Las normas ISO de la serie 27000, dedicados a la seguridad de la información coinciden especial atención al control de los accesos a los sistemas informáticos y por ende a la información contenida en ellos.
La norma ISO 27002 en su versión de 2022 constituye la expresión más acabada para el establecimiento de las buenas prácticas en el manejo de las TIC en ambiente seguro.
En esta nueva versión, que viera la luz en octubre de 2022, organiza la información en temas y atributos y busca un mayor nivel de resiliencia y que las organizaciones no vean en el documento una camisa de fuerza, sino una pauta para avanzar sin límites en por de la mayor seguridad de la información.
Los temas constituyen la nueva forma de categorizar los controles de seguridad y de cierta manera sustituyen a los dominios plasmados en las ediciones anteriores.
Los atributos, se refieren a la clasificación sustentada en nuevos enfoques que hagan posible el filtrado, ordenamiento o presentación de los controles en correspondencia con la audiencia a la que está dirigida.
La organización de los temas se ha dividido en cuatro secciones referidas a:
Controles organizacionales con 37 atributos.
Controles del personal con 8 atributos.
Controles físicos con 14 atributos.
Controles tecnológicos con 34 atributos.
La suma total de los atributos es de 93 y representan las esferas para el monitoreo que deben utilizarse en las organizaciones con la nueva característica de que no se pone un límite a alcanzar, pues es el ideal es el logro del mayor nivel de protección posible.
Para una mayor comprensión de la importancia de esta norma, la ISO 27002 y su impacto en las buenas se hará una selección de algunos controles en cada uno de los temas, que permiten demostrar la necesidad de prestarle atención.
En el tema de lo organizacional, los controles 15 al 18, relacionados con el control de accesos, la administración de la identidad, la información de autorización y los derechos de acceso.
Estos cuatro controles tienen su sustento en un aspecto esencial: las contraseñas como garantía de que quien acceda al sistema es quien dice ser, para de esa manera establecer u acceso autorizado en el sistema junto a su alcance. Para comprender esta afirmación es vital conocer qué es el control de accesos.
La definición mas sencilla es entenderlo como una herramienta de seguridad informática que tiene como objetivo garantizar que los recursos de una organización sólo sean accesibles a las personas o sistemas autorizados. Se emplea para restringir el acceso a activos físicos (instalaciones) o digitales (datos, redes, sistemas), garantizando que sólo las personas autorizadas puedan acceder a información o a las áreas sensibles.
El control de accesos puede clasificarse, de forma general, en control de acceso físico, control de acceso lógico y control de acceso administrativo.
Los controles de acceso administrativo se utilizan para restringir el acceso a funciones administrativas como la gestión de usuarios, la configuración de los sistemas, etc. Algunos ejemplos comunes de controles de acceso administrativo incluyen roles de usuario, permisos, separación por funciones y responsabilidades, etc.
Los controles de acceso físico son medidas utilizadas para prevenir el ingreso de personas no autorizadas a perímetros determinados, restringiendo su acceso a activos físicos como edificios, instalaciones, laboratorios, locales de los centros de datos u otras dependencias donde se hace necesario prevenir la entrada de intrusos. Algunos ejemplos comunes de controles de acceso físico incluyen cerraduras, llaves, cámaras de vigilancia, sistemas biométricos, etc.
Sin embargo, desde el punto de vista de la seguridad informática, estos mecanismos no son suficientes teniendo en cuenta que los controles donde actúan personas como mediadores pueden fallar, mientras que los técnico-lógicos difícilmente lo hagan.
El control de acceso lógico se refiere a las herramientas de seguridad implementadas a nivel de los sistemas informáticos, las redes, las aplicaciones, los dispositivos y los datos, para garantizar que sean accedido sólo por los usuarios autorizados.
Los controles de accesos lógicos sustentan los pilares de la seguridad de la información: la confidencialidad, la integridad y la disponibilidad y para ello utilizan un mecanismo básico que se compone de tres momentos: la identificación, la autentificación y la autorización.
Algunos ejemplos comunes de controles de acceso lógico incluyen contraseñas, autenticación multifactor, listas de control de acceso, etc. Esto demuestra la importancia que tiene cada usuario de la red, porque una cuenta comprometida es una puerta abierta a los ataques de los ciberdelincuentes.
También entre los controles organizacionales hay una referencia directa a la gestión de incidentes. Los que están numerados del 24 al 30 en la ISO 27002, son una muestra de la importancia de conocer como deben gestionarse las incidencias en un sistema informático y es esencial en este sentido conocer la resolución105/2021 del MINCOM que establece el Modelo de actuación ante incidentes en la república de Cuba.
Pero estos controles van un poco mas allá, porque definen la importancia del aprendizaje a partir de los incidentes de seguridad, la colecta de evidencias y la preparación para la continuidad del de las actividades en la organización luego del incidente.
Especial atención requiere el aprendizaje a partir de la ocurrencia de un incidente. Es vital para evitar que este pueda reproducirse en el futuro, el análisis de sus causas, las acciones para enfrentarlo, mitigarlo o eliminar sus efectos y la comunicación a todas las personas que requieran conocer sobre el incidente, de manera que conozcan como enfrentarlo en el futuro. Pero sobre todo atender la necesidad de que el trabajo correctivo sea revisado para evitar brechas que hagan posible un nuevo incidente. Y una cuestión importante, el proceso debe ser documentado de manera que queda la información de las labores acometidas en el proceso.
En una próxima entrega se hará referencia a otros aspectos de las buenas prácticas que están contenidos en los temas restantes.