Controles de Acceso y Criptografía en ISO 27001

Clase 23 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Contenido del curso

Introducción a la norma ISO 27001

Contenido de la norma

Gestión de Riesgos

Controles de seguridad: Políticas y controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

Controles de seguridad: Sistemas de información

Auditoría

Gestión de la Continuidad del Negocio

Cierre del curso

Tomar examen

Resumen

Gestionar quién accede a qué información, cuándo y cómo es uno de los retos más exigentes al implementar un sistema de gestión de seguridad de la información. Los controles de acceso y la criptografía dentro del anexo A de la norma ISO 27001 ofrecen un catálogo robusto que toda organización debe evaluar para proteger sus activos. A continuación se desglosan los puntos más relevantes para que puedas aplicarlos de forma práctica.

¿Por qué necesitas una política de control de acceso?

Antes de realizar cualquier trabajo operativo, la norma exige definir lineamientos claros a través de una política de control de acceso [01:00]. En ella se especifican:

Los tipos de conexión que requiere cada usuario.
La periodicidad con la que se revisarán los permisos otorgados.
Los horarios en los que la conexión está permitida y en los que no.

Esta política sienta la base sobre la cual se rigen todos los procesos posteriores. Además, se debe definir el acceso a la red y servicios de red [01:35], identificando en qué segmentos de red pueden operar los usuarios, incluyendo a aquellos con privilegios avanzados como administradores o usuarios técnicos.

¿Qué responsabilidad tiene el usuario sobre su autenticación?

El control 9.3 establece el uso de la información secreta de autenticación [02:05]. Cada usuario debe entender que su contraseña es exclusiva e intransferible. Compartir credenciales es una mala práctica que la norma prohíbe de forma explícita.

Cuando un funcionario se va de vacaciones, su usuario debe desactivarse temporalmente [02:30]. No está permitido dejarlo activo para que otro compañero lo utilice. El funcionario que lo reemplaza debe heredar los permisos de forma provisional con su propio acceso.

¿Cómo gestionar el ciclo de vida de un usuario?

El catálogo de gestión de acceso al usuario contempla seis controles fundamentales [02:55]:

Registro y baja de usuario: define cómo se crea el usuario al ingresar a la compañía y cómo se desactiva al retirarse, idealmente mediante un proceso automatizado que reduzca errores.
Provisión oportuna del acceso: no debe pasar que un funcionario recién contratado espere días o semanas sin acceso al sistema [03:30]. Se requieren acuerdos operativos entre gestión humana y tecnología.
Matriz de roles y funcionalidades: cada sistema de información debe clasificarse en una sola matriz que identifique qué funcionalidades están disponibles y qué roles acceden a cada una [03:55]. Esta matriz evoluciona con cada nueva versión del sistema.

¿Qué es el principio del menor privilegio y cómo aplicarlo?

Uno de los conceptos más importantes es el principio del menor privilegio [05:15]. Consiste en entregar al usuario solo los permisos mínimos necesarios para realizar sus funciones. Es preferible ir añadiendo funcionalidades gradualmente que otorgar acceso total y luego tener que restringir.

El riesgo de no aplicarlo es real: aunque un usuario diga que nunca consulta cierta funcionalidad, el simple hecho de poder acceder a reportes confidenciales o módulos de parametrización deja una puerta abierta que representa un problema serio ante la norma [05:50].

¿Qué controles técnicos refuerzan el acceso seguro?

La norma también aborda aspectos técnicos que deben alinearse con el equipo de desarrollo de software [06:20]:

Restricción del acceso a la información: se apoya en la clasificación previa de activos para determinar qué datos puede ver cada usuario.
Sesiones concurrentes: no está permitido que un mismo usuario esté autenticado en múltiples equipos simultáneamente [06:50].
Sistema de gestión de contraseñas: contempla longitud mínima de ocho caracteres, combinación de caracteres alfanuméricos y especiales, no repetir historial y definir ciclos de cambio [07:10].
Escalamiento de privilegios: se debe certificar que ningún usuario pueda, desde su perfil, acceder a funcionalidades de mayor nivel [07:40].
Control de acceso al código fuente: dependiendo del nicho del negocio, el código fuente puede catalogarse como altamente confidencial (en casas de desarrollo de software) o confidencial (en entidades bancarias con equipos internos de desarrollo) [08:00].

¿Cómo aborda la ISO 27001 la criptografía?

La criptografía se resume en dos controles esenciales [08:30]:

Política de uso de controles criptográficos: define el lineamiento base sobre cómo se manejarán las claves y quién las custodia.
Gestión de claves criptográficas: establece quién tiene acceso a las claves con las que se realiza el intercambio de información entre entidades.

La custodia puede recaer en el oficial de seguridad y no necesariamente en el gerente de tecnología [08:50]. Si las claves son impresas, deben almacenarse en una caja fuerte o cajonera con llave. Cuantas más medidas se implementen, más protegida estará la información.

Ahora que conoces el detalle de estos controles, comparte en los comentarios cuáles seleccionarías para tu organización, cuáles consideras más difíciles de implementar o por cuáles empezarías a trabajar.

Comentarios

Milton F Cortes S

student•

A9 Control de acceso A9.1 Requisitos de negocio para el control de acceso A9.1.1 Política de control de acceso A9.1.2 Acceso a las redes y a los servicios de red A9.2 Gestión de acceso de usuario A9.2.1 Registro y baja de usuario A9.2.2 Provisión de acceso de usuario A9.2.3 Gestión de privilegios de acceso A9.2.4 Gestión de la información secreta de autenticación de los usuarios A9.2.5 Revisión de los derechos de acceso de usuario A9.2.6 Retirada o reasignación de los derechos de acceso A9.3 Responsabilidades del usuario A9.3.1 Uso de la información secreta de autenticación A9.4 Control de acceso a sistemas y aplicaciones A9.4.1 Restricción del acceso a la información A9.4.2 Procedimientos seguros de inicio de sesión A9.4.3 Sistema de gestión de contraseñas A9.4.4 Uso de utilidades con privilegios del sistema A9.4.5 Control de acceso al código fuente de los programas

A10 Criptografía A10.1 Controles criptográficos A10.1.1 Política de uso de los controles criptográficos A10.1.2 Gestión de claves

Mauricio Osorio Reyes

student•

Gracias por el aporte

David Leonardo Rodriguez Jimenez

student•

muchas gracias

DANIEL TENOCH SANCHEZ GARCIA

student•

David Leonardo Rodriguez Jimenez

student•

muchas gracias

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte

Sofia Cristina Leyva Ortecho

student•

![](

David Leonardo Rodriguez Jimenez

student•

muchas gracias

Emilio Alejandro Villalpando

student•

Excelente grafico, me va a ser de mucha utilidad

Romulo Alfonso Niño Romero

student•

Sin duda los grupos de mayor trabajo se enmarcarían en: A.8 Gestión de Activos A.9 Control de acceso.

Son dos grandes grupos que demandan tiempo en la recopilación de información clasificación y ponderación de la misma.

Para el caso de los administradores, es fundamental que tengan un sucesor debidamente capacitado en el manejo informático de la organización, los roles y responsabilidades deberán ser divididos en dos roles:

Super administrador
Administrador

Donde el segundo tendrá atributos de admin con limitaciones y restricciones, cuando el super admin salga a vacaciones deberá ser remplazado por el admin. Los Usuarios y Claves de del super, estarán con antelación bajo llave preferiblemente en caja fuerte para que sea custodiada por la alta directiva de donde dependa el área IT, conjuntamente con seguridad de la información se autoriza la rotura del sobre sellado para acceder a estas claves dependiendo el estado de la necesidad y/o su criticidad.

Jeison Sneider Ruiz Zemanate

student•

Objetivos de control y controles de referencia:

A.9.Control de acceso

A.9.1 Requisitos de negocio para el control de acceso

	A.9.1.1 Política de control de acceso (Tipos de conexión para un usuario, periodicidad de revisión de los permisos para los usuarios, horarios donde se permite o no su acceso)

	A.9.1.2 Acceso a las redes y a los servicios de red ()

A.9.2 Gestión de acceso de usuario

	A.9.2.1 Registro y baja de usuario (Dar de baja a los usuarios que ya no pertenecen a la compañía) 
	A.9.2.2 Provisión de acceso de usuario (Que tanto se demora un usuario para poder tener acceso al sistema dependiendo de su rol, entrega pronta)
	A.9.2.3 Gestión de privilegios de acceso (Definir matriz de roles, funcionalidades y permisos para cada sistema de información, que roles tienen acceso a determinadas funcionalidades)
	A.9.2.4 Gestión de la información secreta de autenticación de los usuarios (Va de la mano con la responsabilidad del usuario ya que es lo que tiene que hacer el usuario con la custodia o manejo de su información privada o de accesos, es información confidencial)
	A.9.2.5 Revisión de los derechos de acceso de usuario (Periódicamente implementar indicador que diga que está pasando con el usuario , quienes están accediendo a que y con qué periodicidad , monitorear que a los usuarios se les está entregando pocos o solo los permisos necesarios)

	A.9.2.6 Retirada o reasignación de los derechos de acceso (Retirar permisos innecesarios a los usuarios, solo los que necesita y va usar en su actividad diaria)

A.9.3 Responsabilidades del usuario
	
	A.9.3.1 Uso de la información secreta de autenticación (Capacitación adecuada de que sus acceso son para el empleado y no debe de compartirla con nadie más ya que es solo para su uso, si está en vacaciones debe de desactivarse se usuario temporalmente)


A.9.4 Control de acceso a sistemas y aplicaciones

	A.9.4.1 Restricción del acceso a la información (Restringir que puede ver o no determinado usuario)

	A.9.4.2 Procedimientos seguros de inicio de sesión (Tener en cuenta accesos concurrentes, restringir en el desarrollo para que no se permiten sesiones concurrentes …no es permitido en la ISO 27001 que el mismo usuario esté logueado en varios equipos o sesiones al mismo tiempo)

	A.9.4.3 Sistema de gestión de contraseñas (Validar periodicidad de la contraseña, restricciones fuertes en contraseña,8 caracteres, caracteres alfanuméricos  y caracteres especiales, que no se pueda repetir la misma contraseña , que tenga que cambiara unas 4 o 5 veces antes de poder poner una contraseña antigua)

	A.9.4.4 Uso de utilidades con privilegios del sistema (No es permitido que el usuario pueda escalar privilegios)

	A.9.4.5 Control de acceso al código fuente de los programas (Información altamente confidencial en su mayoría cuando se desarrolla software)

A.10. Criptografía

A.10.1 Controles criptográficos
	
	A.10.1.1 Política de uso de los controles criptográficos (Definir lineamiento de cómo definirla, quien las custodia, oficial de seguridad que las guarda en un sistema de información o si es algo impreso se guarda en una caja fuerte, etc)

	A.10.1.2 Gestión de claves (Quién tiene las claves de acceso o criptográficas con las que se hace intercambio de acceso entre entidades)

Nelson Manuel Torres Lizarazo

student•

Se debe tener por escrito en un acta o documento especificando los permisos de accesos a los diferentes sistemas de información por cada funcionario?

José Alberto Mendoza Meneses

company_admin•

Si o al menos el grupo al que pertenece.

Piero Blanco

student•

Un caso de filtracion de codigo fuente grave, seria el de la empresa CD PROJEKT, el cual luego de un ataque de ramsonware y HABER PAGADO el rescate, filtaron de igual manera el codigo de juegos como The Witcher 3 o el infame Cyberpunk 2077. Esto nos deja claro que aunque paguemos el rescate de un ransomware, no hay una seguridad que nos devolveran nuestra informacion. Aqui les dejo mas datos https://hipertextual.com/2021/06/cyberpunk-2077-codigo-fuente-filtrado

Jaime Iván González Donis

student•

Existe algun formato para realizar las policitas?

Vicente López Robles

student•

Je je je, todos vienen por los formatos y tampoco veo nada, solo nos está platicando la ISO 27001, lo que si estuvo muy bueno son los dos exceles que nos proporcionó, se apuntó un 10 ahí

Jesús Daniel Doria Pitalua

student•

Yo utilicé la guía de MinTIC para elaborar las políticas en la empresa en la que laboro.

Rodrigo Andrés Gonzalez Aróstegui

student•

Muchos de los controles de la ISO establecen la necesidad de contar con "procedimiento, políticas o procesos para...", y es en la interpretación de esta frase lo que me deja ciertas dudas. He conocido profesionales que interpretan que cuando la ISO señale procedimiento, política o proceso dentro de la descripción de los controles, establecidos en la ISO 27.002, si o si esto debe ser documentado. ¿Es esta mirada la correcta o pueden existir la implementación de prácticas (no documentadas) que, como resultado de un proceso de auditoría, no generaría observación?

Alex Tovar

teacher•

Hola @rognark. La interpretación que has escuchado es cierta. Los niveles de documentación que exige la norma ISO 27001 son: Políticas, procesos, procedimientos, registros y evidencias.

Gabriel Díaz H

student•

Para cada punto se tiene que crear un formato????

Angel Beltran

student•

Hola Gabriel Díaz, depende, por ejemplo en la categoría: A.9.2, se pueden documentar y cumplir por medio de procedimientos, instructivos y demás. En la categoría: A.9.1, son políticas de seguridad de la información. en la categoría: A.9.3, la implementación de un control por medio de una configuración en Directorio Activo o plataforma tecnológica que aplique políticas de seguridad de las contraseñas, así como también capacitación en el uso y asignación de contraseñas.

Saludos. :)

Oscar Hernan Pomi Piazza

student•

en mi trabajo esta resuelto asi un root, para todo un administrator solo con permisos de cambiar pass cado uno con su usuario y cuando se necesita el root o el administrator, se lo pide y un jefe o gerente lo aprueba. asi tenes el acceso al usuario de root extra hay un usuario mas, que solo lo tiene el gestor y solo se usa por fallo critico de los otros dos.

David Orlando Toloza Gómez

student•

En la empresa que trabajo no llevan un adecuado control de acceso, ya que un usuario de red puede estar logueado en diferentes equipos y trabajando en simultaneo sin ninguna restricción.

Enrique Montes Trejo

student•

Muy completa la explicación de esta segunda parte de los controles.

Cristhian Llanos

student•

Min 8:18 Cuando habla de pruebas y certificación ¿a que proceso hace referencia?

Felipe Velasquez

student•

Las pruebas hace referencia a los procesos de validación y verificación que los controles son efectivos o funcionan de acuerdo al comportamiento esperado.

Nataly Silva

student•

Hola! Este curso me esta ayudando muchísimo, pero deberían actualizar esta clase en particular pues la norma cambio en controles y categorías

Victor Riaño De la Ossa

student•

Luis Antonio Martínez Cárcamo

student•

Todas las reglas para prevenir un error humano

Nelson Enrique Guerra Díaz

student•

para estoy es indispensable crear el directorio activo dentro de la empresa, para autorizar el proceso de control de acceso.

José Adolfo Condori Quicaña

student•

Quien controla el acceso al administrador cuando este de vacaciones?

Alfredo Gómez Delgado

student•

Se asigna otro administrador, mas para que ese nuevo administrador pueda crear, editar o eliminar usuarios y no se moleste al que está de vacaciones

José Adolfo Condori Quicaña

student•

Bueno, no es la respuesta que esperaba, debe ser lo mas común, gracias igualmente, a lo que voy es que quería saber si esta bien que las vacaciones del administrador sean debatidas por el tema de no contar con otro admin por cuestión de confianza o quizás el admin pueda sobrellevar el trabajo con sus vacaciones.

Cristhian Oswaldo Zambrano Yont

student•

Gracias a la información aprendida aquí, he comprendido que no se puede divorciar a ninguna área para la implementación de un SGSI.

Controles de Acceso y Criptografía en ISO 27001

Introducción a la norma ISO 27001

Preparación para Auditoría Interna ISO 27001

Historia y Evolución de la Norma ISO 27001 hasta 2019

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

Terminología clave de la norma ISO 27001

Norma ISO 27001: Gestión de Seguridad de la Información

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

Implementación de la Norma ISO 27001: Recursos y Competencias

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

Gestión de Riesgos y Clasificación de Activos de Información

Clasificación de Activos de Información en Excel

Creación de Plantilla de Gestión de Activos de Información en Excel

Clasificación de Activos de Información en Excel

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

Controles para Mitigar Riesgos según ISO 27001

Construcción de Matriz de Riesgos para Gestión Empresarial

Gestión de Controles en Matrices de Riesgos en Excel

Modelo de Tres Líneas de Defensa en Seguridad de la Información

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

Controles de Seguridad en la Gestión de la Información ISO 27001