ISO 27002

7,933 views

Published on

Control de Acceso Exposición Grupo# 2
ISO 27002

Published in: Education, Technology, Business

ISO 27002

  1. 1. CONTROL DE ACCESOPoliticas, procedimientos e instructivos ISO/27002 <br />Diplomado en Seguridad Informática: Control de Acceso al Sistema<br />Integrantes:<br />DanyAguantaCh.<br />Jose Luis Cabrera G<br />Marilyn Casanova A. <br />MaritoLeaños Arias<br />
  2. 2. INTRODUCCIÓN<br />En la actualidad, las organizaciones están cada vez más dependientes de su Seguridad Informática y un problema que afecte o vulnere su información, podría comprometer la continuidad de las operaciones.<br />Es así que los procedimientos de las Políticas de Seguridad Informática emergen como instrumentos para concientizar a sus miembros acerca de la sensibilidad de la información y servicios críticos, de la superación de fallas y de las debilidades de tal forma que permiten a la organización cumplir con su misión.<br />Debido a la gran importancia de asegurar la información y los demás recursos informáticos, las prácticas de seguridad descritas son obligatorias para todo el personal.<br />
  3. 3. Políticas y Procedimientos<br />CONTROL DE ACCESOS<br />Administración de accesos de usuarios<br />Revisión de derecho de accesos de usuarios<br />Procedimiento 1: Monitoreo de derechos de accesos por usuario<br />Responsabilidades de los usuarios<br />Uso de contraseñas<br />Procedimiento 2: Monitoreo de Asignación de Privilegios por un Auditor al Jefe de Sistemas<br />Procedimiento 3: Monitoreo de Asignación de Privilegios por Jefe de Sistemas al usuario<br /> <br />
  4. 4. Procedimiento 1: Monitoreo de derecho de acceso por usuarios<br />Objetivos<br /> Establece el procedimiento para el monitoreo de derecho de acceso por usuarios, este procedimiento según la norma ISO/27002, pertenece a la política 11.2.4 Revisión de derecho de accesos de usuarios y se debe realizar periódicamente cada 15 días.<br />Alcance <br />Es aplicable a las siguientes áreas de la organización<br />Gobierno TI<br />Área Administrativa<br />Área de Sistemas<br />
  5. 5. Monitoreo de derecho de acceso por usuarios<br />Responsabilidades<br />Gobierno de TI<br /> Se encarga de solicitar el informe sobre derecho de acceso de usuarios, toma decisión referente a los informes solicitados, se los emite al área administrativa.<br />Jefe de Sistemas<br /> Debe realizar un análisis de la información solicitada por el Gobierno de TI, verificando que se cumplan los derechos de accesos por usuarios, emitiendo posibles fallas que se presenten. <br />Área administrativa<br /> Debe realizar un análisis de la información otorgada por el encargado de sistemas, analizando y almacenando el informe que luego se comunica al gobierno y a los usuarios. <br /><ul><li>Documentos Relacionados</li></ul>Formulario para solicitud de acceso de usuarios.<br />Formulario de pedido de accesos a sistemas.<br /> <br />
  6. 6. Monitoreo de derecho de acceso por usuarios<br />Definiciones<br />Seguridad de la información<br /> Conservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades como autenticidad, rendición de cuentas, no repudio y confiabilidad también pueden estar implicadas.<br />
  7. 7. Registros<br />Monitoreo de derecho de acceso por usuarios<br />
  8. 8. Anexos 1Formulario de Monitoreo de acceso de usuarios<br />PYME COMERCIAL<br />FORMULARIO DE MONITOREO DE ACCESOS DE USUARIOS <br />Santa Cruz, 09 / 05 /2011<br /> <br />Señor <br />Julio Cortes Pérez<br />Gobierno de TI<br />Presente.<br />El monitoreo para el acceso de usuario se realizo en 08/05/2011, se concluyo con el reporte descrito a continuación:<br /> <br /> __________________<br />JoseJiménez C<br /> (Jefe de Sistemas)<br />DIRECCION: calle Palmas #325<br />TELEFONO: 3585947<br />CORREO: pyme@dominio.com<br />
  9. 9. Procedimiento 2: Monitoreo de asignación de privilegio por un Auditor al jefe de Sistemas<br />Objetivos<br /> El presente documento tiene como objetivo definir el procedimiento para Monitorear las asignaciones de privilegio a cargo de un auditor externo.<br /> <br />Alcance <br />Es aplicable a las siguientes áreas de la organización<br />Gobierno TI<br />Área Administrativa<br />Área de Sistemas.<br />
  10. 10. Monitoreo de asignación de privilegio por un Auditor al jefe de Sistemas<br />Responsabilidades<br />Gobierno TI<br /> Se encarga de solicitar el monitoreo de los privilegios a un Auditor externo.<br />Auditor externo<br /> Debe realizar un análisis de la información solicitada por el Gobierno TI, verificando que se cumplan las asignaciones de privilegios establecidas, emitiendo posibles reportes de posibles fallas que se presenten.<br /> <br />Documentos Relacionados<br />Formulario de asignación de privilegios<br />Formulario de registro de un Usuario<br />
  11. 11. Monitoreo de asignación de privilegio por un Auditor al jefe de Sistemas<br />Definiciones<br />Software Utilitario: Todo aquel software destinado al manejo de los recursos del computador, de los programas. Como son la memoria, el disco duro, lector de CD/DVD. Para todo software utilitario requerido se deberá realizar los pasos burocráticos, para definir luego la aceptación o denegación de dicho utilitario.<br />Active Directory: <br />Directorio Activo.<br />
  12. 12. Monitoreo de asignación de privilegio por un Auditor al jefe de SistemasRegistros<br />
  13. 13. Monitoreo de asignación de privilegio por un Auditor al jefe de Sistemas<br />Anexos: Formulario de Incoherencias de Asignación de Privilegios<br />PYME Comercial<br /> <br />Formulario de Incoherencias de Asignación de Privilegios<br /> <br />Santa Cruz, 09 / 05 /2011<br /> <br /> <br />Señor <br />Julio Cortes Pérez<br />Gobierno de TI<br />Presente.<br /> <br /> <br />Nombre de Auditado:…………………………………….. ……………………<br /> <br /> Tipo de Incidentes:<br /> Violaciones de asignación: …………………………………..……………………<br />…………………………………………………………………………………………<br /> <br />  <br /> Auditor Responsable<br /> <br />  <br /> DIRECCION: calle Palmas #325<br />TELEFONO: 3585947<br />CORREO: pyme@dominio.com<br />
  14. 14. Procedimiento 3: Monitoreo de asignación de privilegio por el Jefe de Sistemas a un Usuario.<br />Objetivos<br />Establecer el procedimiento para el Monitoreo de <br />asignación de privilegios concedidos al usuario.<br />Alcance <br />Es aplicable a las siguientes áreas de la empresa:<br /><ul><li>Gobierno TI
  15. 15. Área de Sistemas</li></li></ul><li> Monitoreo de asignación de privilegio por el Jefe de Sistemas a un Usuario.<br />Responsabilidades<br />Gobierno de TI Encargado de hacer cumplir con los procedimientos administrativo<br />Jefe de Sistemas.- Realiza los análisis pertinentes para identificar: amenazas, ventajas, desventajas, puntos débiles y nivel de rendimiento del software usado en la empresa.<br />
  16. 16. Monitoreo de asignación de privilegio por el Jefe de Sistemas a un Usuario.<br />Documentos Relacionados<br />Formulario de incidentes.<br />Formulario para Petición de Asignación de Privilegios<br />Formulario para Registro de Privilegios de Usuarios<br />Definiciones<br />Procedimiento administrativo: proceso mediante el cual un órgano administrativo adopta decisiones sobre las pretensiones formuladas por la ciudadanía o sobre las prestaciones y servicios cuya satisfacción o tutela tiene encomendadas.<br />
  17. 17. Monitoreo de asignación de privilegio por el Jefe de Sistemas a un Usuario. Registro<br />
  18. 18. Monitoreo de asignación de privilegio por el Jefe de Sistemas a un Usuario. Anexos<br />PYME Comercial<br /> <br />Formulario de Incoherencias de Asignación de Privilegios<br /> <br />Santa Cruz, 09 / 05 /2011<br /> <br /> <br />Señor <br />Julio Cortes Pérez<br />Gobierno de TI<br />Presente.<br /> <br /> <br />Nombre de Auditado:…………………………………….. ……………………<br /> Tipo de Incidentes:<br /> <br />Aplicaciones: …………………………………..………………………………<br />………………………………………………………………………………….<br />Recursos: …………………………………..…………………………………..<br />………………………………………………………………………………….<br />Información: …………………………………..……………………<br />………………………………………………………………………………….<br /> <br /> <br />Jefe de Sistemas<br />  <br />LUEGO DE LLENAR E IMPRIMIR ESTE DOCUMENTO, ES OBLIGATORIO FIRMARLO Y <br />SELLARLO PARA SU VALIDEZ<br />
  19. 19. Diagrama de flujo: Procedimiento Monitoreo de derecho de acceso por usuarios <br />
  20. 20. Instructivo: Procedimiento Monitoreo de derecho de acceso por usuarios instructivo en windows server 2003<br />
  21. 21. Diagrama de flujo: Procedimiento Monitoreo de derecho de acceso por usuarios instructivo en windows server 2003<br />
  22. 22. Diagrama de flujo: Procedimiento Monitoreo de derecho de acceso por usuarios instructivo en windows server 2003<br />
  23. 23. Diagrama de flujo: procedimiento Monitoreo de asignación de privilegio por un Auditor al jefe de Sistemas <br />
  24. 24. Instructivo: Procedimiento Monitoreo de asignación de privilegios de usuarios en Windows Server.<br />Accedemos a Usuarios y equipos de Active Directory y nos muestra el siguiente Grafico<br />
  25. 25. Instructivo: Procedimiento Monitoreo de asignación de privilegios de usuarios en Windows Server.<br />En este formulario Vemos a todos los usuarios del sistema.<br />Seleccionamos uno y le damos Click Derecho, y nos muestra el siguiente Grafico<br />
  26. 26. Instructivo: Procedimiento Monitoreo de asignación de privilegios de usuarios en Windows Server.<br />Dando en Propiedades nos muestra la siguiente imagen.<br />
  27. 27. Nos vamos a la pestana Miembro de, en el cual podemos ver losprivilegios del usuario en cuestión.<br />
  28. 28. diagrama de flujo: Monitoreo de asignación de privilegio por el Jefe de Sistemas a un Usuario. <br />

×