La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Auditoria de Sistemas de GestiónControl de Accesos Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS Jarama García Víctor. Maridueña Pardo Malena. Molina Yugcha.

Presentaciones similares


Presentación del tema: "Auditoria de Sistemas de GestiónControl de Accesos Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS Jarama García Víctor. Maridueña Pardo Malena. Molina Yugcha."— Transcripción de la presentación:

1 Auditoria de Sistemas de GestiónControl de Accesos Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS Jarama García Víctor. Maridueña Pardo Malena. Molina Yugcha Tania. Navarrete Carreño Oswaldo. Ríos Saltos Liliana. Solis Altamirano Alejandro Auditoria de Sistemas de Gestión. Instituto de Ciencias Matemáticas (ICM)

2 Auditoria de Sistemas de GestiónControl de Accesos El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los requerimientos de seguridad y de los negocios. Controlar el acceso de información.

3 Auditoria de Sistemas de GestiónControl de Accesos Política de control de accesos Requerimientos políticos y de negocios. Requerimientos de Seguridad. Identificación de información relacionada. Políticas de divulgación y autorización. Coherencia entre las políticas de acceso y de clasificación de la información. Perfiles de acceso de usuarios Requerimientos

4 Auditoria de Sistemas de GestiónControl de Accesos Reglas de control de accesos Reglas Permanentes Vs. Reglas optativas o Condicionales. ¿Qué debe estar generalmente prohibido a menos que se permita expresamente? Sobre Todo esta generalmente permitido a menos que se prohíba expresamente Cambios en los rótulos de información. Cambios en los permisos de usuarios. Reglas que requieren aprobación. Reglas

5 Auditoria de Sistemas de GestiónControl de Accesos Administración de accesos de usuarios Impedir el acceso no autorizado en los sistemas de información.

6 Auditoria de Sistemas de GestiónControl de Accesos Ciclo de vida de los accesos de usuarios Registro de Usuarios. Administración de privilegios. Administración de contraseñas. Revisión de derechos.

7 Auditoria de Sistemas de GestiónControl de Accesos Registro de Usuario Ids de Usuarios únicos. Ids grupales sólo si es conveniente. Autorización del propietario del sistema. Nivel de acceso adecuado. Detalle escrito de los derechos de acceso. Firmas de declaraciones señalando que se comprende los derechos de acceso. No otorgar accesos hasta completar los procesos de autorización. Registro formal de los usuarios. Ids redundantes. Reglas

8 Auditoria de Sistemas de GestiónControl de Accesos Administración de privilegios. Identificar los privilegios por producto. Privilegios de acuerdo a la necesidad. Registro de los privilegios asignados. Desarrollo y uso de rutinas. Privilegios asignados a Ids diferentes.

9 Auditoria de Sistemas de GestiónControl de Accesos Administración de Contraseñas Compromiso de mantener contraseñas personales y grupales en secreto. Contraseñas propias. En caso de ser necesario contraseñas provisionales (primera vez o pérdida). Evitar la participación de terceros o mails sin protección. Notificar que se recibió la clave.

10 Auditoria de Sistemas de GestiónControl de Accesos Revisión de derechos de acceso. Revisar a intervalos frecuentes: Los derechos de acceso. Autorización de privilegios especiales. Asignaciones de privilegios.

11 Auditoria de Sistemas de GestiónControl de Accesos Responsabilidades del usuario. Impedir el acceso de usuarios no autorizados

12 Auditoria de Sistemas de GestiónControl de Accesos Uso de contraseñas Mantener las contraseñas en secreto. Evitar mantener un registro en papel de las contraseñas. Cambiar las contraseñas cuando exista un indicio de compromiso con el sistema o las contraseñas. Seleccionar contraseñas de calidad (mínimo 6 caracteres) No incluir contraseñas en los procesos automatizados. No compartir las contraseñas.

13 Auditoria de Sistemas de GestiónControl de Accesos Equipos desatendidos en áreas de usuarios. concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado, por ej. un preservador de pantallas protegido por contraseña ; llevar a cabo el procedimiento de salida de los procesadores centrales cuando finaliza la sesión (no solo apagar la PC o terminal); proteger las PCs o terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente, por ej. contraseña de acceso, cuando no se utilizan.

14 Auditoria de Sistemas de GestiónControl de Accesos Control de Acceso a la red. Protección de los servicios de red.

15 Auditoria de Sistemas de GestiónControl de Accesos Política de utilización de los servicios de red. Redes y servicios a los cuales se permite el acceso. Procedimientos de autorización para determinar las redes y servicios a los cuales tienen permitido el acceso. Controles y procesos de gestión para proteger el acceso

16 Auditoria de Sistemas de GestiónControl de Accesos Camino forzado El objetivo de un camino forzado es evitar que los usuarios seleccionen rutas fuera de la trazada entre la terminal de usuario y los servicios a los cuales el mismo esta autorizado a acceder. Ejemplos: conexión automática de puertos a gateways de seguridad; limitar las opciones de menú y submenú de cada uno de los usuarios ; evitar la navegación ilimitada.

17 Auditoria de Sistemas de GestiónControl de Accesos Autenticación de usuarios para conexiones externas Las conexiones externas son de gran potencial para accesos no autorizados a la información de la empresa. Autenticación: Criptografía. Tokens de hardware. Protocolo de pregunta/respuesta. Líneas dedicadas privadas. Procedimientos y controles de rellamada o dial-back

18 Auditoria de Sistemas de GestiónControl de Accesos Autenticación de nodos Una herramienta de conexión automática a una computadora remota podría brindar un medio para obtener acceso no autorizado a una aplicación de la empresa. Puede servir como un medio alternativo de autenticación de grupos de usuarios remotos.

19 Auditoria de Sistemas de GestiónControl de Accesos Nodos

20 Auditoria de Sistemas de GestiónControl de Accesos Protección de puertos de diagnostico remoto Muchas computadoras y sistemas de comunicación son instalados con una herramienta de diagnostico remoto. Deben ser protegidos por un mecanismo de seguridad apropiado. Ejemplo: Una cerradura de seguridad y un procedimiento que permita su acceso sólo en caso de ser necesario.

21 Auditoria de Sistemas de GestiónControl de Accesos Subdivisión de redes Se debe considerar la introducción de controles dentro de la red, a fin de segregar grupos de servicios de información, usuarios y sistemas de información. Dividirlas en dominios lógicos separados, por ej. dominios de red internos y externos de una organización y cada dominio protegido por un perímetro de seguridad (gateway). Los criterios para la subdivisión de redes en dominios deben basarse en la política de control de accesos y los requerimientos de acceso

22 Auditoria de Sistemas de GestiónControl de Accesos Control de conexión a la red Los requerimientos de la política de control de accesos para redes compartidas, pueden requerir la incorporación de controles para limitar la capacidad de conexión. Gateways de red que filtren el tráfico por medio de reglas. Las restricciones deben basarse en la política y requerimientos de acceso de la empresa. Correo electrónico. Transferencia unidireccional y bidireccional de archivos. Acceso interactivo. Acceso de red vinculado a hora y fecha.

23 Auditoria de Sistemas de GestiónControl de Accesos Control de ruteo de red Las redes compartidas pueden requerir la incorporación de los controles de ruteo para garantizar que las conexiones informáticas y los flujos de información no violen la política de control de acceso Estos controles deben basarse en la verificación positiva de direcciones de origen y destino.

24 Auditoria de Sistemas de GestiónControl de Accesos Seguridad de los servicios de red Las organizaciones que utilizan servicios de red deben garantizar que se provea de una clara descripción de los atributos de seguridad de todos los servicios utilizados.

25 Auditoria de Sistemas de GestiónControl de Accesos Control de Acceso al sistema operativo. Impedir el acceso no autorizado al computador.

26 Auditoria de Sistemas de GestiónControl de Accesos Identificación automática de terminales Es una técnica que puede utilizarse si resulta importante que la sesión solo pueda iniciarse desde una terminal informática o una ubicación determinada. Puede resultar necesario aplicar protección física a la terminal.

27 Auditoria de Sistemas de GestiónControl de Accesos Procedimientos de conexión de terminales No desplegar identificadores de sistemas o aplicaciones. Sólo usuarios autorizados. No dar mensajes de ayuda. Validar la información de conexión, sólo cuando se completen la totalidad de los datos. Limitar el número de intentos de conexión no exitosos. Limitar el tiempo máximo y mínimo para la conexión. Desplegar la siguiente información: Fecha y hora de la última conexión Detalles de los intentos de conexión no exitosos desde la última conexión.

28 Auditoria de Sistemas de GestiónControl de Accesos Identificación y autenticación de usuarios Todos los usuarios deben tener un ID único. A fin de rastrear las actividades hasta llegar al responsable. Sólo en ciertas circunstancias se puede usar un ID compartido. Contraseñas, tokens, autenticación biométrica. Una combinación de tecnologías y mecanismos vinculados de manera segura tendrá como resultado una autenticación más fuerte.

29 Auditoria de Sistemas de GestiónControl de Accesos Sistema de administración de contraseñas Imponer el uso de contraseñas individuales. Permitir cambiar la contraseña Selección de contraseñas de calidad. Imponer cambios en las contraseñas. Mantener un registro de las contraseñas previas. No mostrar las contraseñas en pantalla. Almacenar en forma cifrada las contraseñas. Modificar las contraseñas predeterminadas.

30 Auditoria de Sistemas de GestiónControl de Accesos Uso de utilitarios del sistema Uso de procedimientos de autenticación para utilitarios. Separación de los utilitarios y el software. Limitación de uso de utilitarios. Autorización de uso de utilitarios. Registro de todo uso de utilitarios. Remoción del software basado en utilitarios.

31 Auditoria de Sistemas de GestiónControl de Accesos Alarmas Silenciosas Provisión de alarmas silenciosas para los usuarios que podrían ser objetos de coerción. Debe basarse en una evaluación de riesgos.

32 Auditoria de Sistemas de GestiónControl de Accesos Desconexión de terminales por tiempo muerto Las terminales inactivas en ubicaciones de alto riesgo, o que sirven a sistemas de alto riesgo deben apagarse después de un periodo definido de inactividad. Esta herramienta debe limpiar la pantalla y desconectar tanto la aplicación como la red. El lapso por tiempo muerto debe responder a los riesgos de seguridad del área y de los usuarios del terminal.

33 Auditoria de Sistemas de GestiónControl de Accesos Limitación del horario de conexión La limitación del periodo durante el cual se permiten las conexiones de terminal a los servicios informativos reduce el espectro de oportunidades para el acceso no autorizado. Utilización de lapsos predeterminados. Limitación de los tiempos de conexión al horario normal de oficina.

34 Auditoria de Sistemas de GestiónControl de Accesos Control de Acceso a las aplicaciones. Impedir el acceso no autorizado a la información no contenida en los sistemas de información.

35 Auditoria de Sistemas de GestiónControl de Accesos Restricción del acceso a la información Provisión de menús para controlar el acceso a las funciones de los sistemas. Restricción del conocimiento de los usuarios acerca de la información o de las funciones de los sistemas de aplicación. Control de los derechos de acceso. Garantizar que las salidas de los sistemas de aplicación, contengan información pertinente a la salida.

36 Auditoria de Sistemas de GestiónControl de Accesos Aislamiento de sistemas sensibles La sensibilidad de un sistema debe ser claramente identificada y documentada por el propietario de la aplicación. Cuando una aplicación sensible ha de ejecutarse en un ambiente compartido, los sistemas de aplicación con los cuales esta compartirá los recursos deben ser identificados y acordados con el propietario del sistema.

37 Auditoria de Sistemas de GestiónControl de Accesos Monitoreo del Acceso y uso de sistemas. Detectar actividades no autorizadas

38 Auditoria de Sistemas de GestiónControl de Accesos Registro de eventos ID de usuario Fecha y hora de inicio y terminación. Identidad o ubicación de la terminal, si es posible. Registro de intentos exitosos y fallidos de acceso al sistema. Registro de intentos exitosos y fallidos de acceso a datos y otros recursos.

39 Auditoria de Sistemas de GestiónControl de Accesos Monitoreo del uso de los sistemas Procedimientos y áreas de riesgos Factores de riesgo Registros y revisión de eventos Criticidad de los procesos de aplicaciones. Valor, sensibilidad o criticidad de la información involucrada. Infiltración y uso inadecuado del sistema. Alcance de la interconexión. Revisión de los registros implica la comprensión de las amenazas que afecta el sistema. Se debe prestar atención a la seguridad de la herramienta de registro. Alertas o fallas de sistema. Intentos de acceso no autorizados Todas las operaciones con privilegio Acceso no autorizado

40 Auditoria de Sistemas de GestiónControl de Accesos Sincronización de relojes La correcta configuración de los relojes por computadoras es importante para garantizar la exactitud de los registros de auditoria. Los registros de la auditoria inexactos podrían dañar la credibilidad de la evidencia.

41 Auditoria de Sistemas de GestiónControl de Accesos Computación móvil y trabajo remoto. Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo.

42 Auditoria de Sistemas de GestiónControl de Accesos Computación móvil Se debe adoptar una política formal que tome en cuenta los riesgos que implica trabajar con herramientas informáticas móviles. El equipamiento que transporta información importante de la empresa, sensible y/o critica no debe dejarse desatendido. El acceso remoto a la información de la empresa a través de redes publicas, utilizando herramientas informáticas móviles, solo debe tener lugar después de una identificación y autenticación exitosas, y con mecanismos adecuados de control de acceso implementados Se debe brindar entrenamiento al personal que utiliza computación móvil.

43 Auditoria de Sistemas de GestiónControl de Accesos Trabajo remoto El trabajo remoto utiliza tecnología de comunicaciones para permitir que el personal trabaje en forma remota desde un lugar fijo fuera de la organización. Es importante que el trabajo remoto sea autorizado y controlado por la gerencia, y que se implementen disposiciones y acuerdos para esta forma de trabajo. Las organizaciones deben considerar el desarrollo de una política, de procedimientos y de estándares para controlar las actividades de trabajo remoto.


Descargar ppt "Auditoria de Sistemas de GestiónControl de Accesos Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS Jarama García Víctor. Maridueña Pardo Malena. Molina Yugcha."

Presentaciones similares


Anuncios Google