Cómo la gestión de contraseñas ayuda a las empresas a obtener la certificación ISO 27001

Actualización: Desde marzo de 27001, Bitwarden cuenta con la certificación ISO 27001 de conformidad con los conjuntos de controles ISO 27001 relativos a la seguridad de los datos.

La norma internacional ISO 27001 sienta las bases para crear, mantener y desarrollar sistemas de gestión de la seguridad de la información (SGSI), incluida la gestión de datos. Las empresas que deseen obtener la conformidad o certificación ISO 27001 deberían considerar la posibilidad de añadir

El grupo mundial de

Para certificarse como empresa ISO 27001, debe cumplir 93 conjuntos de control.

El proceso de certificación ISO 27001 consiste en una auditoría realizada por

La certificación ISO 27001 proporciona a las organizaciones una ventaja competitiva a la hora de atraer y retener clientes, ya que la certificación demuestra la existencia de sólidos controles de seguridad de la información. La certificación también puede atraer y retener a proveedores y otras partes interesadas preocupadas por cómo se gestiona y protege su información.

Incluso la preparación para el proceso de auditoría puede reforzar las políticas ISO 27001 existentes y mejorar los sistemas internos, las estructuras y los procesos empresariales cotidianos. El proceso de gestión de riesgos también puede ayudar a las organizaciones a cumplir mejor con las leyes de protección de datos, como CCPA y GDPR, y evitar multas por incumplimiento o pérdida de reputación debido a una violación de datos evitable.

Los 93 conjuntos de control figuran en el anexo A y se dividen en 4 grandes temas. Para obtener la certificación ISO 27001, las empresas deben demostrar el cumplimiento de estos controles. Las categorías son:

• Controles organizativos (37 controles)

• Controles de personas (8 controles)

• Controles físicos (14 controles)

• Controles tecnológicos (34 controles)

La versión anterior de ISO incluía 114 controles divididos en 14 categorías. Esa versión también incluía un lenguaje que regulaba los sistemas seguros de inicio de sesión y gestión de contraseñas.

El control de inicio de sesión seguro especificaba que "el acceso a los sistemas y aplicaciones debe controlarse mediante un procedimiento de inicio de sesión seguro cuando así lo exija la política de control de acceso". Con un gestor de contraseñas, los usuarios se benefician de añadir otra capa de seguridad a los inicios de sesión y de disponer de un lugar que les ayude a gestionar e integrar

El control del sistema de gestión de contraseñas establecía que "los sistemas de gestión de contraseñas serán cooperativos para garantizar la calidad de las contraseñas." ISO recomienda utilizar un

Los gestores de contraseñas establecen la seguridad de las contraseñas, aplican la 2FA y utilizan registros de eventos para supervisar la actividad de los usuarios, todas ellas funciones que las empresas deben conseguir para cumplir los requisitos de control de acceso ISO, protección de la IIP y protección de puntos finales.

La última versión de la norma ISO 27001 aborda la gestión de contraseñas en el anexo A 5.17. Hay muchos requisitos adicionales del Anexo A que pueden cumplirse o apoyarse adoptando un gestor de contraseñas. Aunque no son exhaustivos, algunos ejemplos son:

• Anexo A 5.3, Separación de funciones: Se separarán las funciones y las áreas de responsabilidad conflictivas.

• Anexo A 5.14, Transferencia de información: Se establecerán normas, procedimientos o acuerdos de transferencia de información para todos los tipos de instalaciones de transferencia dentro de la organización y entre la organización y otras partes.

• Anexo A 5.15, Control de acceso: Se establecerán y aplicarán normas para controlar el acceso físico y lógico a la información y a otros activos asociados, basadas en los requisitos de seguridad de la empresa y de la información.

• Anexo A 5.16, Gestión de identidades: Se gestionará el ciclo de vida completo de las identidades.

• Anexo A 5.17, Información de autenticación: La asignación y gestión de la información de autenticación se controlará mediante un proceso de gestión, que incluirá el asesoramiento al personal sobre las mejores prácticas de gestión de la información de autenticación.

  • Un

    manual detallado
    sobre este criterio establece recomendaciones de contraseñas con consejos sobre su gestión, incluida la posibilidad de crear contraseñas seguras. Además, el objetivo recomienda a las organizaciones evitar credenciales débiles, ampliamente utilizadas o comprometidas.

Teniendo en cuenta estos criterios, lo ideal sería que las organizaciones implantaran un sistema de gestión de contraseñas que les permitiera informar sobre las contraseñas expuestas, reutilizadas, débiles o potencialmente comprometidas, y disponer de información procesable al respecto.

• Anexo A 5.34, Privacidad y protección de la información personal identificable (IPI): La organización debe identificar y cumplir los requisitos relativos a la preservación de la privacidad y la protección de la IIP de acuerdo con las leyes y reglamentos aplicables y los requisitos contractuales.

• Anexo A 8.1, Dispositivos de punto final de usuario: Se protegerá la información almacenada, procesada o accesible a través de dispositivos de punto final de usuario.

• Anexo A 8.4, Acceso al código fuente: Se gestionará adecuadamente el acceso de lectura y escritura al código fuente, a las herramientas de desarrollo y a las bibliotecas de software.

• Anexo A 8.5, Autenticación segura: Se aplicarán tecnologías y procedimientos de autenticación segura basados en las restricciones de acceso a la información y en la política específica del tema sobre control de acceso.

  • Este objetivo

    se centra en el uso de la autenticación multifactor
    para iniciar sesión de forma segura en los sistemas. Con un gestor de contraseñas, los usuarios se benefician de añadir otra capa de seguridad a los inicios de sesión, y también de tener un lugar para ayudar a gestionar e integrar la autenticación de dos factores (2FA) para todos los sitios web que la admiten. El objetivo también subraya que las contraseñas deben ser confidenciales en todo momento, lo que supone un argumento de peso a favor de una caja fuerte de contraseñas totalmente cifrada.

Los sistemas de gestión de contraseñas permiten a las organizaciones identificar cualquier elemento de sus bóvedas con 2FA inactivo.

• Anexo A 8.11, Enmascaramiento de datos: El enmascaramiento de datos se utilizará de acuerdo con la política temática específica de la organización sobre control de acceso y otras políticas temáticas relacionadas, así como con los requisitos empresariales, teniendo en cuenta la legislación aplicable.

• Anexo A 8.12, Fuga de datos: Se aplicarán medidas de prevención de fuga de datos a los sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información sensible.

Un sistema de gestión de contraseñas es compatible con los numerosos requisitos del anexo A enumerados anteriormente, y con muchos de los requisitos incluidos en los conjuntos de control generales.

Los usuarios pueden mantener en secreto la información de autenticación, aplicar las mejores prácticas

Las organizaciones que utilizan gestores de contraseñas establecen requisitos de seguridad de las contraseñas, imponen la

Al evaluar los gestores de contraseñas para respaldar la certificación ISO 27001, las organizaciones deben evaluar si el software sigue

¿Está interesado en utilizar el gestor de contraseñas Bitwarden ISO 27001 para ayudar a cumplir las normas ISO 27001 para los sistemas de gestión de la seguridad de la información? Inicie hoy mismo una