La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS

Publicada porEmiliana Arias Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS"— Transcripción de la presentación:

1 Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS
Instituto de Ciencias Matemáticas (ICM) Auditoria de Sistemas de Gestión. Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS Jarama García Víctor. Maridueña Pardo Malena. Molina Yugcha Tania. Navarrete Carreño Oswaldo. Ríos Saltos Liliana. Solis Altamirano Alejandro Auditoria de Sistemas de Gestión Control de Accesos

2 Controlar el acceso de información.
Objetivo Controlar el acceso de información. El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los requerimientos de seguridad y de los negocios. Auditoria de Sistemas de Gestión Control de Accesos

3 Política de control de accesos
Requerimientos políticos y de negocios. Requerimientos de Seguridad. Identificación de información relacionada. Políticas de divulgación y autorización. Coherencia entre las políticas de acceso y de clasificación de la información. Perfiles de acceso de usuarios Requerimientos Auditoria de Sistemas de Gestión Control de Accesos

4 Reglas de control de accesos
Reglas Permanentes Vs. Reglas optativas o Condicionales. “¿Qué debe estar generalmente prohibido a menos que se permita expresamente?” Sobre “Todo esta generalmente permitido a menos que se prohíba expresamente” Cambios en los rótulos de información. Cambios en los permisos de usuarios. Reglas que requieren aprobación. Reglas Auditoria de Sistemas de Gestión Control de Accesos

5 Administración de accesos de usuarios
Objetivo Administración de accesos de usuarios Impedir el acceso no autorizado en los sistemas de información. Auditoria de Sistemas de Gestión Control de Accesos

6 Ciclo de vida de los accesos de usuarios
Registro de Usuarios. Administración de privilegios. Administración de contraseñas. Revisión de derechos. Auditoria de Sistemas de Gestión Control de Accesos

7 Registro de Usuario Reglas
Ids de Usuarios únicos. Ids grupales sólo si es conveniente. Autorización del propietario del sistema. Nivel de acceso adecuado. Detalle escrito de los derechos de acceso. Firmas de declaraciones señalando que se comprende los derechos de acceso. No otorgar accesos hasta completar los procesos de autorización. Registro formal de los usuarios. Ids redundantes. Reglas Auditoria de Sistemas de Gestión Control de Accesos

8 Administración de privilegios.
Identificar los privilegios por producto. Privilegios de acuerdo a la necesidad. Registro de los privilegios asignados. Desarrollo y uso de rutinas. Privilegios asignados a Ids diferentes. Auditoria de Sistemas de Gestión Control de Accesos

9 Administración de Contraseñas
Compromiso de mantener contraseñas personales y grupales en secreto. Contraseñas propias. En caso de ser necesario contraseñas provisionales (primera vez o pérdida). Evitar la participación de terceros o mails sin protección. Notificar que se recibió la clave. Auditoria de Sistemas de Gestión Control de Accesos

10 Revisión de derechos de acceso.
Revisar a intervalos frecuentes: Los derechos de acceso. Autorización de privilegios especiales. Asignaciones de privilegios. Auditoria de Sistemas de Gestión Control de Accesos

11 Responsabilidades del usuario.
Objetivo Responsabilidades del usuario. Impedir el acceso de usuarios no autorizados Auditoria de Sistemas de Gestión Control de Accesos

12 Uso de contraseñas Mantener las contraseñas en secreto.
Evitar mantener un registro en papel de las contraseñas. Cambiar las contraseñas cuando exista un indicio de compromiso con el sistema o las contraseñas. Seleccionar contraseñas de calidad (mínimo 6 caracteres) No incluir contraseñas en los procesos automatizados. No compartir las contraseñas. Auditoria de Sistemas de Gestión Control de Accesos

13 Equipos desatendidos en áreas de usuarios.
concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado, por ej. un preservador de pantallas protegido por contraseña ; llevar a cabo el procedimiento de salida de los procesadores centrales cuando finaliza la sesión (no solo apagar la PC o terminal); proteger las PCs o terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente, por ej. contraseña de acceso, cuando no se utilizan. Auditoria de Sistemas de Gestión Control de Accesos

14 Control de Acceso a la red.
Objetivo Control de Acceso a la red. Protección de los servicios de red. Auditoria de Sistemas de Gestión Control de Accesos

15 Política de utilización de los servicios de red.
Redes y servicios a los cuales se permite el acceso. Procedimientos de autorización para determinar las redes y servicios a los cuales tienen permitido el acceso. Controles y procesos de gestión para proteger el acceso Auditoria de Sistemas de Gestión Control de Accesos

16 Camino forzado El objetivo de un camino forzado es evitar que los usuarios seleccionen rutas fuera de la trazada entre la terminal de usuario y los servicios a los cuales el mismo esta autorizado a acceder. Ejemplos: conexión automática de puertos a gateways de seguridad; limitar las opciones de menú y submenú de cada uno de los usuarios ; evitar la navegación ilimitada. Auditoria de Sistemas de Gestión Control de Accesos

17 Autenticación de usuarios para conexiones externas
Las conexiones externas son de gran potencial para accesos no autorizados a la información de la empresa. Autenticación: Criptografía. “Tokens” de hardware. Protocolo de pregunta/respuesta. Líneas dedicadas privadas. Procedimientos y controles de rellamada o dial-back Auditoria de Sistemas de Gestión Control de Accesos

18 Autenticación de nodos
Una herramienta de conexión automática a una computadora remota podría brindar un medio para obtener acceso no autorizado a una aplicación de la empresa. Puede servir como un medio alternativo de autenticación de grupos de usuarios remotos. Auditoria de Sistemas de Gestión Control de Accesos

19 Nodos Auditoria de Sistemas de Gestión Control de Accesos

20 Protección de puertos de diagnostico remoto
Muchas computadoras y sistemas de comunicación son instalados con una herramienta de diagnostico remoto. Deben ser protegidos por un mecanismo de seguridad apropiado. Ejemplo: Una cerradura de seguridad y un procedimiento que permita su acceso sólo en caso de ser necesario. Auditoria de Sistemas de Gestión Control de Accesos

21 Subdivisión de redes Se debe considerar la introducción de controles dentro de la red, a fin de segregar grupos de servicios de información, usuarios y sistemas de información. Dividirlas en dominios lógicos separados, por ej. dominios de red internos y externos de una organización y cada dominio protegido por un perímetro de seguridad (gateway). Los criterios para la subdivisión de redes en dominios deben basarse en la política de control de accesos y los requerimientos de acceso Auditoria de Sistemas de Gestión Control de Accesos

22 Control de conexión a la red
Los requerimientos de la política de control de accesos para redes compartidas, pueden requerir la incorporación de controles para limitar la capacidad de conexión. Gateways de red que filtren el tráfico por medio de reglas. Las restricciones deben basarse en la política y requerimientos de acceso de la empresa. Correo electrónico. Transferencia unidireccional y bidireccional de archivos. Acceso interactivo. Acceso de red vinculado a hora y fecha. Auditoria de Sistemas de Gestión Control de Accesos

23 Control de ruteo de red Las redes compartidas pueden requerir la incorporación de los controles de ruteo para garantizar que las conexiones informáticas y los flujos de información no violen la política de control de acceso Estos controles deben basarse en la verificación positiva de direcciones de origen y destino. Auditoria de Sistemas de Gestión Control de Accesos

24 Seguridad de los servicios de red
Las organizaciones que utilizan servicios de red deben garantizar que se provea de una clara descripción de los atributos de seguridad de todos los servicios utilizados. Auditoria de Sistemas de Gestión Control de Accesos

25 Control de Acceso al sistema operativo.
Objetivo Control de Acceso al sistema operativo. Impedir el acceso no autorizado al computador. Auditoria de Sistemas de Gestión Control de Accesos

26 Identificación automática de terminales
Es una técnica que puede utilizarse si resulta importante que la sesión solo pueda iniciarse desde una terminal informática o una ubicación determinada. Puede resultar necesario aplicar protección física a la terminal. Auditoria de Sistemas de Gestión Control de Accesos

27 Procedimientos de conexión de terminales
No desplegar identificadores de sistemas o aplicaciones. Sólo usuarios autorizados. No dar mensajes de ayuda. Validar la información de conexión, sólo cuando se completen la totalidad de los datos. Limitar el número de intentos de conexión no exitosos. Limitar el tiempo máximo y mínimo para la conexión. Desplegar la siguiente información: Fecha y hora de la última conexión Detalles de los intentos de conexión no exitosos desde la última conexión. Auditoria de Sistemas de Gestión Control de Accesos

28 Identificación y autenticación de usuarios
Todos los usuarios deben tener un ID único. A fin de rastrear las actividades hasta llegar al responsable. Sólo en ciertas circunstancias se puede usar un ID compartido. Contraseñas, tokens, autenticación biométrica. Una combinación de tecnologías y mecanismos vinculados de manera segura tendrá como resultado una autenticación más fuerte. Auditoria de Sistemas de Gestión Control de Accesos

29 Sistema de administración de contraseñas
Imponer el uso de contraseñas individuales. Permitir cambiar la contraseña Selección de contraseñas de calidad. Imponer cambios en las contraseñas. Mantener un registro de las contraseñas previas. No mostrar las contraseñas en pantalla. Almacenar en forma cifrada las contraseñas. Modificar las contraseñas predeterminadas. Auditoria de Sistemas de Gestión Control de Accesos

30 Uso de utilitarios del sistema
Uso de procedimientos de autenticación para utilitarios. Separación de los utilitarios y el software. Limitación de uso de utilitarios. Autorización de uso de utilitarios. Registro de todo uso de utilitarios. Remoción del software basado en utilitarios. Auditoria de Sistemas de Gestión Control de Accesos

31 Alarmas Silenciosas Provisión de alarmas silenciosas para los usuarios que podrían ser objetos de coerción. Debe basarse en una evaluación de riesgos. Auditoria de Sistemas de Gestión Control de Accesos

32 Desconexión de terminales por tiempo muerto
Las terminales inactivas en ubicaciones de alto riesgo, o que sirven a sistemas de alto riesgo deben apagarse después de un periodo definido de inactividad. Esta herramienta debe limpiar la pantalla y desconectar tanto la aplicación como la red. El lapso por tiempo muerto debe responder a los riesgos de seguridad del área y de los usuarios del terminal. Auditoria de Sistemas de Gestión Control de Accesos

33 Limitación del horario de conexión
La limitación del periodo durante el cual se permiten las conexiones de terminal a los servicios informativos reduce el espectro de oportunidades para el acceso no autorizado. Utilización de lapsos predeterminados. Limitación de los tiempos de conexión al horario normal de oficina. Auditoria de Sistemas de Gestión Control de Accesos

34 Control de Acceso a las aplicaciones.
Objetivo Control de Acceso a las aplicaciones. Impedir el acceso no autorizado a la información no contenida en los sistemas de información. Auditoria de Sistemas de Gestión Control de Accesos

35 Restricción del acceso a la información
Provisión de menús para controlar el acceso a las funciones de los sistemas. Restricción del conocimiento de los usuarios acerca de la información o de las funciones de los sistemas de aplicación. Control de los derechos de acceso. Garantizar que las salidas de los sistemas de aplicación, contengan información pertinente a la salida. Auditoria de Sistemas de Gestión Control de Accesos

36 Aislamiento de sistemas sensibles
La sensibilidad de un sistema debe ser claramente identificada y documentada por el propietario de la aplicación. Cuando una aplicación sensible ha de ejecutarse en un ambiente compartido, los sistemas de aplicación con los cuales esta compartirá los recursos deben ser identificados y acordados con el propietario del sistema. Auditoria de Sistemas de Gestión Control de Accesos

37 Monitoreo del Acceso y uso de sistemas.
Objetivo Monitoreo del Acceso y uso de sistemas. Detectar actividades no autorizadas Auditoria de Sistemas de Gestión Control de Accesos

38 Registro de eventos ID de usuario
Fecha y hora de inicio y terminación. Identidad o ubicación de la terminal, si es posible. Registro de intentos exitosos y fallidos de acceso al sistema. Registro de intentos exitosos y fallidos de acceso a datos y otros recursos. Auditoria de Sistemas de Gestión Control de Accesos

39 Monitoreo del uso de los sistemas
Procedimientos y áreas de riesgos Factores de riesgo Registros y revisión de eventos Criticidad de los procesos de aplicaciones. Valor, sensibilidad o criticidad de la información involucrada. Infiltración y uso inadecuado del sistema. Alcance de la interconexión. Revisión de los registros implica la comprensión de las amenazas que afecta el sistema. Se debe prestar atención a la seguridad de la herramienta de registro. Acceso no autorizado Todas las operaciones con privilegio Intentos de acceso no autorizados Alertas o fallas de sistema. Auditoria de Sistemas de Gestión Control de Accesos

40 Sincronización de relojes
La correcta configuración de los relojes por computadoras es importante para garantizar la exactitud de los registros de auditoria. Los registros de la auditoria inexactos podrían dañar la credibilidad de la evidencia. Auditoria de Sistemas de Gestión Control de Accesos

41 Computación móvil y trabajo remoto.
Objetivo Computación móvil y trabajo remoto. Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo. Auditoria de Sistemas de Gestión Control de Accesos

42 Computación móvil Se debe adoptar una política formal que tome en cuenta los riesgos que implica trabajar con herramientas informáticas móviles. El equipamiento que transporta información importante de la empresa, sensible y/o critica no debe dejarse desatendido. El acceso remoto a la información de la empresa a través de redes publicas, utilizando herramientas informáticas móviles, solo debe tener lugar después de una identificación y autenticación exitosas, y con mecanismos adecuados de control de acceso implementados Se debe brindar entrenamiento al personal que utiliza computación móvil. Auditoria de Sistemas de Gestión Control de Accesos

43 Trabajo remoto El trabajo remoto utiliza tecnología de comunicaciones para permitir que el personal trabaje en forma remota desde un lugar fijo fuera de la organización. Es importante que el trabajo remoto sea autorizado y controlado por la gerencia, y que se implementen disposiciones y acuerdos para esta forma de trabajo. Las organizaciones deben considerar el desarrollo de una política, de procedimientos y de estándares para controlar las actividades de trabajo remoto. Auditoria de Sistemas de Gestión Control de Accesos

Descargar ppt "Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS"

Presentaciones similares

Sistema Organizacional en línea para Administradores y Gerentes de Proyecto Gerente Contratista ConsultorCliente EnVivo Punto central de Coordinación de.

Sistema Organizacional en línea para Administradores y Gerentes de Proyecto Gerente Contratista ConsultorCliente EnVivo Punto central de Coordinación de.
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Auditoria de Sistemas de Gestión

Auditoria de Sistemas de Gestión
Introducción a servidores

Introducción a servidores
ÁREAS SEGURAS Perímetro de Seguridad Control de Accesos

ÁREAS SEGURAS Perímetro de Seguridad Control de Accesos
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Versión 2. 12.03.12. Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.

Versión Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Enrique Cardenas Parga

Enrique Cardenas Parga

Presentaciones similares

Anuncios Google