Your SlideShare is downloading. ×
0
POLITICAS DE CONTROL DE ACCESO<br />11.1 Requerimientos del Negocio Para el control de Acceso<br />Integrantes:<br />Elisa...
ELISABETH VALLEJOS ESCALANTE<br />
Generalidades<br />Para  impedir  el  acceso  no  autorizado  a los sistemas de información se deben implementar procedimi...
objetivo<br /><ul><li>Implementar  seguridad  en  los  accesos  de  usuarios  por  medio  de  técnicas  de autenticación y...
Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.
Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. </li></li></u...
Responsabilidad<br /><ul><li>El Gobierno de TI, integrado por: Administrador de Sistemas, Administrador Comercial, Gerente.
Los Propietarios de la Información.
El Administrador de Sistemas.</li></li></ul><li>Gobierno de TI<br /><ul><li>Definir normas y procedimientos para: la gesti...
Concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de trabajo.</li></li></ul><li>Propietarios ...
Definir  los  eventos  y  actividades  de  usuarios  a  ser  registrados  en  los sistemas de procesamiento de su incumben...
Analizar e implementar los métodos de autenticación y control de acceso definidos en los sistemas, bases de datos y servic...
Implementar el control de puertos, de conexión a la red.</li></li></ul><li>11.1 Requerimientos para el Control de Acceso <...
Reglas de Control de Acceso <br />Indicar expresamente si las reglas son obligatorias u optativas.<br />b) Controlar las r...
Política Requisito del negocio para el control de acceso<br />La Política de  Requisitos De Negocio Para El Control De Acc...
Procedimiento: Entrada Y Salida De Información, Material, Mobiliario Y Equipo <br />Objetivo<br />Definir un procedimiento...
Procedimiento: Entrada Y Salida De Información, Material, Mobiliario Y Equipo <br />Registros<br />
Procedimiento: Entrada Y Salida De Información, Material, Mobiliario Y Equipo <br />Anexos<br />
Procedimiento:  Control De Acceso Para Áreas Restringidas<br />Objetivo<br />Definir un procedimiento que establezca el co...
Procedimiento: Control De Acceso Para Áreas Restringidas<br />Registros<br />
Procedimiento:  Control De Acceso Para Áreas Restringidas<br />Anexos<br />
sanciones<br />La  primera  incurrencia es  de  Nivel  1,  para  la  primera  ocasión  se  hará  una amonestación por escr...
Faviolavillarroel  s.<br />11. 2.  Gestión de acceso de usuario<br />11. 3.  Responsabilidades Del Usuario<br />11. 4.  Co...
11. 2.  Gestión de acceso de usuario <br />11.2.1 Registro De Usuario  <br /> <br />a) Utilizar identificadores de usuario...
11. 2.  Gestión de acceso de usuario <br />11.2.2 Gestión De Privilegios <br />	Se limitará y controlará la asignación y u...
11. 2.  Gestión de acceso de usuario <br />11.2.4 Recepción de Documentos de Respaldo por el Administrador de Sistemas, al...
11. 3.  Responsabilidades Del Usuario <br />11.3.2 Equipo de usuario desatendido <br />	Los usuarios deberán garantizar qu...
11. 4.  Control de acceso a Red<br />11.4.1 Política de Acceso a Usuarios Internos a la Red <br />Para ello, se desarrolla...
11. 4.  Control de acceso a Red<br />11.4.2 Protección de los Puertos de Diagnóstico Remoto<br />serán protegidos por un m...
11. 4.  Control de acceso a Red<br />11.4.8 Correo electrónico <br />a) La cuenta de correo electrónico debe ser usada par...
11. 4.  Control de acceso a Red<br />c) No es permitido: <br />Enviar cadenas de correo, mensajes con contenido religioso,...
11. 5.  Control De Acceso Al Sistema Operativo<br />11.5.1 Procedimientos seguro de inicio de sesión <br />a) Validar la i...
 Impedir otros intentos de identificación, una vez superado el límite permitido.</li></ul>c) Limitar el tiempo máximo perm...
11. 5.  Control De Acceso Al Sistema Operativo<br />11.5.2 Identificación y autenticación de usuarios.<br />Todos los usua...
11. 5.  Control De Acceso Al Sistema Operativo<br />11.5.3 Sistema de gestión de contraseña <br />El sistema de administra...
11. 5.  Control De Acceso Al Sistema Operativo<br />e) Obligar a los usuarios a cambiar las contraseñas provisorias en su ...
11. 5.  Control De Acceso Al Sistema Operativo<br />i) Almacenar las contraseñas en forma cifrada utilizando un algoritmo ...
11. 5.  Control De Acceso Al Sistema Operativo<br />11.5.4 Uso de los utilitarios del sistema <br />Se deben considerar lo...
11. 5.  Control De Acceso Al Sistema Operativo<br />11.5.6 Limitación del tiempo de conexión <br />Entre los controles que...
Christian Jorge Veizaga Vargas<br />
11. 6.  Control de Acceso a las Aplicaciones <br />11.6.1 Restricción del Acceso a la Información<br />Se aplicarán los si...
11. 6.  Control de Acceso a las Aplicaciones<br />11.6.2 Aislamiento de los Sistemas Sensibles<br />Son aplicables las sig...
11.6.3 Monitoreo del Acceso y Uso de los Sistemas<br />11.6.3.1 Registro de Eventos<br />Los registros de auditoría deberá...
11.6.3.2 Monitoreo del Uso de los Sistemas<br />11.6.3.2.1 Procedimientos y Áreas de Riesgo<br />Entre las áreas que deben...
11.6.3.2.1 Procedimientos y Áreas de Riesgo<br />c) Intentos de acceso no autorizado, como:<br />1. Intentos fallidos.<br ...
11.6.3.2 Monitoreo del Uso de los Sistemas<br />11.6.3.2.2 Factores de Riesgo<br />Entre los factores de riesgo que se deb...
11.6.3.2 Monitoreo del Uso de los Sistemas<br />11.6.3.2.3 Registro y Revisión de Eventos<br />Las herramientas de registr...
11. 7. Computación Móvil y Trabajo Remoto<br />11.7.1 Computación Móvil<br />Entre los procedimientos que se deben aplicar...
Upcoming SlideShare
Loading in...5
×

Grupo1 control de acceso

7,002

Published on

Control de Acceso a Sistemas.
Grupo 1

Published in: Technology, Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
7,002
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
228
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Grupo1 control de acceso"

  1. 1. POLITICAS DE CONTROL DE ACCESO<br />11.1 Requerimientos del Negocio Para el control de Acceso<br />Integrantes:<br />Elisabeth Vallejos Escalante<br />Christian Jorge Veizaga Vargas<br />Faviola Villarroel Sánchez<br />
  2. 2. ELISABETH VALLEJOS ESCALANTE<br />
  3. 3. Generalidades<br />Para impedir el acceso no autorizado a los sistemas de información se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento.<br />
  4. 4. objetivo<br /><ul><li>Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.
  5. 5. Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.
  6. 6. Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. </li></li></ul><li>alcance<br />Las Políticas definidas se aplican a todas las formas de acceso de aquellos a quienes se les haya otorgado permisos sobre los sistemas de información, bases de datos o servicios de información de la empresa, cualquiera sea la función que desempeñe.<br />De la misma forma se aplica al personal técnico que define, instala, administra y mantiene los permisos de acceso y las conexiones de red, y a los que administran su seguridad.<br />
  7. 7. Responsabilidad<br /><ul><li>El Gobierno de TI, integrado por: Administrador de Sistemas, Administrador Comercial, Gerente.
  8. 8. Los Propietarios de la Información.
  9. 9. El Administrador de Sistemas.</li></li></ul><li>Gobierno de TI<br /><ul><li>Definir normas y procedimientos para: la gestión de accesos a todos los sistemas, bases de datos y servicios de información multiusuario; el monitoreo del uso de las instalaciones de procesamiento de la información; el uso de computación móvil, trabajo remoto y reportes de incidentes relacionados; la revisión de registros de actividades.
  10. 10. Concientizar a los usuarios sobre el uso apropiado de contraseñas y de equipos de trabajo.</li></li></ul><li>Propietarios de la Información<br />Evaluar los riesgos a los cuales se expone la información, apoyando al Gobierno de TI, con el objeto de: <br /><ul><li>Determinar los controles de accesos, autenticación y utilización a ser implementados en cada caso.
  11. 11. Definir los eventos y actividades de usuarios a ser registrados en los sistemas de procesamiento de su incumbencia y la periodicidad de revisión de los mismos. </li></li></ul><li>Administrador de sistemas<br /><ul><li>Implementar procedimientos para la activación y desactivación de derechos de acceso a las redes.
  12. 12. Analizar e implementar los métodos de autenticación y control de acceso definidos en los sistemas, bases de datos y servicios.
  13. 13. Implementar el control de puertos, de conexión a la red.</li></li></ul><li>11.1 Requerimientos para el Control de Acceso <br />En la aplicación de controles de acceso, se contemplarán los siguientes aspectos: <br />Identificar los requerimientos de seguridad de las aplicaciones. <br />e) Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo. <br />
  14. 14. Reglas de Control de Acceso <br />Indicar expresamente si las reglas son obligatorias u optativas.<br />b) Controlar las reglas que requieren la aprobación del administrador o del Propietario de la Información de que se trate, antes de entrar en vigencia, y aquellas que no requieren aprobación.<br />
  15. 15. Política Requisito del negocio para el control de acceso<br />La Política de Requisitos De Negocio Para El Control De Acceso debe contemplar los siguientes puntos: <br />1.- Los accesos a los inmuebles, deberán estar controlados las 24 horas los 365 días del año por el personal de vigilancia.<br />2.- Los centros de datos deberán contar vigilancia constante por parte de personal de seguridad. <br />3.- Queda estrictamente prohibido el acceso a personas ajenas a la institución en días de trabajo inhábiles.<br />
  16. 16. Procedimiento: Entrada Y Salida De Información, Material, Mobiliario Y Equipo <br />Objetivo<br />Definir un procedimiento que establezca el control de acceso que se debe aplicar al momento de sacar y/o ingresar material, Mobiliario, Información y Equipo en las instalaciones.<br />Alcance<br />Es aplicable a todas las áreas de la empresa, exceptuando el área de atención al cliente.<br />Responsabilidades<br />Es responsabilidad del encargado de seguridad hacer cumplir el procedimiento establecido.<br />Definiciones<br />Todas las personas que intenten ingresar o extraer algún mobiliario, equipo, material e información deberán presentar una autorización firmada por el encargado de área que corresponda. <br />
  17. 17. Procedimiento: Entrada Y Salida De Información, Material, Mobiliario Y Equipo <br />Registros<br />
  18. 18. Procedimiento: Entrada Y Salida De Información, Material, Mobiliario Y Equipo <br />Anexos<br />
  19. 19. Procedimiento: Control De Acceso Para Áreas Restringidas<br />Objetivo<br />Definir un procedimiento que establezca el control de acceso que se debe aplicar a las aéreas restringidas que existen en la empresa.<br />Alcance<br />Es aplicable a las áreas que son consideradas críticas dentro de la empresa, las cuales se distinguen por la información que procesan o almacenan, considerada como tal el área de procesamiento de datos.<br />Responsabilidades<br />Es responsabilidad del administrador de sistemas y el administrador comercial, como miembros del Gobierno de TI, establecer como primer paso que áreas son consideradas restringidas. Es responsabilidad del encargado de seguridad hacer cumplir el procedimiento establecido.<br />Definiciones<br />Todos los usuarios que ingresen a las áreas restringidas deben estar identificados en el sistema.<br />En caso de que a algún usuario le hayan revocado los privilegios, se debe informar inmediatamente al encargado de seguridad que controla el acceso a las áreas restringidas.<br />
  20. 20. Procedimiento: Control De Acceso Para Áreas Restringidas<br />Registros<br />
  21. 21. Procedimiento: Control De Acceso Para Áreas Restringidas<br />Anexos<br />
  22. 22. sanciones<br />La primera incurrencia es de Nivel 1, para la primera ocasión se hará una amonestación por escrito.<br />La reincidencia a partir de la segunda ocasión será una falta es de Nivel 2 y se levantará un acta administrativa.<br />3. El incumpliendo a estos artículos deberá ser sancionado por el supervisor del área de acuerdo a su gravedad.<br />
  23. 23. Faviolavillarroel s.<br />11. 2. Gestión de acceso de usuario<br />11. 3. Responsabilidades Del Usuario<br />11. 4. Control de acceso a Red <br />11. 5. Control De Acceso Al Sistema Operativo<br />
  24. 24. 11. 2. Gestión de acceso de usuario <br />11.2.1 Registro De Usuario  <br /> <br />a) Utilizar identificadores de usuario únicos. <br />b) Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, o de aquellos a los que se les revocó la autorización, se desvincularon de la empresa por algún otro motivo.<br />c) Incluir cláusulas en los contratos de personal y de servicios que especifiquen sanciones si el personal o los agentes que prestan un servicio intentan accesos no autorizados.<br />
  25. 25. 11. 2. Gestión de acceso de usuario <br />11.2.2 Gestión De Privilegios <br /> Se limitará y controlará la asignación y uso de privilegios.<br />11.2.3 Gestión De Contraseñas De Usuario <br />a) Las contraseñas tengan una cantidad mayor o igual a 8 caracteres.<br />b) Suspendan o bloqueen permanentemente al usuario luego de 3 intentos de entrar con una contraseña incorrecta (deberá pedir la rehabilitación ante el administrador de sistemas.<br />c) Solicitar el cambio de la contraseña cada 30 días.<br />d) Impedir que las últimas 12 contraseñas sean reutilizadas o se utilicen contraseñas triviales como ser: Nombre, Apellido, Nro. de C.I. o fecha de nacimiento.<br />
  26. 26. 11. 2. Gestión de acceso de usuario <br />11.2.4 Recepción de Documentos de Respaldo por el Administrador de Sistemas, al momento de habilitar alguna cuenta de usuario.<br /> El administrador de sistema deberá solicitar alguna petición por escrito de la habilitación de alguna cuenta de usuario nueva, adjuntada con los datos personales de la persona a quien se le está creando la cuenta, y el cargo que ocupara dentro de la empresa.<br />
  27. 27. 11. 3. Responsabilidades Del Usuario <br />11.3.2 Equipo de usuario desatendido <br /> Los usuarios deberán garantizar que los equipos desatendidos sean protegidos adecuadamente. <br /> Los equipos instalados en áreas de usuarios, por ejemplo estaciones de trabajo o servidores de archivos, requieren una protección específica contra accesos no autorizados cuando se encuentran desatendidos.<br /> El administrador de sistemas debe coordinar con el encargado comercial las tareas de concientización a todos los usuarios, acerca de los requerimientos y procedimientos de seguridad, para la protección de equipos desatendidos.<br />  Los usuarios cumplirán con las siguientes pautas:<br />a) Proteger las PCs o terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente, por ejemplo, contraseña de acceso cuando no se utilizan.<br />
  28. 28. 11. 4. Control de acceso a Red<br />11.4.1 Política de Acceso a Usuarios Internos a la Red <br />Para ello, se desarrollarán procedimientos para la activación y desactivación de derechos de acceso a las redes, los cuales comprenderán:<br />a) Identificar las redes y servicios de red a los cuales se permite el acceso y mantener un registro de las mismas.<br />b) Realizar normas y procedimientos de autorización para determinar las personas y las redes y servicios de red a los cuales se les otorgará el acceso.<br />c) Establecer controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red.<br />
  29. 29. 11. 4. Control de acceso a Red<br />11.4.2 Protección de los Puertos de Diagnóstico Remoto<br />serán protegidos por un mecanismo de seguridad apropiado, con las mismas características del punto “Autenticación de Usuarios para Conexiones Externas”.<br />11.4.3 Autenticación de usuarios para conexiones externas<br />La autenticación de usuarios remotos deberá llevarse a cabo utilizando:<br /> a) deben utilizarse líneas dedicadas privadas o una herramienta de verificación de la dirección del usuario de red, a fin de constatar el origen de la conexión.<br />11.4.4 Autenticación de Nodos<br />La autenticación de nodos puede servir como un medio alternativo de autenticación de grupos de usuarios remotos, cuando éstos están conectados a un servicio informático seguro y compartido.<br />
  30. 30. 11. 4. Control de acceso a Red<br />11.4.8 Correo electrónico <br />a) La cuenta de correo electrónico debe ser usada para el desempeño de las funciones asignadas por la empresa, así mismo podrá ser utilizada para uso personal, siempre y cuando se realice de manera ética, razonable, responsable, no abusiva y sin afectar la productividad. <br />b) Los mensajes y la información contenida en los buzones de correo son propiedad de la empresa y cada usuario, como responsable de su buzón, debe mantener solamente los mensajes relacionados con el desarrollo de sus funciones. <br />
  31. 31. 11. 4. Control de acceso a Red<br />c) No es permitido: <br />Enviar cadenas de correo, mensajes con contenido religioso, político, racista, sexista, pornográfico, publicitario no corporativo o cualquier otro tipo de mensajes que atenten contra la dignidad y la productividad de las personas o el normal desempeño del servicio de correo electrónico en la Institución, mensajes mal intencionados que puedan afectar los sistemas internos o de terceros, mensajes que vayan en contra de las leyes, la moral y las buenas costumbres y mensajes que inciten a realizar prácticas ilícitas o promuevan actividades ilegales. <br />d) El envío de información corporativa debe ser realizado exclusivamente desde la cuenta de correo que la empresa le proporciona.<br />
  32. 32. 11. 5. Control De Acceso Al Sistema Operativo<br />11.5.1 Procedimientos seguro de inicio de sesión <br />a) Validar la información de la conexión sólo al completarse la totalidad de los datos de entrada. Si surge una condición de error, el sistema no debe indicar que parte de los datos es correcta o incorrecta.<br />b) Limitar el número de intentos de conexión no exitosos permitidos y:<br /><ul><li> Registrar los intentos no exitosos.
  33. 33. Impedir otros intentos de identificación, una vez superado el límite permitido.</li></ul>c) Limitar el tiempo máximo permitido para el procedimiento de conexión. Si este es excedido, el sistema debe finalizar la conexión.<br />
  34. 34. 11. 5. Control De Acceso Al Sistema Operativo<br />11.5.2 Identificación y autenticación de usuarios.<br />Todos los usuarios tendrán un identificador único (ID de usuario) solamente para su uso personal exclusivo, de manera que las actividades puedan rastrearse con posterioridad hasta llegar al individuo responsable.<br />
  35. 35. 11. 5. Control De Acceso Al Sistema Operativo<br />11.5.3 Sistema de gestión de contraseña <br />El sistema de administración de contraseñas debe:<br />a) Imponer el uso de contraseñas individuales para determinar responsabilidades.<br />b) Permitir que los usuarios seleccionen y cambien sus propias contraseñas (luego de cumplido el plazo mínimo de mantenimiento de las mismas) e incluir un procedimiento de confirmación para contemplar los errores de ingreso.<br />c) Imponer una selección de contraseñas de calidad según lo señalado en el punto “Uso de Contraseñas”.<br />d) Imponer cambios en las contraseñas en aquellos casos en que los usuarios mantengan sus propias contraseñas, según lo señalado en el punto “Uso de Contraseñas”.<br />
  36. 36. 11. 5. Control De Acceso Al Sistema Operativo<br />e) Obligar a los usuarios a cambiar las contraseñas provisorias en su primer procedimiento de identificación, en los casos en que ellos seleccionen sus contraseñas.<br />f) Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar la reutilización de las mismas.<br />g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas.<br />h) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de aplicación.<br />
  37. 37. 11. 5. Control De Acceso Al Sistema Operativo<br />i) Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado unidireccional.<br />j) Modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.).<br />k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas, asegure que no se tenga acceso a información temporal o en tránsito de forma no protegida.<br />
  38. 38. 11. 5. Control De Acceso Al Sistema Operativo<br />11.5.4 Uso de los utilitarios del sistema <br />Se deben considerar los siguientes controles:<br />a) Utilizar procedimientos de autenticación para utilitarios del sistema.<br />b) Separar entre utilitarios del sistema y software de aplicaciones.<br />c) Evitar que personas ajenas al Organismo tomen conocimiento de la existencia y modo de uso de los utilitarios instalados en las instalaciones informáticas.<br />
  39. 39. 11. 5. Control De Acceso Al Sistema Operativo<br />11.5.6 Limitación del tiempo de conexión <br />Entre los controles que se deben aplicar, se enuncian:<br />a) Limitar los tiempos de conexión al horario normal de oficina, de no existir un requerimiento operativo de horas extras o extensión horaria.<br />b) Documentar debidamente los agentes que no tienen restricciones horarias y las razones de su autorización. También cuando el Propietario de la Información autorice excepciones para una extensión horaria ocasional.<br />
  40. 40. Christian Jorge Veizaga Vargas<br />
  41. 41. 11. 6. Control de Acceso a las Aplicaciones <br />11.6.1 Restricción del Acceso a la Información<br />Se aplicarán los siguientes controles, para brindar apoyo a los requerimientos de limitación de accesos:<br />a) Proveer una interfaz para controlar el acceso a las funciones de los sistemas de aplicación.<br />b) Controlar los derechos de acceso de los usuarios, por ejemplo, lectura, escritura, supresión y ejecución.<br />c) Restringir el acceso a la información por fuera del sistema encargado de su procesamiento, es decir, la modificación directa del dato almacenado.<br />
  42. 42. 11. 6. Control de Acceso a las Aplicaciones<br />11.6.2 Aislamiento de los Sistemas Sensibles<br />Son aplicables las siguientes consideraciones:<br />a) Identificar y documentar claramente la sensibilidad de un sistema de aplicación. Esta tarea será llevada a cabo por el administrador de la aplicación.<br />b) Considerar la seguridad en la administración de las copias de respaldo de la información que procesan las aplicaciones.<br />c) Considerar las mismas precauciones de seguridad y privacidad, en la elaboración del plan de continuidad y/o contingencia de la ejecución de la aplicación. Ejemplo: el equipamiento alternativo o las instalaciones de emergencia donde restablecer la aplicación.<br />
  43. 43. 11.6.3 Monitoreo del Acceso y Uso de los Sistemas<br />11.6.3.1 Registro de Eventos<br />Los registros de auditoría deberán incluir:<br /> <br />a) Identificación del usuario.<br /> <br />b) Fecha y hora de inicio y terminación.<br /> <br />c) Identidad o ubicación de la terminal, si se hubiera dispuesto identificación automática para la misma.<br /> <br />d) Registros de intentos exitosos y fallidos de acceso al sistema.<br /> <br />e) Registros de intentos exitosos y fallidos de acceso a datos y otros recursos.<br />
  44. 44. 11.6.3.2 Monitoreo del Uso de los Sistemas<br />11.6.3.2.1 Procedimientos y Áreas de Riesgo<br />Entre las áreas que deben tenerse en cuenta se enumeran las siguientes:<br />a) Acceso no autorizado, incluyendo detalles como: <br />1. Identificación del usuario.<br />2. Fecha y hora de eventos clave.<br />3. Tipos de eventos.<br />4. Archivos a los que se accede.<br />5. Utilitarios y programas utilizados.<br />b) Todas las operaciones con privilegio, como:<br />1. Utilización de cuenta de supervisor.<br />2. Inicio y cierre del sistema.<br />3. Conexión y desconexión de dispositivos de Ingreso y Salida de información o que permitan copiar datos.<br />4. Cambio de fecha/hora.<br />5. Cambios en la configuración de la seguridad.<br />6. Alta de servicios.<br />
  45. 45. 11.6.3.2.1 Procedimientos y Áreas de Riesgo<br />c) Intentos de acceso no autorizado, como:<br />1. Intentos fallidos.<br />2. Violaciones de la Política de Accesos y notificaciones para “gateways” de red y “firewalls”.<br />3. Alertas de sistemas de detección de intrusiones.<br /> <br />d) Alertas o fallas de sistema como:<br />1. Alertas o mensajes de consola.<br />2. Excepciones del sistema de registro.<br />3. Alarmas del sistema de administración de redes.<br />4. Accesos remotos a los sistemas.<br />
  46. 46. 11.6.3.2 Monitoreo del Uso de los Sistemas<br />11.6.3.2.2 Factores de Riesgo<br />Entre los factores de riesgo que se deben considerar se encuentran:<br /> <br />a) La criticidad de los procesos de aplicaciones.<br />b) El valor, la sensibilidad o criticidad de la información involucrada.<br />c) La experiencia acumulada en materia de infiltración y uso inadecuado del sistema.<br />d) El alcance de la interconexión del sistema (en particular las redes públicas).<br /> <br />11.6.3.2.3 Registro y Revisión de Eventos<br />
  47. 47. 11.6.3.2 Monitoreo del Uso de los Sistemas<br />11.6.3.2.3 Registro y Revisión de Eventos<br />Las herramientas de registro deberán contar con los controles de acceso necesarios, a fin de garantizar que no ocurra:<br />a) La desactivación de la herramienta de registro.<br />b) La alteración de mensajes registrados.<br />c) La edición o supresión de archivos de registro.<br />d) La saturación de un medio de soporte de archivos de registro.<br />e) La falla en los registros de los eventos.<br />f) La sobre escritura de los registros.<br />11.6.3.3 Sincronización de Relojes<br />A fin de garantizar la exactitud de los registros de auditoría, al menos los equipos que realicen estos registros, deberán tener una correcta configuración de sus relojes.<br />
  48. 48. 11. 7. Computación Móvil y Trabajo Remoto<br />11.7.1 Computación Móvil<br />Entre los procedimientos que se deben aplicar, se enuncian:<br />1. Protección de redes inalámbricas.<br />2. Control de redes inalámbricas.<br />3. Autorizar conexiones a puntos de acceso mediante autentificación.<br />4. Notificación al administrador del sistema en caso de detectar irregularidades con el equipo y la información que contiene.<br />
  49. 49. 11.7.1 Computación Móvil<br />Sobre los cuidados especiales a observar ante la posesión de dispositivos móviles, se debe tomar en cuenta lo siguientes:<br />a) Permanecer siempre cerca del dispositivo.<br />b) No dejar desatendidos los equipos.<br />c) No llamar la atención acerca de portar un equipo valioso.<br />d) No poner identificaciones del Organismo en el dispositivo, salvo los estrictamente necesarios.<br />e) No poner datos de contacto técnico en el dispositivo.<br />f) Mantener cifrada la información clasificada.<br />
  50. 50. 11. 7. Computación Móvil y Trabajo Remoto<br />11.7.2 Trabajo Remoto<br />Entre los procedimientos que se deben aplicar, se enuncian:<br /> <br />a) La seguridad física existente en el sitio de trabajo remoto, tomando en cuenta la seguridad física del edificio y del ambiente local.<br />b) El ambiente de trabajo remoto propuesto.<br />c) Evitar la instalación / desinstalación de software no autorizada por el Organismo.<br />
  51. 51. 11.7.2 Trabajo Remoto<br />Los controles y disposiciones comprenden:<br />a) Proveer de mobiliario para almacenamiento y equipamiento adecuado para las actividades de trabajo remoto.<br />b) Definir el trabajo permitido, el horario de trabajo, la clasificación de la información que se puede almacenar en el equipo remoto desde el cual se accede a la red del Organismo y los sistemas internos y servicio a los cuales el trabajador remoto está autorizado a acceder.<br />c) Proveer de un adecuado equipo de comunicación, con inclusión de métodos para asegurar el acceso remoto.<br />d) Incluir seguridad física.<br />e) Definir reglas y orientación respecto del acceso de terceros al equipamiento e información.<br />f) Proveer el hardware y el soporte y mantenimiento del software.<br />g) Definir los procedimientos de backups y de continuidad de las operaciones.<br />h) Efectuar auditoría y monitoreo de la seguridad.<br />
  52. 52. ¡GRACIAS!<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×