UNIVERSIDAD NACIONAL SAN ANTONIO ABAD DEL CUSCO Carrera Profesional de Ingeniería Informática y de Sistemas
RESOLUCIÓN CONTROL DE ACCESO Tema:
RESOLUCIÓN DE CONTROLES DE ACCESO
Docente:
Ing. Emilio Emilio Palomino Olivera
Integrantes: -Ccarita Cruz Ana Maritza
081105
-Mayta Salazar Elizabeth Dioni
081110
-Palomino Flores Meluni
070714
-Ligas Ramirez Trilce
070707
-Jara Mejía Cristian Jhonathan
070705 CUSCO-PERU 2011
INDICE
INDICE
CONTROL DE ACCESO 11.1.
REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS
OBJETIVO: Controlar los accesos a la información. Se debería controlar el acceso a la iinformación nformación y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Se deberían tener en cuenta para ello las políticas de distribución de la información y de autorizaciones.
11.1.1 POLÍTICA DE CONTROL DE ACCESOS Control Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Guía de implementación implementación Se deberían establecer claramente en una política de accesos las reglas y los derechos de cada usuario o grupo de usuarios. Los controles de acceso son lógicos y físicos (véase el capítulo 9) y estos deben ser considerados juntos. Se debería dar a los usuarios y proveedores de servicios una especificación clara de los requisitos de negocio cubiertos por los controles de accesos. Esta política debería contemplar lo siguiente: a) requisitos de seguridad de cada aplicación de negocio individualmente; b) identificación de toda la información relativa a las aplicaciones y los riesgos que la información está enfrentando; c) políticas para la distribución de la información y las autorizaciones (por ejemplo, el principio de suministro sólo de la información que se necesita conocer y los niveles de seguridad para la clasificación de dicha información) (véase el inciso 7.2); d) coherencia entre las políticas de control de accesos y las políticas de clasificación de la información en los distintos sistemas y redes; e) legislación aplicable y las obligaciones contractuales respecto a la protección del acceso a los datos o servicios (véase el inciso 15.1); f) perfiles de acceso de usuarios estandarizados según las categorías comunes de trabajos; g) administración de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexión; h) segregación de los roles de control de acceso, como el pedido de acceso, autorización de acceso, administración de accesos; ac cesos;
CONTROL DE ACCESO
i) requerimientos para la autorización formal de los pedidos de acceso (véase el inciso 11.2.1); j) requerimientos para la revisión periódica de los controles de acceso (véase el inciso 11.2.4); k) retiro de los derechos de acceso (véase el inciso 8.3.3).
Otra Información Al especificar las reglas de los controles de accesos se tendrá la precaución de considerar: a) la distinción entre reglas a cumplir siempre y reglas opcionales o condicionales; b) el establecimiento de las reglas basándose en la premisa está prohibido todo lo que no esté permitido explícitamente, premisa que es contraria a la regla está permitido todo lo que no esté prohibido explícitamente, considerada más débil o más permisiva. c) los cambios en las etiquetas de información (véase el inciso 7.2) iniciadas automáticamente por los recursos del tratamiento de la información y las que inicia el usuario manualmente; d) los cambios en las autorizaciones al usuario realizados automáticamente por el sistema de información y los que realiza un administrador; e) la distinción entre reglas que requieren o no la aprobación del administrador o de otra autoridad antes de su promulgación. Las reglas de control de acceso deben ser apoyadas por procedimientos formales y por responsabilidades claramente definidos.
AUDITORIA
Página 4
CONTROL DE ACCESO
a) requisitos de seguridad de cada aplicación de negocio individualmente; b) identificación de toda la información relativa a las aplicaciones y los riesgos que la información está enfrentando;
ACTIVIDAD: (guía implementación)
de
CONTROL:
a) requisitos de seguridad de cada aplicación de negocio individualmente; b) identificación de toda la información relativa a las aplicaciones y los riesgos que la información está enfrentando;
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
OBJETIVO:
Determinar la seguridad que posee cada aplicación de negocio
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de Seguridad de la Aplicaciones
Nombre y Apellidos: Área o departamento al que pertenece: Cargo que ocupa actualmente: Parte del sistema al cual tiene derechos de Acceso:
Datos de Entrada
AUDITORIA
Redes Base de datos Información Confidencial Desarrollo de nuevos sistemas Otros ________________________________
Identificarse como usuario ___________ La contraseña que posee: Números Letras mayúsculas Letras minúsculas Texto alfanumérico
autorizado:
Página 5
CONTROL DE ACCESO
Otros ________________________________
Datos de Procesamiento
Tiempo de demora en los procesos : ___________ Numero de procesos realizados Simultáneamente: ____________
Datos de Salida
Salidas requeridas Tiempo total de respuesta:
Cómo considera usted, en general el servicio proporcionado por la aplicación?
Deficiente Aceptable Satisfactorio Excelente ¿Por qué? ______________________________ ______________________________ ______________________________ ______________________________
Qué opina de la seguridad del manejo de la información proporcionado por la aplicación?
Nula Riesgosa Satisfactoria Excelente Desconoce ¿Por qué? ______________________________ ______________________________ ______________________________ ______________________________
______________
c) políticas para la distribución de la información y las autorizaciones (por ejemplo, el principio de suministro sólo de la información que se necesita conocer y los niveles de seguridad para la clasificación de dicha información) (véase el inciso 7.2); d) coherencia entre las políticas de control de accesos y las políticas de clasificación de la información en los distintos sistemas y redes;
ACTIVIDAD: (guía implementación) AUDITORIA
de
c) políticas para la distribución de la información y las autorizaciones (por ejemplo, el principio de suministro sólo de la información que se necesita conocer y los niveles de seguridad para la clasificación de dicha infor mación) (véase el Página 6
CONTROL DE ACCESO
CONTROL:
inciso 7.2); d) coherencia entre las políticas de control de accesos y las políticas de clasificación de la información en los distintos sistemas y redes;
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de políticas para la distribución de la in formación y las autorizaciones
Nombres y Apellidos: Área o departamento al que pertenece: Cargo que ocupa actualmente: Nombre y nro. del Documento (donde se estipula las políticas de distribución de información y las autorizaciones): Fecha de conocimiento del documento (fecha en la cual usted tuvo conocimiento del documento y su contenido): Nombre del responsable o Nombre del área (persona o área de trabajo quien hizo llegar a usted dicho documento): Fecha que adquirió las autorizaciones: Nombre del Documento donde se estipula los derechos de acceso que posee: Fecha de conocimiento del documento (fecha en la cual usted tuvo conocimiento del contenido del documento): Tipos de autorización que usted posee (describa): AUDITORIA
Página 7
CONTROL DE ACCESO
Responsable de brindar las autorizaciones (Nombre y Apellidos, área de trabajo): Fecha de caducidad de las autorizaciones otorgadas: Documento de conformidad (donde acepta los derechos de acceso y autorizaciones dadas) e) legislación aplicable y las obligaciones contractuales respecto a la protección del acceso a los datos o servicios (véase el inciso 15.1);
ACTIVIDAD: (guía implementación) CONTROL:
de
e) legislación aplicable y las obligaciones contractuales respecto a la protección del acceso a los datos o servicios (véase el inciso 15.1);
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de legislación aplicable y las obligaciones contractuales respecto a la protección del acceso a los datos o servicios
Documento de Petición de acceso a los datos: Responsable de aprobar la petición de acceso de datos: Documento de aprobación a la petición: Métodos usados para proteger Usuario: ___________ el acceso a los datos o servicios: Contraseña: ___________ Nombres: ____________ Código de Autorización:____________
AUDITORIA
Página 8
CONTROL DE ACCESO
f) perfiles de acceso de usuarios estandarizados según las categorías comunes de trabajos;
ACTIVIDAD: f) perfiles de acceso de usuarios estandarizados según las cat egorías comunes de trabajos; (guía de implementación) Una política de control de acceso debe ser establecida, documentada y CONTROL: revisada y debe estar basada en los requerimientos de seguridad y del negocio. SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de perfiles de acce so de usuarios estandarizados según las categorías comunes de trabajos
Nombres y Apellidos: Área o departamento al que pertenece: Cargo que ocupa actualmente: Categoría de Trabajo:
Nombrado Contratado Practicante Asistente Auxiliar Otro ______________________________
Descripción del Perfil de Acceso: (desarrolle los permisos de acceso que posee)
Documento de descripción de perfil del usuario (nombre, tipo y numero) g) administración de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexión; AUDITORIA
Página 9
CONTROL DE ACCESO
ACTIVIDAD: (guía implementación) CONTROL:
de
g) administración de los derechos de acceso en u n entorno distribuido en red que reconozca todos los tipos disponibles de conexión;
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de administración de los derechos de a cceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexión;
Nombres y Apellidos: Área o departamento al que pertenece: Cargo que ocupa actualmente: Responsable de proporcionar derechos de acceso a la red (Nombre , Apellidos y Área de Trabajo) Documento de autorización de acceso a la red (Nombre, tipo y numero) Fecha de entrega de la autorización: h) segregación de los roles de control de acceso, como el pedido de acceso, autorización de acceso, administración de accesos;
ACTIVIDAD: (guía implementación) CONTROL: SUPERVISOR: AUDITORIA
de
h) segregación de los roles de control de acceso, como el pedido de acceso, autorización de acceso, administración de acceso s
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ Página 10
CONTROL DE ACCESO
AUDITOR: FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de segregación de los ro les de control de acceso, como el pedido de acceso, autorización de acceso, administración de acceso s
Área o departamento encargado de los controles de acceso: Jefe del área de Controles de Acceso (-nombres y apellidos) Pedido de Acceso
Documento de pedido de acceso (Nombre, tipo y numero) Responsable de autorizar el pedido (Nombre y Apellidos) Descripción de motivos de pedir acceso: Autorización de Acceso
Documento de autorización de acceso (nombre, tipo y numero) Responsable de la autorización (nombres y apellidos) Responsable de la administración de los accesos Documento de registro de los acceso al sistema por los usuarios. i) j)
requerimientos para la autorización formal de los pedidos de acceso (véase el inciso 11.2.1); requerimientos para la revisión periódica de los controles de acceso (véase el inciso 11.2.4);
ACTIVIDAD: (guía implementación) CONTROL:
AUDITORIA
de
i) j)
requerimientos para la autorización formal de los pedidos de acceso (véase el inciso 11.2.1); requerimientos para la revisión periódica de los controles de acceso (véase el inciso 11.2.4);
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos Página 11
CONTROL DE ACCESO
de seguridad y del negocio.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de requerimientos para autorización de pedidos de acceso y revisión de controles de acceso
Área o departamento encargado de los controles de acceso: Jefe del área de Controles de Acceso (-nombres y apellidos) Requisitos para autorización de pedidos de acceso
Nombres y Apellidos: Cargo que ocupa actualmente: Perfil de acceso: Documento de Petición de acceso: Descripción breve de petición de acceso: Responsable de autorizar la petición de acceso: Requisitos para revisión de los controles de acceso
Responsable de la revisión de controles de acceso: Documento de registro de los accesos: (nombre, tipo y numero) Método de realizar la revisión:
Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) AUDITORIA
Diaria Semanal Mensual Periódicamente ¿cuándo? ________________ Nunca
Página 12
CONTROL DE ACCESO
) k
retiro de los derechos de acceso (véase el inciso 8.3.3).
ACTIVIDAD: (guía implementación) CONTROL:
de
) k
retiro de los derechos de acceso (véase el inciso 8.3.3).
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de retiro de los derechos de acceso
Nombre y Apellidos: Cargo que ocupa o ocupaba: Documento de retiro de derechos de acceso: (nombre, número y tipo) Responsable de autorizar el retiro de derechos de acceso: Descripción del retiro de derechos de acceso
11.2.
reubicación dentro de la organización retiro de organización realizar actos no autorizados otros _____________________________
GESTIÓN DE ACCESO DE USUARIOS
OBJETIVO: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de información. Se debería establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberían cubrir todas las etapas del ciclo de vida del acceso de los usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios. Se debería prestar especial AUDITORIA
Página 13
CONTROL DE ACCESO
atención, donde sea apropiado, al necesario control de la asignación de derechos de acceso privilegiados que permitan a ciertos usuarios evitar los controles del sistema.
11.2.1.REGISTRO DE USUARIOS Control Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.
Guía de Implementación Se debería controlar el acceso a los servicios de información multiusuario mediante un proceso formal de registro que debería incluir: a) la utilización de un identificador único para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debería permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados; b) la comprobación de la autorización del usuario por el propietario del servicio para utilizar el sistema o el servicio de información. También puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificación de la adecuación del nivel de acceso asignado al propósito del negocio (véase el inciso 11.1) y su consistencia con la política de seguridad de la organización (por ejemplo, su no contradicción con el principio de segregación de tareas (véase el inciso10.1.3); la entrega a los usuarios de una relación escrita de sus derechos de acceso; d) la petición a los usuarios para que reconozcan con su firma la comprensión de las condiciones de acceso; e) la garantía de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorización; f) el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminación inmediata de las autorizaciones de acceso a los usuarios que dejan la organización o cambien de trabajo en ella; h) la revisión periódica y eliminación de identificadores y cuentas de usuario redundantes (véase el inciso 11.2.4); i) la garantía de no reasignación a otros usuarios de los identificadores de usuario redundantes.
Otra Información Se debería considerar el establecimiento de roles de acceso a usuario basado en requisitos de negocio que resuman un numero de derechos de acceso en un expediente típico de acceso de usuario. Los pedidos y revisiones de acceso (véase el inciso 11.2.4) son manejadas más fácilmente al nivel de dichos roles que los niveles de derechos particulares. AUDITORIA
Página 14
CONTROL DE ACCESO
Se debería considerar la inclusión de cláusulas en los contratos laborales y de servicio que especifiquen sanciones si sus signatarios realizan accesos no autorizados (véase el inciso 6.1.4 y 6.1.5). a) la utilización de un identificador único para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debería permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados;
ACTIVIDAD: (guía implementación)
de
CONTROL:
a) la utilización de un identificador único para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debería permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados;
Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de la utilización de un id entificador único para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debería permitir el uso de identificadores de grupo cuando sea conveniente para el de sarrollo del trabajo y estos deben ser aprobados y documentados
Nombre y Apellidos: Cargo que ocupa actualmente: Identificador de usuario: Identificador de grupo de trabajo: Responsabilidades que posee individualmente en la organización Responsabilidades que posee en su grupo de trabajo Documento que consta y acepta las responsabilidades implantadas AUDITORIA
Página 15
CONTROL DE ACCESO
(nombre, tipo y numero) Fecha de entrega del documento (fecha en que recibe por primera vez el documento) Responsable de área o departamento encargado de difundir dicho documento: b) la comprobación de la autorización del usuario por el propietario del servicio para utilizar el sistema o el servicio de información. También puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificación de la adecuación del nivel de acceso asignado al propósito del negocio (véase el inciso 11.1) y su consistencia con la política de seguridad de la organización (por ejemplo, su no contradicción con el principio de segregación de tareas (véase el inciso10.1.3); la entrega a los usuarios de una relación escrita de sus derechos de acceso;
ACTIVIDAD: (guía implementación)
CONTROL:
de
b) la comprobación de la autorización del usuario p or el propietario del servicio para utilizar el sistema o el servicio de información. También puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificación de la adecuación del nivel de a cceso asignado al propósito del negocio (véase el inciso 11.1) y su consistencia con la política de seguridad de la organización (por ejemplo, su no contradicción con el principio de segregación de tareas (véase el inciso10.1.3); la entrega a los u suarios de una relación escrita de sus derechos de acceso;
Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de la comprobación de la autorización del usuario para utilizar un sistema o servicio de información y verificación de la adecuación del nivel de acceso asignado al propósito del negocio
Nombre y Apellidos: AUDITORIA
Página 16
CONTROL DE ACCESO
Cargo que ocupa actualmente: Documento de autorización de usuario: (nombre, tipo y numero) Propietario de un sistema o servicio de información: Documento donde da a conocer los derechos de acceso que posee el usuario: (nombre, tipo y numero) d) la petición a los usuarios para que reconozcan con su firma la comprensión d e las condiciones de acceso; e) la garantía de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorización;
ACTIVIDAD: (guía implementación) CONTROL:
de
d) la petición a los usuarios para que reconozcan con su firma la comprensión de las condiciones de acceso; e) la garantía de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorización;
Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de la petición a los usu arios para que reconozcan con su firma la comprensión de las condiciones de acceso y la garantía de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorización;
Nombre y Apellidos: Cargo que ocupa actualmente: Documento de petición para que reconozca con una firma las condiciones de acceso Responsable de autorizar la petición (nombre, apellidos y área de trabajo) AUDITORIA
Página 17
CONTROL DE ACCESO
Requisitos para peticionar que se acepte mediante una firma las condiciones de acceso Descripción del proceso de autorización del pedido Mediante qué proceso se garantiza que no habrá acceso a información al menos que concluya la autorización (descripción breve) Documento de autorización exitosa de acceso a informacion Responsable de emitir la autorización f) el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminación inmediata de las autorizaciones de acceso a lo s usuarios que dejan la organización o cambien de trabajo en ella;
ACTIVIDAD: (guía implementación) CONTROL:
de
f)
el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminación inmediata de las autorizaciones de acceso a los usuarios que dejan la organización o cambien de trabajo en ella;
Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación del mantenimiento de un registro de cuentas autorizadas
Área o departamento encargado del mantenimiento de las cuentas autorizadas: Jefe dela área: Documento de registro de cada una de las cuentas autorizadas: AUDITORIA
Página 18
CONTROL DE ACCESO
Responsable de realizar el registro de las cuenta autorizadas Documento de reporte del mantenimiento de las cuentas autorizadas.(con la descripción de errores o anomalías encontradas) Guía de Implementación de eliminación de cuentas autori zadas en caso de retiro de la organización
Nombre y Apellidos: Cargo que ocupaba: Documento de autorización de eliminación de cuenta autorizada Responsable de realizar la eliminación de la cuenta autorizada Motivo por la cual se está eliminando la cuenta autorizada
Retiro de la organización Reubicación dentro de la organización Otros (indicar)______________________
h) la revisión periódica y eliminación de identificadores y cuentas de usuario redundantes (véase el inciso 11.2.4); i) la garantía de no reasignación a otros usuarios de los identificadores de usuario redundantes.
ACTIVIDAD: (guía implementación) CONTROL:
de
h) la revisión periódica y eliminación de identificadores y cuentas de usuario redundantes (véase el inciso 11.2.4); i) la garantía de no reasignación a o tros usuarios de los identificadores de usuario redundantes.
Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
AUDITORIA
HORA DE ENTREGA: 17:00:00
Página 19
CONTROL DE ACCESO
Guía de Implementación de la revisión periódica y e liminación de identificadores y cuentas de usuario redundantes la garantía de n o reasignación a otros usuarios de los identificadores de usuario redundantes. Revisión de cuentas de usuario
Área o departamento encargado de la revisión periódica y eliminación de identificadores de cuentas de usuario redundantes. Jefe de área o departamento: Documento de registro de las cuentas de usuario redundantes Responsable de realizar la revisión de las cuentas redundantes Frecuencia con la que se realiza la revisión de cuentas redundantes
Documento de reporte de la revisión de las cuentas redundantes
Diaria Semanal Mensual Periódicamente _____________ Nunca
¿cuándo?
E liminación de cuentas redundantes
Documento de autorización de eliminación de cuentas redundantes Documento que conformidad con la eliminación de las cuentas redundantes Responsable de la eliminación de las cuentas redundantes (nombres, apellidos y área de trabajo)
11.2.2.GESTIÓN DE PRIVILEGIOS Control Debería restringirse y controlarse el uso y asignación de privilegios.
Guía de Implementación
AUDITORIA
Página 20
CONTROL DE ACCESO
Se debería controlar la asignación de privilegios por un proceso formal de autorización en los sistemas multiusuario. Se deberían considerar los pasos siguientes: a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicación; así como las categorías de empleados que necesitan de ellos; b) asignar privilegios a los individuos según los principios de necesidad de su uso y caso por caso y en línea con la política de control de acceso (véase el inciso 11.1.1), por ejemplo, el requisito mínimo para cumplir su función sólo cuando se necesite; c) mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido; d) promover el desarrollo y uso de rutinas del sistema para evitar la asignación de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; f) asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal.
Otra información Un uso inapropiado de los privilegios de la administración del sistema (cualquier característica o facilidad de un sistema de información que habilite al usuario sobrescribir los controles del sistema o de la aplicación) pueden ser un gran factor contribuidor de fallas o aberturas en los sistemas.
AUDITORIA
Página 21
CONTROL DE ACCESO
a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicación; así como las categorías de empleados que nece sitan de ellos;
ACTIVIDAD: (guía implementación)
de
CONTROL:
a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicación; así como las categorías de empleados que necesitan de ellos;
Debería restringirse y controlarse el uso y asignación de privilegios.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicación; así como las categorías de empleados que necesitan de ellos;
Responsable de asignar los privilegios a los elementos del sistema (nombre, apellidos y área de trabajo) Privilegios del sistema
Privilegios de sistema Privilegios del gestor Privilegios de las Privilegios de la red y sus conexiones operativo de base de datos aplicaciones
Perfil de acceso
Perfil de acceso necesario para acceder a los privilegios del sistema operativo
AUDITORIA
Perfil de acceso necesario para acceder a los privilegios del gestor de base de datos
Perfil de acceso necesario para acceder a los privilegios de las aplicaciones
Perfil de acceso necesario para acceder a los privilegios de la red y sus conexiones
Página 22
CONTROL DE ACCESO
b) asignar privilegios a los individuos según los principios de necesidad de su uso y caso por caso y en línea con la política de control de acceso (véase el inciso 11.1.1), por ejemplo, el requisito mínimo para cumplir su función sólo cuando se necesite;
ACTIVIDAD: (guía implementación)
de
b) asignar privilegios a los individuos según los principios de necesidad de su uso y caso por caso y en línea con la política de control de acceso (véase el inciso 11.1.1), por ejemplo, el requisito mínimo para cumplir su función sólo cuando se necesite;
Debería restringirse y controlarse el uso y asignación de privilegios.
CONTROL: SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de asignar privilegios a los individuos según los principios de necesidad de su uso y caso por caso y en línea con la política de control de acceso, por ejemplo, el requisito mínimo para c umplir su función sólo cuando se necesite;
Nombres y Apellidos Cargo que ocupa actualmente Documento de asignación de privilegios Responsable de la asignación de privilegios Descripción breve de la necesidad de asignación de privilegios (nombre, tipo y numero) Documento de compromiso de usar el privilegio solo en necesidad (nombre, tipo y numero) c) mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido;
ACTIVIDAD: (guía AUDITORIA
de
c) mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta Página 23
CONTROL DE ACCESO
implementación) CONTROL:
Debería restringirse y controlarse el uso y asignación de privilegios.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
que el proceso de autorización haya concluido;
HORA DE ENTREGA: 17:00:00
Guía de Implementación de mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido;
Responsable del proceso de autorización y registro de privilegios (nombres, apellidos y área de trabajo) Cargo que ocupa actualmente Documento donde se describe el proceso de autorización de privilegios Fecha de aprobación del documento de proceso de autorización Documento de registro de los privilegios asignados a los usuarios Método que garantiza que no se dan privilegios hasta que concluya el proceso de autorización Documento que certifica que el proceso de autorización concluyo exitosamente Fecha de aprobación de documento de termino de proceso de autorización d) promover el desarrollo y uso de rutinas del sistema para evitar la asignación de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios;
ACTIVIDAD: (guía implementación) CONTROL: SUPERVISOR: AUDITORIA
de
d) promover el desarrollo y uso de rutinas del sistema para evitar la asignación de privilegios a los usuarios; e) promover el desarrollo y uso de p rogramas que evitan la necesidad de correr con privilegios;
Debería restringirse y controlarse el uso y asignación de privilegios. Ing. Emilio Palomino Olivera Página 24
CONTROL DE ACCESO
AUDITOR:
___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de promover el desarrollo y uso de rutinas del sistema para evitar la asignación de privilegios a los usuarios y promover el desarrollo y uso de programas que evitan la necesidad de corre r con privilegios;
Responsable de desarrollo de sistemas: (nombres, apellidos y cargo) Enumeración de nuevos proyectos que Nombre de prevengan la asignación de privilegios a Proyecto usuarios
Responsable del proyecto
Presupuesto
Responsable del proyecto
Presupuesto
Frecuencia de convocatorias de proyectos (indicar si son días, meses, semanas, etc) Enumeración de proyectos que están a Nombre de prueba en la organización Proyecto
Indicar las aplicaciones que no necesitan Aplicaciones la asignación de privilegios.
Responsables
f) asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal.
ACTIVIDAD: (guía implementación) CONTROL:
de
f)
asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal.
Debería restringirse y controlarse el uso y asignación de privilegios.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
AUDITORIA
HORA DE ENTREGA: 17:00:00
Página 25
CONTROL DE ACCESO
Guía de Implementación de asignar los privilegios a un identificador de u suario distinto al asignado para un uso normal.
Nombre y Apellidos Cargo que ocupa actualmente
Identificador que posee el usuario
Identificador de usuario individual
Identificador Identificador de grupo sin de grupo con privilegios privilegios
Documento de autorización de asignación de un identificador de grupo con privilegios (nombre, tipo y numero) Responsable de autorización de asignación de identificador de grupo con privilegios
11.2.3.GESTIÓN DE CONTRASEÑAS DE USUARIO Control Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal.
Guía de Implementación El proceso debe incluir los siguientes requisitos: a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseñas personales y las compartidas por un grupo sólo entre los miembros de ese grupo (compromiso que podría incluirse en los términos y condiciones del contrato de empleo, véase el inciso 8.1.3); b) proporcionar inicialmente una contraseña temporal segura (véase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente después; c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contraseña nueva, de reemplazo o temporal;
AUDITORIA
Página 26
CONTROL DE ACCESO
d) establecer un conducto seguro para hacer llegar las contraseñas temporales a los usuarios. Se debería evitar su envío por terceros o por mensajes no cifrados de correo electrónico; e) las contraseñas temporales deben ser únicas para cada individuo y no deben ser obvias; f) los usuarios deberían remitir acuse de recibo de sus contraseñas; g) las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin ser protegidos; h) las contraseñas por defecto de los vendedores deben ser alteradas después de la instalación de los sistemas o software.
Otra Información Las contraseñas son un medio común de verificar la identidad del usuario antes de que el acceso a un sistema de información o servicio sea dado de acuerdo a la autorización del usuario. Se deben considerar, si son apropiadas, otras tecnologías para identificación y autentificación de usuario como las biométricas (como la verificación de huellas, la verificación de la firma) o el uso de dispositivos hardware (como las tarjetas inteligentes). a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseñas personales y las compartidas por un grupo sólo entre los miembros de ese grupo (compromiso que podría incluirse en los términos y condiciones del contrato de empleo, véase el inciso 8.1.3);
ACTIVIDAD: (guía implementación)
de
a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseñas personales y l as compartidas por un grupo sólo entre lo s miembros de ese grupo (compromiso que podría incluirse en los tér minos y condiciones del contrato de empleo, véase el inciso 8. 1.3);
CONTROL:
Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal.
Nombre y Apellidos Cargo que ocupa actualmente AUDITORIA
Página 27
CONTROL DE ACCESO
Usuario: Identificador de usuario Identificador grupal Identificador Documento de compromiso (donde indica no debe ser divulgado la contraseña personal y grupal) (nombre, tipo y numero) Responsable de hacer cumplir el compromiso Fecha de aceptación del documento de compromiso b) proporcionar inicialmente una contraseña temporal segura (véase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente después;
ACTIVIDAD: (guía implementación) CONTROL:
de
b) proporcionar inicialmente una contraseña temporal segura (véase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente después;
Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de proporcionar inicialmente una contraseña te mporal segura que forzosamente deben cambiar inmediatamente después;
Nombre y Apellidos: Cargo que ocupa actualmente Usuario: Contraseña temporal: Documento donde indica la necesidad de cambiar la contraseña temporal (nombre, tipo y numero) AUDITORIA
Página 28
CONTROL DE ACCESO
Fecha de entrega del documento Responsable de la divulgación del documento Fecha de aceptación del cambio de contraseña c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contraseña nueva, de reemplazo o temporal; d) establecer un conducto seguro para hacer llegar las contraseñas temporales a los usuarios. Se debería evitar su envío por terceros o por mensajes no cifrados de correo electrónico;
ACTIVIDAD: (guía implementación)
CONTROL:
de
c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contraseña nueva, de reemplazo o temporal; d) establecer un conducto seguro para hacer llegar las contraseñas temporales a los usuarios. Se debería evitar su envío por terceros o por mensajes no cifrados de correo electrónico;
Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de establecer procedimientos para verificar la identidad de un usuario antes de proveer una contraseña nueva, de reemplazo o temporal y establecer un conducto seguro para hacer llegar las contraseñas temporales a los usuarios. Se debería evitar su envío por terceros o por mensajes no cifrados de correo electrónico; Para restablece o cambia la contraseña es necesario:
Ingresar usuario: Ingresar contraseña: Ingresar una respuesta secreta: Documento donde indica los procedimiento para el cambio o restablecimiento de la contraseña (nombre, tipo y numero) AUDITORIA
Página 29
CONTROL DE ACCESO
Responsable o área responsable de difundir el documento La petición de cambio o restablecimiento de contraseña es mediante:
correo electrónico publico correo electrónico de la organización mensaje de texto otros ¿indicar?_________________ ¿Cree usted que es seguro? _______________________________ _______________________________ _______________________________
e) las contraseñas temporales deben ser únicas para cada individuo y no deben ser obvias; f) los usuarios deberían remitir acuse de re cibo de sus contraseñas;
ACTIVIDAD: (guía implementación)
de
CONTROL:
e) las contraseñas temporales deben ser únicas para ca da individuo y no deben ser obvias; f) los usuarios deberían remitir acuse de recibo de sus contraseñas;
Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de las contraseñas temporales deben ser únicas para cada individuo y no deben ser obvias y los usuarios deberían remitir acuse de re cibo de sus contraseñas;
Usuario : Contraseña temporal : Las contraseñas temporales son únicas. Describa Las contraseñas temporales contienen:
AUDITORIA
nombres apellidos Página 30
CONTROL DE ACCESO
fechas deducibles números telefónicos palabras deducible Si selecciono alguno, ¿Cree usted que las contraseñas son seguras? ¿Por qué? ______________________________ ______________________________ ______________________________
Con que frecuencia realiza el cambio de su contraseña Tras realizar un cambio de contraseña recibe algún tipo de notificación de satisfacción. Describa g) las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin ser protegidos; h) las contraseñas por defecto de los vendedores deben ser alteradas después de la instalación de los sistemas o software.
ACTIVIDAD: (guía implementación)
de
CONTROL:
g) las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin ser protegidos; h) las contraseñas por defecto de los vendedores deben ser alteradas después de la instalación de los sistemas o software.
Se debería controlar la asignación de contraseñas por medio de un proceso de gestión formal.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de las contraseñas nunca deben ser almacenadas en sistemas de cómputo sin ser protegidos y las contraseñas por defecto de los vendedores deben ser alteradas después de la in stalación de los sistemas o software. Protección de las contraseñas
Usuario : Nombres y Apellidos : AUDITORIA
Página 31
CONTROL DE ACCESO
Cargo que ocupa actualmente: Responsable de la protección de las contraseñas de los usuarios (nombres, apellidos y cargo que ocupa) Documento donde indica todo software o sistema adquirido después de su instalación debe cambiarse sus contraseñas. Responsable de la divulgación del documento Fecha del cambio de contraseñas de los software o sistemas adquiridos
11.2.4.REVISIÓN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS Control La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios.
Guía de Implementación La revisión de los derechos de acceso de usuario debería considerar las siguientes pautas: a) revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y después de cualquier cambio como promoción, degradación o termino del empleo (véase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organización; c) revisar más frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales (véase el inciso 11.2.2); d) comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados; e) los cambios en las cuentas privilegiadas deben ser registradas para una revisión periódica.
Otra Información Es necesario revisar regularmente los derechos de los accesos de los usuarios para mantener un control efectivo del acceso a los datos y los sistemas de información.
a) revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y después de cualquier cambio como promoción, degradación o termino del empleo (véase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organización; AUDITORIA
Página 32
CONTROL DE ACCESO
ACTIVIDAD: (guía implementación)
CONTROL:
a) revisar los derechos de acceso de los usuarios a intervalos de de tiempo regulares (se recomienda cada seis meses) y después de cualquier cambio como promoción, degradación o termino del empleo (véase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organización; La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios.
SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de revisión de derechos de acceso de usuarios y reasignación de derechos de acceso
Área o departamento encargado de la revisión de los derechos de acceso de los usuarios: Responsable del área: Revisión de derechos de acceso
Indicar en motivo por el cual se está llevando a cabo una revisión :
Cambio de promoción Degradación de un empleado Ascensión de un empleado Retiro de la organización de un empleado Está Programado la revisión Otros
Documento de registro de los derechos accesos: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes después de la revisión (nombres apellidos y área de trabajo) AUDITORIA
Página 33
CONTROL DE ACCESO
Reasignación de derechos de acceso
Nombre y apellidos: Cargo actual que ocupa: Documento de reasignación de derechos de acceso Responsable de autorizar reasignación de derechos. (nombre, apellidos área de trabajo) Motivo de reasignación de derechos de acceso
Cambio de promoción Degradación Ascensión Retiro de la organización Otros
Documento de aprobación de reasignación de derecho de accesos
c) revisar más frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales (véase el inciso 11.2.2); ACTIVIDAD: c) revisar más frecuentemente (se recomienda cada tres meses) (guía de las autorizaciones de derechos de acceso con privilegios implementación) especiales (véase el inciso 11.2.2); CONTROL: La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios. SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de revisar más frecuentemente los derechos de acceso con privilegios de usuarios
Área o departamento encargado de la revisión de los derechos de acceso de los usuarios: AUDITORIA
Página 34
CONTROL DE ACCESO
Responsable del área: Revisión de derechos de acceso con privilegios
Frecuencia con la cual revisan los derechos de acceso con privilegios:
Documento de registro de los derechos accesos con privilegios: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes después de la revisión (nombres apellidos y área de trabajo)
Diaria Semanal Mensual Periódicamente ¿cuándo? ________________ Nunca
d) comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados; ACTIVIDAD: d) comprobar las asignaciones de privilegios a intervalos de (guía de tiempo regulares para asegurar que no se han obtenido implementación) privilegios no autorizados CONTROL: La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera SUPERVISOR: AUDITOR: ___________________________ FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados
Nombre y Apellidos: Cargo que ocupaba: Cargo que ocupa actualmente: AUDITORIA
Página 35
CONTROL DE ACCESO
Responsable de reasignar los derechos de acceso con privilegios (nombres, apellidos y área de trabajo) Documento de reasignación de privilegios de derechos de acceso Fecha de ultima asignación de privilegios Fecha de la reasignación de privilegios Fecha de caducidad de los privilegios
e) los cambios en las cuentas privilegiadas deben ser registradas para una revisión periódica. ACTIVIDAD: e) los cambios en las cuentas privilegiadas deben ser registradas (guía de para una revisión periódica. implementación) CONTROL: La gerencia debería establecer un proceso formal de revisión periódica de los derechos de acceso de los usuarios. SUPERVISOR: AUDITOR:
Ing. Emilio Palomino Olivera ___________________________
FECHA DE INICIO 11/01/2012
FECHA DE ENTREGA 16/01/2012
HORA DE ENTREGA: 17:00:00
Guía de Implementación de los cambios en l as cuentas privilegiadas deben ser registradas para una revisión periódica.
Responsable de la revisión de cuentas privilegiadas: Documento de registro de los cambios en las cuentas privilegiadas: (nombre, tipo y numero) Frecuencia con la que se realiza la revisión de las cuentas AUDITORIA
Diaria Semanal Página 36
CONTROL DE ACCESO
privilegiadas:
Documento de reporte de los cambios en las cuentas con privilegios y observaciones halladas (nombre, tipo y numero )
Mensual Periódicamente ¿cuándo? ________________ Nunca
11.1.1 PARTE 2
11.3 RESPONSABILIDADES DE LOS USUARIOS OBJETIVO: Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la Información y de las instalaciones del procesamiento de información. Una protección eficaz necesita la cooperación de los usuarios autorizados. Los usuarios deberían ser conscientes de sus responsabilidades en el mantenimiento de la eficacia de las medidas de control de acceso, en particular respecto al uso de contraseñas y a la seguridad del material puesto a su disposición. Un escritorio limpio, así como una política de pantalla clara debe ser implementado con el fin de reducir el riesgo de acceso no autorizado o de daño a los papeles, medios e instalaciones del procesamiento de información.
AUDITORIA
Página 37
CONTROL DE ACCESO
11.3.1 USO DE CONTRASEÑAS CONTROL Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas.
GUÍA DE IMPLEMENTACIÓN Todos los usuarios deberían ser informados acerca de: a) mantener la confidencialidad de las contraseñas; b) evitar guardar registros (papel, archivos de software o dispositivos) de las contraseñas, salvo si existe una forma segura de hacerlo y el método de almacenamiento ha sido aprobado. c) cambiar las contraseñas si se tiene algún indicio de su vulnerabilidad o de la del sistema. d) seleccionar contraseñas de buena calidad, con una longitud mínima caracteres,que sean: 1) fáciles de recordar; 2) no estén basadas en algo que cualquiera pueda adivinar u obtener usando información relacionada con el usuario, por ejemplo, nombres, fechas de nacimiento, números de teléfono, etc.; 3) no sean vulnerables a ataques de diccionario (no consisten en palabras incluidas en diccionarios); 4) estén carentes de caracteres consecutivos repetidos o que sean todos números o todas letras; e) cambiar las contraseñas a intervalos de tiempo regulares o en proporción al número de accesos (las contraseñas de las cuentas con privilegios especiales deberían cambiarse con más frecuencia que las normales), evitando utilizar contraseñas antiguas o cíclicas. f) cambiar las contraseñas temporales asignadas para inicio, la primera vez que se ingrese al sistema. AUDITORIA
Página 38
CONTROL DE ACCESO
g) no incluir contraseñas en ningún procedimiento automático de conexión, que, las deje almacenadas permanentemente. h) no compartir contraseñas de usuario individuales. i) no utilizar la misma contraseña para propósitos personales o de negocio.
ACTIVIDA 11.3.1 USO DE CONTRASEÑAS D: CONTROL Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. GUÍA DE IMPLEMENTACIÓN FECHA DE DURACION 1 INICIO 10/01/2012 H D
S
M
SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
GUÍA DE IMPLEMENTACIÓN A) Mantener la confidencialidad de las contraseñas
Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Fecha de Fecha de Nro: Nro. Documento: user creación de caducidad contraseña 1 Resol. N° ssss Trabajador01 ¿? Tamaño de la contraseña 10/01/2012
AUDITORIA
descripcion
Firma de Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
La contraseña 10 asignada no debe ser divulgada a tercerosn porni Página 39
CONTROL DE ACCESO
B )
Evitar guardar registros (papel, archivos de software o dispositivos) de las contraseñas,
salvo si existe una forma segura de hacerlo y el método de almacenamiento ha sido aprobado.
Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Contraseña Equipo1: Identificador Acceso
Nro:
Nro. Documento: ID
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012 ) C ambiar C
las contraseñas si se tiene algún indicio de su vulnerabilidad o de la del
sistema
Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro:
Nro. Documento: ID
AUDITORIA
de Id Contraseña Equipo1: Identificador Acceso Página 40
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012 D )
Seleccionar contraseñas de buena calidad, con una longitud mínima caracteres,que
sean:
1) fáciles de recordar; 2) no estén basadas en algo que cualquiera pueda adivinar u obtener usando información relacionada con el usuario, por ejemplo, nombres, fechas de nacimiento, números de teléfono, etc.; 3) no sean vulnerables a ataques de diccionario (no consisten en palabras incluidas en diccionarios); 4) estén carentes de caracteres consecutivos repetidos o que sean todos números o todas letras
Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Contraseña Equipo1: Identificador Acceso
Nro:
Nro. Documento: ID
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012
AUDITORIA
Página 41
CONTROL DE ACCESO
) C ambiar E
las contraseñas a intervalos de tiempo regulares o en proporción al número
de accesos (las contraseñas de las cuentas con privilegios especiales deberían cambiarse con más frecuencia que las normales), evitando utilizar contraseñas antiguas o cíclicas
Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Contraseña Equipo1: Identificador Acceso
Nro:
Nro. Documento: ID
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012 ) C ambiar F
las contraseñas temporales asignadas para inicio, la primera vez que se
ingrese al sistema
Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro:
Nro. Documento: ID
AUDITORIA
de Id Contraseña Equipo1: Identificador Acceso
Página 42
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012 G) No incluir contraseñas en ningún procedimiento automático de conexión, que, las deje almacenadas permanentemente
Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Contraseña Equipo1: Identificador Acceso
Nro:
Nro. Documento: ID
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012 ) No compartir contraseñas de H
usuario individuales.
Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro:
Nro. Documento: ID AUDITORIA
de Id Contraseña Equipo1: Identificador Acceso Página 43
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012 I) no utilizar la misma contraseña para propósitos personales o de negocio.
Control Los usuarios deberían seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas. Guía de implementación no utilizar la misma contraseña para propósitos personales o de negocio.
ACTIVIDAD: Control acceso a las contraseñas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Contraseña Equipo1: Identificador Acceso
Nro:
Nro. Documento: ID
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012
11.3.2 EQUIPO INFORMÁTICO DE USUARIO DESATENDIDO CONTROL Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos.
AUDITORIA
Página 44
CONTROL DE ACCESO
GUÍA DE IMPLEMENTACIÓN Todos los usuarios y proveedores de servicios deberían conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, así como sus responsabilidades para implantar dicha protección. Se les debería recomendar: a) cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contraseña para protector de pantalla; b) desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesión (y no sólo apagar el terminal o el computador personal); c) proteger el terminal o el puesto de trabajo cuando no estén en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contraseña de acceso
OTRA INFORMACIÓN El equipo instalado en áreas de usuarios, como las estaciones de trabajo o los servidores de archivo, pueden requerir protección específica para un acceso no autorizado cuando se desatienda por un periodo extenso. ACTIVIDAD:
11.3.2 EQUIPO INFORMÁTICO DE USUARIO DESATENDIDO
CONTROL
Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos. GUÍA DE IMPLEMENTACIÓN
FECHA DE INICIO 10/01/2012
DURACION 1 H D
S
M
SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
GUÍA DE IMPLEMENTACIÓN a) cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contraseña para protector de pantalla.
AUDITORIA
Página 45
CONTROL DE ACCESO
Control Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos. Guía de implementación implementación cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contraseña para protector de pantalla. ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, así como sus responsabilidades para implantar dicha protección. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso
Fecha de Acceso
Nombre Tiempo invertido Razón de Acceso Apellidos
y Firma Encargado (Los acceso)
10/01/2012
b) desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesión (y no sólo apagar el terminal o el computador personal).
Control Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos. Guía de implementación implementación Desconectar (log-off) los servidores o los computadores computadores centrales cuando se ha terminado la sesión (y no sólo apagar el terminal o el computador personal). ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, así como sus responsabilidades para implantar dicha protección. RESPONSABLE: AUDITORIA
Página 46
CONTROL DE ACCESO
SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Equipo1: Identificador Acceso
Nro:
Nro. Documento: ID
Fecha de Acceso
Nombre Tiempo invertido Razón de Acceso Apellidos
y Firma Encargado (Los acceso)
10/01/2012
c) proteger el terminal o el puesto de trabajo cuando no estén en uso con un bloqueador de teclado o una medida similar, similar, por ejemplo, una contraseña de acceso
Control Los usuarios deberían asegurar que los equipos informáticos desatendidos estén debidamente protegidos. Guía de implementación implementación proteger el terminal o el puesto de trabajo cuando no estén en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contraseña contraseña de acceso ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, así como sus responsabilidades para implantar dicha protección. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso
Fecha de Acceso
AUDITORIA
Nombre Tiempo invertido Razón de Acceso Apellidos
y Firma Encargado (Los acceso) Página 47
CONTROL DE ACCESO
10/01/2012
11.3.3 POLÍTICA DE PANTALLA Y ESCRITORIO LIMPIO CONTROL Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.
GUÍA DE IMPLEMENTACIÓN La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información (véase el inciso 7.2), los requerimientos legales y contractuales (véase el inciso 15.1), los riesgos correspondientes y los aspectos culturales de la organización. Las siguientes pautas deben ser ser consideradas: a) la información critica o sensible del negocio (papel o medios electrónicos de almacenamiento) debe ser asegurada (sería ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vacía. b) los computadores y terminales deben ser apagados o protegidos con un mecanismo de protección de pantalla o de teclado controlado por contraseña u otro mecanismo de autentificación, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseñas u otro tipo de d e control cuando no sean utilizados. u tilizados. c) los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos. d) debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologías de reproducción como scanner o cámaras digitales. AUDITORIA
Página 48
CONTROL DE ACCESO
e) los documentos que contienen información sensible y clasificada deben ser removidos de las impresoras de inmediato.
OTRA INFORMACIÓN Una política de pantalla y escritorio limpio reduce los riegos de un acceso no autorizado y de la pérdida o daño de la información durante horas de trabajo no establecidas. Las cajas fuertes u otras formas de instalaciones de almacenamiento pueden también proteger información almacenada contra desastres como incendio, terremotos, inundación u explosión. Considere el uso de impresoras con código pin de modo tal que los creadores sean los únicos que puedan sacar sus impresiones y solo cuando se encuentren al costado de la impresora. ACTIVIDAD:
11.3.3 POLÍTICA DE PANTALLA Y ESCRITORIO LIMPIO
CONTROL
Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.
GUÍA DE IMPLEMENTACIÓN FECHA DE INICIO 10/01/2012
DURACION 1 H D
S
M
SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
GUÍA DE IMPLEMENTACIÓN a) la información crítica o sensible del negocio (papel o medios electrónicos de almacenamiento) debe ser asegurada (sería ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vacía
AUDITORIA
Página 49
CONTROL DE ACCESO
Control Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.
Guía de implementación la información crítica o sensible del negocio (papel o medios electrónicos de almacenamiento) debe ser asegurada (sería ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vacía
ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización.
RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012
de Id Tipo Seguridad Equipo1: Identificador Acceso
Nro:
Nro. Documento: ID
Fecha de Acceso
Tiempo invertido Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012
b) los computadores y terminales deben ser apagados o protegidos con un mecanismo de protección de pantalla o de teclado controlado por contraseña u otro mecanismo de autentificación, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseñas u otro tipo de control cuando no sean utilizados
Control Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.
AUDITORIA
Página 50
CONTROL DE ACCESO
Guía de implementación los computadores y terminales deben ser apagados o protegidos con un mecanismo de protección de pantalla o de teclado controlado por contraseña u otro mecanismo de autentificación, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseñas u otro tipo de control cuando no sean utilizados ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso
Fecha de Acceso
Tiempo invertido Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012
c) los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos;
Control Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.
Guía de implementación los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos;
ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera AUDITORIA
Página 51
CONTROL DE ACCESO
FECHA INICIO: 10/01/2012
FECHA FIN: 10/01/2012 de Id Tipo Seguridad Equipo1: Identificador Acceso
Nro:
Nro. Documento: ID
Fecha de Acceso
Tiempo invertido Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012 d) debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologías de reproducción como scanner o cámaras digitales
Control Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.
Guía de implementación debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologías de reproducción como scanner o cámaras digitales
ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso
Fecha de Acceso
Tiempo invertido Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012 AUDITORIA
Página 52
CONTROL DE ACCESO
e) los documentos que contienen información sensible y clasificada deben ser re movidos de las impresoras de inmediato.
Control Se debería adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información. Guía de implementación los documentos que contienen información sensible y clasificada deben ser removidos de las impresoras de inmediato. ACTIVIDAD: La política de pantalla y escritorio limpio debe tomar en cuenta la clasificación de la información los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organización. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Tipo Seguridad Nro: Nro. Documento: ID Equipo1: Identificador Acceso
Fecha de Acceso
Tiempo invertido Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
10/01/2012
11.4 CONTROL DE ACCESO A LA RED OBJETIVO: Prevenir el acceso no autorizado de los servicios de la red. Debería controlarse el acceso a los servicios a las redes internas y externas.
AUDITORIA
Página 53
CONTROL DE ACCESO
Hay que asegurarse que el acceso de los usuarios a las redes y sus servicios no comprometan la seguridad de dichos servicios, por medio de: a) interfaces adecuadas entre la red de la organización y las redes públicas o las privadas de otras organizaciones; b) mecanismos adecuados de autenticación para los usuarios y los equipos; c) control de los accesos de los usuarios a los servicios de información
11.4.1 POLÍTICA DE USO DE LOS SERVICIOS DE LA RED CONTROL Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica.
GUÍA DE IMPLEMENTACIÓN Se debería formular la política de uso de las redes y los servicios de la red, que es conveniente que cubra: a) las redes y los servicios de la red a los que se puede acceder; b) los procedimientos de autorización para determinar quién puede acceder a qué redes y a qué servicios de la red; c) los controles y procedimientos de gestión para proteger el acceso a las conexiones de las redes y a los servicios de la red; d) los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La política debería ser coherente con la política de control de accesos de la organización (véase el inciso 11.1). ACTIVIDAD:
11.4.1 POLÍTICA DE USO DE LOS SERVICIOS DE LA RED AUDITORIA
Página 54
CONTROL DE ACCESO
CONTROL
Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica. GUÍA DE IMPLEMENTACIÓN
FECHA DE INICIO 10/01/2012
DURACION 1 H D
S
M
SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
GUÍA DE IMPLEMENTACIÓN a) las redes y los servicios de la red a los que se puede acceder.
Control Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica. Guía de implementación Las redes y los servicios de la red a los que se pueden acceder.
ACTIVIDAD: Se debería formular la política de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Red Nro: Nro. Documento: ID Equipo1: Identificador Acceso
Fecha de Acceso
AUDITORIA
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
Página 55
CONTROL DE ACCESO
b) los procedimientos de autorización para determinar quién puede acceder a qué redes y a qué servicios de la red.
Control Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica. Guía de implementación los procedimientos de autorización para determinar quién puede acceder a qué redes y a qué servicios de la red. ACTIVIDAD: Se debería formular la política de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Red Nro: Nro. Documento: ID Equipo1: Identificador Acceso
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
c) los controles y procedimientos de gestión para proteger el acceso a las conexiones de las redes y a los servicios de la red.
Control Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica. Guía de implementación los controles y procedimientos de gestión para proteger el acceso a las conexiones de las redes y a los servicios de la red. ACTIVIDAD: Se debería formular la política de uso de las redes y los servicios de la red, que es AUDITORIA
Página 56
CONTROL DE ACCESO
conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012
de Id Red Equipo1: Identificador Acceso
Nro:
Nro. Documento: ID
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
d) los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto).
La política debería ser coherente con la política de control de accesos de la organización (véase el inciso 11.1).
Control Los
usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica.
Guía de implementación los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La política debería ser coherente con la política de control de accesos de la organización
ACTIVIDAD: Se debería formular la política de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 de Id Red Nro: Nro. Documento: ID Equipo1: Identificador Acceso
AUDITORIA
Página 57
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso Razón de Acceso Nombre Apellidos
y Firma Encargado (Los acceso)
11.4.2 AUTENTIFICACIÓN DE USUARIO PARA CONEXIONES EXTERNAS CONTROL Se deben utilizar métodos apropiados de autentificación para controlar el acceso de usuarios remotos
GUÍA DE IMPLEMENTACIÓN La autentificación de usuarios remoto puede realizarse utilizando, por ejemplo, una técnica basada en criptografía, símbolos de hardware o un protocolo de desafío/respuesta. Se pueden encontrar posibles implementaciones de dichas técnicas en varias soluciones de redes privadas virtuales. También se pueden utilizar líneas privadas dedicadas, con el fin de proveer aseguramiento en la fuente de conexiones. Los procedimientos y controles de dial-back por ejemplo, usando módems de dial-back, pueden ofrecer protección contra conexiones no autorizadas ni deseadas a los recursos de tratamiento de información de una organización. Este tipo de control autentica a los usuarios que tratan de establecer conexión a la red de la organización desde lugares remotos. Cuando se usa este control, la organización no debería usar servicios de red que incluyan reexpedición de llamadas y si la tienen, deberían desconectarla para evitar la debilidad consecuente. También es importante que el proceso de dial-back asegure la desconexión del lado de la organización. Si no, el usuario remoto podría mantener la línea abierta pretendiendo que se ha verificado el dial-back. Los procedimientos y controles de dial-back deberían pasar pruebas para evitar esta posibilidad. Un nodo de autentificación puede servir como un medio alternativo para autentificar grupos de usuarios remotos donde estén conectados a un computador seguro. Las
AUDITORIA
Página 58
CONTROL DE ACCESO
técnicas criptográficas, basados en certificados de maquinas, pueden ser utilizados para autentificar nodos. Controles adicionales de autentificación deben ser implementados para el control de acceso de redes inalámbricas. En particular, se requiere especial cuidado en la selección de controles para redes inalámbricas debido a las grandes oportunidades de intercepciones no detectadas e inserciones de tráfico en la red.
OTRA INFORMACIÓN Las conexiones externas proveen un potencial acceso no autorizado a la información del negocio, como los accesos mediante métodos de discado. Existen diferentes tipos de métodos de autentificación y algunos pueden proveer un mayor nivel de protección que otros, como por ejemplo los métodos basados en técnicas criptográficas las cuales pueden proveer una fuerte autentificación. Es importante determinar, desde una evaluación de riesgos, el nivel de protección requerida. Esto es necesario para la apropiada selección de un método de autentificación. Una instalación para una conexión automática a un computador remoto puede proveer una forma de ganar acceso no autorizado a una aplicación de negocio. Estos es especialmente importante si la conexión usa una red que se encuentra fuera del control de la gestión de seguridad de la organización.
11.4.3 identificación de los servicios de redes. Control Las identificaciones automáticas de equipo deben ser consideradas como medio para autentificar conexiones desde locales y equipos específicos.
Guía de implementación La identificación de equipos puede ser utilizada si es importante que las comunicaciones puedan ser iniciadas desde un local y equipos especifico. Un identificador dentro o adjunto al equipo puede ser utilizado para indicar si el equipo está autorizado para AUDITORIA
Página 59
CONTROL DE ACCESO
conectarse a la red. Puede ser necesario considerar protección física del equipo con el fin de mantener la seguridad de los identificadores del equipo.
Otra información. Este control puede ser complementado con otras técnicas para autentificar el usuario del equipo. La identificación de los equipos pueden ser aplicado adicionalmente a la identificación del usuario. C ontrol Las identificaciones automáticas de equipo deben ser consideradas como
medio para autentificar
conexiones desde locales y equipos específicos. Guía de implementación La identificación de equipos puede ser utilizada si e s importante que las comunicaciones puedan ser iniciadas desde un local y equipos especifico. Un identificador dentro o adjunto al equipo puede ser utilizado para indicar si el equipo está autorizado para conectarse a la red. Puede ser necesario considerar protección física del equipo con el fin de mantener la seguridad de los identificadores del equipo.
ACTIVIDAD: Control acceso a la red RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro:
Nro. Documento:
ID Equipo1:
Identificador de Acceso
Id Red
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Notas: Mediante el presente documento el usuario confirma: 1. El usuario se hace responsable de lo firmado
11.4.4 Diagnósticos remotos y configuración de puertos. Control Se debería controlar el acceso físico y logístico para diagnosticar y configurar puertos. AUDITORIA
Página 60
CONTROL DE ACCESO
Guía de implementación Controles potenciales para el acceso de diagnostico y configuración de puertos incluyen el uso de un cierre de llave y de procedimientos de apoyo para controlar el acceso físico al puerto. Un ejemplo para dicho procedimiento de apoyo es asegurar que el diagnostico y configuración de puertos sean solo accesibles por arreglo entre el director del servicio de computo y el personal de mantenimiento de hardware/software que requiere acceso. Los puertos, servicios e instalaciones similares instaladas en una computadora o instalación de computo no son requeridas específicamente para la funcionabilidad del negocio, debe ser inhabilitado o removido.
Otra información. Muchos sistemas de computo, sistemas de red y de comunicaciones son instaladas con un diagnostico remoto o instalación de configuración para uso de ingenieros de mantenimiento. Si se encuentra desprotegida, el diagnostico de puertos provee medios de acceso no autorizado. C ontrol
Se debería controlar el acceso físico y logístico para diagnosticar y configurar puertos.
ACTIVIDAD: Diagnósticos remotos y configuración de puertos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro:
Nro. Documento:
ID Equipo:
Puertos
Procedimientos
Puerto 1
Procedimiento 1
Puerto 2
Procedimiento 2
Puerto 3 AUDITORIA
Página 61
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
11.4.5 Segregación en las redes. Control Los grupos de servicios de información, usuarios y sistemas de información deben ser segregados en las redes.
Guía de implementación Un método para controlar la seguridad de grandes redes es dividirlas en dominios lógicos separados (por ejemplo dominios de redes internas a la organización o de redes externas), cada uno protegido por un perímetro definido de seguridad. Se puede aplicar un conjunto graduado de controles en diferentes dominios de redes lógicas para segregar a futuro los ambientes de seguridad de red, como por ejemplo sistemas públicos accesibles, redes internas y activos críticos. Los dominios deben ser definidos basados en una evaluación de riesgos y los diferentes requisitos de seguridad entre cada uno de los dominios. Entre las redes a interconectar puede implantarse como perímetro un Gateway seguro que controle los accesos y los flujos de información entre los dominios. Se debería configurar este Gateway para que filtre el tráfico entre ellos y bloquee los accesos no autorizados de acuerdo con la política del control de accesos de la organización. Un ejemplo de este tipo de Gateway es lo que comúnmente se conoce como firewall. Otro método de segregar dominios lógicos es restringir el acceso a red utilizando redes virtuales privadas para usuarios de grupos entre las organizaciones. Las redes pueden ser segregadas también utilizando la funcionabilidad de los dispositivos de red como el cambio de IP. Los dominios separados pueden ser implementados después controlando los flujos de datos utilizando capacidades de enrutamiento como las listas de control de acceso. AUDITORIA
Página 62
CONTROL DE ACCESO
Los criterios para segregar las redes en dominios se deberían basar en la política de control de accesos y en los requisitos de acceso teniendo también en cuenta el costo relativo y el impacto en el rendimiento por la incorporación de la tecnología adecuada de enrutamiento de Gateway en la red. En adición, la segregación de redes en dominios debe ser basado en el valor y clasificación de la información almacenada o procesada en la red, niveles de confianza o líneas de negocio con el fin de reducir el impacto total de una interrupción de servicio. Se debe tomar consideración con las redes inalámbricas desde una red interna hacia una privada. Como los perímetros de las redes inalámbricas no están bien definidos, se de llevar a cabo una evaluación de riesgos en dichos casos para identificar controles (una fuerte autentificación, métodos criptográficos y frecuencia de selección) para mantener una segregación de red.
Otra información. Las redes han sido crecientemente extendidas mas allá de las barreras organizaciones tradicionales, como se forman alianzas de negocios que puedan requerir la interconexión o el compartir las instalaciones de red y de procesamiento de información. Estas extensiones pueden incrementar el riesgo de un acceso no autorizado a los sistemas de información existentes que utilizan la red, algunos de los cuales pueden requerir protección de otros usuarios de redes debido a su sensibilidad o criticidad. C ontrol Los
grupos de servicios de información, usuarios y sistemas de información deben ser segregados en las redes.
ACTIVIDAD: Segregación en las redes RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.:
AUDITORIA
Nro. Documento:
Dominio
Gateway de Dominio
Dominio Basado en:
Página 63
CONTROL DE ACCESO
Modulo 1
-IP -Otro
Nro. Documentos Segregación de redes
Nro. Documentos Evaluación de riesgos
Fecha de Acceso
Tiempo de Acceso
Modulo 2 Modulo 3
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
11.4.6 Control de conexiones a las redes. Control Los requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organización, se deberían basar en los requisitos de las aplicaciones del negocio.
Guía de implementación Los derechos de acceso de los usuarios deben ser mantenidos y actualizados como requiere la política de control de accesos. La capacidad de conexión de los usuarios pueden ser restringido a través de entradas que filtren el trafico por medio de tablas o reglas pre definidas. Algunas de las aplicaciones a las cuales las que se debe aplicar las restricciones son: a) b) c) d)
Correo Electrónico. Transferencia de archivos. Acceso interactivo. Acceso a las aplicaciones.
AUDITORIA
Página 64
CONTROL DE ACCESO
Se debe considerar vincular los derechos de acceso a red en ciertos periodos del día o en fechas.
Otra información. Puede ser requerida, por la política de control de acceso para redes compartidas, las incorporaciones de controles para restringir las capacidades de conexión de los usuarios especialmente a través de las fronteras de la organización.
Control Los
requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organización, se d eberían basar en los requisitos de las aplicaciones del negocio.
ACTIVIDAD: Control de conexiones a las redes- Correo Electrónico RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.:
Fecha de Acceso
Nro. Documento:
Tiempo de Acceso
Correo electrónico
Razón de Acceso
Módulos de Acceso
Módulos Cambiados
Modulo 1
Modulo 1
Modulo 2 Modulo 3 Nombre y Apellidos
Modulo 2 Modulo 3 Firma Encargado (Los acceso)
C ontrol
Los requisitos de la política de control de ac cesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organ ización, se deberían basar en los requisitos d e las aplicaciones del negocio.
ACTIVIDAD: Control de conexiones a las redes- Acceso Interactivo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera AUDITORIA
Página 65
CONTROL DE ACCESO
FECHA INICIO: Nro.:
Fecha de Acceso
FECHA FIN: IdEquipo Nro. Documento: Recepcionante
Tiempo de Acceso
Razón de Acceso
Módulos de Acceso
Archivos Transferidos
Modulo 1
Doc1
Modulo 2 Modulo 3 Nombre y Apellidos
Doc2 Modulo 3 Firma Encargado (Los acceso)
C ontrol
Los requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organ ización, se deberían basar en los requisitos d e las aplicaciones del negocio.
ACTIVIDAD: Control de conexiones a las redes- Acceso Interactivos RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.:
Nro. Documento:
Fecha de Acceso
Equipo 1
Tiempo de Acceso
Equipo 2
Razón de Acceso
Módulos de Acceso 1
Módulos de Acceso 2
Modulo 1
Doc1
Modulo 2 Modulo 3 Nombre y Apellidos
Doc2 Modulo 3 Firma Encargados (Los acceso)
C ontrol
Los requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organ ización, se deberían basar en los requisitos d e las aplicaciones del AUDITORIA
Página 66
CONTROL DE ACCESO
negocio.
ACTIVIDAD: Control de conexiones a las redes- Acceso a las Aplicaciones RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Aplicación/Nro: Módulos de Nro.: Nro. Documento: Equipo Documentos Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nro Veces Accediento
Modulo 1
Doc1
Modulo 2 Modulo 3 Nombre y Apellidos
Doc2 Modulo 3 Firma Encargados (Los acceso)
11.4.7 Control de enrutamiento en la red. Control Se deberían implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso a las aplicaciones.
Guía de implementación Los controles de enrutamiento podrían basarse en mecanismo positivos de verificación de las direcciones de origen y destino de los mensajes.
Otra información.
AUDITORIA
Página 67
CONTROL DE ACCESO
Las redes compartidas, especialmente las que se extienden a través de las fronteras de la organización, pueden requerir controles de enrutamiento adicionales. Esto aplica particularmente cuando las redes son compartidas con usuarios externos. C ontrol
Se deberían implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso a las aplicaciones.
ACTIVIDAD: Control de conexiones a las redes- Correo Electrónico RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.:
Nro. Documento:
IdMensaje
Origen
Destino
Política de Enrutamiento
Nro. Documentos
Fecha de Instalación
Tiempo en Funcionamiento
Modificación
Modulo 1 Modulo 2 Modulo 3 Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
11.5 Control de acceso al sistema operativo OBJETIVO: Evitar accesos no autorizados a los computadores. Las prestaciones de seguridad a nivel de sistema operativo se deberían utilizar para restringir el acceso a los recursos del computador. Estos servicios deberían ser capaces de: a) identificar y verificar la identidad de cada usuario autorizado en concordancia con una política definida de control de acceso;. AUDITORIA
Página 68
CONTROL DE ACCESO
b) registrar los accesos satisfactorios y fallidos al sistema. c) registrar el uso de privilegios especiales del sistema. d) alarmas para cuando la política del sistema de seguridad sea abierta. e) suministrar mecanismos, adecuados de autenticación. f) cuando proceda, restringir los tiempos de conexión de usuarios. 11.5.1
Procedimiento de C onexión a Terminales
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de Implementación Se debería diseñar un procedimiento para conectarse al sistema informático que minimice la posibilidad de accesos no autorizados. Por tanto, el proceso de conexión debería mostrar el mínimo posible de información sobre el sistema para no facilitar ayuda innecesaria a usuarios no autorizados. Un buen procedimiento de conexión debería: a) no mostrar identificación del sistema o aplicación hasta que termine el proceso de conexión. b) mostrar un mensaje que advierta la restricción de acceso al sistema sólo a usuarios autorizados. c) no ofrecer mensajes de ayuda durante el proceso de conexión que puedan guiar a usuarios no autorizados. d) validar la información de conexión sólo tras rellenar todos sus datos de entrada. Si se produce una condición de error, el sistema no debería indicar qué parte de esos datos es correcta o no. e) limitar el número de intentos fallidos de conexión (se recomienda tres) y considerar: 1) el registro de los intentos fallidos de conexión.
AUDITORIA
Página 69
CONTROL DE ACCESO
2) un tiempo forzoso de espera antes de permitir un nuevo intento de conexión o su rechazo sin una autorización específica. 3) la desconexión de la comunicación de datos. 4) el envío de un mensaje de alerta a la consola del sistema si se alcanza el número máximo de oportunidades de conexión. 5) establecer el número de pruebas de contraseña en conjunción con su largo mínimo y el valor de los sistemas que están siendo protegidos. f) limitar los tiempos máximo y mínimo permitidos para efectuar el proceso de conexión; y concluir si se exceden. g) mostrar la siguiente información tras completar una conexión con éxito: 1) fecha y hora de la anterior conexión realizada con éxito. 2) información de los intentos fallidos desde la última conexión realizada con éxito. h) no mostrar la contraseña que se ingresa o considerar esconderla con caracteres simbólicos. i) no transmitir contraseñas en texto legible a través de la red. ACTIVIDAD: CONTROL
11.5.1
Procedimiento de C onexión a Terminales
El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. GUÍA DE IMPLEMENTACIÓN
FECHA DE INICIO Haga clic aquí para escribir una fecha.
DURACION Elija un elemento.
H
D
S
M
SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
A) No mostrar identificación del sistema o aplicación hasta que termine el proceso de conexión
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación No mostrar identificación del sistema o aplicación hasta que termine el proceso de conexión AUDITORIA
Página 70
CONTROL DE ACCESO
ACTIVIDAD: Ocultar datos del Usuario RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante su conexión al sistema: 1. El sistema no muestra sus datos hasta que la conexión finalice. B ) Mostrar un
mensaje que advierta la restricción de acceso al sistema sólo a usuarios
autorizados.
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Mostrar un mensaje que advierta la restricción de acceso al sistema sólo a usuarios autorizados. ACTIVIDAD: Mantener una Conexión segura RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema muestra mensajes de restricción de acceso solo a usuarios autorizados. AUDITORIA
Página 71
CONTROL DE ACCESO
) no ofrecer mensajes de ayuda durante el C
proceso de conexión que puedan guiar a usuarios no
autorizados.
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación No ofrecer mensajes de ayuda durante el proceso de conexión que puedan guiar a usuarios no autorizados. ACTIVIDAD: Limitar mensajes de ayuda RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema no cuenta con una guía de ayuda de modo que se evita el acceso a usuarios no autorizados. D ) validar la información de conexión
sólo tras rellenar todos sus datos de entrada. Si se
produce una condición de error, el sistema no debería indicar qué parte de esos datos es correcta o no.
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Validar la información de conexión sólo tras rellenar todos sus datos de entrada. Si se produce una condición de error, el sistema no debería indicar qué parte de esos datos es correcta o no. ACTIVIDAD: Limitar información de datos incorrectos RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Id Contraseña Nro: Nro. Documento: ID Equipo1: Acceso AUDITORIA
Página 72
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con una validación de entrada de datos. 2. La validación no muestra donde se encuentra el error en caso de un acceso erróneo.
) Limitar E
el número de intentos fallidos de conexión (se recomienda tres).
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Limitar el número de intentos fallidos de conexión (se recomienda tres). ACTIVIDAD: Limitar el numero de intentos fallidos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. AUDITORIA
Página 73
CONTROL DE ACCESO
Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con una validación de entrada de datos. 2. Existe un límite de intentos fallidos los cuales son registrados por el sistema los cuales en caso de exceder desconectan el sistema. 3. Existe en tiempo forzoso de reconexión después de la desconexión previa. ) limitar los tiempos máximo y F
mínimo permitidos para efectuar el proceso de conexión; y
concluir si se exceden.
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Limitar los tiempos máximo y mínimo permitidos para efectuar el proceso de conexión; y concluir si se exceden. ACTIVIDAD: Limitar el tiempo de conexión al sistema. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con límite de tiempo de acceso. G) Mostrar información de fecha y hora de la anterior conexión e información de los intentos fallidos desde la última conexión.
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación Mostrar información de fecha y hora de la anterior conexión e información de los intentos fallidos desde la última conexión. ACTIVIDAD: Mostrar datos desde la ultima conexión. RESPONSABLE: AUDITORIA
Página 74
CONTROL DE ACCESO
SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema muestra información de fecha y hora la cual es referente de los intentos fallidos desde la última conexión.
) no mostrar la contraseña que se ingresa o consi derar esconderla con caracteres simbólicos. H
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación No mostrar la contraseña que se ingresa o considerar esconderla con caracteres simbólicos. ACTIVIDAD: Ocultar contraseña. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso
Fecha de Acceso
AUDITORIA
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Página 75
CONTROL DE ACCESO
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con un método el cual oculta las contraseñas. 2. El método esconde las contraseñas con caracteres simbólicos. I) no transmitir contraseñas en texto legible a través de la red.
Control El acceso a los servicios de información debería estar disponible mediante un proceso de conexión seguro. Guía de implementación No transmitir contraseñas en texto legible a través de la red. ACTIVIDAD: Ocultar contraseña. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexión al sistema: 1. El sistema cuenta con un método de cifrado de contraseñas. 2. El cifrado convierte las contraseñas en texto ilegible a través de la red. 11.5.2 Identificación y autenticación del usuario
Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de Implementación
AUDITORIA
Página 76
CONTROL DE ACCESO
Este control debe ser aplicado para todos los tipos de usuario (incluidos los administradores de red y de bases de datos, los programadores de sistemas y el personal técnico de apoyo). Los ID de los usuarios deben ser utilizados para seguir la pista de las actividades de cada responsable individual. Las actividades regulares del usuario no deben ser realizadas desde cuentas privilegiadas. En circunstancias excepciona1es que se justifiquen por sus ventajas pueden usarse identificadores de usuario compartidos para un grupo de usuarios o un trabajo específico. En estos casos se debería necesitar la aprobación escrita de la gerencia. Puede necesitarse la implantación de controles adicionales para la responsabilidad. Los ID´s genéricos utilizados por individuos deben ser solo permitidos donde las funciones o acciones llevadas a cabo no requieren ser trazadas (como la lectura) o cuando existan otros controles establecidos (contraseñas genéricas utilizadas solamente por un grupo de personas a la vez y conectándose en dicho momento). Donde se requiera una fuerte autentificación e identificación, se pueden utilizar métodos alternativos a las contraseñas como medios criptográficos, tarjetas inteligentes o medios biométricos. ACTIVIDAD # 11.5.2 Identificación y autenticación del usuario (guía de implementacion ) CONTROL Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos.
FECHA DE INICIO Haga clic aquí para escribir una fecha.
DURACION Elija un elemento.
H
D
S
M
SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
A) Los I D de los usuarios deben ser utilizados para seguir la pista de las actividades de cada responsable individual. Las actividades regulares del usuario no deben ser realizadas desde cuentas privilegiadas.
AUDITORIA
Página 77
CONTROL DE ACCESO
Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de implementación Los ID de los usuarios deben ser utilizados para seguir la pista de las actividades de cada responsable individual. Las actividades regulares del usuario no deben ser realizadas desde cuentas privilegiadas. ACTIVIDAD: Limitar actividades regulares. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso
Fecha de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que: 1. El sistema cuenta con un control de cuentas privilegiadas. 2. Las actividades regulares de los usuarios no se realizan desde cuentas privilegiadas.
B )
E n
circunstancias excepcionales que se justifiquen por sus ventajas pueden usarse
identificadores de usuario compartidos para un grupo de usuarios o un trabajo específico.
E n
estos casos se debería necesitar la aprobación escrita de la gerencia. Puede necesitarse la implantación de controles adicionales para la responsabilidad.
Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de implementación En circunstancias excepcionales que se justifiquen por sus ventajas pueden usarse identificadores de usuario compartidos para un grupo de usuarios o un trabajo específico. En estos casos se debería necesitar la aprobación escrita de la gerencia. Puede necesitarse la implantación de controles adicionales para la responsabilidad. ACTIVIDAD: Responsabilidad de acceso de usuarios compartidos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera AUDITORIA
Página 78
CONTROL DE ACCESO
FECHA INICIO: Haga clic aquí para escribir una fecha.
FECHA FIN: Haga clic aquí para escribir una fecha. Identificador de Nro. Documento: ID Equipo1: Acceso
Nro:
Fecha de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. El sistema cuenta con identificadores de usuarios compartidos para un grupo de usuarios o un trabajo. ) Los I D´ s C
genéricos utilizados por individuos deben ser solo permitidos donde las funciones o
acciones llevadas a cabo no requieren ser trazadas (como la lectura) o cuando existan otros controles establecidos (contraseñas genéricas utilizadas solamente por un grupo de personas a la vez y conectándose en dicho momento).
Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de implementación Los ID´s genéricos utilizados por individuos deben ser solo permitidos donde las funciones o acciones llevadas a cabo no requieren ser trazadas (como la lectura) o cuando existan otros controles establecidos (contraseñas genéricas utilizadas solamente por un grupo de personas a la vez y conectándose en dicho momento). ACTIVIDAD: Responsabilidad de acceso de usuarios genéricos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso
Fecha de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. AUDITORIA
Página 79
CONTROL DE ACCESO
Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. Se tiene un control de permisos de IDs genéricos. 2. Existen controles para acceder con contraseñas genéricas. D ) Donde
se requiera una fuerte autentificación e identificación, se pueden utilizar métodos
alternativos a las contraseñas como medios criptográficos, tarjetas inteligentes o medios biométricos.
Control Todos los usuarios deberían disponer de un identificador único para su uso personal y debería ser escogida una técnica de autentificación adecuada para verificar la identidad de estos. Guía de implementación Donde se requiera una fuerte autentificación e identificación, se pueden utilizar métodos alternativos a las contraseñas como medios criptográficos, tarjetas inteligentes o medios biométricos. ACTIVIDAD: Otros métodos de identificación. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Id Contraseña Acceso
Fecha de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. Existen otros métodos de identificación con métodos alternativos a las contraseñas. 2. El usuario utiliza estos métodos alternativos.
11.5.3
Sistema de gestión de contraseñas
Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de Implementación AUDITORIA
Página 80
CONTROL DE ACCESO
Un buen sistema de gestión de contraseñas debería: a) imponer el uso de contraseñas individuales con el fin de establecer responsabilidades. b) permitir que los usuarios escojan sus contraseñas, las cambien e incluyan un procedimiento de confirmación para evitar errores al introducirlas. c) imponer la selección de contraseñas de calidad (véase el inciso 11.3.1). d) imponer el cambio de contraseñas (véase el inciso 11.3.1). e) imponer el cambio de contraseñas iniciales en la primera conexión (véase el inciso 11.2.3). f) mantener un registro de las anteriores contraseñas utilizadas, por ejemplo, durante el último año, e impedir su reutilización. g) no mostrar las contraseñas en la pantalla cuando se están introduciendo. h) almacenar las contraseñas y los datos del sistema de aplicaciones en sitios distintos. i) almacenar las contraseñas en forma cifrada mediante un algoritmo de cifrado unidireccional. ACTIVIDAD: CONTROL
11.5.3 Sistema de gestión de contraseñas Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. GUÍA DE IMPLEMENTACIÓN
FECHA DE INICIO Haga clic aquí para escribir una fecha.
DURACION Elija un elemento.
H
D
S
M
SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
A) Imponer el uso de contraseñas individuales con el fin de establecer responsabilidades.
Control Los
sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e i nteractivo para asegurar la calidad de las mismas.
Guía de implementación
Imponer el uso de contraseñas individuales con el fin de establecer responsabilidades.
ACTIVIDAD: Imponer contraseñas para establecer contraseñas. RESPONSABLE: AUDITORIA
Página 81
CONTROL DE ACCESO
SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. Se asigna a cada usuario una contraseña para establecerle responsabilidades. B )
permitir que los usuarios escojan sus contraseñas, las cambien e incluyan un procedimiento
de confirmación para evitar errores al introducirlas.
Control Los
sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e i nteractivo para asegurar la calidad de las mismas.
Guía de implementación
Permitir que los usuarios escojan sus contraseñas, las cambien e incluyan un procedimiento de confirmación para evitar errores al introducirlas.
ACTIVIDAD: uso de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. El usuario tiene la facultad de escoger su contraseña así como puede modificarla. 2. Existe un procedimiento de confirmación para evitar errores en la asignación de contraseñas. AUDITORIA
Página 82
CONTROL DE ACCESO
) C
imponer la selección de contraseñas de C alidad.
Control Los
sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e i nteractivo para asegurar la calidad de las mismas.
Guía de implementación
Imponer la selección de contraseñas de C alidad.
ACTIVIDAD: uso de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Ser consiente de la responsabilidad del control de acceso que tiene en su cuenta.
D )
imponer el cambio de contraseñas (véase el inciso 11.3.1).
Control Los
sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e i nteractivo para asegurar la calidad de las mismas.
Guía de implementación
Imponer la selección de contraseñas de C alidad.
ACTIVIDAD: uso de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
AUDITORIA
Id Contraseña
Página 83
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Se le sugiere métodos de formato de contraseña. 2. Se le recomienda cambiar su contraseña periódicamente. E )
imponer el cambio de contraseñas iniciales en la primera conexión.
Control Los
sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e i nteractivo para asegurar la calidad de las mismas.
Guía de implementación
Imponer el cambio de contraseñas iniciales en la primera conexión.
ACTIVIDAD: uso de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. El sistema le asigna una contraseña segura. 2. Se le impone cambiar la contraseña para su primera conexión. ) F
mantener un registro de las anteriores contraseñas utilizadas, por ejemplo, durante el último
año, e impedir su reutilización.
Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de implementación Mantener un registro de las anteriores contraseñas utilizadas, por ejemplo, durante el último año, e impedir su reutilización. AUDITORIA
Página 84
CONTROL DE ACCESO
ACTIVIDAD: Registro de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 2. El sistema cuenta con un registro de las contraseñas utilizadas. 3. Se impide la reutilización de contraseñas. G) No mostrar las contraseñas en la pantalla cuando se están introduciendo.
Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de implementación No mostrar las contraseñas en la pantalla cuando se están introduciendo.
ACTIVIDAD: Registro de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. El sistema cuenta con un método para ocultar las contraseñas al ser ingresadas. AUDITORIA
Página 85
CONTROL DE ACCESO
) H
Almacenar las contraseñas y los datos del sistema de aplicaciones en sitios distintos.
Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de implementación Almacenar las contraseñas y los datos del sistema de aplicaciones en sitios distintos.
ACTIVIDAD: Registro de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Los datos de sistema y los de las contraseñas se encuentran en contenedores diferentes.
I) almacenar las contraseñas en forma cifrada mediante un algoritmo de cifrado unidireccional.
Control Los sistemas de gestión de contraseñas deberían proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Guía de implementación Almacenar las contraseñas en fo rma cifrada mediante un algoritmo de cifrado unidireccional.
ACTIVIDAD: Registro de contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
AUDITORIA
Id Contraseña
Página 86
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Las contraseñas se encuentran protegidas mediante un método de cifrado.
11.5.4
Desconexión automática de sesiones
Control Las sesiones se deberían desactivar tras un periodo definido de inactividad. Guía de Implementación Este dispositivo de desactivación debería borrar la pantalla y cerrar la aplicación y las sesiones de conexión a red tras dicho periodo definido de inactividad. El tiempo de desactivación debería reflejar los riesgos de seguridad del área, la clasificación de la información que se maneja, las aplicaciones que se utilizan y los riesgos relacionados con los usuarios de lo equipos. Muchos computadores personales suelen tener limitado de alguna forma este dispositivo que borra la pantalla para evitar el acceso no autorizado, pero no cierra la aplicación o las sesiones de conexión a red. ACTIVIDAD: 11.5.4 Desconexión automática de sesiones CONTROL Las sesiones se deberían desactivar tras un periodo definido de inactividad. GUÍA DE IMPLEMENTACIÓN FECHA DE INICIO Haga clic aquí para escribir una fecha.
DURACION Elija un elemento.
H
D
S
M
SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
A) F inalizar Sesión
Control Las
sesiones se deberían desactivar tras un periodo definido de inactividad.
AUDITORIA
Página 87
CONTROL DE ACCESO
Guía de implementación Imponer el uso de contraseñas individuales con el fin de establecer responsabilidades. ACTIVIDAD: Imponer contraseñas para establecer contraseñas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aquí para escribir una fecha. Haga clic aquí para escribir una fecha. Identificador de Nro: Nro. Documento: ID Equipo1: Acceso
Fecha de Acceso
Tiempo de Acceso
Razón de Acceso
Nombre y Apellidos
Id Contraseña
Firma Encargado (Los acceso)
Haga clic aquí para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. La sesión y las demás aplicaciones se cierran después de un periodo de inactividad.
11.5.6 Limitación del tiempo de conexión Control Las restricciones en los tiempos de conexión ofrecen seguridad adicional para aplicaciones de alto riesgo.
Guía de implementación Estas medidas de control se deberían emplear para aplicaciones sensibles, en especial para terminales instalados en áreas de alto riesgo, las públicas o no cubiertas por la gestión de seguridad de la organización. Restricciones como por ejemplo: a) El uso de ventanas de tiempo predeterminadas, por ejemplo para transmisiones de archivos batch o para sesiones interactivas regulares de corta duración. b) La restricción de tiempos de conexión al horario normal de oficina, si no existen requisitos para operar fuera de este horario c) Considerar la re-autenticación en intervalos medidos.
AUDITORIA
Página 88
CONTROL DE ACCESO
a)
E l
uso de ventanas de tiempo predeterminadas, por ejemplo para transmisiones de archivos
batch o para sesiones interactivas regulares de corta duración.
Control Las restricciones en los tiempos de co nexión ofrecen seguridad adicional para aplicaciones de alto riesgo.
Guía de implementación Estas medidas de control se deberían emplear para aplicaciones sensibles, en especial para terminales instalados en áreas de alto riesgo, las públicas o no cubiertas por la gestión de seguridad de la organización. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Uso de ventanas de tiempo predeterminados FECHA INICIO: FECHA FIN: Identificador de Hora de inicio acceso se sesión(UCT)
b)
La
Tiempo utilizado en dicha acción
Hora de cierre de sesión(UCT)
Tiempo predeterminado del sistema para utilizar dicha aplicación
Registro de aplicaciones utilizadas
restricción de tiempos de conexión al horario normal de oficina, si no existen requisitos
para operar fuera de este horario
Control Las restricciones en los tiempos de co nexión ofrecen seguridad adicional para aplicaciones de alto riesgo.
Guía de implementación Estas medidas de control se deberían emplear para aplicaciones sensibles, en especial para terminales instalados en áreas de alto riesgo, las públicas o no cubiertas por la gestión de seguridad de la organización. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Restriccion de tiempo de conexion al horario normal de oficina FECHA INICIO: FECHA FIN: Restricción de tiempo en horario normal de oficina Identificador de Hora de inicio acceso se (User) sesión(UCT) AUDITORIA
Tiempo utilizado en dicha acción
Hora de cierre de sesión(UCT)
Tiempo predeterminado del sistema para utilizar dicha aplicación
Registro de aplicaciones utilizadas
Página 89
CONTROL DE ACCESO
Operación fuera del horario de oficina Identificador de acceso (User)
Nombres y Apellidos
Identificador de Hora de inicio acceso se sesión(UCT)
Doc. Autorización
Tiempo utilizado en dicha acción
Hora de cierre de sesión(UCT)
Propósito
Id Red
Tiempo predeterminado del sistema para utilizar dicha aplicación
Registro de aplicaciones utilizadas
c) Re-autenticación en intervalos medidos Control Las restricciones en los tiempos de co nexión ofrecen seguridad adicional para aplicaciones de alto riesgo.
Guía de implementación Estas medidas de control se deberían emplear para aplicaciones sensibles, en especial para terminales instalados en áreas de alto riesgo, las públicas o no cubiertas por la gestión de seguridad de la organización. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Re-autenticación en intervalos medidos AUDITORIA
Página 90
CONTROL DE ACCESO
FECHA INICIO: Tiempo predeterminado del sistema para utilizar dicha aplicación
FECHA FIN: Identificador de acceso (User)
Validación de contraseña
Limitación de intentos fallidos
Tipo de Aplicación
11.6. Control de acceso a las aplicaciones y la información OBJETIVO: Prevenir el acceso no autorizado a la información contenida en los sistemas. Se deberían usar facilidades de seguridad lógica dentro de los sistemas de aplicación para restringir el acceso.
11.6.1. Restricción de acceso a la información Control Se debería dar acceso a la información y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una política de control de acceso definida.
Guía de Implementación Las restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organización Deberían considerarse las siguientes pautas para dar soporte a los requisitos de restricción de accesos a) Establecer menús para controlar los accesos a las funciones del sistema de aplicaciones b) Controlar los derechos de acceso de los usuarios. c) Controlar los derechos de acceso de otras aplicaciones AUDITORIA
Página 91
CONTROL DE ACCESO
d) Asegurarse que las salidas de los sistemas de aplicaciones que procesan información sensible, solo contienen la información correspondiente para el uso de la salida y se envían, únicamente, a los terminales y sitios autorizados, incluyendo la revisión periódica de dichas salidas para garantizar la supresión de información redundante
a)
E stablecer menús para controlar l os accesos a las funciones del
sistema de aplicaciones
Control Se debería dar acceso a la información y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una política de control de acceso definida.
Guía de implementación Las restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organización ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Menus para controlar los accesos a las funciones del sistema de aplicaciones FECHA INICIO: FECHA FIN: Limitan el número Nivel de seguridad Tipo de menú Tipo de acceso Tipo de personal que de intentos fallidos accede a la aplicacion de conexión
b)
C ontrolar
los derechos de acceso de los usuarios.
Control Se debería dar acceso a la información y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una política de control de acceso definida.
AUDITORIA
Página 92
CONTROL DE ACCESO
Guía de implementación Las
restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organización
ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Controlar los derechos de accesos de los usuarios FECHA INICIO: FECHA FIN: Identificador de acceso
Tipo de función del usuario
Tipo de acceso
Hora de inicio se sesión(UCT)
N° Derechos en la institución
Tipo de función del usuario
Tipos de acceso
Identificador de Usuario
Tiempo predeterminado del sistema para utilizar dicha aplicación
Registro de aplicaciones utilizadas
Tipo de contrato
c) Controlar los derechos de acceso de otras aplicaciones Control Se debería dar acceso a la información y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una política de control de acceso definida.
Guía de implementación Las
restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organización
ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Controlar los derechos de accesos de otras aplicaciones FECHA INICIO: FECHA FIN: Identificador de acceso
AUDITORIA
Tipo de función del usuario
Tipo de acceso que permite esta función
Lista de aplicaciones que permite esta función
Tiempo predeterminado del sistema para utilizar dicha aplicación
Registro de aplicaciones utilizadas
Página 93
CONTROL DE ACCESO
d) Asegurarse que las salidas de los sistemas de aplicaciones que procesan información sensible, solo contienen la información correspondiente para el uso de la salida y se envían, únicamente, a los terminales y sitios autorizados, incluyendo la revisión periódica de dichas salidas para garantizar la supresión de in formación redundante
Control Se debería dar acceso a la información y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una política de control de acceso definida.
Guía de implementación Las
restricciones de acceso deben estar basadas en requisitos específicos de la aplicación y consistente con la política de acceso a la información de la organizac organización ión
ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Asegurarse que las salidas de los sistemas de aplicaciones que procesan información sensible, solo contienen la información correspondiente para el uso de la salida y se envían, únicamente, a los terminales y sitios autorizados, incluyendo la revisión periódica de dichas salidas para garantizar la supresión de información redundante FECHA INICIO: FECHA FIN: Identificador de acceso
Tipo de acceso que permite esta función
Control de conexión
IP de maquina principal(Maquina que emite la función)
IP de la maquina que recibe la función
Registro de aplicaciones utilizadas
11.6.2 Aislamiento de sistemas sensibles Control Los sistemas sensibles pueden necesitar entornos informáticos info rmáticos dedicados (aislados).
Guía de implementación
AUDITORIA
Página 94
CONTROL DE ACCESO
Algunos sistemas de aplicación son tan sensibles a posibles pérdidas que pueden necesitar un tratamiento especial, que corran un procesador dedicado, que solo compartan recursos con otros sistemas de aplicaciones garantizaos o que no tengan limitaciones. Las consideraciones siguientes son aplicables para el aislamiento de sistemas sensibles: a) El propietario de la aplicación debería indicar explícitamente y documentar la sensibilidad de esta b) Cuando una aplicación sensible se ejecute en un entorno compartido, se deberían identificar y acordar con su propietario los l os sistemas de aplicación con los l os que compartan recursos.
a)
E l
propietario de la aplicación debería indicar explícitamente y documentar la sensibilidad de
esta
Control Los sistemas sensibles
pueden necesitar entornos informáticos dedicados (aislados).
Guía de implementación Algunos sistemas de aplicación son tan sensibles a posibles pérdidas que pueden necesitar un tratamiento especial, que corran un procesador dedicado, que solo compartan recursos con otros sistemas de aplicaciones garantizaos o que no tengan limitaciones
ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: El propietario de la aplicación debería indicar explícitamente y documentar la sensibilidad de esta. FECHA INICIO: FECHA FIN: Nombres y Apellidos
b)
uando C uando
Doc. De confidenciabilidad
Documentación del Sistema
Cronograma de capacitación al personal
una aplicación sensible se ejecute en un entorno compartido, se deberían identificar y
acordar con su propietario los sistemas de aplicación aplicación con los que compartan recursos.
Control Los sistemas sensibles
AUDITORIA
pueden necesitar entornos informáticos dedicados (aislados).
Página 95
CONTROL DE ACCESO
Guía de implementación Algunos sistemas de aplicación son tan sensibles a posibles pérdidas que pueden necesitar necesitar un tratamiento especial, que corran un procesador dedicado, dedicado, que solo so lo compartan recursos con otros sistemas de aplicaciones garantizaos o que no tengan limitaciones
ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Cuando una aplicación sensible se ejecute en un entorno compartido, se deberían identificar y acordar con su propietario los l os sistemas de aplicación con los l os que compartan recursos. FECHA INICIO: FECHA FIN: Nombres y apellidos (propietario de la aplicación) Tipo de aplicación
Controles de conexiones
Doc. De confidenciabilidad confidenciabilidad
Control de aplicaciones
Registro de aplicaciones utilizadas
11.7. Información móvil y teletrabajo OBJETIVO: garantizar la seguridad de la información cuando se usan dispositivos de informática informática móvil y teletrabajo. teletrabajo. La protección requerida debería ser proporcional a los riesgos que causan estas formas específicas de trabajo. Se deberían considerar los riesgos de trabajar en un entorno desprotegido cuando se ida informática móvil y aplicar la protección adecuada. En el caso de teletrabajo la organización debería implantar protección en el lugar del teletrabajo y asegurar que existan los acuerdos adecuados para este tipo de trabajo
11.7.1. Información móvil y comunicaciones Control Se deberían adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática.
Guía de Implementación AUDITORIA
Página 96
CONTROL DE ACCESO
Se debería tener un especial cuidado para asegurar que la información de negocio no se comprometa cuando se usan dispositivos de informática móvil como portátiles, agendas, calculadoras y teléfonos móviles, Se deberían formalizar una política que tenga que tener en cuenta los riesgos de trabajar con dispositivos de informática móvil, especialmente en entornos desprotegidos. Dicha política debería incluir los requisitos de protección física, controles de acceso, técnicas criptografiacas, respaldos y protección antivirus. Esta política también debería incluir reglas y consejos para conectar los dispositivos de informática móvil a las redes asi como una gua para el uso de esots dispositivos de informática móvil en lugares públicos, salas de reuniones y otras areas desprotegidas. Cuando estos dispositivos se usen en lugares públicos, es importante tener cuidado para evitar el riesgo de que entren personas no autorizadas. Se deberían instalar y mantener al dia procedimientos contra el software malicioso.
Otra Información Las conexiones móviles inalámbricas son similares a otros tipos de conexiones de red, pero tienen importantes diferencias que deben ser consideradas cuando se identifican los controles. Las diferencias típicas son: a) Algunos protocolos de seguridad inalámbricos son inmaduros y se les conoce debilidades
a)
oce debilidades
Algunos protocolos de seguridad inalámbricos son inmaduros y se l es con
Control Se deberían adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática Guía de implementación Se debería tener un especial cuidado para asegurar que la información de negocio no se comprometa cuando se usan dispositivos de info rmática móvil como portátiles, agendas, calculadoras y teléfonos móvil es, Se deberían formalizar una política que tenga que tener en cuenta los riesgos de trabajar con dispositivos de informática móvil, especialmente en entornos desprotegidos.
ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Algunos protocolos de seguridad inalámbricos son inmaduros y se les conoce debilidades FECHA INICIO: AUDITORIA
FECHA FIN: Página 97