Auditoria Control de Acceso

UNIVERSIDAD NACIONAL SAN ANTONIO ABAD DEL CUSCO Carrera Profesional de Ingeniera Informtica y de Sistemas
RESOLUCIN CONTROL DE ACCESO

Tema: Docente: Integrantes: -Ccarita Cruz Ana Maritza -Mayta Salazar Elizabeth Dioni -Palomino Flores Meluni -Ligas Ramirez Trilce -Jara Meja Cristian Jhonathan CUSCO-PERU 2011 081105 081110 070714 070707 070705 RESOLUCIN DE CONTROLES DE ACCESO Ing. Emilio Palomino Olivera
INDICE
CONTROL DE ACCESO
11.1.
REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS
OBJETIVO: Controlar los accesos a la informacin. Se debera controlar el acceso a la informacin y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Se deberan tener en cuenta para ello las polticas de distribucin de la informacin y de autorizaciones. 11.1.1 POLTICA DE CONTROL DE ACCESOS Control Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Gua de implementacin Se deberan establecer claramente en una poltica de accesos las reglas y los derechos de cada usuario o grupo de usuarios. Los controles de acceso son lgicos y fsicos (vase el captulo 9) y estos deben ser considerados juntos. Se debera dar a los usuarios y proveedores de servicios una especificacin clara de los requisitos de negocio cubiertos por los controles de accesos. Esta poltica debera contemplar lo siguiente: a) requisitos de seguridad de cada aplicacin de negocio individualmente; b) identificacin de toda la informacin relativa a las aplicaciones y los riesgos que la informacin est enfrentando; c) polticas para la distribucin de la informacin y las autorizaciones (por ejemplo, el principio de suministro slo de la informacin que se necesita conocer y los niveles de seguridad para la clasificacin de dicha informacin) (vase el inciso 7.2); d) coherencia entre las polticas de control de accesos y las polticas de clasificacin de la informacin en los distintos sistemas y redes; e) legislacin aplicable y las obligaciones contractuales respecto a la proteccin del acceso a los datos o servicios (vase el inciso 15.1); f) perfiles de acceso de usuarios estandarizados segn las categoras comunes de trabajos; g) administracin de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexin; h) segregacin de los roles de control de acceso, como el pedido de acceso, autorizacin de acceso, administracin de accesos;
CONTROL DE ACCESO
i) requerimientos para la autorizacin formal de los pedidos de acceso (vase el inciso 11.2.1); j) requerimientos para la revisin peridica de los controles de acceso (vase el inciso 11.2.4); k) retiro de los derechos de acceso (vase el inciso 8.3.3). Otra Informacin Al especificar las reglas de los controles de accesos se tendr la precaucin de considerar: a) la distincin entre reglas a cumplir siempre y reglas opcionales o condicionales; b) el establecimiento de las reglas basndose en la premisa est prohibido todo lo que no est permitido explcitamente , premisa que es contraria a la regla est permitido todo lo que no est prohibido explcitamente , considerada ms dbil o ms permisiva. c) los cambios en las etiquetas de informacin (vase el inciso 7.2) iniciadas automticamente por los recursos del tratamiento de la informacin y las que inicia el usuario manualmente; d) los cambios en las autorizaciones al usuario realizados automticamente por el sistema de informacin y los que realiza un administrador; e) la distincin entre reglas que requieren o no la aprobacin del administrador o de otra autoridad antes de su promulgacin. Las reglas de control de acceso deben ser apoyadas por procedimientos formales y por responsabilidades claramente definidos.
AUDITORIA
Pgina 4
CONTROL DE ACCESO
a) requisitos de seguridad de cada aplicacin de negocio individualmente; b) identificacin de toda la informacin relativa a las aplicaciones y los riesgos que la informacin est enfrentando; ACTIVIDAD: (gua implementacin) CONTROL: a) requisitos de seguridad de cada aplicacin de negocio de individualmente; b) identificacin de toda la informacin relativa a las aplicaciones y los riesgos que la informacin est enfrentando; Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Determinar la seguridad que posee cada aplicacin de negocio Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
OBJETIVO: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012
Gua de Implementacin de Seguridad de la Aplicaciones Nombre y Apellidos: rea o departamento al que pertenece: Cargo que ocupa actualmente: Parte del sistema al cual tiene derechos de Acceso:
Redes Base de datos Informacin Confidencial Desarrollo de nuevos sistemas Otros ________________________________ Identificarse como ___________ La contrasea que posee: Nmeros Letras maysculas Letras minsculas Texto alfanumrico usuario autorizado:
Datos de Entrada
AUDITORIA
Pgina 5
CONTROL DE ACCESO
Otros ________________________________ Datos de Procesamiento Tiempo de demora en los procesos : ___________ Numero de procesos realizados Simultneamente: ____________ Salidas requeridas Tiempo total de respuesta:
Datos de Salida
______________
Cmo considera usted, en general el servicio proporcionado por la aplicacin?
Deficiente Aceptable Satisfactorio Excelente Por qu? ______________________________ ______________________________ ______________________________ ______________________________ Nula Riesgosa Satisfactoria Excelente Desconoce Por qu? ______________________________ ______________________________ ______________________________ ______________________________
Qu opina de la seguridad del manejo de la informacin proporcionado por la aplicacin?
c) polticas para la distribucin de la informacin y las autorizaciones (por ejemplo, el principio de suministro slo de la informacin que se necesita conocer y los niveles de seguridad para la clasificacin de dicha informacin) (vase el inciso 7.2); d) coherencia entre las polticas de control de accesos y las polticas de clasificacin de la informacin en los distintos sistemas y redes; ACTIVIDAD: (gua implementacin) c) polticas para la distribucin de la informacin y las de autorizaciones (por ejemplo, el principio de suministro slo de la informacin que se necesita conocer y los niveles de seguridad para la clasificacin de dicha informacin) (vase el
Pgina 6
AUDITORIA
CONTROL DE ACCESO
CONTROL:
inciso 7.2); d) coherencia entre las polticas de control de accesos y las polticas de clasificacin de la informacin en los distintos sistemas y redes; Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012
Gua de Implementacin de polticas para la distribucin de la informacin y las autorizaciones Nombres y Apellidos: rea o departamento al que pertenece: Cargo que ocupa actualmente: Nombre y nro. del Documento (donde se estipula las polticas de distribucin de informacin y las autorizaciones): Fecha de conocimiento del documento (fecha en la cual usted tuvo conocimiento del documento y su contenido): Nombre del responsable o Nombre del rea (persona o rea de trabajo quien hizo llegar a usted dicho documento): Fecha que adquiri las autorizaciones: Nombre del Documento donde se estipula los derechos de acceso que posee: Fecha de conocimiento del documento (fecha en la cual usted tuvo conocimiento del contenido del documento): Tipos de autorizacin que usted posee (describa):
AUDITORIA
Pgina 7
CONTROL DE ACCESO
Responsable de brindar las autorizaciones (Nombre y Apellidos, rea de trabajo): Fecha de caducidad de las autorizaciones otorgadas: Documento de conformidad (donde acepta los derechos de acceso y autorizaciones dadas) e) legislacin aplicable y las obligaciones contractuales respecto a la proteccin del acceso a los datos o servicios (vase el inciso 15.1); ACTIVIDAD: (gua implementacin) CONTROL: e) legislacin aplicable y las obligaciones contractuales respecto de a la proteccin del acceso a los datos o servicios (vase el inciso 15.1); Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de legislacin aplicable y las obligaciones contractuales respecto a la proteccin del acceso a los datos o servicios Documento de Peticin de acceso a los datos: Responsable de aprobar la peticin de acceso de datos: Documento de aprobacin a la peticin: Mtodos usados para proteger Usuario: ___________ el acceso a los datos o servicios: Contrasea: ___________ Nombres: ____________ Cdigo de Autorizacin:____________
AUDITORIA
Pgina 8
CONTROL DE ACCESO
f) perfiles de acceso de usuarios estandarizados segn las categoras comunes de trabajos; ACTIVIDAD: f) perfiles de acceso de usuarios estandarizados segn las categoras (gua de comunes de trabajos; implementacin) CONTROL: Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de perfiles de acceso de usuarios estandarizados segn las categoras comunes de trabajos Nombres y Apellidos: rea o departamento al que pertenece: Cargo que ocupa actualmente: Categora de Trabajo: Nombrado Contratado Practicante Asistente Auxiliar Otro ______________________________
Descripcin del Perfil de Acceso: (desarrolle los permisos de acceso que posee)
Documento de descripcin de perfil del usuario (nombre, tipo y numero) g) administracin de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexin;
AUDITORIA
Pgina 9
CONTROL DE ACCESO
ACTIVIDAD: (gua implementacin) CONTROL:
g) administracin de los derechos de acceso en un entorno de distribuido en red que reconozca todos los tipos disponibles de conexin; Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de administracin de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexin; Nombres y Apellidos: rea o departamento al que pertenece: Cargo que ocupa actualmente: Responsable de proporcionar derechos de acceso a la red (Nombre , Apellidos y rea de Trabajo) Documento de autorizacin de acceso a la red (Nombre, tipo y numero) Fecha de entrega de la autorizacin:
h) segregacin de los roles de control de acceso, como el pedido de acceso, autorizacin de acceso, administracin de accesos; ACTIVIDAD: (gua implementacin) CONTROL: de h) segregacin de los roles de control de acceso, como el pedido de acceso, autorizacin de acceso, administracin de accesos Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________
Pgina 10
SUPERVISOR:
AUDITORIA
CONTROL DE ACCESO
AUDITOR: FECHA DE INICIO 11/01/2012 FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de segregacin de los roles de control de acceso, como el pedido de acceso, autorizacin de acceso, administracin de accesos rea o departamento encargado de los controles de acceso: Jefe del rea de Controles de Acceso (-nombres y apellidos) Pedido de Acceso Documento de pedido de acceso (Nombre, tipo y numero) Responsable de autorizar el pedido (Nombre y Apellidos) Descripcin de motivos de pedir acceso: Autorizacin de Acceso Documento de autorizacin de acceso (nombre, tipo y numero) Responsable de la autorizacin (nombres y apellidos) Responsable de la administracin de los accesos Documento de registro de los acceso al sistema por los usuarios. i) requerimientos para la autorizacin formal de los pedidos de acceso (vase el inciso 11.2.1); j) requerimientos para la revisin peridica de los controles de acceso (vase el inciso 11.2.4); ACTIVIDAD: (gua implementacin) CONTROL: de i) requerimientos para la autorizacin formal de los pedidos de acceso (vase el inciso 11.2.1); j) requerimientos para la revisin peridica de los controles de acceso (vase el inciso 11.2.4); Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos
AUDITORIA
Pgina 11
CONTROL DE ACCESO
de seguridad y del negocio. SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de requerimientos para autorizacin de pedidos de acceso y revisin de controles de acceso rea o departamento encargado de los controles de acceso: Jefe del rea de Controles de Acceso (-nombres y apellidos) Requisitos para autorizacin de pedidos de acceso Nombres y Apellidos: Cargo que ocupa actualmente: Perfil de acceso: Documento de Peticin de acceso: Descripcin breve de peticin de acceso: Responsable de autorizar la peticin de acceso: Requisitos para revisin de los controles de acceso Responsable de la revisin de controles de acceso: Documento de registro de los accesos: (nombre, tipo y numero) Mtodo de realizar la revisin:
Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero )
Diaria Semanal Mensual Peridicamente cundo? ________________ Nunca
AUDITORIA
Pgina 12
CONTROL DE ACCESO
k) retiro de los derechos de acceso (vase el inciso 8.3.3). ACTIVIDAD: (gua implementacin) CONTROL: de k) retiro de los derechos de acceso (vase el inciso 8.3.3). Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de retiro de los derechos de acceso Nombre y Apellidos: Cargo que ocupa o ocupaba: Documento de retiro de derechos de acceso: (nombre, nmero y tipo) Responsable de autorizar el retiro de derechos de acceso: Descripcin del retiro de derechos de acceso
reubicacin dentro de la organizacin retiro de organizacin realizar actos no autorizados otros _____________________________
11.2.
GESTIN DE ACCESO DE USUARIOS
OBJETIVO: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de informacin. Se debera establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberan cubrir todas las etapas del ciclo de vida del acceso de los usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios. Se debera prestar especial
AUDITORIA
Pgina 13
CONTROL DE ACCESO
atencin, donde sea apropiado, al necesario control de la asignacin de derechos de acceso privilegiados que permitan a ciertos usuarios evitar los controles del sistema. 11.2.1. REGISTRO DE USUARIOS Control Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Gua de Implementacin Se debera controlar el acceso a los servicios de informacin multiusuario mediante un proceso formal de registro que debera incluir: a) la utilizacin de un identificador nico para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debera permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados; b) la comprobacin de la autorizacin del usuario por el propietario del servicio para utilizar el sistema o el servicio de informacin. Tambin puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio (vase el inciso 11.1) y su consistencia con la poltica de seguridad de la organizacin (por ejemplo, su no contradiccin con el principio de segregacin de tareas (vase el inciso10.1.3); la entrega a los usuarios de una relacin escrita de sus derechos de acceso; d) la peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso; e) la garanta de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorizacin; f) el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella; h) la revisin peridica y eliminacin de identificadores y cuentas de usuario redundantes (vase el inciso 11.2.4); i) la garanta de no reasignacin a otros usuarios de los identificadores de usuario redundantes. Otra Informacin Se debera considerar el establecimiento de roles de acceso a usuario basado en requisitos de negocio que resuman un numero de derechos de acceso en un expediente tpico de acceso de usuario. Los pedidos y revisiones de acceso (vase el inciso 11.2.4) son manejadas ms fcilmente al nivel de dichos roles que los niveles de derechos particulares.
AUDITORIA
Pgina 14
CONTROL DE ACCESO
Se debera considerar la inclusin de clusulas en los contratos laborales y de servicio que especifiquen sanciones si sus signatarios realizan accesos no autorizados (vase el inciso 6.1.4 y 6.1.5). a) la utilizacin de un identificador nico para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debera permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados; ACTIVIDAD: (gua implementacin) CONTROL: a) la utilizacin de un identificador nico para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debera permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados; Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
de
Gua de Implementacin de la utilizacin de un identificador nico para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debera permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados Nombre y Apellidos: Cargo que ocupa actualmente: Identificador de usuario: Identificador de grupo de trabajo: Responsabilidades que posee individualmente en la organizacin Responsabilidades que posee en su grupo de trabajo Documento que consta y acepta las responsabilidades implantadas
AUDITORIA
Pgina 15
CONTROL DE ACCESO
(nombre, tipo y numero) Fecha de entrega del documento (fecha en que recibe por primera vez el documento) Responsable de rea departamento encargado difundir dicho documento: o de
b) la comprobacin de la autorizacin del usuario por el propietario del servicio para utilizar el sistema o el servicio de informacin. Tambin puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio (vase el inciso 11.1) y su consistencia con la poltica de seguridad de la organizacin (por ejemplo, su no contradiccin con el principio de segregacin de tareas (vase el inciso10.1.3); la entrega a los usuarios de una relacin escrita de sus derechos de acceso; ACTIVIDAD: (gua implementacin) de b) la comprobacin de la autorizacin del usuario por el propietario del servicio para utilizar el sistema o el servicio de informacin. Tambin puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio (vase el inciso 11.1) y su consistencia con la poltica de seguridad de la organizacin (por ejemplo, su no contradiccin con el principio de segregacin de tareas (vase el inciso10.1.3); la entrega a los usuarios de una relacin escrita de sus derechos de acceso; Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
CONTROL:
Gua de Implementacin de la comprobacin de la autorizacin del usuario para utilizar un sistema o servicio de informacin y verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio Nombre y Apellidos:
AUDITORIA
Pgina 16
CONTROL DE ACCESO
Cargo que ocupa actualmente: Documento de autorizacin de usuario: (nombre, tipo y numero) Propietario de un sistema o servicio de informacin: Documento donde da a conocer los derechos de acceso que posee el usuario: (nombre, tipo y numero) d) la peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso; e) la garanta de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorizacin; ACTIVIDAD: (gua implementacin) CONTROL: de d) la peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso; e) la garanta de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorizacin; Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de la peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso y la garanta de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorizacin; Nombre y Apellidos: Cargo que ocupa actualmente: Documento de peticin para que reconozca con una firma las condiciones de acceso Responsable de autorizar la peticin (nombre, apellidos y rea de trabajo)
AUDITORIA
Pgina 17
CONTROL DE ACCESO
Requisitos para peticionar que se acepte mediante una firma las condiciones de acceso Descripcin del proceso de autorizacin del pedido Mediante qu proceso se garantiza que no habr acceso a informacin al menos que concluya la autorizacin (descripcin breve) Documento de autorizacin exitosa de acceso a informacion Responsable de emitir la autorizacin f) el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella; ACTIVIDAD: (gua implementacin) CONTROL: f) el mantenimiento de un registro formalizado de todos los de autorizados para usar el servicio; g) la eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella; Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin del mantenimiento de un registro de cuentas autorizadas rea o departamento encargado del mantenimiento de las cuentas autorizadas: Jefe dela rea: Documento de registro de cada una de las cuentas autorizadas:
AUDITORIA
Pgina 18
CONTROL DE ACCESO
Responsable de realizar el registro de las cuenta autorizadas Documento de reporte del mantenimiento de las cuentas autorizadas.(con la descripcin de errores o anomalas encontradas) Gua de Implementacin de eliminacin de cuentas autorizadas en caso de retiro de la organizacin Nombre y Apellidos: Cargo que ocupaba: Documento de autorizacin de eliminacin de cuenta autorizada Responsable de realizar la eliminacin de la cuenta autorizada Motivo por la cual se est eliminando la cuenta autorizada
Retiro de la organizacin Reubicacin dentro de la organizacin Otros (indicar)______________________
h) la revisin peridica y eliminacin de identificadores y cuentas de usuario redundantes (vase el inciso 11.2.4); i) la garanta de no reasignacin a otros usuarios de los identificadores de usuario redundantes.
ACTIVIDAD: (gua implementacin) CONTROL:
de
h) la revisin peridica y eliminacin de identificadores y cuentas de usuario redundantes (vase el inciso 11.2.4); i) la garanta de no reasignacin a otros usuarios de los identificadores de usuario redundantes. Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
AUDITORIA
Pgina 19
CONTROL DE ACCESO
Gua de Implementacin de la revisin peridica y eliminacin de identificadores y cuentas de usuario redundantes la garanta de no reasignacin a otros usuarios de los identificadores de usuario redundantes. Revisin de cuentas de usuario rea o departamento encargado de la revisin peridica y eliminacin de identificadores de cuentas de usuario redundantes. Jefe de rea o departamento: Documento de registro de las cuentas de usuario redundantes Responsable de realizar la revisin de las cuentas redundantes Frecuencia con la que se realiza la revisin de cuentas redundantes
Documento de reporte de la revisin de las cuentas redundantes Eliminacin de cuentas redundantes Documento de autorizacin de eliminacin de cuentas redundantes Documento que conformidad con la eliminacin de las cuentas redundantes Responsable de la eliminacin de las cuentas redundantes (nombres, apellidos y rea de trabajo)
Diaria Semanal Mensual Peridicamente _____________ Nunca
cundo?
11.2.2. GESTIN DE PRIVILEGIOS Control Debera restringirse y controlarse el uso y asignacin de privilegios. Gua de Implementacin
AUDITORIA
Pgina 20
CONTROL DE ACCESO
Se debera controlar la asignacin de privilegios por un proceso formal de autorizacin en los sistemas multiusuario. Se deberan considerar los pasos siguientes: a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin; as como las categoras de empleados que necesitan de ellos; b) asignar privilegios a los individuos segn los principios de necesidad de su uso y caso por caso y en lnea con la poltica de control de acceso (vase el inciso 11.1.1), por ejemplo, el requisito mnimo para cumplir su funcin slo cuando se necesite; c) mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se otorgarn privilegios hasta que el proceso de autorizacin haya concluido; d) promover el desarrollo y uso de rutinas del sistema para evitar la asignacin de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; f) asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. Otra informacin Un uso inapropiado de los privilegios de la administracin del sistema (cualquier caracterstica o facilidad de un sistema de informacin que habilite al usuario sobrescribir los controles del sistema o de la aplicacin) pueden ser un gran factor contribuidor de fallas o aberturas en los sistemas.
AUDITORIA
Pgina 21
CONTROL DE ACCESO
a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin; as como las categoras de empleados que necesitan de ellos; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 a) identificar los privilegios asociados a cada elemento del de sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin; as como las categoras de empleados que necesitan de ellos; Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin; as como las categoras de empleados que necesitan de ellos; Responsable de asignar los privilegios a los elementos del sistema (nombre, apellidos y rea de trabajo) Privilegios del sistema Privilegios de sistema Privilegios del gestor Privilegios de operativo de base de datos aplicaciones las Privilegios de la red y sus conexiones
Perfil de acceso Perfil de acceso necesario para acceder a los privilegios del sistema operativo Perfil de acceso necesario para acceder a los privilegios del gestor de base de datos Perfil de acceso necesario para acceder a los privilegios de las aplicaciones Perfil de acceso necesario para acceder a los privilegios de la red y sus conexiones
AUDITORIA
Pgina 22
CONTROL DE ACCESO
b) asignar privilegios a los individuos segn los principios de necesidad de su uso y caso por caso y en lnea con la poltica de control de acceso (vase el inciso 11.1.1), por ejemplo, el requisito mnimo para cumplir su funcin slo cuando se necesite; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 b) asignar privilegios a los individuos segn los principios de de necesidad de su uso y caso por caso y en lnea con la poltica de control de acceso (vase el inciso 11.1.1), por ejemplo, el requisito mnimo para cumplir su funcin slo cuando se necesite; Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de asignar privilegios a los individuos segn los principios de necesidad de su uso y caso por caso y en lnea con la poltica de control de acceso, por ejemplo, el requisito mnimo para cumplir su funcin slo cuando se necesite; Nombres y Apellidos Cargo que ocupa actualmente Documento de asignacin de privilegios Responsable de la asignacin de privilegios Descripcin breve de la necesidad de asignacin de privilegios (nombre, tipo y numero) Documento de compromiso de usar el privilegio solo en necesidad (nombre, tipo y numero) c) mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se otorgarn privilegios hasta que el proceso de autorizacin haya concluido; ACTIVIDAD: (gua
AUDITORIA
de
c) mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se otorgarn privilegios hasta
Pgina 23
CONTROL DE ACCESO
implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012
que el proceso de autorizacin haya concluido; Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se otorgarn privilegios hasta que el proceso de autorizacin haya concluido; Responsable del proceso de autorizacin y registro de privilegios (nombres, apellidos y rea de trabajo) Cargo que ocupa actualmente Documento donde se describe el proceso de autorizacin de privilegios Fecha de aprobacin del documento de proceso de autorizacin Documento de registro de los privilegios asignados a los usuarios Mtodo que garantiza que no se dan privilegios hasta que concluya el proceso de autorizacin Documento que certifica que el proceso de autorizacin concluyo exitosamente Fecha de aprobacin de documento de termino de proceso de autorizacin d) promover el desarrollo y uso de rutinas del sistema para evitar la asignacin de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR:
AUDITORIA
d) promover el desarrollo y uso de rutinas del sistema para evitar de la asignacin de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino Olivera
Pgina 24
CONTROL DE ACCESO
AUDITOR: FECHA DE INICIO 11/01/2012
___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de promover el desarrollo y uso de rutinas del sistema para evitar la asignacin de privilegios a los usuarios y promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; Responsable de desarrollo de sistemas: (nombres, apellidos y cargo) Enumeracin de nuevos proyectos que Nombre de prevengan la asignacin de privilegios a Proyecto usuarios Frecuencia de convocatorias de proyectos (indicar si son das, meses, semanas, etc) Enumeracin de proyectos que estn a Nombre de prueba en la organizacin Proyecto Responsable del proyecto Presupuesto
Responsable del proyecto
Presupuesto
Indicar las aplicaciones que no necesitan Aplicaciones la asignacin de privilegios.
Responsables
f) asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 f) asignar los privilegios a un identificador de usuario distinto al de asignado para un uso normal. Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
AUDITORIA
Pgina 25
CONTROL DE ACCESO
Gua de Implementacin de asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. Nombre y Apellidos Cargo que ocupa actualmente Identificador de usuario individual Identificador Identificador de grupo sin de grupo con privilegios privilegios
Identificador que posee el usuario
Documento de autorizacin de asignacin de un identificador de grupo con privilegios (nombre, tipo y numero) Responsable de autorizacin de asignacin de identificador de grupo con privilegios
11.2.3. GESTIN DE CONTRASEAS DE USUARIO Control Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Gua de Implementacin El proceso debe incluir los siguientes requisitos: a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseas personales y las compartidas por un grupo slo entre los miembros de ese grupo (compromiso que podra incluirse en los trminos y condiciones del contrato de empleo, vase el inciso 8.1.3); b) proporcionar inicialmente una contrasea temporal segura (vase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente despus; c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal;
AUDITORIA
Pgina 26
CONTROL DE ACCESO
d) establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico; e) las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias; f) los usuarios deberan remitir acuse de recibo de sus contraseas; g) las contraseas nunca deben ser almacenadas en sistemas de cmputo sin ser protegidos; h) las contraseas por defecto de los vendedores deben ser alteradas despus de la instalacin de los sistemas o software. Otra Informacin Las contraseas son un medio comn de verificar la identidad del usuario antes de que el acceso a un sistema de informacin o servicio sea dado de acuerdo a la autorizacin del usuario. Se deben considerar, si son apropiadas, otras tecnologas para identificacin y autentificacin de usuario como las biomtricas (como la verificacin de huellas, la verificacin de la firma) o el uso de dispositivos hardware (como las tarjetas inteligentes). a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseas personales y las compartidas por un grupo slo entre los miembros de ese grupo (compromiso que podra incluirse en los trminos y condiciones del contrato de empleo, vase el inciso 8.1.3); ACTIVIDAD: (gua implementacin) a) requerir que los usuarios firmen un compromiso para de mantener en secreto sus contraseas personales y las compartidas por un grupo slo entre los miembros de ese grupo (compromiso que podra incluirse en los trminos y condiciones del contrato de empleo, vase el inciso 8.1.3); Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012
Gua de Implementacin de asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. Nombre y Apellidos Cargo que ocupa actualmente
AUDITORIA
Pgina 27
CONTROL DE ACCESO
Usuario: Identificador de usuario Identificador grupal Identificador Documento de compromiso (donde indica no debe ser divulgado la contrasea personal y grupal) (nombre, tipo y numero) Responsable de hacer cumplir el compromiso Fecha de aceptacin del documento de compromiso b) proporcionar inicialmente una contrasea temporal segura (vase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente despus; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 b) proporcionar inicialmente una contrasea temporal segura (vase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente despus; Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
de
Gua de Implementacin de proporcionar inicialmente una contrasea temporal segura que forzosamente deben cambiar inmediatamente despus; Nombre y Apellidos: Cargo que ocupa actualmente Usuario: Contrasea temporal: Documento donde indica la necesidad de cambiar la contrasea temporal (nombre, tipo y numero)
AUDITORIA
Pgina 28
CONTROL DE ACCESO
Fecha de entrega del documento Responsable de la divulgacin del documento Fecha de aceptacin del cambio de contrasea c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal; d) establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico; ACTIVIDAD: (gua implementacin) de c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal; d) establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico; Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012
Gua de Implementacin de establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal y establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico; Para restablece o cambia la contrasea es necesario: Ingresar usuario: Ingresar contrasea: Ingresar una respuesta secreta: Documento donde indica los procedimiento para el cambio o restablecimiento de la contrasea (nombre, tipo y numero)
AUDITORIA
Pgina 29
CONTROL DE ACCESO
Responsable o rea responsable de difundir el documento La peticin de cambio o restablecimiento de contrasea es mediante:
correo electrnico publico correo electrnico de la organizacin mensaje de texto otros indicar?_________________ Cree usted que es seguro? _______________________________ _______________________________ _______________________________
e) las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias; f) los usuarios deberan remitir acuse de recibo de sus contraseas; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 e) las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias; f) los usuarios deberan remitir acuse de recibo de sus contraseas; Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
de
Gua de Implementacin de las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias y los usuarios deberan remitir acuse de recibo de sus contraseas;
Usuario : Contrasea temporal : Las contraseas temporales son nicas. Describa Las contraseas temporales contienen:
AUDITORIA
nombres apellidos
Pgina 30
CONTROL DE ACCESO
fechas deducibles nmeros telefnicos palabras deducible Si selecciono alguno, Cree usted que las contraseas son seguras? Por qu? ______________________________ ______________________________ ______________________________ Con que frecuencia realiza el cambio de su contrasea Tras realizar un cambio de contrasea recibe algn tipo de notificacin de satisfaccin. Describa g) las contraseas nunca deben ser almacenadas en sistemas de cmputo sin ser protegidos; h) las contraseas por defecto de los vendedores deben ser alteradas despus de la instalacin de los sistemas o software. ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 de g) las contraseas nunca deben ser almacenadas en sistemas de cmputo sin ser protegidos; h) las contraseas por defecto de los vendedores deben ser alteradas despus de la instalacin de los sistemas o software. Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de las contraseas nunca deben ser almacenadas en sistemas de cmputo sin ser protegidos y las contraseas por defecto de los vendedores deben ser alteradas despus de la instalacin de los sistemas o software. Proteccin de las contraseas Usuario : Nombres y Apellidos :
AUDITORIA
Pgina 31
CONTROL DE ACCESO
Cargo que ocupa actualmente: Responsable de la proteccin de las contraseas de los usuarios (nombres, apellidos y cargo que ocupa) Documento donde indica todo software o sistema adquirido despus de su instalacin debe cambiarse sus contraseas. Responsable de la divulgacin del documento Fecha del cambio de contraseas de los software o sistemas adquiridos 11.2.4. REVISIN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS Control La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Gua de Implementacin La revisin de los derechos de acceso de usuario debera considerar las siguientes pautas: a) revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y despus de cualquier cambio como promocin, degradacin o termino del empleo (vase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organizacin; c) revisar ms frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales (vase el inciso 11.2.2); d) comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados; e) los cambios en las cuentas privilegiadas deben ser registradas para una revisin peridica. Otra Informacin Es necesario revisar regularmente los derechos de los accesos de los usuarios para mantener un control efectivo del acceso a los datos y los sistemas de informacin. a) revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y despus de cualquier cambio como promocin, degradacin o termino del empleo (vase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organizacin;
AUDITORIA
Pgina 32
CONTROL DE ACCESO
ACTIVIDAD: (gua implementacin)
CONTROL:
a) revisar los derechos de acceso de los usuarios a intervalos de de tiempo regulares (se recomienda cada seis meses) y despus de cualquier cambio como promocin, degradacin o termino del empleo (vase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organizacin; La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de revisin de derechos de acceso de usuarios y reasignacin de derechos de acceso rea o departamento encargado de la revisin de los derechos de acceso de los usuarios: Responsable del rea: Revisin de derechos de acceso Indicar en motivo por el cual se Cambio de promocin est llevando a cabo una revisin : Degradacin de un empleado Ascensin de un empleado Retiro de la organizacin de un empleado Est Programado la revisin Otros Documento de registro de los derechos accesos: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes despus de la revisin (nombres apellidos y rea de trabajo)
AUDITORIA
Pgina 33
CONTROL DE ACCESO
Reasignacin de derechos de acceso Nombre y apellidos: Cargo actual que ocupa: Documento de reasignacin de derechos de acceso Responsable de autorizar reasignacin de derechos. (nombre, apellidos rea de trabajo) Motivo de reasignacin de Cambio de promocin Degradacin derechos de acceso Ascensin Retiro de la organizacin Otros Documento de aprobacin de reasignacin de derecho de accesos c) revisar ms frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales (vase el inciso 11.2.2); ACTIVIDAD: (gua implementacin) CONTROL: c) revisar ms frecuentemente (se recomienda cada tres meses) de las autorizaciones de derechos de acceso con privilegios especiales (vase el inciso 11.2.2); La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de revisar ms frecuentemente los derechos de acceso con privilegios de usuarios rea o departamento encargado de la revisin de los derechos de acceso de los usuarios:
AUDITORIA
Pgina 34
CONTROL DE ACCESO
Responsable del rea: Revisin de derechos de acceso con privilegios Frecuencia con la cual revisan los derechos de acceso con privilegios: Diaria Semanal Mensual Peridicamente cundo? ________________ Nunca
Documento de registro de los derechos accesos con privilegios: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes despus de la revisin (nombres apellidos y rea de trabajo)
d) comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 d) comprobar las asignaciones de privilegios a intervalos de de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados Nombre y Apellidos: Cargo que ocupaba: Cargo que ocupa actualmente:
AUDITORIA
Pgina 35
CONTROL DE ACCESO
Responsable de reasignar los derechos de acceso con privilegios (nombres, apellidos y rea de trabajo) Documento de reasignacin de privilegios de derechos de acceso Fecha de ultima asignacin de privilegios Fecha de la reasignacin de privilegios Fecha de caducidad de los privilegios e) los cambios en las cuentas privilegiadas deben ser registradas para una revisin peridica. ACTIVIDAD: (gua implementacin) CONTROL: e) los cambios en las cuentas privilegiadas deben ser registradas de para una revisin peridica. La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00
Gua de Implementacin de los cambios en las cuentas privilegiadas deben ser registradas para una revisin peridica. Responsable de la revisin de cuentas privilegiadas: Documento de registro de los cambios en las cuentas privilegiadas: (nombre, tipo y numero) Frecuencia con la que se realiza la revisin de las cuentas
AUDITORIA
Diaria Semanal
Pgina 36
CONTROL DE ACCESO
privilegiadas: Documento de reporte de los cambios en las cuentas con privilegios y observaciones halladas (nombre, tipo y numero ) 11.1.1 PARTE 2 11.3 RESPONSABILIDADES DE LOS USUARIOS OBJETIVO:
Mensual Peridicamente cundo? ________________ Nunca
Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la Informacin y de las instalaciones del procesamiento de informacin. Una proteccin eficaz necesita la cooperacin de los usuarios autorizados. Los usuarios deberan ser conscientes de sus responsabilidades en el mantenimiento de la eficacia de las medidas de control de acceso, en particular respecto al uso de contraseas y a la seguridad del material puesto a su disposicin. Un escritorio limpio, as como una poltica de pantalla clara debe ser implementado con el fin de reducir el riesgo de acceso no autorizado o de dao a los papeles, medios e instalaciones del procesamiento de informacin.
AUDITORIA
Pgina 37
CONTROL DE ACCESO
11.3.1 USO DE CONTRASEAS CONTROL Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. GUA DE IMPLEMENTACIN Todos los usuarios deberan ser informados acerca de: a) mantener la confidencialidad de las contraseas; b) evitar guardar registros (papel, archivos de software o dispositivos) de las contraseas, salvo si existe una forma segura de hacerlo y el mtodo de almacenamiento ha sido aprobado. c) cambiar las contraseas si se tiene algn indicio de su vulnerabilidad o de la del sistema. d) seleccionar contraseas de buena calidad, con una longitud mnima caracteres,que sean: 1) fciles de recordar; 2) no estn basadas en algo que cualquiera pueda adivinar u obtener usando informacin relacionada con el usuario, por ejemplo, nombres, fechas de nacimiento, nmeros de telfono, etc.; 3) no sean vulnerables a ataques de diccionario (no consisten en palabras incluidas en diccionarios); 4) estn carentes de caracteres consecutivos repetidos o que sean todos nmeros o todas letras; e) cambiar las contraseas a intervalos de tiempo regulares o en proporcin al nmero de accesos (las contraseas de las cuentas con privilegios especiales deberan cambiarse con ms frecuencia que las normales), evitando utilizar contraseas antiguas o cclicas. f) cambiar las contraseas temporales asignadas para inicio, la primera vez que se ingrese al sistema.
AUDITORIA
Pgina 38
CONTROL DE ACCESO
g) no incluir contraseas en ningn procedimiento automtico de conexin, que, las deje almacenadas permanentemente. h) no compartir contraseas de usuario individuales. i) no utilizar la misma contrasea para propsitos personales o de negocio. ACTIVIDA D: CONTROL 11.3.1 USO DE CONTRASEAS
Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. GUA DE IMPLEMENTACIN SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
FECHA DE DURACION INICIO 1 10/01/2012 H D
GUA DE IMPLEMENTACIN A) Mantener la confidencialidad de las contraseas Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: 1 Nro. Documento: Resol. N ssss user Trabajador01
Fecha de creacin de contrasea ? Nombre y Apellidos
Fecha de caducidad
Tamao de la contrasea 10/01/2012
descripcion La contrasea 10 asignada no debe ser divulgada a tercerosn porni
Firma de Razn de Acceso
Firma Encargado (Los acceso)
AUDITORIA
Pgina 39
CONTROL DE ACCESO
B) Evitar guardar registros (papel, archivos de software o dispositivos) de las contraseas, salvo si existe una forma segura de hacerlo y el mtodo de almacenamiento ha sido aprobado. Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.
ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Contrasea Acceso
Fecha de Acceso 10/01/2012
Tiempo de Acceso Razn de Acceso
Nombre Apellidos
y Firma Encargado (Los acceso)
C) Cambiar las contraseas si se tiene algn indicio de su vulnerabilidad o de la del sistema Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.
AUDITORIA
Pgina 40
CONTROL DE ACCESO
Nombre Apellidos
D) Seleccionar contraseas de buena calidad, con una longitud mnima caracteres,que sean: 1) fciles de recordar; 2) no estn basadas en algo que cualquiera pueda adivinar u obtener usando informacin relacionada con el usuario, por ejemplo, nombres, fechas de nacimiento, nmeros de telfono, etc.; 3) no sean vulnerables a ataques de diccionario (no consisten en palabras incluidas en diccionarios); 4) estn carentes de caracteres consecutivos repetidos o que sean todos nmeros o todas letras Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.
Nombre Apellidos
AUDITORIA
Pgina 41
CONTROL DE ACCESO
E) Cambiar las contraseas a intervalos de tiempo regulares o en proporcin al nmero de accesos (las contraseas de las cuentas con privilegios especiales deberan cambiarse con ms frecuencia que las normales), evitando utilizar contraseas antiguas o cclicas Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.
Nombre Apellidos
F) Cambiar las contraseas temporales asignadas para inicio, la primera vez que se ingrese al sistema Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.
AUDITORIA
Pgina 42
CONTROL DE ACCESO
Nombre Apellidos
G) No incluir contraseas en ningn procedimiento automtico de conexin, que, las deje almacenadas permanentemente Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.
Nombre Apellidos
H) No compartir contraseas de usuario individuales. Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.
Pgina 43
AUDITORIA
CONTROL DE ACCESO
Nombre Apellidos
I) no utilizar la misma contrasea para propsitos personales o de negocio. Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.
Gua de implementacin no utilizar la misma contrasea para propsitos personales o de negocio.
Nombre Apellidos
11.3.2 EQUIPO INFORMTICO DE USUARIO DESATENDIDO CONTROL Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos.
AUDITORIA
Pgina 44
CONTROL DE ACCESO
GUA DE IMPLEMENTACIN Todos los usuarios y proveedores de servicios deberan conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, as como sus responsabilidades para implantar dicha proteccin. Se les debera recomendar: a) cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contrasea para protector de pantalla; b) desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesin (y no slo apagar el terminal o el computador personal); c) proteger el terminal o el puesto de trabajo cuando no estn en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contrasea de acceso
OTRA INFORMACIN El equipo instalado en reas de usuarios, como las estaciones de trabajo o los servidores de archivo, pueden requerir proteccin especfica para un acceso no autorizado cuando se desatienda por un periodo extenso. ACTIVIDAD: CONTROL 11.3.2 EQUIPO INFORMTICO DE USUARIO DESATENDIDO
Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos. GUA DE IMPLEMENTACIN DURACION 1 H D S M SUPERVISOR: Supervisor1 Cargo: Cargo1
FECHA DE INICIO 10/01/2012
DUR ACIO N
GUA DE IMPLEMENTACIN a) cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contrasea para protector de pantalla.
AUDITORIA
Pgina 45
CONTROL DE ACCESO
Control Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos. Gua de implementacin cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contrasea para protector de pantalla.
ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, as como sus responsabilidades para implantar dicha proteccin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso
Tiempo invertido
Razn de Acceso
Nombre Apellidos
b) desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesin (y no slo apagar el terminal o el computador personal). Control Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos. Gua de implementacin Desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesin (y no slo apagar el terminal o el computador personal).
ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, as como sus responsabilidades para implantar dicha proteccin. RESPONSABLE:
AUDITORIA
Pgina 46
CONTROL DE ACCESO
SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso
Tiempo invertido
Razn de Acceso
Nombre Apellidos
c) proteger el terminal o el puesto de trabajo cuando no estn en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contrasea de acceso Control Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos. Gua de implementacin proteger el terminal o el puesto de trabajo cuando no estn en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contrasea de acceso
ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, as como sus responsabilidades para implantar dicha proteccin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso
Fecha de Acceso
Tiempo invertido
Razn de Acceso
Nombre Apellidos
AUDITORIA
Pgina 47
CONTROL DE ACCESO
10/01/2012
11.3.3 POLTICA DE PANTALLA Y ESCRITORIO LIMPIO CONTROL Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. GUA DE IMPLEMENTACIN La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin (vase el inciso 7.2), los requerimientos legales y contractuales (vase el inciso 15.1), los riesgos correspondientes y los aspectos culturales de la organizacin. Las siguientes pautas deben ser consideradas: a) la informacin critica o sensible del negocio (papel o medios electrnicos de almacenamiento) debe ser asegurada (sera ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vaca. b) los computadores y terminales deben ser apagados o protegidos con un mecanismo de proteccin de pantalla o de teclado controlado por contrasea u otro mecanismo de autentificacin, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseas u otro tipo de control cuando no sean utilizados. c) los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos. d) debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologas de reproduccin como scanner o cmaras digitales.
AUDITORIA
Pgina 48
CONTROL DE ACCESO
e) los documentos que contienen informacin sensible y clasificada deben ser removidos de las impresoras de inmediato. OTRA INFORMACIN Una poltica de pantalla y escritorio limpio reduce los riegos de un acceso no autorizado y de la prdida o dao de la informacin durante horas de trabajo no establecidas. Las cajas fuertes u otras formas de instalaciones de almacenamiento pueden tambin proteger informacin almacenada contra desastres como incendio, terremotos, inundacin u explosin. Considere el uso de impresoras con cdigo pin de modo tal que los creadores sean los nicos que puedan sacar sus impresiones y solo cuando se encuentren al costado de la impresora. ACTIVIDAD: CONTROL 11.3.3 POLTICA DE PANTALLA Y ESCRITORIO LIMPIO Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin.
GUA DE IMPLEMENTACIN FECHA DE INICIO 10/01/2012 DURACION 1 H D S M SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
GUA DE IMPLEMENTACIN a) la informacin crtica o sensible del negocio (papel o medios electrnicos de almacenamiento) debe ser asegurada (sera ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vaca
AUDITORIA
Pgina 49
CONTROL DE ACCESO
Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. Gua de implementacin la informacin crtica o sensible del negocio (papel o medios electrnicos de almacenamiento) debe ser asegurada (sera ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vaca ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso
Tiempo invertido
Razn de Acceso
Nombre Apellidos
b) los computadores y terminales deben ser apagados o protegidos con un mecanismo de proteccin de pantalla o de teclado controlado por contrasea u otro mecanismo de autentificacin, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseas u otro tipo de control cuando no sean utilizados Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin.
AUDITORIA
Pgina 50
CONTROL DE ACCESO
Gua de implementacin los computadores y terminales deben ser apagados o protegidos con un mecanismo de proteccin de pantalla o de teclado controlado por contrasea u otro mecanismo de autentificacin, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseas u otro tipo de control cuando no sean utilizados ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso
Tiempo invertido
Razn de Acceso
Nombre Apellidos
c) los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos; Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. Gua de implementacin los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos;
ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera
AUDITORIA
Pgina 51
CONTROL DE ACCESO
FECHA INICIO: 10/01/2012 Nro: Nro. Documento:
FECHA FIN: 10/01/2012 ID Equipo1: Identificador de Id Tipo Seguridad Acceso
Tiempo invertido
Razn de Acceso
Nombre Apellidos
d) debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologas de reproduccin como scanner o cmaras digitales Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. Gua de implementacin debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologas de reproduccin como scanner o cmaras digitales
ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso
Tiempo invertido
Razn de Acceso
Nombre Apellidos
AUDITORIA
Pgina 52
CONTROL DE ACCESO
e) los documentos que contienen informacin sensible y clasificada deben ser removidos de las impresoras de inmediato. Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. Gua de implementacin los documentos que contienen informacin sensible y clasificada deben ser removidos de las impresoras de inmediato.
ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso
Tiempo invertido
Razn de Acceso
Nombre Apellidos
11.4 CONTROL DE ACCESO A LA RED OBJETIVO: Prevenir el acceso no autorizado de los servicios de la red. Debera controlarse el acceso a los servicios a las redes internas y externas.
AUDITORIA
Pgina 53
CONTROL DE ACCESO
Hay que asegurarse que el acceso de los usuarios a las redes y sus servicios no comprometan la seguridad de dichos servicios, por medio de: a) interfaces adecuadas entre la red de la organizacin y las redes pblicas o las privadas de otras organizaciones; b) mecanismos adecuados de autenticacin para los usuarios y los equipos; c) control de los accesos de los usuarios a los servicios de informacin 11.4.1 POLTICA DE USO DE LOS SERVICIOS DE LA RED CONTROL Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. GUA DE IMPLEMENTACIN Se debera formular la poltica de uso de las redes y los servicios de la red, que es conveniente que cubra: a) las redes y los servicios de la red a los que se puede acceder; b) los procedimientos de autorizacin para determinar quin puede acceder a qu redes y a qu servicios de la red; c) los controles y procedimientos de gestin para proteger el acceso a las conexiones de las redes y a los servicios de la red; d) los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La poltica debera ser coherente con la poltica de control de accesos de la organizacin (vase el inciso 11.1). ACTIVIDAD: 11.4.1 POLTICA DE USO DE LOS SERVICIOS DE LA RED
AUDITORIA
Pgina 54
CONTROL DE ACCESO
CONTROL
Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. GUA DE IMPLEMENTACIN DURACION 1 H D S M SUPERVISOR: Supervisor1 Cargo: Cargo1
FECHA DE INICIO 10/01/2012
DUR ACIO N
GUA DE IMPLEMENTACIN a) las redes y los servicios de la red a los que se puede acceder. Control Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. Gua de implementacin Las redes y los servicios de la red a los que se pueden acceder.
ACTIVIDAD: Se debera formular la poltica de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Red Acceso
Fecha de Acceso
Nombre Apellidos
AUDITORIA
Pgina 55
CONTROL DE ACCESO
b) los procedimientos de autorizacin para determinar quin puede acceder a qu redes y a qu servicios de la red. Control Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. Gua de implementacin los procedimientos de autorizacin para determinar quin puede acceder a qu redes y a qu servicios de la red.
ACTIVIDAD: Se debera formular la poltica de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Red Acceso
Fecha de Acceso
Nombre Apellidos
c) los controles y procedimientos de gestin para proteger el acceso a las conexiones de las redes y a los servicios de la red. Control Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. Gua de implementacin los controles y procedimientos de gestin para proteger el acceso a las conexiones de las redes y a los servicios de la red.
ACTIVIDAD: Se debera formular la poltica de uso de las redes y los servicios de la red, que es
AUDITORIA
Pgina 56
CONTROL DE ACCESO
conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Red Acceso
Fecha de Acceso
Nombre Apellidos
d) los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La poltica debera ser coherente con la poltica de control de accesos de la organizacin (vase el inciso 11.1). Control Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. Gua de implementacin los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La poltica debera ser coherente con la poltica de control de accesos de la organizacin ACTIVIDAD: Se debera formular la poltica de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Red Acceso
AUDITORIA
Pgina 57
CONTROL DE ACCESO
Fecha de Acceso
Nombre Apellidos
11.4.2 AUTENTIFICACIN DE USUARIO PARA CONEXIONES EXTERNAS CONTROL Se deben utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos GUA DE IMPLEMENTACIN La autentificacin de usuarios remoto puede realizarse utilizando, por ejemplo, una tcnica basada en criptografa, smbolos de hardware o un protocolo de desafo/respuesta. Se pueden encontrar posibles implementaciones de dichas tcnicas en varias soluciones de redes privadas virtuales. Tambin se pueden utilizar lneas privadas dedicadas, con el fin de proveer aseguramiento en la fuente de conexiones. Los procedimientos y controles de dial-back por ejemplo, usando mdems de dial-back, pueden ofrecer proteccin contra conexiones no autorizadas ni deseadas a los recursos de tratamiento de informacin de una organizacin. Este tipo de control autentica a los usuarios que tratan de establecer conexin a la red de la organizacin desde lugares remotos. Cuando se usa este control, la organizacin no debera usar servicios de red que incluyan reexpedicin de llamadas y si la tienen, deberan desconectarla para evitar la debilidad consecuente. Tambin es importante que el proceso de dial-back asegure la desconexin del lado de la organizacin. Si no, el usuario remoto podra mantener la lnea abierta pretendiendo que se ha verificado el dial-back. Los procedimientos y controles de dial-back deberan pasar pruebas para evitar esta posibilidad. Un nodo de autentificacin puede servir como un medio alternativo para autentificar grupos de usuarios remotos donde estn conectados a un computador seguro. Las
AUDITORIA
Pgina 58
CONTROL DE ACCESO
tcnicas criptogrficas, basados en certificados de maquinas, pueden ser utilizados para autentificar nodos. Controles adicionales de autentificacin deben ser implementados para el control de acceso de redes inalmbricas. En particular, se requiere especial cuidado en la seleccin de controles para redes inalmbricas debido a las grandes oportunidades de intercepciones no detectadas e inserciones de trfico en la red. OTRA INFORMACIN Las conexiones externas proveen un potencial acceso no autorizado a la informacin del negocio, como los accesos mediante mtodos de discado. Existen diferentes tipos de mtodos de autentificacin y algunos pueden proveer un mayor nivel de proteccin que otros, como por ejemplo los mtodos basados en tcnicas criptogrficas las cuales pueden proveer una fuerte autentificacin. Es importante determinar, desde una evaluacin de riesgos, el nivel de proteccin requerida. Esto es necesario para la apropiada seleccin de un mtodo de autentificacin. Una instalacin para una conexin automtica a un computador remoto puede proveer una forma de ganar acceso no autorizado a una aplicacin de negocio. Estos es especialmente importante si la conexin usa una red que se encuentra fuera del control de la gestin de seguridad de la organizacin. 11.4.3 identificacin de los servicios de redes. Control Las identificaciones automticas de equipo deben ser consideradas como medio para autentificar conexiones desde locales y equipos especficos. Gua de implementacin La identificacin de equipos puede ser utilizada si es importante que las comunicaciones puedan ser iniciadas desde un local y equipos especifico. Un identificador dentro o adjunto al equipo puede ser utilizado para indicar si el equipo est autorizado para
AUDITORIA
Pgina 59
CONTROL DE ACCESO
conectarse a la red. Puede ser necesario considerar proteccin fsica del equipo con el fin de mantener la seguridad de los identificadores del equipo. Otra informacin. Este control puede ser complementado con otras tcnicas para autentificar el usuario del equipo. La identificacin de los equipos pueden ser aplicado adicionalmente a la identificacin del usuario. Control Las identificaciones automticas de equipo deben ser consideradas como medio para autentificar conexiones desde locales y equipos especficos. Gua de implementacin La identificacin de equipos puede ser utilizada si es importante que las comunicaciones puedan ser iniciadas desde un local y equipos especifico. Un identificador dentro o adjunto al equipo puede ser utilizado para indicar si el equipo est autorizado para conectarse a la red. Puede ser necesario considerar proteccin fsica del equipo con el fin de mantener la seguridad de los identificadores del equipo. ACTIVIDAD: Control acceso a la red RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Red
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Notas: Mediante el presente documento el usuario confirma: 1. El usuario se hace responsable de lo firmado
11.4.4 Diagnsticos remotos y configuracin de puertos. Control Se debera controlar el acceso fsico y logstico para diagnosticar y configurar puertos.
AUDITORIA
Pgina 60
CONTROL DE ACCESO
Gua de implementacin Controles potenciales para el acceso de diagnostico y configuracin de puertos incluyen el uso de un cierre de llave y de procedimientos de apoyo para controlar el acceso fsico al puerto. Un ejemplo para dicho procedimiento de apoyo es asegurar que el diagnostico y configuracin de puertos sean solo accesibles por arreglo entre el director del servicio de computo y el personal de mantenimiento de hardware/software que requiere acceso. Los puertos, servicios e instalaciones similares instaladas en una computadora o instalacin de computo no son requeridas especficamente para la funcionabilidad del negocio, debe ser inhabilitado o removido. Otra informacin. Muchos sistemas de computo, sistemas de red y de comunicaciones son instaladas con un diagnostico remoto o instalacin de configuracin para uso de ingenieros de mantenimiento. Si se encuentra desprotegida, el diagnostico de puertos provee medios de acceso no autorizado. Control Se debera controlar el acceso fsico y logstico para diagnosticar y configurar puertos. ACTIVIDAD: Diagnsticos remotos y configuracin de puertos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro: Nro. Documento: ID Equipo: Puertos Procedimientos
Puerto 1 Puerto 2 Puerto 3

AUDITORIA
Procedimiento 1
Procedimiento 2
Pgina 61
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
11.4.5 Segregacin en las redes. Control Los grupos de servicios de informacin, usuarios y sistemas de informacin deben ser segregados en las redes. Gua de implementacin Un mtodo para controlar la seguridad de grandes redes es dividirlas en dominios lgicos separados (por ejemplo dominios de redes internas a la organizacin o de redes externas), cada uno protegido por un permetro definido de seguridad. Se puede aplicar un conjunto graduado de controles en diferentes dominios de redes lgicas para segregar a futuro los ambientes de seguridad de red, como por ejemplo sistemas pblicos accesibles, redes internas y activos crticos. Los dominios deben ser definidos basados en una evaluacin de riesgos y los diferentes requisitos de seguridad entre cada uno de los dominios. Entre las redes a interconectar puede implantarse como permetro un Gateway seguro que controle los accesos y los flujos de informacin entre los dominios. Se debera configurar este Gateway para que filtre el trfico entre ellos y bloquee los accesos no autorizados de acuerdo con la poltica del control de accesos de la organizacin. Un ejemplo de este tipo de Gateway es lo que comnmente se conoce como firewall. Otro mtodo de segregar dominios lgicos es restringir el acceso a red utilizando redes virtuales privadas para usuarios de grupos entre las organizaciones. Las redes pueden ser segregadas tambin utilizando la funcionabilidad de los dispositivos de red como el cambio de IP. Los dominios separados pueden ser implementados despus controlando los flujos de datos utilizando capacidades de enrutamiento como las listas de control de acceso.
AUDITORIA
Pgina 62
CONTROL DE ACCESO
Los criterios para segregar las redes en dominios se deberan basar en la poltica de control de accesos y en los requisitos de acceso teniendo tambin en cuenta el costo relativo y el impacto en el rendimiento por la incorporacin de la tecnologa adecuada de enrutamiento de Gateway en la red. En adicin, la segregacin de redes en dominios debe ser basado en el valor y clasificacin de la informacin almacenada o procesada en la red, niveles de confianza o lneas de negocio con el fin de reducir el impacto total de una interrupcin de servicio. Se debe tomar consideracin con las redes inalmbricas desde una red interna hacia una privada. Como los permetros de las redes inalmbricas no estn bien definidos, se de llevar a cabo una evaluacin de riesgos en dichos casos para identificar controles (una fuerte autentificacin, mtodos criptogrficos y frecuencia de seleccin) para mantener una segregacin de red. Otra informacin. Las redes han sido crecientemente extendidas mas all de las barreras organizaciones tradicionales, como se forman alianzas de negocios que puedan requerir la interconexin o el compartir las instalaciones de red y de procesamiento de informacin. Estas extensiones pueden incrementar el riesgo de un acceso no autorizado a los sistemas de informacin existentes que utilizan la red, algunos de los cuales pueden requerir proteccin de otros usuarios de redes debido a su sensibilidad o criticidad. Control Los grupos de servicios de informacin, usuarios y sistemas de informacin deben ser segregados en las redes. ACTIVIDAD: Segregacin en las redes RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.: Nro. Documento: Dominio Gateway de Dominio Dominio Basado en:
AUDITORIA
Pgina 63
CONTROL DE ACCESO
Modulo 1
-IP -Otro
Nro. Documentos Segregacin de redes
Nro. Documentos Evaluacin de riesgos
Modulo 2 Modulo 3
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
11.4.6 Control de conexiones a las redes. Control Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones del negocio. Gua de implementacin Los derechos de acceso de los usuarios deben ser mantenidos y actualizados como requiere la poltica de control de accesos. La capacidad de conexin de los usuarios pueden ser restringido a travs de entradas que filtren el trafico por medio de tablas o reglas pre definidas. Algunas de las aplicaciones a las cuales las que se debe aplicar las restricciones son: a) b) c) d) Correo Electrnico. Transferencia de archivos. Acceso interactivo. Acceso a las aplicaciones.
AUDITORIA
Pgina 64
CONTROL DE ACCESO
Se debe considerar vincular los derechos de acceso a red en ciertos periodos del da o en fechas. Otra informacin. Puede ser requerida, por la poltica de control de acceso para redes compartidas, las incorporaciones de controles para restringir las capacidades de conexin de los usuarios especialmente a travs de las fronteras de la organizacin. Control Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones del negocio. ACTIVIDAD: Control de conexiones a las redes- Correo Electrnico RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.: Nro. Documento: Correo electrnico Mdulos de Acceso Modulo 1 Mdulos Cambiados Modulo 1
Modulo 2 Modulo 3 Fecha de Acceso Tiempo de Acceso Razn de Acceso Nombre y Apellidos
Modulo 2 Modulo 3 Firma Encargado (Los acceso)
Control Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones del negocio. ACTIVIDAD: Control de conexiones a las redes- Acceso Interactivo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera
AUDITORIA
Pgina 65
CONTROL DE ACCESO
FECHA INICIO: Nro.: Nro. Documento:
FECHA FIN: IdEquipo Recepcionante
Mdulos de Acceso Modulo 1
Archivos Transferidos Doc1
Doc2 Modulo 3 Firma Encargado (Los acceso)
Control Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones del negocio. ACTIVIDAD: Control de conexiones a las redes- Acceso Interactivos RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.: Nro. Documento: Equipo 1 Equipo 2 Mdulos de Acceso 1 Modulo 1 Mdulos de Acceso 2 Doc1
Doc2 Modulo 3 Firma Encargados (Los acceso)
Control Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones del
AUDITORIA
Pgina 66
CONTROL DE ACCESO
negocio. ACTIVIDAD: Control de conexiones a las redes- Acceso a las Aplicaciones RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Aplicacin/Nro: Mdulos de Nro.: Nro. Documento: Equipo Documentos Acceso Modulo 1
Nro Veces Accediento Doc1
Doc2 Modulo 3 Firma Encargados (Los acceso)
11.4.7 Control de enrutamiento en la red. Control Se deberan implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de informacin no incumplan la poltica de control de acceso a las aplicaciones. Gua de implementacin Los controles de enrutamiento podran basarse en mecanismo positivos de verificacin de las direcciones de origen y destino de los mensajes. Otra informacin.
AUDITORIA
Pgina 67
CONTROL DE ACCESO
Las redes compartidas, especialmente las que se extienden a travs de las fronteras de la organizacin, pueden requerir controles de enrutamiento adicionales. Esto aplica particularmente cuando las redes son compartidas con usuarios externos. Control Se deberan implementar controles de enrutamiento que garanticen que las conexiones entre computadores y los flujos de informacin no incumplan la poltica de control de acceso a las aplicaciones. ACTIVIDAD: Control de conexiones a las redes- Correo Electrnico RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.: Nro. Documento: IdMensaje Origen Destino
Poltica de Enrutamiento
Nro. Documentos
Fecha de Instalacin
Tiempo en Funcionamiento
Modificacin
Modulo 1 Modulo 2 Modulo 3 Fecha de Acceso Tiempo de Acceso Razn de Acceso Nombre y Apellidos Firma Encargado (Los acceso)
11.5 Control de acceso al sistema operativo OBJETIVO: Evitar accesos no autorizados a los computadores. Las prestaciones de seguridad a nivel de sistema operativo se deberan utilizar para restringir el acceso a los recursos del computador. Estos servicios deberan ser capaces de: a) identificar y verificar la identidad de cada usuario autorizado en concordancia con una poltica definida de control de acceso;.
AUDITORIA
Pgina 68
CONTROL DE ACCESO
b) registrar los accesos satisfactorios y fallidos al sistema. c) registrar el uso de privilegios especiales del sistema. d) alarmas para cuando la poltica del sistema de seguridad sea abierta. e) suministrar mecanismos, adecuados de autenticacin. f) cuando proceda, restringir los tiempos de conexin de usuarios. 11.5.1 Procedimiento de Conexin a Terminales Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de Implementacin Se debera disear un procedimiento para conectarse al sistema informtico que minimice la posibilidad de accesos no autorizados. Por tanto, el proceso de conexin debera mostrar el mnimo posible de informacin sobre el sistema para no facilitar ayuda innecesaria a usuarios no autorizados. Un buen procedimiento de conexin debera: a) no mostrar identificacin del sistema o aplicacin hasta que termine el proceso de conexin. b) mostrar un mensaje que advierta la restriccin de acceso al sistema slo a usuarios
autorizados. c) no ofrecer mensajes de ayuda durante el proceso de conexin que puedan guiar a usuarios no autorizados. d) validar la informacin de conexin slo tras rellenar todos sus datos de entrada. Si se produce una condicin de error, el sistema no debera indicar qu parte de esos datos es correcta o no. e) limitar el nmero de intentos fallidos de conexin (se recomienda tres) y considerar: 1) el registro de los intentos fallidos de conexin.
AUDITORIA
Pgina 69
CONTROL DE ACCESO
2) un tiempo forzoso de espera antes de permitir un nuevo intento de conexin o su rechazo sin una autorizacin especfica. 3) la desconexin de la comunicacin de datos. 4) el envo de un mensaje de alerta a la consola del sistema si se alcanza el nmero mximo de oportunidades de conexin. 5) establecer el nmero de pruebas de contrasea en conjuncin con su largo mnimo y el valor de los sistemas que estn siendo protegidos. f) limitar los tiempos mximo y mnimo permitidos para efectuar el proceso de conexin; y concluir si se exceden. g) mostrar la siguiente informacin tras completar una conexin con xito: 1) fecha y hora de la anterior conexin realizada con xito. 2) informacin de los intentos fallidos desde la ltima conexin realizada con xito. h) no mostrar la contrasea que se ingresa o considerar esconderla con caracteres simblicos. i) no transmitir contraseas en texto legible a travs de la red. ACTIVIDAD: CONTROL 11.5.1 Procedimiento de Conexin a Terminales El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. GUA DE IMPLEMENTACIN
FECHA DE INICIO Haga clic aqu para escribir una fecha.
DURACION Elija un elemento.
SUPERVISOR: Supervisor1 Cargo: Cargo1
DUR ACIO N
A) No mostrar identificacin del sistema o aplicacin hasta que termine el proceso de conexin Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de implementacin No mostrar identificacin del sistema o aplicacin hasta que termine el proceso de conexin
AUDITORIA
Pgina 70
CONTROL DE ACCESO
ACTIVIDAD: Ocultar datos del Usuario RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
FECHA FIN: Haga clic aqu para escribir una fecha. ID Equipo1: Identificador de Acceso Id Contrasea
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante su conexin al sistema: 1. El sistema no muestra sus datos hasta que la conexin finalice. B) Mostrar un mensaje que advierta la restriccin de acceso al sistema slo a usuarios autorizados. Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de implementacin Mostrar un mensaje que advierta la restriccin de acceso al sistema slo a usuarios autorizados. ACTIVIDAD: Mantener una Conexin segura RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Contrasea
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexin al sistema: 1. El sistema muestra mensajes de restriccin de acceso solo a usuarios autorizados.
AUDITORIA
Pgina 71
CONTROL DE ACCESO
C) no ofrecer mensajes de ayuda durante el proceso de conexin que puedan guiar a usuarios no autorizados. Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de implementacin No ofrecer mensajes de ayuda durante el proceso de conexin que puedan guiar a usuarios no autorizados. ACTIVIDAD: Limitar mensajes de ayuda RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexin al sistema: 1. El sistema no cuenta con una gua de ayuda de modo que se evita el acceso a usuarios no autorizados. D) validar la informacin de conexin slo tras rellenar todos sus datos de entrada. Si se produce una condicin de error, el sistema no debera indicar qu parte de esos datos es correcta o no. Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de implementacin Validar la informacin de conexin slo tras rellenar todos sus datos de entrada. Si se produce una condicin de error, el sistema no debera indicar qu parte de esos datos es correcta o no. ACTIVIDAD: Limitar informacin de datos incorrectos RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Nro:
AUDITORIA
Nro. Documento:
ID Equipo1:
Identificador de Acceso
Id Contrasea Pgina 72
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexin al sistema: 1. El sistema cuenta con una validacin de entrada de datos. 2. La validacin no muestra donde se encuentra el error en caso de un acceso errneo.
E) Limitar el nmero de intentos fallidos de conexin (se recomienda tres). Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de implementacin Limitar el nmero de intentos fallidos de conexin (se recomienda tres). ACTIVIDAD: Limitar el numero de intentos fallidos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Contrasea
Fecha de Acceso Haga clic aqu para escribir una fecha.

AUDITORIA
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Pgina 73
CONTROL DE ACCESO
Notas: Mediante el presente documento el usuario confirma que durante la conexin al sistema: 1. El sistema cuenta con una validacin de entrada de datos. 2. Existe un lmite de intentos fallidos los cuales son registrados por el sistema los cuales en caso de exceder desconectan el sistema. 3. Existe en tiempo forzoso de reconexin despus de la desconexin previa. F) limitar los tiempos mximo y mnimo permitidos para efectuar el proceso de conexin; y concluir si se exceden. Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de implementacin Limitar los tiempos mximo y mnimo permitidos para efectuar el proceso de conexin; y concluir si se exceden. ACTIVIDAD: Limitar el tiempo de conexin al sistema. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Contrasea
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexin al sistema: 1. El sistema cuenta con lmite de tiempo de acceso. G) Mostrar informacin de fecha y hora de la anterior conexin e informacin de los intentos fallidos desde la ltima conexin. Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de implementacin Mostrar informacin de fecha y hora de la anterior conexin e informacin de los intentos fallidos desde la ltima conexin. ACTIVIDAD: Mostrar datos desde la ultima conexin. RESPONSABLE:
AUDITORIA
Pgina 74
CONTROL DE ACCESO
SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexin al sistema: 1. El sistema muestra informacin de fecha y hora la cual es referente de los intentos fallidos desde la ltima conexin.
H) no mostrar la contrasea que se ingresa o considerar esconderla con caracteres simblicos. Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de implementacin No mostrar la contrasea que se ingresa o considerar esconderla con caracteres simblicos. ACTIVIDAD: Ocultar contrasea. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
AUDITORIA
Pgina 75
CONTROL DE ACCESO
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexin al sistema: 1. El sistema cuenta con un mtodo el cual oculta las contraseas. 2. El mtodo esconde las contraseas con caracteres simblicos. I) no transmitir contraseas en texto legible a travs de la red. Control El acceso a los servicios de informacin debera estar disponible mediante un proceso de conexin seguro. Gua de implementacin No transmitir contraseas en texto legible a travs de la red. ACTIVIDAD: Ocultar contrasea. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que durante la conexin al sistema: 1. El sistema cuenta con un mtodo de cifrado de contraseas. 2. El cifrado convierte las contraseas en texto ilegible a travs de la red. 11.5.2 Identificacin y autenticacin del usuario Control Todos los usuarios deberan disponer de un identificador nico para su uso personal y debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. Gua de Implementacin
AUDITORIA
Pgina 76
CONTROL DE ACCESO
Este control debe ser aplicado para todos los tipos de usuario (incluidos los administradores de red y de bases de datos, los programadores de sistemas y el personal tcnico de apoyo). Los ID de los usuarios deben ser utilizados para seguir la pista de las actividades de cada responsable individual. Las actividades regulares del usuario no deben ser realizadas desde cuentas privilegiadas. En circunstancias excepciona1es que se justifiquen por sus ventajas pueden usarse identificadores de usuario compartidos para un grupo de usuarios o un trabajo especfico. En estos casos se debera necesitar la aprobacin escrita de la gerencia. Puede necesitarse la implantacin de controles adicionales para la responsabilidad. Los IDs genricos utilizados por individuos deben ser solo permitidos donde las funciones o acciones llevadas a cabo no requieren ser trazadas (como la lectura) o cuando existan otros controles establecidos (contraseas genricas utilizadas solamente por un grupo de personas a la vez y conectndose en dicho momento). Donde se requiera una fuerte autentificacin e identificacin, se pueden utilizar mtodos alternativos a las contraseas como medios criptogrficos, tarjetas inteligentes o medios biomtricos. ACTIVIDAD # (gua de implementacion ) CONTROL 11.5.2 Identificacin y autenticacin del usuario
Todos los usuarios deberan disponer de un identificador nico para su uso personal y debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos.
DUR ACIO N
A) Los ID de los usuarios deben ser utilizados para seguir la pista de las actividades de cada responsable individual. Las actividades regulares del usuario no deben ser realizadas desde cuentas privilegiadas.
AUDITORIA
Pgina 77
CONTROL DE ACCESO
Control Todos los usuarios deberan disponer de un identificador nico para su uso personal y debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. Gua de implementacin Los ID de los usuarios deben ser utilizados para seguir la pista de las actividades de cada responsable individual. Las actividades regulares del usuario no deben ser realizadas desde cuentas privilegiadas. ACTIVIDAD: Limitar actividades regulares. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Contrasea
Fecha de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que: 1. El sistema cuenta con un control de cuentas privilegiadas. 2. Las actividades regulares de los usuarios no se realizan desde cuentas privilegiadas.
B) En circunstancias excepcionales que se justifiquen por sus ventajas pueden usarse identificadores de usuario compartidos para un grupo de usuarios o un trabajo especfico. En estos casos se debera necesitar la aprobacin escrita de la gerencia. Puede necesitarse la implantacin de controles adicionales para la responsabilidad. Control Todos los usuarios deberan disponer de un identificador nico para su uso personal y debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. Gua de implementacin En circunstancias excepcionales que se justifiquen por sus ventajas pueden usarse identificadores de usuario compartidos para un grupo de usuarios o un trabajo especfico. En estos casos se debera necesitar la aprobacin escrita de la gerencia. Puede necesitarse la implantacin de controles adicionales para la responsabilidad. ACTIVIDAD: Responsabilidad de acceso de usuarios compartidos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera
AUDITORIA
Pgina 78
CONTROL DE ACCESO
FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. El sistema cuenta con identificadores de usuarios compartidos para un grupo de usuarios o un trabajo. C) Los IDs genricos utilizados por individuos deben ser solo permitidos donde las funciones o acciones llevadas a cabo no requieren ser trazadas (como la lectura) o cuando existan otros controles establecidos (contraseas genricas utilizadas solamente por un grupo de personas a la vez y conectndose en dicho momento). Control Todos los usuarios deberan disponer de un identificador nico para su uso personal y debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. Gua de implementacin Los IDs genricos utilizados por individuos deben ser solo permitidos donde las funciones o acciones llevadas a cabo no requieren ser trazadas (como la lectura) o cuando existan otros controles establecidos (contraseas genricas utilizadas solamente por un grupo de personas a la vez y conectndose en dicho momento). ACTIVIDAD: Responsabilidad de acceso de usuarios genricos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Contrasea
Nombre y Apellidos
AUDITORIA
Pgina 79
CONTROL DE ACCESO
Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. Se tiene un control de permisos de ID s genricos. 2. Existen controles para acceder con contraseas genricas. D) Donde se requiera una fuerte autentificacin e identificacin, se pueden utilizar mtodos alternativos a las contraseas como medios criptogrficos, tarjetas inteligentes o medios biomtricos. Control Todos los usuarios deberan disponer de un identificador nico para su uso personal y debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. Gua de implementacin Donde se requiera una fuerte autentificacin e identificacin, se pueden utilizar mtodos alternativos a las contraseas como medios criptogrficos, tarjetas inteligentes o medios biomtricos. ACTIVIDAD: Otros mtodos de identificacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Contrasea
Nombre y Apellidos
Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. Existen otros mtodos de identificacin con mtodos alternativos a las contraseas. 2. El usuario utiliza estos mtodos alternativos. 11.5.3 Sistema de gestin de contraseas Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de Implementacin
AUDITORIA
Pgina 80
CONTROL DE ACCESO
Un buen sistema de gestin de contraseas debera: a) imponer el uso de contraseas individuales con el fin de establecer responsabilidades. b) permitir que los usuarios escojan sus contraseas, las cambien e incluyan un procedimiento de confirmacin para evitar errores al introducirlas. c) imponer la seleccin de contraseas de calidad (vase el inciso 11.3.1). d) imponer el cambio de contraseas (vase el inciso 11.3.1). e) imponer el cambio de contraseas iniciales en la primera conexin (vase el inciso 11.2.3). f) mantener un registro de las anteriores contraseas utilizadas, por ejemplo, durante el ltimo ao, e impedir su reutilizacin. g) no mostrar las contraseas en la pantalla cuando se estn introduciendo. h) almacenar las contraseas y los datos del sistema de aplicaciones en sitios distintos. i) almacenar las contraseas en forma cifrada mediante un algoritmo de cifrado unidireccional. ACTIVIDAD: CONTROL 11.5.3 Sistema de gestin de contraseas Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. GUA DE IMPLEMENTACIN
DUR ACIO N
A) Imponer el uso de contraseas individuales con el fin de establecer responsabilidades. Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de implementacin Imponer el uso de contraseas individuales con el fin de establecer responsabilidades. ACTIVIDAD: Imponer contraseas para establecer contraseas. RESPONSABLE:
AUDITORIA
Pgina 81
CONTROL DE ACCESO
SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. Se asigna a cada usuario una contrasea para establecerle responsabilidades. B) permitir que los usuarios escojan sus contraseas, las cambien e incluyan un procedimiento de confirmacin para evitar errores al introducirlas. Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de implementacin Permitir que los usuarios escojan sus contraseas, las cambien e incluyan un procedimiento de confirmacin para evitar errores al introducirlas. ACTIVIDAD: uso de contraseas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Contrasea
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. El usuario tiene la facultad de escoger su contrasea as como puede modificarla. 2. Existe un procedimiento de confirmacin para evitar errores en la asignacin de contraseas.
AUDITORIA
Pgina 82
CONTROL DE ACCESO
C) imponer la seleccin de contraseas de Calidad. Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de implementacin Imponer la seleccin de contraseas de Calidad. ACTIVIDAD: uso de contraseas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Ser consiente de la responsabilidad del control de acceso que tiene en su cuenta.
D) imponer el cambio de contraseas (vase el inciso 11.3.1). Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de implementacin Imponer la seleccin de contraseas de Calidad. ACTIVIDAD: uso de contraseas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
AUDITORIA
Pgina 83
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Se le sugiere mtodos de formato de contrasea. 2. Se le recomienda cambiar su contrasea peridicamente. E) imponer el cambio de contraseas iniciales en la primera conexin. Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de implementacin Imponer el cambio de contraseas iniciales en la primera conexin. ACTIVIDAD: uso de contraseas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. El sistema le asigna una contrasea segura. 2. Se le impone cambiar la contrasea para su primera conexin. F) mantener un registro de las anteriores contraseas utilizadas, por ejemplo, durante el ltimo ao, e impedir su reutilizacin. Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de implementacin Mantener un registro de las anteriores contraseas utilizadas, por ejemplo, durante el ltimo ao, e impedir su reutilizacin.
AUDITORIA
Pgina 84
CONTROL DE ACCESO
ACTIVIDAD: Registro de contraseas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 2. El sistema cuenta con un registro de las contraseas utilizadas. 3. Se impide la reutilizacin de contraseas. G) No mostrar las contraseas en la pantalla cuando se estn introduciendo. Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de implementacin No mostrar las contraseas en la pantalla cuando se estn introduciendo. ACTIVIDAD: Registro de contraseas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. El sistema cuenta con un mtodo para ocultar las contraseas al ser ingresadas.
AUDITORIA
Pgina 85
CONTROL DE ACCESO
H) Almacenar las contraseas y los datos del sistema de aplicaciones en sitios distintos. Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de implementacin Almacenar las contraseas y los datos del sistema de aplicaciones en sitios distintos. ACTIVIDAD: Registro de contraseas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Los datos de sistema y los de las contraseas se encuentran en contenedores diferentes.
I) almacenar las contraseas en forma cifrada mediante un algoritmo de cifrado unidireccional. Control Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. Gua de implementacin Almacenar las contraseas en forma cifrada mediante un algoritmo de cifrado unidireccional. ACTIVIDAD: Registro de contraseas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: Haga clic aqu para escribir una fecha. Nro: Nro. Documento:
AUDITORIA
Pgina 86
CONTROL DE ACCESO
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma: 1. Las contraseas se encuentran protegidas mediante un mtodo de cifrado. 11.5.4 Desconexin automtica de sesiones Control Las sesiones se deberan desactivar tras un periodo definido de inactividad. Gua de Implementacin Este dispositivo de desactivacin debera borrar la pantalla y cerrar la aplicacin y las sesiones de conexin a red tras dicho periodo definido de inactividad. El tiempo de desactivacin debera reflejar los riesgos de seguridad del rea, la clasificacin de la informacin que se maneja, las aplicaciones que se utilizan y los riesgos relacionados con los usuarios de lo equipos. Muchos computadores personales suelen tener limitado de alguna forma este dispositivo que borra la pantalla para evitar el acceso no autorizado, pero no cierra la aplicacin o las sesiones de conexin a red. ACTIVIDAD: 11.5.4 Desconexin automtica de sesiones CONTROL Las sesiones se deberan desactivar tras un periodo definido de inactividad. GUA DE IMPLEMENTACIN
DUR ACIO N
A) Finalizar Sesin Control Las sesiones se deberan desactivar tras un periodo definido de inactividad.
AUDITORIA
Pgina 87
CONTROL DE ACCESO
Gua de implementacin Imponer el uso de contraseas individuales con el fin de establecer responsabilidades. ACTIVIDAD: Imponer contraseas para establecer contraseas. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Haga clic aqu para escribir una fecha. Haga clic aqu para escribir una fecha. Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Contrasea
Fecha de Acceso
Tiempo de Acceso
Razn de Acceso
Nombre y Apellidos
Haga clic aqu para escribir una fecha. Notas: Mediante el presente documento el usuario confirma que en el sistema: 1. La sesin y las dems aplicaciones se cierran despus de un periodo de inactividad.
11.5.6 Limitacin del tiempo de conexin Control Las restricciones en los tiempos de conexin ofrecen seguridad adicional para aplicaciones de alto riesgo. Gua de implementacin Estas medidas de control se deberan emplear para aplicaciones sensibles, en especial para terminales instalados en reas de alto riesgo, las pblicas o no cubiertas por la gestin de seguridad de la organizacin. Restricciones como por ejemplo: a) El uso de ventanas de tiempo predeterminadas, por ejemplo para transmisiones de archivos batch o para sesiones interactivas regulares de corta duracin. b) La restriccin de tiempos de conexin al horario normal de oficina, si no existen requisitos para operar fuera de este horario c) Considerar la re-autenticacin en intervalos medidos.
AUDITORIA
Pgina 88
CONTROL DE ACCESO
a) El uso de ventanas de tiempo predeterminadas, por ejemplo para transmisiones de archivos batch o para sesiones interactivas regulares de corta duracin. Control Las restricciones en los tiempos de conexin ofrecen seguridad adicional para aplicaciones de alto riesgo. Gua de implementacin Estas medidas de control se deberan emplear para aplicaciones sensibles, en especial para terminales instalados en reas de alto riesgo, las pblicas o no cubiertas por la gestin de seguridad de la organizacin. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Uso de ventanas de tiempo predeterminados FECHA INICIO: FECHA FIN: Identificador de acceso Hora de inicio se sesin(UCT) Tiempo utilizado en dicha accin Hora de cierre de sesin(UCT) Tiempo predeterminado del sistema para utilizar dicha aplicacin Registro de aplicaciones utilizadas
b) La restriccin de tiempos de conexin al horario normal de oficina, si no existen requisitos para operar fuera de este horario Control Las restricciones en los tiempos de conexin ofrecen seguridad adicional para aplicaciones de alto riesgo. Gua de implementacin Estas medidas de control se deberan emplear para aplicaciones sensibles, en especial para terminales instalados en reas de alto riesgo, las pblicas o no cubiertas por la gestin de seguridad de la organizacin. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Restriccion de tiempo de conexion al horario normal de oficina FECHA INICIO: FECHA FIN: Restriccin de tiempo en horario normal de oficina Identificador de acceso (User) Hora de inicio se sesin(UCT) Tiempo utilizado en dicha accin Hora de cierre de sesin(UCT)
Tiempo predeterminado del sistema para utilizar dicha aplicacin
Registro de aplicaciones utilizadas
AUDITORIA
Pgina 89
CONTROL DE ACCESO
Operacin fuera del horario de oficina Identificador de acceso (User) Nombres y Apellidos Doc. Autorizacin Propsito Id Red
Identificador de acceso
Hora de inicio se sesin(UCT)
Tiempo utilizado en dicha accin
Hora de cierre de sesin(UCT)
Tiempo predeterminado del sistema para utilizar dicha aplicacin
Registro de aplicaciones utilizadas
c) Re-autenticacin en intervalos medidos Control Las restricciones en los tiempos de conexin ofrecen seguridad adicional para aplicaciones de alto riesgo. Gua de implementacin Estas medidas de control se deberan emplear para aplicaciones sensibles, en especial para terminales instalados en reas de alto riesgo, las pblicas o no cubiertas por la gestin de seguridad de la organizacin. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Re-autenticacin en intervalos medidos
AUDITORIA
Pgina 90
CONTROL DE ACCESO
FECHA INICIO: Tiempo predeterminado del sistema para utilizar dicha aplicacin Identificador de acceso (User)
FECHA FIN: Validacin de contrasea Limitacin de intentos fallidos Tipo de Aplicacin
11.6. Control de acceso a las aplicaciones y la informacin OBJETIVO: Prevenir el acceso no autorizado a la informacin contenida en los sistemas. Se deberan usar facilidades de seguridad lgica dentro de los sistemas de aplicacin para restringir el acceso.
11.6.1. Restriccin de acceso a la informacin Control Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una poltica de control de acceso definida. Gua de Implementacin Las restricciones de acceso deben estar basadas en requisitos especficos de la aplicacin y consistente con la poltica de acceso a la informacin de la organizacin Deberan considerarse las siguientes pautas para dar soporte a los requisitos de restriccin de accesos a) Establecer mens para controlar los accesos a las funciones del sistema de aplicaciones b) Controlar los derechos de acceso de los usuarios. c) Controlar los derechos de acceso de otras aplicaciones
AUDITORIA
Pgina 91
CONTROL DE ACCESO
d) Asegurarse que las salidas de los sistemas de aplicaciones que procesan informacin sensible, solo contienen la informacin correspondiente para el uso de la salida y se envan, nicamente, a los terminales y sitios autorizados, incluyendo la revisin peridica de dichas salidas para garantizar la supresin de informacin redundante
a) Establecer mens para controlar los accesos a las funciones del sistema de aplicaciones Control Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una poltica de control de acceso definida. Gua de implementacin Las restricciones de acceso deben estar basadas en requisitos especficos de la aplicacin y consistente con la poltica de acceso a la informacin de la organizacin ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Menus para controlar los accesos a las funciones del sistema de aplicaciones FECHA INICIO: FECHA FIN: Limitan el nmero Tipo de men Tipo de acceso Tipo de personal que de intentos fallidos accede a la aplicacion de conexin
Nivel de seguridad
b) Controlar los derechos de acceso de los usuarios.
Control Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una poltica de control de acceso definida.
AUDITORIA
Pgina 92
CONTROL DE ACCESO
Gua de implementacin Las restricciones de acceso deben estar basadas en requisitos especficos de la aplicacin y consistente con la poltica de acceso a la informacin de la organizacin ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Controlar los derechos de accesos de los usuarios FECHA INICIO: FECHA FIN: Identificador de acceso Tipo de funcin del usuario Tipo de acceso Hora de inicio se sesin(UCT) Tiempo predeterminado del sistema para utilizar dicha aplicacin Registro de aplicaciones utilizadas
N Derechos en la institucin
Tipo de funcin del usuario
Tipos de acceso
Identificador de Usuario
Tipo de contrato
c) Controlar los derechos de acceso de otras aplicaciones Control Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una poltica de control de acceso definida. Gua de implementacin Las restricciones de acceso deben estar basadas en requisitos especficos de la aplicacin y consistente con la poltica de acceso a la informacin de la organizacin ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Controlar los derechos de accesos de otras aplicaciones FECHA INICIO: FECHA FIN: Identificador de acceso Tipo de funcin del usuario Tipo de acceso que permite esta funcin Lista de aplicaciones que permite esta funcin Tiempo predeterminado del sistema para utilizar dicha aplicacin Registro de aplicaciones utilizadas
AUDITORIA
Pgina 93
CONTROL DE ACCESO
d) Asegurarse que las salidas de los sistemas de aplicaciones que procesan informacin sensible, solo contienen la informacin correspondiente para el uso de la salida y se envan, nicamente, a los terminales y sitios autorizados, incluyendo la revisin peridica de dichas salidas para garantizar la supresin de informacin redundante Control Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una poltica de control de acceso definida. Gua de implementacin Las restricciones de acceso deben estar basadas en requisitos especficos de la aplicacin y consistente con la poltica de acceso a la informacin de la organizacin ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Asegurarse que las salidas de los sistemas de aplicaciones que procesan informacin sensible, solo contienen la informacin correspondiente para el uso de la salida y se envan, nicamente, a los terminales y sitios autorizados, incluyendo la revisin peridica de dichas salidas para garantizar la supresin de informacin redundante FECHA INICIO: FECHA FIN: Identificador de acceso Tipo de acceso que permite esta funcin Control de conexin IP de maquina principal(Maquina que emite la funcin) IP de la maquina que recibe la funcin Registro de aplicaciones utilizadas
11.6.2 Aislamiento de sistemas sensibles Control Los sistemas sensibles pueden necesitar entornos informticos dedicados (aislados). Gua de implementacin
AUDITORIA
Pgina 94
CONTROL DE ACCESO
Algunos sistemas de aplicacin son tan sensibles a posibles prdidas que pueden necesitar un tratamiento especial, que corran un procesador dedicado, que solo compartan recursos con otros sistemas de aplicaciones garantizaos o que no tengan limitaciones. Las consideraciones siguientes son aplicables para el aislamiento de sistemas sensibles: a) El propietario de la aplicacin debera indicar explcitamente y documentar la sensibilidad de esta b) Cuando una aplicacin sensible se ejecute en un entorno compartido, se deberan identificar y acordar con su propietario los sistemas de aplicacin con los que compartan recursos.
a) El propietario de la aplicacin debera indicar explcitamente y documentar la sensibilidad de esta Control Los sistemas sensibles pueden necesitar entornos informticos dedicados (aislados). Gua de implementacin Algunos sistemas de aplicacin son tan sensibles a posibles prdidas que pueden necesitar un tratamiento especial, que corran un procesador dedicado, que solo compartan recursos con otros sistemas de aplicaciones garantizaos o que no tengan limitaciones ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: El propietario de la aplicacin debera indicar explcitamente y documentar la sensibilidad de esta. FECHA INICIO: FECHA FIN: Nombres y Apellidos Doc. De confidenciabilidad Documentacin del Sistema Cronograma de capacitacin al personal
b) Cuando una aplicacin sensible se ejecute en un entorno compartido, se deberan identificar y acordar con su propietario los sistemas de aplicacin con los que compartan recursos. Control Los sistemas sensibles pueden necesitar entornos informticos dedicados (aislados).
AUDITORIA
Pgina 95
CONTROL DE ACCESO
Gua de implementacin Algunos sistemas de aplicacin son tan sensibles a posibles prdidas que pueden necesitar un tratamiento especial, que corran un procesador dedicado, que solo compartan recursos con otros sistemas de aplicaciones garantizaos o que no tengan limitaciones ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Cuando una aplicacin sensible se ejecute en un entorno compartido, se deberan identificar y acordar con su propietario los sistemas de aplicacin con los que compartan recursos. FECHA INICIO: Nombres y apellidos (propietario de la aplicacin) Tipo de aplicacin Controles de conexiones FECHA FIN: Doc. De confidenciabilidad Registro de aplicaciones utilizadas
Control de aplicaciones
11.7. Informacin mvil y teletrabajo OBJETIVO: garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. La proteccin requerida debera ser proporcional a los riesgos que causan estas formas especficas de trabajo. Se deberan considerar los riesgos de trabajar en un entorno desprotegido cuando se ida informtica mvil y aplicar la proteccin adecuada. En el caso de teletrabajo la organizacin debera implantar proteccin en el lugar del teletrabajo y asegurar que existan los acuerdos adecuados para este tipo de trabajo
11.7.1. Informacin mvil y comunicaciones Control Se deberan adoptar una poltica formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informtica. Gua de Implementacin
AUDITORIA
Pgina 96
CONTROL DE ACCESO
Se debera tener un especial cuidado para asegurar que la informacin de negocio no se comprometa cuando se usan dispositivos de informtica mvil como porttiles, agendas, calculadoras y telfonos mviles, Se deberan formalizar una poltica que tenga que tener en cuenta los riesgos de trabajar con dispositivos de informtica mvil, especialmente en entornos desprotegidos. Dicha poltica debera incluir los requisitos de proteccin fsica, controles de acceso, tcnicas criptografiacas, respaldos y proteccin antivirus. Esta poltica tambin debera incluir reglas y consejos para conectar los dispositivos de informtica mvil a las redes asi como una gua para el uso de esots dispositivos de informtica mvil en lugares pblicos, salas de reuniones y otras areas desprotegidas. Cuando estos dispositivos se usen en lugares pblicos, es importante tener cuidado para evitar el riesgo de que entren personas no autorizadas. Se deberan instalar y mantener al dia procedimientos contra el software malicioso. Otra Informacin Las conexiones mviles inalmbricas son similares a otros tipos de conexiones de red, pero tienen importantes diferencias que deben ser consideradas cuando se identifican los controles. Las diferencias tpicas son: a) Algunos protocolos de seguridad inalmbricos son inmaduros y se les conoce debilidades
a) Algunos protocolos de seguridad inalmbricos son inmaduros y se les conoce debilidades Control Se deberan adoptar una poltica formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informtica Gua de implementacin Se debera tener un especial cuidado para asegurar que la informacin de negocio no se comprometa cuando se usan dispositivos de informtica mvil como porttiles, agendas, calculadoras y telfonos mviles, Se deberan formalizar una poltica que tenga que tener en cuenta los riesgos de trabajar con dispositivos de informtica mvil, especialmente en entornos desprotegidos. ACTIVIDAD: Control acceso al sistema operativo RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera DESCRIPCION: Algunos protocolos de seguridad inalmbricos son inmaduros y se les conoce debilidades FECHA INICIO:
AUDITORIA
FECHA FIN: Pgina 97
CONTROL DE ACCESO
Tipo de conexiones
Arquitectura de Red
Control de conexin
Control de IP de maquinas conectadas
Planes de contingencia en caso de desastres naturales
Registro de aplicaciones utilizadas por cada maquina
AUDITORIA
Pgina 98

Auditoria Control de Acceso

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoria Control de Acceso

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSIDAD NACIONAL SAN ANTONIO ABAD DEL CUSCO Carrera Profesional de Ingeniera Informtica y de Sistemas

RESOLUCIN CONTROL DE ACCESO

REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS

OBJETIVO: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Cmo considera usted, en general el servicio proporcionado por la aplicacin?

Qu opina de la seguridad del manejo de la informacin proporcionado por la aplicacin?

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

ACTIVIDAD: (gua implementacin) CONTROL:

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero )

Diaria Semanal Mensual Peridicamente cundo? ________________ Nunca

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

GESTIN DE ACCESO DE USUARIOS

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Retiro de la organizacin Reubicacin dentro de la organizacin Otros (indicar)______________________

ACTIVIDAD: (gua implementacin) CONTROL:

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Diaria Semanal Mensual Peridicamente _____________ Nunca

implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

AUDITOR: FECHA DE INICIO 11/01/2012

___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Responsable del proyecto

Indicar las aplicaciones que no necesitan Aplicaciones la asignacin de privilegios.

Identificador que posee el usuario

CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

ACTIVIDAD: (gua implementacin)

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Mensual Peridicamente cundo? ________________ Nunca

FECHA DE DURACION INICIO 1 10/01/2012 H D

Fecha de creacin de contrasea ? Nombre y Apellidos

Tamao de la contrasea 10/01/2012

descripcion La contrasea 10 asignada no debe ser divulgada a tercerosn porni

Firma de Razn de Acceso

Firma Encargado (Los acceso)

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

y Firma Encargado (Los acceso)

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

y Firma Encargado (Los acceso)

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

y Firma Encargado (Los acceso)

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

y Firma Encargado (Los acceso)

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

y Firma Encargado (Los acceso)

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

y Firma Encargado (Los acceso)

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

y Firma Encargado (Los acceso)

Gua de implementacin no utilizar la misma contrasea para propsitos personales o de negocio.

Fecha de Acceso 10/01/2012