jueves, abril 01, 2010

ISO 27001 e ISO 27002: Dominio 11 - Control del Acceso



Continuando con los Dominios de la ISO 27002 (Numeral 11) o Anexo A de la ISO 27001 (Anexo A11), hoy vamos a revisar las Comunicaciones y Operaciones. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen siete objetivos de control:

11.1 Requisitos del negocio para el control de acceso
Objetivo: controlar el acceso a la información.
El acceso a la Información, a los servicios de procesamiento de información y a los procesos del negocio se debería controlar con base en los requisitos de seguridad y del negocio.
Las reglas para el control del acceso deberían tener en cuenta las políticas de distribución y autorización de la información.


11.2 Gestión del acceso de usuarios
Objetivo: asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de información.


Se deberían establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios de información.


Los procedimientos deberían comprender todas las fases del ciclo de vida del acceso del usuario, desde el registro inicial de los usuarios nuevos hasta la cancelación final del registro de usuarios que ya no requieren acceso a los servicios y sistemas de información. Se debería poner atención especial, según el caso, a la necesidad de controlar la asignación de derechos de acceso privilegiado que permiten a los usuarios anular los controles del sistema.


11.3 Responsabilidades de los usuarios
Objetivo: evitar el acceso de usuarios no autorizados, el robo o la puesta en peligro de la información y de los servicios de procesamiento de Información.
La cooperación de los usuarios autorizados es esencial para la eficacia de la seguridad.


Se deberla concientizar a los usuarios sobre sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular con relación al uso de contraseñas y a la seguridad del equipo del usuario.


Es recomendable implementar una política de escritorio y pantalla despejados para reducir el riesgo de acceso no autorizado o daño de reportes, medios y servicios de procesamiento de Información.


11.4 Control de Acceso a las Redes
Objetivo: evitar el acceso no autorizado a los servicios en red.
Es recomendable controlar el acceso a los servicios en red, tanto internos como externos.
El acceso de los usuarios a las redes y a los servicios de red no debería comprometer la seguridad de los servicios de red garantizando que:
  1. existen interfases apropiadas entre la red de la organización y las redes que pertenecen a otras organizaciones. y las redes públicas:
  2. se aplican mecanismos adecuados de autenticación para los usuarios y los equipos.
  3. se exige control de acceso de los usuarios a los servicios de información.
11.5 Control de Acceso al Sistema Operativo
Objetivo: evitar el acceso no autorizado a los sistemas operativos


Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los sistemas operativos. Tales medios deberían tener la capacidad para:
  1. autenticar usuarios autorizados, de acuerdo con una politica definida de control de acceso;
  2. registrar intentos exitosos y fallidos de autenticación del sistema;
  3. registrar el uso de privilegios especiales del sistema;
  4. emitir alarmas cuando se violan las políticas de seguridad del sistema;
  5. suministrar medios adecuados para la autenticación:
  6. cuando sea apropiado, restringir el tiempo de conexión de los usuarios.
11.6 Control de Acceso a las aplicaciones y a la información
Objetivo: evitar el acceso no autorizado a la información contenida en los sistemas de aplicación.


Se deberían usar medios de seguridad para restringir el acceso a los sistemas de aplicación y dentro de ellos.
El acceso lógico al software de aplicación y a la información se debería restringir a usuarios autorizados.
Los sistemas de aplicación deberían:
  1. controlar el acceso de usuarios a la información y a las funciones del sistema de aplicación, de acuerdo con una política definida de control de acceso;
  2. suministrar protección contra acceso no autorizado por una utilidad, el software del sistema operativo y software malicioso que pueda anular o desviar los controles del sistema o de la aplicación:
  3. no poner en peligro otros sistemas con Jos que se comparten los recursos de información
11.7 Computación Móvil y Trabajo Remoto
Objetivo: garantizar la seguridad de la información cuando se utilizan dispositivos de computación móviles y de trabajo remoto.


La protección necesaria debería estar acorde con los riesgos que originan estas· formas específicas de trabajo. Cuando se usa la computación móvil, se deberían tener en cuenta los riesgos de trabajar en un entorno sin protección y aplicar la protección adecuada. En el caso del trabajo remoto, la organización deberia aplicar protección en el sitio del trabajo remoto y garantizar que se han establecido las disposiciones adecuadas para esta forma de trabajo.
Ahora vamos a profundizar en los requisitos de la Norma con este Dominio:

1. Administración Accesos usuarios:
Se debe definir, establecer, documentar y revisar mensualmente la política de control de acceso con base en los requisitos del negocio de la Organización y de la seguridad para el acceso a los activos y sistemas de información. En esta política deben establecerse las reglas y derechos de cada usuario o grupo de usuarios.



Todos los usuarios y proveedores de servicios de la Organización deben estar informados de los controles que deben seguir, según la política de control de acceso establecida, a los diferentes sistemas de información y activos con los que interactúan en la Organización.


Se deben establecer procedimientos para controlar la asignación de los derechos de acceso a los sistemas y servicios de la Organización, los cuales deben abarcar las etapas del ciclo de vida del acceso de los usuarios, desde el registro inicial de nuevos usuarios hasta su eliminación o desactivación cuando ya no sea requerido dicho acceso a los sistemas de información y servicios de la Organización.

Para los usuarios que tengan acciones privilegiadas en los sistemas y servicios de información, se deben definir y establecer derechos con acceso privilegiado que permita a estos usuarios evitar controles del sistema o ingresar a información y servicios de administración de más alto perfil.

1.1 Registro de usuarios

Para el registro y cancelación de usuarios para acceder a los diferentes sistemas y servicios de información multiusuarios de la Organización debe definirse y establecerse un procedimiento de registro y desactivación de usuarios, el cual debe incluir:

  • Identificador único para cada usuario.
  • Comprobación de la autorización del usuario por el propietario del servicio para utilizar el sistema o servicio de información.
  • Verificación del nivel ce acceso asignado.
  • Entrega a usuario de relación escrita de sus derechos de acceso.
  • Mantenimiento de un registro formalizado.
  • Eliminación inmediata de autorizaciones de acceso a usuarios que dejan la organización.
1.2. Administración de privilegios
La asignación y uso de privilegios en controles de acceso a los sistemas y servicios de información de la Organización deben estar restringidos y controlados.


1.3. Administración de contraseñas para usuario

La asignación de contraseñas debe estar controlada mediante un proceso de gestión formal.

Las contraseñas deben estar almacenadas en un sistema informático protegido mediante tecnologías diferentes a las utilizadas para la identificación y autenticación de usuarios.

1.4. Revisión de los derechos de acceso de los usuarios

Se debe establecer un proceso formal de revisión mensual de los derechos de acceso de los usuarios, para mantener un control efectivo del acceso a datos y servicios de información de la organización.

2. Responsabilidades de los usuarios
Los empleados de la Organización deben estar conscientes de las responsabilidades que tiene a cada uno con relación al mantenimiento de la eficacia de las medidas de control de acceso a los sistemas y servicios de información de la Organización.
Cada usuario debe tener en cuenta las buenas prácticas de seguridad de selección y uso de sus contraseñas.

Los usuarios y proveedores de servicio de la Organización deben garantizar que los equipos informáticos desatendidos estén debidamente protegidos. Para esto deben tener conocimiento de los requisitos de seguridad y de los procedimientos para la protección de los equipos desatendidos, así como de las responsabilidades que ellos tienen asignadas para la implementación de dicha protección.



El usuario es orientado en este aspecto y existen consecuencias definidas por incumplimiento que entran aplicarse en el momento de la investigación del incidente presentado.

Se debe adoptar una política de escritorio despejado para reportes y medios de almacenamiento removibles y política de pantalla despejada para los servicios de procesamiento de información.

3. Control del Acceso de los Usuarios a red corporativa

El administrador del centro de cómputo principal de la Organización debe asegurar que los accesos a las redes y sus servicios no comprometan la seguridad de la infraestructura ubicada en esa locación y los aspectos relacionados con ella.



Los usuarios de la Organización únicamente deben tener permiso de acceso directo a las aplicaciones y bases de datos, para cuyo uso están específicamente autorizados. Este control es importante aplicarlo en conexiones a aplicaciones sensible, críticas o utilizadas por usuarios que se encuentren conectados desde lugares de alto riesgo.

Todos los accesos de los usuarios remotos a sistemas y aplicaciones de información de la Organización deben estar controlados por medio de autenticación.

Se debe seleccionar un método de autenticación que será utilizado por la Organización, por medio de una evaluación de riesgos para determinar el nivel de protección que se requiera.

Todas las conexiones remotas que se realicen a sistemas de información de la Organización deben ser autenticadas. Un medio para autenticar conexiones de equipos y ubicaciones específicas es la identificación automática de los equipos a la red.

Los puertos empleados para diagnóstico remoto y configuración deben estar controlados de forma segura, deben estar protegidos a través de un mecanismo de seguridad adecuado y un procedimiento para asegurar que los accesos lógicos y físicos a estos son autorizados por el director del servicio informático y el personal de mantenimiento de hardware y software que solicita el acceso.



En las redes de la Organización se deben separar los grupos de servicios de información, usuarios y sistemas de información, para evitar accesos no autorizados a los sistemas actuales de información que se encuentran conectados a las redes. Los criterios que se utilicen para realizar la separación de las redes en dominios debe tener en cuenta la política de control de accesos.

Se debe restringir la capacidad de los usuarios y aplicar controles para conectarse a la red dentro de las redes compartidas de la Organización según la política de control de acceso.

Se deben aplicar controles de enrutamiento para el aseguramiento de las conexiones entre computadores y flujos de información para asegurar que no se incumpla la política de control de acceso a las aplicaciones.



Cada uno de los usuarios de la Organización es responsable de usar de forma adecuada los recursos de red y de seguir los procedimientos definidos para accesar a cada uno de los que tenga disponibles para realizar sus labores.

4. Control de acceso al sistema operativo
Todo acceso a los sistemas operativos de la Organización debe estar controlado por registros de inicio seguro.
Es importante tener en cuenta la identificación automática de terminales para la autenticación de conexiones a sitios específicos y a equipos portátiles. Se debe definir un procedimiento para la conexión de los usuarios al sistema informático el cual minimice la posibilidad de accesos no autorizados.

Los procesos de conexión empleados deben mostrar el mínimo de información posible sobre el sistema, para no facilitar ayuda innecesaria a usuarios no autorizados.
Los mecanismos seguros de "logon" se encuentran documentados en los manuales de usuario de las diferentes aplicaciones.



Se debe limitar y mantener controlado el uso de programas utilitarios del sistema, los cuales sean capaces de eludir medidas de control del sistema o de las aplicaciones. Para las terminales utilizadas por la Organización se debe definir un período de tiempo de inactividad.

Las terminales inactivas en sitios de alto riesgo, en áreas públicas o no cubiertas por el sistema de seguridad de la Organización deben ser desactivadas después de que se cumpla el periodo de tiempo de inactividad previamente definido, para impedir el acceso a estas por usuarios no autorizados.

El dispositivo que realiza la desactivación debe borrar la pantalla y cerrar las aplicaciones y sesiones de conexión a red después de cumplido el periodo de inactividad.
Para reducir accesos no autorizados a terminales que manejan aplicaciones de alto riesgo, se deben implementar restricciones en los tiempos de conexión, se debe limitar el periodo de tiempo en el cual se aceptan conexiones desde una terminal.

5. Control de acceso a las aplicaciones

El acceso lógico al software, a la información y a las funciones del sistema de aplicación de la Organización debe estar restringido únicamente para usuarios autorizados, de acuerdo con la política de control de acceso definida.
Se deben definir controles de acceso únicamente para los usuarios propietarios de la información, incluso a personal autorizado o a grupos específicos de usuarios.

Se deben identificar los sistemas sensibles de la Organización para darles un tratamiento especial, por lo tanto éstos deben tener un entorno informático dedicado o aislado.


6. Seguridad En Computación Móvil Y Teletrabajo


Se debe aplicar la protección adecuada y se deben considerar los riesgos de trabajar en un entrono desprotegido cuando se utiliza la computación móvil.



Se debe implementar la protección requerida en el lugar de trabajo remoto y asegurar que existen acuerdos adecuados para estos tipos de trabajo.

6.1. Computación Móvil

Cuando se requiera en la Organización de la utilización de dispositivos de computación móvil, como portátiles, agendas, calculadoras y teléfonos móviles, se debe asegurar que la información no se vea comprometida, se debe establecer una política que tenga presente los riesgos de trabajar con dispositivos de computación y comunicaciones móviles, especialmente en entornos desprotegidos.

En lugares públicos o áreas desprotegidas que estén fuera del alcance de seguridad de la organización, se debe tener especial cuidado cuando se utilicen dispositivos móviles, se deben instalar en estos dispositivos una protección adecuada para evitar el acceso no autorizado a la divulgación de la información almacenada y procesada por éstos.



Los dispositivos de computación móvil deben estar protegidos físicamente contra robo.


6.2. Trabajo remoto
Cuando se requiera trabajar de manera remota para la Organización, es decir, fuera de las instalaciones de la organización, se debe proteger adecuadamente el lugar de trabajo remoto contra: robo del equipo o información, distribución no autorizada de información de la Organización, accesos remotos no autorizados a los sistemas internos o mal uso de dispositivos.

Se deben implementar controles y planes operativos para las actividades de trabajo remoto sobre el centro de cómputo principal de la Organización.
Se deben tener en cuenta los siguientes controles:

  • Aprovisionamiento del equipo o mobiliario adecuados para las actividades de trabajo remoto.
  • Definición del trabajo permitido, horas de trabajo, clasificación de la información que puede ser utilizada y sistemas y servicios internos.
  • Suministro de equipo de comunicación adecuado.
  • Seguridad física.
  • Proporcionar soporte y mantenimiento para hardware y software.
  • Auditoría y seguimiento de respaldo.

Este Dominio tiene como propósito proteger todas las formas de acceso a la información sensible de la Organización, no solo protegiendo su hardware y software, sino también los recursos humanos involucrados con su manejo.

3 comentarios:

Unknown dijo...

Los sistemas de control de acceso son una realidad hoy y en varios países del mundo su uso es vital para innumerables procesos de negocio. Hoy en día los sistemas control de acceso biométrico, incluso los que van más allá de los lectores de huellas digitales, son una realidad necesaria para la seguridad y la eficiencia en la gestión.

NeoZeus dijo...

Si esto es muy importante, pero quien conoce como se alinea a un Gobierno empresarial de control de acceso?

jleal666 dijo...

La entidad donde trabajo exige la instralación de administración remota en los celulares de uso personal por el hecho que tenemos instalada la aplicación de google de correo electrónico.

Me parece un abuso de autoridad tener acceso a toda la información de un dispositivo móvil que no fué entregado como dotación ni como herramienta de trabajo, ya que estas políticas de seguridad permiten el acceso total del aparato, incluido GPS, cámara, fotos etc.

Es claro que no se usa el celular para acceder a las redes ni a servidorres de la entidad sino a una cuenta institucional de correo de gmail.

Está mal aplicada la norma? hace falta aclarar algo? es esto una invasión a la privacidad?

La entidad aplica esta norma con la finalidad de certificarse en Iso 27001 pero le está dando acceso a nuestra información privada a unos administradores que no sabemos quienes son, que desde el punto de vista de seguridad es lo peor. Si hackean mi correo soy una victima, si hackean al administrador de correo de mi entidad, todos los funcionarios seremos victimas con toda la información privada de los dispositivos moviles expuesta.

Agradeceria que un experto me aclare el tema.