Cómo garantizar una autenticación sólida: responsabilidades del usuario según la norma ISO 27701
Los procedimientos de autenticación adecuados y seguros son la columna vertebral de la mayoría de las políticas de acceso generales y específicas de temas, ya sea que se relacionen con PII o con información, activos y datos en general.
Las contraseñas fáciles de adivinar y mal construidas son una fruta madura para los posibles ciberdelincuentes que buscan obtener acceso a la PII de una organización, que generalmente se rescata, se utiliza como forraje de reputación o se vende en la web oscura al mejor postor.
Los usuarios deben cumplir con una política de contraseñas estrictamente aplicada que cubra la generación, distribución, construcción de contraseñas y haga uso de la tecnología de autenticación disponible (SSO, bóvedas de contraseñas).
Qué se cubre en la cláusula 27701 de la norma ISO 6.6.3
ISO 27702 6.6.3 presenta solo una subcláusula, que contiene una guía fusionada de ISO 27002 que describe cómo las organizaciones deben abordar la seguridad de la autenticación:
- ISO 27701 6.6.3.1 – Uso de información de autenticación secreta (Referencias ISO 27002 Control 5.17)
No hay citas del RGPD del Reino Unido que deban tenerse en cuenta, ni ISO proporciona puntos de orientación específicos de PIMS o PII a seguir.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.6.3.1 – Uso de información de autenticación secreta
Referencias ISO 27002 Control 5.17
Emitir y gestionar información de autenticación
Los detalles de autenticación deben distribuirse y gestionarse de manera que:
- La información de autenticación generada automáticamente (contraseñas, etc.) se mantiene en secreto para cualquier persona que no esté autorizada a usarla, no se puede adivinar y se administra de manera que obliga al usuario a cambiarla después del inicio de sesión inicial.
- Antes de emitir o reemplazar datos de autenticación, se establecen procedimientos para verificar la identidad de la persona que los requiere.
- Se utilizan los canales seguros correctos para transmitir los detalles de autenticación (es decir, no por correo electrónico).
- Una vez que los detalles se hayan comunicado exitosamente a quien los necesite, el usuario acusará recibo de manera oportuna.
- Cualquier información de autenticación proporcionada por el proveedor (como el nombre de usuario y la contraseña predeterminados de los enrutadores y cortafuegos) se modifica al recibirla.
- Se mantienen registros de los eventos de autenticación relevantes, especialmente en lo que respecta a la asignación inicial y la administración posterior de los detalles de autenticación.
Cualquier personal que utilice información de autenticación organizacional debe asegurarse de que:
- Todas Los detalles de autenticación se mantienen estrictamente confidenciales.
- Si los datos de autenticación se ven comprometidos, vistos o compartidos por alguien que no sea el propietario original, dichos detalles se modifican. inmediatamente.
- Todas las contraseñas se crean y/o generan de acuerdo con la política de contraseñas de la organización, y las contraseñas son únicas en varias plataformas diferentes (es decir, las contraseñas de dominio no son las mismas que las contraseñas del servicio en la nube).
- Los contratos de trabajo contienen un requisito explícito de seguir la política de contraseñas de la empresa (ver control ISO 27002 6.2).
Sistemas de gestión de contraseñas
Las organizaciones deberían considerar implementar un sistema de gestión de contraseñas (aplicaciones especializadas de control de contraseñas) que:
- Está dirigido a usuarios que necesitan cambiar cualquier contraseña que utilicen.
- Está programado para rechazar contraseñas que no se ajusten a las pautas de mejores prácticas.
- Obliga a los usuarios a cambiar su contraseña generada por el sistema después de usarla por primera vez.
- No permite el uso continuado de contraseñas antiguas, ni frases similares y combinaciones alfanuméricas.
- Oculta las contraseñas mientras se ingresan.
- Almacena y envía información de contraseñas de forma segura.
- Proporciona cifrado de contraseñas y técnicas de cifrado similares (ver control ISO 27002 8.24).
Datos de contraseña
Para salvaguardar la PII y mejorar los esfuerzos de protección de la privacidad de la organización, las contraseñas deben seguir cuatro principios rectores:
- Las contraseñas no deben basarse en información biográfica o adivinable.
- Las contraseñas no deben contener palabras reconocibles, en lugar de caracteres alfanuméricos aleatorios.
- Se deben utilizar caracteres especiales para aumentar la complejidad de la contraseña.
- Todas las contraseñas deben tener una longitud mínima (idealmente 12 caracteres).
Las organizaciones también deberían considerar el uso de protocolos de autenticación como el inicio de sesión único (SSO) para mejorar la seguridad de las contraseñas, pero dichas medidas solo deben considerarse junto con los requisitos técnicos y operativos únicos de la organización.
Controles ISO 27002 relevantes
- ISO 27002 6.2
- ISO 27002 8.24
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.6.3.1 | Uso de información de autenticación secreta | 5.17 – Información de autenticación para ISO 27002 | Ninguna |
Cómo ayuda ISMS.online
¿Cómo te ayudamos?
Al agregar un PIMS a su ISMS en la plataforma ISMS.online, su postura de seguridad permanece todo en un solo lugar y evitará la duplicación cuando los estándares se superpongan.
Con su PIMS accesible instantáneamente para las partes interesadas, nunca ha sido tan fácil monitorear, informar y auditar según ISO 27002 e ISO 27701 con solo hacer clic en un botón.
Todas las funciones que necesitas:
- ROPA es fácil
- Banco de riesgos integrado
- Espacio seguro para la RRD
Descubra cuánto tiempo y dinero ahorrará en su camino hacia una certificación ISO 27002 y 27701 combinada utilizando ISMS.online reservar una demostración.
