La información de autenticación, como contraseñas, claves de cifrado y chips de tarjetas, son la puerta de entrada a los sistemas de información que albergan activos de información confidencial.
La mala gestión o la asignación inadecuada de la información de autenticación pueden dar lugar a un acceso no autorizado a los sistemas de información y a la pérdida de confidencialidad, disponibilidad e integridad de los activos de información sensible.
Por ejemplo, Investigación de GoodFirm para 2021 muestra que el 30% de todas las filtraciones de datos se producen como resultado de contraseñas débiles o prácticas deficientes de gestión de contraseñas.
Por lo tanto, las organizaciones deben contar con un proceso sólido de gestión de la información de autenticación para asignar, gestionar y proteger la información de autenticación.
Control 5.17 permite a las organizaciones asignar y gestionar adecuadamente la información de autenticación, eliminar riesgos de fallas en el proceso de autenticación y prevenir riesgos de seguridad que puedan surgir debido al compromiso de la información de autenticación.
El Control 5.17 es un tipo de control preventivo que requiere que las organizaciones establezcan e implementen un proceso apropiado de gestión de la información de autenticación.
Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
---|---|---|---|---|
#Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de identidad y acceso | #Proteccion |
Teniendo en cuenta que el Control 5.17 implica el establecimiento y la implementación de reglas, procedimientos y medidas en toda la organización para la asignación y gestión de la información de autenticación, los responsables de seguridad de la información deben ser responsables del cumplimiento del Control 5.17.
Las organizaciones deben cumplir con los siguientes seis requisitos para la asignación y gestión de la información de autenticación:
Los usuarios que puedan acceder y utilizar información de autenticación deben recibir instrucciones de cumplir con lo siguiente:
El único cumplimiento
solución que necesitas
Reserva tu demostración
Las organizaciones deben cumplir con lo siguiente al establecer un sistema de gestión de contraseñas:
Además, las organizaciones deben realizar técnicas de hash y cifrado de acuerdo con los métodos de criptografía autorizados para contraseñas como se establece en el Control 8.24.
Además de las contraseñas, existen otros tipos de información de autenticación, como claves criptográficas, tarjetas inteligentes y datos biométricos como las huellas dactilares.
Se recomienda a las organizaciones que consulten la serie ISO/IEC 24760 para obtener orientación más detallada sobre la información de autenticación.
Teniendo en cuenta que el cambio frecuente de contraseñas puede resultar engorroso y molesto para los usuarios, las organizaciones pueden considerar implementar métodos alternativos, como el inicio de sesión único o bóvedas de contraseñas. Sin embargo, cabe señalar que estos métodos alternativos pueden exponer la información de autenticación a un mayor riesgo de divulgación no autorizada.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
27002:2022/5.17 reemplaza 27002:2013/(9.2.4, 9.3.1 9.4.3)
Aunque la Versión 2013 y 2022 son muy similares en términos de los requisitos para la asignación y gestión de la información de autenticación, el Control 5.17 en la Versión 2022 introduce el siguiente requisito, que no estaba incluido en la Versión 2013:
El Control 5.17 introduce el siguiente requisito para las responsabilidades del usuario al que no se hizo referencia en el Control 9.3.1 en la Versión 2013.
A diferencia de la versión 2022, Control 9.3.1 contenía el siguiente requisito para el uso de información de autenticación:
Control 9.4.3 en la versión 2013 incluyó el siguiente requisito para los sistemas de administración de contraseñas.
Control 5.17 en la versión 2022, por el contrario, no contenía este requisito.
ISMS.Online ayuda a las organizaciones y empresas a cumplir los requisitos de la norma ISO 27002 proporcionándoles una plataforma que facilita la gestión de sus políticas y procedimientos de confidencialidad o no divulgación, los actualiza según sea necesario, los prueba y supervisa su eficacia.
Proporcionamos una plataforma basada en la nube para la gestión de sistemas de gestión de confidencialidad y seguridad de la información, incluidas cláusulas de confidencialidad, gestión de riesgos, políticas, planes y procedimientos, en una ubicación central. La plataforma es fácil de usar y tiene una interfaz intuitiva que facilita aprender a usarla.
Contáctenos hoy para programa una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
5.7 | Nuevo | Inteligencia de amenazas |
5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
7.4 | Nuevo | Monitoreo de seguridad física |
8.9 | Nuevo | gestión de la configuración |
8.10 | Nuevo | Eliminación de información |
8.11 | Nuevo | Enmascaramiento de datos |
8.12 | Nuevo | Prevención de fuga de datos |
8.16 | Nuevo | Actividades de monitoreo |
8.23 | Nuevo | Filtrado Web |
8.28 | Nuevo | Codificación segura |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
6.1 | 07.1.1 | examen en línea. |
6.2 | 07.1.2 | Términos y condiciones de empleo |
6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
6.4 | 07.2.3 | Proceso Disciplinario |
6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
6.7 | 06.2.2 | Trabajo remoto |
6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
---|---|---|
7.1 | 11.1.1 | Perímetros de seguridad física |
7.2 | 11.1.2, 11.1.6 | Entrada física |
7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
7.4 | Nuevo | Monitoreo de seguridad física |
7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
7.6 | 11.1.5 | Trabajar en áreas seguras |
7.7 | 11.2.9 | Escritorio claro y pantalla clara |
7.8 | 11.2.1 | Ubicación y protección de equipos. |
7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
7.11 | 11.2.2 | Servicios públicos de apoyo |
7.12 | 11.2.3 | Seguridad del cableado |
7.13 | 11.2.4 | Mantenimiento de equipo |
7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |