![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/02\/ciberviernes-300x165.jpg\")
![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2018\/05\/systems_iso-300x248.jpg\")
<\/p>\n<\/p>\n
Las normas ISO de la serie 27000, dedicados a la seguridad de la informaci\u00f3n coinciden especial atenci\u00f3n al control de los accesos a los sistemas inform\u00e1ticos y por ende a la informaci\u00f3n contenida en ellos.<\/p>\n
La norma ISO 27002 en su versi\u00f3n de 2022 constituye la expresi\u00f3n m\u00e1s acabada para el establecimiento de las buenas pr\u00e1cticas en el manejo de las TIC en ambiente seguro.<\/p>\n
En esta nueva versi\u00f3n, que viera la luz en octubre de 2022, organiza la informaci\u00f3n en temas y atributos y busca un mayor nivel de resiliencia y que las organizaciones no vean en el documento una camisa de fuerza, sino una pauta para avanzar sin l\u00edmites en por de la mayor seguridad de la informaci\u00f3n.<\/p>\n
<\/p>\n
Los temas constituyen la nueva forma de categorizar los controles de seguridad y de cierta manera sustituyen a los dominios plasmados en las ediciones anteriores.<\/p>\n
Los atributos, se refieren a la clasificaci\u00f3n sustentada en nuevos enfoques que hagan posible el filtrado, ordenamiento o presentaci\u00f3n de los controles en correspondencia con la audiencia a la que est\u00e1 dirigida.<\/p>\n
La organizaci\u00f3n de los temas se ha dividido en cuatro secciones referidas a:<\/p>\n
Controles organizacionales con 37 atributos.<\/p>\n
Controles del personal con 8 atributos.<\/p>\n
Controles f\u00edsicos con 14 atributos.<\/p>\n
Controles tecnol\u00f3gicos con 34 atributos.<\/p>\n
La suma total de los atributos es de 93 y representan las esferas para el monitoreo que deben utilizarse en las organizaciones con la nueva caracter\u00edstica de que no se pone un l\u00edmite a alcanzar, pues es el ideal es el logro del mayor nivel de protecci\u00f3n posible.<\/p>\n
Para una mayor comprensi\u00f3n de la importancia de esta norma, la ISO 27002 y su impacto en las buenas se har\u00e1 una selecci\u00f3n de algunos controles en cada uno de los temas, que permiten demostrar la necesidad de prestarle atenci\u00f3n.<\/p>\n
En el tema de lo organizacional, los controles 15 al 18, relacionados con el control de accesos, la administraci\u00f3n de la identidad, la informaci\u00f3n de autorizaci\u00f3n y los derechos de acceso.<\/p>\n
Estos cuatro controles tienen su sustento en un aspecto esencial: las contrase\u00f1as como garant\u00eda de que quien acceda al sistema es quien dice ser, para de esa manera establecer u acceso autorizado en el sistema junto a su alcance. Para comprender esta afirmaci\u00f3n es vital conocer qu\u00e9 es el control de accesos.<\/p>\n
La definici\u00f3n mas sencilla es entenderlo como una herramienta de seguridad inform\u00e1tica que tiene como objetivo garantizar que los recursos de una organizaci\u00f3n s\u00f3lo sean accesibles a las personas o sistemas autorizados. Se emplea para restringir el acceso a activos f\u00edsicos (instalaciones) o digitales (datos, redes, sistemas), garantizando que s\u00f3lo las personas autorizadas puedan acceder a informaci\u00f3n o a las \u00e1reas sensibles.<\/p>\n
El control de accesos puede clasificarse, de forma general, en control de acceso f\u00edsico, control de acceso l\u00f3gico y control de acceso administrativo.<\/p>\n
Los controles de acceso administrativo se utilizan para restringir el acceso a funciones administrativas como la gesti\u00f3n de usuarios, la configuraci\u00f3n de los sistemas, etc. Algunos ejemplos comunes de controles de acceso administrativo incluyen roles de usuario, permisos, separaci\u00f3n por funciones y responsabilidades, etc.<\/p>\n
Los controles de acceso f\u00edsico son medidas utilizadas para prevenir el ingreso de personas no autorizadas a per\u00edmetros determinados, restringiendo su acceso a activos f\u00edsicos como edificios, instalaciones, laboratorios, locales de los centros de datos u otras dependencias donde se hace necesario prevenir la entrada de intrusos. Algunos ejemplos comunes de controles de acceso f\u00edsico incluyen cerraduras, llaves, c\u00e1maras de vigilancia, sistemas biom\u00e9tricos, etc.<\/p>\n
Sin embargo, desde el punto de vista de la seguridad inform\u00e1tica, estos mecanismos no son suficientes teniendo en cuenta que los controles donde act\u00faan personas como mediadores pueden fallar, mientras que los t\u00e9cnico-l\u00f3gicos dif\u00edcilmente lo hagan.<\/p>\n
El control de acceso l\u00f3gico se refiere a las herramientas de seguridad implementadas a nivel de los sistemas inform\u00e1ticos, las redes, las aplicaciones, los dispositivos y los datos, para garantizar que sean accedido s\u00f3lo por los usuarios autorizados.<\/p>\n
Los controles de accesos l\u00f3gicos sustentan los pilares de la seguridad de la informaci\u00f3n: la confidencialidad, la integridad y la disponibilidad y para ello utilizan un mecanismo b\u00e1sico que se compone de tres momentos: la identificaci\u00f3n, la autentificaci\u00f3n y la autorizaci\u00f3n.<\/p>\n
Algunos ejemplos comunes de controles de acceso l\u00f3gico incluyen contrase\u00f1as, autenticaci\u00f3n multifactor, listas de control de acceso, etc. Esto demuestra la importancia que tiene cada usuario de la red, porque una cuenta comprometida es una puerta abierta a los ataques de los ciberdelincuentes.<\/p>\n
Tambi\u00e9n entre los controles organizacionales hay una referencia directa a la gesti\u00f3n de incidentes. Los que est\u00e1n numerados del 24 al 30 en la ISO 27002, son una muestra de la importancia de conocer como deben gestionarse las incidencias en un sistema inform\u00e1tico y es esencial en este sentido conocer la resoluci\u00f3n105\/2021 del MINCOM que establece el Modelo de actuaci\u00f3n ante incidentes en la rep\u00fablica de Cuba.<\/p>\n
Pero estos controles van un poco mas all\u00e1, porque definen la importancia del aprendizaje a partir de los incidentes de seguridad, la colecta de evidencias y la preparaci\u00f3n para la continuidad del de las actividades en la organizaci\u00f3n luego del incidente.<\/p>\n
Especial atenci\u00f3n requiere el aprendizaje a partir de la ocurrencia de un incidente. Es vital para evitar que este pueda reproducirse en el futuro, el an\u00e1lisis de sus causas, las acciones para enfrentarlo, mitigarlo o eliminar sus efectos y la comunicaci\u00f3n a todas las personas que requieran conocer sobre el incidente, de manera que conozcan como enfrentarlo en el futuro. Pero sobre todo atender la necesidad de que el trabajo correctivo sea revisado para evitar brechas que hagan posible un nuevo incidente. Y una cuesti\u00f3n importante, el proceso debe ser documentado de manera que queda la informaci\u00f3n de las labores acometidas en el proceso.<\/p>\n
En una pr\u00f3xima entrega se har\u00e1 referencia a otros aspectos de las buenas pr\u00e1cticas que est\u00e1n contenidos en los temas restantes.<\/p>\n
Las normas ISO de la serie 27000, dedicados a la seguridad de la informaci\u00f3n coinciden especial atenci\u00f3n al control de los accesos a los sistemas inform\u00e1ticos y por ende a la informaci\u00f3n contenida en ellos. La norma ISO 27002 en … Sigue leyendo