El acceso a múltiples plataformas digitales exige que cada vez seamos más conscientes con respecto a cómo podemos salvaguardar información de valor, no solo personal, también empresarial.
Como se sabe, los ataques de hackers y otro tipo de delincuentes cibernéticos se han incrementado exponencialmente desde que inició la pandemia. Es por esto que existe la norma 27001.
¿Qué es la Norma ISO27001?
La Norma ISO27001 es la encargada de establecer los criterios para tener y adoptar las medidas más eficientes para evitar ataques cibernéticos. Este estatuto estipula que las medidas de la revisión, están orientadas a controlar y monitorizar los accesos a los medios de información, de acuerdo con las políticas definidas por la organización
¿Por qué un control de acceso?
Como ya se ha explicado en artículos previos, la necesidad de estar conectados a diferentes dispositivos, ya sea para trámites personales o para asuntos laborales, ha incrementado la posibilidad de ser víctimas de esta clase de delitos.
Prácticas como el phishing (en sus diferentes clases) o el malware, son muy comunes en nuestros días y; desafortunadamente, muchos individuos y muchas organizaciones, aún no dimensionan la gravedad del problema.
De hecho, los expertos pronosticaron que este 2021 sería un año de múltiples ataques, principalmente en contra de las redes domésticas, software de trabajo remoto y los sistemas de la nube.
Esto fue aseverado por la compañía de ciberseguridad Trend Micro en su informe de predicciones “Cambiando el rumbo”, que prevé que la tendencia al teletrabajo va a consolidar este tipo de irrupciones (Milenio, 2020).
En el reporte presentado por esta empresa de seguridad, se aseveró que, entre los profesionales más afectados, estarán por ejemplo, los de Recursos Humanos, ya que constantemente acceden a datos sensibles.
Conforme van creciendo las integraciones de terceros, Trend Micro adelanta que las interfaces de programación de aplicación expuestas serán, este año, un nuevo objetivo de ataques, ya que brindan acceso a los datos confidenciales de los clientes y de los códigos fuente.
Con respecto a los servicios en la nube, como iCloud, Dropbox, Skydrive y Google Drive seguirán siendo blancos de frecuentes ataques, ya sea por las acciones de usuarios inconscientes, por configuraciones incorrectas o por atacantes que quieren apoderarse de los servidores en la nube, para desplegar imágenes de contenedores maliciosos (Milenio, 2020).
Siga la norma
Reiteradamente, los profesionales de la seguridad cibernética, recomiendan la capacitación y la concienciación de los colaboradores, así como la constante actualización de las políticas de, entre otras cosas, el acceso a las diversas plataformas.
Evidentemente, el resultado se verá potenciado si sigue las recomendaciones de la Norma ISO 2700.
Específicamente existe toda una sección de la norma dedicada a plantear objetivos y formas de control de acceso, mismas que, se listan a continuación:
Objetivo 1. Requisitos de negocio para el control de acceso
Limitar el acceso a la información y a las instalaciones de procesamiento de información.
Controles:
* Política de control de acceso
* Acceso a las redes y a los servicios de red
Objetivo 2. Gestión del acceso de usuarios.
Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas y servicios de información.
Controles:
* Registro de usuarios y cancelación del registro
* Gestión de acceso a los usuarios
* Gestión de derechos de acceso privilegiados
* Gestión de la información de autenticación secreta de los usuarios
* Revisión de derechos de acceso de usuario
* Remoción o ajuste de los derechos de acceso
Objetivo 3. Responsabilidades del usuario
Hacer a los usuarios responsables de salvaguardar su información de autenticación.
Controles:
* Uso de la información de autenticación secreta
Objetivo 4. Responsabilidades del usuario
Impedir el acceso no autorizado a los sistemas y las aplicaciones.
Controles:
* Restricción de acceso a la información
* Procedimientos de conexión (log-on) seguros
* Sistema de gestión de contraseñas
* Uso de programas de utilidad privilegiados
* Control de acceso al código de programas fuente
Lógicamente, esto es una versión resumida de todo lo que contiene la sección dedicada al tema en cuestión, pero se pueden visualizar las áreas en las que hay que enfocarse, así como todas las implicaciones al poner en marcha acciones que aumenten la seguridad de sus activos. Recuerde: siempre es mucho mejor prevenir que lamentar.
Fuentes de Consulta:
¡Alerta en la nube! Prevén ciberataques masivos en 2021; así puedes evitarlos. (Diciembre 13, 2021). ¡Alerta en la nube! Prevén ciberataques masivos en 2021; así puedes evitarlos. Milenio. Recuperado de:
https://www.milenio.com/tecnologia/expertos-esperan-ciberataques-masivos-2021-puedes-evitarlos
Hinojosa, F. (Septiembre 22, 2020). La importancia de la ciberseguridad en un control de acceso. Schneider Electric. Recuperado de: https://blogespanol.se.com/gestion-de-la-seguridad/ciberseguridad/2020/09/22/la-ciberseguridad-en-un-control-de-acceso/
A9 Control de acceso. (s/f). A9 Control de acceso. Norma ISO 27001. Recuperado de:https://normaiso27001.es/a9-control-de-acceso/