UNIVERSIDAD AUTNOMA GABRIEL REN MORENO

D DI IP PL LO OM MA AD DO O E EN N S SE EG GU UR RI ID DA AD D I IN NF F R RM MA AT TI IC CA A

















Proyecto presentado para el modulo de
CONTROL DE ACCESO DEL USUARIO


DOCENTE:
Ing. Karem Infantas Soto Ph.D.
INTEGRANTES:
J. Luigi F. Moron
Deysi Cespedes Lopez
Miguel Angel Campos
Noelia Ruiz Acebo
Vladimir Ronal Garcia Pinto

CAMIRI-BOLIVIA


INDICE GENERAL
1. Contenido
1. Contenido ..................................................................................................................................... 2
INTRODUCCIN ............................................................................................................................... 4
1. OBJ ETIVO .................................................................................................................................. 5
1.1 Objetivo General .................................................................................................................... 5
2. ALCANCE ................................................................................................................................... 5
3. CONTROL DE ACCESOS .......................................................................................................... 6
3.1 Gestin de Acceso a Usuario .................................................................................................. 6
3.1.1 Registro de Usuario ......................................................................................................... 6
3.1.2 Gestin de Privilegios...................................................................................................... 6
3.1.3 Gestin de Contrasea a Usuario ..................................................................................... 6
3.1.4 Revisin de derecho de accesos de usuarios ..................................................................... 6
4. Procedimiento 1: Monitoreo de asignacin de privilegio por un Auditor al jefe de Sistemas ...... 7
4.1 Objetivos ................................................................................................................................ 7
4.1.1 Alcance ........................................................................................................................... 7
4.1.2 Responsabilidades ........................................................................................................... 7
4.1.3 Documentos Relacionados............................................................................................... 7
4.1.4 Definiciones .................................................................................................................... 7
4.1.5 Diagrama de flujo ............................................................................................................ 8
4.1.6 Registros ......................................................................................................................... 9
4.1.7 Anexos ............................................................................................................................ 9
5. Procedimiento 2: Monitoreo de asignacin de privilegio por el J efe de Sistemas a un Usuario.10
5.1 Objetivos .............................................................................................................................. 10
5.1.1 Alcance ......................................................................................................................... 10
5.1.2 Responsabilidades ......................................................................................................... 10
5.1.3 Documentos Relacionados............................................................................................. 10
5.1.4 Definiciones .................................................................................................................. 10
5.1.5 Diagrama de flujo .......................................................................................................... 11
5.1.6 Registros ....................................................................................................................... 12
5.1.7 Anexos .......................................................................................................................... 12
6. Procedimiento 3: Monitoreo de derecho de acceso por usuarios ............................................... 13
6.1 Objetivos .............................................................................................................................. 13
6.1.1 Alcance ......................................................................................................................... 13
6.1.2 Responsabilidades ......................................................................................................... 13

6.1.3 Documentos Relacionados............................................................................................. 13
6.1.4 Definiciones .................................................................................................................. 13
6.1.5 Diagrama de flujo .......................................................................................................... 14
6.1.6 Registros ....................................................................................................................... 15
6.1.7 Anexos .......................................................................................................................... 15






















PARTE I


INTRODUCCIN


Hoy en da, la informtica en red se ha convertido en un factor importante en la vida de una empresa la
razn principal Implica la cantidad de informacin que actualmente se maneja, hace que el tratamiento
automtico de la informacin sea realmente til y necesario.
Es as que los procedimientos de las Polticas de Seguridad Informtica emergen como instrumentos
para concientizar a sus miembros acerca de la sensibilidad de la informacin y servicios crticos, de la
superacin de fallas y de las debilidades de tal forma que permiten a la organizacin cumplir con su
misin.
Los sistemas de informacin estn basados en computadoras que son objetos de gran consideracin en
la toma de decisiones oportunas, confiables y efectivas en cuanto a tcnicas de planificacin,
programacin y administracin con el fin de garantizar su xito, limitar el riesgo y reducir costos y
aumentar las ganancias.
Debido a esta razn, nace la idea de automatizar las actividades cotidianas en las organizaciones; cabe
mencionar el vertiginoso avance de las tele comunicaciones y el progreso que han experimentado las
ciencias informticas que obliga a estar a tono y entrar al moderno mundo de la tecnologa, ser
competitivos y no que darse relegados en las tareas que proporcionan beneficios para proyectarse.



1. OBJETIVO
1.1 Objetivo General
Implementar seguridad en los accesos de usuarios por medios de tcnicas de autenticacin y
autorizacin.
2. ALCANCE
La Poltica definida en este documento se aplica a todas las formas de acceso de aquellos a
quienes se les haya otorgado permiso al sistema de manejo de: informacin base de datos,
servicios de informacin de la empresa.




































PARTE II
POLITICAS Y PROCEDIMIENTOS
3. CONTROL DE ACCESOS
3.1 Gestin de Acceso a Usuario

Objetivos
Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de informacin.

Principios
Se deberan establecer procedimientos formales para controlar la asignacin de los permisos de acceso a los sistemas y
servicios de informacin.
Los procedimientos deberan cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de
los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de informacin.
Se debera prestar especial atencin, si fuera oportuno, a la necesidad de controlar la asignacin de permisos de acceso con
privilegios que se salten y anulen la eficacia de los controles del sistema.

Invertir
Cree la funcin diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de
control de acceso definidas por los propietarios de las aplicaciones y la direccin de seguridad de la informacin.
Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo ms eficientemente posible

3.1.1 Registro de Usuario
Es en la cual insertamos los datos ms importantes del usuario.
Debera existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y cancelar los accesos a todos
los sistemas y servicios de informacin
3.1.2 Gestin de Privilegios
Se debera restringir y controlar la asignacin y uso de los privilegios.
3.1.3 Gestin de Contrasea a Usuario
Se debera controlar la asignacin de contraseas mediante un proceso de gestin formal.
3.1.4 Revisin de derecho de accesos de usuarios
El rgano de Direccin debera revisar con regularidad los derechos de acceso de los usuarios, siguiendo un procedimiento
formal.









4. Procedimiento 1: Monitoreo de asignacin de privilegio por un
Auditor al jefe de Sistemas
4.1 Objetivos

El presente documento tiene como objetivo definir el procedimiento para Monitorear las
asignaciones de privilegio a cargo de un auditor externo.

4.1.1 Alcance

Es aplicable a las siguientes reas de la organizacin
Gobierno TI
rea Administrativa
rea de Sistemas.
4.1.2 Responsabilidades

Gobierno TI
Se encarga de solicitar el monitoreo de los privilegios a un Auditor externo.

Auditor externo
Debe realizar un anlisis de la informacin solicitada por el Gobierno TI, verificando que
se cumplan las asignaciones de privilegios establecidas, emitiendo posibles reportes de
posibles fallas que se presenten.

4.1.3 Documentos Relacionados

- Formulario de asignacin de privilegios
- Formulario de registro de un Usuario

4.1.4 Definiciones

Software Utilitario:

Todo aquel software destinado al manejo de los recursos del computador, de los
programas. Como son la memoria, el disco duro, lector de CD/DVD.

Para todo software utilitario requerido se deber realizar los pasos burocrticos, para
definir luego la aceptacin o denegacin de dicho utilitario.

Active Directory:
Directorio Activo.


4.1.5 Diagrama de flujo


Realiza el
descargo
Informa al
Gobierno TI
Recibe
sancion
Jefe se sistemas
Establece
la orden de
monitoreo
no Pide descargo al
jefe de sistemas
Recibe
informe
NO SI
Hay
irregularides
Recibe
informe
Informe
aceptado
Analizar y
establecer
sancion
NO
Gibierno TI
Recibe la
orden
Monitorea los
privilegios de acceso
de los usuarios
Informa a
Gobierno TI
Auditor

4.1.6 Registros

Nombre Formato Frecuencia
Formulario de monitoreo de
asignacin de privilegios de
usuarios.
Fsico/Lgico Cuando se considere necesario
Formulario de incidentes
encontrados en monitoreo
Fsico/Lgico Cuando se considere necesario

4.1.7 Anexos
Anexo 1.

Formulario de incidentes.

PYME Comercial

Formulario de Incoherencias de Asignacin de Privilegios

Santa Cruz, 09 / 05 /2011


Seor
Julio Cortes Prez
Gobierno de TI
Presente.


Nombre de Auditado:..


Tipo de Incidentes:

Violaciones de asignacin: ..
.




Auditor Responsable



LUEGO DE LLENAR E IMPRIMIR ESTE DOCUMENTO,
ES OBLIGATORIO FIRMARLO Y SELLARLO PARA SU VALIDEZ


5. Procedimiento 2: Monitoreo de asignacin de privilegio por el
Jefe de Sistemas a un Usuario.
5.1 Objetivos
Establecer el procedimiento para el Monitoreo de asignacin de privilegios
concedidos al usuario.
5.1.1 Alcance
Es aplicable a las siguientes reas de la empresa:
Gobierno TI
rea de Sistemas

5.1.2 Responsabilidades
Gobierno de EGTI (Encargado de hacer cumplir con los procedimientos
administrativos
Jefe de Sistemas.- Realiza los anlisis pertinentes para identificar: amenazas,
ventajas, desventajas, puntos dbiles y nivel de rendimiento del software usado
en la empresa.

5.1.3 Documentos Relacionados
Formulario de incidentes.
Formulario para Peticin de Asignacin de Privilegios
Formulario para Registro de Privilegios de Usuarios
5.1.4 Definiciones
Procedimiento administrativo: proceso mediante el cual un rgano administrativo
adopta decisiones sobre las pretensiones formuladas por la ciudadana o sobre las
prestaciones y servicios cuya satisfaccin o tutela tiene encomendadas.

5.1.5 Diagrama de flujo


Recibe sancion
por Vulnerar
Usuario
si
Monitorea las
"asignaciones de
Recibe la Solicitud
"Monitoreo de
Asignacion de
Emite Informe
sobre las
asignaciones de
privilegios
Emite informe de
incidentes acerca
de usuarios no
autorizados
vulnero los
privilegios
Jefe de Sistemas
Solicita el Monitoreo
de Asignaciones de
Recibe el informe
y lo almacena
Analiza acerca de
los sucesos
Amerita
sancion
Gobierno TI
si
no
5.1.6 Registros

Nombre Formato Frecuencia
Reporte de Privilegios
Asignados.
Digital/Fsico Cuando se considere necesario
Formulario de Incoherencias
de Asignacin de Privilegios
Fsico Cuando se encuentre
incoherencias en l

5.1.7 Anexos


PYME Comercial

Formulario de Incoherencias de Asignacin de Privilegios

Santa Cruz, 09 / 05 /2011


Seor
Julio Cortes Prez
Gobierno de TI
Presente.


Nombre de Auditado:..


Tipo de Incidentes:

Aplicaciones: ..
.
Recursos: ....
.
Informacin: ..
.


Jefe de Sistemas



LUEGO DE LLENAR E IMPRIMIR ESTE DOCUMENTO, ES OBLIGATORIO FIRMARLO Y SELLARLO PARA SU
VALIDEZ



Seguridad informtica CAU 2013
13

6. Procedimiento 3: Monitoreo de derecho de acceso por
usuarios
6.1 Objetivos
Establece el procedimiento para el monitoreo de derecho de acceso por usuarios, este
procedimiento segn la norma ISO/27002, pertenece a la poltica 11.2.4 Revisin de
derecho de accesos de usuarios y se debe realizar peridicamente cada 15 das.

6.1.1 Alcance
Es aplicable a las siguientes reas de la organizacin
Gobierno TI
rea Administrativa
rea de Sistemas

6.1.2 Responsabilidades
Gobierno TI
Se encarga de solicitar el informe sobre derecho de acceso de usuarios, toma
decisin referente a los informes solicitados, se los emite al rea
administrativa.
Jefe de Sistemas
Debe realizar un anlisis de la informacin solicitada por el Gobierno TI,
verificando que se cumplan los derechos de accesos por usuarios, emitiendo
posibles fallas que se presenten.
rea administrativa
Debe realizar un anlisis de la informacin otorgada por el encargado de
sistemas, analizando y almacenando el informe que luego se comunica al
gobierno y a los usuarios.

6.1.3 Documentos Relacionados
Formulario para solicitud de acceso de usuarios.
Formulario de pedido de accesos a sistemas.

6.1.4 Definiciones
Seguridad de la informacin
Conservacin de la confidencialidad, integridad y disponibilidad de la
informacin; adems, otras propiedades como autenticidad, rendicin de
cuentas, no repudio y confiabilidad tambin pueden estar implicadas.

Seguridad informtica CAU 2013
14

6.1.5 Diagrama de flujo

Recibe la solicitud
"monitoreo de accesos
por usuario"
Emite informe y
procede a autorizar los
accesos
Monitorea los accesos
de los usuarios
Solicita la revision de
accesos de los usuarios
no si
Verifica que cumple
las normas
Jefe de SIstemas
Verifica
informe
Solicita el
monitorio
acceso por
usuarios
Gobierno TI
Se comunica al
Usuario
Usuario
Recibe el informe
Emite informe
negativo
no
Emite respuesta
acerca de
accesos
si
Verifica el
informe
Emite informe y
se almacena
Area administrativa
Seguridad informtica CAU 2013
15

6.1.6 Registros
Nombre Formato Frecuencia
Formulario de monitoreo de
acceso de usuarios.

Fsico Cuando se considere necesario

6.1.7 Anexos
Solicitud de accesos de usuarios

PYME COMERCIAL
FORMULARIO DE MONITOREO DE ACCESOS DE USUARIOS



Santa Cruz, 09 / 05 /2011


Seor
Julio Cortes Prez
Gobierno de TI
Presente.


El monitoreo para el acceso de usuario se realizo en 08/05/2011, se concluyo con el reporte descrito
a continuacin:

Fecha Hora Usuario Host Aplicacion
20/04/11 09:00 Kinfante PC01 Inicio de sesin
20/04/11 09:15 Kinfante PC01 Word



__________________
Jose Jimnez C
(Jefe de Sistemas)



DIRECCION: calle Palmas #325
TELEFONO: 3585947
CORREO: pyme@dominio.com