Este documento presenta tres procedimientos relacionados con el control de acceso en sistemas de información. El primero describe el monitoreo periódico de los derechos de acceso de los usuarios. El segundo establece que un auditor externo monitoree las asignaciones de privilegios hechas por el jefe de sistemas. Y el tercero trata sobre el monitoreo que el jefe de sistemas hace de los privilegios asignados a cada usuario. Cada procedimiento detalla los objetivos, alcance, responsabilidades, documentos relacionados y registros
1. CONTROL DE ACCESO
POLITICAS, PROCEDIMIENTOS E
INSTRUCTIVOS
ISO/27002
Diplomado en Seguridad Informática: Control de Acceso
al Sistema
Integrantes:
1. Dany Aguanta Ch.
2. Jose Luis Cabrera G
3. Marilyn Casanova A.
4. Marito Leaños Arias
2. INTRODUCCIÓN
En la actualidad, las organizaciones están cada vez
más dependientes de su Seguridad Informática y un
problema que afecte o vulnere su información, podría
comprometer la continuidad de las operaciones.
Es así que los procedimientos de las Políticas de
Seguridad Informática emergen como instrumentos para
concientizar a sus miembros acerca de la sensibilidad
de la información y servicios críticos, de la superación
de fallas y de las debilidades de tal forma que permiten
a la organización cumplir con su misión.
Debido a la gran importancia de asegurar la información
y los demás recursos informáticos, las prácticas de
seguridad descritas son obligatorias para todo el
personal.
3. POLÍTICAS Y PROCEDIMIENTOS
CONTROL DE ACCESOS
Administración de accesos de usuarios
Revisión de derecho de accesos de usuarios
• Procedimiento 1: Monitoreo de derechos de accesos por
usuario
Responsabilidades de los usuarios
Uso de contraseñas
• Procedimiento 2: Monitoreo de Asignación de Privilegios
por un Auditor al Jefe de Sistemas
• Procedimiento 3: Monitoreo de Asignación de Privilegios por
Jefe de Sistemas al usuario
4. PROCEDIMIENTO 1:
MONITOREO DE DERECHO DE ACCESO POR USUARIOS
Objetivos
Establece el procedimiento para el monitoreo de
derecho de acceso por usuarios, este procedimiento
según la norma ISO/27002, pertenece a la política
11.2.4 Revisión de derecho de accesos de usuarios y se
debe realizar periódicamente cada 15 días.
Alcance
Es aplicable a las siguientes áreas de la organización
Gobierno TI
Área Administrativa
Área de Sistemas
5. MONITOREO DE DERECHO DE ACCESO POR USUARIOS
Responsabilidades
Gobierno de TI
Se encarga de solicitar el informe sobre derecho de acceso de
usuarios, toma decisión referente a los informes solicitados, se
los emite al área administrativa.
Jefe de Sistemas
Debe realizar un análisis de la información solicitada por el
Gobierno de TI, verificando que se cumplan los derechos de
accesos por usuarios, emitiendo posibles fallas que se
presenten.
Área administrativa
Debe realizar un análisis de la información otorgada por el
encargado de sistemas, analizando y almacenando el informe
que luego se comunica al gobierno y a los usuarios.
Documentos Relacionados
Formulario para solicitud de acceso de usuarios.
Formulario de pedido de accesos a sistemas.
6. MONITOREO DE DERECHO DE ACCESO POR USUARIOS
Definiciones
Seguridad de la información
Conservación de la confidencialidad, integridad y disponibilidad de la
información; además, otras propiedades como autenticidad, rendición
de cuentas, no repudio y confiabilidad también pueden estar
implicadas.
7. Monitoreo de derecho de acceso por usuarios
REGISTROS
Nombre Formato Frecuencia
Formulario de monitoreo de acceso de Físico Cuando se considere necesario
usuarios.
8. ANEXOS 1
FORMULARIO DE MONITOREO DE ACCESO DE
USUARIOS
PYME COMERCIAL
FORMULARIO DE MONITOREO DE ACCESOS DE USUARIOS
Santa Cruz, 09 / 05 /2011
Señor
Julio Cortes Pérez
Gobierno de TI
Presente.
El monitoreo para el acceso de usuario se realizo en 08/05/2011, se concluyo con el reporte descrito a continuación:
Fecha Hora Usuario Host Aplicacion
20/04/11 09:00 Kinfante PC01 Inicio de sesión
20/04/11 09:15 Kinfante PC01 Word
__________________
Jose Jiménez C
(Jefe de Sistemas)
DIRECCION: calle Palmas #325
TELEFONO: 3585947
CORREO: pyme@dominio.com
9. PROCEDIMIENTO 2:
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
UN AUDITOR AL JEFE DE SISTEMAS
Objetivos
El presente documento tiene como objetivo definir el
procedimiento para Monitorear las asignaciones de
privilegio a cargo de un auditor externo.
Alcance
Es aplicable a las siguientes áreas de la organización
Gobierno TI
Área Administrativa
Área de Sistemas.
10. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
UN AUDITOR AL JEFE DE SISTEMAS
Responsabilidades
Gobierno TI
Se encarga de solicitar el monitoreo de los privilegios a
un Auditor externo.
Auditor externo
Debe realizar un análisis de la información solicitada
por el Gobierno TI, verificando que se cumplan las
asignaciones de privilegios establecidas, emitiendo
posibles reportes de posibles fallas que se presenten.
Documentos Relacionados
Formulario de asignación de privilegios
Formulario de registro de un Usuario
11. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
UN AUDITOR AL JEFE DE SISTEMAS
Definiciones
Software Utilitario:
Todo aquel software destinado al manejo de los
recursos del computador, de los programas. Como son
la memoria, el disco duro, lector de CD/DVD.
Para todo software utilitario requerido se deberá realizar
los pasos burocráticos, para definir luego la aceptación
o denegación de dicho utilitario.
Active Directory:
Directorio Activo.
12. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
UN AUDITOR AL JEFE DE SISTEMAS
REGISTROS
Nombre Formato Frecuencia
Formulario de monitoreo de asignación de Físico/Lógico Cuando se considere necesario
privilegios de usuarios.
Formulario de Incoherencias de Asignación Físico/Lógico Cuando se considere necesario
de Privilegios
13. Monitoreo de asignación de privilegio por un
Auditor al jefe de Sistemas
Anexos: Formulario de Incoherencias de Asignación de
Privilegios
PYME Comercial
Formulario de Incoherencias de Asignación de Privilegios
Santa Cruz, 09 / 05 /2011
Señor
Julio Cortes Pérez
Gobierno de TI
Presente.
Nombre de Auditado:…………………………………….. ……………………
Tipo de Incidentes:
Violaciones de asignación: …………………………………..……………………
…………………………………………………………………………………………
Auditor Responsable
DIRECCION: calle Palmas #325
TELEFONO: 3585947
CORREO: pyme@dominio.com
14. Procedimiento 3:
Monitoreo de asignación de privilegio por el
Jefe de Sistemas a un Usuario.
Objetivos
Establecer el procedimiento para el Monitoreo de
asignación de privilegios concedidos al usuario.
Alcance
Es aplicable a las siguientes áreas de la empresa:
• Gobierno TI
• Área de Sistemas
15. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
EL JEFE DE SISTEMAS A UN USUARIO.
Responsabilidades
Gobierno de TI Encargado de hacer cumplir con los
procedimientos administrativo
Jefe de Sistemas.- Realiza los análisis pertinentes
para identificar:
amenazas, ventajas, desventajas, puntos débiles y nivel
de rendimiento del software usado en la empresa.
16. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL
JEFE DE SISTEMAS A UN USUARIO.
Documentos Relacionados
Formulario de incidentes.
Formulario para Petición de Asignación de Privilegios
Formulario para Registro de Privilegios de Usuarios
Definiciones
Procedimiento administrativo: proceso mediante el
cual un órgano administrativo adopta decisiones sobre
las pretensiones formuladas por la ciudadanía o sobre
las prestaciones y servicios cuya satisfacción o tutela
tiene encomendadas.
17. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL
JEFE DE SISTEMAS A UN USUARIO.
REGISTRO
Nombre Formato Frecuencia
Reporte de Privilegios Asignados. Digital/Físico Cuando se considere necesario
Formulario de Incoherencias de Físico Cuando se encuentre incoherencias en l
Asignación de Privilegios
18. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR
EL JEFE DE SISTEMAS A UN USUARIO.
ANEXOS PYME Comercial
Formulario de Incoherencias de Asignación de Privilegios
Santa Cruz, 09 / 05 /2011
Señor
Julio Cortes Pérez
Gobierno de TI
Presente.
Nombre de Auditado:…………………………………….. ……………………
Tipo de Incidentes:
Aplicaciones: …………………………………..………………………………
………………………………………………………………………………….
Recursos: …………………………………..…………………………………..
………………………………………………………………………………….
Información: …………………………………..……………………
………………………………………………………………………………….
Jefe de Sistemas
LUEGO DE LLENAR E IMPRIMIR ESTE DOCUMENTO, ES OBLIGATORIO FIRMARLO Y
SELLARLO PARA SU VALIDEZ
19. DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO
DE DERECHO DE ACCESO POR USUARIOS
21. DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO
DE DERECHO DE ACCESO POR USUARIOS
INSTRUCTIVO EN WINDOWS SERVER 2003
22. DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO
DE DERECHO DE ACCESO POR USUARIOS
INSTRUCTIVO EN WINDOWS SERVER 2003
23. DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO
DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL
JEFE DE SISTEMAS
24. INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE
ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN
WINDOWS SERVER.
Accedemos a Usuarios y equipos de Active Directory y nos muestra el siguiente Grafico
25. INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE
ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN
WINDOWS SERVER.
En este formulario Vemos a todos los usuarios del sistema.
Seleccionamos uno y le damos Click Derecho, y nos muestra el siguiente Grafico
26. INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE
ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN
WINDOWS SERVER.
Dando en Propiedades nos muestra la siguiente imagen.
27. NOS VAMOS A LA PESTANA MIEMBRO DE, EN EL CUAL PODEMOS VER LOS PRIVILEGIOS
DEL USUARIO EN CUESTIÓN.
28. DIAGRAMA DE FLUJO: MONITOREO DE ASIGNACIÓN
DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN
USUARIO.