CONTROL DE ACCESOS (6.5)

❀Hola❀

¿Qué tal? ¿Cómo va todo?

Hoy os voy a hablar de un dominio de la ISO 27002 que me parece muy interesante: el CONTROL DEL ACCESOS.

Las empresas deben controlar, teniendo en cuenta los requisitos del negocio y la seguridad de la información, el acceso a la información, los recursos de procesamiento de la información y los procesos de negocio. El acceso a estos datos solo lo deben tener los usuarios autorizados y se debe prevenir el acceso no autorizado a los sistemas de información, para evitar daños a documentos y recursos de procesamiento de la información.

Para impedir el acceso no autorizado al Sistema de Gestión de Seguridad de la Información según la norma ISO 27002 se deberán implantar procedimientos para controlar la asignación de derechos de acceso.
Los procedimientos comprenden todas las etapas de ciclo de vida de los accesos de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privación final de los derechos de todos los usuarios que ya no requieren el acceso.

La cooperación de los usuarios es esencial para la eficiencia de la seguridad, por lo que es necesario que se conciencie sobre las responsabilidades que tiene el mantenimiento de los controles de acceso. 
CONTROL DE ACCESOS: 
1. Política de control de acceso. 
  • Requisitos de seguridad de las aplicaciones individuales del negocio. 
  • Identificación de toda la información relacionada con las aplicaciones del negocio y los riesgos a los que se enfrenta la información. 
  • Políticas para la distribución y autorización de la información.
  • Consistencia entre el control del acceso y las políticas de clasificación de la información de sistemas y redes diferentes. 
  • Legislación pertinente y obligaciones contractuales relacionadas con la protección del acceso a los datos o los servicios. 
  • Perfiles estándar de acceso de usuario para funciones laborales comunes en la organización. 
  • Gestión de los derechos de acceso en un entorno distribuido y con red que reconozca todos los tipos de conexiones posibles. 
  • Distribución de las funciones de control de acceso. 
  • Requisitos para la autorización formal de las solicitudes de acceso. 
  • Requisitos para la revisión periódica de los controles de acceso. 
  • Retiro de los derechos de acceso. 
2. Gestión del acceso de usuarios. 
El objetivo es asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de información. La gestión del acceso de usuarios incluye: 
  • Registro de usuarios. 
  • Gestión de privilegios. 
  • Gestión de contraseñas para usuarios.
  • Revisión de los derechos de acceso de los usuarios.
3. Responsabilidades de los usuarios
El objetivo es evitar el acceso de usuarios no autorizados, el robo o la puesta en peligro de la información y de los servicios de procesamiento de información. Las principales medidas son: 
  • Control del uso de contraseñas. 
  • Asegurar la protección de los equipos desatendidos. 
  • Política de escritorio despejado y de pantalla despejada. 
4. Control de acceso a las redes.
 El objetivo es evitar el acceso no autorizado a los servicios de la red Las principales medidas son: 
  • Establecer políticas de uso de los servicios en red. 
  • Autenticación de usuarios para conexiones externas. 
  • Identificación de equipos en redes. 
  • Protección de los puertos de configuración y diagnóstico remoto. 
  • Separación en las redes. 
  • Control de conexión a las redes. 
  • Control de enrutamiento en la red. 
5. Control de acceso al sistema operativo. 
Trata de evitar el acceso no autorizado a los sistemas operativos. Este control incluye: 
  • Procedimientos de registro de inicio seguro. 
  • Identificación y autenticación de usuarios. 
  • Sistema de gestión de contraseñas. 
  • Uso de las utilidades del sistema. 
  • Tiempo de inactividad de la sesión. 
  • Limitación del tiempo de conexión. 
6. Control de acceso a las aplicaciones y a la información. 
El objetivo es evitar el acceso no autorizado a la información contenida en los sistemas de aplicación. Las principales medidas son: 
  • Restricción del acceso a la información. 
  • Aislamiento de sistemas sensibles. 
7. Computación móvil y trabajo remoto. 
Se debe intentar garantizar la seguridad de la información cuando se utilizan dispositivos de computación móviles y de trabajo remoto. 
  • Controlar la computación y comunicaciones móviles.
  • Trabajo remoto. 
¡Espero que os haya interesado esta entrada! Es algo largo pero muy interesante y necesario para salvar la información. 

Un saludo bloggeros! 

Claudia Blanco Prego. 




Comentarios

Publicar un comentario

Entradas populares de este blog

ISO27002:2005 VS ISO27002:2013. (6.1)

Imagen
❀Hola❀ ¿Qué tal? ¿Cómo va todo? En entradas pasadas os hablé de la norma ISO 27002, hoy vamos a conocer mejor dicha norma. Espero que os interese! La norma ISO/IEC 27002 es un estándar para la seguridad de la información. La norma está publicada por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional.  La ISO 27002 cubre a todo tipo de organizaciones sin tener en cuenta su tamaño, norma o tipo. El principal objetivo de la ISO 27002 es establecer directrices y principios generales para implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. La norma cuenta con 14 capítulos y con la recomendación de 114 controles de seguridad. A continuación os expongo los catorce capítulos: 1. Políticas de seguridad:  refleja la importancia de un conjunto de políticas para la seguridad de la información. 2. Organización de la Seguridad de la Información : se trata de la organización interna para tene...
Leer más

TABLA DE RIESGO (7.5)

Imagen
❀Hola❀ ¿Qué tal? ¿Cómo va todo? Para esta actividad, yo he decicido que mi riesgo aceptable es el 4 y sobre ese valor, he decidido el nivel de riesgo de los activos.  ¡Espero que os haya interesado y gustado esta entrada! Un saludo bloggeros! Claudia Blanco Prego
Leer más