Saltear al contenido principal

Cómo la autenticación de dos factores permite cumplir con los controles de acceso ISO 27001

controles de acceso ISO 27001

Controles de acceso ISO 27001

Los controles de acceso ISO 27001 son los pilares de la seguridad del Sistema de Seguridad de la información.  Si no es posible controlar quiénes pueden acceder a determinada información, no podremos garantizar la seguridad de ella.  Es esa la razón por la que los controles de acceso, concentran el interés de los equipos de seguridad, pero también de quienes desean acceder de forma ilícita a información restringida.

Son muchos los controles de acceso que utilizamos hoy en día. Los más comunes son las contraseñas o “passwords”. Pero también existen los controles biométricos, tarjetas de acceso, como mecanismos para impedir el acceso no autorizado y prevenir ataques contra los datos y la información.

Sin embargo, ante la sofisticación de los ataques cibernéticos, y como una forma de preservar la integridad de la información, las organizaciones encuentran que la autenticación de dos factores, resulta eficiente y eficaz en el cumplimiento del propósito de blindar el sistema de Seguridad de la Información.

Controles de acceso ISO 27001 – Función de autenticación

Antes que nada, entendamos que los controles de acceso eficientes deben considerar tres conceptos, que deben seguir esta secuencia:

  • Identificación

Métodos que proporcionan una identidad a la persona u organización que pretende ingresar al sistema. Puede ser una cuenta de usuario, el número de seguro social, de cédula de identidad, pasaporte, etc.

  • Autenticación

En esta instancia, el password, el control biométrico, una tarjeta de acceso, la huella dactilar, entre otros, garantizan que la persona que intenta ingresar, es la que está autorizada para acceder al sistema.

  • Autorización

Los niveles de autorización pueden restringir las acciones que puede efectuar un usuario por medio de listas de permisos, y de esta forma controlar de acuerdo con la categoría o nivel de permisos, el acceso a la información.

Factores que permiten cumplir con los controles de acceso ISO 27001

Los métodos de autenticación, pueden utilizar diferentes conceptos o factores, que, a su vez, pueden funcionar combinados o por separado. Veamos algunos de ellos:

  • Un dato que el usuario debe conocer

El caso más representativo es el de las contraseñas. Un PIN, número de identificación, de seguro social… Aunque es menos costoso en su implementación, también es menos seguro.

  • Un objeto

Con una tarjeta inteligente accedemos a nuestras cuentas bancarias, en un cajero electrónico. Pero también existen llaves y fichas, por ejemplo. Es un poco más caro, pero seguro, sobre todo cuando se implementa en combinación con el método anterior.

  • Algo que solo posee el usuario

La huella dactilar es el mejor ejemplo. Pero también se suele utilizar la retina, reconocimiento de voz e incluso ADN. Es el tipo de control más costoso y complejo de implementar, pero sin duda el más seguro.

Cuando hablamos entonces de autenticación de dos factores, hacemos referencia a la combinación de dos de estos métodos.

¿Por qué es importante utilizar dos o más factores de autenticación?

Dejar la seguridad en manos de un solo factor de autenticación, hace que esta se vea comprometida cuando cualquier persona conozca la variable que le permita asumir el papel del usuario autorizado.

Sabemos que muchos usuarios comparten sus contraseñas, las escriben en lugares que no son seguros, o incluso, utilizan algunas muy obvias, como la fecha de nacimiento.

Los objetos, como tarjetas, tokens, fichas o llaves, pueden extraviarse, ser robados o duplicados. Y aún, los patrones biométricos, son susceptibles de ser generados por distintos medios.  La selección de más de un factor de autenticación, reduce en forma ostensible la posibilidad de suplantación de un usuario.

Por supuesto, ello depende de la evaluación del riesgo que se lleve a cabo de acuerdo con ISO 27001. Aunque los controles descritos en el Anexo A, hacen referencia a información secreta como medio eficaz de autenticación, ISO 27002, que aporta recomendaciones para el uso de los controles de acceso ISO 27001, recomienda el uso de prácticas de autenticación en un número significativo de controles, con el fin de hacer que el sistema sea más fuerte y seguro.

ISOTools Excellence

Las organizaciones pueden utilizar autenticación con base en varios factores a través de la plataforma tecnológica de ISOTools Excellence. Así, las organizaciones pueden alcanzar mayores niveles de seguridad, cumpliendo con los requisitos de ISO 27001.

Si desea aumentar los niveles de seguridad de su información, solicite que uno de nuestros consultores expertos se ponga en contacto con usted. De esta forma podremos ayudar a su organización a adaptar la plataforma ISOTools Excellence a las necesidades de su organización.

¿Desea saber más?

Entradas relacionadas

Plan De Respuesta A Emergencias
6 Puntos clave para probar su plan de respuesta a emergencias

Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…

Ver más
Volver arriba