllevan su propio conjunto de requisitos tema por tema.
- Las solicitudes de acceso deben realizarse de manera estructurada y formal (vinculado a 5.16 y 5.18).
Compliance – Las organizaciones deben implementar un proceso de autorización que requiera la aprobación formal y documentada de un miembro apropiado del personal.
- Gestión continua de los derechos de acceso (vinculado a 5.18)
Compliance – La integridad de los datos y los perímetros de seguridad deben mantenerse a través de un ciclo continuo de auditorías periódicas, supervisión de recursos humanos (abandonos, etc.) y cambios de puestos específicos (por ejemplo, movimientos departamentales y modificaciones de funciones).
- Mantener registros adecuados y controlar el acceso a ellos.
Compliance – La organización debe recopilar y almacenar datos sobre eventos de acceso (por ejemplo, actividad de archivos) junto con la protección contra el acceso no autorizado a los registros de eventos de seguridad, y operar con un conjunto completo de la gestión de incidencias procedimientos.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación sobre la implementación de reglas de control de acceso
Como hemos comentado, las reglas de control de acceso se otorgan a varias entidades (humanas y no humanas) que existen en una red determinada, a las que a su vez se les asignan "roles" que dictan sus requisitos generales.
A medida que su organización define y promulga su propio conjunto de políticas de control de acceso, 5.15 le pide que tenga en cuenta los siguientes 4 puntos:
- Garantizar la coherencia entre el derecho de acceso y el tipo de datos a los que se aplica.
- Garantizar la coherencia entre el derecho de acceso y el requisitos de seguridad fisica de su organización (perímetros, etc.).
- Cuando su organización opera en un entorno informático distribuido que incluye múltiples redes o conjuntos de recursos distintos (como un entorno basado en la nube), los derechos de acceso consideran las implicaciones de los datos contenidos en una amplia gama de servicios de red.
- Tenga en cuenta las implicaciones que rodean los controles de acceso dinámico (un método granular de acceso implementado por los administradores del sistema a un conjunto detallado de variables).
Documentación y Responsabilidades Definidas
El Control 5.15 es explícito al exigir que las organizaciones se preocupen por la documentación y una lista estructurada de responsabilidades. ISO 27002 contiene numerosos requisitos similares en toda su lista de controles; aquí están los controles individuales que son más relevantes para 5.15:
Documentación
- 5.16
- 5.17
- 5.18
- 8.2
- 8.3
- 8.4
- 8.5
- 8.18
Responsabilidades
- 5.2
- 5.17
granularidad
Control 5.15 brinda a las organizaciones una gran libertad de acción a la hora de elegir el nivel de granularidad contenido en sus reglas de control de acceso.
ISO aconseja a las empresas que ejerzan su propio criterio sobre qué tan detallado debe ser un determinado conjunto de reglas, empleado por empleado, y cuántas variables de acceso se aplican a cualquier dato.
5.15 reconoce explícitamente que cuanto más detalladas sean las políticas de control de acceso de una empresa, mayor será el costo y más difícil se volverá todo el concepto de control de acceso en múltiples ubicaciones, tipos de redes y variables de aplicación.
El control de acceso como concepto, a menos que se gestione estrechamente, pronto puede salirse de control. Casi siempre es una buena idea simplificar las reglas de control de acceso para que su administración sea más fácil y rentable.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios desde ISO 27002:2013
27002:2013/5.15 es una fusión de dos controles similares en 27002:2013 – 9.1.1 (Política de control de acceso) y 9.1.2 (Acceso a redes y servicios de red).
En general, tanto 9.1.1 como 9.1.2 abordan los mismos temas subyacentes que 5.15 y, en términos generales, siguen el mismo conjunto de directrices de gobernanza, con algunas diferencias operativas sutiles.
Tanto los controles de 2022 como los de 2013 se ocupan de administrar el acceso a la información, los activos y los recursos y operan según un principio de “necesidad de saber” que trata los datos corporativos como un bien que debe gestionarse y protegerse estrechamente.
Las 27002 directrices que rigen 2013:9.1.1/11 siguen las mismas líneas generales que se ven en 27002:2013/5.15, y este último presenta un énfasis marginalmente mayor en la seguridad física y la seguridad perimetral.
La orientación de apoyo sobre la implementación del control de acceso es básicamente la misma; sin embargo, el control 2022 hace un trabajo mucho mejor al ofrecer una orientación práctica y concisa en sus 4 pautas de implementación.
Cambios en tipos de Controles de Acceso desde 9.1.1
5.15 reconoce los diferentes tipos de métodos de control de acceso que han surgido en los últimos 9 años (MAC, DAC, ABAC), mientras que 27002:2013/9.1.1 limita su orientación a RBAC, el método de control de acceso comercial más común en ese momento. .
granularidad
Junto con los cambios tecnológicos que ofrecen a las organizaciones un mayor control sobre sus datos, ninguno de los controles de 2013 contiene ninguna dirección significativa sobre cómo una organización debe abordar los controles de acceso granulares, mientras que 27002:2013/5.15 brinda a las organizaciones una cantidad significativa de margen de maniobra.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
