La Ideologia Iso
Páginas: 53 (13116 palabras)
Publicado: 1 de mayo de 2012
ISO 27002
11. Control de Accesos
11 1 Requerimientos de negocio para el control de accesos
Controlar los accesos a la información.
Se deberían controlar los accesos a la información, los recursos de tratamiento de la información y los procesos de negocio en base a las necesidades de seguridad y de negocio de la Organización.
Las regulaciones para el control de los accesosdeberían considerar las políticas de distribución de la información y de autorizaciones.
Los propietarios de activos de información que son responsables ante la dirección de la protección "sus" activos deberían tener la capacidad de definir y/o aprobar las reglas de control de acceso y otros controles de seguridad.
Asegúrese de que se les responsabiliza de incumplimientos, no conformidades y otrosincidentes.
Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en roles.
|11.1.1. Política de control de accesos|
| |
| |
Control:
Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.
Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas deinformación.
Se deberían establecer procedimientos formales para controlar la asignación de los permisos de acceso a los sistemas y servicios de información.
Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios deinformación.
Se debería prestar especial atención, si fuera oportuno, a la necesidad de controlar la asignación de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema.
Cree la función diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de control de acceso definidas por los propietarios de las aplicacionesy la dirección de seguridad de la información.
Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo más eficientemente posible.
Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos y número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de tendencias y comentarios acerca decualquier pico / valle (p. ej., "Implantada nueva aplicación financiera este mes").
|11.2.1. Registro de usuario |
| |
| |
Control:
Debería existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y cancelar los accesos a todos los sistemas y servicios de información.Posibles Soluciones a este control:
|[pic] |Solución web (free trial 30 days) que |Manageengine.com |
| |permite realizar las tareas más | |
| |comunes, como las altas y bajas de ||
| |usuarios y la aplicación de políticas | |
| |de grupo, a través de un interfaz | |
| |intuitivo y fácil de aprender. A través|...
11. Control de Accesos
11 1 Requerimientos de negocio para el control de accesos
Controlar los accesos a la información.
Se deberían controlar los accesos a la información, los recursos de tratamiento de la información y los procesos de negocio en base a las necesidades de seguridad y de negocio de la Organización.
Las regulaciones para el control de los accesosdeberían considerar las políticas de distribución de la información y de autorizaciones.
Los propietarios de activos de información que son responsables ante la dirección de la protección "sus" activos deberían tener la capacidad de definir y/o aprobar las reglas de control de acceso y otros controles de seguridad.
Asegúrese de que se les responsabiliza de incumplimientos, no conformidades y otrosincidentes.
Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en roles.
|11.1.1. Política de control de accesos|
| |
| |
Control:
Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.
Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas deinformación.
Se deberían establecer procedimientos formales para controlar la asignación de los permisos de acceso a los sistemas y servicios de información.
Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios deinformación.
Se debería prestar especial atención, si fuera oportuno, a la necesidad de controlar la asignación de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema.
Cree la función diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de control de acceso definidas por los propietarios de las aplicacionesy la dirección de seguridad de la información.
Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo más eficientemente posible.
Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos y número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de tendencias y comentarios acerca decualquier pico / valle (p. ej., "Implantada nueva aplicación financiera este mes").
|11.2.1. Registro de usuario |
| |
| |
Control:
Debería existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y cancelar los accesos a todos los sistemas y servicios de información.Posibles Soluciones a este control:
|[pic] |Solución web (free trial 30 days) que |Manageengine.com |
| |permite realizar las tareas más | |
| |comunes, como las altas y bajas de ||
| |usuarios y la aplicación de políticas | |
| |de grupo, a través de un interfaz | |
| |intuitivo y fácil de aprender. A través|...
Leer documento completo
Regístrate para leer el documento completo.