CONTROL DE ACCESOS (ISO 27002 DE 2013)

Fecha de publicación:
    Voy a analizar el dominio 9 de la ISO 27002 relativo al control de accesos:

9. CONTROL DE ACCESOS:

   9.1 Requisitos de negocio para el control de accesos:
  • 9.1.1 Política de control de accesos: establecer una serie de normas para acceder a la información.
  • 9.1.2 Control de acceso a las redes y servicios asociados: gestionar permisos de los usuarios para acceder a los sistemas de redes.
   9.2 Gestión de acceso de usuario:
  • 9.2.1 Gestión de altas/bajas en el registro de usuarios: tener un control sobre los ingresos y salidas de los usuarios.
  • 9.2.2 Gestión de los derechos de acceso asignados a usuarios: implantar un procedimiento determinado a la hora de conceder o cancelar los accesos de los usuarios a los sistemas.
  • 9.2.3 Gestión de los derechos de acceso con privilegios especiales: tener un control de dichos accesos privilegiados.
  • 9.2.4 Gestión de información confidencial de autenticación de usuarios: controlar que la información confidencial continúe siendo secreta.
  • 9.2.5 Revisión de los derechos de acceso de los usuarios: tener un control acerca de los permisos de los usuarios.
  • 9.2.6 Retirada o adaptación de los derechos de acceso: controlar los cambios de permisos de acceso de los usuarios.
   9.3 Responsabilidades del usuario:
  • 9.3.1 Uso de información confidencial para la autenticación: tener normas establecidas a la hora de gestionar o crear contraseñas o claves.
   9.4 Control de acceso a sistemas y aplicaciones:
  • 9.4.1 Restricción del acceso a la información: tener ciertas restricciones según lo establecido en la política de control de accesos.
  • 9.4.2 Procedimientos seguros de inicio de sesión: tener una serie de normas a la hora de iniciar sesión tales como confirmar la identidad del usuario al iniciar sesión o tener un seguimiento de los intentos fallidos de acceso.
  • 9.4.3 Gestión de contraseñas de usuario: establecer reglas sobre cómo deben ser las contraseñas y cada cuanto tiempo es necesario cambiarlas.
  • 9.4.4 Uso de herramientas de administración de sistemas: usar las herramientas adecuadamente y establecer que herramientas deberían estar restringidas.
  • 9.4.5 Control de acceso al código fuente de los programas: restringir el acceso a dichos códigos.