Esta fase de la jornada Zero Trust abarca la identificación de madurez, brechas y riesgos potenciales asociados con inventarios, flujo de datos y trabajo en la organización. Además, en esta fase, se definirán privilegios de acceso mínimos para cada usuario, servicio o dispositivo que solicite acceso a un activo.
Una forma conveniente de poner en práctica el control de acceso es mediante el uso de frameworks. Por ejemplo, al cumplir con los requisitos de compliance y estándares internacionales de seguridad o al obtener certificaciones, la organización avanzará automáticamente hacia la implementación de Zero Trust. Aquí es donde entra en juego la ISO/IEC 27002.
A continuación, profundizaremos un poco más en la ISO/IEC 27002 y explicaremos cómo se puede aplicar a la construcción de control de acceso en una jornada Zero Trust.
Aplicando ISO/IEC 27002 a la creación de controles de acceso
Diseñada para ser una “referencia en la selección de controles en el proceso de implementación de un sistema de gestión de seguridad de la información basado en ISO/IEC 27001”, la ISO/IEC 27002 aborda prácticas en común con los principios de Zero Trust.
Además de las orientaciones en el documento, ISO/IEC 27002 busca establecer la premisa de que “todo está prohibido a menos que esté expresamente permitido”, reemplazando la idea de que “todo está permitido a menos que esté expresamente prohibido”.
Pero, ¿qué necesitas hacer para implementarlo en tu estrategia Zero Trust? Primero, debes cumplir con una serie de requisitos. Luego, abordar las responsabilidades de los usuarios y del control de acceso al sistema y aplicaciones. Por último, necesitas elegir las tecnologías adecuadas para implementar el proyecto.
En la primera parte del contenido, analizaremos los requisitos para el control de acceso especificados en ISO/IEC 27002, llevándolos al contexto Zero Trust.
Requisitos para el control de acceso basados en ISO/IEC 27002
Este es uno de los pasos más importantes en este momento de la jornada porque es cuando definimos la política de control de acceso, incluyendo redes y servicios de red. Así que echemos un vistazo a estos requisitos.
Política de control de acceso
Según la ISO/IEC 27002, se debe establecer, documentar y analizar críticamente una política de control de acceso, basada en los requisitos de seguridad de la información y del negocio que se describen a continuación.
Requisitos de seguridad para aplicaciones de negocio individuales
Este ítem incluye la clasificación de información, restricción y condiciones de compartición en sintonía con las necesidades y procedimientos del negocio que abordamos en fases anteriores de esta jornada.
Es importante que todos los resultados de clasificación se actualicen de acuerdo con el valor, sensibilidad y criticidad a lo largo de su ciclo de vida, ya que un negocio es un organismo vivo que evolucionará, trayendo cambios en la forma en que se debe tratar la información.
Política para la diseminación y autorización de información
Esto es el establecimiento de reglas para diseminar información. Por ejemplo, la diseminación de datos clasificados como altamente críticos, si se permite, es una acción que requiere autorización y procedimientos para la autenticación y validación del usuario y dispositivo configurados en la arquitectura Zero Trust.
Consistencia entre derechos de acceso y políticas de clasificación
La clasificación de una pieza de información se basa en su sensibilidad y criticidad operativa. Por lo tanto, las políticas de clasificación de información de sistemas y redes deben ser coherentes con los niveles de seguridad del activo clasificado.
Por ejemplo, si un activo es esencial para la operación del negocio, el nivel de protección y controles de acceso para él deben ser suficientes para garantizar su confidencialidad, integridad y disponibilidad.
Compliance y obligaciones contractuales relacionadas con la protección de acceso
Se deben definir y documentar controles específicos para la conformidad con leyes y obligaciones contractuales, junto con las responsabilidades individuales para aplicarlos.
Considerando nuestra jornada Zero Trust, el papel de los administradores de datos en este tipo de monitoreo es fundamental, ya que garantiza el uso de datos siguiendo los permisos de acceso y su papel en el contexto de la misión.
Gestión de derechos de acceso
Según ISO/IEC 27002, se recomienda que los derechos de acceso se gestionen en un entorno distribuido y conectado a una red capaz de reconocer cada tipo de conexión disponible.
Uno de los principios fundamentales de la arquitectura Zero Trust es la visibilidad. Por lo tanto, cuantas más características de observabilidad ofrezca la tecnología, mayor será la eficiencia del equipo en el monitoreo de conexiones, análisis de datos de eventos y creación de reglas de control de acceso.
Segregación de funciones de control de acceso
La segregación de funciones de control de acceso es, básicamente, la atribución de tareas y funciones como solicitudes de acceso, autorización y administración no solo a una persona, sino a un grupo.
Esta distribución de funciones es relevante en el contexto Zero Trust, ya que es una medida que ayuda a prevenir el movimiento lateral de un actor malicioso, ya que ningún usuario administrativo tiene amplios permisos y privilegios para ser explotados.
Requisitos para la autorización formal de solicitudes de acceso
Para hacer posible la correlación entre usuarios y sus responsabilidades y acciones, es indispensable que cada uno tenga un ID de usuario único, que debe ser otorgado por un proceso formal de inscripción y revocación que incluye documentación y reglas de emisión.
Esta práctica también es un requisito para una estrategia Zero Trust, comenzando con un proceso formal para la creación de IDs de usuario con privilegios mínimos, de manera que cada usuario solo tenga acceso a las funciones, recursos y activos necesarios para la tarea en cuestión.
Requisitos para el análisis crítico periódico de los derechos de acceso
Una arquitectura Zero Trust eficiente exige que los propietarios de los activos lleven a cabo, a intervalos regulares, análisis críticos de los derechos de acceso del usuario. La frecuencia es crucial para garantizar que no se obtengan privilegios no autorizados.
Se recomienda hacer este tipo de análisis cada vez que un empleado es promovido, reasignado o despedido, o cuando comienza a realizar diferentes tipos de trabajo en la organización.
En este punto, hay algo que debemos observar: cuanto mayor sea el nivel de criticidad o sensibilidad de los activos involucrados, más frecuente debe ser el análisis crítico. Usuarios del sistema como “sysadmin”, “administrator”, “root”, “apache” y “nginx”, por nombrar algunos, requieren este nivel de cuidado.
La razón es que tienen privilegios que interactúan directamente con el sistema operativo e incluso con la gestión de identidad. La apropiación de cuentas como estas por un actor malicioso es un riesgo real para todo el negocio.
En estos casos, debes considerar monitorear o incluso desactivar al usuario, además de no permitir el acceso remoto a esas cuentas. Recuerda que las políticas de acceso deben aplicarse no solo a personas, sino también a cuentas de usuario utilizadas por sistemas.
Debemos enfatizar que el análisis crítico recurrente es necesario tanto para garantizar que el acceso permanezca restringido a los usuarios correctos como para mantener el control de acceso actualizado y alineado con tu estrategia Zero Trust.
Revocación de derechos de acceso
Para evitar que los trabajadores que han terminado sus actividades, contratos o acuerdos corrompan o comprometan la integridad, confidencialidad o disponibilidad de los activos de la empresa, los derechos de acceso deben ser revocados o ajustados. Con la revocación gradual de privilegios, esto se puede hacer tan pronto como ocurra la terminación, o incluso antes.
Archivo de logs de eventos relevantes
Todos los eventos significativos relacionados con la gestión de IDs de usuario e información de autenticación secreta deben archivarse siguiendo las directivas de control de acceso establecidas en la estrategia Zero Trust.
Con esos archivos, el equipo de seguridad y los administradores de datos tendrán los recursos esenciales de observabilidad que pueden utilizarse para auditoría y análisis de vulnerabilidad relacionados con el control de acceso.
Reglas para el acceso privilegiado
Los derechos de acceso privilegiado deben gestionarse mediante un proceso de autorización formal basado en una política de control de acceso establecida, y se debe poner en práctica la concesión de privilegios de acceso mínimos.
Acceso a redes y servicios de red
Este segundo requisito garantiza que los usuarios solo tengan acceso a las redes y servicios de red que están específicamente autorizados a utilizar. Para esto, las políticas de esta fase de la jornada Zero Trust deben establecer:
-
Qué redes y servicios de red están permitidos y las formas en que se puede acceder a ellos.
-
Procedimientos para otorgar autorización de acceso y controles de gestión para proteger el acceso a las conexiones de red y servicio.
-
Requisitos de autenticación de usuario.
Al mismo tiempo que estas acciones son fáciles de implementar, son cruciales para prevenir, entre otras amenazas, conexiones no autorizadas e inseguras que pueden ser letales para la organización—un riesgo que creció con la expansión del trabajo remoto.
Cuando hablamos de seguridad en el lugar de trabajo, debemos pensar en los paradigmas que promueven el control de acceso en entornos modernos, como la seguridad perimetral, la segmentación de red y la observabilidad, y que son adherentes a los principios de Zero Trust para redes.
Próximos pasos para la implementación del control de acceso
Ahora que conoces los requisitos, pasaremos a la tercera y última fase de la jornada, donde hablaremos sobre las responsabilidades del usuario, el control de acceso al sistema y aplicación, y las tecnologías indispensables para construir un control de acceso que cumpla con los requisitos de un modelo de seguridad Zero Trust.
Para recibir el próximo contenido sobre la serie Zero Trust, suscríbete a nuestro boletín completando el formulario a continuación.