Auditoria Control de Acceso

download Auditoria Control de Acceso

of 98

Transcript of Auditoria Control de Acceso

UNIVERSIDAD NACIONAL SAN ANTONIO ABAD DEL CUSCO Carrera Profesional de Ingeniera Informtica y de Sistemas

RESOLUCIN CONTROL DE ACCESOTema: Docente: Integrantes: -Ccarita Cruz Ana Maritza -Mayta Salazar Elizabeth Dioni -Palomino Flores Meluni -Ligas Ramirez Trilce -Jara Meja Cristian Jhonathan CUSCO-PERU 2011 081105 081110 070714 070707 070705 RESOLUCIN DE CONTROLES DE ACCESO Ing. Emilio Palomino Olivera

INDICE

CONTROL DE ACCESO

11.1.

REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS

OBJETIVO: Controlar los accesos a la informacin. Se debera controlar el acceso a la informacin y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Se deberan tener en cuenta para ello las polticas de distribucin de la informacin y de autorizaciones. 11.1.1 POLTICA DE CONTROL DE ACCESOS Control Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Gua de implementacin Se deberan establecer claramente en una poltica de accesos las reglas y los derechos de cada usuario o grupo de usuarios. Los controles de acceso son lgicos y fsicos (vase el captulo 9) y estos deben ser considerados juntos. Se debera dar a los usuarios y proveedores de servicios una especificacin clara de los requisitos de negocio cubiertos por los controles de accesos. Esta poltica debera contemplar lo siguiente: a) requisitos de seguridad de cada aplicacin de negocio individualmente; b) identificacin de toda la informacin relativa a las aplicaciones y los riesgos que la informacin est enfrentando; c) polticas para la distribucin de la informacin y las autorizaciones (por ejemplo, el principio de suministro slo de la informacin que se necesita conocer y los niveles de seguridad para la clasificacin de dicha informacin) (vase el inciso 7.2); d) coherencia entre las polticas de control de accesos y las polticas de clasificacin de la informacin en los distintos sistemas y redes; e) legislacin aplicable y las obligaciones contractuales respecto a la proteccin del acceso a los datos o servicios (vase el inciso 15.1); f) perfiles de acceso de usuarios estandarizados segn las categoras comunes de trabajos; g) administracin de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexin; h) segregacin de los roles de control de acceso, como el pedido de acceso, autorizacin de acceso, administracin de accesos;

CONTROL DE ACCESO

i) requerimientos para la autorizacin formal de los pedidos de acceso (vase el inciso 11.2.1); j) requerimientos para la revisin peridica de los controles de acceso (vase el inciso 11.2.4); k) retiro de los derechos de acceso (vase el inciso 8.3.3). Otra Informacin Al especificar las reglas de los controles de accesos se tendr la precaucin de considerar: a) la distincin entre reglas a cumplir siempre y reglas opcionales o condicionales; b) el establecimiento de las reglas basndose en la premisa est prohibido todo lo que no est permitido explcitamente , premisa que es contraria a la regla est permitido todo lo que no est prohibido explcitamente , considerada ms dbil o ms permisiva. c) los cambios en las etiquetas de informacin (vase el inciso 7.2) iniciadas automticamente por los recursos del tratamiento de la informacin y las que inicia el usuario manualmente; d) los cambios en las autorizaciones al usuario realizados automticamente por el sistema de informacin y los que realiza un administrador; e) la distincin entre reglas que requieren o no la aprobacin del administrador o de otra autoridad antes de su promulgacin. Las reglas de control de acceso deben ser apoyadas por procedimientos formales y por responsabilidades claramente definidos.

AUDITORIA

Pgina 4

CONTROL DE ACCESO

a) requisitos de seguridad de cada aplicacin de negocio individualmente; b) identificacin de toda la informacin relativa a las aplicaciones y los riesgos que la informacin est enfrentando; ACTIVIDAD: (gua implementacin) CONTROL: a) requisitos de seguridad de cada aplicacin de negocio de individualmente; b) identificacin de toda la informacin relativa a las aplicaciones y los riesgos que la informacin est enfrentando; Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Determinar la seguridad que posee cada aplicacin de negocio Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

OBJETIVO: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de Seguridad de la Aplicaciones Nombre y Apellidos: rea o departamento al que pertenece: Cargo que ocupa actualmente: Parte del sistema al cual tiene derechos de Acceso:

Redes Base de datos Informacin Confidencial Desarrollo de nuevos sistemas Otros ________________________________ Identificarse como ___________ La contrasea que posee: Nmeros Letras maysculas Letras minsculas Texto alfanumrico usuario autorizado:

Datos de Entrada

AUDITORIA

Pgina 5

CONTROL DE ACCESO

Otros ________________________________ Datos de Procesamiento Tiempo de demora en los procesos : ___________ Numero de procesos realizados Simultneamente: ____________ Salidas requeridas Tiempo total de respuesta:

Datos de Salida

______________

Cmo considera usted, en general el servicio proporcionado por la aplicacin?

Deficiente Aceptable Satisfactorio Excelente Por qu? ______________________________ ______________________________ ______________________________ ______________________________ Nula Riesgosa Satisfactoria Excelente Desconoce Por qu? ______________________________ ______________________________ ______________________________ ______________________________

Qu opina de la seguridad del manejo de la informacin proporcionado por la aplicacin?

c) polticas para la distribucin de la informacin y las autorizaciones (por ejemplo, el principio de suministro slo de la informacin que se necesita conocer y los niveles de seguridad para la clasificacin de dicha informacin) (vase el inciso 7.2); d) coherencia entre las polticas de control de accesos y las polticas de clasificacin de la informacin en los distintos sistemas y redes; ACTIVIDAD: (gua implementacin) c) polticas para la distribucin de la informacin y las de autorizaciones (por ejemplo, el principio de suministro slo de la informacin que se necesita conocer y los niveles de seguridad para la clasificacin de dicha informacin) (vase elPgina 6

AUDITORIA

CONTROL DE ACCESO

CONTROL:

inciso 7.2); d) coherencia entre las polticas de control de accesos y las polticas de clasificacin de la informacin en los distintos sistemas y redes; Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de polticas para la distribucin de la informacin y las autorizaciones Nombres y Apellidos: rea o departamento al que pertenece: Cargo que ocupa actualmente: Nombre y nro. del Documento (donde se estipula las polticas de distribucin de informacin y las autorizaciones): Fecha de conocimiento del documento (fecha en la cual usted tuvo conocimiento del documento y su contenido): Nombre del responsable o Nombre del rea (persona o rea de trabajo quien hizo llegar a usted dicho documento): Fecha que adquiri las autorizaciones: Nombre del Documento donde se estipula los derechos de acceso que posee: Fecha de conocimiento del documento (fecha en la cual usted tuvo conocimiento del contenido del documento): Tipos de autorizacin que usted posee (describa):

AUDITORIA

Pgina 7

CONTROL DE ACCESO

Responsable de brindar las autorizaciones (Nombre y Apellidos, rea de trabajo): Fecha de caducidad de las autorizaciones otorgadas: Documento de conformidad (donde acepta los derechos de acceso y autorizaciones dadas) e) legislacin aplicable y las obligaciones contractuales respecto a la proteccin del acceso a los datos o servicios (vase el inciso 15.1); ACTIVIDAD: (gua implementacin) CONTROL: e) legislacin aplicable y las obligaciones contractuales respecto de a la proteccin del acceso a los datos o servicios (vase el inciso 15.1); Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de legislacin aplicable y las obligaciones contractuales respecto a la proteccin del acceso a los datos o servicios Documento de Peticin de acceso a los datos: Responsable de aprobar la peticin de acceso de datos: Documento de aprobacin a la peticin: Mtodos usados para proteger Usuario: ___________ el acceso a los datos o servicios: Contrasea: ___________ Nombres: ____________ Cdigo de Autorizacin:____________

AUDITORIA

Pgina 8

CONTROL DE ACCESO

f) perfiles de acceso de usuarios estandarizados segn las categoras comunes de trabajos; ACTIVIDAD: f) perfiles de acceso de usuarios estandarizados segn las categoras (gua de comunes de trabajos; implementacin) CONTROL: Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Gua de Implementacin de perfiles de acceso de usuarios estandarizados segn las categoras comunes de trabajos Nombres y Apellidos: rea o departamento al que pertenece: Cargo que ocupa actualmente: Categora de Trabajo: Nombrado Contratado Practicante Asistente Auxiliar Otro ______________________________

Descripcin del Perfil de Acceso: (desarrolle los permisos de acceso que posee)

Documento de descripcin de perfil del usuario (nombre, tipo y numero) g) administracin de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexin;AUDITORIA

Pgina 9

CONTROL DE ACCESO

ACTIVIDAD: (gua implementacin) CONTROL:

g) administracin de los derechos de acceso en un entorno de distribuido en red que reconozca todos los tipos disponibles de conexin; Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de administracin de los derechos de acceso en un entorno distribuido en red que reconozca todos los tipos disponibles de conexin; Nombres y Apellidos: rea o departamento al que pertenece: Cargo que ocupa actualmente: Responsable de proporcionar derechos de acceso a la red (Nombre , Apellidos y rea de Trabajo) Documento de autorizacin de acceso a la red (Nombre, tipo y numero) Fecha de entrega de la autorizacin:

h) segregacin de los roles de control de acceso, como el pedido de acceso, autorizacin de acceso, administracin de accesos; ACTIVIDAD: (gua implementacin) CONTROL: de h) segregacin de los roles de control de acceso, como el pedido de acceso, autorizacin de acceso, administracin de accesos Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________Pgina 10

SUPERVISOR:

AUDITORIA

CONTROL DE ACCESO

AUDITOR: FECHA DE INICIO 11/01/2012 FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Gua de Implementacin de segregacin de los roles de control de acceso, como el pedido de acceso, autorizacin de acceso, administracin de accesos rea o departamento encargado de los controles de acceso: Jefe del rea de Controles de Acceso (-nombres y apellidos) Pedido de Acceso Documento de pedido de acceso (Nombre, tipo y numero) Responsable de autorizar el pedido (Nombre y Apellidos) Descripcin de motivos de pedir acceso: Autorizacin de Acceso Documento de autorizacin de acceso (nombre, tipo y numero) Responsable de la autorizacin (nombres y apellidos) Responsable de la administracin de los accesos Documento de registro de los acceso al sistema por los usuarios. i) requerimientos para la autorizacin formal de los pedidos de acceso (vase el inciso 11.2.1); j) requerimientos para la revisin peridica de los controles de acceso (vase el inciso 11.2.4); ACTIVIDAD: (gua implementacin) CONTROL: de i) requerimientos para la autorizacin formal de los pedidos de acceso (vase el inciso 11.2.1); j) requerimientos para la revisin peridica de los controles de acceso (vase el inciso 11.2.4); Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos

AUDITORIA

Pgina 11

CONTROL DE ACCESO

de seguridad y del negocio. SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Gua de Implementacin de requerimientos para autorizacin de pedidos de acceso y revisin de controles de acceso rea o departamento encargado de los controles de acceso: Jefe del rea de Controles de Acceso (-nombres y apellidos) Requisitos para autorizacin de pedidos de acceso Nombres y Apellidos: Cargo que ocupa actualmente: Perfil de acceso: Documento de Peticin de acceso: Descripcin breve de peticin de acceso: Responsable de autorizar la peticin de acceso: Requisitos para revisin de los controles de acceso Responsable de la revisin de controles de acceso: Documento de registro de los accesos: (nombre, tipo y numero) Mtodo de realizar la revisin:

Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero )

Diaria Semanal Mensual Peridicamente cundo? ________________ Nunca

AUDITORIA

Pgina 12

CONTROL DE ACCESO

k) retiro de los derechos de acceso (vase el inciso 8.3.3). ACTIVIDAD: (gua implementacin) CONTROL: de k) retiro de los derechos de acceso (vase el inciso 8.3.3). Una poltica de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de retiro de los derechos de acceso Nombre y Apellidos: Cargo que ocupa o ocupaba: Documento de retiro de derechos de acceso: (nombre, nmero y tipo) Responsable de autorizar el retiro de derechos de acceso: Descripcin del retiro de derechos de acceso

reubicacin dentro de la organizacin retiro de organizacin realizar actos no autorizados otros _____________________________

11.2.

GESTIN DE ACCESO DE USUARIOS

OBJETIVO: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de informacin. Se debera establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberan cubrir todas las etapas del ciclo de vida del acceso de los usuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios que ya no requieran dicho acceso a los sistemas y servicios. Se debera prestar especialAUDITORIA

Pgina 13

CONTROL DE ACCESO

atencin, donde sea apropiado, al necesario control de la asignacin de derechos de acceso privilegiados que permitan a ciertos usuarios evitar los controles del sistema. 11.2.1. REGISTRO DE USUARIOS Control Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Gua de Implementacin Se debera controlar el acceso a los servicios de informacin multiusuario mediante un proceso formal de registro que debera incluir: a) la utilizacin de un identificador nico para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debera permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados; b) la comprobacin de la autorizacin del usuario por el propietario del servicio para utilizar el sistema o el servicio de informacin. Tambin puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio (vase el inciso 11.1) y su consistencia con la poltica de seguridad de la organizacin (por ejemplo, su no contradiccin con el principio de segregacin de tareas (vase el inciso10.1.3); la entrega a los usuarios de una relacin escrita de sus derechos de acceso; d) la peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso; e) la garanta de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorizacin; f) el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella; h) la revisin peridica y eliminacin de identificadores y cuentas de usuario redundantes (vase el inciso 11.2.4); i) la garanta de no reasignacin a otros usuarios de los identificadores de usuario redundantes. Otra Informacin Se debera considerar el establecimiento de roles de acceso a usuario basado en requisitos de negocio que resuman un numero de derechos de acceso en un expediente tpico de acceso de usuario. Los pedidos y revisiones de acceso (vase el inciso 11.2.4) son manejadas ms fcilmente al nivel de dichos roles que los niveles de derechos particulares.AUDITORIA

Pgina 14

CONTROL DE ACCESO

Se debera considerar la inclusin de clusulas en los contratos laborales y de servicio que especifiquen sanciones si sus signatarios realizan accesos no autorizados (vase el inciso 6.1.4 y 6.1.5). a) la utilizacin de un identificador nico para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debera permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados; ACTIVIDAD: (gua implementacin) CONTROL: a) la utilizacin de un identificador nico para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debera permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados; Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

de

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de la utilizacin de un identificador nico para cada usuario, de esta forma puede vincularse a los usuarios y responsabilizarles de sus acciones. Se debera permitir el uso de identificadores de grupo cuando sea conveniente para el desarrollo del trabajo y estos deben ser aprobados y documentados Nombre y Apellidos: Cargo que ocupa actualmente: Identificador de usuario: Identificador de grupo de trabajo: Responsabilidades que posee individualmente en la organizacin Responsabilidades que posee en su grupo de trabajo Documento que consta y acepta las responsabilidades implantadasAUDITORIA

Pgina 15

CONTROL DE ACCESO

(nombre, tipo y numero) Fecha de entrega del documento (fecha en que recibe por primera vez el documento) Responsable de rea departamento encargado difundir dicho documento: o de

b) la comprobacin de la autorizacin del usuario por el propietario del servicio para utilizar el sistema o el servicio de informacin. Tambin puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio (vase el inciso 11.1) y su consistencia con la poltica de seguridad de la organizacin (por ejemplo, su no contradiccin con el principio de segregacin de tareas (vase el inciso10.1.3); la entrega a los usuarios de una relacin escrita de sus derechos de acceso; ACTIVIDAD: (gua implementacin) de b) la comprobacin de la autorizacin del usuario por el propietario del servicio para utilizar el sistema o el servicio de informacin. Tambin puede ser conveniente que la gerencia apruebe por separado los derechos de acceso; c) verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio (vase el inciso 11.1) y su consistencia con la poltica de seguridad de la organizacin (por ejemplo, su no contradiccin con el principio de segregacin de tareas (vase el inciso10.1.3); la entrega a los usuarios de una relacin escrita de sus derechos de acceso; Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

CONTROL:

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de la comprobacin de la autorizacin del usuario para utilizar un sistema o servicio de informacin y verificacin de la adecuacin del nivel de acceso asignado al propsito del negocio Nombre y Apellidos:

AUDITORIA

Pgina 16

CONTROL DE ACCESO

Cargo que ocupa actualmente: Documento de autorizacin de usuario: (nombre, tipo y numero) Propietario de un sistema o servicio de informacin: Documento donde da a conocer los derechos de acceso que posee el usuario: (nombre, tipo y numero) d) la peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso; e) la garanta de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorizacin; ACTIVIDAD: (gua implementacin) CONTROL: de d) la peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso; e) la garanta de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorizacin; Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de la peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso y la garanta de que no se provea acceso al servicio hasta que se hayan completado los procedimientos de autorizacin; Nombre y Apellidos: Cargo que ocupa actualmente: Documento de peticin para que reconozca con una firma las condiciones de acceso Responsable de autorizar la peticin (nombre, apellidos y rea de trabajo)AUDITORIA

Pgina 17

CONTROL DE ACCESO

Requisitos para peticionar que se acepte mediante una firma las condiciones de acceso Descripcin del proceso de autorizacin del pedido Mediante qu proceso se garantiza que no habr acceso a informacin al menos que concluya la autorizacin (descripcin breve) Documento de autorizacin exitosa de acceso a informacion Responsable de emitir la autorizacin f) el mantenimiento de un registro formalizado de todos los autorizados para usar el servicio; g) la eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella; ACTIVIDAD: (gua implementacin) CONTROL: f) el mantenimiento de un registro formalizado de todos los de autorizados para usar el servicio; g) la eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella; Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin del mantenimiento de un registro de cuentas autorizadas rea o departamento encargado del mantenimiento de las cuentas autorizadas: Jefe dela rea: Documento de registro de cada una de las cuentas autorizadas:

AUDITORIA

Pgina 18

CONTROL DE ACCESO

Responsable de realizar el registro de las cuenta autorizadas Documento de reporte del mantenimiento de las cuentas autorizadas.(con la descripcin de errores o anomalas encontradas) Gua de Implementacin de eliminacin de cuentas autorizadas en caso de retiro de la organizacin Nombre y Apellidos: Cargo que ocupaba: Documento de autorizacin de eliminacin de cuenta autorizada Responsable de realizar la eliminacin de la cuenta autorizada Motivo por la cual se est eliminando la cuenta autorizada

Retiro de la organizacin Reubicacin dentro de la organizacin Otros (indicar)______________________

h) la revisin peridica y eliminacin de identificadores y cuentas de usuario redundantes (vase el inciso 11.2.4); i) la garanta de no reasignacin a otros usuarios de los identificadores de usuario redundantes.

ACTIVIDAD: (gua implementacin) CONTROL:

de

h) la revisin peridica y eliminacin de identificadores y cuentas de usuario redundantes (vase el inciso 11.2.4); i) la garanta de no reasignacin a otros usuarios de los identificadores de usuario redundantes. Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

AUDITORIA

Pgina 19

CONTROL DE ACCESO

Gua de Implementacin de la revisin peridica y eliminacin de identificadores y cuentas de usuario redundantes la garanta de no reasignacin a otros usuarios de los identificadores de usuario redundantes. Revisin de cuentas de usuario rea o departamento encargado de la revisin peridica y eliminacin de identificadores de cuentas de usuario redundantes. Jefe de rea o departamento: Documento de registro de las cuentas de usuario redundantes Responsable de realizar la revisin de las cuentas redundantes Frecuencia con la que se realiza la revisin de cuentas redundantes

Documento de reporte de la revisin de las cuentas redundantes Eliminacin de cuentas redundantes Documento de autorizacin de eliminacin de cuentas redundantes Documento que conformidad con la eliminacin de las cuentas redundantes Responsable de la eliminacin de las cuentas redundantes (nombres, apellidos y rea de trabajo)

Diaria Semanal Mensual Peridicamente _____________ Nunca

cundo?

11.2.2. GESTIN DE PRIVILEGIOS Control Debera restringirse y controlarse el uso y asignacin de privilegios. Gua de Implementacin

AUDITORIA

Pgina 20

CONTROL DE ACCESO

Se debera controlar la asignacin de privilegios por un proceso formal de autorizacin en los sistemas multiusuario. Se deberan considerar los pasos siguientes: a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin; as como las categoras de empleados que necesitan de ellos; b) asignar privilegios a los individuos segn los principios de necesidad de su uso y caso por caso y en lnea con la poltica de control de acceso (vase el inciso 11.1.1), por ejemplo, el requisito mnimo para cumplir su funcin slo cuando se necesite; c) mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se otorgarn privilegios hasta que el proceso de autorizacin haya concluido; d) promover el desarrollo y uso de rutinas del sistema para evitar la asignacin de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; f) asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. Otra informacin Un uso inapropiado de los privilegios de la administracin del sistema (cualquier caracterstica o facilidad de un sistema de informacin que habilite al usuario sobrescribir los controles del sistema o de la aplicacin) pueden ser un gran factor contribuidor de fallas o aberturas en los sistemas.

AUDITORIA

Pgina 21

CONTROL DE ACCESO

a) identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin; as como las categoras de empleados que necesitan de ellos; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 a) identificar los privilegios asociados a cada elemento del de sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin; as como las categoras de empleados que necesitan de ellos; Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Gua de Implementacin de identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin; as como las categoras de empleados que necesitan de ellos; Responsable de asignar los privilegios a los elementos del sistema (nombre, apellidos y rea de trabajo) Privilegios del sistema Privilegios de sistema Privilegios del gestor Privilegios de operativo de base de datos aplicaciones las Privilegios de la red y sus conexiones

Perfil de acceso Perfil de acceso necesario para acceder a los privilegios del sistema operativo Perfil de acceso necesario para acceder a los privilegios del gestor de base de datos Perfil de acceso necesario para acceder a los privilegios de las aplicaciones Perfil de acceso necesario para acceder a los privilegios de la red y sus conexiones

AUDITORIA

Pgina 22

CONTROL DE ACCESO

b) asignar privilegios a los individuos segn los principios de necesidad de su uso y caso por caso y en lnea con la poltica de control de acceso (vase el inciso 11.1.1), por ejemplo, el requisito mnimo para cumplir su funcin slo cuando se necesite; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 b) asignar privilegios a los individuos segn los principios de de necesidad de su uso y caso por caso y en lnea con la poltica de control de acceso (vase el inciso 11.1.1), por ejemplo, el requisito mnimo para cumplir su funcin slo cuando se necesite; Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Gua de Implementacin de asignar privilegios a los individuos segn los principios de necesidad de su uso y caso por caso y en lnea con la poltica de control de acceso, por ejemplo, el requisito mnimo para cumplir su funcin slo cuando se necesite; Nombres y Apellidos Cargo que ocupa actualmente Documento de asignacin de privilegios Responsable de la asignacin de privilegios Descripcin breve de la necesidad de asignacin de privilegios (nombre, tipo y numero) Documento de compromiso de usar el privilegio solo en necesidad (nombre, tipo y numero) c) mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se otorgarn privilegios hasta que el proceso de autorizacin haya concluido; ACTIVIDAD: (guaAUDITORIA

de

c) mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se otorgarn privilegios hastaPgina 23

CONTROL DE ACCESO

implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

que el proceso de autorizacin haya concluido; Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Gua de Implementacin de mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se otorgarn privilegios hasta que el proceso de autorizacin haya concluido; Responsable del proceso de autorizacin y registro de privilegios (nombres, apellidos y rea de trabajo) Cargo que ocupa actualmente Documento donde se describe el proceso de autorizacin de privilegios Fecha de aprobacin del documento de proceso de autorizacin Documento de registro de los privilegios asignados a los usuarios Mtodo que garantiza que no se dan privilegios hasta que concluya el proceso de autorizacin Documento que certifica que el proceso de autorizacin concluyo exitosamente Fecha de aprobacin de documento de termino de proceso de autorizacin d) promover el desarrollo y uso de rutinas del sistema para evitar la asignacin de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR:AUDITORIA

d) promover el desarrollo y uso de rutinas del sistema para evitar de la asignacin de privilegios a los usuarios; e) promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino OliveraPgina 24

CONTROL DE ACCESO

AUDITOR: FECHA DE INICIO 11/01/2012

___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Gua de Implementacin de promover el desarrollo y uso de rutinas del sistema para evitar la asignacin de privilegios a los usuarios y promover el desarrollo y uso de programas que evitan la necesidad de correr con privilegios; Responsable de desarrollo de sistemas: (nombres, apellidos y cargo) Enumeracin de nuevos proyectos que Nombre de prevengan la asignacin de privilegios a Proyecto usuarios Frecuencia de convocatorias de proyectos (indicar si son das, meses, semanas, etc) Enumeracin de proyectos que estn a Nombre de prueba en la organizacin Proyecto Responsable del proyecto Presupuesto

Responsable del proyecto

Presupuesto

Indicar las aplicaciones que no necesitan Aplicaciones la asignacin de privilegios.

Responsables

f) asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 f) asignar los privilegios a un identificador de usuario distinto al de asignado para un uso normal. Debera restringirse y controlarse el uso y asignacin de privilegios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

AUDITORIA

Pgina 25

CONTROL DE ACCESO

Gua de Implementacin de asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. Nombre y Apellidos Cargo que ocupa actualmente Identificador de usuario individual Identificador Identificador de grupo sin de grupo con privilegios privilegios

Identificador que posee el usuario

Documento de autorizacin de asignacin de un identificador de grupo con privilegios (nombre, tipo y numero) Responsable de autorizacin de asignacin de identificador de grupo con privilegios

11.2.3. GESTIN DE CONTRASEAS DE USUARIO Control Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Gua de Implementacin El proceso debe incluir los siguientes requisitos: a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseas personales y las compartidas por un grupo slo entre los miembros de ese grupo (compromiso que podra incluirse en los trminos y condiciones del contrato de empleo, vase el inciso 8.1.3); b) proporcionar inicialmente una contrasea temporal segura (vase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente despus; c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal;

AUDITORIA

Pgina 26

CONTROL DE ACCESO

d) establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico; e) las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias; f) los usuarios deberan remitir acuse de recibo de sus contraseas; g) las contraseas nunca deben ser almacenadas en sistemas de cmputo sin ser protegidos; h) las contraseas por defecto de los vendedores deben ser alteradas despus de la instalacin de los sistemas o software. Otra Informacin Las contraseas son un medio comn de verificar la identidad del usuario antes de que el acceso a un sistema de informacin o servicio sea dado de acuerdo a la autorizacin del usuario. Se deben considerar, si son apropiadas, otras tecnologas para identificacin y autentificacin de usuario como las biomtricas (como la verificacin de huellas, la verificacin de la firma) o el uso de dispositivos hardware (como las tarjetas inteligentes). a) requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseas personales y las compartidas por un grupo slo entre los miembros de ese grupo (compromiso que podra incluirse en los trminos y condiciones del contrato de empleo, vase el inciso 8.1.3); ACTIVIDAD: (gua implementacin) a) requerir que los usuarios firmen un compromiso para de mantener en secreto sus contraseas personales y las compartidas por un grupo slo entre los miembros de ese grupo (compromiso que podra incluirse en los trminos y condiciones del contrato de empleo, vase el inciso 8.1.3); Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. Nombre y Apellidos Cargo que ocupa actualmente

AUDITORIA

Pgina 27

CONTROL DE ACCESO

Usuario: Identificador de usuario Identificador grupal Identificador Documento de compromiso (donde indica no debe ser divulgado la contrasea personal y grupal) (nombre, tipo y numero) Responsable de hacer cumplir el compromiso Fecha de aceptacin del documento de compromiso b) proporcionar inicialmente una contrasea temporal segura (vase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente despus; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 b) proporcionar inicialmente una contrasea temporal segura (vase el inciso 11.3.1) que forzosamente deben cambiar inmediatamente despus; Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

de

Gua de Implementacin de proporcionar inicialmente una contrasea temporal segura que forzosamente deben cambiar inmediatamente despus; Nombre y Apellidos: Cargo que ocupa actualmente Usuario: Contrasea temporal: Documento donde indica la necesidad de cambiar la contrasea temporal (nombre, tipo y numero)AUDITORIA

Pgina 28

CONTROL DE ACCESO

Fecha de entrega del documento Responsable de la divulgacin del documento Fecha de aceptacin del cambio de contrasea c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal; d) establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico; ACTIVIDAD: (gua implementacin) de c) establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal; d) establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico; Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal y establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico; Para restablece o cambia la contrasea es necesario: Ingresar usuario: Ingresar contrasea: Ingresar una respuesta secreta: Documento donde indica los procedimiento para el cambio o restablecimiento de la contrasea (nombre, tipo y numero)AUDITORIA

Pgina 29

CONTROL DE ACCESO

Responsable o rea responsable de difundir el documento La peticin de cambio o restablecimiento de contrasea es mediante:

correo electrnico publico correo electrnico de la organizacin mensaje de texto otros indicar?_________________ Cree usted que es seguro? _______________________________ _______________________________ _______________________________

e) las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias; f) los usuarios deberan remitir acuse de recibo de sus contraseas; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 e) las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias; f) los usuarios deberan remitir acuse de recibo de sus contraseas; Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

de

Gua de Implementacin de las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias y los usuarios deberan remitir acuse de recibo de sus contraseas;

Usuario : Contrasea temporal : Las contraseas temporales son nicas. Describa Las contraseas temporales contienen:AUDITORIA

nombres apellidosPgina 30

CONTROL DE ACCESO

fechas deducibles nmeros telefnicos palabras deducible Si selecciono alguno, Cree usted que las contraseas son seguras? Por qu? ______________________________ ______________________________ ______________________________ Con que frecuencia realiza el cambio de su contrasea Tras realizar un cambio de contrasea recibe algn tipo de notificacin de satisfaccin. Describa g) las contraseas nunca deben ser almacenadas en sistemas de cmputo sin ser protegidos; h) las contraseas por defecto de los vendedores deben ser alteradas despus de la instalacin de los sistemas o software. ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 de g) las contraseas nunca deben ser almacenadas en sistemas de cmputo sin ser protegidos; h) las contraseas por defecto de los vendedores deben ser alteradas despus de la instalacin de los sistemas o software. Se debera controlar la asignacin de contraseas por medio de un proceso de gestin formal. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Gua de Implementacin de las contraseas nunca deben ser almacenadas en sistemas de cmputo sin ser protegidos y las contraseas por defecto de los vendedores deben ser alteradas despus de la instalacin de los sistemas o software. Proteccin de las contraseas Usuario : Nombres y Apellidos :

AUDITORIA

Pgina 31

CONTROL DE ACCESO

Cargo que ocupa actualmente: Responsable de la proteccin de las contraseas de los usuarios (nombres, apellidos y cargo que ocupa) Documento donde indica todo software o sistema adquirido despus de su instalacin debe cambiarse sus contraseas. Responsable de la divulgacin del documento Fecha del cambio de contraseas de los software o sistemas adquiridos 11.2.4. REVISIN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS Control La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Gua de Implementacin La revisin de los derechos de acceso de usuario debera considerar las siguientes pautas: a) revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y despus de cualquier cambio como promocin, degradacin o termino del empleo (vase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organizacin; c) revisar ms frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales (vase el inciso 11.2.2); d) comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados; e) los cambios en las cuentas privilegiadas deben ser registradas para una revisin peridica. Otra Informacin Es necesario revisar regularmente los derechos de los accesos de los usuarios para mantener un control efectivo del acceso a los datos y los sistemas de informacin. a) revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y despus de cualquier cambio como promocin, degradacin o termino del empleo (vase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organizacin;AUDITORIA

Pgina 32

CONTROL DE ACCESO

ACTIVIDAD: (gua implementacin)

CONTROL:

a) revisar los derechos de acceso de los usuarios a intervalos de de tiempo regulares (se recomienda cada seis meses) y despus de cualquier cambio como promocin, degradacin o termino del empleo (vase el inciso 11.2.1); b) los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organizacin; La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de revisin de derechos de acceso de usuarios y reasignacin de derechos de acceso rea o departamento encargado de la revisin de los derechos de acceso de los usuarios: Responsable del rea: Revisin de derechos de acceso Indicar en motivo por el cual se Cambio de promocin est llevando a cabo una revisin : Degradacin de un empleado Ascensin de un empleado Retiro de la organizacin de un empleado Est Programado la revisin Otros Documento de registro de los derechos accesos: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes despus de la revisin (nombres apellidos y rea de trabajo)

AUDITORIA

Pgina 33

CONTROL DE ACCESO

Reasignacin de derechos de acceso Nombre y apellidos: Cargo actual que ocupa: Documento de reasignacin de derechos de acceso Responsable de autorizar reasignacin de derechos. (nombre, apellidos rea de trabajo) Motivo de reasignacin de Cambio de promocin Degradacin derechos de acceso Ascensin Retiro de la organizacin Otros Documento de aprobacin de reasignacin de derecho de accesos c) revisar ms frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales (vase el inciso 11.2.2); ACTIVIDAD: (gua implementacin) CONTROL: c) revisar ms frecuentemente (se recomienda cada tres meses) de las autorizaciones de derechos de acceso con privilegios especiales (vase el inciso 11.2.2); La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de revisar ms frecuentemente los derechos de acceso con privilegios de usuarios rea o departamento encargado de la revisin de los derechos de acceso de los usuarios:AUDITORIA

Pgina 34

CONTROL DE ACCESO

Responsable del rea: Revisin de derechos de acceso con privilegios Frecuencia con la cual revisan los derechos de acceso con privilegios: Diaria Semanal Mensual Peridicamente cundo? ________________ Nunca

Documento de registro de los derechos accesos con privilegios: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes despus de la revisin (nombres apellidos y rea de trabajo)

d) comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados; ACTIVIDAD: (gua implementacin) CONTROL: SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012 d) comprobar las asignaciones de privilegios a intervalos de de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

Gua de Implementacin de comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados Nombre y Apellidos: Cargo que ocupaba: Cargo que ocupa actualmente:

AUDITORIA

Pgina 35

CONTROL DE ACCESO

Responsable de reasignar los derechos de acceso con privilegios (nombres, apellidos y rea de trabajo) Documento de reasignacin de privilegios de derechos de acceso Fecha de ultima asignacin de privilegios Fecha de la reasignacin de privilegios Fecha de caducidad de los privilegios e) los cambios en las cuentas privilegiadas deben ser registradas para una revisin peridica. ACTIVIDAD: (gua implementacin) CONTROL: e) los cambios en las cuentas privilegiadas deben ser registradas de para una revisin peridica. La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Ing. Emilio Palomino Olivera ___________________________ FECHA DE ENTREGA 16/01/2012 HORA DE ENTREGA: 17:00:00

SUPERVISOR: AUDITOR: FECHA DE INICIO 11/01/2012

Gua de Implementacin de los cambios en las cuentas privilegiadas deben ser registradas para una revisin peridica. Responsable de la revisin de cuentas privilegiadas: Documento de registro de los cambios en las cuentas privilegiadas: (nombre, tipo y numero) Frecuencia con la que se realiza la revisin de las cuentasAUDITORIA

Diaria SemanalPgina 36

CONTROL DE ACCESO

privilegiadas: Documento de reporte de los cambios en las cuentas con privilegios y observaciones halladas (nombre, tipo y numero ) 11.1.1 PARTE 2 11.3 RESPONSABILIDADES DE LOS USUARIOS OBJETIVO:

Mensual Peridicamente cundo? ________________ Nunca

Evitar el acceso de usuarios no autorizados y el compromiso o hurto de la Informacin y de las instalaciones del procesamiento de informacin. Una proteccin eficaz necesita la cooperacin de los usuarios autorizados. Los usuarios deberan ser conscientes de sus responsabilidades en el mantenimiento de la eficacia de las medidas de control de acceso, en particular respecto al uso de contraseas y a la seguridad del material puesto a su disposicin. Un escritorio limpio, as como una poltica de pantalla clara debe ser implementado con el fin de reducir el riesgo de acceso no autorizado o de dao a los papeles, medios e instalaciones del procesamiento de informacin.

AUDITORIA

Pgina 37

CONTROL DE ACCESO

11.3.1 USO DE CONTRASEAS CONTROL Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. GUA DE IMPLEMENTACIN Todos los usuarios deberan ser informados acerca de: a) mantener la confidencialidad de las contraseas; b) evitar guardar registros (papel, archivos de software o dispositivos) de las contraseas, salvo si existe una forma segura de hacerlo y el mtodo de almacenamiento ha sido aprobado. c) cambiar las contraseas si se tiene algn indicio de su vulnerabilidad o de la del sistema. d) seleccionar contraseas de buena calidad, con una longitud mnima caracteres,que sean: 1) fciles de recordar; 2) no estn basadas en algo que cualquiera pueda adivinar u obtener usando informacin relacionada con el usuario, por ejemplo, nombres, fechas de nacimiento, nmeros de telfono, etc.; 3) no sean vulnerables a ataques de diccionario (no consisten en palabras incluidas en diccionarios); 4) estn carentes de caracteres consecutivos repetidos o que sean todos nmeros o todas letras; e) cambiar las contraseas a intervalos de tiempo regulares o en proporcin al nmero de accesos (las contraseas de las cuentas con privilegios especiales deberan cambiarse con ms frecuencia que las normales), evitando utilizar contraseas antiguas o cclicas. f) cambiar las contraseas temporales asignadas para inicio, la primera vez que se ingrese al sistema.

AUDITORIA

Pgina 38

CONTROL DE ACCESO

g) no incluir contraseas en ningn procedimiento automtico de conexin, que, las deje almacenadas permanentemente. h) no compartir contraseas de usuario individuales. i) no utilizar la misma contrasea para propsitos personales o de negocio. ACTIVIDA D: CONTROL 11.3.1 USO DE CONTRASEAS

Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. GUA DE IMPLEMENTACIN SUPERVISOR: Supervisor1 Cargo: Cargo1DUR ACIO N

FECHA DE DURACION INICIO 1 10/01/2012 H D

S

M

GUA DE IMPLEMENTACIN A) Mantener la confidencialidad de las contraseas Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: 1 Nro. Documento: Resol. N ssss user Trabajador01

Fecha de creacin de contrasea ? Nombre y Apellidos

Fecha de caducidad

Tamao de la contrasea 10/01/2012

descripcion La contrasea 10 asignada no debe ser divulgada a tercerosn porni

Firma de Razn de Acceso

Firma Encargado (Los acceso)

AUDITORIA

Pgina 39

CONTROL DE ACCESO

B) Evitar guardar registros (papel, archivos de software o dispositivos) de las contraseas, salvo si existe una forma segura de hacerlo y el mtodo de almacenamiento ha sido aprobado. Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.

ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Contrasea Acceso

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

C) Cambiar las contraseas si se tiene algn indicio de su vulnerabilidad o de la del sistema Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.

ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Contrasea Acceso

AUDITORIA

Pgina 40

CONTROL DE ACCESO

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

D) Seleccionar contraseas de buena calidad, con una longitud mnima caracteres,que sean: 1) fciles de recordar; 2) no estn basadas en algo que cualquiera pueda adivinar u obtener usando informacin relacionada con el usuario, por ejemplo, nombres, fechas de nacimiento, nmeros de telfono, etc.; 3) no sean vulnerables a ataques de diccionario (no consisten en palabras incluidas en diccionarios); 4) estn carentes de caracteres consecutivos repetidos o que sean todos nmeros o todas letras Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.

ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Contrasea Acceso

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

AUDITORIA

Pgina 41

CONTROL DE ACCESO

E) Cambiar las contraseas a intervalos de tiempo regulares o en proporcin al nmero de accesos (las contraseas de las cuentas con privilegios especiales deberan cambiarse con ms frecuencia que las normales), evitando utilizar contraseas antiguas o cclicas Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.

ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Contrasea Acceso

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

F) Cambiar las contraseas temporales asignadas para inicio, la primera vez que se ingrese al sistema Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.

ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Contrasea Acceso

AUDITORIA

Pgina 42

CONTROL DE ACCESO

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

G) No incluir contraseas en ningn procedimiento automtico de conexin, que, las deje almacenadas permanentemente Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.

ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Contrasea Acceso

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

H) No compartir contraseas de usuario individuales. Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.

ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Contrasea AccesoPgina 43

AUDITORIA

CONTROL DE ACCESO

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

I) no utilizar la misma contrasea para propsitos personales o de negocio. Control Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas.

Gua de implementacin no utilizar la misma contrasea para propsitos personales o de negocio.

ACTIVIDAD: Control acceso a las contraseas RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Contrasea Acceso

Fecha de Acceso 10/01/2012

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

11.3.2 EQUIPO INFORMTICO DE USUARIO DESATENDIDO CONTROL Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos.

AUDITORIA

Pgina 44

CONTROL DE ACCESO

GUA DE IMPLEMENTACIN Todos los usuarios y proveedores de servicios deberan conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, as como sus responsabilidades para implantar dicha proteccin. Se les debera recomendar: a) cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contrasea para protector de pantalla; b) desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesin (y no slo apagar el terminal o el computador personal); c) proteger el terminal o el puesto de trabajo cuando no estn en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contrasea de acceso

OTRA INFORMACIN El equipo instalado en reas de usuarios, como las estaciones de trabajo o los servidores de archivo, pueden requerir proteccin especfica para un acceso no autorizado cuando se desatienda por un periodo extenso. ACTIVIDAD: CONTROL 11.3.2 EQUIPO INFORMTICO DE USUARIO DESATENDIDO

Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos. GUA DE IMPLEMENTACIN DURACION 1 H D S M SUPERVISOR: Supervisor1 Cargo: Cargo1

FECHA DE INICIO 10/01/2012

DUR ACIO N

GUA DE IMPLEMENTACIN a) cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contrasea para protector de pantalla.

AUDITORIA

Pgina 45

CONTROL DE ACCESO

Control Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos. Gua de implementacin cancelar todas las sesiones activas antes de marcharse, salvo si se dispone de una herramienta de bloqueo general, por ejemplo, una contrasea para protector de pantalla.

ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, as como sus responsabilidades para implantar dicha proteccin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso

Fecha de Acceso 10/01/2012

Tiempo invertido

Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

b) desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesin (y no slo apagar el terminal o el computador personal). Control Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos. Gua de implementacin Desconectar (log-off) los servidores o los computadores centrales cuando se ha terminado la sesin (y no slo apagar el terminal o el computador personal).

ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, as como sus responsabilidades para implantar dicha proteccin. RESPONSABLE:AUDITORIA

Pgina 46

CONTROL DE ACCESO

SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso

Fecha de Acceso 10/01/2012

Tiempo invertido

Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

c) proteger el terminal o el puesto de trabajo cuando no estn en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contrasea de acceso Control Los usuarios deberan asegurar que los equipos informticos desatendidos estn debidamente protegidos. Gua de implementacin proteger el terminal o el puesto de trabajo cuando no estn en uso con un bloqueador de teclado o una medida similar, por ejemplo, una contrasea de acceso

ACTIVIDAD: conocer los requisitos de seguridad y los procedimientos para proteger los equipos desatendidos, as como sus responsabilidades para implantar dicha proteccin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso

Fecha de Acceso

Tiempo invertido

Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

AUDITORIA

Pgina 47

CONTROL DE ACCESO

10/01/2012

11.3.3 POLTICA DE PANTALLA Y ESCRITORIO LIMPIO CONTROL Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. GUA DE IMPLEMENTACIN La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin (vase el inciso 7.2), los requerimientos legales y contractuales (vase el inciso 15.1), los riesgos correspondientes y los aspectos culturales de la organizacin. Las siguientes pautas deben ser consideradas: a) la informacin critica o sensible del negocio (papel o medios electrnicos de almacenamiento) debe ser asegurada (sera ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vaca. b) los computadores y terminales deben ser apagados o protegidos con un mecanismo de proteccin de pantalla o de teclado controlado por contrasea u otro mecanismo de autentificacin, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseas u otro tipo de control cuando no sean utilizados. c) los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos. d) debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologas de reproduccin como scanner o cmaras digitales.AUDITORIA

Pgina 48

CONTROL DE ACCESO

e) los documentos que contienen informacin sensible y clasificada deben ser removidos de las impresoras de inmediato. OTRA INFORMACIN Una poltica de pantalla y escritorio limpio reduce los riegos de un acceso no autorizado y de la prdida o dao de la informacin durante horas de trabajo no establecidas. Las cajas fuertes u otras formas de instalaciones de almacenamiento pueden tambin proteger informacin almacenada contra desastres como incendio, terremotos, inundacin u explosin. Considere el uso de impresoras con cdigo pin de modo tal que los creadores sean los nicos que puedan sacar sus impresiones y solo cuando se encuentren al costado de la impresora. ACTIVIDAD: CONTROL 11.3.3 POLTICA DE PANTALLA Y ESCRITORIO LIMPIO Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin.

GUA DE IMPLEMENTACIN FECHA DE INICIO 10/01/2012 DURACION 1 H D S M SUPERVISOR: Supervisor1 Cargo: Cargo1

DUR ACIO N

GUA DE IMPLEMENTACIN a) la informacin crtica o sensible del negocio (papel o medios electrnicos de almacenamiento) debe ser asegurada (sera ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vaca

AUDITORIA

Pgina 49

CONTROL DE ACCESO

Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. Gua de implementacin la informacin crtica o sensible del negocio (papel o medios electrnicos de almacenamiento) debe ser asegurada (sera ideal un caja fuerte, gavetas u otras formas de muebles de seguridad) cuando no sea requerido, especialmente cuando la oficina este vaca ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso

Fecha de Acceso 10/01/2012

Tiempo invertido

Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

b) los computadores y terminales deben ser apagados o protegidos con un mecanismo de proteccin de pantalla o de teclado controlado por contrasea u otro mecanismo de autentificacin, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseas u otro tipo de control cuando no sean utilizados Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin.

AUDITORIA

Pgina 50

CONTROL DE ACCESO

Gua de implementacin los computadores y terminales deben ser apagados o protegidos con un mecanismo de proteccin de pantalla o de teclado controlado por contrasea u otro mecanismo de autentificacin, cuando estas se encuentren desatendidos y deben ser protegidas por cerraduras clave, contraseas u otro tipo de control cuando no sean utilizados ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso

Fecha de Acceso 10/01/2012

Tiempo invertido

Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

c) los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos; Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. Gua de implementacin los puntos salientes o entrantes de correo y los faxes desatendidos deben ser protegidos;

ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino OliveraAUDITORIA

Pgina 51

CONTROL DE ACCESO

FECHA INICIO: 10/01/2012 Nro: Nro. Documento:

FECHA FIN: 10/01/2012 ID Equipo1: Identificador de Id Tipo Seguridad Acceso

Fecha de Acceso 10/01/2012

Tiempo invertido

Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

d) debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologas de reproduccin como scanner o cmaras digitales Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. Gua de implementacin debe ser prevenido el uso no autorizado de fotocopiadoras y otras tecnologas de reproduccin como scanner o cmaras digitales

ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso

Fecha de Acceso 10/01/2012

Tiempo invertido

Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

AUDITORIA

Pgina 52

CONTROL DE ACCESO

e) los documentos que contienen informacin sensible y clasificada deben ser removidos de las impresoras de inmediato. Control Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de pantalla limpia para instalaciones de procesamiento de informacin. Gua de implementacin los documentos que contienen informacin sensible y clasificada deben ser removidos de las impresoras de inmediato.

ACTIVIDAD: La poltica de pantalla y escritorio limpio debe tomar en cuenta la clasificacin de la informacin los requerimientos legales y contractuales los riesgos correspondientes y los aspectos culturales de la organizacin. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Tipo Seguridad Acceso

Fecha de Acceso 10/01/2012

Tiempo invertido

Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

11.4 CONTROL DE ACCESO A LA RED OBJETIVO: Prevenir el acceso no autorizado de los servicios de la red. Debera controlarse el acceso a los servicios a las redes internas y externas.

AUDITORIA

Pgina 53

CONTROL DE ACCESO

Hay que asegurarse que el acceso de los usuarios a las redes y sus servicios no comprometan la seguridad de dichos servicios, por medio de: a) interfaces adecuadas entre la red de la organizacin y las redes pblicas o las privadas de otras organizaciones; b) mecanismos adecuados de autenticacin para los usuarios y los equipos; c) control de los accesos de los usuarios a los servicios de informacin 11.4.1 POLTICA DE USO DE LOS SERVICIOS DE LA RED CONTROL Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. GUA DE IMPLEMENTACIN Se debera formular la poltica de uso de las redes y los servicios de la red, que es conveniente que cubra: a) las redes y los servicios de la red a los que se puede acceder; b) los procedimientos de autorizacin para determinar quin puede acceder a qu redes y a qu servicios de la red; c) los controles y procedimientos de gestin para proteger el acceso a las conexiones de las redes y a los servicios de la red; d) los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La poltica debera ser coherente con la poltica de control de accesos de la organizacin (vase el inciso 11.1). ACTIVIDAD: 11.4.1 POLTICA DE USO DE LOS SERVICIOS DE LA RED

AUDITORIA

Pgina 54

CONTROL DE ACCESO

CONTROL

Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. GUA DE IMPLEMENTACIN DURACION 1 H D S M SUPERVISOR: Supervisor1 Cargo: Cargo1

FECHA DE INICIO 10/01/2012

DUR ACIO N

GUA DE IMPLEMENTACIN a) las redes y los servicios de la red a los que se puede acceder. Control Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. Gua de implementacin Las redes y los servicios de la red a los que se pueden acceder.

ACTIVIDAD: Se debera formular la poltica de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Red Acceso

Fecha de Acceso

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

AUDITORIA

Pgina 55

CONTROL DE ACCESO

b) los procedimientos de autorizacin para determinar quin puede acceder a qu redes y a qu servicios de la red. Control Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. Gua de implementacin los procedimientos de autorizacin para determinar quin puede acceder a qu redes y a qu servicios de la red.

ACTIVIDAD: Se debera formular la poltica de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Red Acceso

Fecha de Acceso

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

c) los controles y procedimientos de gestin para proteger el acceso a las conexiones de las redes y a los servicios de la red. Control Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. Gua de implementacin los controles y procedimientos de gestin para proteger el acceso a las conexiones de las redes y a los servicios de la red.

ACTIVIDAD: Se debera formular la poltica de uso de las redes y los servicios de la red, que esAUDITORIA

Pgina 56

CONTROL DE ACCESO

conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Red Acceso

Fecha de Acceso

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

d) los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La poltica debera ser coherente con la poltica de control de accesos de la organizacin (vase el inciso 11.1). Control Los usuarios slo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica. Gua de implementacin los medios usados para el acceso y los servicios de red (las condiciones para permitir el acceso por discado al proveedor de servicio de Internet o a un sistema remoto). La poltica debera ser coherente con la poltica de control de accesos de la organizacin ACTIVIDAD: Se debera formular la poltica de uso de las redes y los servicios de la red, que es conveniente que cubra RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: 10/01/2012 10/01/2012 Nro: Nro. Documento: ID Equipo1: Identificador de Id Red Acceso

AUDITORIA

Pgina 57

CONTROL DE ACCESO

Fecha de Acceso

Tiempo de Acceso Razn de Acceso

Nombre Apellidos

y Firma Encargado (Los acceso)

11.4.2 AUTENTIFICACIN DE USUARIO PARA CONEXIONES EXTERNAS CONTROL Se deben utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos GUA DE IMPLEMENTACIN La autentificacin de usuarios remoto puede realizarse utilizando, por ejemplo, una tcnica basada en criptografa, smbolos de hardware o un protocolo de desafo/respuesta. Se pueden encontrar posibles implementaciones de dichas tcnicas en varias soluciones de redes privadas virtuales. Tambin se pueden utilizar lneas privadas dedicadas, con el fin de proveer aseguramiento en la fuente de conexiones. Los procedimientos y controles de dial-back por ejemplo, usando mdems de dial-back, pueden ofrecer proteccin contra conexiones no autorizadas ni deseadas a los recursos de tratamiento de informacin de una organizacin. Este tipo de control autentica a los usuarios que tratan de establecer conexin a la red de la organizacin desde lugares remotos. Cuando se usa este control, la organizacin no debera usar servicios de red que incluyan reexpedicin de llamadas y si la tienen, deberan desconectarla para evitar la debilidad consecuente. Tambin es importante que el proceso de dial-back asegure la desconexin del lado de la organizacin. Si no, el usuario remoto podra mantener la lnea abierta pretendiendo que se ha verificado el dial-back. Los procedimientos y controles de dial-back deberan pasar pruebas para evitar esta posibilidad. Un nodo de autentificacin puede servir como un medio alternativo para autentificar grupos de usuarios remotos donde estn conectados a un computador seguro. Las

AUDITORIA

Pgina 58

CONTROL DE ACCESO

tcnicas criptogrficas, basados en certificados de maquinas, pueden ser utilizados para autentificar nodos. Controles adicionales de autentificacin deben ser implementados para el control de acceso de redes inalmbricas. En particular, se requiere especial cuidado en la seleccin de controles para redes inalmbricas debido a las grandes oportunidades de intercepciones no detectadas e inserciones de trfico en la red. OTRA INFORMACIN Las conexiones externas proveen un potencial acceso no autorizado a la informacin del negocio, como los accesos mediante mtodos de discado. Existen diferentes tipos de mtodos de autentificacin y algunos pueden proveer un mayor nivel de proteccin que otros, como por ejemplo los mtodos basados en tcnicas criptogrficas las cuales pueden proveer una fuerte autentificacin. Es importante determinar, desde una evaluacin de riesgos, el nivel de proteccin requerida. Esto es necesario para la apropiada seleccin de un mtodo de autentificacin. Una instalacin para una conexin automtica a un computador remoto puede proveer una forma de ganar acceso no autorizado a una aplicacin de negocio. Estos es especialmente importante si la conexin usa una red que se encuentra fuera del control de la gestin de seguridad de la organizacin. 11.4.3 identificacin de los servicios de redes. Control Las identificaciones automticas de equipo deben ser consideradas como medio para autentificar conexiones desde locales y equipos especficos. Gua de implementacin La identificacin de equipos puede ser utilizada si es importante que las comunicaciones puedan ser iniciadas desde un local y equipos especifico. Un identificador dentro o adjunto al equipo puede ser utilizado para indicar si el equipo est autorizado paraAUDITORIA

Pgina 59

CONTROL DE ACCESO

conectarse a la red. Puede ser necesario considerar proteccin fsica del equipo con el fin de mantener la seguridad de los identificadores del equipo. Otra informacin. Este control puede ser complementado con otras tcnicas para autentificar el usuario del equipo. La identificacin de los equipos pueden ser aplicado adicionalmente a la identificacin del usuario. Control Las identificaciones automticas de equipo deben ser consideradas como medio para autentificar conexiones desde locales y equipos especficos. Gua de implementacin La identificacin de equipos puede ser utilizada si es importante que las comunicaciones puedan ser iniciadas desde un local y equipos especifico. Un identificador dentro o adjunto al equipo puede ser utilizado para indicar si el equipo est autorizado para conectarse a la red. Puede ser necesario considerar proteccin fsica del equipo con el fin de mantener la seguridad de los identificadores del equipo. ACTIVIDAD: Control acceso a la red RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro: Nro. Documento: ID Equipo1: Identificador de Acceso Id Red

Fecha de Acceso

Tiempo de Acceso

Razn de Acceso

Nombre y Apellidos

Firma Encargado (Los acceso)

Notas: Mediante el presente documento el usuario confirma: 1. El usuario se hace responsable de lo firmado

11.4.4 Diagnsticos remotos y configuracin de puertos. Control Se debera controlar el acceso fsico y logstico para diagnosticar y configurar puertos.AUDITORIA

Pgina 60

CONTROL DE ACCESO

Gua de implementacin Controles potenciales para el acceso de diagnostico y configuracin de puertos incluyen el uso de un cierre de llave y de procedimientos de apoyo para controlar el acceso fsico al puerto. Un ejemplo para dicho procedimiento de apoyo es asegurar que el diagnostico y configuracin de puertos sean solo accesibles por arreglo entre el director del servicio de computo y el personal de mantenimiento de hardware/software que requiere acceso. Los puertos, servicios e instalaciones similares instaladas en una computadora o instalacin de computo no son requeridas especficamente para la funcionabilidad del negocio, debe ser inhabilitado o removido. Otra informacin. Muchos sistemas de computo, sistemas de red y de comunicaciones son instaladas con un diagnostico remoto o instalacin de configuracin para uso de ingenieros de mantenimiento. Si se encuentra desprotegida, el diagnostico de puertos provee medios de acceso no autorizado. Control Se debera controlar el acceso fsico y logstico para diagnosticar y configurar puertos. ACTIVIDAD: Diagnsticos remotos y configuracin de puertos. RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro: Nro. Documento: ID Equipo: Puertos Procedimientos

Puerto 1 Puerto 2 Puerto 3AUDITORIA

Procedimiento 1

Procedimiento 2

Pgina 61

CONTROL DE ACCESO

Fecha de Acceso

Tiempo de Acceso

Razn de Acceso

Nombre y Apellidos

Firma Encargado (Los acceso)

11.4.5 Segregacin en las redes. Control Los grupos de servicios de informacin, usuarios y sistemas de informacin deben ser segregados en las redes. Gua de implementacin Un mtodo para controlar la seguridad de grandes redes es dividirlas en dominios lgicos separados (por ejemplo dominios de redes internas a la organizacin o de redes externas), cada uno protegido por un permetro definido de seguridad. Se puede aplicar un conjunto graduado de controles en diferentes dominios de redes lgicas para segregar a futuro los ambientes de seguridad de red, como por ejemplo sistemas pblicos accesibles, redes internas y activos crticos. Los dominios deben ser definidos basados en una evaluacin de riesgos y los diferentes requisitos de seguridad entre cada uno de los dominios. Entre las redes a interconectar puede implantarse como permetro un Gateway seguro que controle los accesos y los flujos de informacin entre los dominios. Se debera configurar este Gateway para que filtre el trfico entre ellos y bloquee los accesos no autorizados de acuerdo con la poltica del control de accesos de la organizacin. Un ejemplo de este tipo de Gateway es lo que comnmente se conoce como firewall. Otro mtodo de segregar dominios lgicos es restringir el acceso a red utilizando redes virtuales privadas para usuarios de grupos entre las organizaciones. Las redes pueden ser segregadas tambin utilizando la funcionabilidad de los dispositivos de red como el cambio de IP. Los dominios separados pueden ser implementados despus controlando los flujos de datos utilizando capacidades de enrutamiento como las listas de control de acceso.AUDITORIA

Pgina 62

CONTROL DE ACCESO

Los criterios para segregar las redes en dominios se deberan basar en la poltica de control de accesos y en los requisitos de acceso teniendo tambin en cuenta el costo relativo y el impacto en el rendimiento por la incorporacin de la tecnologa adecuada de enrutamiento de Gateway en la red. En adicin, la segregacin de redes en dominios debe ser basado en el valor y clasificacin de la informacin almacenada o procesada en la red, niveles de confianza o lneas de negocio con el fin de reducir el impacto total de una interrupcin de servicio. Se debe tomar consideracin con las redes inalmbricas desde una red interna hacia una privada. Como los permetros de las redes inalmbricas no estn bien definidos, se de llevar a cabo una evaluacin de riesgos en dichos casos para identificar controles (una fuerte autentificacin, mtodos criptogrficos y frecuencia de seleccin) para mantener una segregacin de red. Otra informacin. Las redes han sido crecientemente extendidas mas all de las barreras organizaciones tradicionales, como se forman alianzas de negocios que puedan requerir la interconexin o el compartir las instalaciones de red y de procesamiento de informacin. Estas extensiones pueden incrementar el riesgo de un acceso no autorizado a los sistemas de informacin existentes que utilizan la red, algunos de los cuales pueden requerir proteccin de otros usuarios de redes debido a su sensibilidad o criticidad. Control Los grupos de servicios de informacin, usuarios y sistemas de informacin deben ser segregados en las redes. ACTIVIDAD: Segregacin en las redes RESPONSABLE: SUPERVISOR: Ing. Emilio Palomino Olivera FECHA INICIO: FECHA FIN: Nro.: Nro. Documento: Dominio Gateway de Dominio Dominio Basado en:

AUDITORIA

Pgina 63

CONTROL DE ACCESO

Modulo 1

-IP -Otro

Nro. Documentos Segregacin de redes

Nro. Documentos Evaluacin de riesgos

Modulo 2 Modulo 3

Fecha de Acceso

Tiempo de Acceso

Razn de Acceso

Nombre y Apellidos

Firma Encargado (Los acceso)

11.4.6 Control de conexiones a las redes. Control Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo