Tareas
Páginas: 16 (3944 palabras)
Publicado: 6 de marzo de 2013
11. CONTROL DE ACCESOS11.1 Requisitos de negocio para el control de accesos
OBJETIVO: Controlar los accesos a la información.Se debería controlar el acceso a la información y los procesos del negocio sobre la base de losrequisitos de seguridad y negocio.Se deberían tener en cuenta para ello las políticas de distribución de la información y deautorizaciones.11.1.1 Política de control de accesosControl
Una política de control de acceso debe ser establecida, documentada y revisada y debe estarbasada en los requerimientos de seguridad y del negocio.
Guía de implementación
Se deberían establecer claramente en una política de accesos las reglas y los derechos de cadausuario o grupo de usuarios. Los controles de acceso son lógicos y físicos y estos deben ser considerados juntos. Sedebería dar a los usuarios y proveedores de servicios una especificación clara de los requisitos de negocio cubiertos por los controles deaccesos.
Esta política debería contemplar lo siguiente:
a) requisitos de seguridad de cada aplicación de negocio individualmente
b) identificación de toda la información relativa a las aplicaciones y los riesgosque la información esta enfrentandoc) políticas para la distribución de la información y las autorizaciones
d) coherencia entre las políticas de control de accesos y las políticas declasificación de la información en los distintos sistemas y redes
e) legislación aplicable y las obligaciones contractuales respecto a la proteccióndel acceso a los datos o serviciosf) perfiles de acceso de usuarios estandarizados según las categorías comunes detrabajos
g) administración de los derechos de acceso en un entorno distribuido en red quereconozca todos los tipos disponibles de conexión
h) segregación de los roles de control de acceso, como el pedido de acceso,autorización de acceso, administración de accesos
i) requerimientos para la autorización formal de los pedidos de acceso j) requerimientos para la revisión periódica de los controles de acceso
Otra Información
Al especificar las reglas de los controles de accesos se tendrá la precaución de considerar:
a) la distinción entre reglas a cumplir siempre y reglas opcionales ocondicionales
b) el establecimiento de las reglas basándose en la premisa “está prohibido todo loque no esté permitido explícitamente”, premisa que es contraria a la regla “estápermitido todolo que no esté prohibido explícitamente”, considerada más débil o máspermisiva.
c) los cambios en las etiquetas de información iniciadas automáticamente por los recursos del tratamiento de la información y las que inicia elusuario manualmente
d) los cambios en las autorizaciones al usuario realizados automáticamente por elsistema de información y los que realiza un administradore) la distinción entre reglas que requieren o no la aprobación del administrador ode otra autoridad antes de su promulgación. Las reglas de control de acceso deben ser apoyadas por procedimientos formales y porresponsabilidades claramente definidos
11.2 Gestión de acceso de usuarios
OBJETIVO: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados alos sistemas de información.Sedebería establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberían cubrir todas las etapas del ciclo de vida del acceso de losusuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios queya no requieran dicho acceso a los sistemas y servicios. Se debería prestar especial atención,donde sea apropiado, al necesario control de la asignación de derechos de accesoprivilegiados que permitan a ciertos usuarios evitar los controles del sistema.
11.2.1 Registro de usuarios
Control
Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizarel acceso a los sistemas y servicios de información multiusuario....
OBJETIVO: Controlar los accesos a la información.Se debería controlar el acceso a la información y los procesos del negocio sobre la base de losrequisitos de seguridad y negocio.Se deberían tener en cuenta para ello las políticas de distribución de la información y deautorizaciones.11.1.1 Política de control de accesosControl
Una política de control de acceso debe ser establecida, documentada y revisada y debe estarbasada en los requerimientos de seguridad y del negocio.
Guía de implementación
Se deberían establecer claramente en una política de accesos las reglas y los derechos de cadausuario o grupo de usuarios. Los controles de acceso son lógicos y físicos y estos deben ser considerados juntos. Sedebería dar a los usuarios y proveedores de servicios una especificación clara de los requisitos de negocio cubiertos por los controles deaccesos.
Esta política debería contemplar lo siguiente:
a) requisitos de seguridad de cada aplicación de negocio individualmente
b) identificación de toda la información relativa a las aplicaciones y los riesgosque la información esta enfrentandoc) políticas para la distribución de la información y las autorizaciones
d) coherencia entre las políticas de control de accesos y las políticas declasificación de la información en los distintos sistemas y redes
e) legislación aplicable y las obligaciones contractuales respecto a la proteccióndel acceso a los datos o serviciosf) perfiles de acceso de usuarios estandarizados según las categorías comunes detrabajos
g) administración de los derechos de acceso en un entorno distribuido en red quereconozca todos los tipos disponibles de conexión
h) segregación de los roles de control de acceso, como el pedido de acceso,autorización de acceso, administración de accesos
i) requerimientos para la autorización formal de los pedidos de acceso j) requerimientos para la revisión periódica de los controles de acceso
Otra Información
Al especificar las reglas de los controles de accesos se tendrá la precaución de considerar:
a) la distinción entre reglas a cumplir siempre y reglas opcionales ocondicionales
b) el establecimiento de las reglas basándose en la premisa “está prohibido todo loque no esté permitido explícitamente”, premisa que es contraria a la regla “estápermitido todolo que no esté prohibido explícitamente”, considerada más débil o máspermisiva.
c) los cambios en las etiquetas de información iniciadas automáticamente por los recursos del tratamiento de la información y las que inicia elusuario manualmente
d) los cambios en las autorizaciones al usuario realizados automáticamente por elsistema de información y los que realiza un administradore) la distinción entre reglas que requieren o no la aprobación del administrador ode otra autoridad antes de su promulgación. Las reglas de control de acceso deben ser apoyadas por procedimientos formales y porresponsabilidades claramente definidos
11.2 Gestión de acceso de usuarios
OBJETIVO: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados alos sistemas de información.Sedebería establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios. Estos procedimientos deberían cubrir todas las etapas del ciclo de vida del acceso de losusuarios, desde el registro inicial de los nuevos hasta la baja del registro de los usuarios queya no requieran dicho acceso a los sistemas y servicios. Se debería prestar especial atención,donde sea apropiado, al necesario control de la asignación de derechos de accesoprivilegiados que permitan a ciertos usuarios evitar los controles del sistema.
11.2.1 Registro de usuarios
Control
Se debería formalizar un procedimiento de registro de altas y bajas de usuarios para garantizarel acceso a los sistemas y servicios de información multiusuario....
Leer documento completo
Regístrate para leer el documento completo.