ISO 27701 – Cláusula 6.6.2 – Gestión de acceso de usuarios

La cláusula 27701 de la norma ISO 6.6.2: Gestión de acceso de usuarios describe los controles clave para gestionar el acceso de los usuarios a la información de identificación personal (PII), garantizando un registro seguro, el aprovisionamiento, el control de acceso privilegiado, la gestión de la autenticación, las revisiones periódicas del acceso y la revocación oportuna de los derechos de acceso.

Solicite una demo
Autor
Max Edwards
Actualizado 25 de febrero de 2025
LinkedIn Twitter Twitter

Cláusula 27701 de la norma ISO 6.6.2: Guía para la gestión del acceso de usuarios

La gestión de acceso de usuarios rige los métodos mediante los cuales los usuarios acceden a la PII y a la información relacionada con la privacidad, y cómo las organizaciones pueden controlar dicho acceso utilizando una variedad de medidas físicas y lógicas.

Qué se cubre en la cláusula 27701 de la norma ISO 6.6.2

ISO 27701 6.6.2 es una cláusula relativamente grande (dado el tema), que contiene seis subcláusulas relacionadas con la provisión, uso y gestión de los derechos de acceso de los usuarios.

Cada subcláusula contiene información de una subcláusula adjunta en ISO 27002, con orientación adaptada a la protección de la privacidad y la PII, en lugar de la seguridad de la información generalizada:

  • ISO 6.6.2.1 – Alta y baja de usuarios (Referencias ISO 27002 control 5.16).
  • ISO 6.6.2.2 – Aprovisionamiento de acceso de usuarios (Referencias ISO 27002 control 5.18).
  • ISO 6.6.2.3 – Gestión de derechos de acceso privilegiado (Referencias ISO 27002 control 8.2).
  • ISO 6.6.2.4 – Gestión de información secreta de autenticación de usuarios (Referencias ISO 27002 control 5.17).
  • ISO 6.6.2.5 – Revisión de los derechos de acceso de los usuarios (Referencias ISO 27002 control 5.18).
  • ISO 6.6.2.6 – Eliminación o ajuste de derechos de acceso (Referencias ISO 27002 control 5.18).

Dos cláusulas contienen orientación que tiene el potencial de afectar el cumplimiento del RGPD del Reino Unido y se han proporcionado los artículos pertinentes para su comodidad.

En todas sus cláusulas, ISO 27701 6.6.2 no contiene más orientación de ISO sobre el uso de un PIMS.

Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.



Obtenga una ventaja inicial del 81%

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 6.6.2.1 – Registro y baja de usuarios

Referencias ISO 27002 Control 5.16

El registro de usuario se rige por el uso de 'identidades' asignadas. Las identidades proporcionan a las organizaciones un marco para regular el acceso de los usuarios a la PII y a los activos y materiales relacionados con la privacidad, dentro de los límites de una red.

La organización debe seguir seis puntos de orientación principales para garantizar que las identidades se gestionen correctamente y que la PII esté protegida dondequiera que se almacene, procese o se acceda a ella:

  1. Cuando se asignan identidades a un ser humano, solo esa persona puede autenticarse y/o utilizar esa identidad al acceder a la PII.
  2. Las identidades compartidas (varias personas registradas con la misma identidad) solo deben implementarse para satisfacer un conjunto único de requisitos operativos.
  3. Las entidades no humanas deben considerarse y gestionarse de forma diferente a las identidades basadas en usuarios que acceden a PII y a material relacionado con la privacidad.
  4. Las identidades deben eliminarse una vez que ya no sean necesarias, especialmente aquellas con acceso a PII o roles basados ​​en la privacidad.
  5. Las organizaciones deben ceñirse a la regla de "una entidad, una identidad" al distribuir identidades en la red.
  6. Los registros deben registrarse mediante documentación clara, que incluya marcas de tiempo, niveles de acceso e información de identidad.

Las organizaciones que trabajan en asociación con organizaciones externas (particularmente plataformas basadas en la nube) deben comprender los riesgos inherentes asociados con tales prácticas y tomar medidas para garantizar que la PII no se vea afectada negativamente en el proceso (ver controles ISO 27002 5.19 y 5.17).

Controles ISO 27002 relevantes

  • ISO 27002 5.17
  • ISO 27002 5.19

Artículos aplicables del RGPD

  • Artículo 5 – (1)(f)

ISO 27701 Cláusula 6.6.2.2 – Aprovisionamiento de acceso de usuarios

Referencias ISO 27002 Control 5.18

Los 'derechos de acceso' rigen cómo se otorga y revoca el acceso a la PII y a la información relacionada con la privacidad, utilizando el mismo conjunto de principios rectores.

Concesión y revocación de derechos de acceso

Los procedimientos de acceso deben incluir:

  • Permiso y autorización del propietario (o administración) de la información o activo (ver control ISO 27002 5.9).
  • Cualquier requisito comercial, legal u operativo vigente.
  • Un reconocimiento de la necesidad de segregar funciones para mejorar la seguridad de la PII y construir una operación de protección de la privacidad más resiliente.
  • Controles para revocar los derechos de acceso, cuando el acceso ya no es necesario (abandonos, etc.).
  • Medidas de acceso a horarios para personal temporal o contratistas.
  • Un registro centralizado de derechos de acceso otorgados a entidades humanas y no humanas.
  • Medidas para modificar los derechos de acceso de cualquier personal o terceros contratistas que hayan cambiado de puesto de trabajo.

Revisar los derechos de acceso

Las organizaciones deben realizar revisiones periódicas de los derechos de acceso en toda la red, incluyendo:

  • Integrar la revocación del derecho de acceso en los procedimientos de salida de recursos humanos (ver controles ISO 27002 6.1 y 6.5) y flujos de trabajo de cambio de roles.
  • Solicitudes de derechos de acceso 'privilegiados'.

Gestión del cambio y salidas

El personal que abandona la organización (ya sea intencionalmente o como empleado despedido) y aquellos que son objeto de una solicitud de cambio deben modificar sus derechos de acceso con base en procedimientos sólidos de gestión de riesgos, que incluyen:

  • La fuente del cambio/terminación, incluido el motivo subyacente.
  • El puesto de trabajo actual del usuario y las responsabilidades adjuntas.
  • La información y los activos a los que se puede acceder actualmente, incluidos sus niveles de riesgo y valor para la organización.

Orientación complementaria

Los contratos de trabajo y los contratos de contratista/servicio deben incluir una explicación de lo que sucede después de cualquier intento de acceso no autorizado (ver controles ISO 27002 5.20, 6.2, 6.4, 6.6).

Controles ISO 27002 relevantes

  • ISO 27002 5.9
  • ISO 27002 5.20
  • ISO 27002 6.2
  • ISO 27002 6.4
  • ISO 27002 6.6

Artículos aplicables del RGPD

  • Artículo 5 – (1)(f)


El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 6.6.2.3 – Gestión de derechos de acceso privilegiado

Referencias ISO 27002 Control 8.2

Los derechos de acceso privilegiados brindan a las organizaciones la capacidad de controlar simultáneamente el acceso a la PII y a aplicaciones y activos relacionados con la privacidad, y mantener la integridad de la PII en toda su red.

La utilización no autorizada de privilegios de administrador del sistema (o permisos RBAC elevados) es una de las principales causas de interrupción de las TIC en todo el mundo.

Al gestionar los derechos de acceso privilegiado teniendo en cuenta la protección de la privacidad, las organizaciones deberían:

  • Elabora una lista de usuarios que requieren acceso privilegiado.
  • Implementar procedimientos que asignen derechos de acceso privilegiados a los usuarios “evento por evento”, es decir, a un usuario se le otorga un nivel de acceso acorde con su función laboral.
  • Opere con un proceso de autorización claro que se ocupe de las solicitudes de acceso privilegiado.
  • Mantenga un registro centralizado de solicitudes de acceso privilegiado.
  • Respete las fechas de caducidad del acceso, cuando así se indique.
  • Asegúrese de que los usuarios conozcan los derechos de acceso privilegiados que se les hayan otorgado.
  • Haga cumplir la reautenticación antes de que los usuarios utilicen derechos de acceso privilegiados.
  • Revisar periódicamente los derechos de acceso privilegiado en toda la organización (ver control ISO 27002 5.18).
  • Considere implementar un procedimiento de “romper cristales” garantizando que los derechos de acceso privilegiado se otorguen dentro de períodos estrictos, según lo dicte la naturaleza de la solicitud.
  • Prohibir el uso de información de inicio de sesión genérica y contraseñas adivinables (ver control ISO 27002 5.17).
  • Asigne una identidad por usuario, agrupada en grupos de acceso si es necesario.
  • Asegúrese de que se otorgue acceso privilegiado reservado solo para tareas críticas, como mantenimiento esencial o actividades relacionadas con incidentes.

Controles ISO 27002 relevantes

  • ISO 27002 5.17
  • ISO 27002 5.18

ISO 27701 Cláusula 6.6.2.4 – Gestión de información secreta de autenticación de usuarios

Referencias ISO 27002 Control 5.17

Los detalles de autenticación deben distribuirse y gestionarse de manera que:

  • La información de autenticación generada automáticamente (contraseñas, etc.) se mantiene en secreto para cualquier persona que no esté autorizada a usarla, no se puede adivinar y se administra de manera que obliga al usuario a cambiarla después del inicio de sesión inicial.
  • Antes de emitir o reemplazar datos de autenticación, se establecen procedimientos para verificar la identidad de la persona que los requiere.
  • Se utilizan los canales seguros correctos para transmitir los detalles de autenticación (es decir, no por correo electrónico).
  • Una vez que los detalles se hayan comunicado exitosamente a quien los necesite, el usuario acusará recibo de manera oportuna.
  • Cualquier información de autenticación proporcionada por el proveedor (como el nombre de usuario y la contraseña predeterminados de los enrutadores y cortafuegos) se modifica al recibirla.
  • Se mantienen registros de los eventos de autenticación relevantes, especialmente en lo que respecta a la asignación inicial y la administración posterior de los detalles de autenticación.

Cualquier personal que utilice información de autenticación organizacional debe asegurarse de que:

  • Todo Los detalles de autenticación se mantienen estrictamente confidenciales.
  • Si los datos de autenticación se ven comprometidos, vistos o compartidos por alguien que no sea el propietario original, dichos detalles se modifican. inmediatamente.
  • Todas las contraseñas se crean y/o generan de acuerdo con la política de contraseñas de la organización, y las contraseñas son únicas en varias plataformas diferentes (es decir, las contraseñas de dominio no son las mismas que las contraseñas del servicio en la nube).
  • Los contratos de trabajo contienen un requisito explícito de seguir la política de contraseñas de la empresa (ver control ISO 27002 6.2).

Sistemas de gestión de contraseñas

Las organizaciones deberían considerar implementar un sistema de gestión de contraseñas (aplicaciones especializadas de control de contraseñas) que:

  • Está dirigido a usuarios que necesitan cambiar cualquier contraseña que utilicen.
  • Está programado para rechazar contraseñas que no se ajusten a las pautas de mejores prácticas.
  • Obliga a los usuarios a cambiar su contraseña generada por el sistema después de usarla por primera vez.
  • No permite el uso continuado de contraseñas antiguas, ni frases similares y combinaciones alfanuméricas.
  • Oculta las contraseñas mientras se ingresan.
  • Almacena y envía información de contraseñas de forma segura.
  • Proporciona cifrado de contraseñas y técnicas de cifrado similares (consulte el control ISO 27002 8.24).

Para salvaguardar la PII y mejorar los esfuerzos de protección de la privacidad de la organización, las contraseñas deben seguir cuatro principios rectores:

  1. Las contraseñas no deben basarse en información biográfica o adivinable.
  2. Las contraseñas no deben contener palabras reconocibles, en lugar de caracteres alfanuméricos aleatorios.
  3. Se deben utilizar caracteres especiales para aumentar la complejidad de la contraseña.
  4. Todas las contraseñas deben tener una longitud mínima (idealmente 12 caracteres).

Las organizaciones también deberían considerar el uso de protocolos de autenticación como el inicio de sesión único (SSO) para mejorar la seguridad de las contraseñas, pero dichas medidas solo deben considerarse junto con los requisitos técnicos y operativos únicos de la organización.

Controles ISO 27002 relevantes

  • ISO 27002 6.2
  • ISO 27002 8.24


Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


ISO 27701 Cláusula 6.6.2.5 – Revisión de los derechos de acceso del usuario

Referencias ISO 27002 Control 5.18

Véase más arriba (ISO 27701 Cláusula 6.6.2.2).

ISO 27701 Cláusula 6.6.2.6 – Eliminación o ajuste de derechos de acceso

Referencias ISO 27002 Control 5.18

Véase más arriba (ISO 27701 Cláusula 6.6.2.2).

Controles de soporte de ISO 27002 y GDPR

Identificador de cláusula ISO 27701Nombre de la cláusula ISO 27701Requisito ISO 27002Artículos relacionados con el RGPD
6.6.2.1Registro y baja de usuarios
5.16 – Gestión de Identidades para ISO 27002
 Artículo (5)
6.6.2.2Aprovisionamiento de acceso de usuario
5.18 – Derechos de acceso para ISO 27002
 Artículo (5)
6.6.2.3Gestión de Derechos de Acceso Privilegiado
8.2 – Derechos de acceso privilegiado para ISO 27002
Nona
6.6.2.4Gestión de información secreta de autenticación de usuarios
5.17 – Información de autenticación para ISO 27002
Nona
6.6.2.5Revisión de los derechos de acceso de los usuarios
5.18 – Derechos de acceso para ISO 27002
Nona
6.6.2.6Eliminación o ajuste de derechos de acceso
5.18 – Derechos de acceso para ISO 27002
Nona

Cómo ayuda ISMS.online

Al agregar un PIMS a su ISMS en la plataforma ISMS.online, su postura de seguridad permanece todo en un solo lugar y evitará la duplicación cuando los estándares se superpongan.

Con su PIMS accesible instantáneamente para las partes interesadas, nunca ha sido tan fácil monitorear, informar y auditar según ISO 27002 e ISO 27701 con solo hacer clic en un botón.

Descubre más por reservar una demostración práctica.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!