El documento describe los requisitos y procedimientos para el control de accesos a sistemas y aplicaciones. Se debe desarrollar una política de control de accesos basada en los requisitos del negocio y de seguridad. Se debe implementar un proceso formal para registrar y dar de alta/baja usuarios, asignarles derechos de acceso y revisar periódicamente dichos derechos. Asimismo, se deben controlar estrictamente los accesos con privilegios especiales, las contraseñas de los usuarios y el uso de herramientas
1. 9.CONTROL DE
ACCESOS
9.1 REQUISITOS DE
NEGOCIO PARA EL
CONTROL DE ACCESOS
9.2 GESTIÓN DE ACCESO
DE USUARIO
9.3 RESPONSABILIDADES
DEL USUARIO
9.4 CONTROL DE ACCESO A
SISTEMAS Y APLICACIONES
9.1.1 Política de control de
accesos
9.1.2 Control de acceso a las
redes y servicios asociados.
• Documentar y revisar una política de control de acceso con base en los requisitos del negocio y de seguridad de la información.
• Los propietarios de los activos deberían determinar las reglas de control de acceso apropiadas.
• Se debería dar a los usuarios y a los proveedores de servicios una indicación clara de los requisitos del negocio que deben cumplir los controles
de acceso
• Solo se debería permitir acceso de los usuarios a la red y a los servicios de red para los que hayan sido autorizados específicamente.
• Se debería formular una política acerca del uso de redes y de servicios de red.
• Este control es particularmente para conexiones de red o aplicaciones de negocios críticas, o para usuarios en sitios de alto riesgo.
9.2.1 Gestión de altas/bajas en
el registro de usuarios.
9.2.2 Gestión de los derechos
de acceso asignados a
usuarios.
• Implementar un proceso formal de registro y de cancelación de registro de usuarios, para posibilitar la asignación de los derechos de acceso.
• Identificar y eliminar o deshabilitar periódicamente las identificaciones de usuario redundantes.
• Suministrar o revocar el acceso a la información o a las instalaciones de procesamiento de información es habitualmente un procedimiento
de dos pasos
9.2.3 Gestión de los
derechos de acceso con
privilegios especiales.
9.2.4 Gestión de información
confidencial de autenticación
de usuarios de usuarios.
9.2.5 Revisión de los derechos
de acceso de los usuarios
9.2.6 Retirada o
adaptación de los derechos
de acceso de usuarios.
• A implementar un proceso de suministro de acceso formal de usuarios para asignar o revocar los derechos de acceso a todo tipo de usuarios
para todos los sistemas y servicios.
• Obtener autorización del propietario del sistema de información o servicio para el uso del sistema de información o servicio
• Verificar que el nivel de acceso otorgado es apropiado a las políticas de acceso.
• Restringir y controlar la asignación y uso de derechos de acceso privilegiado.
• Identificar los derechos de acceso privilegiado asociados con cada sistema o proceso, por ejemplo, sistema operativo, sistema de gestión de
bases de datos, y cada aplicación y los usuarios a los que es necesario asignar.
• Se debería mantener un proceso de autorización y un registro de todos los privilegios asignados
• La asignación de información de autenticación secreta se debería controlar por medio de un proceso de gestión formal.
• Se debería pedir a los usuarios que firmen una declaración para mantener confidencial la información de autenticación secreta personal
• Se deberían establecer procedimientos para verificar la identidad de un usuario antes de proporcionarle la nueva información de
autenticación secreta de reemplazo o temporal
• Los propietarios de los activos deberían revisar los derechos de acceso de los usuarios, a intervalos regulares
• Los derechos de acceso de los usuarios se deberían revisar a intervalos regulares y después de cualquier cambio, promoción, cambio a un cargo
a un nivel inferior, o terminación del empleo.
• Las autorizaciones para los derechos de acceso privilegiado se deberían revisar a intervalos más frecuentes
• Los derechos de acceso de todos los empleados y de usuarios externos a la información y a las instalaciones de procesamiento de información
se deberían retirar al terminar su empleo, contrato o acuerdo
• El retiro o ajuste se puede hacer mediante el retiro, revocación o reemplazo de llaves, tarjetas de identificación, instalaciones de procesamiento
de información o
• suscripciones.
9.3.1 Uso de información de
autenticación secreta
• Deberíamos exigir a los usuarios que cumplan las prácticas de la organización para el uso de información de autenticación secreta.
• Mantengan la confidencialidad de la información de autenticación secreta, asegurándose de que no sea divulgada a ninguna otra parte,
incluidas las personas con autoridad-
• Eviten llevar un registro de autenticación secreta
9.4.1 Restricción del acceso a
la información
9.4.2 Procedimientos seguros
de inicio de sesión
9.4.3 Gestión de contraseñas de
usuario
9.4.4 Uso de herramientas de
administración de sistemas
9.4.5 Control de acceso al
código fuente de los
programas
• El acceso a la información y a las funciones de los sistemas de las aplicaciones se debería restringir de acuerdo con la política de control de
acceso.
• Suministrar menús para controlar el acceso a las funciones de sistemas de aplicaciones
• Controlar los derechos de acceso de los usuarios, por ejemplo, a leer, escribir, borrar y
• ejecutar
• Cuando lo requiere la política de control de acceso, el acceso a sistemas y aplicaciones se debería controlar mediante un proceso de ingreso
seguro
• Diseñar el procedimiento para ingresar a un sistema o aplicación, para minimizar la oportunidad de acceso no autorizado.
• El procedimiento de ingreso debería divulgar la mínima información acerca del sistema o aplicación, con el fin de evitar que se suministre
asistencia innecesaria a un usuario no autorizado
• Los sistemas de gestión de contraseñas deberían ser interactivos y deberían asegurar la calidad de las contraseñas.
• Hacer cumplir el uso de identificaciones y contraseñas de usuarios individuales para mantener la rendición de cuentas
• Almacenar los archivos de las contraseñas separadamente de los datos del sistema de aplicaciones
• Se debería restringir y controlar estrictamente el uso de programas utilitarios que pudieran tener capacidad de anular el sistema y los controles
de las aplicaciones.
• El uso de procedimientos de identificación, autenticación y autorización para los sistemas de administración
• La mayoría de instalaciones de cómputo tienen uno o más herramientas de sistemas de administración o programas utilitarios que podrían
tener capacidad para anular los controles de sistemas y aplicaciones
• Se debería controlar estrictamente el acceso a los códigos fuente de programas y elementos asociados
• Para los códigos fuente de los programas, esto se puede lograr mediante el almacenamiento central controlado de estos códigos,
preferiblemente en librerías de fuentes de programas
• El personal de soporte debería tener acceso restringido a las librerías de las fuentes de los programas