Auditora Computacional

ACI 912 - 481

(ISO 27002)
Integrantes
Sebastin Lamilla
Orlando Saavedra
11. Control de acceso
11.1 Requerimientos de negocio para el control de accesos
Objetivos Controlar los accesos a la informacin.
Anlisis Los accesos a la informacin estn controlados de acuerdo a su
contenido y al nivel de privilegio del usuario.
Polticas globales aplican a manejo de informacin en la
organizacin.
Estadsticas Clasificado
Conclusiones La norma se cumple de acuerdo a la definicin
Se controla el acceso a la informacin de acuerdo a la necesidad de
negocio de la Organizacin.
ISO 27002 rea Soporte Usuarios
11. Control de acceso
11.2 Gestin de acceso de usuario
Objetivos Garantizar el acceso a los usuarios autorizados e impedir los accesos no
autorizados a los sistemas de informacin.
Anlisis Los usuarios deben registrarse y eliminar su registro desde inicio a fin
en su ciclo de existencia.
Todos los procedimientos formales se encuentran documentados y
registrados.
El proceso de eliminacin de un usuario y sus privilegios es
automatizado y replicable a todos los sistemas desde un nico punto
de registro.
Estadsticas Clasificado
Existen alrededor de 800 empleados en Chile, cada uno realiza un
promedio de solicitudes de acceso de 5 al mes, resultando en alrededor
de 4000 solicitudes. El tiempo medio es de 24 horas.
Conclusiones La norma se cumple de acuerdo a la definicin
Se establecen procedimientos formales para controlar la asignacin de
los permisos de acceso a los sistemas y servicios de informacin.
Los procedimientos cubren todas las etapas del ciclo de vida del acceso
de los usuarios.
ISO 27002 rea Soporte Usuarios
11. Control de acceso
11.3 Responsabilidades del Usuario
Objetivos Impedir el acceso de usuarios no autorizados y el compromiso o robo de
informacin y recursos para el tratamiento de la informacin.
Anlisis Los usuarios deben cambiar sus contraseas peridicamente
Se inculca cultura de orden y limpieza para los puestos de trabajo
Los usuarios deben asegurar no utilizar software para recordar las
contraseas.
Estadsticas Clasificado
Alrededor de 90% de los puestos de trabajo incluyen responsabilidades
en seguridad de la informacin formalmente aceptadas.
Conclusiones La norma se cumple de acuerdo a la definicin
Los usuarios son conscientes de sus responsabilidades en el
mantenimiento de controles de acceso eficaces.
ISO 27002 rea Soporte Usuarios
11. Control de acceso
11.4 Control de acceso a la red
Objetivos Evitar el acceso no autorizado a los servicios de la red.

Anlisis Se debiera controlar el acceso a los servicios de redes internas y
externas.
El acceso del usuario a las redes y servicios de las redes no debieran
comprometer la
seguridad de los servicios de la red asegurando:

La mac de todos los equipos internos se encuentra registrada
Todos los equipos registrados acceden a las redes internas
directamente, existiendo un proxy para solicitudes de internet
Los usuarios pueden conectarse a red desde equipos no registrados
desde otra redes invitado proporcionando autentificacin de usuario
por medio de generacin dinmica de claves

Estadsticas Clasificado.
Conclusiones La norma se cumple de acuerdo a la definicin.
Se controlan los accesos internos y externos conectados en la red.
ISO 27002 rea Soporte Usuarios
11. Control de acceso
11.5 Control de acceso al sistema operativo
Objetivos Evitar el acceso no autorizado a los sistemas operativos

Anlisis Se utiliza autenticacin de usuario va SSO
Se registran log de autorizacin y negacin de ingreso en los
sistemas
Se utilizan listas de control de acceso (ACL) para restringir los
privilegios
Existe software de monitoreo que registra actividades sospechosas
Existe implementacin de alta disponibilidad en los servidores de
autenticacin
No se restringen horarios de acceso ya que la compaa funciona 24/7
Estadsticas Se registran alrededor de menos del 5% de casos registrados con
respecto a la actividad en red existente.
Se realizan Mantenciones y actualizaciones de los servidores una vez al
mes
Conclusiones La norma se cumple de acuerdo a la definicin.
Se utilizan las prestaciones de seguridad del sistema operativo para
permitir el acceso exclusivo a los usuarios autorizados.
ISO 27002 rea Soporte Usuarios
11. Control de acceso
11.6 Control de acceso a las aplicaciones y a la informacin
Objetivos Impedir el acceso no autorizado a la informacin mantenida por los
sistemas de las aplicaciones.
Anlisis Todas las aplicaciones internas utilizan SSO para controlar acceso
Los servidores de aplicaciones implementan sistemas de firewall y
antivirus como mtodo de proteccin
Los sistemas son autnomos y mantienen redundancia de
informacin.

Estadsticas Todos los sistemas aplican conforme al estndar de seguridad bsica.
Conclusiones La norma se cumple de acuerdo a la definicin

Se utilizan dispositivos y mtodos de seguridad con objeto de restringir
el acceso a las aplicaciones y sus contenidos
ISO 27002 rea Soporte Usuarios
11. Control de acceso
11.7 Informtica mvil y tele trabajo
Objetivos Garantizar la seguridad de la informacin en el uso de recursos de
informtica mvil y teletrabajo.
Anlisis Todos los equipos mviles cuentan con EPE, antivirus y contraseas
complejas
La conexin externa se realiza por medio de VPN Segura (Cisco
Anyconnect) solo desde equipos registrados.
Estadsticas La seguridad de los equipos porttiles es alta ya que se registran muy
pocos casos de incidentes de seguridad desde equipos porttiles.
Existen vulnerabilidades como OpenSSL (heartbleed) que an deben ser
corregidas.
Conclusiones La norma se cumple de acuerdo a la definicin
Se exige proteccin para los riesgos asociados a los dispositivos mviles.
ISO 27002 rea Soporte Usuarios
11. Control de acceso
11.4 Control de acceso a la red
11.4.1 Poltica de uso de los servicios en red
Objetivos La Poltica de uso de los servicios en red, tiene como objetivo el uso de
Internet y el control de las conexiones internas y externas de la
organizacin.
Anlisis Los usuarios slo deberan tener acceso a los servicios para cuyo uso
estn especficamente autorizados.
Estadsticas Se mantendr un registro con las conexiones realizadas por cada
usuario.
Conclusiones Esta poltica debe ser comunicada a toda la divisin de manera
pertinente, accesible y compresible para todos los integrantes del grupo
de trabajo de los departamentos involucrados.
ISO 27002 rea Conectividad & Redes
11. Control de acceso
11.4 Control de acceso a la red
11.4.3 Identificacin de los equipos en las redes
Objetivos La identificacin de los equipos en las redes, lo
que se busca es asegurar la comunicacin entre dos partes especficas.
Anlisis Lo que se propone es dotar cada equipo de un identificar nico que le
dar acceso a la comunicacin en la red.
Estadsticas Cada vez que se agregue un nuevo equipo ser registrado con un
nombre nico asociado al ID del usuario, o nombre del servidor asociado
al servicio.
Conclusiones Estos identificadores deberan contener con claridad a que
red est permitido conectar el equipo. Todas estas actividades se
plantean con el fin controlar el uso de los servicios de red.
ISO 27002 rea Conectividad & Redes
11. Control de acceso
11.4 Control de acceso a la red
11.4.5 Segregacin de las redes
Objetivos Segregacin de las redes, se propone con el fin de garantizar la
seguridad de las redes, creando un mtodo de control a partir de la
divisin de la red en dominios lgicos, con el fin de crear permetros
diferentes de seguridad.
Anlisis Lo que se busca es controlar el acceso y flujo de informacin entre
diferentes dominios o equipos que se interconectan para compartir
informacin.
Estadsticas Se mantendr un registro del nuevo segmento habilitado y numero de
VLAN asociado
Conclusiones Se definirn y documentarn los permetros de seguridad que sean
convenientes, que se implementarn mediante la instalacin de
gateways con funcionalidades de firewall o redes privadas virtuales,
para filtrar el trfico entre los dominios y para bloquear el acceso no
autorizado
ISO 27002 rea Conectividad & Redes
11. Control de acceso
11.6 Control de acceso a las aplicaciones y a la informacin
11.6.1 Restriccin del acceso a la informacin
Objetivos Restriccin del acceso a la informacin, se desea crear
limitaciones de acceso a la informacin basadas en los requisitos de las
aplicaciones que administran informacin sensible
Anlisis para lograr este cometido se debe proporcionar mens para controlar el
acceso a las funciones del sistema de aplicacin, tambin se deben
controlar los derechos de acceso de cada usuario.
Estadsticas Se generan cuentas que registren los eventos en la aplicacin.
Conclusiones se debe garantizar la integridad de toda la informacin sensible al que
un usuario accede.
ISO 27002 rea Conectividad & Redes
11. Control de acceso
11.6 Control de acceso a las aplicaciones y a la informacin
11.6.2 Aislamiento de sistemas sensibles
Objetivos Se pretende crear un entorno informtico dedicado para los sistemas
sensibles.
Anlisis La sensibilidad del sistema debe estar calificada por el responsable de
dicho sistema.
Estadsticas Se realizara un procedimiento con la definicin de los accesos por
administrador y grupo de usuarios.
Conclusiones Se deben platear polticas para la utilizacin de sistemas que son lo
suficientemente sensibles.
ISO 27002 rea Conectividad & Redes
9. SEGURIDAD FSICA Y DEL ENTORNO.
9.2 Seguridad de los equipos.
9.2.7 Retirada de materiales propiedad de la empresa.
Objetivos Propone aplicar las directrices relacionadas con el retiro de activos de la
Divisin de Tecnologas, creando un mecanismo que autorice en forma
previa el retiro de equipos.
Anlisis Identificar claramente aquellos empleados, contratistas y usuarios que
tengan autoridad para retirar activos.
Estadsticas se recomienda establecer y registrar lmites de tiempo para el retiro y
devolucin de los equipos.
Conclusiones El retiro de equipos que cumplan el tiempo de vida se debe realizar por
una empresa externa especializada en la destruccin de datos. Dejando
un registro de lo realizado.
ISO 27002 rea Conectividad & Redes