Anlisis de la ISO 27001:2005 - ISO-27001: Los Controles (Parte I) Sistema de Gestin de la Seguridad de la Informacin (SGSI), y de esta forma preparar el camino para una certificacin en el estndar ISO 27001, que como ya se mencion en los artculos anteriores, se aprecia, ser uno de los pilares fundamentales para definir la Calidad con que se adoptan y gestionan acciones y medidas de seguridad sobre los recursos de una empresa.A.11 Control de accesosNo se debe confundir la actividad de control de accesos con autenticacin, esta ltima tiene por misin identificar que verdaderamente sea, quien dice ser. El control de acceso es posterior a la autenticacin y debe regular que el usuario autenticado, acceda nicamente a los recursos sobre los cuales tenga derecho y a ningn otro, es decir que tiene dos tareas derivadas: Encauzar (o enjaular) al usuario debidamente. Verificar el desvo de cualquier acceso, fuera de lo correcto.

Para cumplir con este propsito, este apartado lo hace a travs de veinticinco controles, que los agrupa de la siguiente forma: - Requerimientos de negocio para el control de accesos: Debe existir una Poltica de Control de accesos documentada, peridicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo. - Administracin de accesos de usuarios: Tiene como objetivo asegurar el correcto acceso y prevenir el no autorizado, exige llevar un procedimiento de registro y revocacin de usuarios, una adecuada administracin de los privilegios y de las contraseas de cada uno de ellos, realizando peridicas revisiones a intervalos regulares.- Responsabilidades de usuarios: Todo usuario dentro de la organizacin debe tener documentadas sus obligaciones dentro de la seguridad de la informacin de la empresa. Independientemente de su jerarqua, siempre tendr alguna responsabilidad a partir del momento que tenga acceso a la informacin. Evidentemente existirn diferentes grados de responsabilidad, y proporcionalmente a ello, las obligaciones derivadas de estas funciones. - Control de acceso a redes: Todos los servicios de red deben ser susceptibles de medidas de control de acceso; para ello a travs de siete controles, en este grupo se busca prevenir cualquier acceso no autorizado a los mismos.