ISO IEC 27001

La norma ISO IEC 27001 nos permite controlar el acceso. Generalmente es una labor técnica relacionada con la apertura de cuentas, el establecimiento de contraseñas y cuestiones cercanas. El control de acceso engloba todas esas acciones, pero el control de acceso no se inicia como una cuestión técnica sino que comienza como una decisión de negocios.

La norma ISO IEC 27001 nos pone a disposición un total de 14 controles dentro de la sección A.9 del Anexo A, los cuales representan más del 12% del total de controles de la norma, lo que significa que nos encontramos ante una cuestión muy relevante.

Requisitos del negocio de control de acceso

Esta sección de la norma establece la política de control de acceso, y se usa para establecer qué usuarios tienen acceso a las redes y servicios de la empresa. Esto significa que primero se deben definir las reglas y posteriormente se debe permitir a los usuarios navegar por las redes y servicios.

La estructuración de las reglas de acceso se puede llevar a cabo de distintas formas, pero por regla general se usan principalmente dos tipos de enfoques:

• El primer enfoque posibilita la determinación de todos los perfiles de usuario, con su nivel de acceso cada uno. Se le asigna un perfil de usuario en relación al puesto de trabajo que desempeñe en la empresa, de tal forma que así se puede establecer una regla para todos los usuarios de la organización.
• El segundo enfoque sirve para determinar a las personas propietarias de activos, es decir, aquellas que deben autorizar el acceso a ciertos usuarios cada vez que son requeridos para acceder a los activos. Este segundo enfoque necesita de mucho más tiempo.

De forma general se lleva a cabo la combinación de los dos enfoques. La política de control de acceso según la norma ISO IEC 27001 puede estar centrada únicamente en los Sistemas de Gestión de Seguridad de la Información y en el acceso físico a zonas seguras. Objetivamente no existe mucha diferencia entre el permiso que se otorga para el acceso a los sistemas de información y el que se otorga para el acceso a zonas físicas.

Gestión de acceso de usuario

La parte más técnica de este procedimiento es aquella en la que se debe determinar la forma que tienen los usuarios de registrar sus sistemas, los datos que les son designados para el acceso y cómo se administran dichos datos de autentificación.

Es importante conocer quién será la persona encargada de gestionar dichos privilegios, es decir, si por un cierto motivo es necesario que se ceda un permiso extraordinario debe existir una persona encargada de ello. Las empresas, por regla general, establecen distintos perfiles de  usuario, y en el supuesto de que tenga lugar una situación como la que acabamos de ejemplificar será considerada de acceso privilegiado y el propietario de los activos de información debe autorizar dicha excepción.

Como en este tipo de actividades no se puede seguir un patrón establecido, los propietarios de activos deben de revisar cada cierto tiempo si las personas que disponen de accesos privilegiados todavía lo necesitan o no.

En último lugar, debe existir un proceso de eliminación de todos los derechos de acceso cuando un trabajador abandone la empresa o modificarlo cuando alguien cambie de puesto dentro de la organización. En numerosas ocasiones ha sucedido que personas que han abandonado su puesto en la empresa han tenido acceso a los sistemas incluso años después, y todo porque la persona o personas encargadas de cerrar dicho acceso no se han acordado.

Se pueden establecer todas las reglas en la misma política de control de acceso o se pueden usar distintos documentos para dicho propósito.

Compromiso y responsabilidades del usuario

Para definir las distintas responsabilidad de los usuarios se requiere que se definan todos aquellos usuarios que van a mantener en secreto la información de autentificación. Se lleva a cabo de manera general a través de algún documento, como puede ser la política de uso aceptable, entre los que se encuentran algunos de los siguientes requisitos:

• No escribir las contraseñas en ningún lugar.
• No revelárselas ni mostrárselas a nadie.
• No utilizar la misma contraseña en diferentes sistemas o cuentas.

Sistema de control de acceso y aplicación

El responsable tiene que asegurarse de una serie de determinadas funciones entre las que se encuentra que el acceso a los sistemas de información sea compatible con la política de control de acceso, que el acceso se encuentre protegido, que las contraseñas sean complejas, etc.

Si la organización se halla desarrollando programas, se tiene que determinar cómo proteger el acceso al código fuente, que por regla general viene establecido en la política de control de acceso.

Además, se tiene que detallar la forma de proteger la información de accesos no deseados cuando se están usando herramientas de software especiales que permiten el acceso a la información de manera directa, sin pasar por los sistemas de control establecidos. Habitualmente las únicas personas que tienen acceso suelen ser los administradores del sistema.

El uso de ciertas herramientas debe estar restringido, ya que se permite su utilización en circunstancias muy específicas y ante la supervisión de un experto.

Como consecuencia podemos afirmar que no tener el control de acceso establecido significa no tener seguridad, siendo este uno de los principales problemas de seguridad de la información. El control de acceso debe ser diseñado para que sea seguro y aceptado por los usuarios. La única consideración que debe tenerse en cuenta a la hora de establecer un sistema de control de acceso es que se trate de un sistema práctico que no conlleve el cambio de contraseñas todos los meses de manera que se acabe rechazando por resultar demasiado complejo.

Software ISO 27001

El Software ISOTools Excellence para ISO IEC 27001 está formado por distintas aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus características más relevantes.