A) Analiza modelos y buenas prácticas de seguridad informática.
ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de de facto en la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.
COBIT
COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.
Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información.
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.
los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.
ISM3
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados)...
Algunas características significativas de ISM3 son:
Algunas características significativas de ISM3 son:
• Métricas de Seguridad de la Información - "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar" - ISM3 v1.20 hace de la seguridad un proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.
• Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.
• Basado el Procesos - ISM3 v1.20 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.
• Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.
• Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.
• Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.
B) Analiza estándares internacionales de seguridad informática.
BS 17799
BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002
OBJETIVO.
Objetivo
El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
Alcance
-Aumento de la seguridad efectiva de los Sistemas de información.
- Correcta planificación y gestión de la Seguridad
- Garantías de continuidad del negocio.Auditoría interna
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organización.
-Aumento de la seguridad efectiva de los Sistemas de información.
- Correcta planificación y gestión de la Seguridad
- Garantías de continuidad del negocio.Auditoría interna
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organización.
Enfoque
* Responsabilidad de la dirección.
* Enfoque al cliente en las organizaciones educativas.
* La política de calidad en las organizaciones educativas.
* Planificación: Definir los objetivos de calidad y las actividades y recursos necesarios .
* Responsabilidad de la dirección.
* Enfoque al cliente en las organizaciones educativas.
* La política de calidad en las organizaciones educativas.
* Planificación: Definir los objetivos de calidad y las actividades y recursos necesarios .
Para alcanzar los objetivos
* Responsabilidad, autoridad y comunicación.
* Provisión y gestión de los recursos.
* Recursos humanos competentes.
* Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso.
* Responsabilidad, autoridad y comunicación.
* Provisión y gestión de los recursos.
* Recursos humanos competentes.
* Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso.
Educativo
* Planificación y realización del producto.
* Diseño y desarrollo.
* Proceso de compras.
* Control de los dispositivos de seguimiento y medición.
* Satisfacción del cliente.
* Auditoria Interna ISO.
* Revisión y disposición de las no conformidades.
* Análisis de datos.
* Proceso de mejora.
es decir que F ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.* Planificación y realización del producto.
* Diseño y desarrollo.
* Proceso de compras.
* Control de los dispositivos de seguimiento y medición.
* Satisfacción del cliente.
* Auditoria Interna ISO.
* Revisión y disposición de las no conformidades.
* Análisis de datos.
* Proceso de mejora.
• Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.
Serie ISO 27000
En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.
ISO 27001
La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.
El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.
ISO 27002
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).
ISO 20000
La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.
La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).
C) Definición del plan de seguridad informática:
- Descripción de los principales elementos de protección: Las principales amenazas que se prevén en la seguridad física son:a. Desastres naturales, incendios accidentales tormentas e inundaciones.b. Amenazas ocasionadas por el hombre.c. Disturbios, sabotajes internos y externos deliberados.No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara.A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier entorno.A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.a. Incendios.b. Inundaciones: Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos. Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.c. Condiciones Climatológicasd. Señales de Radar: La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.e.Instalaciones Eléctricasf. ErgometríaAcciones Hostiles· Robo: Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro.· Fraude: Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.· Sabotaje: El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc. - Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido: La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos. Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos. Las políticas son obligatorias, mientras que las recomendaciones o directrices son más bien opcionales. De hecho, las declaraciones de políticas de seguridad pueden transformarse fácilmente en recomendaciones reemplazando la palabra "debe" con la palabra "debería". Por otro lado las políticas son de jerarquía superior a las normas, estándares y procedimientos que también requieren ser acatados. Las políticas consisten de declaraciones genéricas, mientras las normas hacen referencia específica a tecnologías, metodologías, procedimientos de implementación y otros aspectos en detalle. Además las políticas deberían durar durante muchos años, mientras que las normas y procedimientos duran menos tiempo. Las normas y procedimientos necesitan ser actualizadas más a menudo que las políticas porque hoy día cambian muy rápidamente las tecnologías informáticas, las estructuras organizativas, los procesos de negocios y los procedimientos. Por ejemplo, una norma de seguridad de cifrado podría especificar el uso del estándar DES (Data Encryption Standard). Esta norma probablemente deberá será revisada o reemplazada en los próximos años. Las políticas son distintas y de un nivel superior a los procedimientos, que son los pasos operacionales específicos que deben llevarse a cabo para lograr una cierta meta. Como ejemplo, hay procedimientos específicos para realizar copias de seguridad de la información contenida en los discos duros de los servidores.
Una declaración sobre políticas describe sólo la forma general de manejar un problema específico, pero no debe ser demasiado detallada o extensa, en cuyo caso se convertiría en un procedimiento. Las políticas también son diferentes de las medidas de seguridad o de los mecanismos de control. Un ejemplo de esto último sería un sistema de cifrado para las comunicaciones o para los datos confidenciales guardados en discos y cintas. En muchos casos las políticas definen metas o objetivos generales que luego se alcanzan por medio de medidas de seguridad. En general, las políticas definen las áreas sobre las cuales debe enfocarse la atención en lo que concierne a la seguridad. Las políticas podrían dictar que todo el software desarrollado o adquirido se pruebe a fondo antes de utilizarse. Se necesitará tomar en cuenta varios detalles sobre cómo aplicar esta política. Por ejemplo, la metodología a usar para probar el software. Un documento sobre políticas de seguridad contiene, entre muchos aspectos: definición de seguridad para los activos de información, responsabilidades, planes de contingencia, gestión de contraseñas, sistema de control de acceso, respaldo de datos, manejo de virus e intrusos. También puede incluir la forma de comprobar el cumplimiento y las eventuales medidas disciplinarias. - Definición de políticas de acceso físico a equipos: Al crear perfiles se puedo establecer las diferentes categorías de acceso deseadas por ejemplo a un "empleado de mantenimiento" se le podrá restringir las áreas a las cuales tendrá acceso con horarios limitados, mientras que el perfil de usuario de un "ejecutivos administrativos" puede crearse con mayores atributos. Esto les permite a los administradores del sistema que el empleado del aseo no pueda acceder a la puerta de un área restringida en otro horario que no sea el que se le asigno en el sistema de control de acceso. Por nuestra experiencia en la implementación de nuestros sistemas de control garantizamos la perfecta instalación de nuestros equipos en cualquier tipo de puerta o portón de acceso, utilizando partes y accesorios de primera calidad de fabricante lideres a nivel mundial. Nuestros sistemas están desarrollado para utilizar los dispositivos más avanzados del mercado, por ejemplo las credenciales con las accederá a las aéreas están dotadas de un microchip inteligente en donde el o los administradores del sistema podrá almacenar la información necesaria o requerida para atribuir los accesos a cada colaborador y esto se almacena directamente en la credencial (ver productos) y adicionalmente lograr alcanzar un mayor nivel de seguridad, implementando sistemas BIOMÉTRICOS (huella dactilar, palma de la mano, iris del ojo) dando acceso en forma conjunta con la credencial inteligente(smartcard).Control de Acceso Físico: Esta solución permite el control de los puntos estratégicos de una compañía mediante equipos que verifican la identidad de las personas en el momento de ingresar a las instalaciones. Este tipo de control maneja políticas totales o parciales de acceso, mantiene. Control de tiempo de las personas que realizan transacciones. Mediante un manejo avanzado credencialización que permite controlar, limitar, monitorear y auditar el acceso físico. Este tipo de sistema es ideal para organizaciones que desea controlar una única área restringida o múltiples puertas de acceso.
- Definición de políticas de acceso lógico a equipos: Todos trabajamos a diario con la ayuda inestimable de los ordenadores y de la informática. Por ello, cuando llegamos a nuestro puesto de trabajo, lo primero que hacemos es encender el ordenador o el portátil que nos han adjudicado, esperar a que el sistema arranque y continuar con aquel informe que debemos terminar o escribir un correo electrónico a un cliente, en definitiva, comenzamos a trabajar. Somos, por tanto, los llamados usuarios. Al acceder al sistema e introducir el correspondiente nombre de usuario y contraseña, nos identificamos y autenticamos en el sistema, y a continuación accedemos a los documentos, ficheros, aplicaciones a los que tenemos permiso de acceso, permisos que han sido implementados por otras personas, a las que llamamos administradores. Pues bien, en este artículo lo que voy a tratar es de recordar algunas de las normas habituales de seguridad respecto del acceso a los sistemas de información, especialmente el acceso por medios electrónicos. Y todo ello con el objetivo de acercarnos a la tan manida seguridad de los datos en una organización, es decir, aquel conjunto de controles que tratan de mantener la confidencialidad, la integridad y la disponibilidad de la información. Empezaremos por una definición sencilla, ¿qué es el acceso a un sistema de información? El acceso al sistema en cualquier organización es la capacidad de realizar una actividad con un recurso informático, por ejemplo, la capacidad de leer, modificar o eliminar un archivo, ejecutar un programa etc. ¿Qué tipos de accesos hay? El acceso al sistema, a los recursos de información, puede ser lógico o físico. Los controles de acceso (lógicos y físicos) se diseñan para proteger contra la entrada o el acceso no autorizado. El establecimiento de las reglas debe basarse en la premisa “está prohibido todo lo que no esté permitido explícitamente”. Comenzaremos por los controles de acceso lógico al sistema. Estos proveen un medio técnico para controlar qué información pueden utilizar los usuarios, qué programas pueden ejecutar, y las modificaciones que pueden hacer. Los controles de acceso lógico se pueden definir como las políticas, procedimientos y controles de acceso electrónico diseñados para restringir el acceso a los archivos de datos. Dichos controles pueden estar incorporados en el sistema operativo, en los programas o aplicaciones, en las bases de datos, los dispositivos de control de red etc. Los derechos de acceso, también llamados permisos o privilegios, que son otorgados a los usuarios por el administrador, determinan las acciones que pueden ejecutar, por ejemplo, leer, grabar, eliminar etc. en los archivos de los servidores. No menos importantes son los controles de acceso físico al sistema. Estos restringen la entrada y salida del personal, y a menudo, los equipos y los medios, desde un área, como por ejemplo, un edificio, un centro de proceso de datos o una sala que contenga un servidor de la red de área local (LAN). Hay muchos tipos de controles de acceso físico, que incluyen tarjetas inteligentes, llaves, barreras etc. Ya sabemos que en todas las organizaciones deben existir unos controles y unos derechos de acceso. Pero vamos al meollo de la cuestión, ¿cómo deben otorgarse estos derechos de acceso? Se deben establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas. El acceso físico o lógico a la información debe ser otorgado por escrito sobre la base de la necesidad de saber, y basado en los principios de menor privilegio (sólo se deben otorgar a los usuarios los accesos requeridos para realizar sus tareas) (“necesita saber, necesita hacer”) y segregación de tareas. El propietario de la información o el gerente responsable (por ejemplo, el jefe del departamento) debe ser la persona encargada entregar una autorización directamente al administrador de seguridad, documentada por escrito (en soporte físico o electrónico), para que los usuarios tengan acceso a los recursos de información. Del párrafo anterior se desprenden una serie de ideas básicas. En primer lugar, los usuarios sólo deben tener acceso autorizado a aquellos datos y recursos que precisen para el desarrollo de sus funciones. En segundo lugar, el acceso a los datos siempre debe ser autorizado por escrito. En tercer lugar, sólo los propietarios de los datos deben otorgar dichas autorizaciones. Y por último, el propietario de los datos no implementa directamente los derechos de acceso de los usuarios que dependen de él. Efectivamente, las capacidades o derechos de acceso son implementadas por el administrador de seguridad por medio del establecimiento de un conjunto de reglas de acceso que estipulan cuales usuarios (o grupos de usuarios) están autorizados para acceder a un recurso y con qué nivel (por ejemplo, lectura, grabación, borrado, ejecución), es decir, quién puede tener acceso a qué. Evidentemente, el tipo menos peligroso de acceso es el de lectura. El mecanismo de control de acceso aplica estas reglas cada vez que un usuario trata de acceder o de usar un recurso protegido. Es recomendable establecer perfiles estandarizados, según las categorías comunes de trabajos, para implementar reglas eficientes de acceso y que simplifiquen la administración de la seguridad. Asimismo, es recomendable que las políticas de control de accesos sean coherentes con la clasificación de la información, y por supuesto, con la Política de Seguridad de la Información de la organización, si es que existe. Por último, indicar que las autorizaciones de acceso deben ser evaluadas regularmente por el propietario de la información para asegurar que sean aún válidas.
- Definición de políticas para la creación de cuentas: Propósito: Dar a conocer las políticas generales para el uso de las cuentas (usuario - contraseña) de acceso a los Sistemas Web Institucionales.Alcance: El alcance de estas políticas incluye a todo usuario de sistema Web que tenga un rol, cuyas actividades sean de administración del sistema, de gestión o cualquier otro acceso que sí esté permitido.Política General· El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada. La cuenta es para uso personal e intransferible.· La cuenta de usuario se protegerá mediante una contraseña. La contraseña asociada a la cuenta de usuario, deberá seguir los Criterios para la Construcción de Contraseñas Seguras descrito más abajo.· Las cuentas de usuario (usuario y contraseña) son sensibles a mayúsculas y minúsculas, es decir que estas deben ser tecleadas como están.· No compartir la cuenta de usuario con otras personas: compañeros de trabajo, amigos, familiares, etc.· Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas políticas. De ser necesaria la divulgación de la cuenta de usuario y su contraseña asociada, deberá solicitarlo por escrito y dirigido al Administrador del Sistema.· Si se detecta o sospecha que las actividades de una cuenta de usuario puede comprometer la integridad y seguridad de la información, el acceso a dicha cuenta será suspendido temporalmente y será reactivada sólo después de haber tomado las medidas necesarias a consideración del Administrador del Sistema.· Tipos de Cuentas de UsuarioPara efectos de las presentes políticas, se definen dos tipos de cuentas de usuario:1. Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que sean utilizadas por los usuarios para acceder a los diferentes sistemas de información. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por los roles de usuario del Sistema.2. Cuenta de Administración de Sistema de Información: corresponde a la cuenta de usuario que permite al administrador del Sistema realizar tareas específicas de usuario a nivel directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema.· Todas las contraseñas para acceso al Sistema Web con carácter administrativo deberán ser cambiadas al menos cada 6 meses.· Todas las contraseñas para acceso al Sistema Web de nivel usuario deberán ser cambiadas al menos cada 12 meses.· Todas las contraseñas deberán ser tratadas con carácter confidencial.· Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios de mensajería electrónica instantánea ni vía telefónica.· Si es necesario el uso de mensajes de correo electrónico para la divulgación de contraseñas, estas deberán transmitirse de forma cifrada.· Se evitará mencionar y en la medida de lo posible, teclear contraseñas en frente de otros.· Se evitará el revelar contraseñas en cuestionarios, reportes o formas.· Se evitará el utilizar la misma contraseña para acceso a los sistemas operativos y/o a las bases de datos u otras aplicaciones.· Se evitará el activar o hacer uso de la utilidad de ?Recordar Contraseña? o ?Recordar Password? de las aplicaciones.· No se almacenarán las contraseñas en libretas, agendas, post-it, hojas sueltas, etc. Si se requiere el respaldo de las contraseñas en medio impreso, el documento generado deberá ser único y bajo resguardo.· No se almacenarán las contraseñas sin encriptación, en sistemas electrónicos personales (asistentes electrónicos personales, memorias USB, teléfonos celulares, agendas electrónicas, etc.).· Si alguna contraseña es detectada y catalogada como no segura, deberá darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña.
No hay comentarios:
Publicar un comentario