Академический Документы
Профессиональный Документы
Культура Документы
Cusco
Docente:
Mgt. Emilio Palomino Olivera
Alumnos: Codigo:
Aguilar Rojas Luis Angel 144985
Alanya Pantoja, José Antonio 144997
Andia Colque, Jerson Osmar 120275
Cano Florez, Felix Manuel 141152
Gonzalez Saldaña, Yulissa Daniela 140994
Larico Rodrigo, Eder Paul 103644
Mora Quispe, Luis Angel 101663
Quispe Molina, Dennis Pedro 114149
Yabar Aguilar, Aron 141012
25 de enero de 2019
Cusco - Perú
1. Presentación
1
2. Introducción
2
Índice
1. Presentación 1
2. Introducción 2
3. Aspectos Generales 4
3.1. Descripción del problema . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.2. Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.2.1. Objetivo General . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.2.2. Objetivos Especı́ficos . . . . . . . . . . . . . . . . . . . . . . . . 4
3.3. Justificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3.4. Limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.5. Delimitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.6. Metodologı́a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
4. Marco Teórico 7
4.1. Sistema de gestión de la seguridad de la información . . . . . . . . . . . 7
4.2. International Organization for Standardization (ISO) . . . . . . . . . . 8
4.3. International Electrotechnical Commission (IEC) . . . . . . . . . . . . 8
4.4. Norma ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.5. ISO/IEC 27001, sistema de gestión de seguridad de la información –
Requerimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.6. Dominio 9: Control de Acceso . . . . . . . . . . . . . . . . . . . . . . . 11
6. Conclusiones 55
7. Recomendaciones 56
3
3. Aspectos Generales
Los sistemas de información de las organizaciones se enfrentan dı́a a dı́a con riesgos e
inseguridades que se enfocan en explotar vulnerabilidades de sus activos de informa-
ción poniendo en riesgo su continuidad de negocio. Los procesos que manejan datos,
los sistemas y las redes son activos importantes de la organización por lo que es im-
portante definir, realizar, mantener y mejorar la seguridad de la información, para que
puedan alcanzar sus objetivos de negocio. Ası́ como se ha convertido en una actividad
importante dentro de las organizaciones, la seguridad de la información también ha
suscitado muchos dolores de cabeza a los responsables en poner en acción una eficiente
gestión de esta actividad
3.2. Objetivos
3.3. Justificación
4
organizacional de gestión de la información que permita el alineamiento de TI con
la estrategia de negocios de las organizaciones, el logro de beneficios, la reducción de
costos, el control de riesgos y en general la mejora de las operaciones de TI en las
organizaciones. Ya que, si bien existe una comprensión de que los riesgos
de TI en una organización son importantes y necesitan ser considerados; la evaluación
del riesgo es aún inmadura y está en desarrollo. Además, las responsabilidades por la
seguridad de la información son asignadas a un director de TI, pero muchas veces sin
autoridad gerencial.
Finalmente, la implementación de actividades y formatos para los controles de acceso
permitirá ordenar las funciones de la dirección de TI amparada en la norma, para
que puedan ser utilizados como información de apoyo a la mejora de la gestión de las
polı́ticas de acceso de información de las entidades integrantes del Sistema Nacional de
Informática del Sector Público.
3.4. Limitaciones
Acceso limitado a la información de las entidades públicas del estado para la posterior
identificación de riesgos de cada subproceso. Falta de disponibilidad de tiempo por
parte de personas encargadas de la dirección de TI de las instituciones públicas para
concretar reuniones y desarrollo de consultas. Falta de guı́as de implementación para
desarrollar las actividades de control en una entidad pública del estado.
3.5. Delimitaciones
3.6. Metodologı́a
5
Verificar y Actuar” (PHVA), que se aplica para estructurar los procesos del SGSI en
correspondencia con la NTP-ISO-IEC 27001. Ilustración 1: Modelo PHVA aplicado
a los procesos del SGSI Planificar (Establecer el SCSI) Establecer las polı́ticas, los
objetivos, procesos y procedimientos de seguridad necesarios para gestionar el riesgo
y mejorar la seguridad informática, con el fin de entregar resultados acordes con las
polı́ticas y objetivos globales de la organización. Hacer (Implementar y operar el SC-
SI) Tiene como objetivo fundamental garantizar una adecuada implementación de los
controles seleccionados y la correcta aplicación de los mismos. Verificar (Revisar y dar
seguimiento al SGSI) Evaluar y, en donde sea aplicable, verificar el Desempeño de los
procesos contra la polı́tica y los objetivos de seguridad y la experiencia práctica, y
reportar los resultados a la dirección, para su revisión. Actuar (Mantener y mejorar
el SCSI) Emprender acciones correctivas y preventivas basadas en los resultados de la
verificación y la revisión por la dirección, para lograr la mejora continua del SCSI.
6
4. Marco Teórico
7
Documentos de Nivel 1
Manual de seguridad: por analogı́a con el manual de calidad, aunque el término
se usa también en otros ámbitos. Serı́a el documento que inspira y dirige todo el
sistema, el que expone y determina las intenciones, alcance, objetivos, responsa-
bilidades, polı́ticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen
de forma eficaz la planificación, operación y control de los procesos de seguridad
de la información.
Documentos de Nivel 3
Instrucciones, checklists y formularios: documentos que describen cómo se rea-
lizan las tareas y las actividades especı́ficas relacionadas con la seguridad de la
información.
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento
de los requisitos del SGSI; están asociados a documentos de los otros tres niveles
como output que demuestra que se ha cumplido lo indicado en los mismos.
Actualmente, ISO cuenta con miembros de 162 paı́ses, pero en sus inicios, en 1946,
eran 65 delegados de 25 paı́ses los que trabajaron para diseñar y debatir el futuro
de la Normalización Internacional. El año de su fundación, ISO, empezó su trabajo
con 67 comités técnicos. Los comités técnicos son grupos de expertos que trabajan en
un tema especı́fico y desarrollan la normalización de esa cuestión. Es evidente el gran
crecimiento y expansión de ISO y de la normalización a lo largo de los años.
La IEC es una de tres organizaciones hermanas internacionales (IEC, ISO, ITU) que
desarrollan Normas Internacionales a nivel mundial. Cuando corresponde, la IEC coope-
ra con la Organización Internacional de Normalización (ISO) o la Unión Internacional
de Telecomunicaciones (ITU) para garantizar que las Normas Internacionales se ade-
cuen perfectamente y se complementen entre sı́. Los comités conjuntos garantizan que
las Normas Internacionales combinan todo el conocimiento pertinente de los expertos
que trabajan en áreas relacionadas.
8
4.4. Norma ISO/IEC 27000
9
ISO / IEC TR 27015, Pautas de gestión de seguridad de la información para
servicios financieros.
ISO / IEC TR 27016, Gestión de la seguridad de la información - Economı́a
organizacional.
Alcance:
Esta norma internacional especifica los requisitos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar los sistemas de gestión de seguridad de la in-
formación (SGSI) formalizados en el contexto de los riesgos comerciales generales de la
organización. Especifica los requisitos para la implementación de controles de seguridad
de la información personalizados para las necesidades de organizaciones individuales
o partes de las mismas. Esta norma internacional puede ser utilizada por todas las
organizaciones, independientemente de su tipo, tamaño y naturaleza.
Propósito:
ISO / IEC 27001 proporciona requisitos normativos para el desarrollo y la operación
de un SGSI, incluido un conjunto de controles para el control y la mitigación de los
10
riesgos asociados con los activos de información que la organización busca proteger al
operar su SGSI. Las organizaciones que operan un SGSI pueden tener su conformidad
auditada y certificada. Los objetivos de control y los controles del Anexo A (ISO / IEC
27001) se seleccionarán como parte de este proceso SGSI según corresponda para cubrir
los requisitos identificados. Los objetivos de control y los controles enumerados en la
Tabla A.1 (ISO / IEC 27001) se derivan y se alinean directamente con los enumerados
en ISO / IEC 27002, Cláusulas 5 a 18.
Esta Norma Técnica Peruana especifica los requisitos para establecer, implementar,
mantener y mejorar continuamente un sistema de gestión de seguridad de la informa-
ción dentro del contexto de la organización. Esta Norma Técnica Peruana también
incluye requisitos para la evaluación y tratamiento de los riesgos de seguridad de la
información orientados a las necesidades de la organización. Los requisitos establecidos
en esta Norma Técnica Peruana son genéricos y están hechos para aplicarse a todas
las organizaciones, sin importar su tipo, tamaño o naturaleza. Excluir cualquiera de los
requisitos especificados en las Cláusulas 4 a 10 no es aceptable cuando una organización
declara conformidad con esta Norma Técnica Peruana.
Objetivo:
El objetivo del presente dominio es controlar el acceso por medio de un sistema de
restricciones y excepciones a la información como base de todo sistema de seguridad
informática.
Para impedir el acceso no autorizado a los sistemas de información se deberı́an imple-
mentar procedimientos formales para controlar la asignación de derechos de acceso a los
sistemas de información, bases de datos y servicios de información, y estos deben estar
claramente documentados, comunicados y controlados en cuanto a su cumplimiento.
Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de
los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la
privación final de derechos de los usuarios que ya no requieren el acceso.
La cooperación de los usuarios es esencial para la eficacia de la seguridad, por lo tanto
es necesario concientizar a los mismos acerca de sus responsabilidades por el manteni-
miento de controles de acceso eficaces, en particular aquellos relacionados con el uso
de contraseñas y la seguridad del equipamiento.
11
A.9 Control de acceso
A.9.1 Requisitos de la empre-
sa para el control de ac-
ceso
Objetivo: Limitar el acceso a la infor-
mación y a las instalaciones
de procesamiento de la in-
formación.
A.9.1.1 Polı́tica de control de acceso Control: Una polı́tica de control de ac-
ceso debe ser establecida, documentada
y revisada basada en requisitos del ne-
gocio y de seguridad de la información.
A.9.1.2 Acceso a redes y servicios de Control: Los usuarios deben tener ac-
red ceso solamente a la red y a servicios de
red que hayan sido especı́ficamente au-
torizados a usar.
A.9.2 Gestión de acceso de
usuario
Objetivo: Asegurar el acceso de usua-
rios autorizados y prevenir
el acceso no autorizado a los
sistemas y servicios.
A.9.2.l Registro y baja de usuarios Control: Un proceso formal de registro
y baja de usuarios debe ser implemen-
tado para permitir la asismación de de-
rechos de acceso.
A.9.2.2 Aprovisionamiento de acce- Control: Un proceso formal de aprovi-
so a usuario sionamiento de acceso a usuarios debe
ser implementado para asignar o revo-
car los derechos de acceso para todos
los tipos de usuarios a todos los siste-
mas y servicios.
A.9.2.3 Gestión de derechos de ac- Control:
ceso privilegiados
A.9.2.4 Gestión de información de Control: La asignación de información
autentificación secreta de de autentificación secreta debe ser con-
usuarios trolada a traves de un proceso de ges-
tion formal.
A.9 .2.5 Revisión de derechos de ac- Control: Los propietarios de los activos
ceso de usuarios deben revisar los derechos de acceso de
usuario a intervalos regulares .
12
A.9 .2.6 Remoción o ajuste de dere- Control: Los derechos de acceso a infor-
chois de acceso mación e instalaciones de procesamien-
tos de información de todos los emplea-
dos y de los usuarios de partes exter-
nas deben removerse al término de su
empleo, contrato o acuerdo, o ajustarse
según el cambio.
A.9.3 Responsabilidades de
los usuarios
Objetivo: Hacer que los usuarios res-
. pondan por la salvaguarda
de su información de auten-
tificación
A.9.3.l Uso de información de au- Control: Los usuarios deben ser exigi-
tentificacion secreta dos a que sigan las prácticas de la or-
ganización en el uso de información de
autentificación secreta.
A.9.4 Control de acceso a sis-
tema y aplicación
Objetivo: Prevenir el acceso no auto-
rizado a los sistemas y apli-
caciones.
A.9.4 .l Restricción de acceso a la Control: El acceso a la información y
información a las funciones del sistema de aplica-
ción debe ser restringido en concordan-
cia con la polı́tica de control de acceso.
A.9.4 .2 Procedimientos de ingreso Control: Donde la polı́tica de control
seguro de acceso lo requiera, el acceso a los
sistemas y a las aplicaciones debe ser
controlado por un procedimiento de in-
greso seguro.
A.9.4 .3 Sistema de gestión de con- Control: Los sistemas de gestión de
traseńas contraseńas deben ser interactivos y de-
ben asegurar contraseńas de calidad.
A.9.4.4 Uso de programas utilitarios Control: El uso de programas utilita-
privilegiados rios que podrı́an ser capaces de pasar
por alto los controles del sistema y de
las aplicaciones debe ser restringido y
controlarse estrictamente.
A.9.4 .5 Control de acceso al código Control: El acceso al código fuente de
fuente de los programas los programas debe ser restringido.
13
5. Desarrollo del proyecto
Polı́tica:
Una polı́tica de control de acceso es aquella que debe ser establecida, documentada
y revisada basada en requisitos del negocio e de seguridad de la información. Los
propietarios de activos deben determinar las reglas de control de acceso apropiadas,
derechos de acceso y restricciones para roles de usuario especı́ficas para con sus activos,
con el nivel de detalle y el rigor de los controles reflejando los riesgos de seguridad de
la información asociada.
Los controles de acceso son a la vez lógicos y fı́sicos y estos deben ser considerados en
conjunto. Los usuarios y los proveedores de servicios deben tener una declaración clara
de los requerimientos del negocio que deben cumplir por los controles de acceso. La
polı́tica debe tener en cuenta lo siguiente:
Los requisitos de seguridad de las aplicaciones de negocio.
Las polı́ticas para la difusión de información y autorización, por ejemplo, el prin-
cipio de necesidad de conocer y los niveles de seguridad de información y clasifi-
cación de la información.
La coherencia entre los derechos de acceso y polı́ticas de clasificación de la infor-
mación de los sistemas y redes.
La legislación pertinente y las obligaciones contractuales relativas a la limitación
de acceso a los datos o servicios.
La gestión de los derechos de acceso en un entorno distribuido y en red que
reconoce todo tipo de conexiones disponibles.
La segregación de las funciones de control de acceso, por ejemplo, solicitud de
acceso, autorización de acceso, administración de acceso.
Los requisitos para la autorización formal de las solicitudes de acceso.
Eliminación de los derechos de acceso.
El archivo de los expedientes de todos los acontecimientos importantes en relación
con el uso y la gestión de identidades de usuario y la información secreta de
autenticación.
Los roles con acceso privilegiado.
14
Act. N Responsable Descripción
1 Jefe de Informática Analiza y selecciona las reglas y dere-
chos para ser asignados a cada usuario
y grupo de usuarios. Entrega el docu-
mento de análisis a la Comisión Eva-
luadora.
2 Comité de Gestión Elabora una propuesta de polı́ticas de
acceso para cada usuario o grupo de
usuarios basándose en el documento de
análisis entregado por el Jefe de In-
formática. Concluido el trabajo se de-
vuelve al Jefe de Informática.
3 Jefe de Informática Verifica y valida la propuesta en con-
cordancia con las normas internas, en
caso de no cumplir con las normas in-
ternas, se devuelve el documento para
la revisión del documento. En caso que
si cumpla, se envı́a el documento a la
Dirección General.
4 Dirección General El Gerente general recibe el documen-
to. Previa revisión, emite una resolu-
ción de aprobación y devuelve el docu-
mento para la difusión al Jefe de In-
formática.
5 Jefe de Informática Recibe el documento y alcanza a la
Comisión Evaluadora para su difusión
según cronograma de capacitación.
6 Comisión Evaluadora Entrega a cada usuario de la organiza-
ción las polı́ticas de control de acceso,
haciendo firmar en acta la entrega a ca-
da usuario.
15
5.1.1.1. Diagrama de actividades
16
5.1.1.2. Formatos audı́tales
17
5.1.2. Control de acceso a las redes y servicios asociados
Control:
Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido
especı́ficamente autorizados a usar.
Una polı́tica debe formularse en relación con el uso de redes y servicios de red. Esta
polı́tica debe cubrir:
Las redes y los servicios de red que están autorizados a acceder.
Los procedimientos de autorización para determinar quién puede acceder a qué
redes y servicios en red.
Los controles y procedimientos para proteger el acceso a las conexiones de red y
servicios de red de gestión.
Los medios utilizados para acceder a las redes y servicios de red.
Los requisitos de autenticación de usuario para acceder a varios servicios de red.
El seguimiento de la utilización de los servicios de red.
La polı́tica sobre el uso de servicios de red debe ser compatible con la polı́tica de control
de acceso de la organización.
Las actividades sugeridas para el acceso a redes y servicios de red son:
Establecer polı́ticas de uso de los servicios de red.
Crear autenticaciones para conexiones externas.
Realizar identificación de equipos en la red. Proteger puertos de diagnóstico
remoto y configuración.
Segregar las redes de interconexión dentro de la organización.
Controlar la conexión a las redes.
18
5.1.2.1. Descripción del procedimiento
La descripción en la tabla es la siguiente:
19
5.1.2.2. Diagrama de actividades
Las actividades se modelan de la siguiente manera:
20
5.1.2.3. Formatos auditables
Los documentos auditables son:
21
Figura 6: Formato auditable para control de Acceso a redes y servicios de red
22
5.2. Gestión de acceso de usuario
Control:
Un proceso formal de altas y bajas de usuarios debe ser implementado para permitir
la asignación de derechos de acceso.
El proceso de gestión de los identificadores de usuario debe incluir:
El uso de identificadores de usuario únicos para que los usuarios puedan estar
vinculados y responsables de sus acciones; el uso de identificaciones compartidas
sólo se permitirá cuando sean necesarias para el negocio y debe ser aprobado y
documentado.
Inmediatamente desactivar o quitar los identificadores de usuario de los usuarios
que han abandonado la organización.
La identificación y eliminación o desactivación del identificadores de usuario re-
dundantes periódicamente.
Asegurarse de que los identificadores de usuario redundantes no se emiten a otros
usuarios.
Las actividades sugeridas para el registro y baja de usuarios son:
Crear nuevas cuentas de usuarios.
Activar cuentas de usuario.
Modificar cuentas de usuario.
Suspender temporalmente las cuentas de usuario.
Las cuentas que ya no son necesarias se eliminan o se bloquean.
No reutilizar los identificadores.
23
5.2.1.1. Descripción del procedimiento
La descripción del procedimiento es la siguiente:
24
5.2.1.2. Diagrama de actividades
Las actividades se modelan de la siguiente manera:
25
5.2.1.3. Formatos auditables
Los documentos auditables son:
26
Figura 8: Formato auditable para control de Altas y Bajas en el registro de usuarios
27
5.2.2. Gestión de los derechos de acceso asignados a usuarios
Control:
Los propietarios de los activos deben revisar los derechos de acceso asignados a usuarios
a intervalos regulares.
La revisión de los derechos de acceso debe considerar lo siguiente:
Los derechos de acceso de usuario deben ser revisados y asignados nuevamente
cuando se pasa de un rol a otro dentro de la misma organización.
Las autorizaciones de derechos de acceso privilegiados deben revisarse a intervalos
más frecuentes.
Las asignaciones de privilegios deben ser revisados periódicamente para asegurar
que los privilegios no autorizados no se han obtenido.
Cambios en las cuentas privilegiadas deben ser registrados para su revisión pe-
riódica.
Las actividades sugeridas para la revisión de derechos de acceso asignados a usuarios
son:
Disponer de mecanismo(s) de control de los derechos de acceso (privilegios).
Disponer de derechos de acceso para auditar la calidad y exactitud del trabajo
realizado; por parte de los propietarios de los activos.
28
5.2.2.1. Descripción del procedimiento
La descripción del procedimiento es la siguiente:
29
11 Usuario Recibe el cronograma y documento con
la reasignación de sus derechos, si ob-
tiene nuevos derechos de usuario de-
berá recibir capacitación sobre los nue-
vos derechos recibidos y firma actas de
recibir la capacitación.
12 Comite de Gestión Realiza capacitación y elabora informe
del proceso de reasignación de derechos
de usuario. Envı́a informe al Jefe de In-
formática.
13 Jefe de Informática Emite informe sobre el proceso conclui-
do a la dirección general de la entidad.
14 Dirección General Emite resolución directoral de finaliza-
ción del proceso.
30
5.2.2.2. Diagrama de actividades
Las actividades se modelan de la siguiente manera:
31
5.2.2.3. Formatos auditables
Los documentos auditables son:
Figura 10: Formato auditable para la revisión de los derechos de acceso asignados a
usuarios
Figura 11: Formato auditable para la revisión de los derechos de acceso asignados a
usuarios
32
Figura 12: Formato auditable para la revisión de los derechos de acceso asignados a
usuarios
Figura 13: Formato auditable para la revisión de los derechos de acceso asignados a
usuarios
33
5.2.3. Gestión de los derechos de acceso con privilegios especiales
5.2.3.1. Control
La asignación y uso de derechos de acceso privilegiado debe ser restringida y controlada.
Los siguientes pasos deben de considerarse:
a) Los derechos de acceso privilegiado asociados con cada sistema o proceso, por
ejemplo, sistema operativo, sistema de gestión de base de datos y cada aplicación
y los usuarios deben ser identificados.
b) Deben mantenerse un proceso de autorización y un registro de todos los privilegios
asignados.
c) Es preciso definir requisitos para la expiración de los derechos de acceso privile-
giado .
d) Las competencias de los usuarios con derechos de acceso privilegiados deben re-
visarse periódicamente con el fin de verificar si están en consonancia con sus
obligaciones.
e) Los procedimientos especı́ficos deben establecerse y mantenerse para evitar el uso
no autorizado de ID de usuario.
f) Para los ID de usuario, la confidencialidad de la información secreta de autenti-
cación debe ser mantenida cuando se comparte (por ejemplo, cambiar las contra-
señas con frecuencia y tan pronto como sea posible cuando un usuario privilegiado
abandona o cambia de empleo, comunicarlos entre los usuarios privilegiados con
mecanismos adecuados).
34
2 Comité de Gestión Identifica tipos de privilegios y cate-
gorı́as de empleados, ası́ mismo diseña
las polı́ticas de control para la asigna-
ción de privilegios. Evalúa polı́ticas y
diseña perfiles de asignación de privile-
gios. Diseña el proceso de autorización
de usuarios.
3 Jefe de Informática Revisa perfiles de asignación y analiza
el proceso de autorización, ası́ mismo
evalúa el cumplimiento de los requeri-
mientos, de no cumplirse se volverá a
evaluar polı́ticas y diseñar perfiles, ca-
so contrario se dará la buena pro al Co-
mité de Gestión para continuar con el
proceso.
4 Comité de gestión Implementa y elabora el cronograma
del proceso de autorización.
5 Usuario Recibe documento con las especificacio-
nes de sus privilegios, ası́ mismo recibe
capacitación sobre los privilegios recibi-
dos y firma acta sobre la capacitación
recibida.
6 Comité de Gestión Elabora informe del proceso de autori-
zación y lo envı́a al Jefe de Informática.
7 Jefe de Informática Recibe el informe y le da el visto bueno.
35
Figura 14: Diagrama de proceso de negocio para la gestión de derechos de acceso
privilegiados.
36
37
5.2.4. Gestión de la información confidencial de autenticación de usuarios
5.2.4.1. Control
La asignación de información de autenticación secreta debe ser controlada a través de
un proceso de gestión formal. El proceso debe incluir los siguientes requisitos:
a) Los usuarios deben ser obligados a firmar una declaración para mantener la infor-
mación de autenticación de secreto personal, información de autenticación confi-
dencial y secretos para mantener el grupo (es decir, compartido) únicamente en
los miembros del grupo; esta declaración firmada se puede incluir en los términos
y condiciones de empleo.
b) Cuando los usuarios están obligados a mantener su propia información secreta de
autenticación deben ser previstos inicialmente con información segura temporal
de autenticación, que se verán obligados a cambiar en el primer uso.
c) Se establezca un procedimiento para verificar la identidad de un usuario antes de
proporcionar información de autenticación temporal secreto.
d) La información temporal de autenticación secreta se debe dar a los usuarios de
una manera segura; el uso de las partes externas (texto sin cifrar) o los mensajes
de correo electrónico sin protección se debe evitar.
e) La información de autenticación secreta temporal debe ser única para un indivi-
duo y no debe ser fácil de adivinar.
f) Por defecto la información secreta de autenticación debe ser alterada después de
la instalación de los sistemas o software.
38
2 Comisión Encargada Recibe el documento y para cada nuevo
usuario del sistema crea una contraseña
temporal. Elabora un acta de compro-
miso para mantener en secreto sus con-
traseñas personales, cambios tempora-
les a las contraseñas, seguridad de con-
traseñas, entre otras polı́ticas que de-
ben tomarse en cuenta. Envı́a los docu-
mentos al Jefe de Informática.
3 Jefe de Informática Revisa el acta de compromiso y si está
de acuerdo a las polı́ticas le da el vis-
to bueno, firmando y enviando a la co-
misión encargada de registrar usuarios
para la entrega respectiva a los nuevos
usuarios en caso contrario será devuelta
para su corrección.
4 Comisión Encargada Lleva a cada usuario un acta de com-
promiso y su respectiva contraseña
temporal.
5 Usuario Firmar el acta de compromiso y devol-
verlo al personal encargado de registrar
usuarios.
6 Comisión Encargada Recibe Documento y lo guarda.
39
Figura 15: Diagrama de proceso de negocio para la gestión de información de autenti-
cación secreta de usuarios.
40
41
5.2.5. Revisión de los derechos de acceso de los usuarios
5.2.5.1. Control
Los propietarios de los activos deben revisar los derechos de acceso de usuario a inter-
valos regulares. La revisión de los derechos de acceso debe considerar lo siguiente:
a) Los derechos de acceso de los usuarios deben ser revisados a intervalos regulares
y después de cualquier cambio, como la promoción, degradación o la terminación
del empleo.
b) Los derechos de acceso de usuario deben ser revisados y asignados nuevamente
cuando se pasa de un rol a otro dentro de la misma organización.
c) Las autorizaciones de derechos de acceso privilegiados deben revisarse a intervalos
más frecuentes.
d) Las asignaciones de privilegios deben ser revisados periódicamente para asegurar
que los privilegios no autorizados no se han obtenido.
e) Cambios en las cuentas privilegiadas deben ser registrados para su revisión pe-
riódica.
42
4 Comité de gestión Elabora cronograma de actividades pa-
ra el proceso y envı́a el documento al
Jefe de Informática.
43
12 Comité de Gestión Elabora informe del proceso y lo envı́a
al Jefe de Informática.
44
45
46
5.3. Responsabilidades del usuario
5.3.1.1. Control
Los usuarios deben ser exigidos a que sigan las prácticas de la organización en el uso
de información de autenticación secreta. Todos los usuarios deben ser advertidos de:
a) Mantener la información secreta de autenticación confidencial, asegurando que
no sea divulgada a ninguna otra parte, incluidas las personas de autoridad.
b) Evitar que se registren accesos de autenticación secreta en medios visibles (por
ejemplo, en papel, archivo de software o un dispositivo de mano), a menos que
esto se pueda almacenar de forma segura y el método de almacenamiento haya
sido aprobado (por ejemplo, Caja fuerte de contraseñas).
c) Cambiar la información secreta de autenticación cuando se produzca algún indicio
de su posible compromiso.
d) Cuando las contraseñas se utilizan como información de autenticación secreta,
crear contraseñas de calidad seleccionados con suficiente longitud mı́nima que se
encuentren:
1) Fáciles de recordar.
2) No se base en nada a otra persona, lo que podrı́a fácilmente adivinar u obte-
ner utilizando información relacionado a la persona, por ejemplo, nombres,
números de teléfono y fechas de nacimiento, etc.
3) No sea vulnerable a los ataques de diccionario (es decir, que no consistan
de palabras incluidas en los diccionarios).
4) Sin caracteres consecutivos idénticos, todos numéricos o todos alfabéticos.
5) Si es temporal, cambiarlo en el primer inicio de sesión.
e) No compartir la información de autenticación secreta del usuario individual.
f) Garantizar una adecuada protección de las contraseñas cuando las contraseñas
se utilizan como autenticación secreta, en los procedimientos de registro o login
automatizadas.
g) No use la misma información secreta de autenticación para fines comerciales y no
comerciales.
47
Comprometer a los usuarios al cumplimiento de las polı́ticas de seguridad en el
uso de la información de autenticación secreta.
Asegurar la autenticación confidencial, bajo compromiso y firma en documento.
48
9 Jefe de Informática Recibe la resolución y autoriza al Co-
mité de Gestión implementar las polı́ti-
cas.
49
5.4. Control de acceso a sistemas y aplicaciones
Objetivo:
Prevenir el acceso no autorizado a los sistemas y aplicaciones.
Se debe usar las facilidades de seguridad lógica dentro de los sistemas de aplicación
para restringir el acceso, también se debe restringir el acceso lógico a los sistemas sólo
a los usuarios autorizados.
5.4.1.1. Control
El acceso a la información y a las funciones del sistema de aplicación debe ser restringido
en concordancia con la polı́tica de control de acceso.
Las restricciones de acceso deben basarse en las necesidades individuales de aplicaciones
de negocio y de acuerdo con la polı́tica de control de acceso definido.
Lo siguiente debe ser considerado con el fin de apoyar los requisitos de restricción de
acceso:
a) Proporcionar menús para controlar el acceso a las funciones del sistema de apli-
cación.
b) Controlar qué datos pueden ser accedidos por un usuario en particular.
c) Controlar los derechos de acceso de los usuarios, por ejemplo, leer, escribir, borrar
y ejecutar.
d) Controlar de los derechos de acceso de otras aplicaciones. e) La limitación de la
información contenida en los productos.
e) Proporcionar controles de acceso fı́sicos o lógicos para el aislamiento de las apli-
caciones sensibles, datos o sistemas.
50
5.4.1.3. Descripción del procedimiento La descripción del procedimiento es la
siguiente:
Tabla 9: Procedimiento para la restricción de acceso a la información
51
5.4.2. Control de acceso al código fuente de los programas
5.4.2.1. Control
El acceso al código fuente de los programas debe ser restringido.
52
5.4.2.3. Diagrama de actividades
Las actividades se pueden modelar de la siguiente manera;
53
54
6. Conclusiones
55
7. Recomendaciones
56
Referencias
57