ISO 27001: el marco más completo y reconocido del mundo para los sistemas de gestión de la seguridad de la información (SGSI). Constituye el núcleo de muchos programas de ciberseguridad de las empresas; la ISO 27001 se considera una base esencial para una amplia gama de regímenes de cumplimiento. Los controles de acceso, incluyendo PAM, se utilizan ampliamente en los requisitos de la norma.
¿Qué es exactamente la norma ISO 27001?
La ISO 27001 es emitida por la Organización Internacional de Normalización (ISO ). Este SGSI da lugar a una infraestructura segura. La norma ISO 27001 es exhaustiva y cubre casi todos los aspectos de la seguridad de la información. Los controles abarcan la política de seguridad, la seguridad física y la respuesta a incidentes/ataques. Este marco de seguridad garantiza que la organización respectiva aplica las mejores prácticas reconocidas internacionalmente en el ámbito de la seguridad de la información.
El objetivo de la ISO 27001 es mejorar continuamente las normas de seguridad. Este enfoque se incluye en los procesos de planificación, control y acción que permiten a una organización autocertificarse como conforme a la norma ISO 27001. También es posible obtener una certificación independiente. Esta puede ser concedida por un tercero tras una exhaustiva auditoría.
La información sobre la revisión actual de la norma ISO 27001, así como la actualización publicada ISO 27002:2022 se puede encontrar aquí.
ISO 27001 y cumplimiento de la seguridad de la información
El marco del SGSI permite a las organizaciones cumplir los requisitos de diversas normativas, como el Reglamento General de Protección de Datos (GDPR), la HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Médicos) o la PCI-DSS (Norma de Seguridad de Datos del Sector de las Tarjetas de Pago). Esto es especialmente importante porque hace que los mecanismos de control del SGSI sean configurables para que cumplan con los requisitos respectivos. Por ejemplo, si el cifrado de los soportes de datos es necesario para el cumplimiento de la HIPAA, entonces ayuda a que este aspecto sea obligatorio en el marco del SGSI.
El marco de la norma ISO 27001 ayuda a las organizaciones a comprender lo que deben hacer para cumplir una amplia gama de normativas.
Uno de los requisitos impuestos a las organizaciones que desean obtener la certificación ISO 27001 es el cumplimiento legal. Esto se contempla en la cláusula A.18.1, titulada "Cumplimiento de los requisitos legales y contractuales". Esta sección define estos controles con más detalle. Por ejemplo, la subsección A.18.1.1 menciona explícitamente que el SGSI debe identificar y documentar los requisitos legales y reglamentarios.
Controles de acceso ISO 27001
La norma ISO 27001 es un marco integral para la seguridad de la información. Incluye controles para las políticas de seguridad, la gestión de activos, la criptografía y los recursos humanos, entre otros. Sin embargo, los controles de acceso desempeñan un papel importante. Hay controles específicos que se ocupan del acceso, pero es fundamental para casi todos los aspectos del marco de trabajo si se puede controlar el acceso. Por ejemplo, es imposible hacer una copia de seguridad eficaz de los datos si no se puede controlar qué persona tiene acceso al software de cifrado o a las propias copias de seguridad almacenadas.
Dónde se cruzan los requisitos de la APM y del Anexo A de la ISO 27001
PAM (Privileged Access Management) es un área de seguridad que se ocupa del control y la supervisión de los usuarios administrativos o con cuentas privilegiadas. Estos privilegios permiten a los usuarios acceder a los extremos posteriores de los sistemas críticos. Por ejemplo, pueden configurar un cortafuegos o eliminar una cuenta de usuario de la base de datos. Además, tienen la capacidad de borrar o modificar datos e instalar y desinstalar software. Este grupo incluye a empleados, contratistas o incluso aplicaciones automatizadas. Dado que todos tienen o tendrían acceso a información y sistemas sensibles, el acceso debe estar regulado. La norma ISO 27001 aborda este requisito tanto directa como indirectamente:
- La sección A.9.2.3 "Gestión de los derechos de acceso privilegiados", contiene un requisito para controlar y restringir los derechos de acceso privilegiados
- A.9.4.4 "Uso de programas de aplicación privilegiados", añade otra medida de protección de PAM al SGSI discutiendo la necesidad de controlar las utilidades que pueden anular otros controles.
Varias secciones del marco ISO 27001 señalan que el acceso de los usuarios privilegiados debe ser cuidadosamente regulado, de modo que el uso de una solución PAM proporciona una base sólida para el cumplimiento posterior.
La APM también aparece como aplicación de las medidas técnicas y organizativas en las secciones
- A.6 "Organización de la seguridad de la información",
- A.11 "Seguridad física y medioambiental" y
- A.15 "Relaciones con los proveedores" de la ISO 27001.
Indirectamente, la APM también está en las secciones,
- A.5 "Política de seguridad de la información",
- A.12 "Seguridad operativa
- A.16 "Gestión de la seguridad de la información" y
- A.18 "Cumplimiento de los requisitos internos".
Cada una de estas áreas de control depende de los usuarios privilegiados para ser eficaz.
Cómo una solución PAM permite la implementación técnica de los controles del Anexo A de la ISO 27001
Una solución PAM se considera una parte esencial de los requisitos técnicos y organizativos de un SGSI y protege a las organizaciones del mal uso accidental o intencionado de los accesos privilegiados. Lleva un registro de todos los usuarios privilegiados y permite la aplicación de la norma ISO 27001. A través de un mecanismo seguro, centralizado y racionalizado, se puede realizar la autorización y la supervisión de todos los sistemas pertinentes para todos los usuarios relevantes.
- Una solución PAM concede y revoca privilegios a los usuarios sólo para los sistemas para los que están autorizados.
- Una solución PAM elimina la necesidad de que los usuarios privilegiados tengan o requieran contraseñas locales/directas.
- Una solución PAM gestiona de forma rápida y centralizada el acceso a una multitud de sistemas heterogéneos.
- Una solución PAM crea una pista de auditoría inmutable para cada operación privilegiada y todas las actividades en TI y OT.
PAM es un elemento importante del SGSI que permite a las organizaciones hacer un seguimiento de todas las acciones de los usuarios privilegiados dentro de su infraestructura de TI.
VISULOX como elemento central de PAM para la ISO 27001
Con VISULOX, amitego ofrece una solución PAM completa que es perfectamente compatible con la norma ISO 27001. La arquitectura sin agentes hace que VISULOX sea fácil de implementar, mantener y modificar. Esta característica permite que la solución PAM forme parte del SGSI sin restringir los sistemas. Todos los componentes de VISULOX contribuyen al cumplimiento de los controles de la ISO 27001 y del SGSI:
- VISULOX Privileged Access Management - Controla el acceso a las cuentas privilegiadas y centraliza el control de acceso creando un único punto de acceso para todos los usuarios del ámbito. Los usuarios con privilegios solicitan el acceso a un sistema a través de VISULOX. Aquí se implementa la definición de la política de control de acceso y la aplicación de la política ISO 27001. VISULOX conoce todos los sistemas sensibles a los que un usuario tiene derechos de acceso. Los superadministradores pueden utilizarla para añadir, modificar o eliminar cuentas de usuario privilegiadas.
- VISULOX PassCache - Evita que los usuarios privilegiados conozcan las contraseñas o credenciales reales de los sistemas críticos. Esto evita las sobreescrituras manuales en los dispositivos físicos, un riesgo que se describe en la sección A.11.
- VISULOX Session Recorder - Rastrea las conexiones y actividades de los usuarios con privilegios y permite la supervisión y el registro en tiempo real de toda la actividad de los usuarios. El registro de sesiones permite una auditoría detallada y una respuesta precisa a los incidentes, ambas cosas esenciales para la norma ISO 27001. Esto crea películas indexadas de las actividades, registra opcionalmente toda la pulsación de la tecla y hace que las películas se puedan buscar a través de la funcionalidad OCR.
La certificación y la auditoría de la norma ISO 27001 es un proceso minucioso. Cada conjunto de controles del marco debe aplicarse cuidadosamente. Una solución PAM puede ayudar a simplificar el proceso y lograr un cumplimiento más sólido y flexible. Hable con nosotros o reserve usted mismo directamente un demostración gratuita de su solución PAM.
