Las identidades son utilizadas por las redes informáticas para identificar la capacidad subyacente de una entidad (un usuario, grupo de usuarios, dispositivo o activo de TI) para acceder a un conjunto predeterminado de recursos de hardware y software.
El Control 5.16 se ocupa de la aprobación, el registro y la administración (definido como el 'ciclo de vida completo') de identidades humanas y no humanas en cualquier red determinada.
5.16 trata de la capacidad de una organización para identificar quién (usuarios, grupos de usuarios) o qué (aplicaciones, sistemas y dispositivos) está accediendo a datos o activos de TI en un momento dado, y cómo se otorgan derechos de acceso a esas identidades en toda la red.
5.16 es un control preventivo que mantiene el riesgo actuando como perímetro principal para todos los asociados seguridad de la información y ciberseguridad operaciones, así como el modo de gobernanza principal que dicta el marco de gestión de acceso e identidad de una organización.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de identidad y acceso | #Proteccion |
Dado que 5.16 cumple principalmente una función de mantenimiento, la propiedad debe dirigirse al personal de TI a quien se le han asignado derechos de administrador global (o equivalente para infraestructura que no esté basada en Windows).
Si bien existen otras funciones integradas que permiten a los usuarios administrar identidades (por ejemplo, Administrador de dominio), la propiedad de 5.16 debe recaer en la persona que tiene la autoridad final. Responsabilidad de toda la red de una organización., incluidos todos los subdominios y los inquilinos de Active Directory.
El cumplimiento del control 5.16 se logra mediante una combinación de garantizar que los procedimientos basados en la identidad estén claramente articulados en los documentos de políticas y monitorear el cumplimiento diario entre el personal.
5.16 enumera seis procedimientos principales que una organización debe seguir para cumplir con los estándares requeridos de seguridad de la información y gobernanza de la ciberseguridad:
Cumplimiento – Las políticas de TI deben estipular claramente que los usuarios no deben compartir información de inicio de sesión ni permitir que otros usuarios deambulen por la red utilizando una identidad distinta a la que se les ha asignado.
Cumplimiento – Las organizaciones deben tratar el registro de identidades compartidas como un procedimiento separado de las identidades de usuario único, con un flujo de trabajo de aprobación dedicado.
Cumplimiento – Al igual que con las identidades compartidas, las identidades no humanas deben a su vez tener su propio proceso de aprobación y registro que reconozca la diferencia subyacente entre asignar una identidad a una persona y otorgarla a un activo, aplicación o dispositivo.
Cumplimiento – El personal de TI debe realizar auditorías periódicas que enumeran las identidades en orden de uso e identifican qué entidades (humanas o no humanas) pueden suspenderse o eliminarse. El personal de RR.HH. debe incluir la gestión de identidad en sus procedimientos de baja e informar al personal de TI sobre las bajas de manera oportuna.
Cumplimiento – El personal de TI debe permanecer atento al asignar roles en una red y garantizar que a las entidades no se les otorguen derechos de acceso basados en múltiples identidades.
Cumplimiento – El término 'hecho significativo' puede interpretarse de varias maneras, pero en un nivel básico las organizaciones necesitan para garantizar que sus procedimientos de gobernanza incluyan documentación de registro de identidad, protocolos sólidos de solicitud de cambios con un procedimiento de aprobaciones adecuado y la capacidad de producir una lista completa de identidades asignadas en cualquier momento dado.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
Además de las seis consideraciones operativas principales, 5.16 también enumera cuatro pasos que las organizaciones deben seguir al crear una identidad y otorgarla. acceso a los recursos de la red (la modificación o eliminación de los derechos de acceso se trata en el control 5.18):
Cumplimiento – Es importante reconocer que la gestión de identidades se vuelve exponencialmente más difícil con cada nueva identidad que se crea. Las organizaciones deberían crear nuevas identidades sólo cuando exista una clara necesidad de hacerlo.
Cumplimiento – Una vez que se ha aprobado un caso de negocio, los procedimientos de Gestión de Identidad y Acceso deben contener pasos para garantizar que la persona o activo que recibe una nueva identidad tenga la autoridad necesaria para hacerlo, antes de que se cree una identidad.
Una vez que se haya verificado la entidad, el personal de TI debe crear una identidad que esté en línea con los requisitos del caso comercial y se limite a lo estipulado en cualquier documentación de solicitud de cambio.
27002:2022 / 5.16 reemplaza 27002:2013/9.2.1 (Registro y baja de usuarios), que a su vez formaba parte del conjunto de control de gestión de acceso de usuarios de 27002:2013. Si bien existen algunas similitudes entre los dos controles (principalmente en los protocolos de mantenimiento y en la desactivación de identificaciones redundantes), la versión 5.16 contiene un conjunto mucho más completo de pautas que buscan abordar la gestión de identidades y accesos como un concepto de extremo a extremo.
La principal diferencia entre el control de 2022 y su predecesor de 2013 es el reconocimiento de que, si bien existen diferencias en el proceso de registro, las identidades humanas y no humanas ya no se tratan como distintas entre sí, para fines generales de administración de la red.
Con la aparición de la moderna gestión de identidades y accesos y los protocolos RBAC basados en Windows, el gobierno de TI y las pautas de mejores prácticas hablan de identidades humanas y no humanas de manera más o menos indistinta. 27002:2013/9.2.1 no contiene ninguna guía sobre cómo administrar identidades no humanas y se ocupa únicamente de la gestión de lo que denomina "ID de usuario" (es decir, información de inicio de sesión que se utiliza para acceder a una red, junto con un contraseña).
Como hemos visto, 27002:2013/5.16 contiene orientación explícita no solo sobre las implicaciones generales de seguridad del gobierno de identidad, sino también sobre cómo las organizaciones deben registrar y procesar información antes de asignar una identidad y durante todo su ciclo de vida. En comparación, 27002:2013/9.2.1 solo menciona brevemente el papel complementario que desempeña la gobernanza de TI y se limita a la práctica física de la administración de identidades, tal como la lleva a cabo el personal de TI.
El único cumplimiento
solución que necesitas
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
ISMS.online le ahorrará tiempo y dinero
Obtenga su cotización