ISO 27002:2022- Control 5.16 – Gestión de Identidades

¿Cuál es el propósito del Control 5.16?

5.16 trata de la capacidad de una organización para identificar quién (usuarios, grupos de usuarios) o qué (aplicaciones, sistemas y dispositivos) está accediendo a datos o activos de TI en un momento dado, y cómo se otorgan derechos de acceso a esas identidades en toda la red.

5.16 es un control preventivo que mantiene el riesgo actuando como perímetro principal para todos los asociados seguridad de la información y ciberseguridad operaciones, así como el modo de gobernanza principal que dicta el marco de gestión de acceso e identidad de una organización.

Atributos de Control 5.16

Propiedad

Dado que 5.16 cumple principalmente una función de mantenimiento, la propiedad debe dirigirse al personal de TI a quien se le han asignado derechos de administrador global (o equivalente para infraestructura que no esté basada en Windows).

Si bien existen otras funciones integradas que permiten a los usuarios administrar identidades (por ejemplo, Administrador de dominio), la propiedad de 5.16 debe recaer en la persona que tiene la autoridad final. Responsabilidad de toda la red de una organización., incluidos todos los subdominios y los inquilinos de Active Directory.

Orientación general

El cumplimiento del control 5.16 se logra mediante una combinación de garantizar que los procedimientos basados ​​en la identidad estén claramente articulados en los documentos de políticas y monitorear el cumplimiento diario entre el personal.

5.16 enumera seis procedimientos principales que una organización debe seguir para cumplir con los estándares requeridos de seguridad de la información y gobernanza de la ciberseguridad:

• Cuando se asignan identidades a una persona, solo esa persona específica puede autenticarse y/o utilizar esa identidad al acceder a los recursos de la red.

Compliance – Las políticas de TI deben estipular claramente que los usuarios no deben compartir información de inicio de sesión ni permitir que otros usuarios deambulen por la red utilizando una identidad distinta a la que se les ha asignado.

• A veces puede ser necesario asignar una identidad a varias personas, lo que también se conoce como "identidad compartida". Este enfoque debe utilizarse con moderación y sólo para satisfacer un conjunto explícito de requisitos operativos.

Compliance – Las organizaciones deben tratar el registro de identidades compartidas como un procedimiento separado de las identidades de usuario único, con un flujo de trabajo de aprobación dedicado.

• Las llamadas entidades "no humanas" (como sugiere el nombre, cualquier identidad que no esté asociada a un usuario real) deben considerarse de manera diferente a las identidades basadas en usuarios en el momento del registro.

Compliance – Al igual que con las identidades compartidas, las identidades no humanas deben a su vez tener su propio proceso de aprobación y registro que reconozca la diferencia subyacente entre asignar una identidad a una persona y otorgarla a un activo, aplicación o dispositivo.

• Las identidades que ya no son necesarias (abandonos, activos redundantes, etc.) deben ser desactivadas por un administrador de red o eliminadas por completo, según sea necesario.

Compliance – El personal de TI debe realizar auditorías periódicas que enumeran las identidades en orden de uso e identifican qué entidades (humanas o no humanas) pueden suspenderse o eliminarse. El personal de RR.HH. debe incluir la gestión de identidad en sus procedimientos de baja e informar al personal de TI sobre las bajas de manera oportuna.

• Deben evitarse a toda costa las identidades duplicadas. Las empresas deberían adherirse a la regla de "una entidad, una identidad" en todos los ámbitos.

Compliance – El personal de TI debe permanecer atento al asignar roles en una red y garantizar que a las entidades no se les otorguen derechos de acceso basados ​​en múltiples identidades.

• Se deben mantener registros adecuados de todos los "eventos importantes" relacionados con la gestión de identidad y la información de autenticación.

Compliance – El término 'hecho significativo' puede interpretarse de varias maneras, pero en un nivel básico las organizaciones necesitan para garantizar que sus procedimientos de gobernanza incluyan documentación de registro de identidad, protocolos sólidos de solicitud de cambios con un procedimiento de aprobaciones adecuado y la capacidad de producir una lista completa de identidades asignadas en cualquier momento dado.

Orientación complementaria

Además de las seis consideraciones operativas principales, 5.16 también enumera cuatro pasos que las organizaciones deben seguir al crear una identidad y otorgarla. acceso a los recursos de la red (la modificación o eliminación de los derechos de acceso se trata en el control 5.18):

• Establecer un caso de negocio antes de que se cree una identidad

Compliance – Es importante reconocer que la gestión de identidades se vuelve exponencialmente más difícil con cada nueva identidad que se crea. Las organizaciones deberían crear nuevas identidades sólo cuando exista una clara necesidad de hacerlo.

• Asegúrese de que la entidad a la que se le asigna la identidad (humana o no humana) haya sido verificada de forma independiente.

Compliance – Una vez que se ha aprobado un caso de negocio, los procedimientos de Gestión de Identidad y Acceso deben contener pasos para garantizar que la persona o activo que recibe una nueva identidad tenga la autoridad necesaria para hacerlo, antes de que se cree una identidad.

• Estableciendo una identidad

Una vez que se haya verificado la entidad, el personal de TI debe crear una identidad que esté en línea con los requisitos del caso comercial y se limite a lo estipulado en cualquier documentación de solicitud de cambio.

• Configuración final y activación.

Las paso en el proceso implica asignar una identidad a sus diversos permisos y roles basados ​​en acceso (RBAC) y cualquier servicio de autenticación asociado que sea necesario.

Cambios desde ISO 27002:2013

General

27002:2022 / 5.16 reemplaza 27002:2013/9.2.1 (Registro y baja de usuarios), que a su vez formaba parte del conjunto de control de gestión de acceso de usuarios de 27002:2013. Si bien existen algunas similitudes entre los dos controles (principalmente en los protocolos de mantenimiento y en la desactivación de identificaciones redundantes), la versión 5.16 contiene un conjunto mucho más completo de pautas que buscan abordar la gestión de identidades y accesos como un concepto de extremo a extremo.

Identidades humanas versus no humanas

La principal diferencia entre el control de 2022 y su predecesor de 2013 es el reconocimiento de que, si bien existen diferencias en el proceso de registro, las identidades humanas y no humanas ya no se tratan como distintas entre sí, para fines generales de administración de la red.

Con la aparición de la moderna gestión de identidades y accesos y los protocolos RBAC basados ​​en Windows, el gobierno de TI y las pautas de mejores prácticas hablan de identidades humanas y no humanas de manera más o menos indistinta. 27002:2013/9.2.1 no contiene ninguna guía sobre cómo administrar identidades no humanas y se ocupa únicamente de la gestión de lo que denomina "ID de usuario" (es decir, información de inicio de sesión que se utiliza para acceder a una red, junto con un contraseña).

Documentación

Como hemos visto, 27002:2013/5.16 contiene orientación explícita no solo sobre las implicaciones generales de seguridad del gobierno de identidad, sino también sobre cómo las organizaciones deben registrar y procesar información antes de asignar una identidad y durante todo su ciclo de vida. En comparación, 27002:2013/9.2.1 solo menciona brevemente el papel complementario que desempeña la gobernanza de TI y se limita a la práctica física de la administración de identidades, tal como la lleva a cabo el personal de TI.

Nuevos controles ISO 27002