Conformidad con la norma ISO 27001

Comprender la importancia de la Gestión de Acceso Privilegiado (PAM)

La ISO 27001 es la norma del Sistema de Gestión de Seguridad de la Información (SGSI) más completa y reconocida del mundo. Constituye el núcleo de muchos programas de ciberseguridad corporativos y también se considera que la ISO 27001 es esencial para diversos regímenes de cumplimiento. Los controles de acceso, incluido PAM, están muy presentes en sus requisitos.

 

¿Qué es la ISO 27001?

La ISO 27001 es una norma promulgada por la Organización Internacional de Normalización (ISO) y el SGSI resultante está destinado a proteger la infraestructura crítica. Además, la ISO 27001 es exhaustiva y cubre prácticamente todos los aspectos de la seguridad de la información: los controles abordan desde la política de seguridad hasta la seguridad física y la respuesta a incidentes. Esta norma también garantiza que una organización siga las mejores prácticas aceptadas internacionalmente en la seguridad de la información.

El objetivo de la norma es la mejora continua. Este espíritu está integrado en el proceso de planificar/hacer/verificar/actuar que permite a una organización certificarse a sí misma como compatible con la ISO 27001.  Como alternativa, también es posible conseguir una certificación independiente emitida por un tercero tras una auditoría.

 

Conformidad con la ISO 27001

La norma ayuda a las organizaciones a cumplir con regulaciones como el RGPD, la HIPAA y la PCI-DSS, entre otras. Esto es así por dos razones: en primer lugar, los controles de un SGSI pueden configurarse para que coincidan con los requisitos de una regulación, por ejemplo, si el cifrado es necesario para el cumplimiento de la HIPAA, entonces hacer que el cifrado sea obligatorio para el SGSI ayudará con la HIPAA.

La ISO 27001 ayuda a las organizaciones a comprender lo que necesitan hacer para cumplir con diversas regulaciones.

En segundo lugar, la ISO 27001 exige el cumplimiento de la ley como parte de su proceso de certificación. El artículo A.18.1, titulado «Cumplimiento de los requisitos legales y contractuales», contiene controles que requieren el cumplimiento de las obligaciones legales y contractuales de una organización. Específicamente, el apartado A.18.1.1. dice que el SGSI debe identificar y documentar de manera explícita los requisitos legales y normativos.

 

Controles de acceso en la ISO 27001

La ISO 27001 cubre todo la gama de la seguridad de la información. La norma incluye controles para políticas de seguridad, administración de activos, criptografía, recursos humanos, recuperación de backends y más. De entre todos ellos, el control de acceso es el que ocupa un lugar destacado. Hay unos controles específicos que se ocupan del acceso, sin embargo, para casi cada aspecto de la norma las cuestiones relacionadas con el acceso, la autorización y la autenticación son cruciales. Después de todo, es imposible llevar a cabo un cifrado de datos eficaz si no se puede controlar quién tiene acceso al software de cifrado.

PAM y la ISO 27001

PAM es un área de seguridad que implica el control y monitoreo de los usuarios con privilegios administrativos (también conocidos como root) o de aquellos que usan cuentas privilegiadas. Un usuario privilegiado es aquel que tiene acceso a los backends de los sistemas críticos. Por ejemplo, un usuario privilegiado podría estar autorizado para configurar un firewall o eliminar una cuenta de usuario de la base de datos. Los usuarios privilegiados también pueden eliminar o modificar datos, así como instalar y desinstalar software. Un usuario privilegiado podría ser un empleado, un contratista o incluso una aplicación automatizada. Dado su acceso a información y sistemas sensibles, el acceso de un usuario privilegiado debe ser controlado atentamente. La ISO 27001 trata este requisito tanto directa como indirectamente. El artículo A.9.2.3, «Gestión de derechos de acceso privilegiado», expone un requisito para controlar y restringir los derechos de acceso privilegiado. El apartado A.9.4.4, «Uso de programas de utilidad privilegiada», agrega otra protección de PAM al SGSI, y debate sobre la necesidad de controlar los programas de utilidad que pueden invalidar otros controles.

Varios artículos de la norma ISO 27001 establecen que el acceso de usuarios privilegiados debe ser controlado atentamente y, por lo tanto, tener un software PAM a punto es un buen comienzo para cumplir con la normativa.

PAM también surge en el artículo A.6 de la ISO 27001, «Organización de la seguridad de la información», el A.11, «Seguridad física y del entorno» y el artículo A.15, «Relación con proveedores». Por otro lado, PAM aparece indirectamente en los artículos A.5, «Políticas de seguridad de la información», A.12, «Seguridad de las operaciones», A.16, «Gestión de seguridad de la información» y A.18, «Cumplimiento de los requisitos internos». Para ser eficaz, cada una de estas áreas de control depende de los usuarios privilegiados.

Cómo una solución PAM posibilita los controles de la ISO 27001

Una solución PAM protege a una organización del uso indebido del acceso privilegiado, ya sea accidental o deliberado. Puede (y debe) ser un elemento crítico de un SGSI. La solución PAM realiza un seguimiento de los usuarios privilegiados y permite la implementación de la ISO 27001 por medio de un mecanismo seguro, centralizado y optimizado para autorizar y monitorear a todos los usuarios privilegiados en todos los sistemas relevantes:

  • PAM otorga y revoca privilegios a los usuarios solo para aquellos sistemas en los que están autorizados.
  • PAM evita la necesidad de que los usuarios privilegiados tengan o necesiten contraseñas locales/directas.
  • PAM gestiona de forma rápida y centralizada el acceso a un conjunto dispar de sistemas heterogéneos.
  • PAM crea una pista de auditoría inalterable para cualquier operación privilegiada.
PAM es un elemento crítico del SGSI que permite a las organizaciones realizar un seguimiento de todas las acciones de los usuarios privilegiados dentro de su infraestructura de TI.

La solución WALLIX PAM para la ISO 27001

WALLIX ofrece una solución PAM completa que se alinea perfectamente con la ISO 27001. Su arquitectura sin agentes facilita su implementación, mantenimiento y modificación. Esta cualidad le da la capacidad de ser parte del SGSI sin tener que añadir rigidez al sistema. Cada uno de los componentes de WALLIX contribuye al cumplimiento de los controles de la ISO 27001 y el SGSI:

  • WALLIX Access Manager Gobierna el acceso a cuentas privilegiadas y centraliza el control de acceso mediante la creación de un único punto de entrada. Los usuarios privilegiados solicitan acceso a un sistema a través del Access Manager o administrador de acceso, reconociendo la definición de la política de control de acceso de la ISO 27001 y su aplicación. El Access Manager conoce todos los sistemas sensibles a los que un usuario tiene permiso para acceder. Los súper administradores pueden usarlo para agregar, modificar o eliminar cuentas de usuarios privilegiados.
  • WALLIX Password Vault Evita que los usuarios privilegiados conozcan las contraseñas o credenciales reales de los sistemas críticos. Esto impide las anulaciones manuales en dispositivos físicos, un riesgo de control físico descrito en el artículo A.11.
  • WALLIX Session Manager Rastrea las conexiones y actividades de los usuarios privilegiados, proporcionando un seguimiento y registro en tiempo real de todas sus actividades. El Session Manager permite una auditoría detallada y una respuesta precisa a incidentes, los cuales son esenciales para la ISO 27001.

La certificación y auditoría ISO 27001 es un proceso arduo ya que cada conjunto de controles de la norma debe implementarse con diligencia. PAM puede ayudar a simplificar el proceso e impulsar un cumplimiento de las normas más sólido y ágil.

Para obtener más información sobre la Gestión de Acceso Privilegiado y el cumplimiento de la norma ISO 27001, le invitamos a descargar el documento completo.