El control de acceso gobierna las formas en que las entidades humanas y no humanas en cualquier red determinada obtienen acceso a datos, recursos de TI y aplicaciones.
Según la guía complementaria, el Control 5.15 menciona (pero no se limita a) cuatro tipos diferentes de control de acceso, que se pueden clasificar en términos generales de la siguiente manera:
5.15 es un control preventivo que mantiene el riesgo mejorando la capacidad subyacente de una organización para controlar el acceso a datos y activos.
5.15 es explícito al afirmar que el acceso a los recursos debe otorgarse y modificarse en función de un conjunto concreto de requisitos de seguridad comerciales y de la información.
Las organizaciones deben implementar 5.15 para facilitar el acceso seguro a los datos y minimizar el riesgo de acceso no autorizado a su red, ya sea física o virtual.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de identidad y acceso | #Proteccion |
Mientras que 5.15 depende de que el personal directivo de varias partes de una organización mantenga un conocimiento profundo de quién necesita acceso a qué recursos (es decir, RR.HH. informa sobre el rol laboral de los empleados, lo que a su vez dicta sus parámetros RBAC), los derechos de acceso son, en última instancia, una función de mantenimiento que están controlados por personal con derechos administrativos sobre cualquier red determinada.
Como tal, la propiedad de 5.15 debe recaer en un miembro de la alta gerencia con autoridad técnica general en todos los dominios, subdominios, aplicaciones, recursos y activos de una organización, como un Jefe de TI.
El cumplimiento del Control 5.15 implica adherirse a lo que se conoce como enfoque 'temático específico' al control de acceso (más comúnmente conocido como enfoque 'específico').
Los enfoques temáticos específicos alientan a las organizaciones a crear Access Políticas de control que se adaptan a funciones comerciales individuales, en lugar de adherirse a una política general de control de acceso que se aplica al acceso a datos y recursos en todos los ámbitos.
Control 5.15 requiere que las políticas de control de acceso en todas las áreas temáticas específicas tengan en cuenta los siguientes 11 puntos de orientación. Algunos de los siguientes puntos de orientación se cruzan con otros controles, que se enumeran como referencia.
Las organizaciones deben consultar estos controles adjuntos caso por caso para obtener más información.
Cumplimiento – Esto se logra fácilmente manteniendo un registro preciso de las funciones laborales y los requisitos de acceso a los datos, que esté en línea con su estructura organizacional.
Cumplimiento - Formal evaluación de riesgos podrían llevarse a cabo estudios para examinar las características de seguridad de aplicaciones individuales.
Cumplimiento – Su organización debe poder demostrar que cuenta con un conjunto sólido de controles de acceso a edificios y salas, incluidos sistemas de entrada administrados, perímetros de seguridad y procedimientos para visitantes, cuando corresponda.
Cumplimiento – Las empresas deben adherirse a políticas estrictas de mejores prácticas que no ofrezcan acceso generalizado a los datos de un organigrama.
Cumplimiento – Los privilegios de acceso a datos superiores a los de un usuario estándar deben estar estrechamente monitoreado y auditado.
Cumplimiento – Las organizaciones adaptan sus propias políticas de control de acceso de acuerdo con cualquier obligación externa que tengan con respecto al acceso a datos, activos y recursos.
Cumplimiento – Las políticas deben incluir controles que eliminen la capacidad de un individuo de comprometer una función de control de acceso más amplia, en función de sus propios niveles de acceso (es decir, un empleado que tiene la capacidad de solicitar, autorizar e implementar cambios en una red).
Cumplimiento – Las políticas de control de acceso deben reconocer que, si bien el control de acceso es una función autónoma, se compone de una serie de pasos individuales que conllevan su propio conjunto de requisitos tema por tema.
Cumplimiento – Las organizaciones deben implementar un proceso de autorización que requiera la aprobación formal y documentada de un miembro apropiado del personal.
Cumplimiento – La integridad de los datos y los perímetros de seguridad deben mantenerse a través de un ciclo continuo de auditorías periódicas, supervisión de recursos humanos (abandonos, etc.) y cambios de puestos específicos (por ejemplo, movimientos departamentales y modificaciones de funciones).
Cumplimiento – La organización debe recopilar y almacenar datos sobre eventos de acceso (por ejemplo, actividad de archivos) junto con la protección contra el acceso no autorizado a los registros de eventos de seguridad, y operar con un conjunto completo de la gestión de incidencias procedimientos.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
Como hemos comentado, las reglas de control de acceso se otorgan a varias entidades (humanas y no humanas) que existen en una red determinada, a las que a su vez se les asignan "roles" que dictan sus requisitos generales.
A medida que su organización define y promulga su propio conjunto de políticas de control de acceso, 5.15 le pide que tenga en cuenta los siguientes 4 puntos:
El Control 5.15 es explícito al exigir que las organizaciones se preocupen por la documentación y una lista estructurada de responsabilidades. ISO 27002 contiene numerosos requisitos similares en toda su lista de controles; aquí están los controles individuales que son más relevantes para 5.15:
Control 5.15 brinda a las organizaciones una gran libertad de acción a la hora de elegir el nivel de granularidad contenido en sus reglas de control de acceso.
ISO aconseja a las empresas que ejerzan su propio criterio sobre qué tan detallado debe ser un determinado conjunto de reglas, empleado por empleado, y cuántas variables de acceso se aplican a cualquier dato.
5.15 reconoce explícitamente que cuanto más detalladas sean las políticas de control de acceso de una empresa, mayor será el costo y más difícil se volverá todo el concepto de control de acceso en múltiples ubicaciones, tipos de redes y variables de aplicación.
El control de acceso como concepto, a menos que se gestione estrechamente, pronto puede salirse de control. Casi siempre es una buena idea simplificar las reglas de control de acceso para que su administración sea más fácil y rentable.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
27002:2013/5.15 es una fusión de dos controles similares en 27002:2013 – 9.1.1 (Política de control de acceso) y 9.1.2 (Acceso a redes y servicios de red).
En general, tanto 9.1.1 como 9.1.2 abordan los mismos temas subyacentes que 5.15 y, en términos generales, siguen el mismo conjunto de directrices de gobernanza, con algunas diferencias operativas sutiles.
Tanto los controles de 2022 como los de 2013 se ocupan de administrar el acceso a la información, los activos y los recursos y operan según un principio de “necesidad de saber” que trata los datos corporativos como un bien que debe gestionarse y protegerse estrechamente.
Las 27002 directrices que rigen 2013:9.1.1/11 siguen las mismas líneas generales que se ven en 27002:2013/5.15, y este último presenta un énfasis marginalmente mayor en la seguridad física y la seguridad perimetral.
La orientación de apoyo sobre la implementación del control de acceso es básicamente la misma; sin embargo, el control 2022 hace un trabajo mucho mejor al ofrecer una orientación práctica y concisa en sus 4 pautas de implementación.
5.15 reconoce los diferentes tipos de métodos de control de acceso que han surgido en los últimos 9 años (MAC, DAC, ABAC), mientras que 27002:2013/9.1.1 limita su orientación a RBAC, el método de control de acceso comercial más común en ese momento. .
Junto con los cambios tecnológicos que ofrecen a las organizaciones un mayor control sobre sus datos, ninguno de los controles de 2013 contiene ninguna dirección significativa sobre cómo una organización debe abordar los controles de acceso granulares, mientras que 27002:2013/5.15 brinda a las organizaciones una cantidad significativa de margen de maniobra.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Estamos muy contentos de haber encontrado esta solución, hizo que todo encajara más fácilmente.