Embed Size (px)
DESCRIPTION
Control de acceso
Citation preview
CONTROL DE ACCESO
POLITICAS, PROCEDIMIENTOS E
INSTRUCTIVOS
ISO/27002
Integrantes:
1. Dany Aguanta Ch.
2. Jose Luis Cabrera G
3. Marilyn Casanova A.
4. Marito Leaños Arias
Diplomado en Seguridad Informática: Control de Acceso
al Sistema
INTRODUCCIÓN
En la actualidad, las organizaciones están cada vez más dependientes de su Seguridad Informática y un problema que afecte o vulnere su información, podría comprometer la continuidad de las operaciones.
Es así que los procedimientos de las Políticas de Seguridad Informática emergen como instrumentos para concientizar a sus miembros acerca de la sensibilidad de la información y servicios críticos, de la superación de fallas y de las debilidades de tal forma que permiten a la organización cumplir con su misión.
Debido a la gran importancia de asegurar la información y los demás recursos informáticos, las prácticas de seguridad descritas son obligatorias para todo el personal.
POLÍTICAS Y PROCEDIMIENTOS
CONTROL DE ACCESOS
Administración de accesos de usuarios Revisión de derecho de accesos de usuarios
• Procedimiento 1: Monitoreo de derechos de accesos por
usuario
Responsabilidades de los usuarios Uso de contraseñas
• Procedimiento 2: Monitoreo de Asignación de Privilegios
por un Auditor al Jefe de Sistemas
• Procedimiento 3: Monitoreo de Asignación de Privilegios por
Jefe de Sistemas al usuario
PROCEDIMIENTO 1:
MONITOREO DE DERECHO DE ACCESO POR USUARIOS
Objetivos
Establece el procedimiento para el monitoreo de
derecho de acceso por usuarios, este procedimiento
según la norma ISO/27002, pertenece a la política
11.2.4 Revisión de derecho de accesos de usuarios y se
debe realizar periódicamente cada 15 días.
Alcance
Es aplicable a las siguientes áreas de la organización
Gobierno TI
Área Administrativa
Área de Sistemas
MONITOREO DE DERECHO DE ACCESO POR USUARIOS
Responsabilidades Gobierno de TI
Se encarga de solicitar el informe sobre derecho de acceso de usuarios, toma decisión referente a los informes solicitados, se los emite al área administrativa.
Jefe de Sistemas
Debe realizar un análisis de la información solicitada por el Gobierno de TI, verificando que se cumplan los derechos de accesos por usuarios, emitiendo posibles fallas que se presenten.
Área administrativa
Debe realizar un análisis de la información otorgada por el encargado de sistemas, analizando y almacenando el informe que luego se comunica al gobierno y a los usuarios.
Documentos Relacionados Formulario para solicitud de acceso de usuarios.
Formulario de pedido de accesos a sistemas.
MONITOREO DE DERECHO DE ACCESO POR USUARIOS
Definiciones Seguridad de la información
Conservación de la confidencialidad, integridad y disponibilidad de la
información; además, otras propiedades como autenticidad, rendición
de cuentas, no repudio y confiabilidad también pueden estar
implicadas.
REGISTROS
Nombre Formato Frecuencia
Formulario de monitoreo de acceso de
usuarios.
Físico Cuando se considere necesario
Monitoreo de derecho de acceso por usuarios
ANEXOS 1
FORMULARIO DE MONITOREO DE ACCESO DE
USUARIOSPYME COMERCIAL
FORMULARIO DE MONITOREO DE ACCESOS DE USUARIOS
Santa Cruz, 09 / 05 /2011
Señor
Julio Cortes Pérez
Gobierno de TI
Presente.
El monitoreo para el acceso de usuario se realizo en 08/05/2011, se concluyo con el reporte descrito a continuación:
__________________
Jose Jiménez C
(Jefe de Sistemas)
DIRECCION: calle Palmas #325
TELEFONO: 3585947
CORREO: [email protected]
Fecha Hora Usuario Host Aplicacion
20/04/11 09:00 Kinfante PC01 Inicio de sesión
20/04/11 09:15 Kinfante PC01 Word
PROCEDIMIENTO 2:
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
UN AUDITOR AL JEFE DE SISTEMAS
Objetivos
El presente documento tiene como objetivo definir el
procedimiento para Monitorear las asignaciones de
privilegio a cargo de un auditor externo.
Alcance
Es aplicable a las siguientes áreas de la organización
Gobierno TI
Área Administrativa
Área de Sistemas.
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
UN AUDITOR AL JEFE DE SISTEMAS
Responsabilidades
Gobierno TI
Se encarga de solicitar el monitoreo de los privilegios a un Auditor externo.
Auditor externo
Debe realizar un análisis de la información solicitada por el Gobierno TI, verificando que se cumplan las asignaciones de privilegios establecidas, emitiendo posibles reportes de posibles fallas que se presenten.
Documentos Relacionados
Formulario de asignación de privilegios
Formulario de registro de un Usuario
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
UN AUDITOR AL JEFE DE SISTEMAS
Definiciones
Software Utilitario:
Todo aquel software destinado al manejo de los
recursos del computador, de los programas. Como son
la memoria, el disco duro, lector de CD/DVD.
Para todo software utilitario requerido se deberá realizar
los pasos burocráticos, para definir luego la aceptación
o denegación de dicho utilitario.
Active Directory:
Directorio Activo.
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
UN AUDITOR AL JEFE DE SISTEMAS
REGISTROS
Nombre Formato Frecuencia
Formulario de monitoreo de asignación de
privilegios de usuarios.
Físico/Lógico Cuando se considere necesario
Formulario de Incoherencias de Asignación
de Privilegios
Físico/Lógico Cuando se considere necesario
Monitoreo de asignación de privilegio por un
Auditor al jefe de SistemasAnexos: Formulario de Incoherencias de Asignación de
Privilegios
PYME Comercial
Formulario de Incoherencias de Asignación de Privilegios
Santa Cruz, 09 / 05 /2011
Señor
Julio Cortes Pérez
Gobierno de TI
Presente.
Nombre de Auditado:…………………………………….. ……………………
Tipo de Incidentes:
Violaciones de asignación: …………………………………..……………………
…………………………………………………………………………………………
Auditor Responsable
DIRECCION: calle Palmas #325
TELEFONO: 3585947
CORREO: [email protected]
Procedimiento 3:
Monitoreo de asignación de privilegio por el
Jefe de Sistemas a un Usuario.
Objetivos
Establecer el procedimiento para el Monitoreo de
asignación de privilegios concedidos al usuario.
Alcance
Es aplicable a las siguientes áreas de la empresa:
• Gobierno TI
• Área de Sistemas
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
EL JEFE DE SISTEMAS A UN USUARIO.
Responsabilidades
Gobierno de TI Encargado de hacer cumplir con los
procedimientos administrativo
Jefe de Sistemas.- Realiza los análisis pertinentes
para identificar: amenazas, ventajas, desventajas,
puntos débiles y nivel de rendimiento del software
usado en la empresa.
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL
JEFE DE SISTEMAS A UN USUARIO.
Documentos Relacionados
Formulario de incidentes.
Formulario para Petición de Asignación de Privilegios
Formulario para Registro de Privilegios de Usuarios
Definiciones
Procedimiento administrativo: proceso mediante el
cual un órgano administrativo adopta decisiones sobre
las pretensiones formuladas por la ciudadanía o sobre
las prestaciones y servicios cuya satisfacción o tutela
tiene encomendadas.
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL
JEFE DE SISTEMAS A UN USUARIO.
REGISTRO
Nombre Formato Frecuencia
Reporte de Privilegios Asignados. Digital/Físico Cuando se considere necesario
Formulario de Incoherencias de
Asignación de Privilegios
Físico Cuando se encuentre incoherencias en l
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
EL JEFE DE SISTEMAS A UN USUARIO. ANEXOS PYME Comercial
Formulario de Incoherencias de Asignación de Privilegios
Santa Cruz, 09 / 05 /2011
Señor
Julio Cortes Pérez
Gobierno de TI
Presente.
Nombre de Auditado:…………………………………….. ……………………
Tipo de Incidentes:
Aplicaciones: …………………………………..………………………………
………………………………………………………………………………….
Recursos: …………………………………..…………………………………..
………………………………………………………………………………….
Información: …………………………………..……………………
………………………………………………………………………………….
Jefe de Sistemas
LUEGO DE LLENAR E IMPRIMIR ESTE DOCUMENTO, ES OBLIGATORIO FIRMARLO Y
SELLARLO PARA SU VALIDEZ
DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO
DE DERECHO DE ACCESO POR USUARIOS
INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE
DERECHO DE ACCESO POR USUARIOS
INSTRUCTIVO EN WINDOWS SERVER 2003
DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO
DE DERECHO DE ACCESO POR USUARIOS
INSTRUCTIVO EN WINDOWS SERVER 2003
DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO
DE DERECHO DE ACCESO POR USUARIOSINSTRUCTIVO EN WINDOWS SERVER 2003
DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO
DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL
JEFE DE SISTEMAS
INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE
ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN
WINDOWS SERVER.
Accedemos a Usuarios y equipos de Active Directory y nos muestra el siguiente Grafico
INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE
ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN
WINDOWS SERVER.
En este formulario Vemos a todos los usuarios del sistema.
Seleccionamos uno y le damos Click Derecho, y nos muestra el siguiente Grafico
INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE
ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN
WINDOWS SERVER.
Dando en Propiedades nos muestra la siguiente imagen.
NOS VAMOS A LA PESTANA MIEMBRO DE, EN EL CUAL PODEMOS VER LOS PRIVILEGIOS
DEL USUARIO EN CUESTIÓN.
DIAGRAMA DE FLUJO: MONITOREO DE ASIGNACIÓN
DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN
USUARIO.
