Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS

Slides:



Advertisements
Presentaciones similares
Sistema Organizacional en línea para Administradores y Gerentes de Proyecto Gerente Contratista ConsultorCliente EnVivo Punto central de Coordinación de.
Advertisements

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad
Auditoria de Sistemas de Gestión
Introducción a servidores
ÁREAS SEGURAS Perímetro de Seguridad Control de Accesos
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Versión Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Auditoria en Informatica Lic. Enrique Hernandez H.
AUDITORIA DE SISTEMAS Conceptos introductorios
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Medición, Análisis y Mejora
Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas
Enrique Cardenas Parga
TIPOS DE SERVIDORES 4/2/2017 3:29 PM
Evaluación de Productos
ARIS-G: Software de Monitoreo Geomecánico de Superficies
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Módulo 13 Procesos de Verificación de la Implementación del SAA.
Lineamientos de Pruebas Integrales del GRP Financiero
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
Situaciones Detectadas en la Entidad…
Auditoría de Sistemas y Software
Diseño Lógico de la Red Topología.
SEGURIDAD INFORMÁTICA
LA SEGURIDAD LÓGICA EN LA INFORMÁTICA.
Integrantes Grupo 7 Controles de procesos de datos El aspecto principal de la evaluación que de los controles internos que haga el auditor, es determinar.
DE SEGURIDAD INFORMÁTICA.
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
Unidad 5 EL CENTRO DE PROCESAMIENTO DE DATOS Y LA SEGURIDAD EN LA AUDITORÍA INFORMÁTICA.
Registro: Es la evidencia escrita de una actividad que se ejecutó.
SGSI y MAS Implantación en el M.H..
Cuentas de usuarios y grupos en windows 2008 server
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.
UNIVERSIDAD LATINA BASES DE DATOS ADMINISTRACIÓN.
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
SGSI: Sistemas de Gestión de la Seguridad de la Información
SEGURIDAD FÍSICA Políticas de Seguridad. El objetivo de la Políticas de Seguridad de Información, es encima de todo, definir el posicionamiento de la.
Proveedores de servicios externos
Cuentas de usuarios y grupos en windows 2008 server
INTRODUCCION SEGURIDAD INFORMATICA. Seguridad informatica consiste en asegurar que los recursos del sistema de información (material informático o programas)
Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,
Seguridad en la banca electrónica. Contenido Banca electrónica Principales riesgos Cuidados a tener en cuenta Fuentes.
Daniela Ovando Santander Auditoria de Sistemas
Seguridad informática
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
SEGURIDAD DE LA INFORMACION Políticas de seguridad.
FIREWALLS, Los cortafuegos
APLICACIONES EN LINEA.
SEGURIDAD INFORMATICA II VIII. DEFINICIÓN DE POLÍTICAS DE SEGURIDAD .
Universidad Latina CONTROL INTERNO.
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
Ingeniería del Software
Módulo 2: Administrar cuentas de usuario y de equipo.
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Presentación de la Norma Técnica de Seguridad de la Información.
INSTITUTO TECNOLÓGICO DE JIQUILPAN REQUISITOS PARA LA IMPLEMENTACIÓN DE COBIT Integrantes: Ariel Alejandro Sánchez Valencia. Javier Cervantes Higareda.
Transcripción de la presentación:

Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS Instituto de Ciencias Matemáticas (ICM) Auditoria de Sistemas de Gestión. Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS Jarama García Víctor. Maridueña Pardo Malena. Molina Yugcha Tania. Navarrete Carreño Oswaldo. Ríos Saltos Liliana. Solis Altamirano Alejandro Auditoria de Sistemas de Gestión Control de Accesos

Controlar el acceso de información. Objetivo Controlar el acceso de información. El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los requerimientos de seguridad y de los negocios. Auditoria de Sistemas de Gestión Control de Accesos

Política de control de accesos Requerimientos políticos y de negocios. Requerimientos de Seguridad. Identificación de información relacionada. Políticas de divulgación y autorización. Coherencia entre las políticas de acceso y de clasificación de la información. Perfiles de acceso de usuarios Requerimientos Auditoria de Sistemas de Gestión Control de Accesos

Reglas de control de accesos Reglas Permanentes Vs. Reglas optativas o Condicionales. “¿Qué debe estar generalmente prohibido a menos que se permita expresamente?” Sobre “Todo esta generalmente permitido a menos que se prohíba expresamente” Cambios en los rótulos de información. Cambios en los permisos de usuarios. Reglas que requieren aprobación. Reglas Auditoria de Sistemas de Gestión Control de Accesos

Administración de accesos de usuarios Objetivo Administración de accesos de usuarios Impedir el acceso no autorizado en los sistemas de información. Auditoria de Sistemas de Gestión Control de Accesos

Ciclo de vida de los accesos de usuarios Registro de Usuarios. Administración de privilegios. Administración de contraseñas. Revisión de derechos. Auditoria de Sistemas de Gestión Control de Accesos

Registro de Usuario Reglas Ids de Usuarios únicos. Ids grupales sólo si es conveniente. Autorización del propietario del sistema. Nivel de acceso adecuado. Detalle escrito de los derechos de acceso. Firmas de declaraciones señalando que se comprende los derechos de acceso. No otorgar accesos hasta completar los procesos de autorización. Registro formal de los usuarios. Ids redundantes. Reglas Auditoria de Sistemas de Gestión Control de Accesos

Administración de privilegios. Identificar los privilegios por producto. Privilegios de acuerdo a la necesidad. Registro de los privilegios asignados. Desarrollo y uso de rutinas. Privilegios asignados a Ids diferentes. Auditoria de Sistemas de Gestión Control de Accesos

Administración de Contraseñas Compromiso de mantener contraseñas personales y grupales en secreto. Contraseñas propias. En caso de ser necesario contraseñas provisionales (primera vez o pérdida). Evitar la participación de terceros o mails sin protección. Notificar que se recibió la clave. Auditoria de Sistemas de Gestión Control de Accesos

Revisión de derechos de acceso. Revisar a intervalos frecuentes: Los derechos de acceso. Autorización de privilegios especiales. Asignaciones de privilegios. Auditoria de Sistemas de Gestión Control de Accesos

Responsabilidades del usuario. Objetivo Responsabilidades del usuario. Impedir el acceso de usuarios no autorizados Auditoria de Sistemas de Gestión Control de Accesos

Uso de contraseñas Mantener las contraseñas en secreto. Evitar mantener un registro en papel de las contraseñas. Cambiar las contraseñas cuando exista un indicio de compromiso con el sistema o las contraseñas. Seleccionar contraseñas de calidad (mínimo 6 caracteres) No incluir contraseñas en los procesos automatizados. No compartir las contraseñas. Auditoria de Sistemas de Gestión Control de Accesos

Equipos desatendidos en áreas de usuarios. concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado, por ej. un preservador de pantallas protegido por contraseña ; llevar a cabo el procedimiento de salida de los procesadores centrales cuando finaliza la sesión (no solo apagar la PC o terminal); proteger las PCs o terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente, por ej. contraseña de acceso, cuando no se utilizan. Auditoria de Sistemas de Gestión Control de Accesos

Control de Acceso a la red. Objetivo Control de Acceso a la red. Protección de los servicios de red. Auditoria de Sistemas de Gestión Control de Accesos

Política de utilización de los servicios de red. Redes y servicios a los cuales se permite el acceso. Procedimientos de autorización para determinar las redes y servicios a los cuales tienen permitido el acceso. Controles y procesos de gestión para proteger el acceso Auditoria de Sistemas de Gestión Control de Accesos

Camino forzado El objetivo de un camino forzado es evitar que los usuarios seleccionen rutas fuera de la trazada entre la terminal de usuario y los servicios a los cuales el mismo esta autorizado a acceder. Ejemplos: conexión automática de puertos a gateways de seguridad; limitar las opciones de menú y submenú de cada uno de los usuarios ; evitar la navegación ilimitada. Auditoria de Sistemas de Gestión Control de Accesos

Autenticación de usuarios para conexiones externas Las conexiones externas son de gran potencial para accesos no autorizados a la información de la empresa. Autenticación: Criptografía. “Tokens” de hardware. Protocolo de pregunta/respuesta. Líneas dedicadas privadas. Procedimientos y controles de rellamada o dial-back Auditoria de Sistemas de Gestión Control de Accesos

Autenticación de nodos Una herramienta de conexión automática a una computadora remota podría brindar un medio para obtener acceso no autorizado a una aplicación de la empresa. Puede servir como un medio alternativo de autenticación de grupos de usuarios remotos. Auditoria de Sistemas de Gestión Control de Accesos

Nodos Auditoria de Sistemas de Gestión Control de Accesos

Protección de puertos de diagnostico remoto Muchas computadoras y sistemas de comunicación son instalados con una herramienta de diagnostico remoto. Deben ser protegidos por un mecanismo de seguridad apropiado. Ejemplo: Una cerradura de seguridad y un procedimiento que permita su acceso sólo en caso de ser necesario. Auditoria de Sistemas de Gestión Control de Accesos

Subdivisión de redes Se debe considerar la introducción de controles dentro de la red, a fin de segregar grupos de servicios de información, usuarios y sistemas de información. Dividirlas en dominios lógicos separados, por ej. dominios de red internos y externos de una organización y cada dominio protegido por un perímetro de seguridad (gateway). Los criterios para la subdivisión de redes en dominios deben basarse en la política de control de accesos y los requerimientos de acceso Auditoria de Sistemas de Gestión Control de Accesos

Control de conexión a la red Los requerimientos de la política de control de accesos para redes compartidas, pueden requerir la incorporación de controles para limitar la capacidad de conexión. Gateways de red que filtren el tráfico por medio de reglas. Las restricciones deben basarse en la política y requerimientos de acceso de la empresa. Correo electrónico. Transferencia unidireccional y bidireccional de archivos. Acceso interactivo. Acceso de red vinculado a hora y fecha. Auditoria de Sistemas de Gestión Control de Accesos

Control de ruteo de red Las redes compartidas pueden requerir la incorporación de los controles de ruteo para garantizar que las conexiones informáticas y los flujos de información no violen la política de control de acceso Estos controles deben basarse en la verificación positiva de direcciones de origen y destino. Auditoria de Sistemas de Gestión Control de Accesos

Seguridad de los servicios de red Las organizaciones que utilizan servicios de red deben garantizar que se provea de una clara descripción de los atributos de seguridad de todos los servicios utilizados. Auditoria de Sistemas de Gestión Control de Accesos

Control de Acceso al sistema operativo. Objetivo Control de Acceso al sistema operativo. Impedir el acceso no autorizado al computador. Auditoria de Sistemas de Gestión Control de Accesos

Identificación automática de terminales Es una técnica que puede utilizarse si resulta importante que la sesión solo pueda iniciarse desde una terminal informática o una ubicación determinada. Puede resultar necesario aplicar protección física a la terminal. Auditoria de Sistemas de Gestión Control de Accesos

Procedimientos de conexión de terminales No desplegar identificadores de sistemas o aplicaciones. Sólo usuarios autorizados. No dar mensajes de ayuda. Validar la información de conexión, sólo cuando se completen la totalidad de los datos. Limitar el número de intentos de conexión no exitosos. Limitar el tiempo máximo y mínimo para la conexión. Desplegar la siguiente información: Fecha y hora de la última conexión Detalles de los intentos de conexión no exitosos desde la última conexión. Auditoria de Sistemas de Gestión Control de Accesos

Identificación y autenticación de usuarios Todos los usuarios deben tener un ID único. A fin de rastrear las actividades hasta llegar al responsable. Sólo en ciertas circunstancias se puede usar un ID compartido. Contraseñas, tokens, autenticación biométrica. Una combinación de tecnologías y mecanismos vinculados de manera segura tendrá como resultado una autenticación más fuerte. Auditoria de Sistemas de Gestión Control de Accesos

Sistema de administración de contraseñas Imponer el uso de contraseñas individuales. Permitir cambiar la contraseña Selección de contraseñas de calidad. Imponer cambios en las contraseñas. Mantener un registro de las contraseñas previas. No mostrar las contraseñas en pantalla. Almacenar en forma cifrada las contraseñas. Modificar las contraseñas predeterminadas. Auditoria de Sistemas de Gestión Control de Accesos

Uso de utilitarios del sistema Uso de procedimientos de autenticación para utilitarios. Separación de los utilitarios y el software. Limitación de uso de utilitarios. Autorización de uso de utilitarios. Registro de todo uso de utilitarios. Remoción del software basado en utilitarios. Auditoria de Sistemas de Gestión Control de Accesos

Alarmas Silenciosas Provisión de alarmas silenciosas para los usuarios que podrían ser objetos de coerción. Debe basarse en una evaluación de riesgos. Auditoria de Sistemas de Gestión Control de Accesos

Desconexión de terminales por tiempo muerto Las terminales inactivas en ubicaciones de alto riesgo, o que sirven a sistemas de alto riesgo deben apagarse después de un periodo definido de inactividad. Esta herramienta debe limpiar la pantalla y desconectar tanto la aplicación como la red. El lapso por tiempo muerto debe responder a los riesgos de seguridad del área y de los usuarios del terminal. Auditoria de Sistemas de Gestión Control de Accesos

Limitación del horario de conexión La limitación del periodo durante el cual se permiten las conexiones de terminal a los servicios informativos reduce el espectro de oportunidades para el acceso no autorizado. Utilización de lapsos predeterminados. Limitación de los tiempos de conexión al horario normal de oficina. Auditoria de Sistemas de Gestión Control de Accesos

Control de Acceso a las aplicaciones. Objetivo Control de Acceso a las aplicaciones. Impedir el acceso no autorizado a la información no contenida en los sistemas de información. Auditoria de Sistemas de Gestión Control de Accesos

Restricción del acceso a la información Provisión de menús para controlar el acceso a las funciones de los sistemas. Restricción del conocimiento de los usuarios acerca de la información o de las funciones de los sistemas de aplicación. Control de los derechos de acceso. Garantizar que las salidas de los sistemas de aplicación, contengan información pertinente a la salida. Auditoria de Sistemas de Gestión Control de Accesos

Aislamiento de sistemas sensibles La sensibilidad de un sistema debe ser claramente identificada y documentada por el propietario de la aplicación. Cuando una aplicación sensible ha de ejecutarse en un ambiente compartido, los sistemas de aplicación con los cuales esta compartirá los recursos deben ser identificados y acordados con el propietario del sistema. Auditoria de Sistemas de Gestión Control de Accesos

Monitoreo del Acceso y uso de sistemas. Objetivo Monitoreo del Acceso y uso de sistemas. Detectar actividades no autorizadas Auditoria de Sistemas de Gestión Control de Accesos

Registro de eventos ID de usuario Fecha y hora de inicio y terminación. Identidad o ubicación de la terminal, si es posible. Registro de intentos exitosos y fallidos de acceso al sistema. Registro de intentos exitosos y fallidos de acceso a datos y otros recursos. Auditoria de Sistemas de Gestión Control de Accesos

Monitoreo del uso de los sistemas Procedimientos y áreas de riesgos Factores de riesgo Registros y revisión de eventos Criticidad de los procesos de aplicaciones. Valor, sensibilidad o criticidad de la información involucrada. Infiltración y uso inadecuado del sistema. Alcance de la interconexión. Revisión de los registros implica la comprensión de las amenazas que afecta el sistema. Se debe prestar atención a la seguridad de la herramienta de registro. Acceso no autorizado Todas las operaciones con privilegio Intentos de acceso no autorizados Alertas o fallas de sistema. Auditoria de Sistemas de Gestión Control de Accesos

Sincronización de relojes La correcta configuración de los relojes por computadoras es importante para garantizar la exactitud de los registros de auditoria. Los registros de la auditoria inexactos podrían dañar la credibilidad de la evidencia. Auditoria de Sistemas de Gestión Control de Accesos

Computación móvil y trabajo remoto. Objetivo Computación móvil y trabajo remoto. Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo. Auditoria de Sistemas de Gestión Control de Accesos

Computación móvil Se debe adoptar una política formal que tome en cuenta los riesgos que implica trabajar con herramientas informáticas móviles. El equipamiento que transporta información importante de la empresa, sensible y/o critica no debe dejarse desatendido. El acceso remoto a la información de la empresa a través de redes publicas, utilizando herramientas informáticas móviles, solo debe tener lugar después de una identificación y autenticación exitosas, y con mecanismos adecuados de control de acceso implementados Se debe brindar entrenamiento al personal que utiliza computación móvil. Auditoria de Sistemas de Gestión Control de Accesos

Trabajo remoto El trabajo remoto utiliza tecnología de comunicaciones para permitir que el personal trabaje en forma remota desde un lugar fijo fuera de la organización. Es importante que el trabajo remoto sea autorizado y controlado por la gerencia, y que se implementen disposiciones y acuerdos para esta forma de trabajo. Las organizaciones deben considerar el desarrollo de una política, de procedimientos y de estándares para controlar las actividades de trabajo remoto. Auditoria de Sistemas de Gestión Control de Accesos

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.