ISO 27701 – Cláusula 6.6.4 – Control de acceso al sistema y a las aplicaciones

Protección de información personal identificable con controles de acceso robustos a sistemas y aplicaciones

Imponer restricciones de acceso a tareas, activos y procedimientos críticos para el negocio es un aspecto fundamental tanto para proteger la PII como para garantizar que las aplicaciones y sistemas relacionados con la privacidad estén libres de corrupción, mal uso o eliminación.

ISO 27701 6.6.4 describe una variedad de medidas (desde controles de autenticación hasta gestión de código fuente y el uso de programas de utilidad privilegiados) que permiten a las organizaciones ejercer un control granular sobre quién y qué puede acceder a su red, y a través de qué medios.

Qué se cubre en la cláusula 27701 de la norma ISO 6.6.4

ISO 27701 6.6.4 contiene cinco subcláusulas que tratan los temas anteriores. Cada subcláusula contiene información de orientación de un Variedad de subcláusulas dentro de ISO 27002., pero entregado dentro del contexto de seguridad de PII y protección de la privacidad:

• ISO 27701 6.6.4.1 – Restricciones de acceso a la información (Referencias ISO 27002 control 8.3).
• ISO 27701 6.6.4.2 – Procedimientos de inicio de sesión seguro (Referencias ISO 27002 control 8.5).
• ISO 27701 6.6.4.3 – Sistema de gestión de contraseñas (Referencias ISO 27002 control 5.17).
• ISO 27701 6.6.4.4 – Uso de programas utilitarios privilegiados (Referencias ISO 27002 control 8.18).
• ISO 27701 6.6.4.5 – Control de acceso al código fuente del programa (Referencias ISO 27002 control 8.4).

La subcláusula 6.6.4.2 contiene orientación adicional sobre los artículos aplicables dentro de la legislación GDPR del Reino Unido (Artículo 5 [1][f]).

Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.

ISO 27701 Cláusula 6.6.4.1 – Eliminación o ajuste de derechos de acceso

Referencias ISO 27002 Control 8.3

Para controlar la PII y la información relacionada con la privacidad, y en apoyo de las medidas de restricción de acceso, las organizaciones deben:

• Evite el acceso anónimo a la PII, incluido el acceso público.
• Mantener los sistemas de privacidad y cualquier aplicación o proceso comercial asociado.
• Administrar el acceso a la PII usuario por usuario.
• Administre los derechos de acceso a la PII a nivel granular (lectura, escritura, eliminación y ejecución).
• Separe los procesos y aplicaciones de privacidad críticos mediante una combinación de controles de acceso físicos y lógicos.

Gestión de acceso dinámico

ISO aboga por una lugar de trabajo dinámico enfoque para el acceso a la información, que se extiende a la PII y los sistemas de privacidad.

La gestión de acceso dinámico permite a las organizaciones compartir o utilizar datos internos con usuarios externos, para acelerar los tiempos de resolución de incidentes (un requisito clave de los incidentes relacionados con PII).

Las organizaciones deberían considerar implementar una gestión de acceso dinámica cuando:

• Ejercer un control granular sobre los datos a los que pueden acceder los usuarios humanos y no humanos.
• Compartir información con proveedores, organizaciones encargadas de hacer cumplir la ley u organismos reguladores.
• Adoptar un enfoque en “tiempo real” para la gestión de la PII (monitoreando y gestionando el uso de la PII a medida que ocurre).
• Proteger la PII contra modificaciones, uso compartido o salida no autorizados (impresión, etc.).
• Monitorear/auditar el acceso y el cambio de información relacionada con la privacidad.
• Desarrollar un proceso que gobierne la Inteligente y monitoreo de datos, incluido un proceso de presentación de informes.

La gestión de acceso dinámico debería proteger los datos mediante:

• El acceso se logra a través de un sólido proceso de autenticación.
• Habilitando el acceso restringido.
• Cifrado
• Permisos de impresión seguros.
• Registrar quién accede a la PII y cómo se utilizan los datos de la PII.
• Implementar un procedimiento de alertas que señalen el uso inadecuado de PII.

ISO 27701 Cláusula 6.6.4.2 – Procedimientos de inicio de sesión seguro

Referencias ISO 27002 Control 8.5

La PII y los activos relacionados con la privacidad deben almacenarse en una red que cuente con una variedad de controles de autenticación, que incluyen:

• Autenticación multifactor (MFA).
• Certificados digitales.
• Tarjetas inteligentes/llaveros.
• Verificación biométrica.
• Fichas seguras.

Para prevenir y minimizar el riesgo de acceso no autorizado a la PII, las organizaciones deben:

• Evite la visualización de PII en un monitor o dispositivo terminal hasta que el usuario se haya autenticado correctamente.
• Ofrezca a los posibles usuarios una advertencia clara (antes de intentar iniciar sesión) que describa la naturaleza confidencial de los datos a los que están a punto de acceder.
• Tenga cuidado de no brindar demasiada ayuda durante el proceso de autenticación (es decir, explicar qué parte de un intento fallido de inicio de sesión no es válida).
• Implementar medidas de seguridad de mejores prácticas, que incluyen:
• Tecnología CAPTCHA.
• Forzar el restablecimiento de contraseñas y/o impedir temporalmente los inicios de sesión después de varios intentos fallidos.
• Registre los intentos fallidos de inicio de sesión para su posterior análisis y/o difusión a los organismos encargados de hacer cumplir la ley.
• Inicie un incidente de seguridad cada vez que se detecte una discrepancia importante en el inicio de sesión o la organización descubra una anomalía de autenticación que tenga el potencial de afectar la PII.
• Transmita los registros de autenticación (que contienen el último intento de inicio de sesión y la información de inicio de sesión fallida) a una fuente de datos separada.
• Solo envíe los datos de la contraseña como símbolos abstractos), a menos que el usuario tenga problemas de accesibilidad/visión.
• Evite compartir todos y cada uno de los datos de autenticación.
• Elimine las sesiones de inicio de sesión inactivas, especialmente cuando se utiliza PII en entornos de trabajo remotos o en activos BYOD.
• Establezca un límite de tiempo para las sesiones autenticadas, especialmente aquellas que acceden activamente a PII.

Artículos aplicables del RGPD

• Artículo 5 – (1)(f)

ISO 27701 Cláusula 6.6.4.3 – Sistema de gestión de contraseñas

Referencias ISO 27002 Control 5.17

Los detalles de autenticación deben distribuirse y gestionarse de manera que:

• La información de autenticación generada automáticamente (contraseñas, etc.) se mantiene en secreto para cualquier persona que no esté autorizada a usarla, no se puede adivinar y se administra de manera que obliga al usuario a cambiarla después del inicio de sesión inicial.
• Antes de emitir o reemplazar datos de autenticación, se establecen procedimientos para verificar la identidad de la persona que los requiere.
• Se utilizan los canales seguros correctos para transmitir los detalles de autenticación (es decir, no por correo electrónico).
• Una vez que los detalles se hayan comunicado exitosamente a quien los necesite, el usuario acusará recibo de manera oportuna.
• Cualquier información de autenticación proporcionada por el proveedor (como el nombre de usuario y la contraseña predeterminados de los enrutadores y cortafuegos) se modifica al recibirla.
• Se mantienen registros de los eventos de autenticación relevantes, especialmente en lo que respecta a la asignación inicial y la administración posterior de los detalles de autenticación.

Cualquier personal que utilice información de autenticación organizacional debe asegurarse de que:

• Todo Los detalles de autenticación se mantienen estrictamente confidenciales.
• Si los datos de autenticación se ven comprometidos, vistos o compartidos por alguien que no sea el propietario original, dichos detalles se modifican. inmediatamente.
• Todas las contraseñas se crean y/o generan de acuerdo con la política de contraseñas de la organización, y las contraseñas son únicas en varias plataformas diferentes (es decir, las contraseñas de dominio no son las mismas que las contraseñas del servicio en la nube).
• Los contratos de trabajo contienen un requisito explícito de seguir la política de contraseñas de la empresa (ver ISO 27002 6.2).

Sistemas de gestión de contraseñas

Las organizaciones deben implementar un sistema de gestión de contraseñas que:

• Está dirigido a usuarios que necesitan cambiar cualquier contraseña que utilicen.
• Está programado para rechazar contraseñas que no se ajusten a las pautas de mejores prácticas.
• Obliga a los usuarios a cambiar su contraseña generada por el sistema después de usarla por primera vez.
• No permite el uso continuado de contraseñas antiguas, ni frases similares y combinaciones alfanuméricas.
• Oculta las contraseñas mientras se ingresan.
• Almacena y envía información de contraseñas de forma segura.
• Proporciona cifrado de contraseñas y técnicas de cifrado similares (ver ISO 27002 8.24).

Para salvaguardar la PII y mejorar los esfuerzos de protección de la privacidad de la organización, las contraseñas deben seguir cuatro principios rectores:

• Las contraseñas no deben basarse en información biográfica o adivinable.
• Las contraseñas no deben contener palabras reconocibles, en lugar de caracteres alfanuméricos aleatorios.
• Se deben utilizar caracteres especiales para aumentar la complejidad de la contraseña.
• Todas las contraseñas deben tener una longitud mínima (idealmente 12 caracteres).

Las organizaciones también deberían considerar el uso de protocolos de autenticación como el inicio de sesión único (SSO) para mejorar la seguridad de las contraseñas, pero dichas medidas solo deben considerarse junto con los requisitos técnicos y operativos únicos de la organización.

Controles ISO 27002 relevantes

• ISO 27002 6.2
• ISO 27002 8.24

ISO 27701 Cláusula 6.6.4.4 – Uso de programas de utilidad privilegiados

Referencias ISO 27002 Control 8.18

Para proteger la PII y los activos relacionados con la privacidad (y al mismo tiempo mejorar la integridad de la red), las organizaciones deben:

• Restringir el uso de programas de servicios públicos al personal de mantenimiento y/o contratistas encargados de administrar la red de la organización.
• Asegúrese de que la administración autorice el uso de cualquier programa de servicios públicos, incluido el mantenimiento de una lista del personal que necesita utilizar programas de servicios públicos como parte de sus responsabilidades asignadas.
• Impedir el uso de programas de utilidad en áreas de la red que presentan tareas segregadas.
• Revisar periódicamente el uso de los programas utilitarios, eliminando o añadiendo los que la organización considere oportuno.
• Partición de programas de utilidad a diferencia de las aplicaciones estándar.
• Registre el uso de programas de utilidad, incluida la información retenida sobre marcas de tiempo y usuarios autorizados.

ISO 27701 Cláusula 6.6.4.5 – Control de acceso al código fuente del programa

Referencias ISO 27002 Control 8.4

El acceso al código fuente y a las herramientas de desarrollo debe controlarse estrictamente, de modo que las aplicaciones relacionadas con la privacidad no se vean comprometidas y la PII no quede expuesta al público ni a ninguna forma de acceso no autorizado.

El código fuente y los 'elementos asociados' incluyen:

• Diseños.
• Presupuesto.
• Planes de verificación.
• Planes de validación.

Las herramientas de desarrollo incluyen:

• compiladores.
• Constructores.
• Herramientas de integración.
• Plataformas de prueba.
• Ambientes

ISO recomienda que las organizaciones almacenen y gestionen el código fuente a través de un 'sistema de gestión de código fuente' dedicado que proteja la propiedad intelectual, el código y las herramientas de desarrollo y gestione el acceso a material restringido. El código fuente debe gestionarse con distintos grados de acceso de lectura y escritura, según la función laboral de cada individuo.

Para prevenir la corrupción y salvaguardar el PIMS, la PII y la información y los activos relacionados con la privacidad, las organizaciones deben:

• Administre de cerca el acceso al código fuente y a las bibliotecas asociadas.
• Limitar la provisión de acceso al código fuente según la "necesidad de saber" y la "necesidad de uso".
• Observe los procedimientos de gestión de cambios de toda la organización al actualizar/cambiar el código fuente o realizar modificaciones. Privilegios de acceso (ver ISO 27002 8.32).
• Prohibir el acceso directo del código fuente por parte de los desarrolladores y, en su lugar, proporcionar acceso a través de herramientas de desarrollo especializadas.
• Almacene de forma segura listados de programas, con niveles relevantes de acceso de lectura y escritura.

Controles ISO 27002 relevantes

• Ver ISO 27002 8.32

Controles de soporte de ISO 27002 y GDPR

Cómo ayuda ISMS.online

ISO 27701 le muestra cómo crear un sistema de gestión de información de privacidad que cumpla con la mayoría de las regulaciones de privacidad, incluido el GDPR de la UE, BS 10012 y POPIA de Sudáfrica.

Nuestro software simplificado, seguro y sostenible le ayuda a seguir fácilmente el enfoque descrito por el estándar reconocido internacionalmente.

Nuestra plataforma todo en uno garantiza que su trabajo de privacidad se alinee y satisfaga las necesidades de cada sección del estándar ISO 27701. Y como es independiente de las regulaciones, puede asignarlo a cualquier regulación que necesite.

Descubre más por reservar una demostración práctica.