ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

9. Control de Accesos

El objetivo del presente dominio es controlar el acceso por medio de un sistema de restricciones y excepciones a la información como base de todo sistema de seguridad informática.


Para impedir el acceso no autorizado a los sistemas de información se deberían implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de información, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento.


Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privación final de derechos de los usuarios que ya no requieren el acceso.


La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es necesario concientizar a los mismos acerca de sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas y la seguridad del equipamiento.



Objetivo de control


Objetivo

El objetivo es controlar los accesos a la información y las instalaciones utilizadas para su procesamiento.


9.1 Requisitos de negocio para el control de accesos

Se deberían controlar los accesos a la información, los recursos de tratamiento de la información y los procesos de negocio en base a las necesidades de seguridad y de negocio de la Organización.


Las regulaciones para el control de los accesos deberían considerar las políticas de distribución de la información y de autorizaciones..


Los propietarios de activos de información que son responsables ante la dirección de la protección "sus" activos deberían tener la capacidad de definir y/o aprobar las reglas de control de acceso y otros controles de seguridad. Asegúrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes.


Actividades de control del riesgo

9.1.1 Política de control de accesos: Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.


9.1.2 Control de acceso a las redes y servicios asociados: Se debería proveer a los usuarios de los accesos a redes y los servicios de red para los que han sido expresamente autorizados a utilizar.


Métricas asociadas

Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en roles.


Enlaces a soluciones recomendadas

OpenNAC: Solución de código abierto para el control de acceso de red en entornos LAN/WAN corporativos y compatible con diversos fabricantes de tecnología de red. Permite la autenticación, autorización y auditoría basada en las políticas de acceso a la red.


Packetfence: Solución de código abierto para el control de acceso de red que se puede utilizar para asegurar de manera eficaz desde las redes pequeñas a grandes redes heterogéneas.


Seguridad en Intranet: Monografía sobre la seguridad en la redes corporativas en base a las políticas de control de acceso.



Objetivo de control


Objetivo

El objetivo es el de garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de información y servicios.


9.2 Gestión de acceso de usuario

Se deberían establecer procedimientos formales para controlar la asignación de los permisos de acceso a los sistemas y servicios de información.


Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de información.


Se debería prestar especial atención, si fuera oportuno, a la necesidad de controlar la asignación de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema.


Actividades de control del riesgo

9.2.1 Gestión de altas/bajas en el registro de usuarios: Debería existir un procedimiento formal de alta y baja de usuarios con objeto de habilitar la asignación de derechos de acceso.


9.2.2 Gestión de los derechos de acceso asignados a usuarios: Se debería de implantar un proceso formal de aprovisionamiento de accesos a los usuarios para asignar o revocar derechos de acceso a todos los tipos de usuarios y para todos los sistemas y servicios.


9.2.3 Gestión de los derechos de acceso con privilegios especiales: La asignación y uso de derechos de acceso con privilegios especiales debería ser restringido y controlado.


9.2.4 Gestión de información confidencial de autenticación de usuarios: La asignación de información confidencial para la autenticación debería ser controlada mediante un proceso de gestión controlado.


9.2.5 Revisión de los derechos de acceso de los usuarios: Los propietarios de los activos deberían revisar con regularidad los derechos de acceso de los usuarios.


9.2.6 Retirada o adaptación de los derechos de acceso: Se deberían retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisados en caso de cambio.


Métricas asociadas

Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos y número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicación financiera este mes").


Enlaces a soluciones recomendadas

DBAudit: DB Audit es una completa solución out of the box de seguridad para bases de datos y auditoría para Oracle, Sybase, MySQL, DB2 y MS SQL Server.


Manage Engine: Solución web (free trial 30 days) que permite realizar las tareas más comunes, como las altas y bajas de usuarios y la aplicación de políticas de grupo, a través de un interfaz intuitivo y fácil de aprender. A través de sus informes detallados, ofrece visibilidad completa sobre todos los objetivos en el Directorio Activo.


Pangolin: Pangolin es una herramienta automática de pruebas de penetración de inyección SQL desarrollado por NOSEC. Su objetivo es detectar y aprovechar las vulnerabilidades de inyección SQL en aplicaciones web.


UserLock: Permite proteger el acceso a las redes de Windows®, impidiendo las conexiones simultáneas, al dar la posibilidad de limitar las conexiones de los usuarios y proporcionando a los administradores el control remoto de las sesiones, de las funcionalidades de alerta, de informes y análisis sobre todas las conexiones/desconexiones efectuadas en sus redes.



Objetivo de control


Objetivo

El objetivo es hacer que los usuarios sean responsables de la protección de la información para su identificación.


9.3 Responsabilidades del usuario

La cooperación de los usuarios autorizados es esencial para una seguridad efectiva.


Los usuarios deberían ser conscientes de sus responsabilidades en el mantenimiento de controles de acceso eficaces, en particular respecto al uso de contraseñas y seguridad en los equipos puestos a su disposición.


Se debería implantar una política para mantener mesas de escritorio y monitores libres de cualquier información con objeto de reducir el riesgo de accesos no autorizados o el deterioro de documentos, medios y recursos para el tratamiento de la información.


Asegúrese de que se establecen las responsabilidades de seguridad y que son entendidas por el personal afectado. Una buena estrategia es definir y documentar claramente las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo.


Son imprescindibles las revisiones periódicas para incluir cualquier cambio. Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisión anual de objetivos), para recordarles sus responsabilidades y recoger cualquier cambio.


Actividades de control del riesgo

9.3.1 Uso de información confidencial para la autenticación: Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad de la organización en el uso de información confidencial para la autenticación.


Métricas asociadas

Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la información (a) totalmente documentadas y (b) formalmente aceptadas.


Enlaces a soluciones recomendadas

KEEPASS: KeePass es una aplicación free open source para la gestión de contraseñas que sirve de ayuda para gestionar las contraseñas de un modo seguro. Puedes almacenar todas las contraseñas en una única base de datos, la cual permanece accesible mediante una única clave maestra o fichero. Por tanto, sólo se tiene que recordar una única contraseña o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish).



Objetivo de control


Objetivo

El objetivo es impedir el acceso no autorizado a la información mantenida por los sistemas y aplicaciones.


9.4 Control de acceso a sistemas y aplicaciones

Los medios deberían ser controlados y físicamente protegidos.


Se deberían establecer los procedimientos operativos adecuados para proteger los documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del sistema contra la divulgación, modificación, retirada o destrucción de activos no autorizadas.


Asegure los soportes y la información en tránsito no solo físico sino electrónico (a través de las redes). Cifre todos los datos sensibles o valiosos antes de ser transportados.


Actividades de control del riesgo

9.4.1 Restricción del acceso a la información: Se debería restringir el acceso de los usuarios y el personal de mantenimiento a la información y funciones de los sistemas de aplicaciones, en relación a la política de control de accesos definida.


9.4.2 Procedimientos seguros de inicio de sesión: Cuando sea requerido por la política de control de accesos se debería controlar el acceso a los sistemas y aplicaciones mediante un procedimiento seguro de log-on


9.4.3 Gestión de contraseñas de usuario: Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar contraseñas de calidad.


9.4.4 Uso de herramientas de administración de sistemas: El uso de utilidades software que podrían ser capaces de anular o evitar controles en aplicaciones y sistemas deberían estar restringidos y estrechamente controlados.


9.4.5 Control de acceso al código fuente de los programas: Se debería restringir el acceso al código fuente de las aplicaciones software.


Métricas asociadas

Porcentaje de soportes de backup o archivo que están totalmente encriptados.


Enlaces a soluciones recomendadas

0PHCRACK: Utilidad para verificar la fortaleza de las contraseñas en uso y determinar políticas y frecuencias en la renovación de las contraseñas.


JOHN THE RIPPER: Utilidad para verificar la fortaleza de las contraseñas en uso y determinar políticas y frecuencias en la renovación de las contraseñas.


KEEPASS: KeePass es una aplicación free open source para la gestión de contraseñas que sirve de ayuda para gestionar las contraseñas de un modo seguro. Puedes almacenar todas las contraseñas en una única base de datos, la cual permanece accesible mediante una única clave maestra o fichero. Por tanto, sólo se tiene que recordar una única contraseña o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish).


OXID: Utilidad para verificar la fortaleza de las contraseñas en uso y determinar políticas y frecuencias en la renovación de las contraseñas.


PASSWORD GENERATOR: Generador on-line de contraseñas.


RANDOW PASSWORD GENERATOR: Generador de contraseñas seguras.