Estudio norma iso 27001.

...

Controles

9

CONTROL DE ACCESOS

9.1 Requisitos de negocio para el control de accesos

Actividades de control del riesgo

normativos (N)

organizativos (O)

técnicos (T)

9.1.1 Política de control de accesos: Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.

Establecer política de control de acceso.

Mesa de ayuda de la organización debe configurar el control de acceso a la información para cada usuario.

9.1.2 Control de acceso a las redes y servicios asociados: Se debería proveer a los usuarios de los accesos a redes y los servicios de red para los que han sido expresamente autorizados a utilizar.

Formato de acceso a la información.

Se debe contar con una red confiable de acceso a datos

9.2 Gestión de acceso de usuario

Actividades de control del riesgo

9.2.1 Gestión de altas/bajas en el registro de usuarios: Debería existir un procedimiento formal de alta y baja de usuarios con objeto de habilitar la asignación de derechos de acceso.

Se debe establecer un procedimientos para dar de alta o de baja a los usuarios. Por ejemplo, los contratista solo deben estar en directorio activo hasta la fecha de terminación de su contrato.

A través de un sistema de gestión de usuarios, mesa de ayuda debe ser capaz de controlar el directorio activo para dar de baja o alta aun usuario.

9.2.2 Gestión de los derechos de acceso asignados a usuarios: Se debería de implantar un proceso formal de aprovisionamiento de accesos a los usuarios para asignar o revocar derechos de acceso a todos los tipos de usuarios y para todos los sistemas y servicios.

Debe existir la descripción del proceso formar de aprovisionamiento de accesos.

Se debe establecer grupos de usuario para asignar o revocar derechos de acceso .

9.2.3 Gestión de los derechos de acceso con privilegios especiales: La asignación y uso de derechos de acceso con privilegios especiales debería ser restringido y controlado.

El área tecnica de la empresa debe contar con sistemas que le permitan restringir y controlar el acceso a la infromacion, a partir de la creacion de grupos o roles de usuarios.

9.2.4 Gestión de información confidencial de autenticación de usuarios: La asignación de información confidencial para la autenticación debería ser controlada mediante un proceso de gestión controlado.

El área técnica debe contar con un sistema de autenticación de directorio activo, LDAP para la autenticación de usuarios.

9.2.5 Revisión de los derechos de acceso de los usuarios: Los propietarios de los activos deberían revisar con regularidad los derechos de acceso de los usuarios.

El área técnica debe revisar cada cierto tiempo los derechos de acceso a la informacion por usuario. Para ello se debe contar con un sistema de alertas, que permita revisar con regularidad los derechos de acceso de los usuarios.

9.2.6 Retirada o adaptación de los derechos de acceso: Se deberían retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisados en caso de cambio.

El área tecnica a través del software especialziada, debe retirar los derechos de acceso a la información, cuando se cumpla la fecha de finalizacion de su contrato. Se deberá avisar mediante correo, días antes el usuario tome precauciones, como backup de su información, etc. Se deberá deshabilitar todas las funciones de acceso, como correo intitucional, acceso al pc de la empresa, etc.

9.3 Responsabilidades del usuario

Actividades de control del riesgo

9.3.1 Uso de información confidencial para la autenticación: Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad de la organización en el uso de información confidencial para la autenticación.

El área tecnica de la empresa debe hacer uso continuo de recordatorios, a traves de email, charlas etc que le recuerde a los usuarios buenas prácticas en la seguridad de la información de la organización. Tal como bloquear su equipo cuando sale de su puesto de trabajo, cerrar su correo electrónico empresarial, bloquear puertos USB que puedan tener acceso personal no autorizado. Etc.

9.4 Control de acceso a sistemas y aplicaciones

Actividades de control del riesgo

9.4.1 Restricción del acceso a la información: Se debería restringir el acceso de los usuarios y el personal de mantenimiento a la información y funciones de los sistemas de aplicaciones, en relación a la política de control de accesos definida.

De acuerdo a la política de control de acceso, se debe contar con sistemas que permitan el control de acceso a lugares de la organización donde la información es sensible. Tal como uso de sistemas de acceso biometricos, por huella digital o tarjetas inteligentes.

9.4.2 Procedimientos seguros de inicio de sesión: Cuando sea requerido por la política de control de accesos se debería controlar el acceso a los sistemas y aplicaciones mediante un procedimiento seguro de log-on

El área tecnica de la empresa debe contar con sistemas que hagan uso de procedimientos de seguro log-on., tal como Rohos Face Logon entre otros.

9.4.3 Gestión de contraseñas de usuario: Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar contraseñas de calidad.

El área técnica debe contar con un sistema de gestión de contraseñas que le indiquen cuales son las políticas de seguridad de contraseñas fuertes definidas por la organización y así asegurar contraseñas de calidad.

9.4.4