Cada empleado de su organización necesitará tener acceso a determinadas computadoras, bases de datos, sistemas de información y aplicaciones para realizar sus tareas.
Por ejemplo, si bien el personal de recursos humanos puede necesitar acceso a datos confidenciales de salud de los empleados, su departamento de finanzas puede depender del acceso y uso de bases de datos que contienen detalles salariales de los empleados.
Sin embargo, estos derechos de acceso deben proporcionarse, modificarse y revocarse de acuerdo con la política de control de acceso de su organización y sus controles de acceso para que pueda evitar el acceso no autorizado, la modificación y la destrucción de activos de información.
Por ejemplo, si no revoca los derechos de acceso de un ex empleado, ese empleado puede robar información confidencial.
El Control 5.18 trata sobre cómo las organizaciones deben asignar, modificar y revocar derechos de acceso teniendo en cuenta los requisitos comerciales.
El Control 5.18 permite a una organización establecer e implementar procedimientos y controles apropiados para asignar, modificar y revocar derechos de acceso a los sistemas de información de conformidad con la política de control de acceso de la organización y sus controles de acceso.
El Control 5.18 es un control preventivo que requiere que las organizaciones eliminen el riesgo de acceso no autorizado a los sistemas de información mediante la implementación de reglas, procedimientos y controles sólidos.
| Tipo de control | Propiedades de seguridad de la información | Conceptos de ciberseguridad | Capacidades operativas | Dominios de seguridad |
|---|---|---|---|---|
| #Preventivo | #Confidencialidad #Integridad #Disponibilidad | #Proteger | #Gestión de identidad y acceso | #Proteccion |
Un oficial de seguridad de la información debe ser responsable de establecer, implementar y revisar reglas, procesos y controles apropiados para la provisión, modificación y revocación de derechos de acceso a los sistemas de información.
Al asignar, modificar y revocar derechos de acceso, el responsable de seguridad de la información debe considerar las necesidades comerciales y trabajar estrechamente con los propietarios de los activos de información para garantizar que se cumplan las reglas y los procesos.
Las organizaciones deben incorporar las siguientes reglas y controles en el proceso de asignación y revocación de derechos de acceso a una persona autenticada:
Los derechos de acceso físico y lógico deben pasar por revisiones periódicas teniendo en cuenta:
El único cumplimiento
solución que necesitas
Reserva tu demostración
Antes de que un empleado sea ascendido o degradado dentro de la misma organización o cuando se termine su empleo, sus derechos de acceso a los sistemas de procesamiento de información deben evaluarse y modificarse teniendo en cuenta los siguientes factores de riesgo:
Las organizaciones deberían considerar establecer roles de acceso de usuarios según sus requisitos comerciales. Estos roles deben incluir los tipos y la cantidad de derechos de acceso que se otorgarán a cada grupo de usuarios.
La creación de dichos roles facilitará la gestión y revisión de las solicitudes y derechos de acceso.
Las organizaciones deben incluir disposiciones contractuales para el acceso no autorizado y sanciones por dicho acceso en sus contratos de empleo/servicio con su personal. Esto debe estar de acuerdo con los controles 5.20, 6.2, 6.4 y 6.6.
Las organizaciones deben tener cuidado con los empleados descontentos que son despedidos por la dirección porque pueden dañar los sistemas de información a propósito.
Si las organizaciones deciden utilizar técnicas de clonación para otorgar derechos de acceso, deben hacerlo sobre la base de roles distintos establecidos por la organización.
Cabe señalar que la clonación conlleva el riesgo inherente de conceder derechos de acceso excesivos.
27002:2022/5.18 reemplaza a 27002:2013/(9.2.2, 9.2.5, 9.2.6).
Aunque Control 9.2.2 en la versión 2013 enumeraba seis requisitos para asignar y revocar derechos de acceso, Control 5.18 en la versión 2022 introduce tres nuevos requisitos además de estos seis requisitos:
Control 9.5 en la versión 2013 estableció explícitamente que las organizaciones deben revisar la autorización de derechos de acceso privilegiados a intervalos más frecuentes que otros derechos de acceso. Control 5.18 en la versión 2022, por el contrario, no contenía este requisito.
ISMS.online es una plataforma basada en la nube que ofrece asistencia para implementar el estándar ISO 2702 de manera eficiente y rentable.
Proporciona a las organizaciones un fácil acceso a información actualizada sobre su estado de cumplimiento en todo momento a través de su interfaz de panel fácil de usar que permite a los gerentes monitorear su progreso hacia el cumplimiento de forma rápida y sencilla.
Ponte en contacto hoy para RESERVAR UNA DEMOSTRACIÓN.
Le daremos una ventaja inicial del 81%
desde el momento en que inicias sesión
Reserva tu demostración
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 5.7 | Nuevo | Inteligencia de amenazas |
| 5.23 | Nuevo | Seguridad de la información para el uso de servicios en la nube. |
| 5.30 | Nuevo | Preparación de las TIC para la continuidad del negocio |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 8.9 | Nuevo | gestión de la configuración |
| 8.10 | Nuevo | Eliminación de información |
| 8.11 | Nuevo | Enmascaramiento de datos |
| 8.12 | Nuevo | Prevención de fuga de datos |
| 8.16 | Nuevo | Actividades de monitoreo |
| 8.23 | Nuevo | Filtrado Web |
| 8.28 | Nuevo | Codificación segura |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 6.1 | 07.1.1 | examen en línea. |
| 6.2 | 07.1.2 | Términos y condiciones de empleo |
| 6.3 | 07.2.2 | Concientización, educación y capacitación sobre seguridad de la información. |
| 6.4 | 07.2.3 | Proceso Disciplinario |
| 6.5 | 07.3.1 | Responsabilidades tras el despido o cambio de empleo |
| 6.6 | 13.2.4 | Acuerdos de confidencialidad o no divulgación |
| 6.7 | 06.2.2 | Trabajo remoto |
| 6.8 | 16.1.2, 16.1.3 | Informes de eventos de seguridad de la información |
| Identificador de control ISO/IEC 27002:2022 | Identificador de control ISO/IEC 27002:2013 | Nombre de control |
|---|---|---|
| 7.1 | 11.1.1 | Perímetros de seguridad física |
| 7.2 | 11.1.2, 11.1.6 | Entrada física |
| 7.3 | 11.1.3 | Seguridad de oficinas, habitaciones e instalaciones. |
| 7.4 | Nuevo | Monitoreo de seguridad física |
| 7.5 | 11.1.4 | Protección contra amenazas físicas y ambientales. |
| 7.6 | 11.1.5 | Trabajar en áreas seguras |
| 7.7 | 11.2.9 | Escritorio claro y pantalla clara |
| 7.8 | 11.2.1 | Ubicación y protección de equipos. |
| 7.9 | 11.2.6 | Seguridad de los activos fuera de las instalaciones |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Medios de almacenamiento |
| 7.11 | 11.2.2 | Servicios públicos de apoyo |
| 7.12 | 11.2.3 | Seguridad del cableado |
| 7.13 | 11.2.4 | Mantenimiento de equipo |
| 7.14 | 11.2.7 | Eliminación segura o reutilización del equipo |
