Universidad Nacional de San Antonio Abad del

Cusco

Escuela Profesional de Ingenierı́a Informática y de Sistemas

Seguridad Control Y Auditorı́a De Sistemas De Información

Actividades para la Implementación de Controles de Acceso en

las Organizaciones Según la Norma ISO27001:2014

Docente:
Mgt. Emilio Palomino Olivera
Alumnos: Codigo:
Aguilar Rojas Luis Angel 144985
Alanya Pantoja, José Antonio 144997
Andia Colque, Jerson Osmar 120275
Cano Florez, Felix Manuel 141152
Gonzalez Saldaña, Yulissa Daniela 140994
Larico Rodrigo, Eder Paul 103644
Mora Quispe, Luis Angel 101663
Quispe Molina, Dennis Pedro 114149
Yabar Aguilar, Aron 141012

25 de enero de 2019
Cusco - Perú
1. Presentación

La información es un activo que representa un gran valor dentro de la organización,

sea este tangible o intangible. Por tanto, requiere una protección adecuada ya sea por
diferentes técnicas o medios de seguridad implantadas. Para ello hay que tomar en
cuenta el creciente ambiente interconectado de negocios, es por eso que la información
está expuesta a un mayor riesgo de amenazas y vulnerabilidades. Seguridad en los
sistemas de información consiste en la protección de la información respecto al acceso no
autorizado o modificación de la información en el almacenamiento, proceso y transito
contra la denegación de servicio para los usuarios autorizados, incluyendo aquellas
medidas necesarias para detectar, documentar y contrarrestar dichas amenazas.
En tal sentido, el presente proyecto, pretende ahondar en las estrategias e instrumentos
necesarios para implementar exitosamente los controles de seguridad de las operaciones
del estándar NTP-ISO/IEC 27001:2014 en una organización, tratando de instrumenta-
lizar un poco más el proceso, tomando para ello el análisis bibliográfico.
El documento posee tres partes importantes los cuales son:
Aspectos Generales: Esta parte abarca la justificación, además de una breve des-
cripción del problema seguido de los objetivos tanto generales como especı́ficos,
justificación de los objetivos, limitaciones, delimitaciones y metodologı́a que se
usará en este documento.
Marco Teórico: En esta parte se aborda las normas ISO/IEC 27000 y ISO/IEC
27001 de una manera netamente teórica, definiendo además, los controles que
desarrollaremos en el presente.
Desarrollo del proyecto: En esta sección se desarrollan los controles de manera
ahonda, donde se define cada uno de ellos, luego una parte de actividades nece-
sarias que consiste en el correcto uso del control y finalmente la descripción el
procedimiento.

1
2. Introducción

El 01 de diciembre del 2014, la Norma Técnica Peruana NTP-ISO/IEC 27001:2014

TECNOLOGÍA DE LA INFORMACIÓN, Técnicas de seguridad, Sistemas de gestión
de seguridad de la información. Requisitos, 2 Edición, fue oficializada por la Comisión
de Normalización y fiscalización de barreras comerciales no Arancelarias CNB.
Esta norma fue elaborada por el Comité Técnico de Codificación e intercambio electróni-
co de datos usando como antecedentes ISO/IEC 27001:2013 y la ISO/IEC 27001:2013
COR.
Esta norma técnica peruana ha sido elaborada para proveer requisitos para establecer,
implementar, mantener y mejorar continuamente un sistema de gestión de seguridad
de la información teniendo como consecuencia que la adopción de esta técnica es una
decisión estratégica para una empresa.
El sistema de gestión de la seguridad de información presenta la confidencialidad, in-
tegridad y disponibilidad de la información aplicado a un proceso de gestión de riesgos
y proporciona confianza a las partes interesadas en el sentido en que los riesgos se
manejan adecuadamente.

2
Índice

1. Presentación 1

2. Introducción 2

3. Aspectos Generales 4
3.1. Descripción del problema . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.2. Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.2.1. Objetivo General . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.2.2. Objetivos Especı́ficos . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3. Justificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.4. Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.5. Delimitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.6. Metodologı́a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

4. Marco Teórico 7
4.1. Sistema de gestión de la seguridad de la información . . . . . . . . . . . 7
4.2. International Organization for Standardization (ISO) . . . . . . . . . . 8
4.3. International Electrotechnical Commission (IEC) . . . . . . . . . . . . 8
4.4. Norma ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.5. ISO/IEC 27001, sistema de gestión de seguridad de la información –
Requerimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.6. Dominio 9: Control de Acceso . . . . . . . . . . . . . . . . . . . . . . . 11

5. Desarrollo del proyecto 14

5.1. Requisitos de negocio para el control de accesos . . . . . . . . . . . . . 14
5.1.1. Polı́tica de control de accesos . . . . . . . . . . . . . . . . . . . 14
5.1.2. Control de acceso a las redes y servicios asociados . . . . . . . . 18
5.2. Gestión de acceso de usuario . . . . . . . . . . . . . . . . . . . . . . . . 23
5.2.1. Gestión de altas/bajas en el registro de usuarios . . . . . . . . . 23
5.2.2. Gestión de los derechos de acceso asignados a usuarios . . . . . 28
5.2.3. Gestión de los derechos de acceso con privilegios especiales . . . 34
5.2.4. Gestión de la información confidencial de autenticación de usuarios 38
5.2.5. Revisión de los derechos de acceso de los usuarios . . . . . . . . 42
5.3. Responsabilidades del usuario . . . . . . . . . . . . . . . . . . . . . . . 47
5.3.1. Uso de información confidencial para la autenticación . . . . . . 47
5.4. Control de acceso a sistemas y aplicaciones . . . . . . . . . . . . . . . . 50
5.4.1. Restricción de acceso a la información . . . . . . . . . . . . . . 50
5.4.2. Control de acceso al código fuente de los programas . . . . . . 52

6. Conclusiones 55

7. Recomendaciones 56

3
3. Aspectos Generales

3.1. Descripción del problema

Los sistemas de información de las organizaciones se enfrentan dı́a a dı́a con riesgos e
inseguridades que se enfocan en explotar vulnerabilidades de sus activos de informa-
ción poniendo en riesgo su continuidad de negocio. Los procesos que manejan datos,
los sistemas y las redes son activos importantes de la organización por lo que es im-
portante definir, realizar, mantener y mejorar la seguridad de la información, para que
puedan alcanzar sus objetivos de negocio. Ası́ como se ha convertido en una actividad
importante dentro de las organizaciones, la seguridad de la información también ha
suscitado muchos dolores de cabeza a los responsables en poner en acción una eficiente
gestión de esta actividad

3.2. Objetivos

3.2.1. Objetivo General

Mostrar la importancia de la utilización de la norma Técnica Peruana NTP-ISO/IEC

270001:2014 en un sistema de gestión de seguridad de la información.

3.2.2. Objetivos Especı́ficos

3.3. Justificación

El siguiente informe cuyo fin es la implementación de actividades y directivas para los

controles de acceso en instituciones públicas, justifica su importancia dentro del marco
legal ligado especialmente a la R.M. N 004-2016-PCM - Anexo 7. Publicada el 8 de
enero de 2016, en la cuál se especifica que las entidades públicas peruanas deben de
tener en cuenta elementos, directivas, funciones administrativas dentro de una cultura
organizativa para implementar una estrategia efectiva de seguridad de la información
plasmada en la norma técnica peruana, denominada NTP ISO/IEC 27001:2014.
Además, la aprobada Polı́tica Nacional de Gobierno Electrónico (D.S. N 081-2013-
PCM. Polı́tica Nacional de Gobierno Electrónico 2013 – 2017. Publicada el 10 de julio
2013) tiene entre sus pilares el Objetivo Estratégico N 3 donde dice: “Garantizar la
Integridad, Confidencialidad y Disponibilidad de la información en la Administración
Pública mediante mecanismos de la Seguridad de la Información gestionada, ası́ como
articular los temas de Ciberseguridad del Estado”.
Bajo este contexto, es de gran importancia la implementación de actividades para
los controles de acceso en la Administración Pública Peruana basadas en la Norma
Técnica Peruana vigente actual, que estén más orientadas a dotar de una estructura

4
organizacional de gestión de la información que permita el alineamiento de TI con
la estrategia de negocios de las organizaciones, el logro de beneficios, la reducción de
costos, el control de riesgos y en general la mejora de las operaciones de TI en las
organizaciones. Ya que, si bien existe una comprensión de que los riesgos
de TI en una organización son importantes y necesitan ser considerados; la evaluación
del riesgo es aún inmadura y está en desarrollo. Además, las responsabilidades por la
seguridad de la información son asignadas a un director de TI, pero muchas veces sin
autoridad gerencial.
Finalmente, la implementación de actividades y formatos para los controles de acceso
permitirá ordenar las funciones de la dirección de TI amparada en la norma, para
que puedan ser utilizados como información de apoyo a la mejora de la gestión de las
polı́ticas de acceso de información de las entidades integrantes del Sistema Nacional de
Informática del Sector Público.

3.4. Limitaciones

Acceso limitado a la información de las entidades públicas del estado para la posterior
identificación de riesgos de cada subproceso. Falta de disponibilidad de tiempo por
parte de personas encargadas de la dirección de TI de las instituciones públicas para
concretar reuniones y desarrollo de consultas. Falta de guı́as de implementación para
desarrollar las actividades de control en una entidad pública del estado.

3.5. Delimitaciones

Por la complejidad de la implementación de las actividades para los controles de la

norma NTP-ISO/IEC 27001:2014, se desarrollará de manera sistemática las activida-
des para los controles de: A.9.1.1 Polı́tica de control de acceso A.9.1.2 Acceso a redes
y servicios de red A.9.2.1 Registro y baja de usuarios A.9.2.3 Gestión de derechos
de acceso privilegiados A.9.2.4 Gestión de información de autentificación secreta de
usuarios A.9.2.5 Revisión de derechos de acceso de usuarios A.9.3.1 Uso de informa-
ción de autentificación secreta A.9.4.1 Restricción de acceso a la información A.9.4.2
Procedimientos de ingreso seguro A.9.4.3 Sistema de gestión de contraseñas

3.6. Metodologı́a

La metodologı́a a implementarse se considera dentro de los lineamentos para el per-

feccionamiento de la seguridad de las tecnologı́as de la información en el Paı́s, el cual
nos vinculamos a los conceptos expresados en la norma ISO-IEC 27001, Requisitos de
los Sistemas de Gestión de la Seguridad de la Información. La presente metodologı́a
se denomina PHVA, el cual promueve la adopción de un enfoque basado en procesos,
con el fin de establecer, implementar, operar, dar seguimiento, mantener y mejorar el
SGSI de una organización, para ello adopta el modelo de procesos “Planificar, Hacer,

5
Verificar y Actuar” (PHVA), que se aplica para estructurar los procesos del SGSI en
correspondencia con la NTP-ISO-IEC 27001. Ilustración 1: Modelo PHVA aplicado
a los procesos del SGSI Planificar (Establecer el SCSI) Establecer las polı́ticas, los
objetivos, procesos y procedimientos de seguridad necesarios para gestionar el riesgo
y mejorar la seguridad informática, con el fin de entregar resultados acordes con las
polı́ticas y objetivos globales de la organización. Hacer (Implementar y operar el SC-
SI) Tiene como objetivo fundamental garantizar una adecuada implementación de los
controles seleccionados y la correcta aplicación de los mismos. Verificar (Revisar y dar
seguimiento al SGSI) Evaluar y, en donde sea aplicable, verificar el Desempeño de los
procesos contra la polı́tica y los objetivos de seguridad y la experiencia práctica, y
reportar los resultados a la dirección, para su revisión. Actuar (Mantener y mejorar
el SCSI) Emprender acciones correctivas y preventivas basadas en los resultados de la
verificación y la revisión por la dirección, para lograr la mejora continua del SCSI.

6
4. Marco Teórico

4.1. Sistema de gestión de la seguridad de la información

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central

sobre el que se construye ISO 27001. La gestión de la seguridad de la información de-
be realizarse mediante un proceso sistemático, documentado y conocido por toda la
organización. Este proceso es el que constituye un SGSI, que podrı́a considerarse, por
analogı́a con una norma tan conocida como ISO 9001, como el sistema de calidad para
la seguridad de la información. Garantizar un nivel de protección total es virtualmente
imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de
un sistema de gestión de la seguridad de la información es, por tanto, garantizar que
los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada, sistemática, estructurada,
repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno
y las tecnologı́as.

Se entiende por información todo aquel conjunto de datos organizados en poder de

una entidad que posean valor para la misma, independientemente de la forma en que se
guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electróni-
camente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones,
etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de
elaboración.

En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado

gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es
posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información
basado en ISO 27001 de la siguiente forma:

Figura 1: Documentación del sistema

7
 Documentos de Nivel 1
Manual de seguridad: por analogı́a con el manual de calidad, aunque el término
se usa también en otros ámbitos. Serı́a el documento que inspira y dirige todo el
sistema, el que expone y determina las intenciones, alcance, objetivos, responsa-
bilidades, polı́ticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen
de forma eficaz la planificación, operación y control de los procesos de seguridad
de la información.
Documentos de Nivel 3
Instrucciones, checklists y formularios: documentos que describen cómo se rea-
lizan las tareas y las actividades especı́ficas relacionadas con la seguridad de la
información.
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento
de los requisitos del SGSI; están asociados a documentos de los otros tres niveles
como output que demuestra que se ha cumplido lo indicado en los mismos.

4.2. International Organization for Standardization (ISO)

ISO (International Organization for Standardization) es la mayor organización mundial

desarrolladora de Normas Internacionales voluntarias. ISO como organización, nace en
1947, y desde ese momento han publicado más de 20000 normas internacionales dife-
rentes y de muy variados sectores, de ámbitos tecnológicos y de negocios.

Actualmente, ISO cuenta con miembros de 162 paı́ses, pero en sus inicios, en 1946,
eran 65 delegados de 25 paı́ses los que trabajaron para diseñar y debatir el futuro
de la Normalización Internacional. El año de su fundación, ISO, empezó su trabajo
con 67 comités técnicos. Los comités técnicos son grupos de expertos que trabajan en
un tema especı́fico y desarrollan la normalización de esa cuestión. Es evidente el gran
crecimiento y expansión de ISO y de la normalización a lo largo de los años.

4.3. International Electrotechnical Commission (IEC)

La IEC es una de tres organizaciones hermanas internacionales (IEC, ISO, ITU) que
desarrollan Normas Internacionales a nivel mundial. Cuando corresponde, la IEC coope-
ra con la Organización Internacional de Normalización (ISO) o la Unión Internacional
de Telecomunicaciones (ITU) para garantizar que las Normas Internacionales se ade-
cuen perfectamente y se complementen entre sı́. Los comités conjuntos garantizan que
las Normas Internacionales combinan todo el conocimiento pertinente de los expertos
que trabajan en áreas relacionadas.

8
4.4. Norma ISO/IEC 27000

Los estándares internacionales para sistemas de gestión proporcionan un modelo a se-

guir para configurar y operar un sistema de administración. Este modelo incorpora las
caracterı́sticas en las que los expertos en el campo han alcanzado un consenso como el
estado del arte.
ISO / CEI JTC 1 / SC 27 mantiene un comité de expertos dedicado al desarrollo de
estándares conocido como la familia de estándares del Sistema de Gestión de Seguridad
de la Información (SGSI).
Mediante el uso de la familia de estándares SGSI, las organizaciones pueden desarrollar
e implementar un marco para administrar la seguridad de sus activos de información.
Estas normas también pueden utilizarse para preparar una evaluación independiente
de su SGSI aplicado a la protección de la información.
La familia de estándares ISMS tiene como propósito ayudar a las organizaciones de
todo tipo para implementar y operar un SGSI.

ISO-IEC 27000, sistema de gestión de seguridad de la información – Resumen y

Vocabulario
ISO/IEC 27001, sistema de gestión de seguridad de la información – Requeri-
mientos
ISO/IEC 27002, Código de práctica para los controles de seguridad de la infor-
mación.
ISO/IEC 27003, Guı́a de implementación del sistema de gestión de seguridad de
la información.
ISO/IEC 27004, Gestión de la seguridad de la información - Medición
ISO/IEC 27005, Gestión de riesgos de seguridad de la información.
ISO/IEC 27006, Requisitos para organismos que proporcionan auditorı́a y certi-
ficación de sistemas de gestión de seguridad de la información.
ISO/IEC 27007, Pautas para la auditorı́a de los sistemas de gestión de seguridad
de la información.
ISO/IEC TR 27008, Pautas para auditores sobre controles de seguridad de la
información.
ISO/IEC 27010, Gestión de seguridad de la información para comunicaciones
intersectoriales e interorganizacionales.
ISO / IEC 27011, Pautas de gestión de seguridad de la información para organi-
zaciones de telecomunicaciones basadas en ISO / IEC 27002.
ISO / IEC 27013, Orientación sobre la implementación integrada de ISO / IEC
27001 e ISO / IEC 20000-1
ISO / IEC 27014, Gobernanza de la seguridad de la información.

9
 ISO / IEC TR 27015, Pautas de gestión de seguridad de la información para
servicios financieros.
ISO / IEC TR 27016, Gestión de la seguridad de la información - Economı́a
organizacional.

Figura 2: SGSI Relación de la familia de estándares

4.5. ISO/IEC 27001, sistema de gestión de seguridad de la

información – Requerimientos

Alcance:
Esta norma internacional especifica los requisitos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar los sistemas de gestión de seguridad de la in-
formación (SGSI) formalizados en el contexto de los riesgos comerciales generales de la
organización. Especifica los requisitos para la implementación de controles de seguridad
de la información personalizados para las necesidades de organizaciones individuales
o partes de las mismas. Esta norma internacional puede ser utilizada por todas las
organizaciones, independientemente de su tipo, tamaño y naturaleza.

Propósito:
ISO / IEC 27001 proporciona requisitos normativos para el desarrollo y la operación
de un SGSI, incluido un conjunto de controles para el control y la mitigación de los

10
riesgos asociados con los activos de información que la organización busca proteger al
operar su SGSI. Las organizaciones que operan un SGSI pueden tener su conformidad
auditada y certificada. Los objetivos de control y los controles del Anexo A (ISO / IEC
27001) se seleccionarán como parte de este proceso SGSI según corresponda para cubrir
los requisitos identificados. Los objetivos de control y los controles enumerados en la
Tabla A.1 (ISO / IEC 27001) se derivan y se alinean directamente con los enumerados
en ISO / IEC 27002, Cláusulas 5 a 18.

Esta Norma Técnica Peruana especifica los requisitos para establecer, implementar,
mantener y mejorar continuamente un sistema de gestión de seguridad de la informa-
ción dentro del contexto de la organización. Esta Norma Técnica Peruana también
incluye requisitos para la evaluación y tratamiento de los riesgos de seguridad de la
información orientados a las necesidades de la organización. Los requisitos establecidos
en esta Norma Técnica Peruana son genéricos y están hechos para aplicarse a todas
las organizaciones, sin importar su tipo, tamaño o naturaleza. Excluir cualquiera de los
requisitos especificados en las Cláusulas 4 a 10 no es aceptable cuando una organización
declara conformidad con esta Norma Técnica Peruana.

4.6. Dominio 9: Control de Acceso

Objetivo:
El objetivo del presente dominio es controlar el acceso por medio de un sistema de
restricciones y excepciones a la información como base de todo sistema de seguridad
informática.
Para impedir el acceso no autorizado a los sistemas de información se deberı́an imple-
mentar procedimientos formales para controlar la asignación de derechos de acceso a los
sistemas de información, bases de datos y servicios de información, y estos deben estar
claramente documentados, comunicados y controlados en cuanto a su cumplimiento.
Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de
los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la
privación final de derechos de los usuarios que ya no requieren el acceso.
La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto
es necesario concientizar a los mismos acerca de sus responsabilidades por el manteni-
miento de controles de acceso eficaces, en particular aquellos relacionados con el uso
de contraseñas y la seguridad del equipamiento.

11
A.9 Control de acceso
A.9.1 Requisitos de la empre-
sa para el control de ac-
ceso
Objetivo: Limitar el acceso a la infor-
mación y a las instalaciones
de procesamiento de la in-
formación.
A.9.1.1 Polı́tica de control de acceso
A.9.1.2 Acceso a redes y servicios de
red
A.9.2 Gestión de acceso de
usuario
Objetivo: Asegurar el acceso de usua-
rios autorizados y prevenir
el acceso no autorizado a los
sistemas y servicios.
A.9.2.l Registro y baja de usuarios
A.9.2.2 Aprovisionamiento de acce-
so a usuario
A.9.2.3 Gestión de derechos de ac-
ceso privilegiados
A.9.2.4 Gestión de información de
autentificación secreta de
usuarios
A.9 .2.5 Revisión de derechos de ac-
ceso de usuarios
12
Control: Una polı́tica de control de ac-
ceso debe ser establecida, documentada
y revisada basada en requisitos del ne-
gocio y de seguridad de la información.
Control: Los usuarios deben tener ac-
ceso solamente a la red y a servicios de
red que hayan sido especı́ficamente au-
torizados a usar.
Control: Un proceso formal de registro
y baja de usuarios debe ser implemen-
tado para permitir la asismación de de-
rechos de acceso.
Control: Un proceso formal de aprovi-
sionamiento de acceso a usuarios debe
ser implementado para asignar o revo-
car los derechos de acceso para todos
los tipos de usuarios a todos los siste-
mas y servicios.
Control:
Control: La asignación de información
de autentificación secreta debe ser con-
trolada a traves de un proceso de ges-
tion formal.
Control: Los propietarios de los activos
deben revisar los derechos de acceso de
usuario a intervalos regulares .
A.9 .2.6 Remoción o ajuste de dere- Control: Los derechos de acceso a infor-
chois de acceso mación e instalaciones de procesamien-
tos de información de todos los emplea-
dos y de los usuarios de partes exter-
nas deben removerse al término de su
empleo, contrato o acuerdo, o ajustarse
según el cambio.
A.9.3 Responsabilidades de
los usuarios
Objetivo: Hacer que los usuarios res-
. pondan por la salvaguarda
de su información de auten-
tificación
A.9.3.l Uso de información de au- Control: Los usuarios deben ser exigi-
tentificacion secreta dos a que sigan las prácticas de la or-
ganización en el uso de información de
autentificación secreta.
A.9.4 Control de acceso a sis-
tema y aplicación
Objetivo: Prevenir el acceso no auto-
rizado a los sistemas y apli-
caciones.
A.9.4 .l Restricción de acceso a la Control: El acceso a la información y
información a las funciones del sistema de aplica-
ción debe ser restringido en concordan-
cia con la polı́tica de control de acceso.
A.9.4 .2 Procedimientos de ingreso Control: Donde la polı́tica de control
seguro de acceso lo requiera, el acceso a los
sistemas y a las aplicaciones debe ser
controlado por un procedimiento de in-
greso seguro.
A.9.4 .3 Sistema de gestión de con- Control: Los sistemas de gestión de
traseńas contraseńas deben ser interactivos y de-
ben asegurar contraseńas de calidad.
A.9.4.4 Uso de programas utilitarios Control: El uso de programas utilita-
privilegiados rios que podrı́an ser capaces de pasar
por alto los controles del sistema y de
las aplicaciones debe ser restringido y
controlarse estrictamente.
A.9.4 .5 Control de acceso al código Control: El acceso al código fuente de
fuente de los programas los programas debe ser restringido.

Cuadro 1: Listado de Controles Dominio 9 (Control de Acceso)

13
5. Desarrollo del proyecto

5.1. Requisitos de negocio para el control de accesos

5.1.1. Polı́tica de control de accesos

Polı́tica:
Una polı́tica de control de acceso es aquella que debe ser establecida, documentada
y revisada basada en requisitos del negocio e de seguridad de la información. Los
propietarios de activos deben determinar las reglas de control de acceso apropiadas,
derechos de acceso y restricciones para roles de usuario especı́ficas para con sus activos,
con el nivel de detalle y el rigor de los controles reflejando los riesgos de seguridad de
la información asociada.
Los controles de acceso son a la vez lógicos y fı́sicos y estos deben ser considerados en
conjunto. Los usuarios y los proveedores de servicios deben tener una declaración clara
de los requerimientos del negocio que deben cumplir por los controles de acceso. La
polı́tica debe tener en cuenta lo siguiente:
Los requisitos de seguridad de las aplicaciones de negocio.
Las polı́ticas para la difusión de información y autorización, por ejemplo, el prin-
cipio de necesidad de conocer y los niveles de seguridad de información y clasifi-
cación de la información.
La coherencia entre los derechos de acceso y polı́ticas de clasificación de la infor-
mación de los sistemas y redes.
La legislación pertinente y las obligaciones contractuales relativas a la limitación
de acceso a los datos o servicios.
La gestión de los derechos de acceso en un entorno distribuido y en red que
reconoce todo tipo de conexiones disponibles.
La segregación de las funciones de control de acceso, por ejemplo, solicitud de
acceso, autorización de acceso, administración de acceso.
Los requisitos para la autorización formal de las solicitudes de acceso.
Eliminación de los derechos de acceso.
El archivo de los expedientes de todos los acontecimientos importantes en relación
con el uso y la gestión de identidades de usuario y la información secreta de
autenticación.
Los roles con acceso privilegiado.

14
Act. N Responsable
1 Jefe de Informática
2 Comité de Gestión
3 Jefe de Informática
4 Dirección General
5 Jefe de Informática
6 Comisión Evaluadora
Cuadro 2: Poblaciones de ciudades europeas
15
Descripción
Analiza y selecciona las reglas y dere-
chos para ser asignados a cada usuario
y grupo de usuarios. Entrega el docu-
mento de análisis a la Comisión Eva-
luadora.
Elabora una propuesta de polı́ticas de
acceso para cada usuario o grupo de
usuarios basándose en el documento de
análisis entregado por el Jefe de In-
formática. Concluido el trabajo se de-
vuelve al Jefe de Informática.
Verifica y valida la propuesta en con-
cordancia con las normas internas, en
caso de no cumplir con las normas in-
ternas, se devuelve el documento para
la revisión del documento. En caso que
si cumpla, se envı́a el documento a la
Dirección General.
El Gerente general recibe el documen-
to. Previa revisión, emite una resolu-
ción de aprobación y devuelve el docu-
mento para la difusión al Jefe de In-
formática.
Recibe el documento y alcanza a la
Comisión Evaluadora para su difusión
según cronograma de capacitación.
Entrega a cada usuario de la organiza-
ción las polı́ticas de control de acceso,
haciendo firmar en acta la entrega a ca-
da usuario.
5.1.1.1. Diagrama de actividades

Figura 3: Diagrama BPMN del control de polı́tica de control de acceso

16
5.1.1.2. Formatos audı́tales

Figura 4: Formato auditable para poliıtica de control de accesos

17
5.1.2. Control de acceso a las redes y servicios asociados

Control:
Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido
especı́ficamente autorizados a usar.
Una polı́tica debe formularse en relación con el uso de redes y servicios de red. Esta
polı́tica debe cubrir:
Las redes y los servicios de red que están autorizados a acceder.
Los procedimientos de autorización para determinar quién puede acceder a qué
redes y servicios en red.
Los controles y procedimientos para proteger el acceso a las conexiones de red y
servicios de red de gestión.
Los medios utilizados para acceder a las redes y servicios de red.
Los requisitos de autenticación de usuario para acceder a varios servicios de red.
El seguimiento de la utilización de los servicios de red.
La polı́tica sobre el uso de servicios de red debe ser compatible con la polı́tica de control
de acceso de la organización.
Las actividades sugeridas para el acceso a redes y servicios de red son:
Establecer polı́ticas de uso de los servicios de red.
Crear autenticaciones para conexiones externas.
Realizar identificación de equipos en la red. Proteger puertos de diagnóstico
remoto y configuración.
Segregar las redes de interconexión dentro de la organización.
Controlar la conexión a las redes.

18
5.1.2.1. Descripción del procedimiento
La descripción en la tabla es la siguiente:
Act. N Responsable
1 Jefe de Informática
2 Comité de Gestión
3 Jefe de Informática
4 Dirección General
5 Jefe de Informática
6 Comisión Evaluadora
Cuadro 3: Poblaciones de ciudades europeas
19
Descripción
Analiza y selecciona las reglas y dere-
chos para ser asignados a cada usuario
y grupo de usuarios. Entrega el docu-
mento de análisis a la Comisión Eva-
luadora.
Elabora una propuesta de polı́ticas de
acceso para cada usuario o grupo de
usuarios basándose en el documento de
análisis entregado por el Jefe de In-
formática. Concluido el trabajo se de-
vuelve al Jefe de Informática.
Verifica y valida la propuesta en con-
cordancia con las normas internas, en
caso de no cumplir con las normas in-
ternas, se devuelve el documento para
la revisión del documento. En caso que
si cumpla, se envı́a el documento a la
Dirección General.
El Gerente general recibe el documen-
to. Previa revisión, emite una resolu-
ción de aprobación y devuelve el docu-
mento para la difusión al Jefe de In-
formática.
Recibe el documento y alcanza a la
Comisión Evaluadora para su difusión
según cronograma de capacitación.
Capacita y firma acta de capacitación
y capacitados.
5.1.2.2. Diagrama de actividades
Las actividades se modelan de la siguiente manera:

Figura 5: Diagrama BPMN del control de Acceso a redes y servicios de red

20
5.1.2.3. Formatos auditables
Los documentos auditables son:

21
Figura 6: Formato auditable para control de Acceso a redes y servicios de red

22
5.2. Gestión de acceso de usuario

5.2.1. Gestión de altas/bajas en el registro de usuarios

Control:
Un proceso formal de altas y bajas de usuarios debe ser implementado para permitir
la asignación de derechos de acceso.
El proceso de gestión de los identificadores de usuario debe incluir:
El uso de identificadores de usuario únicos para que los usuarios puedan estar
vinculados y responsables de sus acciones; el uso de identificaciones compartidas
sólo se permitirá cuando sean necesarias para el negocio y debe ser aprobado y
documentado.
Inmediatamente desactivar o quitar los identificadores de usuario de los usuarios
que han abandonado la organización.
La identificación y eliminación o desactivación del identificadores de usuario re-
dundantes periódicamente.
Asegurarse de que los identificadores de usuario redundantes no se emiten a otros
usuarios.
Las actividades sugeridas para el registro y baja de usuarios son:
Crear nuevas cuentas de usuarios.
Activar cuentas de usuario.
Modificar cuentas de usuario.
Suspender temporalmente las cuentas de usuario.
Las cuentas que ya no son necesarias se eliminan o se bloquean.
No reutilizar los identificadores.

23
5.2.1.1. Descripción del procedimiento
La descripción del procedimiento es la siguiente:

Act. N Responsable Descripción

1 Jefe de Área
2 Jefe de Informática
3 Comisión Encargada
4 Jefe de Informática
5 Jefe de Área
Envı́a un documento solicitando el re-
gistro o la baja de un usuario de su
área. En caso de que sea el registro de
un usuario se adjuntará los datos y res-
ponsabilidades del usuario a registrar.
En caso de ser una baja se adjuntará
un documento con los datos y las razo-
nes de la baja del usuario.
Recibe el documento de solicitud, re-
visa que el documento se apegue a las
polı́ticas de la empresa, en caso encuen-
tra alguna falla esta será devuelta al Je-
fe de Área que lo solicita; caso contrario
esta es derivada a la Comisión Encar-
gada de la baja o subida de usuarios.
Realiza satisfactoriamente la operación
de baja o registro de usuario, realiza
un informe del cumplimento de la ope-
ración satisfactoriamente que será en-
viado al Jefe de Informática.
Comunica a través de un documento al
Jefe de Área que el usuario ya fue dado
de baja o se agregó nuevo usuario.
Recibe documento de satisfacción.

Cuadro 4: Poblaciones de ciudades europeas

24
5.2.1.2. Diagrama de actividades
Las actividades se modelan de la siguiente manera:

Figura 7: Diagrama BPMN del control de Altas y bajas en el registro de usuarios

25
5.2.1.3. Formatos auditables
Los documentos auditables son:

26
Figura 8: Formato auditable para control de Altas y Bajas en el registro de usuarios

27
5.2.2. Gestión de los derechos de acceso asignados a usuarios

Control:
Los propietarios de los activos deben revisar los derechos de acceso asignados a usuarios
a intervalos regulares.
La revisión de los derechos de acceso debe considerar lo siguiente:
Los derechos de acceso de usuario deben ser revisados y asignados nuevamente
cuando se pasa de un rol a otro dentro de la misma organización.
Las autorizaciones de derechos de acceso privilegiados deben revisarse a intervalos
más frecuentes.
Las asignaciones de privilegios deben ser revisados periódicamente para asegurar
que los privilegios no autorizados no se han obtenido.
Cambios en las cuentas privilegiadas deben ser registrados para su revisión pe-
riódica.
Las actividades sugeridas para la revisión de derechos de acceso asignados a usuarios
son:
Disponer de mecanismo(s) de control de los derechos de acceso (privilegios).
Disponer de derechos de acceso para auditar la calidad y exactitud del trabajo
realizado; por parte de los propietarios de los activos.

28
5.2.2.1. Descripción del procedimiento
La descripción del procedimiento es la siguiente:
Act. N Responsable
1 Jefe de Informática
2 Direccion General
3 Jefe de Informática
4 Área de Recursos Humanos
5 Jefe de Informática
6 Comite de Gestión
7 Jefe de Informática
8 Comite de Gestión
9 Jefe de Informática
10 Comite de Gestión
29
Descripción
Envı́a documento solicitando revisión
de los derechos de usuarios a la Direc-
ción General.
Recepciona documento. Previa revi-
sión, emite una resolución que da inicio
a la revisión de derechos de usuarios.
Recepciona resolución y solicita infor-
me que contenga una lista actualizada
de los cargos de todos los empleados al
área de Recursos Humanos (RR.HH.)
Prepara perfiles de los empleados de la
entidad y envı́a el documento al área de
informática.
Recepciona el documento y lo deriva al
Comité de Gestión.
Analiza cada perfil y prepara infor-
me de cambio de derechos de usuario
a aquellos que no están actualizados.
Envı́a el informe al Jefe de Informáti-
ca.
Revisa el informe de cambios, en ca-
so de existir alguna observación esta es
devuelta al Comité de Revisión, caso
contrario emite la orden para seguir el
proceso de reasignación de derechos de
usuario.
Implementa el proceso y cronograma de
reasignación de usuarios.
Revisa el cronograma de no estar de
acuerdo esta es devuelta al Comité de
Gestión, caso contrario se aprueba el
cronograma.
Envı́a cada usuario el cronograma y do-
cumentos de reasignación de sus dere-
chos.
11 Usuario Recibe el cronograma y documento con
la reasignación de sus derechos, si ob-
tiene nuevos derechos de usuario de-
berá recibir capacitación sobre los nue-
vos derechos recibidos y firma actas de
recibir la capacitación.
12 Comite de Gestión Realiza capacitación y elabora informe
del proceso de reasignación de derechos
de usuario. Envı́a informe al Jefe de In-
formática.
13 Jefe de Informática Emite informe sobre el proceso conclui-
do a la dirección general de la entidad.
14 Dirección General Emite resolución directoral de finaliza-
ción del proceso.

Cuadro 5: Poblaciones de ciudades europeas

30
5.2.2.2. Diagrama de actividades
Las actividades se modelan de la siguiente manera:

Figura 9: Diagrama BPMN para la revisión de los derechos de acceso asignados a

usuarios

31
5.2.2.3. Formatos auditables
Los documentos auditables son:

Figura 10: Formato auditable para la revisión de los derechos de acceso asignados a
usuarios

Figura 11: Formato auditable para la revisión de los derechos de acceso asignados a
usuarios

32
Figura 12: Formato auditable para la revisión de los derechos de acceso asignados a
usuarios

Figura 13: Formato auditable para la revisión de los derechos de acceso asignados a
usuarios

33
5.2.3. Gestión de los derechos de acceso con privilegios especiales

5.2.3.1. Control
La asignación y uso de derechos de acceso privilegiado debe ser restringida y controlada.
Los siguientes pasos deben de considerarse:
a) Los derechos de acceso privilegiado asociados con cada sistema o proceso, por
ejemplo, sistema operativo, sistema de gestión de base de datos y cada aplicación
y los usuarios deben ser identificados.
b) Deben mantenerse un proceso de autorización y un registro de todos los privilegios
asignados.
c) Es preciso definir requisitos para la expiración de los derechos de acceso privile-
giado .
d) Las competencias de los usuarios con derechos de acceso privilegiados deben re-
visarse periódicamente con el fin de verificar si están en consonancia con sus
obligaciones.
e) Los procedimientos especı́ficos deben establecerse y mantenerse para evitar el uso
no autorizado de ID de usuario.
f) Para los ID de usuario, la confidencialidad de la información secreta de autenti-
cación debe ser mantenida cuando se comparte (por ejemplo, cambiar las contra-
señas con frecuencia y tan pronto como sea posible cuando un usuario privilegiado
abandona o cambia de empleo, comunicarlos entre los usuarios privilegiados con
mecanismos adecuados).

5.2.3.2. Actividades necesarias

Las actividades sugeridas para la gestión de derechos de acceso privilegiados son:
Crear cuentas especı́ficas para administradores del sistema.
Crear cuentas especı́ficas para administradores de seguridad.
Crear cuentas especı́ficas para actividades de auditorı́a.
Crear cuentas especiales sujetas a procesos especı́ficos de gestión.

5.2.3.3. Descripción del procedimiento

La descripción del procedimiento es la siguiente:

Act. N Responsable Descripción

1 Jefe de Informática Identifica los Sistemas de Información
en la organización y solicita los requeri-
mientos de los Sistemas de Información
correspondiente a cada área.

34
 2 Comité de Gestión
3 Jefe de Informática
4 Comité de gestión
5 Usuario
6 Comité de Gestión
7 Jefe de Informática
5.2.3.4. Diagrama de actividades
35
Identifica tipos de privilegios y cate-
gorı́as de empleados, ası́ mismo diseña
las polı́ticas de control para la asigna-
ción de privilegios. Evalúa polı́ticas y
diseña perfiles de asignación de privile-
gios. Diseña el proceso de autorización
de usuarios.
Revisa perfiles de asignación y analiza
el proceso de autorización, ası́ mismo
evalúa el cumplimiento de los requeri-
mientos, de no cumplirse se volverá a
evaluar polı́ticas y diseñar perfiles, ca-
so contrario se dará la buena pro al Co-
mité de Gestión para continuar con el
proceso.
Implementa y elabora el cronograma
del proceso de autorización.
Recibe documento con las especificacio-
nes de sus privilegios, ası́ mismo recibe
capacitación sobre los privilegios recibi-
dos y firma acta sobre la capacitación
recibida.
Elabora informe del proceso de autori-
zación y lo envı́a al Jefe de Informática.
Recibe el informe y le da el visto bueno.
Figura 14: Diagrama de proceso de negocio para la gestión de derechos de acceso
privilegiados.

5.2.3.5. Formatos Auditables

Los documentos auditables son:

36
37
5.2.4. Gestión de la información confidencial de autenticación de usuarios

5.2.4.1. Control
La asignación de información de autenticación secreta debe ser controlada a través de
un proceso de gestión formal. El proceso debe incluir los siguientes requisitos:
a) Los usuarios deben ser obligados a firmar una declaración para mantener la infor-
mación de autenticación de secreto personal, información de autenticación confi-
dencial y secretos para mantener el grupo (es decir, compartido) únicamente en
los miembros del grupo; esta declaración firmada se puede incluir en los términos
y condiciones de empleo.
b) Cuando los usuarios están obligados a mantener su propia información secreta de
autenticación deben ser previstos inicialmente con información segura temporal
de autenticación, que se verán obligados a cambiar en el primer uso.
c) Se establezca un procedimiento para verificar la identidad de un usuario antes de
proporcionar información de autenticación temporal secreto.
d) La información temporal de autenticación secreta se debe dar a los usuarios de
una manera segura; el uso de las partes externas (texto sin cifrar) o los mensajes
de correo electrónico sin protección se debe evitar.
e) La información de autenticación secreta temporal debe ser única para un indivi-
duo y no debe ser fácil de adivinar.
f) Por defecto la información secreta de autenticación debe ser alterada después de
la instalación de los sistemas o software.

5.2.4.2. Actividades necesarias

Las actividades sugeridas para la gestión de información de autenticación secreta de
usuarios son:
Crear un proceso de gestión formal para controlar la asignación de información
de autenticación secreta de usuarios.
Notificar a los usuarios acerca de su autenticación secreta.

5.2.4.3. Descripción del procedimiento

La descripción del procedimiento es la siguiente:

Act. N Responsable Descripción

1 Jefe de Informática Envı́a un documento con los usuarios
nuevos a la Comisión Encargada.

38
 2 Comisión Encargada
3 Jefe de Informática
4 Comisión Encargada
5 Usuario
6 Comisión Encargada
5.2.4.4. Diagrama de actividades
39
Recibe el documento y para cada nuevo
usuario del sistema crea una contraseña
temporal. Elabora un acta de compro-
miso para mantener en secreto sus con-
traseñas personales, cambios tempora-
les a las contraseñas, seguridad de con-
traseñas, entre otras polı́ticas que de-
ben tomarse en cuenta. Envı́a los docu-
mentos al Jefe de Informática.
Revisa el acta de compromiso y si está
de acuerdo a las polı́ticas le da el vis-
to bueno, firmando y enviando a la co-
misión encargada de registrar usuarios
para la entrega respectiva a los nuevos
usuarios en caso contrario será devuelta
para su corrección.
Lleva a cada usuario un acta de com-
promiso y su respectiva contraseña
temporal.
Firmar el acta de compromiso y devol-
verlo al personal encargado de registrar
usuarios.
Recibe Documento y lo guarda.
Figura 15: Diagrama de proceso de negocio para la gestión de información de autenti-
cación secreta de usuarios.

5.2.4.5. Formatos auditables

40
41
5.2.5. Revisión de los derechos de acceso de los usuarios

5.2.5.1. Control

Los propietarios de los activos deben revisar los derechos de acceso de usuario a inter-
valos regulares. La revisión de los derechos de acceso debe considerar lo siguiente:
a) Los derechos de acceso de los usuarios deben ser revisados a intervalos regulares
y después de cualquier cambio, como la promoción, degradación o la terminación
del empleo.
b) Los derechos de acceso de usuario deben ser revisados y asignados nuevamente
cuando se pasa de un rol a otro dentro de la misma organización.
c) Las autorizaciones de derechos de acceso privilegiados deben revisarse a intervalos
más frecuentes.
d) Las asignaciones de privilegios deben ser revisados periódicamente para asegurar
que los privilegios no autorizados no se han obtenido.
e) Cambios en las cuentas privilegiadas deben ser registrados para su revisión pe-
riódica.

5.2.5.2. Actividades necesarias

Disponer de mecanismo(s) de control de los derechos de acceso (privilegios).

Disponer de derechos de acceso para auditar la calidad y exactitud del trabajo
realizado; por parte de los propietarios de los activos.

5.2.5.3. Descripción del procedimiento

La descripción del procedimiento es la siguiente:
Tabla 7: Procedimiento para la revisión de derechos de acceso de usuarios.

Act. N Responsable Descripción

1 Jefe de Informática Solicita creación y revisión a las polı́ti-
cas para el uso seguro de información
de autentificación secreta a la Dirección
General.

2 Dirección General Aprueba la solicitud y emite resolución

para autorizar el proceso.

3 Jefe de Informática Autoriza a la Comisión de Gestión ini-

ciar el proceso.

42
4 Comité de gestión Elabora cronograma de actividades pa-
ra el proceso y envı́a el documento al
Jefe de Informática.

5 Jefe de Informática Previa revisión, aprueba el cronograma

y da el visto bueno para el inicio de las
actividades del cronograma

6 Comité de Gestión Elabora las polı́ticas de manejo, control

y selección de información de autentifi-
cación secreta.

7 Jefe de Informática Recibe las polı́ticas, revisa estas pa-

ra corroborar que están de acuerdo a
las polı́ticas de entidad, de no estar de
acuerdo a la normatividad esta es de-
vuelta a la Comisión de Gestión, caso
contrario el proceso es derivado a la di-
rección general para su aprobación.

8 Dirección General Previa revisión aprueba las polı́ticas y

emite resolución de aprobación.

9 Jefe de Informática Recibe la resolución y autoriza al Co-

mité de Gestión implementar las polı́ti-
cas.

10 Comité de Gestión Implementa las polı́ticas de acuerdo

al cronograma establecido. Implemen-
ta métodos de validación del uso de in-
formación de autentificación secreta en
los diferentes Sistemas de Información.
Elabora documento con las reglas de
vialidad de acuerdo a las polı́ticas es-
tablecidas. Realiza acciones a los usua-
rios.

11 Usuario Asiste a las charlas informativas para

el manejo seguro de la información de
autenticación secreta. Firma documen-
to de aceptación de polı́ticas luego de
la capacitación.

43
 12 Comité de Gestión Elabora informe del proceso y lo envı́a
al Jefe de Informática.

13 Jefe de Informática Previa revisión envı́a el documento a la

Dirección General.

14 Dirección General Emite resolución de finalización del

proceso.

5.2.5.4. Diagrama de actividades

Las actividades se pueden modelar de la siguiente manera;

Figura 16: Diagrama de actividades

5.2.5.5. Formatos Auditables

Los documentos auditables son:

44
45
46
5.3. Responsabilidades del usuario

Objetivo: Hacer que los usuarios respondan por la salvaguarda de su información de

autenticación.

5.3.1. Uso de información confidencial para la autenticación

5.3.1.1. Control
Los usuarios deben ser exigidos a que sigan las prácticas de la organización en el uso
de información de autenticación secreta. Todos los usuarios deben ser advertidos de:
a) Mantener la información secreta de autenticación confidencial, asegurando que
no sea divulgada a ninguna otra parte, incluidas las personas de autoridad.
b) Evitar que se registren accesos de autenticación secreta en medios visibles (por
ejemplo, en papel, archivo de software o un dispositivo de mano), a menos que
esto se pueda almacenar de forma segura y el método de almacenamiento haya
sido aprobado (por ejemplo, Caja fuerte de contraseñas).
c) Cambiar la información secreta de autenticación cuando se produzca algún indicio
de su posible compromiso.
d) Cuando las contraseñas se utilizan como información de autenticación secreta,
crear contraseñas de calidad seleccionados con suficiente longitud mı́nima que se
encuentren:
1) Fáciles de recordar.
2) No se base en nada a otra persona, lo que podrı́a fácilmente adivinar u obte-
ner utilizando información relacionado a la persona, por ejemplo, nombres,
números de teléfono y fechas de nacimiento, etc.
3) No sea vulnerable a los ataques de diccionario (es decir, que no consistan
de palabras incluidas en los diccionarios).
4) Sin caracteres consecutivos idénticos, todos numéricos o todos alfabéticos.
5) Si es temporal, cambiarlo en el primer inicio de sesión.
e) No compartir la información de autenticación secreta del usuario individual.
f) Garantizar una adecuada protección de las contraseñas cuando las contraseñas
se utilizan como autenticación secreta, en los procedimientos de registro o login
automatizadas.
g) No use la misma información secreta de autenticación para fines comerciales y no
comerciales.

5.3.1.2. Actividades necesarias

Las actividades sugeridas para el uso de información de autenticación secreta son:

47
 Comprometer a los usuarios al cumplimiento de las polı́ticas de seguridad en el
uso de la información de autenticación secreta.
Asegurar la autenticación confidencial, bajo compromiso y firma en documento.

5.3.1.3. Descripción del procedimiento

La descripción del procedimiento es la siguiente:
Tabla 8: Procedimiento para el uso de información de autenticación secreta.

Act. N Responsable Descripción

1 Jefe de Informática Solicita creación y revisión a las polı́ti-
cas para el uso seguro de información
de autentificación secreta a la Dirección
General.

2 Dirección General Aprueba la solicitud y emite resolución

para autorizar el proceso.

3 Jefe de Informática Autoriza a la Comisión de Gestión ini-

ciar el proceso.

4 Comité de gestión Elabora cronograma de actividades pa-

ra el proceso y envı́a el documento al
Jefe de Informática.

5 Jefe de Informática Previa revisión, aprueba el cronograma

y da el visto bueno para el inicio de las
actividades del cronograma

6 Comité de Gestión Elabora las polı́ticas de manejo, control

y selección de información de autentifi-
cación secreta.

7 Jefe de Informática Recibe las polı́ticas, revisa estas pa-

ra corroborar que están de acuerdo a
las polı́ticas de entidad, de no estar de
acuerdo a la normatividad esta es de-
vuelta a la Comisión de Gestión, caso
contrario el proceso es derivado a la di-
rección general para su aprobación.

8 Dirección General Previa revisión aprueba las polı́ticas y

emite resolución de aprobación.

48
9 Jefe de Informática Recibe la resolución y autoriza al Co-
mité de Gestión implementar las polı́ti-
cas.

10 Comité de Gestión Implementa las polı́ticas de acuerdo

al cronograma establecido. Implemen-
ta métodos de validación del uso de in-
formación de autentificación secreta en
los diferentes Sistemas de Información.
Elabora documento con las reglas de
vialidad de acuerdo a las polı́ticas es-
tablecidas. Realiza acciones a los usua-
rios.

11 Usuario Asiste a las charlas informativas para

el manejo seguro de la información de
autenticación secreta. Firma documen-
to de aceptación de polı́ticas luego de
la capacitación.

12 Comité de Gestión Elabora informe del proceso y lo envı́a

al Jefe de Informática.

13 Jefe de Informática Previa revisión envı́a el documento a la

Dirección General.

14 Dirección General Emite resolución de finalización del

proceso.

49
5.4. Control de acceso a sistemas y aplicaciones

Objetivo:
Prevenir el acceso no autorizado a los sistemas y aplicaciones.
Se debe usar las facilidades de seguridad lógica dentro de los sistemas de aplicación
para restringir el acceso, también se debe restringir el acceso lógico a los sistemas sólo
a los usuarios autorizados.

5.4.1. Restricción de acceso a la información

5.4.1.1. Control
El acceso a la información y a las funciones del sistema de aplicación debe ser restringido
en concordancia con la polı́tica de control de acceso.
Las restricciones de acceso deben basarse en las necesidades individuales de aplicaciones
de negocio y de acuerdo con la polı́tica de control de acceso definido.
Lo siguiente debe ser considerado con el fin de apoyar los requisitos de restricción de
acceso:
a) Proporcionar menús para controlar el acceso a las funciones del sistema de apli-
cación.
b) Controlar qué datos pueden ser accedidos por un usuario en particular.
c) Controlar los derechos de acceso de los usuarios, por ejemplo, leer, escribir, borrar
y ejecutar.
d) Controlar de los derechos de acceso de otras aplicaciones. e) La limitación de la
información contenida en los productos.
e) Proporcionar controles de acceso fı́sicos o lógicos para el aislamiento de las apli-
caciones sensibles, datos o sistemas.

5.4.1.2. Actividades necesarias Las actividades sugeridas para la restricción de

acceso a la información son:
Solicitar autorización previa.
No acceder a la información sin una verificación previa de los derechos de acceso.
Establecer menús especı́ficos para controlar los accesos a las funciones de las
aplicaciones.
Controlar los privilegios de los usuarios (lectura, escritura, modificación, borrado,
ejecución).

50
5.4.1.3. Descripción del procedimiento La descripción del procedimiento es la
siguiente:
Tabla 9: Procedimiento para la restricción de acceso a la información
Act. N Responsable
1 Jefe de Informática
2 Dirección General
3 Jefe de Informática
4 Comité de gestión
5 Jefe de Informática
6 Dirección General
7 Jefe de Informática
51
Descripción
Solicita a la Dirección General la apro-
bación para
iniciar el proceso de revisión de los re-
querimientos de los módulos de los di-
ferentes Sistemas de Información se en-
cuentren en concordancia con las polı́ti-
cas de control de acceso.
Previa revisión aprueba la solicitud a
través de una resolución.
Reenvı́a una copia de la resolución al
Comité de Gestión y autoriza el inicio
del proceso
Revisa la documentación de los Siste-
mas de Información y verifica que los
usuarios tengan acceso a la información
concorde a los requerimientos de estos
y a las polı́ticas de control de acceso
de la entidad. Emite un informe al Jefe
de Informática con la observación del
caso solicitando la modificación de los
módulos que no cumplan con las polı́ti-
cas de control de acceso.
Revisa el documento y de existir módu-
los que no cumplan con las polı́ticas de
control de acceso pone en conocimiento
a la dirección general los módulos que
requieren modificación.
Previa revisión aprueba modificaciones
de módulos y/o usuarios.
Ordena la modificación de los módulos
si se tiene código fuente, caso contrario
se contrata outsourcing.
5.4.2. Control de acceso al código fuente de los programas

5.4.2.1. Control
El acceso al código fuente de los programas debe ser restringido.

5.4.2.2. Descripcion del procedimiento La descripción del procedimiento es la

siguiente:
Tabla 10: Procedimiento para acceso al codigo fuente del programa

Act. N Responsable Descripción

1 Jefe de Informática Solicita revisión de código fuente a la
Dirección General.

2 Dirección General Aprueba revisión emitiendo resolución.

3 Jefe de Informática Recepción resolución y ordena la revi-

sión.

4 Comisión de Revisión Inicia el proceso revisando que los usua-

rios que tienen acceso al código fuente
estén apegados a las polı́ticas de con-
trol de acceso, ası́ mismo verificar que
estos usuarios sigan siendo parte de la
entidad. Revisar el registro de todos a
los accesos a las librerı́as a los progra-
mas fuente. Realizar informe con todas
las observaciones.

5 Jefe de Informática : Recepciona el informe y lo pone en

conocimiento de la Dirección General.

6 6. Dirección General Previa revisión en caso de que el in-

forme contenga observaciones negativas
solicitar una auditorı́a caso contrario
emite resolución con la finalización del
proceso satisfactoriamente.

52
5.4.2.3. Diagrama de actividades
Las actividades se pueden modelar de la siguiente manera;

Figura 17: Diagrama de actividades

5.4.2.4. Formatos Auditables

Los documentos auditables son:

53
54
6. Conclusiones

55
7. Recomendaciones

56
Referencias

57