Cómo garantizar un acceso seguro: explicación del control 27002 de la norma ISO 5.18
Cada empleado de su organización necesitará tener acceso a determinadas computadoras, bases de datos, sistemas de información y aplicaciones para realizar sus tareas.
Por ejemplo, si bien el personal de recursos humanos puede necesitar acceso a datos confidenciales de salud de los empleados, su departamento de finanzas puede depender del acceso y uso de bases de datos que contienen detalles salariales de los empleados.
Sin embargo, estos derechos de acceso deben proporcionarse, modificarse y revocarse de acuerdo con la política de control de acceso de su organización y sus controles de acceso para que pueda evitar el acceso no autorizado, la modificación y la destrucción de activos de información.
Por ejemplo, si no revoca los derechos de acceso de un ex empleado, ese empleado puede robar información confidencial.
El Control 5.18 trata sobre cómo las organizaciones deben asignar, modificar y revocar derechos de acceso teniendo en cuenta los requisitos comerciales.
Propósito del Control 5.18
El Control 5.18 permite a una organización establecer e implementar procedimientos y controles apropiados para asignar, modificar y revocar derechos de acceso a los sistemas de información de conformidad con la política de control de acceso de la organización y sus controles de acceso.
Atributos de Control 5.18
El Control 5.18 es un control preventivo que requiere que las organizaciones eliminen el riesgo de acceso no autorizado a los sistemas de información mediante la implementación de reglas, procedimientos y controles sólidos.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad | #Proteger | #Gestión de identidad y acceso | #Proteccion |
| #Integridad | ||||
| #Disponibilidad |
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Propiedad del Control 5.18
Un oficial de seguridad de la información debe ser responsable de establecer, implementar y revisar reglas, procesos y controles apropiados para la provisión, modificación y revocación de derechos de acceso a los sistemas de información.
Al asignar, modificar y revocar derechos de acceso, el responsable de seguridad de la información debe considerar las necesidades comerciales y trabajar estrechamente con los propietarios de los activos de información para garantizar que se cumplan las reglas y los procesos.
Orientación sobre la concesión y revocación de derechos de acceso
Las organizaciones deben incorporar las siguientes reglas y controles en el proceso de asignación y revocación de derechos de acceso a una persona autenticada:
- El propietario de los activos de información debe proporcionar su autorización para el acceso y uso de los activos de información relevantes. Además, las organizaciones también deberían considerar buscar una aprobación separada de la dirección para otorgar derechos de acceso.
- Se deben tener en cuenta las necesidades comerciales de la organización y su política de control de acceso.
- Las organizaciones deberían considerar la segregación de funciones. Por ejemplo, la tarea de aprobación y la implementación de los derechos de acceso pueden ser realizadas por personas separadas.
- Cuando un individuo ya no necesita acceso a los activos de información, particularmente cuando ya no forma parte de la organización, sus derechos de acceso deben revocarse inmediatamente.
- El personal u otro personal que trabaje temporalmente para la organización puede recibir derechos de acceso temporales. Estos derechos deben ser revocados cuando ya no trabajen para la organización.
- El nivel de acceso proporcionado a un individuo debe estar en línea con la política de control de acceso de la organización y debe revisarse y verificarse periódicamente. Además, también debe estar de acuerdo con otros requisitos de seguridad de la información, como la segregación de funciones, como se establece en el Control 5.3.
- Las organizaciones deben asegurarse de que los derechos de acceso no se activen hasta que se complete el procedimiento de autorización adecuado.
- Los derechos de acceso proporcionados a cada identificador individual, como ID o físico, deben registrarse en un sistema central de gestión de control de acceso y este sistema debe mantenerse.
- Si el rol o los deberes de un individuo cambian, se debe actualizar su nivel de derechos de acceso.
- La eliminación o modificación de los derechos de acceso físico o lógico se puede realizar mediante los siguientes métodos: Eliminación o sustitución de claves, tarjetas de identificación o información de autenticación.
- Los cambios en los derechos de acceso físico y lógico de un usuario deben registrarse en un sistema y deben mantenerse.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
Orientación complementaria sobre la revisión de los derechos de acceso
Los derechos de acceso físico y lógico deben pasar por revisiones periódicas teniendo en cuenta:
- Cambios en los derechos de acceso de cada usuario después de su ascenso o descenso dentro de la misma organización, o después de terminar su empleo.
- Procedimiento de autorización para la concesión de derechos de acceso privilegiado.
Orientación sobre cambio o terminación del empleo
Antes de que un empleado sea ascendido o degradado dentro de la misma organización o cuando se termine su empleo, sus derechos de acceso a los sistemas de procesamiento de información deben evaluarse y modificarse teniendo en cuenta los siguientes factores de riesgo:
- Si el proceso de despido es iniciado por el empleado o por la organización y el motivo del despido.
- Responsabilidades actuales del empleado dentro de la organización.
- Criticidad y valor de los activos de información accesibles al empleado.
Orientación complementaria
Las organizaciones deberían considerar establecer roles de acceso de usuarios según sus requisitos comerciales. Estos roles deben incluir los tipos y la cantidad de derechos de acceso que se otorgarán a cada grupo de usuarios.
La creación de dichos roles facilitará la gestión y revisión de las solicitudes y derechos de acceso.
Las organizaciones deben incluir disposiciones contractuales para el acceso no autorizado y sanciones por dicho acceso en sus contratos de empleo/servicio con su personal. Esto debe estar de acuerdo con los controles 5.20, 6.2, 6.4 y 6.6.
Las organizaciones deben tener cuidado con los empleados descontentos que son despedidos por la dirección porque pueden dañar los sistemas de información a propósito.
Si las organizaciones deciden utilizar técnicas de clonación para otorgar derechos de acceso, deben hacerlo sobre la base de roles distintos establecidos por la organización.
Cabe señalar que la clonación conlleva el riesgo inherente de conceder derechos de acceso excesivos.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
Cambios y diferencias con respecto a ISO 27002:2013
27002:2022/5.18 reemplaza a 27002:2013/(9.2.2, 9.2.5, 9.2.6).
La versión 2022 contiene requisitos más completos para la concesión y revocación de derechos de acceso
Aunque Control 9.2.2 en la versión 2013 enumeraba seis requisitos para asignar y revocar derechos de acceso, Control 5.18 en la versión 2022 introduce tres nuevos requisitos además de estos seis requisitos:
- El personal u otro personal que trabaje temporalmente para la organización puede recibir derechos de acceso temporales. Estos derechos deben ser revocados cuando ya no realicen trabajos para la organización.
- La eliminación o modificación de los derechos de acceso físico o lógico se puede realizar mediante los siguientes métodos: Eliminación o sustitución de claves, tarjetas de identificación o información de autenticación.
- Los cambios en los derechos de acceso físico y lógico de un usuario deben registrarse y mantenerse.
La versión 2013 contiene requisitos más detallados para derechos de acceso privilegiado
Control 9.5 en la versión 2013 estableció explícitamente que las organizaciones deben revisar la autorización de derechos de acceso privilegiados a intervalos más frecuentes que otros derechos de acceso. Control 5.18 en la versión 2022, por el contrario, no contenía este requisito.
Nuevos controles ISO 27002
Nuevos controles
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
Controles organizacionales
Controles de personas
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
Controles físicos
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
Controles Tecnológicos
Cómo ayuda ISMS.online
ISMS.online es una plataforma basada en la nube que ofrece asistencia para implementar el estándar ISO 2702 de manera eficiente y rentable.
Proporciona a las organizaciones un fácil acceso a información actualizada sobre su estado de cumplimiento en todo momento a través de su interfaz de panel fácil de usar que permite a los gerentes monitorear su progreso hacia el cumplimiento de forma rápida y sencilla.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
