2. CONTROL DE ACCESO
Su propósito es evitar el acceso no autorizado a la información
digital e inhalaciones de procesamiento de datos.
• ADMINISTRACION DE USUARIOS
1. el nivel de acceso asignado debe ser consistente con el propósito del
negocio.
2. todo usuario que acceda a los sistemas de información de la empresa,
debe tener asignado un identificador único (id).
3. los permisos asignados a los usuarios deben estar adecuadamente
registrados y protegidos.
4. cualquier cambio de posición de un rol, amerita de los permisos
asignados.
5. los sistemas de información de la organización, deben contar con
mecanismos robustos de autenticación de usuarios.
6. la creación, modificación y eliminación de claves debe ser controlada a
través de un procedimiento formal.
3. Control de red
1. la empresa debe de contar con controles que protejan la
información dispuesta en las redes de información y los
servicios interconectados, evitando así los accesos no
autorizados.
2. deben existir una adecuado nivel de segregación (dispersión)
funcional que regule las actividades ejecutadas por los
administradores de redes, operaciones y seguridad.
3. deben existir sistemas de seguridad lógica de eventos que
permite el monitoreo de incidentes de seguridad en redes.
4. Control de datos
1. la empresa debe contar con controles que protejan la
información dispuesta en las B.D. de las aplicaciones.
2. Debe existir un adecuado nivel de segregación de funciones
que regulen las actividades ejecutadas por los
administradores de datos.
3. se debe mantener un log de actividades que registren las
actividades de los administradores de datos.
4. los usuarios deben acceder a la información contenida en las
B.D. únicamente atreves de aplicaciones que cuentan con
mecanismos de control.
5. Encriptación
1. el nivel de protección de información debe estar basado en un
análisis de riesgo.
2. Dicho análisis debe permitir identificar cuando es necesario
encrestar la información.
3. toda la información criptográfica como confidencial debe ser
almacenada, procesada y transmitida en forma.
4. todas las claves criptográficas deben estar protegidas contra
modificaciones, perdida y destrucción.
6. Administración de claves
1. las claves deben estar protegidas contra accesos y
modificaciones no autorizadas, perdidas y destruidas.
2. el equipamiento utilizado para generar y almacenar las
claves debe estar físicamente protegido.
3. la protección de las claves de debe impedir su visualización
aun si se vulnera el acceso al medio que la contiene.
7. Uso de password
Las password o claves e usuario son un elemento muy importante por eso
todo empleado debe utilizar una clave segura para el acceso a los sistemas de
la organización, esta clave es personal e intransferible.
χ claves no seguras
* la clave contiene menos de 8 caracteres
* la clave es en contra de un diccionario
* la clave es una palabra de uso común.
* la clave es fecha de cumpleaños u otra información personal.
claves seguras
+ la clave contiene mas de 8 caracteres.
+ la clave contiene caracteres en mayúsculas y minúsculas.
+ la clave tiene dígitos de puntuación, letras y números intercalados.
+ la clave no obedece a una palabra o lenguaje dialecto
+ fácil de recordar
8. Intercambio de información
Prevenir la perdida, modificación o acceso no autorizado y el mal uso de la
información que la empresa intercambia como parte de sus procesos de
negocio.
se permite
acuerdos de intercambio: todo intercambio de información debe de estar
autorizado expresamente por el dueño de esta.
seguridad de los medios removibles: el dueño de la información es quien
autoriza atreves de un medio removible desde la organización.
seguridad en el comercio electrónico: la información debe estar protegida
de actividades fraudulentas, disputas contractuales y revelaciones o
modificaciones no autorizadas.
seguridad en el correo electrónico: el correo es personalizado, no es
aceptable la utilización del correo de otra persona, por tanto se asume el
responsable del envió al remitente.