1. Aclaración: © © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático,

Slides:



Advertisements
Presentaciones similares
para Exchange Archivo del correo interno y externo
Advertisements

T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)
information technology service
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
PROGRAMA DE AUDITORIA DE SISTEMAS
Introducción a servidores
Presentación de la Plataforma de Gestión de la Excelencia
I T S S P LIC INFORMATICA SISTEMAS OPERATIVOS WINDOWS 2003 SERVER DOCENTE: L.I RAMIRO ROBLES VILLANUEVA ALUMNOS: ROGELIO CHAIDEZ CORDOBA ZENON ESTRADA.
Aplicaciones Informáticas DATISA Consultores de Soluciones DATISA
Ing. Horacio Carlos Sagredo Tejerina
2.5 Seguridad e integridad.
GESTION DE REDES JUAN GABRIEL CORRAL JIMENEZ RAFAEL CABRERA CASTILLO
TecriMil Control de Asistencia.
SISTEMA DE NACIMIENTOS MANUAL DEL USUARIO. El objetivo del presente manual es servir de guía al usuario final para interactuar con el Sistema, permitiéndole.
Introducción a los sistemas de Información Hospitalarios
AUDITORIA DE SISTEMAS Conceptos introductorios
1. La solución que proporciona un soporte ágil, sencillo y eficaz para mejorar la gestión de las organizaciones. 2.
Auditoria Informática Unidad II
12.4 Seguridad de los archivos del sistema
DEFENSA PÚBLICA Jorge Salinas
ESCUELA POLITÉCNICA DEL EJÉRCITO
Johanna Lizeth Rodríguez Lorena Fda. Chávarro Ramos
Documentos Electrónicos Formales
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Políticas de Seguridad por Julio César Moreno Duque
La información y la comunicación son dos elementos claves en el quehacer institucional en función del cumplimiento de sus objetivos BUENOS DÍAS.
Pierre Sergei Zuppa Azúa Administración de sistemas versus administración de servicios.
Servicios de las Redes Por: Karen Caraballo Álvarez Marisol Sánchez Márquez Educ. 676 Prof. Carmen Robles Sánchez (Ed, D (c) )
 El primer navegador Web incluía un lenguaje de estilo interno que utilizaba dicho navegador para mostrar las páginas HTML.  Sin embargo estos primeros.
PERMISO DE TRABAJO_3.
SEGURIDAD INFORMÁTICA
Una base de datos es un “almacén” que nos permite guardar grandes cantidades de información de forma organizada para que luego podamos encontrar y utilizar.
¿Quiénes somos? SyTP, esta conformada por un grupo de profesionales con amplia experiencia en el sector de las nuevas.
Ing. Alexandra García Ing. Patricia Nogales. OBJETIVOS: General Específicos.
Ley N° 30024, Ley que crea el Registro Nacional de Historias Clínicas Electrónicas RENHICE.
AUDITORIA DE LA OFIMATICA
Cuentas de usuarios y grupos en windows 2008 server
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.
1 Ana Mercedes Cáceres Instructor: Raúl Aguilar Año 2006 [Parte I ]
Confidencialidad Cómo Proteger la Información Personal.
REDES 439.  Sugerencias:  HORARIO DE SERVICIO claramente establecido  Todo usuario debe estar registrado.  Los recursos de cómputo empleados por el.
SEGURIDAD INFORMATICA
Pág. 1 Computación Avanzada y Sistemas Empresariales, S.A. de C.V. Servicios de Auditoría y Seguridad de Sistemas de Información y Bases de Datos Noviembre.
OUTSOURCING DE IMPRESION
MARIANA PRECIADO VILLA TELECOMUNICACIONES 11º3
UNIVERSIDAD LATINA II. FUNCIONES DEL ADMINISTRADOR.
Cuentas de usuarios y grupos en windows 2008 server
Michael Ángelo De Lancer Franco Windows Server 2008 dispone de muchas características que mejoran la seguridad y el cumplimiento. Algunas mejoras.
Introducción al proceso de verificación y validación.
Daniela Ovando Santander Auditoria de Sistemas
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Procesamiento de transacciones: consiste en los procesos de captura, recolección, clasificación, ordenamiento, cálculo, resumen y almacenamiento de todos.
INTERFAZ DE ACCESS  Access es un sistema gestor de bases de datos relacionales (SGBD). Una base de datos suele definirse como un conjunto de información.
Modificaciones ACUERDO SUGEF 7-06 “Reglamento del CIC”
APLICACIONES EN LINEA.
Versión: TALLER AUTOMOTRIZ
Ley 1581 de ¿Qué se ha de entender por protección de datos personales? 1. Junto con el Habeas data, hace parte de los derechos del consumidor. 2.
Dirección de Administración [Nombre de los temas a exponer] Febrero de 2011 Experiencia en la implantación del Manual en la CFE PM USGA Control y Mantenimiento.
VI. EVALUACIÓN DE LOS RECURSOS
El administrador de los formatos de bases de datos Es el profesional que administra las tecnologías de la información y la comunicación, siendo responsable.
1 PRESENTACIÓN DE PRODUCTO SISTEMA DE ADMINISTRACIÓN DE BIENES INMUEBLES Y BIENES MUEBLES.
Transcripción de la presentación:

1

Aclaración: © © Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

Agenda  Definición  Ejemplos  Problemática  Solución Histórica  Solución Actual  Información de Referencia  Beneficios

Usuarios Sensitivos Definición  ¿Qué es un usuario sensitivo? Es una cuenta de acceso a un sistema que tiene características especiales que hacen necesario un cuidado especial sobre la misma.  Otras denominaciones: -Usuario de emergencia o firecall: esta nomenclatura es conocida cuando existen situaciones de contingencia en los sistemas. -Cuenta de administración, cuenta de máximo privilegio, administrador o root: esta nomenclatura es conocida cuando se habla de usuarios con amplios permisos.  Dada su criticidad, es necesario establecer procedimientos para efectuar un adecuado control, monitoreo y trazabilidad de su gestión.

Usuarios Sensitivos Ejemplos Algunos ejemplos En sistemas operativos -root: la cuenta de máximos privilegios en Unix / Linux. -Administrador: la cuenta de máximos privilegios en Windows. -oracle: la cuenta sobre la que se monta la base de datos en el sistema operativo. En bases de datos -sa: la cuenta de administración del motor de base de datos SQL Server. -system: la cuenta de administración del motor de base de datos Oracle. En aplicaciones -aplic : la cuenta de instalación de aplicaciones. -emerg01 : la cuenta utiliza para dar soporte en entornos productivos. etc.

Usuarios Sensitivos Problemática Las cuentas privilegiadas y el control de cuentas administrativas compartidas son un área de continuo interés y preocupación para todas las empresas. El crecimiento de los requisitos a cumplir ha enfocado la atención en como la empresa gestiona y controla estas cuentas criticas. Las regulaciones pueden variar basándose en las industrias y mercados particulares: SOX ISO-IEC PCI HIPAA Regulaciones de la Superintendencia Bancaria

Usuarios Sensitivos Problemática  El acceso a la información sensible es restringida por contraseñas de cuentas con altos privilegios, y se almacena en: Servidores Bases de datos Aplicaciones Correo electrónico  Al aumentar la infraestructura de TI, el número de cuentas con altos privilegios se incrementa considerablemente haciendo más compleja su administración.

Usuarios Sensitivos Problemática  ¿Quiénes utilizan estas cuentas? Administradores de servidores Administradores de correo electrónico Mesa de ayuda de las aplicaciones Administradores de seguridad Etc.  ¿Quiénes controlan estas cuentas? Administradores de seguridad Auditores  ¿Dónde se conservan las credenciales? Hojas de cálculos Archivos en texto plano Papeles impresos

Usuarios Sensitivos Problemática  Si el ID es compartido por múltiples usuarios, cambiar la contraseña es esencial para poder identificar unívocamente a la persona que accedió a los sistemas utilizando esa clave.  Este tipo de contraseña debe estar disponible rápidamente en caso de problemas con el sistema.  El cambio de la contraseña es un proceso administrativo tedioso y en muchos casos no es sencillo o posible cambiar la contraseña por lo tanto la misma es conocida por muchas personas en la organización.

Usuarios Sensitivos Problemática  Adicionalmente al cambio de la contraseña, otra tarea fundamental es efectuar un control estricto para: Permitir que sólo las personas autorizadas puedan acceder a las contraseñas de los usuarios sensitivos. Brindar acceso en todo momento (7x24) a las contraseñas de los usuarios firecalls. Identificar la persona que solicitó el acceso a esa contraseña del usuario firecall. Determinar exactamente el período de tiempo durante el cual una persona tuvo acceso a la contraseña del usuario firecall. Asignar contraseñas robustas a los usuarios sensitivos. Generar reportes de actividades de este tipo de usuarios.

Usuarios Sensitivos Solución Histórica  Considerando que esta problemática existe ya hace muchos años, se han implementado soluciones históricas.  La más común es almacenar físicamente las contraseñas. En muchos casos, la contraseña es escrita en un papel, guardada dentro de un sobre cerrado y almacenado en una caja fuerte.  Este almacenamiento es luego controlado por la sala de Operaciones, cuya tarea es entregar el sobre correcto cuando es necesario el acceso al sistema.  El Administrador de Seguridad es responsable de cambiar las contraseñas de las cuentas utilizadas.

Línea de tiempo Surge una emergencia T0T1 Solicita usuario sensitivo Cambia contraseña, almacena y genera reporte auditoria T7 T2 Verifica si está autorizado Obtiene llaves de caja fuerte T3T4 Obtiene sobre cerrado T5 Obtiene usuarios y contraseña Soluciona la emergencia T6 Usuarios Sensitivos Solución Histórica

 La deficiencia más evidente en el proceso de ensobrado manual es el volumen. Esto puede funcionar para 20 cuentas, pero no lo hace para 100 ó  El proceso es a su vez, muy manual, necesitando un procedimiento que asegure el mantenimiento de un inventario exacto y certero. Las deficiencias pueden incluir: Escala: los procesos manuales rápidamente se vuelven inmanejables. Cambio: Cuánto tiempo existe entre que una contraseña es utilizada y es cambiada? Las contraseñas que están hardcodeadas son cambiables? Con qué frecuencia y a qué costo?. Conocimiento: Considerando que una persona asigna una contraseña al usuario firecall, cómo nos aseguramos que esa persona no la utilice?.

Usuarios Sensitivos Solución Actual  Las soluciones actuales se basan en la utilización de algún software que resuelva los problemas planteados.  Dada la criticidad de la información que manejan, estos software deben: Estar concebidos en base a las mejores prácticas de seguridad de la información. No permitir el acceso no autorizado. Permitir a una persona solamente acceder a las cuentas sensitivas a las que tiene permiso. Poseer alta disponibilidad. Contar con copias de respaldo seguras.

Usuarios Sensitivos Solución Actual  Las soluciones actuales deberían permitir: Eliminar costos derivados del antiguo sistema de sobre cerrado. Administrar en forma más ágil y eficiente estas contraseñas. Generar en forma automática reportes de acceso y administración de contraseñas. Registrar detalladamente las operaciones de los administradores y usuarios del sistema de contraseñas, según roles específicos. Identificar problemas en los sistemas. Permitir el acceso remoto 7x24. Asignar contraseñas mediante funciones aleatorias con alta seguridad. Reducir los tiempos de acceso a las contraseñas Generar de registros de actividades detallados. Proteger las contraseñas mediante un almacenamiento encriptado. Reducir el riesgo de acceso no autorizado o deducción de contraseñas sencillas o predecibles.

Usuarios Sensitivos Información de Referencia  Algunos links donde pueden obtener mayor información al respecto: passwords/article/34643/ yid=1

Usuarios Sensitivos  Hay soluciones que brindan una solución definitiva a la gestión de contraseñas de emergencia bajo el sistema de sobre cerrado, contribuyendo a una gestión de IT más profesional y confiable.  Los principales beneficios utilizarlas son: Reducción de costos Monitoreo, control y trazabilidad de gestión Flexibilización Optimización de procesos Seguridad mejorada

Para mayor información:

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.