1. ALEJANDRO SEBASTIAN SALAS SUAREZ
AUDITORIA DE SISTEMAS II
CA 10 - 3
CONTROL DE USO Y
ASIGNACIÓN DE PRIVILEGIOS
2. PS DOMINIO – PRESTACIÓN Y SOPORTE
PS6 EDUCACION Y ENTRETENIMIENTO DE USUARIOS – AUTENTIFICACION –
PROCESO
CONTROL DE USO Y ASIGNACIÓN DE PRIVILEGIOS
INTRODUCCION
En la actualidad el uso del Internet se ha convertido en la herramienta más importante para el
diario vivir del ser humano, ya sea en el ámbito laboral como personal, pero a su vez dada su
acelerada acogida cada vez más rápido por edades mas cortas, quienes no tienen una noción
correcta de los posibles peligros que trae esta, ya sea con el robo de información personal
como con el uso de la información que se transmite electrónicamente.
En el Ecuador he podido observar un cambio rápido en las normas de seguridades internas de
las paginas electrónicas de las Instituciones Financieras que han optado por utilizar mas pasos
o requisitos para que el usuario tenga una mayor confianza en el uso del Internet para realizar
las diligencias diarias.
DESARROLLO
EL internet y el manejo diario de información por este medio se ha transformado en a
herramienta más necesarias el trabajo y el diario vivir de la humanidad, pero atrás de este
privilegio tecnológico que tenemos en la actualidad se esconde posibles problemas en el uso
no autorizado o la filtración de información de uso personal, que esto sin las seguridades
necesarias es altamente vulnerable, por lo que debemos tener en cuenta los siguientes puntos
importantes a mi criterio.
Se debe realizar la revisión de la política de seguridad de la información a intervalos regulares
planificados, los resultados de la revisión deben reflejar los cambios que afecten a la
valoración inicial de los riesgos en la organización.
El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los
requerimientos de seguridad y de los negocios.
3. Se debe establecer una estructura de la seguridad de la información, de tal manera que
satisfaga todos los requerimientos, para lo cual es indispensable la participación de los
representantes de las diferentes áreas dentro de la organización para cubrir las distintas
necesidades.
Identificar los privilegios de cada elemento del sistema y las categorías de los campos o
usuarios que los necesitan.
Asignar privilegios según la necesidad y caso por caso además de mantener un proceso de
autorización y un registro de los privilegios asignados.
No se darán privilegios hasta que se complete el proceso de autorización;
PS DOMINIO – Promover el desarrollo y uso de rutinas para evitar la asignación de privilegios
a los usuarios inclusive asignar los privilegios a un identificador de usuario distinto del asignado
para uso normal.
A través del siguiente enlace “www.icm.espol.edu.ec/materias/icm02014/files/Grupo7.ppt
“ se puede apreciar un trabajo completo acerca de la auditoría de sistemas de donde extraje el
texto que describo en la parte inferior que complementa la idea con la que inicio este ensayo.
“Procesos de autorización para los recursos de tratamiento de la información
Se debe definir e implementar el proceso de autorización de recursos para el
tratamiento de la información”
Administración de accesos de usuarios
• Impedir el acceso no autorizado en los sistemas de información.
Requerimientos políticos y de negocios.
• Requerimientos de Seguridad.
• Identificación de información relacionada.
• Políticas de divulgación y autorización.
• Coherencia entre las políticas de acceso y de clasificación de la información.
4. • Perfiles de acceso de usuarios
Reglas de control de accesos
• Reglas Permanentes Vs. Reglas optativas o Condicionales.
• Cambios en los rótulos de información.
• Cambios en los permisos de usuarios.
• Reglas que requieren aprobación.
Administración de privilegios.
• Identificar los privilegios por producto.
• Privilegios de acuerdo a la necesidad.
• Registro de los privilegios asignados.
• Desarrollo y uso de rutinas.
• Privilegios asignados a Ids diferentes.
• Restricción del acceso a la información
• Provisión de menús para controlar el acceso a las funciones de los sistemas.
• Restricción del conocimiento de los usuarios acerca de la información o de las
funciones de los sistemas de aplicación.
• Control de los derechos de acceso.
• Garantizar que las salidas de los sistemas de aplicación, contengan información
pertinente a la salida.”
CONCLUSIONES
• Se debe impartir desde edades más pequeña la importancia y los mecanismos que se
puede optar en cualquier documento o tipo de información que se maneje en el
internet
• Emitir posibles talleres de seguridad en información del Internet
• Impartir el uso de las normas ISO 27001 y las que nos ayuden a mantener nuestra
información segura y alcance de quienes realmente las necesiten.
5. RECOMENDACIONES
Algo más que debemos tener en cuenta es que en toda información que filtremos al internet
no omitamos puntos referenciales como pueden ser.
Gestión de privilegios
Donde debería restringirse y controlarse el uso y asignación de privilegios, se deberían
considerar los pasos siguientes: identificar los privilegios; asignar privilegios a los individuos
según los principios de “necesidad de uso”; mantener un proceso de autorización y un registro
de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de
autorización haya concluido; promover el desarrollo y uso de rutinas del sistema; promover el
desarrollo y uso de programas; asignar los privilegios a un identificador de usuario distinto al
asignado para un uso normal. Un uso inapropiado de los privilegios puede ser causa de fallas.
Revisión de los derechos de acceso de los usuarios
No permitirá establecer un proceso formal de revisión periódica de los derechos de acceso de
los usuarios, debería considerar las siguientes pautas: revisar los derechos de acceso de los
usuarios a intervalos de tiempo regulares; los derechos de acceso de los usuarios deben ser
revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma
organización; revisar más autorizaciones de derechos de acceso con privilegios especiales;
comprobar asignaciones de privilegios a intervalos de tiempo regulares; los cambios en las
cuentas privilegiadas deben ser registradas para una revisión periódica, para mantener un
control efectivo del acceso a los datos y los sistemas de información.
NETGRAFIA
• www.icm.espol.edu.ec/materias/icm02014/files/Grupo7.ppt
• docs.oracle.com/cd/E37929_01/html/E36668/rbac-1.html
• www.monografias.com/...privilegios.../sistema-gestion-privilegios-
subversion.shtml