ISO 27001: Sistema de gestió de seguretat de la informació

Controls d’accés i gestió de suports extraïbles

Control A.11.2: Gestió d'accessos

• Definició i abast: Aquest control se centra en assegurar que l’accés a la informació i a les funcions de processament de la informació es concedeix només als usuaris autoritzats. La norma especifica la necessitat d’implementar una gestió d’accessos segura i controlada, la qual cosa inclou el registre, l’autorització i la gestió de drets d’accés dels usuaris als sistemes i serveis.
• Implementació: Les organitzacions han d’establir, documentar i revisar els procediments de gestió d’accessos. Això inclou l’assignació de drets d’accés d’acord amb la política de control d’accessos de l’organització i assegurar que aquests drets es concedeixin només després d’una autorització adequada.

Control A.11.2.7: Gestió de suports extraïbles

• Definició i abast: Aquest control tracta específicament sobre la gestió d'actius extraïbles. Exigeix que les organitzacions implementin procediments per al maneig i ús de mitjans extraïbles, com memòries USB, discs durs externs i DVDs de manera segura. Això és crucial per evitar la pèrdua, el robatori o el dany d’informació emmagatzemada en aquests mitjans.
• Implementació: Cal establir polítiques i procediments que controlin l’autorització i l’ús d’actius extraïbles. Això inclou mesures per a l’esborrament segur de dades en actius extraïbles abans de desfer-se’n o reutilitzar-los, assegurant que la informació sensible no pugui ser recuperada per usuaris no autoritzats.

Verificació i documentació

La ISO 27001 posa un gran èmfasi en la documentació adequada de les polítiques, els procediments i els controls implementats per l'organització. Això inclou documentar el procés de gestió d'accessos i utilitzar mitjans removibles per garantir que se segueixin les pràctiques de seguretat de la informació.

És essencial dur a terme revisions i verificacions periòdiques dels drets d'accés i les polítiques de gestió de suports extraïbles per assegurar-ne l'efectivitat i la conformitat amb els requisits de l'SGSI. Això pot incloure auditories internes i revisions de seguretat per avaluar la implementació i el compliment dels controls establerts.

Compliment i auditoria

Auditories Internes i Externes

La ISO 27001 requereix que les organitzacions facin auditories internes regulars per avaluar l'eficàcia de l'SGSI i dels controls específics com A.11.2 i A.11.2.7. A més, les auditories externes, realitzades per auditors certificats, són crucials per a la certificació i el manteniment del SGSI sota la norma ISO 27001.

Demostració de compliment

La documentació detallada i els registres de verificació serveixen com a evidència durant les auditories per demostrar el compliment de l'organització amb la norma ISO 27001. Això inclou evidència de la gestió adequada d'accessos i la seguretat en l'ús de suports extraïbles, així com les accions preses per corregir qualsevol no conformitat identificada.

Importància de la millora contínua

La norma ISO 27001 no només s'enfoca al compliment actual, sinó també a la millora contínua de l'SGSI. Les auditories i les revisions periòdiques són oportunitats per identificar àrees de millora i aplicar accions correctives per enfortir encara més la seguretat de la informació.

Productes Blancco relacionats

Altres guies de compliment d'esborrat segur

• Esquema Nacional de Seguretat (ENS)
• ISO/IEC 27040:2015: Seguretat d'emmagatzematge d'informació
• Reglament general de protecció de dades (RGPD/GDPR)
• Institut Nacional d'Estàndards i Tecnologia (NIST 800-88)
• Estàndard de Seguretat de Dades per a la Indústria de Targeta de Pagament (PCI DSS)