ISO 27001: La importancia de garantizar un acceso seguro a los sistemas de información

ISO 27001

Garantizar la seguridad de la información se ha convertido en una de las principales tareas de una empresa, por lo que recurren a herramientas que les permita verificar la seguridad de la información. Como ya sabemos, una de estas herramientas que permite satisfacer esta necesidad de las empresas es la norma ISO 27001.

La tarea de salvaguardar la información confidencial de la propia organización y de los clientes, se complica en muchas ocasiones. Hay que tener en cuenta que las organizaciones, ya sean grandes, medianas o pequeñas, tienen distintos trabajadores especializados para las actividades desarrolladas. Según el rol desempeñado por el trabajador, tendrán acceso a un tipo de información u otra. Entonces, ¿cómo puede controlar una organización el acceso de sus empleados a los sistemas de información?

En primer lugar, hay que definir el acceso de cada uno de los usuarios en consonancia con los requerimientos de su puesto. Para controlar dicho acceso, es necesario:

• Verificar: a través de este proceso el usuario se registra en el equipo en el cual se encuentran la información de interés.
• Autorizar: con este proceso el usuario consigue la facultad indispensable para manipular la información.

Respecto a este tema y a los Sistemas de Gestión de Seguridad de la Información basados en la ISO27001, se originan una sucesión de problemas a solventar, entre los que destacamos: el establecimiento de una política de control de acceso, la gestión de acceso realizada por los usuarios y sus responsabilidades.

En referencia a la política de control de acceso, esta se establecerá teniendo en cuenta los requerimientos de seguridad y el progreso del negocio. La política de control de acceso es un documento revisado y actualizado con cierta periodicidad. A través de esta política se:

• Define unas normas de acceso, que sean reales y coherentes para cada uno de los usuarios.
• Considera la política referida a la clasificación de la información de la organización, para conceder los privilegios.
• Respeta la legislación vigente.

La concesión de privilegios de acceso se llevará a cabo a través de procedimientos y teniendo en cuenta a las personas responsables de ellos. Cualquier empleado sin la autorización pertinente, no podrá acceder ni modificar la información.

Durante el desarrollo de cualquier proceso vinculado con el acceso a la información como el requerimiento, autorización y gestión de dicho acceso, es necesario desglosar cada una de las actividades. Relacionando esta actividad con los planteamientos establecidos en la ISO-27001, es equiparable con la determinación de los cometidos, responsabilidades y facultades de los empleados.

Cuando se gestiona el acceso de los usuarios, la organización establecerá los procedimientos oportunos encargados de describir el modo de gestión de la concesión de permisos a los usuarios. Los procedimientos ejecutados:

• Registro: gracias a este procedimiento existe la posibilidad de adjudicar y anular los privilegios de acceso a los sistemas establecidos. Para realizar un registro seguro, cada uno de los usuarios tendrá su propia clave de acceso que permitirá el acceso a la información de la compañía en función de su cargo.

Periódicamente, la organización se encargará de revisar un documento que incluya los permisos de cada usuario, además de los privilegios y derechos. Para ello, la organización establecerá el modo, el momento y la razón por la que se lleva a cabo la revisión del documento a través de un procedimiento consecuente.

• Administración de privilegios: este proceso es útil para asignar permisos o retirarlos. Para cada sistema de la organización, se sopesa la clase de privilegios asignados a los usuarios. Se asignaran unos requisitos u otros en función de los requerimientos de los usuarios durante un tiempo.
• Administración de contraseñas: las contraseñas se utilizan como herramientas de identificación de la persona que accede al sistema, por lo tanto, para los SGSI basados en la ISO 27001 es un elemento clave para garantizar la seguridad de la información.

Hoy en día, se disponen de otras herramientas de seguridad como las tarjetas inteligentes, huella electrónica, etc.

Para incrementar la seguridad, las organizaciones tienen la posibilidad de pedirles a sus trabajadores que firmen un convenio de confidencialidad de su contraseña. Además, en todo momento existirá un responsable encargado de proporcionar las claves a los usuarios. En función de lo que decida cada organización, las modificaciones de las claves las podrá realizar el responsable o el propio usuario siempre respetando la política establecida.

Si el equipo de trabajo almacena las contraseñas de acceso, éste deberá de emplear un cifrado que evite accesos no autorizados y por supuesto que proteja la confidencialidad de la información.

Los usuarios que tengan permisos para acceder y manejar información confidencial, adquieren responsabilidades y deben alinear sus actividades para lograr que el Sistema de Gestión de Seguridad de la Información sea eficaz.

Además los usuarios tienen la responsabilidad de proteger su equipo de trabajo, gestionar su lugar de trabajo y las contraseñas de acceso. Para el tema de las contraseñas, es imprescindible que la organización cuente con una política de gestión de las mismas y establezca buenas prácticas en temas de seguridad.

Para establecer una contraseña que cumpla con la seguridad exigida, es necesario que tenga una longitud considerable y con variedad de caracteres. Además, es necesario modificarla periódicamente y en ningún momento se volverán a reutilizar.

Por parte de los trabajadores, se precisa que garanticen la seguridad de su equipo de trabajo haciendo uso de protectores de pantalla que requieran de contraseñas para desbloquear en el momento que el empleado esté ausente de su puesto de trabajo.

Entre las técnicas empleadas para la reducción de riesgos de acceso de personal no autorizado, destacamos la implantación de una política para el lugar de trabajo en la cual se indique que este debe mantenerse libre. También es importante almacenar aquellos materiales que albergan información y ya no se utilizan, gestionar adecuadamente el correo postal, etc.

En todo momento, el control aplicado por la organización en temas de seguridad de la información deberá alinearse con el grado de seguridad necesario para la información.

Por lo tanto podemos concluir, que la seguridad de la información se consigue si los usuarios asumen sus responsabilidades en:

• Gestionar contraseñas.
• Proteger equipos en desuso.
• Proseguir con una política para el lugar de trabajo.

SGSI

Los Sistemas de Gestión de Seguridad de la Información, también conocidos como SGSI se convierten en una herramienta idónea para las organizaciones que tienen la necesidad de garantizar la seguridad de la información, con la finalidad de mitigar esa clase de riesgos.

Para saber más sobre la gestión de riesgos y seguridad puede visitar: https://www.isotools.us/normas/riesgos-y-seguridad