1. Estos son algunas de las observaciones que realice al ver las exposiciones de los demás compañeros de gerenciales y de
los regaños realizados por controlito, he tomado en cuenta algunos comentarios y sugerencias de controlito para sacar una
lista de cosas en las que se fija el ingeniero en las exposiciones y en los sistemas de información gerencial.
Todo esto fue sacado en de lo que ha dicho el ingeniero en las clases y en las discusiones.
1. Las contraseñas deben de ser seguras, cualquier contraseña que esté en uso debe tener un grado de complejidad,
como mínimo de 8 caracteres y como máximo 16 caracteres con una mezcla de letras, números y símbolos.
2. Las contraseñas se deben de almacenar en el sistema y en la base de datos de forma encriptado.
3. No entregar ni decir la contraseña a nadie, ni escribirla en un lugar visible.
4. El SIG debe tener manejo de las medidas de seguridad.
5. Un SIG debe tener una identificación, autenticación y acceso.
6. Hay que tener cuidado en la seguridad de acceso a los datos en la base de datos.
7. Debe haber administración de cuentas de usuarios (crear, eliminar o dar de baja, modificar).
8. Poner mecanismos de bloqueo de los usuarios, en particular considerar al menos las siguientes:
a. Bloqueo automático por intentos reiterados de acceso fallidos (por ejemplo: 6 intentos).
b. Bloqueo automático asociado a intentos de acceso fuera del intervalo de fechas de validez de un
identificador de usuario.
c. Bloqueo manual por parte del administrador.
d. Se recomienda el bloqueo automático por no acceso en un determinado período de tiempo (por ejemplo:
tres meses) con objeto de regularizar las cuentas activas.
9. No se debe permitir eliminar el usuario que esta logueado.
10. Uso individual de datos de autenticidad (ejemplo: passwords y no reutilizables).
11. El número de sesiones concurrentes correspondientes al mismo usuario tiene que estar limitadas.
12. Ningún usuario (usuarios dentro del sistema) puede ver los datos del usuario administrador.
13. No se puede registrar un nombre de usuario que ya exista.
14. Hay que tener control de usuario de las cuentas de usuarios.
15. Tener cuidado en la vigilancia de seguridad.
16. Administración centralizada de identificación y derechos de acceso.
17. El control de acceso debe existir perfiles y roles.
18. El acceso a los SIG deben estar basados habitualmente en perfiles y roles, estos mecanismos determinan en base
a las necesidades autorizadas de los usuarios:
a. Las funcionalidades (de las previstas por el SIG) a las que podrán acceder (con frecuencia basado en
puntos de menú).
b. Los datos a los que deberán tener acceso, para ello segmentar los usuarios en base a criterios organizativos .
19. Debería de haber reportes de actividades de violación y seguridad, estos reportes deberán incluir:
a. Intentos no autorizados de acceso al sistema.
b. Intentos no autorizados de acceso a los recursos del sistema.
c. Intentos no autorizados para consultar o modificar los datos de los SIG.
d. Privilegios de acceso a recursos por ID de usuario.
e. Al lograrse la sesión exitosamente debe haber un historial de los intentos exitosos y fallidos de acceso a la
cuenta del usuario.
2. 20. También debería de haber un registro que incluya, al menos, la identificación del usuario, la fecha y hora en la que
se realizó el acceso, el tipo de acceso y si ha sido autorizado o denegado.
21. Llevar una bitácora de manejo de incidentes.
22. Protección de las funciones de seguridad.
23. Administración de llaves criptográficas.
24. Arquitectura de firewalls y conexiones con las redes públicas.
25. Procedimientos de administración de cuentas de usuario.
26. Política de seguridad del usuario o de protección de la información.
27. La red en la que se estén los SIG y a la que accedan los usuarios de los SIG tienen que estar protegidas de accesos
no autorizados.
28. El acceso a otras redes estará protegido a través de cortafuegos u otro tipo de mecanismos que aseguren en las
comunicaciones a través de las redes locales un nivel de protección suficiente frente a las amenazas de terceros.
29. Los dispositivos de red como los routers también estarán adecuadamente asegurados y protegidos.
30. Se deben de realizar copias de respaldo que aseguren en caso de ser necesario la recuperación de la información al
producirse algún accidente.
31. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos.
32. Evaluar la suficiencia probando que la función de servicios de información cumple con los estándares de seguridad
relacionados con:
a. Autenticación y acceso.
b. Administración de clasificación de perfiles de usuario y seguridad de datos.
c. Reportes y revisión gerencial de las violación e incidentes de seguridad.
d. Estándares criptográficos administrativos clave.
e. Clasificación y propiedad de datos.
33. El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada, la cuenta es para uso
personal e intransferible.
34. Las cuentas de usuario (usuario y contraseña) deben de ser sensibles a mayúsculas y minúsculas.
35. No compartir la cuenta de usuario con otras personas.
36. Las cuentas de usuarios de los SIG deben de ser cuentas que sean utilizadas por los usuarios para acceder a los
diferentes reportes, estas cuentas permiten el acceso para consulta de información, y se encuentran reguladas por
los roles de usuario de los SIG.
37. Las cuentas de administrador de los SIG permiten realizar tareas específicas de usuario a nivel directivo, como por
ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema.
38. Todas las contraseñas con carácter administrativo deberán ser cambiadas al menos cada 6 meses.
39. Todas las contraseñas de nivel usuario deberán ser cambiadas al menos cada 12 meses.
40. Todas las contraseñas deberán ser tratadas con carácter confidencial.
41. Se debe evitar el activar o hacer uso de la utilidad de “recordar contraseña” de los sistemas.
42. Criterios en la construcción de contraseñas seguras:
a. La longitud debe ser al menos de 8 caracteres.
3. b. Contener caracteres tanto en mayúsculas como en minúsculas.
c. Puede tener dígitos y caracteres especiales como: _, -, /, *, $, ¡, ¿, =, +, etc.
d. No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc.
e. No debe ser un palíndromo (ejemplo: agasaga)
f. No debe ser basada en información personal, nombres de familia, etc.
g. Procurar construir contraseñas que sean fáciles de recordar o deducir.
43. Algunos ejemplos de contraseñas NO seguras por si solas:
a. Nombres de familiares, mascotas, amigos, compañeros de trabajo, personajes, etc
b. Cualquier palabra de cualquier diccionario, términos, sitios, compañías, hardware, software, etc.
c. Cumpleaños, aniversarios, información personal, teléfonos, códigos postales, etc.
d. Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc.
e. Composiciones simples como: MINOMBRE1, 2minombre, etc.
44. El manejo de fechas debe ser abirto para el usuario (o sea que el pueda seleccionar de que fecha a que hecha quiere un
reporte)