Auditoria Control de Acceso

UNIVERSIDAD NACIONAL SAN ANTONIO ABAD DEL CUSCO Carrera Profesional de Ingeniería Informática y de Sistemas

RESOLUCIÓN CONTROL DE ACCESO Tema:

RESOLUCIÓN DE CONTROLES DE ACCESO

Docente:

Ing. Emilio Emilio Palomino Olivera

Integrantes: -Ccarita Cruz Ana Maritza

081105

-Mayta Salazar Elizabeth Dioni

081110

-Palomino Flores Meluni

070714

-Ligas Ramirez Trilce

070707

-Jara Mejía Cristian Jhonathan

070705 CUSCO-PERU 2011

INDICE

INDICE

CONTROL DE ACCESO 11.1.

REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS

OBJETIVO: Controlar los accesos a la información. Se debería controlar el acceso a la iinformación nformación y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Se deberían tener en cuenta para ello las políticas de distribución de la información y de autorizaciones.

11.1.1 POLÍTICA DE CONTROL DE ACCESOS Control Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.

Guía de implementación implementación Se deberían establecer claramente en una política de accesos las reglas y los derechos de cada usuario o grupo de usuarios. Los controles de acceso son lógicos y físicos (véase el capítulo 9) y estos deben ser considerados juntos. Se debería dar a los usuarios y proveedores de servicios una especificación clara de los requisitos de negocio cubiertos por los controles de accesos. Esta política debería contemplar lo siguiente: a) requisitos de seguridad de cada aplicación de negocio individualmente; b) identificación de toda la información relativa a las aplicaciones y los riesgos que la información está enfrentando; c) políticas para la distribución de la información y las autorizaciones (por ejemplo, el principio de suministro sólo de la información que se necesita conocer y los niveles de seguridad para la clasificación de dicha información) (véase el inciso 7.2); d) coherencia entre las políticas de control de accesos y las políticas de clasificación de la información en los distintos sistemas y redes; e) legislación aplicable y las obligaciones contractuales respecto a la protección del acceso a los datos o servicios (véase el inciso 15.1); f) perfiles de acceso de usuarios estandarizados según las categorías comunes de trabajos; g) administración de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexión; h) segregación de los roles de control de acceso, como el pedido de acceso, autorización de acceso, administración de accesos; ac cesos;

CONTROL DE ACCESO

i) requerimientos para la autorización formal de los pedidos de acceso (véase el inciso 11.2.1); j) requerimientos para la revisión periódica de los controles de acceso (véase el inciso 11.2.4); k) retiro de los derechos de acceso (véase el inciso 8.3.3).

Otra Información Al especificar las reglas de los controles de accesos se tendrá la precaución de considerar: a) la distinción entre reglas a cumplir siempre y reglas opcionales o condicionales; b) el establecimiento de las reglas basándose en la premisa está prohibido todo lo que no esté permitido explícitamente, premisa que es contraria a la regla está permitido todo lo que no esté prohibido explícitamente, considerada más débil o más permisiva. c) los cambios en las etiquetas de información (véase el inciso 7.2) iniciadas automáticamente por los recursos del tratamiento de la información y las que inicia el usuario manualmente; d) los cambios en las autorizaciones al usuario realizados automáticamente por el sistema de información y los que realiza un administrador; e) la distinción entre reglas que requieren o no la aprobación del administrador o de otra autoridad antes de su promulgación. Las reglas de control de acceso deben ser apoyadas por procedimientos formales y por responsabilidades claramente definidos.

AUDITORIA

Página 4

CONTROL DE ACCESO

a) requisitos de seguridad de cada aplicación de negocio individualmente; b) identificación de toda la información relativa a las aplicaciones y los riesgos que la información está enfrentando;

ACTIVIDAD: (guía implementación)

de

CONTROL:

a) requisitos de seguridad de cada aplicación de negocio individualmente; b) identificación de toda la información relativa a las aplicaciones y los riesgos que la información está enfrentando;

Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.

OBJETIVO:

Determinar la seguridad que posee cada aplicación de negocio

SUPERVISOR: AUDITOR:

Ing. Emilio Palomino Olivera ___________________________

FECHA DE INICIO 11/01/2012

FECHA DE ENTREGA 16/01/2012

HORA DE ENTREGA: 17:00:00

Guía de Implementación de Seguridad de la Aplicaciones

Nombre y Apellidos: Área o departamento al que pertenece: Cargo que ocupa actualmente: Parte del sistema al cual tiene derechos de Acceso:

    

Datos de Entrada

AUDITORIA

Redes Base de datos Información Confidencial Desarrollo de nuevos sistemas Otros ________________________________

Identificarse como usuario ___________ La contraseña que posee:  Números  Letras mayúsculas  Letras minúsculas  Texto alfanumérico

autorizado:

Página 5

CONTROL DE ACCESO



Otros ________________________________

Datos de Procesamiento

Tiempo de demora en los procesos : ___________ Numero de procesos realizados Simultáneamente: ____________

Datos de Salida

Salidas requeridas Tiempo total de respuesta:

Cómo considera usted, en general el servicio proporcionado por la aplicación?

Deficiente  Aceptable  Satisfactorio  Excelente ¿Por qué? ______________________________ ______________________________ ______________________________ ______________________________

Qué opina de la seguridad del manejo de la información proporcionado por la aplicación?

Nula  Riesgosa  Satisfactoria  Excelente  Desconoce ¿Por qué? ______________________________ ______________________________ ______________________________ ______________________________

______________





c) políticas para la distribución de la información y las autorizaciones (por ejemplo, el principio de suministro sólo de la información que se necesita conocer y los niveles de seguridad para la clasificación de dicha información) (véase el inciso 7.2); d) coherencia entre las políticas de control de accesos y las políticas de clasificación de la información en los distintos sistemas y redes;

ACTIVIDAD: (guía implementación) AUDITORIA

de

c) políticas para la distribución de la información y las autorizaciones (por ejemplo, el principio de suministro sólo de la información que se necesita conocer y los niveles de seguridad para la clasificación de dicha infor mación) (véase el Página 6

CONTROL DE ACCESO

CONTROL:

inciso 7.2); d) coherencia entre las políticas de control de accesos y las políticas de clasificación de la información en los distintos sistemas y redes;







Guía de Implementación de políticas para la distribución de la in formación y las autorizaciones

Nombres y Apellidos: Área o departamento al que pertenece: Cargo que ocupa actualmente: Nombre y nro. del Documento (donde se estipula las políticas de distribución de información y las autorizaciones): Fecha de conocimiento del documento (fecha en la cual usted tuvo conocimiento del documento y su contenido): Nombre del responsable o Nombre del área (persona o área de trabajo quien hizo llegar a usted dicho documento): Fecha que adquirió las autorizaciones: Nombre del Documento donde se estipula los derechos de acceso que posee: Fecha de conocimiento del documento (fecha en la cual usted tuvo conocimiento del contenido del documento): Tipos de autorización que usted posee (describa): AUDITORIA

Página 7

CONTROL DE ACCESO

Responsable de brindar las autorizaciones (Nombre y Apellidos, área de trabajo): Fecha de caducidad de las autorizaciones otorgadas: Documento de conformidad (donde acepta los derechos de acceso y autorizaciones dadas) e) legislación aplicable y las obligaciones contractuales respecto a la protección del acceso a los datos o servicios (véase el inciso 15.1);

ACTIVIDAD: (guía implementación) CONTROL:

de

e) legislación aplicable y las obligaciones contractuales respecto a la protección del acceso a los datos o servicios (véase el inciso 15.1);







Guía de Implementación de legislación aplicable y las obligaciones contractuales respecto a la protección del acceso a los datos o servicios

Documento de Petición de acceso a los datos: Responsable de aprobar la petición de acceso de datos: Documento de aprobación a la petición: Métodos usados para proteger Usuario: ___________ el acceso a los datos o servicios: Contraseña: ___________ Nombres: ____________ Código de Autorización:____________

AUDITORIA

Página 8

CONTROL DE ACCESO

f) perfiles de acceso de usuarios estandarizados según las categorías comunes de trabajos;

ACTIVIDAD: f) perfiles de acceso de usuarios estandarizados según las cat egorías comunes de trabajos; (guía de implementación) Una política de control de acceso debe ser establecida, documentada y CONTROL: revisada y debe estar basada en los requerimientos de seguridad y del negocio. SUPERVISOR: AUDITOR:





Guía de Implementación de perfiles de acce so de usuarios estandarizados según las categorías comunes de trabajos

Nombres y Apellidos: Área o departamento al que pertenece: Cargo que ocupa actualmente: Categoría de Trabajo:

     

Nombrado Contratado Practicante Asistente Auxiliar Otro ______________________________

Descripción del Perfil de Acceso: (desarrolle los permisos de acceso que posee)

Documento de descripción de perfil del usuario (nombre, tipo y numero) g) administración de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexión; AUDITORIA

Página 9

CONTROL DE ACCESO


de

g) administración de los derechos de acceso en u n entorno distribuido en red que reconozca todos los tipos disponibles de conexión;







Guía de Implementación de administración de los derechos de a cceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexión;

Nombres y Apellidos: Área o departamento al que pertenece: Cargo que ocupa actualmente: Responsable de proporcionar derechos de acceso a la red (Nombre , Apellidos y Área de Trabajo) Documento de autorización de acceso a la red (Nombre, tipo y numero) Fecha de entrega de la autorización: h) segregación de los roles de control de acceso, como el pedido de acceso, autorización de acceso, administración de accesos;

ACTIVIDAD: (guía implementación) CONTROL: SUPERVISOR: AUDITORIA

de

h) segregación de los roles de control de acceso, como el pedido de acceso, autorización de acceso, administración de acceso s

Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ Página 10

CONTROL DE ACCESO

AUDITOR: FECHA DE INICIO 11/01/2012



Guía de Implementación de segregación de los ro les de control de acceso, como el pedido de acceso, autorización de acceso, administración de acceso s

Área o departamento encargado de los controles de acceso: Jefe del área de Controles de Acceso (-nombres y apellidos) Pedido de Acceso

Documento de pedido de acceso (Nombre, tipo y numero) Responsable de autorizar el pedido (Nombre y Apellidos) Descripción de motivos de pedir acceso: Autorización de Acceso

Documento de autorización de acceso (nombre, tipo y numero) Responsable de la autorización (nombres y apellidos) Responsable de la administración de los accesos Documento de registro de los acceso al sistema por los usuarios. i) j)

requerimientos para la autorización formal de los pedidos de acceso (véase el inciso 11.2.1); requerimientos para la revisión periódica de los controles de acceso (véase el inciso 11.2.4);


AUDITORIA

de

i) j)

requerimientos para la autorización formal de los pedidos de acceso (véase el inciso 11.2.1); requerimientos para la revisión periódica de los controles de acceso (véase el inciso 11.2.4);

Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos Página 11

CONTROL DE ACCESO

de seguridad y del negocio.






Guía de Implementación de requerimientos para autorización de pedidos de acceso y revisión de controles de acceso

Área o departamento encargado de los controles de acceso: Jefe del área de Controles de Acceso (-nombres y apellidos) Requisitos para autorización de pedidos de acceso

Nombres y Apellidos: Cargo que ocupa actualmente: Perfil de acceso: Documento de Petición de acceso: Descripción breve de petición de acceso: Responsable de autorizar la petición de acceso: Requisitos para revisión de los controles de acceso

Responsable de la revisión de controles de acceso: Documento de registro de los accesos: (nombre, tipo y numero) Método de realizar la revisión:

   

Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) AUDITORIA



Diaria Semanal Mensual Periódicamente ¿cuándo? ________________ Nunca

Página 12

CONTROL DE ACCESO

) k

retiro de los derechos de acceso (véase el inciso 8.3.3).


de

) k

retiro de los derechos de acceso (véase el inciso 8.3.3).







Guía de Implementación de retiro de los derechos de acceso

Nombre y Apellidos: Cargo que ocupa o ocupaba: Documento de retiro de derechos de acceso: (nombre, número y tipo) Responsable de autorizar el retiro de derechos de acceso: Descripción del retiro de derechos de acceso

   

11.2.

reubicación dentro de la organización retiro de organización realizar actos no autorizados otros _____________________________

GESTIÓN DE ACCESO DE USUARIOS

OBJETIVO: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de información. Se debería establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberían cubrir todas las etapas del ciclo de vida del acceso de los usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios. Se debería prestar especial AUDITORIA

Página 13

CONTROL DE ACCESO

atención, donde sea apropiado, al necesario control de la asignación de derechos de acceso privilegiados que permitan a ciertos usuarios evitar los controles del sistema.

11.2.1.REGISTRO DE USUARIOS Control Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.

Guía de Implementación Se debería controlar el acceso a los servicios de información multiusuario mediante un proceso formal de registro que debería incluir: a) la utilización de un identificador único para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debería permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados; b) la comprobación de la autorización del usuario por el propietario del servicio para utilizar el sistema o el servicio de información. También puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificación de la adecuación del nivel de acceso asignado al propósito del negocio (véase el inciso 11.1) y su consistencia con la política de seguridad de la organización (por ejemplo, su no contradicción con el principio de segregación de tareas (véase el inciso10.1.3); la entrega a los usuarios de una relación escrita de sus derechos de acceso; d) la petición a los usuarios para que reconozcan con su firma la comprensión de las condiciones de acceso; e) la garantía de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorización; f) el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminación inmediata de las autorizaciones de acceso a los usuarios que dejan la organización o cambien de trabajo en ella; h) la revisión periódica y eliminación de identificadores y cuentas de usuario redundantes (véase el inciso 11.2.4); i) la garantía de no reasignación a otros usuarios de los identificadores de usuario redundantes.

Otra Información Se debería considerar el establecimiento de roles de acceso a usuario basado en requisitos de negocio que resuman un numero de derechos de acceso en un expediente típico de acceso de usuario. Los pedidos y revisiones de acceso (véase el inciso 11.2.4) son manejadas más fácilmente al nivel de dichos roles que los niveles de derechos particulares. AUDITORIA

Página 14

CONTROL DE ACCESO

Se debería considerar la inclusión de cláusulas en los contratos laborales y de servicio que especifiquen sanciones si sus signatarios realizan accesos no autorizados (véase el inciso 6.1.4 y 6.1.5). a) la utilización de un identificador único para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debería permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados;


de

CONTROL:

a) la utilización de un identificador único para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debería permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados;

Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.






Guía de Implementación de la utilización de un id entificador único para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debería permitir el uso de identificadores de grupo cuando sea conveniente para el de sarrollo del trabajo y estos deben ser aprobados y documentados

Nombre y Apellidos: Cargo que ocupa actualmente: Identificador de usuario: Identificador de grupo de trabajo: Responsabilidades que posee individualmente en la organización Responsabilidades que posee en su grupo de trabajo Documento que consta y acepta las responsabilidades implantadas AUDITORIA

Página 15

CONTROL DE ACCESO

(nombre, tipo y numero) Fecha de entrega del documento (fecha en que recibe por primera vez el documento) Responsable de área o departamento encargado de difundir dicho documento: b) la comprobación de la autorización del usuario por el propietario del servicio para utilizar el sistema o el servicio de información. También puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificación de la adecuación del nivel de acceso asignado al propósito del negocio (véase el inciso 11.1) y su consistencia con la política de seguridad de la organización (por ejemplo, su no contradicción con el principio de segregación de tareas (véase el inciso10.1.3); la entrega a los usuarios de una relación escrita de sus derechos de acceso;


CONTROL:

de

b) la comprobación de la autorización del usuario p or el propietario del servicio para utilizar el sistema o el servicio de información. También puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificación de la adecuación del nivel de a cceso asignado al propósito del negocio (véase el inciso 11.1) y su consistencia con la política de seguridad de la organización (por ejemplo, su no contradicción con el principio de segregación de tareas (véase el inciso10.1.3); la entrega a los u suarios de una relación escrita de sus derechos de acceso;







Guía de Implementación de la comprobación de la autorización del usuario para utilizar un sistema o servicio de información y verificación de la adecuación del nivel de acceso asignado al propósito del negocio

Nombre y Apellidos: AUDITORIA

Página 16

CONTROL DE ACCESO

Cargo que ocupa actualmente: Documento de autorización de usuario: (nombre, tipo y numero) Propietario de un sistema o servicio de información: Documento donde da a conocer los derechos de acceso que posee el usuario: (nombre, tipo y numero) d) la petición a los usuarios para que reconozcan con su firma la comprensión d e las condiciones de acceso; e) la garantía de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorización;


de

d) la petición a los usuarios para que reconozcan con su firma la comprensión de las condiciones de acceso; e) la garantía de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorización;







Guía de Implementación de la petición a los usu arios para que reconozcan con su firma la comprensión de las condiciones de acceso y la garantía de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorización;

Nombre y Apellidos: Cargo que ocupa actualmente: Documento de petición para que reconozca con una firma las condiciones de acceso Responsable de autorizar la petición (nombre, apellidos y área de trabajo) AUDITORIA

Página 17

CONTROL DE ACCESO

Requisitos para peticionar que se acepte mediante una firma las condiciones de acceso Descripción del proceso de autorización del pedido Mediante qué proceso se garantiza que no habrá acceso a información al menos que concluya la autorización (descripción breve) Documento de autorización exitosa de acceso a informacion Responsable de emitir la autorización f) el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminación inmediata de las autorizaciones de acceso a lo s usuarios que dejan la organización o cambien de trabajo en ella;


de

f)

el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminación inmediata de las autorizaciones de acceso a los usuarios que dejan la organización o cambien de trabajo en ella;







Guía de Implementación del mantenimiento de un registro de cuentas autorizadas

Área o departamento encargado del mantenimiento de las cuentas autorizadas: Jefe dela área: Documento de registro de cada una de las cuentas autorizadas: AUDITORIA

Página 18

CONTROL DE ACCESO

Responsable de realizar el registro de las cuenta autorizadas Documento de reporte del mantenimiento de las cuentas autorizadas.(con la descripción de errores o anomalías encontradas) Guía de Implementación de eliminación de cuentas autori zadas en caso de retiro de la organización

Nombre y Apellidos: Cargo que ocupaba: Documento de autorización de eliminación de cuenta autorizada Responsable de realizar la eliminación de la cuenta autorizada Motivo por la cual se está eliminando la cuenta autorizada

  

Retiro de la organización Reubicación dentro de la organización Otros (indicar)______________________

h) la revisión periódica y eliminación de identificadores y cuentas de usuario redundantes (véase el inciso 11.2.4); i) la garantía de no reasignación a otros usuarios de los identificadores de usuario redundantes.


de

h) la revisión periódica y eliminación de identificadores y cuentas de usuario redundantes (véase el inciso 11.2.4); i) la garantía de no reasignación a o tros usuarios de los identificadores de usuario redundantes.






AUDITORIA


Página 19

CONTROL DE ACCESO

Guía de Implementación de la revisión periódica y e liminación de identificadores y cuentas de usuario redundantes la garantía de n o reasignación a otros usuarios de los identificadores de usuario redundantes. Revisión de cuentas de usuario

Área o departamento encargado de la revisión periódica y eliminación de identificadores de cuentas de usuario redundantes. Jefe de área o departamento: Documento de registro de las cuentas de usuario redundantes Responsable de realizar la revisión de las cuentas redundantes Frecuencia con la que se realiza la revisión de cuentas redundantes

Documento de reporte de la revisión de las cuentas redundantes

Diaria  Semanal  Mensual  Periódicamente _____________  Nunca 

¿cuándo?

E liminación de cuentas redundantes

Documento de autorización de eliminación de cuentas redundantes Documento que conformidad con la eliminación de las cuentas redundantes Responsable de la eliminación de las cuentas redundantes (nombres, apellidos y área de trabajo)

11.2.2.GESTIÓN DE PRIVILEGIOS Control Debería restringirse y controlarse el uso y asignación de privilegios.

Guía de Implementación

AUDITORIA

Página 20

CONTROL DE ACCESO

Se debería controlar la asignación de privilegios por un proceso formal de autorización en los sistemas multiusuario. Se deberían considerar los pasos siguientes: a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicación; así como las categorías de empleados que necesitan de ellos; b) asignar privilegios a los individuos según los principios de necesidad de su uso y caso por caso y en línea con la política de control de acceso (véase el inciso 11.1.1), por ejemplo, el requisito mínimo para cumplir su función sólo cuando se necesite; c) mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido; d) promover el desarrollo y uso de rutinas del sistema para evitar la asignación de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; f) asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal.

Otra información Un uso inapropiado de los privilegios de la administración del sistema (cualquier característica o facilidad de un sistema de información que habilite al usuario sobrescribir los controles del sistema o de la aplicación) pueden ser un gran factor contribuidor de fallas o aberturas en los sistemas.

AUDITORIA

Página 21

CONTROL DE ACCESO

a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicación; así como las categorías de empleados que nece sitan de ellos;


de

CONTROL:

a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicación; así como las categorías de empleados que necesitan de ellos;

Debería restringirse y controlarse el uso y asignación de privilegios.






Guía de Implementación de identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicación; así como las categorías de empleados que necesitan de ellos;

Responsable de asignar los privilegios a los elementos del sistema (nombre, apellidos y área de trabajo) Privilegios del sistema

Privilegios de sistema Privilegios del gestor Privilegios de las Privilegios de la red y sus conexiones operativo de base de datos aplicaciones

Perfil de acceso

Perfil de acceso necesario para acceder a los privilegios del sistema operativo

AUDITORIA

Perfil de acceso necesario para acceder a los privilegios del gestor de base de datos

Perfil de acceso necesario para acceder a los privilegios de las aplicaciones

Perfil de acceso necesario para acceder a los privilegios de la red y sus conexiones

Página 22

CONTROL DE ACCESO

b) asignar privilegios a los individuos según los principios de necesidad de su uso y caso por caso y en línea con la política de control de acceso (véase el inciso 11.1.1), por ejemplo, el requisito mínimo para cumplir su función sólo cuando se necesite;


de

b) asignar privilegios a los individuos según los principios de necesidad de su uso y caso por caso y en línea con la política de control de acceso (véase el inciso 11.1.1), por ejemplo, el requisito mínimo para cumplir su función sólo cuando se necesite;


CONTROL: SUPERVISOR: AUDITOR:





Guía de Implementación de asignar privilegios a los individuos según los principios de necesidad de su uso y caso por caso y en línea con la política de control de acceso, por ejemplo, el requisito mínimo para c umplir su función sólo cuando se necesite;

Nombres y Apellidos Cargo que ocupa actualmente Documento de asignación de privilegios Responsable de la asignación de privilegios Descripción breve de la necesidad de asignación de privilegios (nombre, tipo y numero) Documento de compromiso de usar el privilegio solo en necesidad (nombre, tipo y numero) c) mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido;

ACTIVIDAD: (guía AUDITORIA

de

c) mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta Página 23

CONTROL DE ACCESO

implementación) CONTROL:






que el proceso de autorización haya concluido;


Guía de Implementación de mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido;

Responsable del proceso de autorización y registro de privilegios (nombres, apellidos y área de trabajo) Cargo que ocupa actualmente Documento donde se describe el proceso de autorización de privilegios Fecha de aprobación del documento de proceso de autorización Documento de registro de los privilegios asignados a los usuarios Método que garantiza que no se dan privilegios hasta que concluya el proceso de autorización Documento que certifica que el proceso de autorización concluyo exitosamente Fecha de aprobación de documento de termino de proceso de autorización d) promover el desarrollo y uso de rutinas del sistema para evitar la asignación de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios;

ACTIVIDAD: (guía implementación) CONTROL: SUPERVISOR: AUDITORIA

de

d) promover el desarrollo y uso de rutinas del sistema para evitar la asignación de privilegios a los usuarios; e) promover el desarrollo y uso de p rogramas que evitan la necesidad de correr con privilegios;

Debería restringirse y controlarse el uso y asignación de privilegios. Ing. Emilio Palomino Olivera Página 24

CONTROL DE ACCESO

AUDITOR:

___________________________




Guía de Implementación de promover el desarrollo y uso de rutinas del sistema para evitar la asignación de privilegios a los usuarios y promover el desarrollo y uso de programas que evitan la necesidad de corre r con privilegios;

Responsable de desarrollo de sistemas: (nombres, apellidos y cargo) Enumeración de nuevos proyectos que Nombre de prevengan la asignación de privilegios a Proyecto usuarios

Responsable del proyecto

Presupuesto

Responsable del proyecto

Presupuesto

Frecuencia de convocatorias de proyectos (indicar si son días, meses, semanas, etc) Enumeración de proyectos que están a Nombre de prueba en la organización Proyecto

Indicar las aplicaciones que no necesitan Aplicaciones la asignación de privilegios.

Responsables

f) asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal.


de

f)

asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal.






AUDITORIA


Página 25

CONTROL DE ACCESO

Guía de Implementación de asignar los privilegios a un identificador de u suario distinto al asignado para un uso normal.

Nombre y Apellidos Cargo que ocupa actualmente

Identificador que posee el usuario

Identificador de usuario individual

Identificador Identificador de grupo sin de grupo con privilegios privilegios

Documento de autorización de asignación de un identificador de grupo con privilegios (nombre, tipo y numero) Responsable de autorización de asignación de identificador de grupo con privilegios

11.2.3.GESTIÓN DE CONTRASEÑAS DE USUARIO Control Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal.

Guía de Implementación El proceso debe incluir los siguientes requisitos: a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseñas personales y las compartidas por un grupo sólo entre los miembros de ese grupo (compromiso que podría incluirse en los términos y condiciones del contrato de empleo, véase el inciso 8.1.3); b) proporcionar inicialmente una contraseña temporal segura (véase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente después; c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contraseña nueva, de reemplazo o temporal;

AUDITORIA

Página 26

CONTROL DE ACCESO

d) establecer un conducto seguro para hacer llegar las contraseñas temporales a los usuarios. Se debería evitar su envío por terceros o por mensajes no cifrados de correo electrónico; e) las contraseñas temporales deben ser únicas para cada individuo y no deben ser obvias; f) los usuarios deberían remitir acuse de recibo de sus contraseñas; g) las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin ser protegidos; h) las contraseñas por defecto de los vendedores deben ser alteradas después de la instalación de los sistemas o software.

Otra Información Las contraseñas son un medio común de verificar la identidad del usuario antes de que el acceso a un sistema de información o servicio sea dado de acuerdo a la autorización del usuario. Se deben considerar, si son apropiadas, otras tecnologías para identificación y autentificación de usuario como las biométricas (como la verificación de huellas, la verificación de la firma) o el uso de dispositivos hardware (como las tarjetas inteligentes). a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseñas personales y las compartidas por un grupo sólo entre los miembros de ese grupo (compromiso que podría incluirse en los términos y condiciones del contrato de empleo, véase el inciso 8.1.3);


de

a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseñas personales y l as compartidas por un grupo sólo entre lo s miembros de ese grupo (compromiso que podría incluirse en los tér minos y condiciones del contrato de empleo, véase el inciso 8. 1.3);

CONTROL:

Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal.






Guía de Implementación de asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal.

Nombre y Apellidos Cargo que ocupa actualmente AUDITORIA

Página 27

CONTROL DE ACCESO

Usuario: Identificador de usuario Identificador grupal Identificador Documento de compromiso (donde indica no debe ser divulgado la contraseña personal y grupal) (nombre, tipo y numero) Responsable de hacer cumplir el compromiso Fecha de aceptación del documento de compromiso b) proporcionar inicialmente una contraseña temporal segura (véase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente después;


de

b) proporcionar inicialmente una contraseña temporal segura (véase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente después;







Guía de Implementación de proporcionar inicialmente una contraseña te mporal segura que forzosamente deben cambiar inmediatamente después;

Nombre y Apellidos: Cargo que ocupa actualmente Usuario: Contraseña temporal: Documento donde indica la necesidad de cambiar la contraseña temporal (nombre, tipo y numero) AUDITORIA

Página 28

CONTROL DE ACCESO

Fecha de entrega del documento Responsable de la divulgación del documento Fecha de aceptación del cambio de contraseña c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contraseña nueva, de reemplazo o temporal; d) establecer un conducto seguro para hacer llegar las contraseñas temporales a los usuarios. Se debería evitar su envío por terceros o por mensajes no cifrados de correo electrónico;


CONTROL:

de

c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contraseña nueva, de reemplazo o temporal; d) establecer un conducto seguro para hacer llegar las contraseñas temporales a los usuarios. Se debería evitar su envío por terceros o por mensajes no cifrados de correo electrónico;







Guía de Implementación de establecer procedimientos para verificar la identidad de un usuario antes de proveer una contraseña nueva, de reemplazo o temporal y establecer un conducto seguro para hacer llegar las contraseñas temporales a los usuarios. Se debería evitar su envío por terceros o por mensajes no cifrados de correo electrónico; Para restablece o cambia la contraseña es necesario:

Ingresar usuario: Ingresar contraseña: Ingresar una respuesta secreta: Documento donde indica los procedimiento para el cambio o restablecimiento de la contraseña (nombre, tipo y numero) AUDITORIA

Página 29

CONTROL DE ACCESO

Responsable o área responsable de difundir el documento La petición de cambio o restablecimiento de contraseña es mediante:

correo electrónico publico  correo electrónico de la organización  mensaje de texto  otros ¿indicar?_________________ ¿Cree usted que es seguro? _______________________________ _______________________________ _______________________________ 

e) las contraseñas temporales deben ser únicas para cada individuo y no deben ser obvias; f) los usuarios deberían remitir acuse de re cibo de sus contraseñas;


de

CONTROL:

e) las contraseñas temporales deben ser únicas para ca da individuo y no deben ser obvias; f) los usuarios deberían remitir acuse de recibo de sus contraseñas;







Guía de Implementación de las contraseñas temporales deben ser únicas para cada individuo y no deben ser obvias y los usuarios deberían remitir acuse de re cibo de sus contraseñas;

Usuario : Contraseña temporal : Las contraseñas temporales son únicas. Describa Las contraseñas temporales contienen:

 

AUDITORIA

nombres apellidos Página 30

CONTROL DE ACCESO

fechas deducibles  números telefónicos  palabras deducible Si selecciono alguno, ¿Cree usted que las contraseñas son seguras? ¿Por qué? ______________________________ ______________________________ ______________________________ 

Con que frecuencia realiza el cambio de su contraseña Tras realizar un cambio de contraseña recibe algún tipo de notificación de satisfacción. Describa g) las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin ser protegidos; h) las contraseñas por defecto de los vendedores deben ser alteradas después de la instalación de los sistemas o software.


de

CONTROL:

g) las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin ser protegidos; h) las contraseñas por defecto de los vendedores deben ser alteradas después de la instalación de los sistemas o software.







Guía de Implementación de las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin ser protegidos y las contraseñas por defecto de los vendedores deben ser alteradas después de la in stalación de los sistemas o software. Protección de las contraseñas

Usuario : Nombres y Apellidos : AUDITORIA

Página 31

CONTROL DE ACCESO

Cargo que ocupa actualmente: Responsable de la protección de las contraseñas de los usuarios (nombres, apellidos y cargo que ocupa) Documento donde indica todo software o sistema adquirido después de su instalación debe cambiarse sus contraseñas. Responsable de la divulgación del documento Fecha del cambio de contraseñas de los software o sistemas adquiridos

11.2.4.REVISIÓN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS Control La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios.

Guía de Implementación La revisión de los derechos de acceso de usuario debería considerar las siguientes pautas: a) revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y después de cualquier cambio como promoción, degradación o termino del empleo (véase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organización; c) revisar más frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales (véase el inciso 11.2.2); d) comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados; e) los cambios en las cuentas privilegiadas deben ser registradas para una revisión periódica.

Otra Información Es necesario revisar regularmente los derechos de los accesos de los usuarios para mantener un control efectivo del acceso a los datos y los sistemas de información.

a) revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y después de cualquier cambio como promoción, degradación o termino del empleo (véase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organización; AUDITORIA

Página 32

CONTROL DE ACCESO


CONTROL:

a) revisar los derechos de acceso de los usuarios a intervalos de de tiempo regulares (se recomienda cada seis meses) y después de cualquier cambio como promoción, degradación o termino del empleo (véase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organización; La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios.






Guía de Implementación de revisión de derechos de acceso de usuarios y reasignación de derechos de acceso

Área o departamento encargado de la revisión de los derechos de acceso de los usuarios: Responsable del área: Revisión de derechos de acceso

Indicar en motivo por el cual se está llevando a cabo una revisión :

     

Cambio de promoción Degradación de un empleado Ascensión de un empleado Retiro de la organización de un empleado Está Programado la revisión Otros

Documento de registro de los derechos accesos: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes después de la revisión (nombres apellidos y área de trabajo) AUDITORIA

Página 33

CONTROL DE ACCESO

Reasignación de derechos de acceso

Nombre y apellidos: Cargo actual que ocupa: Documento de reasignación de derechos de acceso Responsable de autorizar reasignación de derechos. (nombre, apellidos área de trabajo) Motivo de reasignación de derechos de acceso

    

Cambio de promoción Degradación Ascensión Retiro de la organización Otros

Documento de aprobación de reasignación de derecho de accesos

c) revisar más frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales (véase el inciso 11.2.2); ACTIVIDAD: c) revisar más frecuentemente (se recomienda cada tres meses) (guía de las autorizaciones de derechos de acceso con privilegios implementación) especiales (véase el inciso 11.2.2); CONTROL: La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios. SUPERVISOR: AUDITOR:





Guía de Implementación de revisar más frecuentemente los derechos de acceso con privilegios de usuarios

Área o departamento encargado de la revisión de los derechos de acceso de los usuarios: AUDITORIA

Página 34

CONTROL DE ACCESO

Responsable del área: Revisión de derechos de acceso con privilegios

Frecuencia con la cual revisan los derechos de acceso con privilegios:

   

Documento de registro de los derechos accesos con privilegios: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes después de la revisión (nombres apellidos y área de trabajo)



Diaria Semanal Mensual Periódicamente ¿cuándo? ________________ Nunca

d) comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados; ACTIVIDAD: d) comprobar las asignaciones de privilegios a intervalos de (guía de tiempo regulares para asegurar que no se han obtenido implementación) privilegios no autorizados CONTROL: La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera SUPERVISOR: AUDITOR: ___________________________ FECHA DE INICIO 11/01/2012



Guía de Implementación de comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados

Nombre y Apellidos: Cargo que ocupaba: Cargo que ocupa actualmente: AUDITORIA

Página 35

CONTROL DE ACCESO

Responsable de reasignar los derechos de acceso con privilegios (nombres, apellidos y área de trabajo) Documento de reasignación de privilegios de derechos de acceso Fecha de ultima asignación de privilegios Fecha de la reasignación de privilegios Fecha de caducidad de los privilegios

e) los cambios en las cuentas privilegiadas deben ser registradas para una revisión periódica. ACTIVIDAD: e) los cambios en las cuentas privilegiadas deben ser registradas (guía de para una revisión periódica. implementación) CONTROL: La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios. SUPERVISOR: AUDITOR:





Guía de Implementación de los cambios en l as cuentas privilegiadas deben ser registradas para una revisión periódica.

Responsable de la revisión de cuentas privilegiadas: Documento de registro de los cambios en las cuentas privilegiadas: (nombre, tipo y numero) Frecuencia con la que se realiza la revisión de las cuentas AUDITORIA

 

Diaria Semanal Página 36

CONTROL DE ACCESO

privilegiadas:

 

Documento de reporte de los cambios en las cuentas con privilegios y observaciones halladas (nombre, tipo y numero )



Mensual Periódicamente ¿cuándo? ________________ Nunca

11.1.1 PARTE 2

11.3 RESPONSABILIDADES DE LOS USUARIOS OBJETIVO: Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la Información y de las instalaciones del procesamiento de información. Una protección eficaz necesita la cooperación de los usuarios autorizados. Los usuarios deberían ser conscientes de sus responsabilidades en el mantenimiento de la eficacia de las medidas de control de acceso, en particular respecto al uso de contraseñas y a la seguridad del material puesto a su disposición. Un escritorio limpio, así como una política de pantalla clara debe ser implementado con el fin de reducir el riesgo de acceso no autorizado o de daño a los papeles, medios e instalaciones del procesamiento de información.

AUDITORIA

Página 37

CONTROL DE ACCESO

11.3.1 USO DE CONTRASEÑAS CONTROL Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas.

GUÍA DE IMPLEMENTACIÓN Todos los usuarios deberían ser informados acerca de: a) mantener la confidencialidad de las contraseñas; b) evitar guardar registros (papel, archivos de software o dispositivos) de las contraseñas, salvo si existe una forma segura de hacerlo y el método de almacenamiento ha sido aprobado. c) cambiar las contraseñas si se tiene algún indicio de su vulnerabilidad o de la del sistema. d) seleccionar contraseñas de buena calidad, con una longitud mínima caracteres,que sean: 1) fáciles de recordar; 2) no estén basadas en algo que cualquiera pueda adivinar u obtener usando información relacionada con el usuario, por ejemplo, nombres, fechas de nacimiento, números de teléfono, etc.; 3) no sean vulnerables a ataques de diccionario (no consisten en palabras incluidas en diccionarios); 4) estén carentes de caracteres consecutivos repetidos o que sean todos números o todas letras; e) cambiar las contraseñas a intervalos de tiempo regulares o en proporción al número de accesos (las contraseñas de las cuentas con privilegios especiales deberían cambiarse con más frecuencia que las normales), evitando utilizar contraseñas antiguas o cíclicas. f) cambiar las contraseñas temporales asignadas para inicio, la primera vez que se ingrese al sistema. AUDITORIA

Página 38

CONTROL DE ACCESO

g) no incluir contraseñas en ningún procedimiento automático de conexión, que, las deje almacenadas permanentemente. h) no compartir contraseñas de usuario individuales. i) no utilizar la misma contraseña para propósitos personales o de negocio.

ACTIVIDA 11.3.1 USO DE CONTRASEÑAS D: CONTROL Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. GUÍA DE IMPLEMENTACIÓN FECHA DE DURACION 1 INICIO 10/01/2012 H D

S

M

SUPERVISOR: Supervisor1 Cargo: Cargo1

DUR ACIO N

GUÍA DE IMPLEMENTACIÓN A) Mantener la confidencialidad de las contraseñas

Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Fecha de Fecha de Nro: Nro. Documento: user creación de caducidad contraseña 1 Resol. N° ssss Trabajador01 ¿? Tamaño de la contraseña 10/01/2012

AUDITORIA

descripcion

Firma de Razón de Acceso

Nombre y Apellidos

Firma Encargado (Los acceso)

La contraseña 10 asignada no debe ser divulgada a tercerosn porni Página 39

CONTROL DE ACCESO

B )

Evitar guardar registros (papel, archivos de software o dispositivos) de las contraseñas,

salvo si existe una forma segura de hacerlo y el método de almacenamiento ha sido aprobado.

Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Contraseña Equipo1: Identificador Acceso

Nro:

Nro. Documento: ID

Fecha de Acceso

Tiempo de Acceso Razón de Acceso Nombre Apellidos

y Firma Encargado (Los acceso)

10/01/2012 ) C ambiar C

las contraseñas si se tiene algún indicio de su vulnerabilidad o de la del

sistema

Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro:

Nro. Documento: ID

AUDITORIA

de Id Contraseña Equipo1: Identificador Acceso Página 40

CONTROL DE ACCESO

Fecha de Acceso



10/01/2012 D )

Seleccionar contraseñas de buena calidad, con una longitud mínima caracteres,que

sean:

1) fáciles de recordar; 2) no estén basadas en algo que cualquiera pueda adivinar u obtener usando información relacionada con el usuario, por ejemplo, nombres, fechas de nacimiento, números de teléfono, etc.; 3) no sean vulnerables a ataques de diccionario (no consisten en palabras incluidas en diccionarios); 4) estén carentes de caracteres consecutivos repetidos o que sean todos números o todas letras


Nro:

Nro. Documento: ID

Fecha de Acceso



10/01/2012

AUDITORIA

Página 41

CONTROL DE ACCESO

) C ambiar E

las contraseñas a intervalos de tiempo regulares o en proporción al número

de accesos (las contraseñas de las cuentas con privilegios especiales deberían cambiarse con más frecuencia que las normales), evitando utilizar contraseñas antiguas o cíclicas


Nro:

Nro. Documento: ID

Fecha de Acceso



10/01/2012 ) C ambiar F

las contraseñas temporales asignadas para inicio, la primera vez que se

ingrese al sistema


Nro. Documento: ID

AUDITORIA

de Id Contraseña Equipo1: Identificador Acceso

Página 42

CONTROL DE ACCESO

Fecha de Acceso



10/01/2012 G) No incluir contraseñas en ningún procedimiento automático de conexión, que, las deje almacenadas permanentemente


Nro:

Nro. Documento: ID

Fecha de Acceso



10/01/2012 ) No compartir contraseñas de H

usuario individuales.


Nro. Documento: ID AUDITORIA

de Id Contraseña Equipo1: Identificador Acceso Página 43

CONTROL DE ACCESO

Fecha de Acceso



10/01/2012 I) no utilizar la misma contraseña para propósitos personales o de negocio.

Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. Guía de implementación no utilizar la misma contraseña para propósitos personales o de negocio.

ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Contraseña Equipo1: Identificador Acceso

Nro:

Nro. Documento: ID

Fecha de Acceso



10/01/2012

11.3.2 EQUIPO INFORMÁTICO DE USUARIO DESATENDIDO CONTROL Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos.

AUDITORIA

Página 44

CONTROL DE ACCESO

GUÍA DE IMPLEMENTACIÓN Todos los usuarios y proveedores de servicios deberían conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, así como sus responsabilidades para implantar dicha protección. Se les debería recomendar: a) cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contraseña para protector de pantalla; b) desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesión (y no sólo apagar el terminal o el computador personal); c) proteger el terminal o el puesto de trabajo cuando no estén en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contraseña de acceso

OTRA INFORMACIÓN El equipo instalado en áreas de usuarios, como las estaciones de trabajo o los servidores de archivo, pueden requerir protección específica para un acceso no autorizado cuando se desatienda por un periodo extenso. ACTIVIDAD:

11.3.2 EQUIPO INFORMÁTICO DE USUARIO DESATENDIDO

CONTROL

Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos. GUÍA DE IMPLEMENTACIÓN


DURACION 1 H D

S

M


DUR ACIO N

GUÍA DE IMPLEMENTACIÓN a) cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contraseña para protector de pantalla.

AUDITORIA

Página 45

CONTROL DE ACCESO

Control Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos. Guía de implementación implementación cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contraseña para protector de pantalla. ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, así como sus responsabilidades para implantar dicha protección. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso

Fecha de Acceso

Nombre Tiempo invertido Razón de Acceso Apellidos


10/01/2012

b) desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesión (y no sólo apagar el terminal o el computador personal).

Control Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos. Guía de implementación implementación Desconectar (log-off) los servidores o los computadores computadores centrales cuando se ha terminado la sesión (y no sólo apagar el terminal o el computador personal). ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, así como sus responsabilidades para implantar dicha protección. RESPONSABLE: AUDITORIA

Página 46

CONTROL DE ACCESO

SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Equipo1: Identificador Acceso

Nro:

Nro. Documento: ID

Fecha de Acceso



10/01/2012

c) proteger el terminal o el puesto de trabajo cuando no estén en uso con un bloqueador de teclado o una medida similar, similar, por ejemplo, una contraseña de acceso

Control Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos. Guía de implementación implementación proteger el terminal o el puesto de trabajo cuando no estén en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contraseña contraseña de acceso ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, así como sus responsabilidades para implantar dicha protección. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso

Fecha de Acceso

AUDITORIA


y Firma Encargado (Los acceso) Página 47

CONTROL DE ACCESO

10/01/2012

11.3.3 POLÍTICA DE PANTALLA Y ESCRITORIO LIMPIO CONTROL Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.

GUÍA DE IMPLEMENTACIÓN La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información (véase el inciso 7.2), los requerimientos legales y contractuales (véase el inciso 15.1), los riesgos correspondientes y los aspectos culturales de la organización. Las siguientes pautas deben ser ser consideradas: a) la información critica o sensible del negocio (papel o medios electrónicos de almacenamiento) debe ser asegurada (sería ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vacía. b) los computadores y terminales deben ser apagados o protegidos con un mecanismo de protección de pantalla o de teclado controlado por contraseña u otro mecanismo de autentificación, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseñas u otro tipo de d e control cuando no sean utilizados. u tilizados. c) los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos. d) debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologías de reproducción como scanner o cámaras digitales. AUDITORIA

Página 48

CONTROL DE ACCESO

e) los documentos que contienen información sensible y clasificada deben ser removidos de las impresoras de inmediato.

OTRA INFORMACIÓN Una política de pantalla y escritorio limpio reduce los riegos de un acceso no autorizado y de la pérdida o daño de la información durante horas de trabajo no establecidas. Las cajas fuertes u otras formas de instalaciones de almacenamiento pueden también proteger información almacenada contra desastres como incendio, terremotos, inundación u explosión. Considere el uso de impresoras con código pin de modo tal que los creadores sean los únicos que puedan sacar sus impresiones y solo cuando se encuentren al costado de la impresora. ACTIVIDAD:

11.3.3 POLÍTICA DE PANTALLA Y ESCRITORIO LIMPIO

CONTROL

Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.

GUÍA DE IMPLEMENTACIÓN FECHA DE INICIO 10/01/2012

DURACION 1 H D

S

M


DUR ACIO N

GUÍA DE IMPLEMENTACIÓN a) la información crítica o sensible del negocio (papel o medios electrónicos de almacenamiento) debe ser asegurada (sería ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vacía

AUDITORIA

Página 49

CONTROL DE ACCESO

Control Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.

Guía de implementación la información crítica o sensible del negocio (papel o medios electrónicos de almacenamiento) debe ser asegurada (sería ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vacía

ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización.

RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012

de Id Tipo Seguridad Equipo1: Identificador Acceso

Nro:

Nro. Documento: ID

Fecha de Acceso

Tiempo invertido Razón de Acceso Nombre Apellidos


10/01/2012

b) los computadores y terminales deben ser apagados o protegidos con un mecanismo de protección de pantalla o de teclado controlado por contraseña u otro mecanismo de autentificación, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseñas u otro tipo de control cuando no sean utilizados


AUDITORIA

Página 50

CONTROL DE ACCESO

Guía de implementación los computadores y terminales deben ser apagados o protegidos con un mecanismo de protección de pantalla o de teclado controlado por contraseña u otro mecanismo de autentificación, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseñas u otro tipo de control cuando no sean utilizados ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso

Fecha de Acceso



10/01/2012

c) los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos;


Guía de implementación los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos;

ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera AUDITORIA

Página 51

CONTROL DE ACCESO

FECHA INICIO: 10/01/2012

FECHA FIN: 10/01/2012 de Id Tipo Seguridad Equipo1: Identificador Acceso

Nro:

Nro. Documento: ID

Fecha de Acceso



10/01/2012 d) debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologías de reproducción como scanner o cámaras digitales


Guía de implementación debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologías de reproducción como scanner o cámaras digitales

ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso

Fecha de Acceso



10/01/2012 AUDITORIA

Página 52

CONTROL DE ACCESO

e) los documentos que contienen información sensible y clasificada deben ser re movidos de las impresoras de inmediato.

Control Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información. Guía de implementación los documentos que contienen información sensible y clasificada deben ser removidos de las impresoras de inmediato. ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso

Fecha de Acceso



10/01/2012

11.4 CONTROL DE ACCESO A LA RED OBJETIVO: Prevenir el acceso no autorizado de los servicios de la red. Debería controlarse el acceso a los servicios a las redes internas y externas.

AUDITORIA

Página 53

CONTROL DE ACCESO

Hay que asegurarse que el acceso de los usuarios a las redes y sus servicios no comprometan la seguridad de dichos servicios, por medio de: a) interfaces adecuadas entre la red de la organización y las redes públicas o las privadas de otras organizaciones; b) mecanismos adecuados de autenticación para los usuarios y los equipos; c) control de los accesos de los usuarios a los servicios de información

11.4.1 POLÍTICA DE USO DE LOS SERVICIOS DE LA RED CONTROL Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica.

GUÍA DE IMPLEMENTACIÓN Se debería formular la política de uso de las redes y los servicios de la red, que es conveniente que cubra: a) las redes y los servicios de la red a los que se puede acceder; b) los procedimientos de autorización para determinar quién puede acceder a qué redes y a qué servicios de la red; c) los controles y procedimientos de gestión para proteger el acceso a las conexiones de las redes y a los servicios de la red; d) los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La política debería ser coherente con la política de control de accesos de la organización (véase el inciso 11.1). ACTIVIDAD:

11.4.1 POLÍTICA DE USO DE LOS SERVICIOS DE LA RED AUDITORIA

Página 54

CONTROL DE ACCESO

CONTROL

Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica. GUÍA DE IMPLEMENTACIÓN


DURACION 1 H D

S

M


DUR ACIO N

GUÍA DE IMPLEMENTACIÓN a) las redes y los servicios de la red a los que se puede acceder.

Control Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica. Guía de implementación Las redes y los servicios de la red a los que se pueden acceder.

ACTIVIDAD: Se debería formular la política de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Red Nro: Nro. Documento: ID Equipo1: Identificador Acceso

Fecha de Acceso

AUDITORIA



Página 55

CONTROL DE ACCESO

b) los procedimientos de autorización para determinar quién puede acceder a qué redes y a qué servicios de la red.

Control Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica. Guía de implementación los procedimientos de autorización para determinar quién puede acceder a qué redes y a qué servicios de la red. ACTIVIDAD: Se debería formular la política de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Red Nro: Nro. Documento: ID Equipo1: Identificador Acceso

Fecha de Acceso



c) los controles y procedimientos de gestión para proteger el acceso a las conexiones de las redes y a los servicios de la red.

Control Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica. Guía de implementación los controles y procedimientos de gestión para proteger el acceso a las conexiones de las redes y a los servicios de la red. ACTIVIDAD: Se debería formular la política de uso de las redes y los servicios de la red, que es AUDITORIA

Página 56

CONTROL DE ACCESO

conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012

de Id Red Equipo1: Identificador Acceso

Nro:

Nro. Documento: ID

Fecha de Acceso



d) los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto).

La política debería ser coherente con la política de control de accesos de la organización (véase el inciso 11.1).

Control Los

usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica.

Guía de implementación los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La política debería ser coherente con la política de control de accesos de la organización

ACTIVIDAD: Se debería formular la política de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Red Nro: Nro. Documento: ID Equipo1: Identificador Acceso

AUDITORIA

Página 57

CONTROL DE ACCESO

Fecha de Acceso



11.4.2 AUTENTIFICACIÓN DE USUARIO PARA CONEXIONES EXTERNAS CONTROL Se deben utilizar métodos apropiados de autentificación para controlar el acceso de usuarios remotos

GUÍA DE IMPLEMENTACIÓN La autentificación de usuarios remoto puede realizarse utilizando, por ejemplo, una técnica basada en criptografía, símbolos de hardware o un protocolo de desafío/respuesta. Se pueden encontrar posibles implementaciones de dichas técnicas en varias soluciones de redes privadas virtuales. También se pueden utilizar líneas privadas dedicadas, con el fin de proveer aseguramiento en la fuente de conexiones. Los procedimientos y controles de dial-back por ejemplo, usando módems de dial-back, pueden ofrecer protección contra conexiones no autorizadas ni deseadas a los recursos de tratamiento de información de una organización. Este tipo de control autentica a los usuarios que tratan de establecer conexión a la red de la organización desde lugares remotos. Cuando se usa este control, la organización no debería usar servicios de red que incluyan reexpedición de llamadas y si la tienen, deberían desconectarla para evitar la debilidad consecuente. También es importante que el proceso de dial-back asegure la desconexión del lado de la organización. Si no, el usuario remoto podría mantener la línea abierta pretendiendo que se ha verificado el dial-back. Los procedimientos y controles de dial-back deberían pasar pruebas para evitar esta posibilidad. Un nodo de autentificación puede servir como un medio alternativo para autentificar grupos de usuarios remotos donde estén conectados a un computador seguro. Las

AUDITORIA

Página 58

CONTROL DE ACCESO

técnicas criptográficas, basados en certificados de maquinas, pueden ser utilizados para autentificar nodos. Controles adicionales de autentificación deben ser implementados para el control de acceso de redes inalámbricas. En particular, se requiere especial cuidado en la selección de controles para redes inalámbricas debido a las grandes oportunidades de intercepciones no detectadas e inserciones de tráfico en la red.

OTRA INFORMACIÓN Las conexiones externas proveen un potencial acceso no autorizado a la información del negocio, como los accesos mediante métodos de discado. Existen diferentes tipos de métodos de autentificación y algunos pueden proveer un mayor nivel de protección que otros, como por ejemplo los métodos basados en técnicas criptográficas las cuales pueden proveer una fuerte autentificación. Es importante determinar, desde una evaluación de riesgos, el nivel de protección requerida. Esto es necesario para la apropiada selección de un método de autentificación. Una instalación para una conexión automática a un computador remoto puede proveer una forma de ganar acceso no autorizado a una aplicación de negocio. Estos es especialmente importante si la conexión usa una red que se encuentra fuera del control de la gestión de seguridad de la organización.

11.4.3 identificación de los servicios de redes. Control Las identificaciones automáticas de equipo deben ser consideradas como medio para autentificar conexiones desde locales y equipos específicos.

Guía de implementación La identificación de equipos puede ser utilizada si es importante que las comunicaciones puedan ser iniciadas desde un local y equipos especifico. Un identificador dentro o adjunto al equipo puede ser utilizado para indicar si el equipo está autorizado para AUDITORIA

Página 59

CONTROL DE ACCESO

conectarse a la red. Puede ser necesario considerar protección física del equipo con el fin de mantener la seguridad de los identificadores del equipo.

Otra información. Este control puede ser complementado con otras técnicas para autentificar el usuario del equipo. La identificación de los equipos pueden ser aplicado adicionalmente a la identificación del usuario. C ontrol Las identificaciones automáticas de equipo deben ser consideradas como

medio para autentificar

conexiones desde locales y equipos específicos. Guía de implementación La identificación de equipos puede ser utilizada si e s importante que las comunicaciones puedan ser iniciadas desde un local y equipos especifico. Un identificador dentro o adjunto al equipo puede ser utilizado para indicar si el equipo está autorizado para conectarse a la red. Puede ser necesario considerar protección física del equipo con el fin de mantener la seguridad de los identificadores del equipo.

ACTIVIDAD: Control acceso a la red RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro:

Nro. Documento:

ID Equipo1:

Identificador de Acceso

Id Red

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


Notas: Mediante el presente documento el usuario confirma: 1. El usuario se hace responsable de lo firmado

11.4.4 Diagnósticos remotos y configuración de puertos. Control Se debería controlar el acceso físico y logístico para diagnosticar y configurar puertos. AUDITORIA

Página 60

CONTROL DE ACCESO

Guía de implementación Controles potenciales para el acceso de diagnostico y configuración de puertos incluyen el uso de un cierre de llave y de procedimientos de apoyo para controlar el acceso físico al puerto. Un ejemplo para dicho procedimiento de apoyo es asegurar que el diagnostico y configuración de puertos sean solo accesibles por arreglo entre el director del servicio de computo y el personal de mantenimiento de hardware/software que requiere acceso. Los puertos, servicios e instalaciones similares instaladas en una computadora o instalación de computo no son requeridas específicamente para la funcionabilidad del negocio, debe ser inhabilitado o removido.

Otra información. Muchos sistemas de computo, sistemas de red y de comunicaciones son instaladas con un diagnostico remoto o instalación de configuración para uso de ingenieros de mantenimiento. Si se encuentra desprotegida, el diagnostico de puertos provee medios de acceso no autorizado. C ontrol

Se debería controlar el acceso físico y logístico para diagnosticar y configurar puertos.

ACTIVIDAD: Diagnósticos remotos y configuración de puertos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro:

Nro. Documento:

ID Equipo:

Puertos

Procedimientos

Puerto 1

Procedimiento 1

Puerto 2

Procedimiento 2

Puerto 3 AUDITORIA

Página 61

CONTROL DE ACCESO

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


11.4.5 Segregación en las redes. Control Los grupos de servicios de información, usuarios y sistemas de información deben ser segregados en las redes.

Guía de implementación Un método para controlar la seguridad de grandes redes es dividirlas en dominios lógicos separados (por ejemplo dominios de redes internas a la organización o de redes externas), cada uno protegido por un perímetro definido de seguridad. Se puede aplicar un conjunto graduado de controles en diferentes dominios de redes lógicas para segregar a futuro los ambientes de seguridad de red, como por ejemplo sistemas públicos accesibles, redes internas y activos críticos. Los dominios deben ser definidos basados en una evaluación de riesgos y los diferentes requisitos de seguridad entre cada uno de los dominios. Entre las redes a interconectar puede implantarse como perímetro un Gateway seguro que controle los accesos y los flujos de información entre los dominios. Se debería configurar este Gateway para que filtre el tráfico entre ellos y bloquee los accesos no autorizados de acuerdo con la política del control de accesos de la organización. Un ejemplo de este tipo de Gateway es lo que comúnmente se conoce como firewall. Otro método de segregar dominios lógicos es restringir el acceso a red utilizando redes virtuales privadas para usuarios de grupos entre las organizaciones. Las redes pueden ser segregadas también utilizando la funcionabilidad de los dispositivos de red como el cambio de IP. Los dominios separados pueden ser implementados después controlando los flujos de datos utilizando capacidades de enrutamiento como las listas de control de acceso. AUDITORIA

Página 62

CONTROL DE ACCESO

Los criterios para segregar las redes en dominios se deberían basar en la política de control de accesos y en los requisitos de acceso teniendo también en cuenta el costo relativo y el impacto en el rendimiento por la incorporación de la tecnología adecuada de enrutamiento de Gateway en la red. En adición, la segregación de redes en dominios debe ser basado en el valor y clasificación de la información almacenada o procesada en la red, niveles de confianza o líneas de negocio con el fin de reducir el impacto total de una interrupción de servicio. Se debe tomar consideración con las redes inalámbricas desde una red interna hacia una privada. Como los perímetros de las redes inalámbricas no están bien definidos, se de llevar a cabo una evaluación de riesgos en dichos casos para identificar controles (una fuerte autentificación, métodos criptográficos y frecuencia de selección) para mantener una segregación de red.

Otra información. Las redes han sido crecientemente extendidas mas allá de las barreras organizaciones tradicionales, como se forman alianzas de negocios que puedan requerir la interconexión o el compartir las instalaciones de red y de procesamiento de información. Estas extensiones pueden incrementar el riesgo de un acceso no autorizado a los sistemas de información existentes que utilizan la red, algunos de los cuales pueden requerir protección de otros usuarios de redes debido a su sensibilidad o criticidad. C ontrol Los

grupos de servicios de información, usuarios y sistemas de información deben ser segregados en las redes.

ACTIVIDAD: Segregación en las redes RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.:

AUDITORIA

Nro. Documento:

Dominio

Gateway de Dominio

Dominio Basado en:

Página 63

CONTROL DE ACCESO

Modulo 1

-IP -Otro

Nro. Documentos Segregación de redes

Nro. Documentos Evaluación de riesgos

Fecha de Acceso

Tiempo de Acceso

Modulo 2 Modulo 3

Razón de Acceso

Nombre y Apellidos


11.4.6 Control de conexiones a las redes. Control Los requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organización, se deberían basar en los requisitos de las aplicaciones del negocio.

Guía de implementación Los derechos de acceso de los usuarios deben ser mantenidos y actualizados como requiere la política de control de accesos. La capacidad de conexión de los usuarios pueden ser restringido a través de entradas que filtren el trafico por medio de tablas o reglas pre definidas. Algunas de las aplicaciones a las cuales las que se debe aplicar las restricciones son: a) b) c) d)

Correo Electrónico. Transferencia de archivos. Acceso interactivo. Acceso a las aplicaciones.

AUDITORIA

Página 64

CONTROL DE ACCESO

Se debe considerar vincular los derechos de acceso a red en ciertos periodos del día o en fechas.

Otra información. Puede ser requerida, por la política de control de acceso para redes compartidas, las incorporaciones de controles para restringir las capacidades de conexión de los usuarios especialmente a través de las fronteras de la organización.

Control Los

requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organización, se d eberían basar en los requisitos de las aplicaciones del negocio.

ACTIVIDAD: Control de conexiones a las redes- Correo Electrónico RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.:

Fecha de Acceso

Nro. Documento:

Tiempo de Acceso

Correo electrónico

Razón de Acceso

Módulos de Acceso

Módulos Cambiados

Modulo 1

Modulo 1

Modulo 2 Modulo 3 Nombre y Apellidos

Modulo 2 Modulo 3 Firma Encargado (Los acceso)

C ontrol

Los requisitos de la política de control de ac cesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organ ización, se deberían basar en los requisitos d e las aplicaciones del negocio.

ACTIVIDAD: Control de conexiones a las redes- Acceso Interactivo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera AUDITORIA

Página 65

CONTROL DE ACCESO

FECHA INICIO: Nro.:

Fecha de Acceso

FECHA FIN: IdEquipo Nro. Documento: Recepcionante

Tiempo de Acceso

Razón de Acceso

Módulos de Acceso

Archivos Transferidos

Modulo 1

Doc1


Doc2 Modulo 3 Firma Encargado (Los acceso)

C ontrol

Los requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organ ización, se deberían basar en los requisitos d e las aplicaciones del negocio.

ACTIVIDAD: Control de conexiones a las redes- Acceso Interactivos RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.:

Nro. Documento:

Fecha de Acceso

Equipo 1

Tiempo de Acceso

Equipo 2

Razón de Acceso

Módulos de Acceso 1

Módulos de Acceso 2

Modulo 1

Doc1


Doc2 Modulo 3 Firma Encargados (Los acceso)

C ontrol

Los requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organ ización, se deberían basar en los requisitos d e las aplicaciones del AUDITORIA

Página 66

CONTROL DE ACCESO

negocio.

ACTIVIDAD: Control de conexiones a las redes- Acceso a las Aplicaciones RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Aplicación/Nro: Módulos de Nro.: Nro. Documento: Equipo Documentos Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nro Veces Accediento

Modulo 1

Doc1


Doc2 Modulo 3 Firma Encargados (Los acceso)

11.4.7 Control de enrutamiento en la red. Control Se deberían implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso a las aplicaciones.

Guía de implementación Los controles de enrutamiento podrían basarse en mecanismo positivos de verificación de las direcciones de origen y destino de los mensajes.

Otra información.

AUDITORIA

Página 67

CONTROL DE ACCESO

Las redes compartidas, especialmente las que se extienden a través de las fronteras de la organización, pueden requerir controles de enrutamiento adicionales. Esto aplica particularmente cuando las redes son compartidas con usuarios externos. C ontrol

Se deberían implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso a las aplicaciones.

ACTIVIDAD: Control de conexiones a las redes- Correo Electrónico RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.:

Nro. Documento:

IdMensaje

Origen

Destino

Política de Enrutamiento

Nro. Documentos

Fecha de Instalación

Tiempo en Funcionamiento

Modificación

Modulo 1 Modulo 2 Modulo 3 Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


11.5 Control de acceso al sistema operativo OBJETIVO: Evitar accesos no autorizados a los computadores. Las prestaciones de seguridad a nivel de sistema operativo se deberían utilizar para restringir el acceso a los recursos del computador. Estos servicios deberían ser capaces de: a) identificar y verificar la identidad de cada usuario autorizado en concordancia con una política definida de control de acceso;. AUDITORIA

Página 68

CONTROL DE ACCESO

b) registrar los accesos satisfactorios y fallidos al sistema. c) registrar el uso de privilegios especiales del sistema. d) alarmas para cuando la política del sistema de seguridad sea abierta. e) suministrar mecanismos, adecuados de autenticación. f) cuando proceda, restringir los tiempos de conexión de usuarios. 11.5.1

Procedimiento de C onexión a Terminales

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de Implementación Se debería diseñar un procedimiento para conectarse al sistema informático que minimice la posibilidad de accesos no autorizados. Por tanto, el proceso de conexión debería mostrar el mínimo posible de información sobre el sistema para no facilitar ayuda innecesaria a usuarios no autorizados. Un buen procedimiento de conexión debería: a) no mostrar identificación del sistema o aplicación hasta que termine el proceso de conexión. b) mostrar un mensaje que advierta la restricción de acceso al sistema sólo a usuarios autorizados. c) no ofrecer mensajes de ayuda durante el proceso de conexión que puedan guiar a usuarios no autorizados. d) validar la información de conexión sólo tras rellenar todos sus datos de entrada. Si se produce una condición de error, el sistema no debería indicar qué parte de esos datos es correcta o no. e) limitar el número de intentos fallidos de conexión (se recomienda tres) y considerar: 1) el registro de los intentos fallidos de conexión.

AUDITORIA

Página 69

CONTROL DE ACCESO

2) un tiempo forzoso de espera antes de permitir un nuevo intento de conexión o su rechazo sin una autorización específica. 3) la desconexión de la comunicación de datos. 4) el envío de un mensaje de alerta a la consola del sistema si se alcanza el número máximo de oportunidades de conexión. 5) establecer el número de pruebas de contraseña en conjunción con su largo mínimo y el valor de los sistemas que están siendo protegidos. f) limitar los tiempos máximo y mínimo permitidos para efectuar el proceso de conexión; y concluir si se exceden. g) mostrar la siguiente información tras completar una conexión con éxito: 1) fecha y hora de la anterior conexión realizada con éxito. 2) información de los intentos fallidos desde la última conexión realizada con éxito. h) no mostrar la contraseña que se ingresa o considerar esconderla con caracteres simbólicos. i) no transmitir contraseñas en texto legible a través de la red. ACTIVIDAD: CONTROL

11.5.1

Procedimiento de C onexión a Terminales

El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. GUÍA DE IMPLEMENTACIÓN

FECHA DE INICIO Haga clic aquí para escribir una fecha.

DURACION Elija un elemento.

H

D

S

M


DUR ACIO N

A) No mostrar identificación del sistema o aplicación hasta que termine el proceso de conexión

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación No mostrar identificación del sistema o aplicación hasta que termine el proceso de conexión AUDITORIA

Página 70

CONTROL DE ACCESO

ACTIVIDAD: Ocultar datos del Usuario RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante su conexión al sistema: 1. El sistema no muestra sus datos hasta que la conexión finalice. B ) Mostrar un

mensaje que advierta la restricción de acceso al sistema sólo a usuarios

autorizados.

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Mostrar un mensaje que advierta la restricción de acceso al sistema sólo a usuarios autorizados. ACTIVIDAD: Mantener una Conexión segura RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema muestra mensajes de restricción de acceso solo a usuarios autorizados. AUDITORIA

Página 71

CONTROL DE ACCESO

) no ofrecer mensajes de ayuda durante el C

proceso de conexión que puedan guiar a usuarios no

autorizados.

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación No ofrecer mensajes de ayuda durante el proceso de conexión que puedan guiar a usuarios no autorizados. ACTIVIDAD: Limitar mensajes de ayuda RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema no cuenta con una guía de ayuda de modo que se evita el acceso a usuarios no autorizados. D ) validar la información de conexión

sólo tras rellenar todos sus datos de entrada. Si se

produce una condición de error, el sistema no debería indicar qué parte de esos datos es correcta o no.

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Validar la información de conexión sólo tras rellenar todos sus datos de entrada. Si se produce una condición de error, el sistema no debería indicar qué parte de esos datos es correcta o no. ACTIVIDAD: Limitar información de datos incorrectos RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Id Contraseña Nro: Nro. Documento: ID Equipo1: Acceso AUDITORIA

Página 72

CONTROL DE ACCESO

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con una validación de entrada de datos. 2. La validación no muestra donde se encuentra el error en caso de un acceso erróneo.

) Limitar E

el número de intentos fallidos de conexión (se recomienda tres).

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Limitar el número de intentos fallidos de conexión (se recomienda tres). ACTIVIDAD: Limitar el numero de intentos fallidos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. AUDITORIA

Página 73

CONTROL DE ACCESO

Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con una validación de entrada de datos. 2. Existe un límite de intentos fallidos los cuales son registrados por el sistema los cuales en caso de exceder desconectan el sistema. 3. Existe en tiempo forzoso de reconexión después de la desconexión previa. ) limitar los tiempos máximo y F

mínimo permitidos para efectuar el proceso de conexión; y

concluir si se exceden.

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Limitar los tiempos máximo y mínimo permitidos para efectuar el proceso de conexión; y concluir si se exceden. ACTIVIDAD: Limitar el tiempo de conexión al sistema. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con límite de tiempo de acceso. G) Mostrar información de fecha y hora de la anterior conexión e información de los intentos fallidos desde la última conexión.

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Mostrar información de fecha y hora de la anterior conexión e información de los intentos fallidos desde la última conexión. ACTIVIDAD: Mostrar datos desde la ultima conexión. RESPONSABLE: AUDITORIA

Página 74

CONTROL DE ACCESO

SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema muestra información de fecha y hora la cual es referente de los intentos fallidos desde la última conexión.

) no mostrar la contraseña que se ingresa o consi derar esconderla con caracteres simbólicos. H

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación No mostrar la contraseña que se ingresa o considerar esconderla con caracteres simbólicos. ACTIVIDAD: Ocultar contraseña. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso

Fecha de Acceso

AUDITORIA

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


Página 75

CONTROL DE ACCESO

Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con un método el cual oculta las contraseñas. 2. El método esconde las contraseñas con caracteres simbólicos. I) no transmitir contraseñas en texto legible a través de la red.

Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación No transmitir contraseñas en texto legible a través de la red. ACTIVIDAD: Ocultar contraseña. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con un método de cifrado de contraseñas. 2. El cifrado convierte las contraseñas en texto ilegible a través de la red. 11.5.2 Identificación y autenticación del usuario

Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de Implementación

AUDITORIA

Página 76

CONTROL DE ACCESO

Este control debe ser aplicado para todos los tipos de usuario (incluidos los administradores de red y de bases de datos, los programadores de sistemas y el personal técnico de apoyo). Los ID de los usuarios deben ser utilizados para seguir la pista de las actividades de cada responsable individual. Las actividades regulares del usuario no deben ser realizadas desde cuentas privilegiadas. En circunstancias excepciona1es que se justifiquen por sus ventajas pueden usarse identificadores de usuario compartidos para un grupo de usuarios o un trabajo específico. En estos casos se debería necesitar la aprobación escrita de la gerencia. Puede necesitarse la implantación de controles adicionales para la responsabilidad. Los ID´s genéricos utilizados por individuos deben ser solo permitidos donde las funciones o acciones llevadas a cabo no requieren ser trazadas (como la lectura) o cuando existan otros controles establecidos (contraseñas genéricas utilizadas solamente por un grupo de personas a la vez y conectándose en dicho momento). Donde se requiera una fuerte autentificación e identificación, se pueden utilizar métodos alternativos a las contraseñas como medios criptográficos, tarjetas inteligentes o medios biométricos. ACTIVIDAD # 11.5.2 Identificación y autenticación del usuario (guía de implementacion ) CONTROL Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos.



H

D

S

M


DUR ACIO N

A) Los I D de los usuarios deben ser utilizados para seguir la pista de las actividades de cada responsable individual. Las actividades regulares del usuario no deben ser realizadas desde cuentas privilegiadas.

AUDITORIA

Página 77

CONTROL DE ACCESO

Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de implementación Los ID de los usuarios deben ser utilizados para seguir la pista de las actividades de cada responsable individual. Las actividades regulares del usuario no deben ser realizadas desde cuentas privilegiadas. ACTIVIDAD: Limitar actividades regulares. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso

Fecha de Acceso

Nombre y Apellidos


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que: 1. El sistema cuenta con un control de cuentas privilegiadas. 2. Las actividades regulares de los usuarios no se realizan desde cuentas privilegiadas.

B )

E n

circunstancias excepcionales que se justifiquen por sus ventajas pueden usarse

identificadores de usuario compartidos para un grupo de usuarios o un trabajo específico.

E n

estos casos se debería necesitar la aprobación escrita de la gerencia. Puede necesitarse la implantación de controles adicionales para la responsabilidad.

Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de implementación En circunstancias excepcionales que se justifiquen por sus ventajas pueden usarse identificadores de usuario compartidos para un grupo de usuarios o un trabajo específico. En estos casos se debería necesitar la aprobación escrita de la gerencia. Puede necesitarse la implantación de controles adicionales para la responsabilidad. ACTIVIDAD: Responsabilidad de acceso de usuarios compartidos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera AUDITORIA

Página 78

CONTROL DE ACCESO

FECHA INICIO: Haga clic aquí para escribir una fecha.

FECHA FIN: Haga clic aquí para escribir una fecha. Identificador de Nro. Documento: ID Equipo1: Acceso

Nro:

Fecha de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. El sistema cuenta con identificadores de usuarios compartidos para un grupo de usuarios o un trabajo. ) Los I D´ s C

genéricos utilizados por individuos deben ser solo permitidos donde las funciones o

acciones llevadas a cabo no requieren ser trazadas (como la lectura) o cuando existan otros controles establecidos (contraseñas genéricas utilizadas solamente por un grupo de personas a la vez y conectándose en dicho momento).

Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de implementación Los ID´s genéricos utilizados por individuos deben ser solo permitidos donde las funciones o acciones llevadas a cabo no requieren ser trazadas (como la lectura) o cuando existan otros controles establecidos (contraseñas genéricas utilizadas solamente por un grupo de personas a la vez y conectándose en dicho momento). ACTIVIDAD: Responsabilidad de acceso de usuarios genéricos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso

Fecha de Acceso

Nombre y Apellidos


Haga clic aquí para escribir una fecha. AUDITORIA

Página 79

CONTROL DE ACCESO

Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. Se tiene un control de permisos de IDs genéricos. 2. Existen controles para acceder con contraseñas genéricas. D ) Donde

se requiera una fuerte autentificación e identificación, se pueden utilizar métodos

alternativos a las contraseñas como medios criptográficos, tarjetas inteligentes o medios biométricos.

Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de implementación Donde se requiera una fuerte autentificación e identificación, se pueden utilizar métodos alternativos a las contraseñas como medios criptográficos, tarjetas inteligentes o medios biométricos. ACTIVIDAD: Otros métodos de identificación. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso

Fecha de Acceso

Nombre y Apellidos


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. Existen otros métodos de identificación con métodos alternativos a las contraseñas. 2. El usuario utiliza estos métodos alternativos.

11.5.3

Sistema de gestión de contraseñas

Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de Implementación AUDITORIA

Página 80

CONTROL DE ACCESO

Un buen sistema de gestión de contraseñas debería: a) imponer el uso de contraseñas individuales con el fin de establecer responsabilidades. b) permitir que los usuarios escojan sus contraseñas, las cambien e incluyan un procedimiento de confirmación para evitar errores al introducirlas. c) imponer la selección de contraseñas de calidad (véase el inciso 11.3.1). d) imponer el cambio de contraseñas (véase el inciso 11.3.1). e) imponer el cambio de contraseñas iniciales en la primera conexión (véase el inciso 11.2.3). f) mantener un registro de las anteriores contraseñas utilizadas, por ejemplo, durante el último año, e impedir su reutilización. g) no mostrar las contraseñas en la pantalla cuando se están introduciendo. h) almacenar las contraseñas y los datos del sistema de aplicaciones en sitios distintos. i) almacenar las contraseñas en forma cifrada mediante un algoritmo de cifrado unidireccional. ACTIVIDAD: CONTROL

11.5.3 Sistema de gestión de contraseñas Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. GUÍA DE IMPLEMENTACIÓN



H

D

S

M


DUR ACIO N

A) Imponer el uso de contraseñas individuales con el fin de establecer responsabilidades.

Control Los

sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e i nteractivo para asegurar la calidad de las mismas.

Guía de implementación

Imponer el uso de contraseñas individuales con el fin de establecer responsabilidades.

ACTIVIDAD: Imponer contraseñas para establecer contraseñas. RESPONSABLE: AUDITORIA

Página 81

CONTROL DE ACCESO

SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. Se asigna a cada usuario una contraseña para establecerle responsabilidades. B )

permitir que los usuarios escojan sus contraseñas, las cambien e incluyan un procedimiento

de confirmación para evitar errores al introducirlas.

Control Los



Permitir que los usuarios escojan sus contraseñas, las cambien e incluyan un procedimiento de confirmación para evitar errores al introducirlas.

ACTIVIDAD: uso de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. El usuario tiene la facultad de escoger su contraseña así como puede modificarla. 2. Existe un procedimiento de confirmación para evitar errores en la asignación de contraseñas. AUDITORIA

Página 82

CONTROL DE ACCESO

) C

imponer la selección de contraseñas de C alidad.

Control Los



Imponer la selección de contraseñas de C alidad.


Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Ser consiente de la responsabilidad del control de acceso que tiene en su cuenta.

D )

imponer el cambio de contraseñas (véase el inciso 11.3.1).

Control Los



Imponer la selección de contraseñas de C alidad.


AUDITORIA

Id Contraseña

Página 83

CONTROL DE ACCESO

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Se le sugiere métodos de formato de contraseña. 2. Se le recomienda cambiar su contraseña periódicamente. E )

imponer el cambio de contraseñas iniciales en la primera conexión.

Control Los



Imponer el cambio de contraseñas iniciales en la primera conexión.


Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. El sistema le asigna una contraseña segura. 2. Se le impone cambiar la contraseña para su primera conexión. ) F

mantener un registro de las anteriores contraseñas utilizadas, por ejemplo, durante el último

año, e impedir su reutilización.

Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de implementación Mantener un registro de las anteriores contraseñas utilizadas, por ejemplo, durante el último año, e impedir su reutilización. AUDITORIA

Página 84

CONTROL DE ACCESO

ACTIVIDAD: Registro de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 2. El sistema cuenta con un registro de las contraseñas utilizadas. 3. Se impide la reutilización de contraseñas. G) No mostrar las contraseñas en la pantalla cuando se están introduciendo.

Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de implementación No mostrar las contraseñas en la pantalla cuando se están introduciendo.


Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. El sistema cuenta con un método para ocultar las contraseñas al ser ingresadas. AUDITORIA

Página 85

CONTROL DE ACCESO

) H

Almacenar las contraseñas y los datos del sistema de aplicaciones en sitios distintos.

Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de implementación Almacenar las contraseñas y los datos del sistema de aplicaciones en sitios distintos.


Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Los datos de sistema y los de las contraseñas se encuentran en contenedores diferentes.

I) almacenar las contraseñas en forma cifrada mediante un algoritmo de cifrado unidireccional.

Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de implementación Almacenar las contraseñas en fo rma cifrada mediante un algoritmo de cifrado unidireccional.


AUDITORIA

Id Contraseña

Página 86

CONTROL DE ACCESO

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Las contraseñas se encuentran protegidas mediante un método de cifrado.

11.5.4

Desconexión automática de sesiones

Control Las sesiones se deberían desactivar tras un periodo definido de inactividad. Guía de Implementación Este dispositivo de desactivación debería borrar la pantalla y cerrar la aplicación y las sesiones de conexión a red tras dicho periodo definido de inactividad. El tiempo de desactivación debería reflejar los riesgos de seguridad del área, la clasificación de la información que se maneja, las aplicaciones que se utilizan y los riesgos relacionados con los usuarios de lo equipos. Muchos computadores personales suelen tener limitado de alguna forma este dispositivo que borra la pantalla para evitar el acceso no autorizado, pero no cierra la aplicación o las sesiones de conexión a red. ACTIVIDAD: 11.5.4 Desconexión automática de sesiones CONTROL Las sesiones se deberían desactivar tras un periodo definido de inactividad. GUÍA DE IMPLEMENTACIÓN FECHA DE INICIO Haga clic aquí para escribir una fecha.


H

D

S

M


DUR ACIO N

A) F inalizar Sesión

Control Las

sesiones se deberían desactivar tras un periodo definido de inactividad.

AUDITORIA

Página 87

CONTROL DE ACCESO

Guía de implementación Imponer el uso de contraseñas individuales con el fin de establecer responsabilidades. ACTIVIDAD: Imponer contraseñas para establecer contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso

Fecha de Acceso

Tiempo de Acceso

Razón de Acceso

Nombre y Apellidos

Id Contraseña


Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. La sesión y las demás aplicaciones se cierran después de un periodo de inactividad.

11.5.6 Limitación del tiempo de conexión Control Las restricciones en los tiempos de conexión ofrecen seguridad adicional para aplicaciones de alto riesgo.

Guía de implementación Estas medidas de control se deberían emplear para aplicaciones sensibles, en especial para terminales instalados en áreas de alto riesgo, las públicas o no cubiertas por la gestión de seguridad de la organización. Restricciones como por ejemplo: a) El uso de ventanas de tiempo predeterminadas, por ejemplo para transmisiones de archivos batch o para sesiones interactivas regulares de corta duración. b) La restricción de tiempos de conexión al horario normal de oficina, si no existen requisitos para operar fuera de este horario c) Considerar la re-autenticación en intervalos medidos.

AUDITORIA

Página 88

CONTROL DE ACCESO

a)

E l

uso de ventanas de tiempo predeterminadas, por ejemplo para transmisiones de archivos

batch o para sesiones interactivas regulares de corta duración.

Control Las restricciones en los tiempos de co nexión ofrecen seguridad adicional para aplicaciones de alto riesgo.

Guía de implementación Estas medidas de control se deberían emplear para aplicaciones sensibles, en especial para terminales instalados en áreas de alto riesgo, las públicas o no cubiertas por la gestión de seguridad de la organización. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Uso de ventanas de tiempo predeterminados FECHA INICIO: FECHA FIN: Identificador de Hora de inicio acceso se sesión(UCT)

b)

La

Tiempo utilizado en dicha acción

Hora de cierre de sesión(UCT)

Tiempo predeterminado del sistema para utilizar dicha aplicación

Registro de aplicaciones utilizadas

restricción de tiempos de conexión al horario normal de oficina, si no existen requisitos

para operar fuera de este horario

Control Las restricciones en los tiempos de co nexión ofrecen seguridad adicional para aplicaciones de alto riesgo.

Guía de implementación Estas medidas de control se deberían emplear para aplicaciones sensibles, en especial para terminales instalados en áreas de alto riesgo, las públicas o no cubiertas por la gestión de seguridad de la organización. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Restriccion de tiempo de conexion al horario normal de oficina FECHA INICIO: FECHA FIN: Restricción de tiempo en horario normal de oficina Identificador de Hora de inicio acceso se (User) sesión(UCT) AUDITORIA





Página 89

CONTROL DE ACCESO

Operación fuera del horario de oficina Identificador de acceso (User)

Nombres y Apellidos

Identificador de Hora de inicio acceso se sesión(UCT)

Doc. Autorización



Propósito

Id Red



c) Re-autenticación en intervalos medidos Control Las restricciones en los tiempos de co nexión ofrecen seguridad adicional para aplicaciones de alto riesgo.

Guía de implementación Estas medidas de control se deberían emplear para aplicaciones sensibles, en especial para terminales instalados en áreas de alto riesgo, las públicas o no cubiertas por la gestión de seguridad de la organización. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Re-autenticación en intervalos medidos AUDITORIA

Página 90

CONTROL DE ACCESO

FECHA INICIO: Tiempo predeterminado del sistema para utilizar dicha aplicación

FECHA FIN: Identificador de acceso (User)

Validación de contraseña

Limitación de intentos fallidos

Tipo de Aplicación

11.6. Control de acceso a las aplicaciones y la información OBJETIVO: Prevenir el acceso no autorizado a la información contenida en los sistemas. Se deberían usar facilidades de seguridad lógica dentro de los sistemas de aplicación para restringir el acceso.

11.6.1. Restricción de acceso a la información Control Se debería dar acceso a la información y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una política de control de acceso definida.

Guía de Implementación Las restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organización Deberían considerarse las siguientes pautas para dar soporte a los requisitos de restricción de accesos a) Establecer menús para controlar los accesos a las funciones del sistema de aplicaciones b) Controlar los derechos de acceso de los usuarios. c) Controlar los derechos de acceso de otras aplicaciones AUDITORIA

Página 91

CONTROL DE ACCESO

d) Asegurarse que las salidas de los sistemas de aplicaciones que procesan información sensible, solo contienen la información correspondiente para el uso de la salida y se envían, únicamente, a los terminales y sitios autorizados, incluyendo la revisión periódica de dichas salidas para garantizar la supresión de información redundante

a)

E stablecer menús para controlar l os accesos a las funciones del

sistema de aplicaciones

Control Se debería dar acceso a la información y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una política de control de acceso definida.

Guía de implementación Las restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organización ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Menus para controlar los accesos a las funciones del sistema de aplicaciones FECHA INICIO: FECHA FIN: Limitan el número Nivel de seguridad Tipo de menú Tipo de acceso Tipo de personal que de intentos fallidos accede a la aplicacion de conexión

b)

C ontrolar

los derechos de acceso de los usuarios.


AUDITORIA

Página 92

CONTROL DE ACCESO

Guía de implementación Las

restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organización

ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Controlar los derechos de accesos de los usuarios FECHA INICIO: FECHA FIN: Identificador de acceso

Tipo de función del usuario

Tipo de acceso

Hora de inicio se sesión(UCT)

N° Derechos en la institución


Tipos de acceso

Identificador de Usuario



Tipo de contrato

c) Controlar los derechos de acceso de otras aplicaciones Control Se debería dar acceso a la información y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una política de control de acceso definida.


restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organización

ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Controlar los derechos de accesos de otras aplicaciones FECHA INICIO: FECHA FIN: Identificador de acceso

AUDITORIA


Tipo de acceso que permite esta función

Lista de aplicaciones que permite esta función



Página 93

CONTROL DE ACCESO

d) Asegurarse que las salidas de los sistemas de aplicaciones que procesan información sensible, solo contienen la información correspondiente para el uso de la salida y se envían, únicamente, a los terminales y sitios autorizados, incluyendo la revisión periódica de dichas salidas para garantizar la supresión de in formación redundante



restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organizac organización ión

ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Asegurarse que las salidas de los sistemas de aplicaciones que procesan información sensible, solo contienen la información correspondiente para el uso de la salida y se envían, únicamente, a los terminales y sitios autorizados, incluyendo la revisión periódica de dichas salidas para garantizar la supresión de información redundante FECHA INICIO: FECHA FIN: Identificador de acceso

Tipo de acceso que permite esta función

Control de conexión

IP de maquina principal(Maquina que emite la función)

IP de la maquina que recibe la función


11.6.2 Aislamiento de sistemas sensibles Control Los sistemas sensibles pueden necesitar entornos informáticos info rmáticos dedicados (aislados).


AUDITORIA

Página 94

CONTROL DE ACCESO

Algunos sistemas de aplicación son tan sensibles a posibles pérdidas que pueden necesitar un tratamiento especial, que corran un procesador dedicado, que solo compartan recursos con otros sistemas de aplicaciones garantizaos o que no tengan limitaciones. Las consideraciones siguientes son aplicables para el aislamiento de sistemas sensibles: a) El propietario de la aplicación debería indicar explícitamente y documentar la sensibilidad de esta b) Cuando una aplicación sensible se ejecute en un entorno compartido, se deberían identificar y acordar con su propietario los l os sistemas de aplicación con los l os que compartan recursos.

a)

E l

propietario de la aplicación debería indicar explícitamente y documentar la sensibilidad de

esta

Control Los sistemas sensibles

pueden necesitar entornos informáticos dedicados (aislados).

Guía de implementación Algunos sistemas de aplicación son tan sensibles a posibles pérdidas que pueden necesitar un tratamiento especial, que corran un procesador dedicado, que solo compartan recursos con otros sistemas de aplicaciones garantizaos o que no tengan limitaciones

ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: El propietario de la aplicación debería indicar explícitamente y documentar la sensibilidad de esta. FECHA INICIO: FECHA FIN: Nombres y Apellidos

b)

uando C uando

Doc. De confidenciabilidad

Documentación del Sistema

Cronograma de capacitación al personal

una aplicación sensible se ejecute en un entorno compartido, se deberían identificar y

acordar con su propietario los sistemas de aplicación aplicación con los que compartan recursos.

Control Los sistemas sensibles

AUDITORIA

pueden necesitar entornos informáticos dedicados (aislados).

Página 95

CONTROL DE ACCESO

Guía de implementación Algunos sistemas de aplicación son tan sensibles a posibles pérdidas que pueden necesitar necesitar un tratamiento especial, que corran un procesador dedicado, dedicado, que solo so lo compartan recursos con otros sistemas de aplicaciones garantizaos o que no tengan limitaciones

ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Cuando una aplicación sensible se ejecute en un entorno compartido, se deberían identificar y acordar con su propietario los l os sistemas de aplicación con los l os que compartan recursos. FECHA INICIO: FECHA FIN: Nombres y apellidos (propietario de la aplicación) Tipo de aplicación

Controles de conexiones

Doc. De confidenciabilidad confidenciabilidad

Control de aplicaciones


11.7. Información móvil y teletrabajo OBJETIVO: garantizar la seguridad de la información cuando se usan dispositivos de informática informática móvil y teletrabajo. teletrabajo. La protección requerida debería ser proporcional a los riesgos que causan estas formas específicas de trabajo. Se deberían considerar los riesgos de trabajar en un entorno desprotegido cuando se ida informática móvil y aplicar la protección adecuada. En el caso de teletrabajo la organización debería implantar protección en el lugar del teletrabajo y asegurar que existan los acuerdos adecuados para este tipo de trabajo

11.7.1. Información móvil y comunicaciones Control Se deberían adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática.

Guía de Implementación AUDITORIA

Página 96

CONTROL DE ACCESO

Se debería tener un especial cuidado para asegurar que la información de negocio no se comprometa cuando se usan dispositivos de informática móvil como portátiles, agendas, calculadoras y teléfonos móviles, Se deberían formalizar una política que tenga que tener en cuenta los riesgos de trabajar con dispositivos de informática móvil, especialmente en entornos desprotegidos. Dicha política debería incluir los requisitos de protección física, controles de acceso, técnicas criptografiacas, respaldos y protección antivirus. Esta política también debería incluir reglas y consejos para conectar los dispositivos de informática móvil a las redes asi como una gua para el uso de esots dispositivos de informática móvil en lugares públicos, salas de reuniones y otras areas desprotegidas. Cuando estos dispositivos se usen en lugares públicos, es importante tener cuidado para evitar el riesgo de que entren personas no autorizadas. Se deberían instalar y mantener al dia procedimientos contra el software malicioso.

Otra Información Las conexiones móviles inalámbricas son similares a otros tipos de conexiones de red, pero tienen importantes diferencias que deben ser consideradas cuando se identifican los controles. Las diferencias típicas son: a) Algunos protocolos de seguridad inalámbricos son inmaduros y se les conoce debilidades

a)

oce debilidades

Algunos protocolos de seguridad inalámbricos son inmaduros y se l es con

Control Se deberían adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática Guía de implementación Se debería tener un especial cuidado para asegurar que la información de negocio no se comprometa cuando se usan dispositivos de info rmática móvil como portátiles, agendas, calculadoras y teléfonos móvil es, Se deberían formalizar una política que tenga que tener en cuenta los riesgos de trabajar con dispositivos de informática móvil, especialmente en entornos desprotegidos.

ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Algunos protocolos de seguridad inalámbricos son inmaduros y se les conoce debilidades FECHA INICIO: AUDITORIA

FECHA FIN: Página 97

Auditoria Control de Acceso

Recommend Documents