Grupo

1
Grupo 7SISTEMAS DE CONTROL DE ACCESOS
Instituto de Ciencias Matemáticas (ICM)
Auditoria de Sistemas de Gestión.

• Jarama García Víctor.
• Maridueña Pardo Malena.
• Molina Yugcha Tania.
• Navarrete Carreño Oswaldo.
• Ríos Saltos Liliana.
• Solis Altamirano Alejandro

2
Controlar el acceso de información.

• Objetivo

• El acceso a la información y los procesos de
  negocio deben ser controlados sobre la base de
  los requerimientos de seguridad y de los
  negocios.

3
Política de control de accesos

• Requerimientos políticos y de negocios.

• Requerimientos de Seguridad.
• Identificación de información relacionada.
• Políticas de divulgación y autorización.
• Coherencia entre las políticas de acceso y de
  clasificación de la información.
• Perfiles de acceso de usuarios

Requerimientos
4
Reglas de control de accesos

• Reglas Permanentes Vs. Reglas optativas o
  Condicionales.
• Qué debe estar generalmente prohibido a menos
  que se permita expresamente? Sobre Todo esta
  generalmente permitido a menos que se prohíba
  expresamente
• Cambios en los rótulos de información.
• Cambios en los permisos de usuarios.
• Reglas que requieren aprobación.

Reglas
5
Administración de accesos de usuarios

• Objetivo

• Impedir el acceso no autorizado en los sistemas
  de información.

6
Ciclo de vida de los accesos de usuarios

• Registro de Usuarios.

• Administración de privilegios.

• Administración de contraseñas.

• Revisión de derechos.

7
Registro de Usuario

• Ids de Usuarios únicos. Ids grupales sólo si es
  conveniente.
• Autorización del propietario del sistema.
• Nivel de acceso adecuado.
• Detalle escrito de los derechos de acceso.
• Firmas de declaraciones señalando que se
  comprende los derechos de acceso.
• No otorgar accesos hasta completar los procesos
  de autorización.
• Registro formal de los usuarios.
• Ids redundantes.

Reglas
8
Administración de privilegios.

• Identificar los privilegios por producto.
• Privilegios de acuerdo a la necesidad.
• Registro de los privilegios asignados.
• Desarrollo y uso de rutinas.
• Privilegios asignados a Ids diferentes.

9
Administración de Contraseñas

• Compromiso de mantener contraseñas personales y
  grupales en secreto.
• Contraseñas propias. En caso de ser necesario
  contraseñas provisionales (primera vez o
  pérdida).
• Evitar la participación de terceros o mails sin
  protección. Notificar que se recibió la clave.

10
Revisión de derechos de acceso.

• Revisar a intervalos frecuentes
• Los derechos de acceso.
• Autorización de privilegios especiales.
• Asignaciones de privilegios.

11
Responsabilidades del usuario.

• Objetivo

• Impedir el acceso de usuarios no autorizados

12
Uso de contraseñas

• Mantener las contraseñas en secreto.
• Evitar mantener un registro en papel de las
  contraseñas.
• Cambiar las contraseñas cuando exista un indicio
  de compromiso con el sistema o las contraseñas.
• Seleccionar contraseñas de calidad (mínimo 6
  caracteres)
• No incluir contraseñas en los procesos
  automatizados.
• No compartir las contraseñas.

13
Equipos desatendidos en áreas de usuarios.

• concluir las sesiones activas al finalizar las
  tareas, a menos que puedan protegerse mediante
  un mecanismo de bloqueo adecuado, por ej. un
  preservador de pantallas protegido por contraseña
  
• llevar a cabo el procedimiento de salida de los
  procesadores centrales cuando finaliza la sesión
  (no solo apagar la PC o terminal)
• proteger las PCs o terminales contra usos no
  autorizados mediante un bloqueo de seguridad o
  control equivalente, por ej. contraseña de
  acceso, cuando no se utilizan.

14
Control de Acceso a la red.

• Objetivo

• Protección de los servicios de red.

15
Política de utilización de los servicios de red.

• Redes y servicios a los cuales se permite el
  acceso.
• Procedimientos de autorización para determinar
  las redes y servicios a los cuales tienen
  permitido el acceso.
• Controles y procesos de gestión para proteger el
  acceso

16
Camino forzado

• El objetivo de un camino forzado es evitar que
  los usuarios seleccionen rutas fuera de la
  trazada entre la terminal de usuario y los
  servicios a los cuales el mismo esta autorizado a
  acceder. Ejemplos
• conexión automática de puertos a gateways de
  seguridad
• limitar las opciones de menú y submenú de cada
  uno de los usuarios
• evitar la navegación ilimitada.

17
Autenticación de usuarios para conexiones
externas

• Las conexiones externas son de gran potencial
  para accesos no autorizados a la información de
  la empresa.
• Autenticación
• Criptografía.
• Tokens de hardware.
• Protocolo de pregunta/respuesta.
• Líneas dedicadas privadas.
• Procedimientos y controles de rellamada o
  dial-back

18
Autenticación de nodos

• Una herramienta de conexión automática a una
  computadora remota podría brindar un medio para
  obtener acceso no autorizado a una aplicación de
  la empresa.
• Puede servir como un medio alternativo de
  autenticación de grupos de usuarios remotos.

19
Nodos
20
Protección de puertos de diagnostico remoto

• Muchas computadoras y sistemas de comunicación
  son instalados con una herramienta de diagnostico
  remoto.
• Deben ser protegidos por un mecanismo de
  seguridad apropiado.
• Ejemplo
• Una cerradura de seguridad y un procedimiento que
  permita su acceso sólo en caso de ser necesario.

21
Subdivisión de redes

• Se debe considerar la introducción de controles
  dentro de la red, a fin de segregar grupos de
  servicios de información, usuarios y sistemas de
  información.
• Dividirlas en dominios lógicos separados, por ej.
  dominios de red internos y externos de una
  organización y cada dominio protegido por un
  perímetro de seguridad (gateway).
• Los criterios para la subdivisión de redes en
  dominios deben basarse en la política de control
  de accesos y los requerimientos de acceso

22
Control de conexión a la red

• Los requerimientos de la política de control de
  accesos para redes compartidas, pueden requerir
  la incorporación de controles para limitar la
  capacidad de conexión.
• Gateways de red que filtren el tráfico por medio
  de reglas.
• Las restricciones deben basarse en la política y
  requerimientos de acceso de la empresa.
• Correo electrónico.
• Transferencia unidireccional y bidireccional de
  archivos.
• Acceso interactivo.
• Acceso de red vinculado a hora y fecha.

23
Control de ruteo de red

• Las redes compartidas pueden requerir la
  incorporación de los controles de ruteo para
  garantizar que las conexiones informáticas y los
  flujos de información no violen la política de
  control de acceso
• Estos controles deben basarse en la verificación
  positiva de direcciones de origen y destino.

24
Seguridad de los servicios de red

• Las organizaciones que utilizan servicios de red
  deben garantizar que se provea de una clara
  descripción de los atributos de seguridad de
  todos los servicios utilizados.

25
Control de Acceso al sistema operativo.

• Objetivo

• Impedir el acceso no autorizado al computador.

26
Identificación automática de terminales

• Es una técnica que puede utilizarse si resulta
  importante que la sesión solo pueda iniciarse
  desde una terminal informática o una ubicación
  determinada.
• Puede resultar necesario aplicar protección
  física a la terminal.

27
Procedimientos de conexión de terminales

• No desplegar identificadores de sistemas o
  aplicaciones.
• Sólo usuarios autorizados.
• No dar mensajes de ayuda.
• Validar la información de conexión, sólo cuando
  se completen la totalidad de los datos.
• Limitar el número de intentos de conexión no
  exitosos.
• Limitar el tiempo máximo y mínimo para la
  conexión.
• Desplegar la siguiente información
• Fecha y hora de la última conexión
• Detalles de los intentos de conexión no exitosos
  desde la última conexión.

28
Identificación y autenticación de usuarios

• Todos los usuarios deben tener un ID único. A fin
  de rastrear las actividades hasta llegar al
  responsable.
• Sólo en ciertas circunstancias se puede usar un
  ID compartido.
• Contraseñas, tokens, autenticación biométrica.
• Una combinación de tecnologías y mecanismos
  vinculados de manera segura tendrá como resultado
  una autenticación más fuerte.

29
Sistema de administración de contraseñas

• Imponer el uso de contraseñas individuales.
• Permitir cambiar la contraseña
• Selección de contraseñas de calidad.
• Imponer cambios en las contraseñas.
• Mantener un registro de las contraseñas previas.
• No mostrar las contraseñas en pantalla.
• Almacenar en forma cifrada las contraseñas.
• Modificar las contraseñas predeterminadas.

30
Uso de utilitarios del sistema

• Uso de procedimientos de autenticación para
  utilitarios.
• Separación de los utilitarios y el software.
• Limitación de uso de utilitarios.
• Autorización de uso de utilitarios.
• Registro de todo uso de utilitarios.
• Remoción del software basado en utilitarios.

31
Alarmas Silenciosas

• Provisión de alarmas silenciosas para los
  usuarios que podrían ser objetos de coerción.
• Debe basarse en una evaluación de riesgos.

32
Desconexión de terminales por tiempo muerto

• Las terminales inactivas en ubicaciones de alto
  riesgo, o que sirven a sistemas de alto riesgo
  deben apagarse después de un periodo definido de
  inactividad.
• Esta herramienta debe limpiar la pantalla y
  desconectar tanto la aplicación como la red.
• El lapso por tiempo muerto debe responder a los
  riesgos de seguridad del área y de los usuarios
  del terminal.

33
Limitación del horario de conexión

• La limitación del periodo durante el cual se
  permiten las conexiones de terminal a los
  servicios informativos reduce el espectro de
  oportunidades para el acceso no autorizado.
• Utilización de lapsos predeterminados.
• Limitación de los tiempos de conexión al horario
  normal de oficina.

34
Control de Acceso a las aplicaciones.

• Objetivo

• Impedir el acceso no autorizado a la información
  no contenida en los sistemas de información.

35
Restricción del acceso a la información

• Provisión de menús para controlar el acceso a las
  funciones de los sistemas.
• Restricción del conocimiento de los usuarios
  acerca de la información o de las funciones de
  los sistemas de aplicación.
• Control de los derechos de acceso.
• Garantizar que las salidas de los sistemas de
  aplicación, contengan información pertinente a la
  salida.

36
Aislamiento de sistemas sensibles

• La sensibilidad de un sistema debe ser claramente
  identificada y documentada por el propietario de
  la aplicación.
• Cuando una aplicación sensible ha de ejecutarse
  en un ambiente compartido, los sistemas de
  aplicación con los cuales esta compartirá los
  recursos deben ser identificados y acordados con
  el propietario del sistema.

37
Monitoreo del Acceso y uso de sistemas.

• Objetivo

• Detectar actividades no autorizadas

38
Registro de eventos

• ID de usuario
• Fecha y hora de inicio y terminación.
• Identidad o ubicación de la terminal, si es
  posible.
• Registro de intentos exitosos y fallidos de
  acceso al sistema.
• Registro de intentos exitosos y fallidos de
  acceso a datos y otros recursos.

39
Monitoreo del uso de los sistemas
Procedimientos y áreas de riesgos
Factores de riesgo
Registros y revisión de eventos
Criticidad de los procesos de aplicaciones. Valor,
sensibilidad o criticidad de la información
involucrada. Infiltración y uso inadecuado del
sistema. Alcance de la interconexión.
Revisión de los registros implica la comprensión
de las amenazas que afecta el sistema. Se debe
prestar atención a la seguridad de la herramienta
de registro.
Acceso no autorizado
Todas las operaciones con privilegio
Intentos de acceso no autorizados
Alertas o fallas de sistema.
40
Sincronización de relojes

• La correcta configuración de los relojes por
  computadoras es importante para garantizar la
  exactitud de los registros de auditoria.
• Los registros de la auditoria inexactos podrían
  dañar la credibilidad de la evidencia.

41
Computación móvil y trabajo remoto.

• Objetivo

• Garantizar la seguridad de la información cuando
  se utiliza computación móvil e instalaciones de
  trabajo.

42
Computación móvil

• Se debe adoptar una política formal que tome en
  cuenta los riesgos que implica trabajar con
  herramientas informáticas móviles.
• El equipamiento que transporta información
  importante de la empresa, sensible y/o critica no
  debe dejarse desatendido.
• El acceso remoto a la información de la empresa a
  través de redes publicas, utilizando herramientas
  informáticas móviles, solo debe tener lugar
  después de una identificación y autenticación
  exitosas, y con mecanismos adecuados de control
  de acceso implementados
• Se debe brindar entrenamiento al personal que
  utiliza computación móvil.

43
Trabajo remoto

• El trabajo remoto utiliza tecnología de
  comunicaciones para permitir que el personal
  trabaje en forma remota desde un lugar fijo fuera
  de la organización.
• Es importante que el trabajo remoto sea
  autorizado y controlado por la gerencia, y que se
  implementen disposiciones y acuerdos para esta
  forma de trabajo.
• Las organizaciones deben considerar el desarrollo
  de una política, de procedimientos y de
  estándares para controlar las actividades de
  trabajo remoto.