El documento describe los conceptos clave del control de acceso, incluyendo identificación, autenticación y autorización. Explica que la identificación se refiere a cómo los usuarios se identifican a sí mismos, la autenticación verifica su identidad, y la autorización determina qué recursos pueden usar. El objetivo general es asegurar el acceso autorizado y prevenir el acceso no autorizado a sistemas y información.
2. El control de acceso implica quién tiene acceso
a sistemas informáticos específicos y recursos
en un momento dado. El concepto de control de
acceso consta de tres pasos. Estos pasos son la
identificación, autenticación y autorización.
Con el uso de estos tres principios un
administrador del sistema puede controlar que
recursos están disponibles para los usuarios de un
sistema.
3. • Impedir el acceso no autorizado a los sistemas de
información, bases de datos y servicios de información.
• Implementar seguridad en los accesos de usuarios por medio
de técnicas de autenticación y autorización.
• Controlar la seguridad en la conexión entre la red del
Organismo y otras redes públicas o privadas.
• Registrar y revisar eventos y actividades críticas llevadas a
cabo por los usuarios en los sistemas.
• Concientizar a los usuarios respecto de su responsabilidad
frente a la utilización de contraseñas y equipos.
• Garantizar la seguridad de la información cuando se utiliza
computación móvil e instalaciones de trabajo remoto.
4. • Uno de los principios que deben incorporarse al
establecer una política de control de acceso eficaz
es la práctica de un acceso mínimo o menos
privilegios. Lo que esto significa es que un usuario
debe tener la menor cantidad de acceso requerido
para hacer su trabajo.
• El principio del menor privilegio incluye la limitación
de los recursos y aplicaciones accesibles por el
usuario, así como el acceso en tiempo permitido.
Por, ejemplo, a veces, puede no ser aconsejable
permitir el acceso a los registros financieros a las 3:00
am por la mañana, cuando las instalaciones deberían
estar cerradas.
5. • La identificación se refiere las cosas como nombres de usuario y
tarjetas de identificación. Es el medio por el cual un usuario del
sistema identifica quiénes son. Este paso se realiza generalmente al
iniciar sesión.
• La autenticación es el segundo paso del proceso de control de
acceso. Contraseñas, reconocimiento de voz, y escáneres biométricos
son métodos comunes de autenticación. El objetivo de la
autenticación es para verificar la identidad del usuario del sistema.
• La autorizacion se produce después de que un usuario del sistema se
autentica y luego es autorizado a utilizar el sistema. El usuario esta
generalmente sólo autorizado a usar una porción de los recursos
del sistema en función de su papel en la organización. Por
ejemplo, el personal de ingeniería tiene acceso a diferentes
aplicaciones y archivos que el personal de finanzas, o recursos
humanos no.
6. *Gestión de accesos de usuario
*Control de accesos al sistema operativo
*Control de acceso a la información y
aplicaciones
*Control de accesos en red
7. •Registro de usuarios
•Gestión de privilegios
•Gestión de contraseñas de usuario
•Revisión de los derechos de acceso de los
usuarios
8. •Procedimientos de conexión de terminales
•Identificación y autenticación de los usuarios
•Sistema de gestión de contraseñas
•Utilización de utilidades del sistema
•Timeout de sesiones
•Limitación del tiempo de conexión
10. •Política de uso de los servicios de red
•Autenticación para conexiones externas
•Identificación de equipos en la red
•Protección a puertos de diagnóstico remoto y
configuración
•Segregación en las redes
•Control de conexión a las redes
•Control de enrutamiento en red
12. • El objetivo es asegurar el acceso autorizado de usuario y prevenir accesos no
autorizados a los sistemas de información.
• Debería restringirse y controlarse el uso y asignación de privilegios:
– identificar los privilegios;
–asignar privilegios a los individuos según los
principios de “necesidad de uso”;
–mantener un proceso de autorización y un registro
de todos los privilegios asignados. No se otorgarán
privilegios hasta que el proceso de autorización
haya concluido;
–promover el desarrollo y uso de rutinas del sistema;
promover el desarrollo y uso de programas;
–asignar los privilegios a un identificador de usuario
distinto al asignado para un uso normal. Un uso
inapropiado de los privilegios puede ser causa de
fallas.