SlideShare une entreprise Scribd logo

Iso27002 110513165257-phpapp01

Télécharger en tant que PPSX, PDF
Adrian Lopez
Adrian Lopez

Este documento presenta tres procedimientos relacionados con el control de acceso en sistemas de información. El primero describe el monitoreo periódico de los derechos de acceso de los usuarios. El segundo establece que un auditor externo monitoree las asignaciones de privilegios hechas por el jefe de sistemas. Y el tercero trata sobre el monitoreo que el jefe de sistemas hace de los privilegios asignados a cada usuario. Cada procedimiento detalla los objetivos, alcance, responsabilidades, documentos relacionados y registros

1  sur  28
CONTROL DE ACCESO POLITICAS, PROCEDIMIENTOS E INSTRUCTIVOS ISO/27002 Diplomado en Seguridad Informática: Control de Acceso al Sistema Integrantes: 1. Dany Aguanta Ch. 2. Jose Luis Cabrera G 3. Marilyn Casanova A. 4. Marito Leaños Arias
INTRODUCCIÓN  En la actualidad, las organizaciones están cada vez más dependientes de su Seguridad Informática y un problema que afecte o vulnere su información, podría comprometer la continuidad de las operaciones.  Es así que los procedimientos de las Políticas de Seguridad Informática emergen como instrumentos para concientizar a sus miembros acerca de la sensibilidad de la información y servicios críticos, de la superación de fallas y de las debilidades de tal forma que permiten a la organización cumplir con su misión.  Debido a la gran importancia de asegurar la información y los demás recursos informáticos, las prácticas de seguridad descritas son obligatorias para todo el personal.
POLÍTICAS Y PROCEDIMIENTOS  CONTROL DE ACCESOS  Administración de accesos de usuarios  Revisión de derecho de accesos de usuarios • Procedimiento 1: Monitoreo de derechos de accesos por usuario  Responsabilidades de los usuarios  Uso de contraseñas • Procedimiento 2: Monitoreo de Asignación de Privilegios por un Auditor al Jefe de Sistemas • Procedimiento 3: Monitoreo de Asignación de Privilegios por Jefe de Sistemas al usuario
PROCEDIMIENTO 1: MONITOREO DE DERECHO DE ACCESO POR USUARIOS  Objetivos Establece el procedimiento para el monitoreo de derecho de acceso por usuarios, este procedimiento según la norma ISO/27002, pertenece a la política 11.2.4 Revisión de derecho de accesos de usuarios y se debe realizar periódicamente cada 15 días.  Alcance  Es aplicable a las siguientes áreas de la organización  Gobierno TI  Área Administrativa  Área de Sistemas
MONITOREO DE DERECHO DE ACCESO POR USUARIOS  Responsabilidades  Gobierno de TI Se encarga de solicitar el informe sobre derecho de acceso de usuarios, toma decisión referente a los informes solicitados, se los emite al área administrativa.  Jefe de Sistemas Debe realizar un análisis de la información solicitada por el Gobierno de TI, verificando que se cumplan los derechos de accesos por usuarios, emitiendo posibles fallas que se presenten.  Área administrativa Debe realizar un análisis de la información otorgada por el encargado de sistemas, analizando y almacenando el informe que luego se comunica al gobierno y a los usuarios.  Documentos Relacionados  Formulario para solicitud de acceso de usuarios.  Formulario de pedido de accesos a sistemas.
MONITOREO DE DERECHO DE ACCESO POR USUARIOS  Definiciones  Seguridad de la información Conservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades como autenticidad, rendición de cuentas, no repudio y confiabilidad también pueden estar implicadas.
Monitoreo de derecho de acceso por usuarios REGISTROS Nombre Formato Frecuencia Formulario de monitoreo de acceso de Físico Cuando se considere necesario usuarios.
ANEXOS 1 FORMULARIO DE MONITOREO DE ACCESO DE USUARIOS PYME COMERCIAL FORMULARIO DE MONITOREO DE ACCESOS DE USUARIOS Santa Cruz, 09 / 05 /2011 Señor Julio Cortes Pérez Gobierno de TI Presente. El monitoreo para el acceso de usuario se realizo en 08/05/2011, se concluyo con el reporte descrito a continuación: Fecha Hora Usuario Host Aplicacion 20/04/11 09:00 Kinfante PC01 Inicio de sesión 20/04/11 09:15 Kinfante PC01 Word __________________ Jose Jiménez C (Jefe de Sistemas) DIRECCION: calle Palmas #325 TELEFONO: 3585947 CORREO: pyme@dominio.com
PROCEDIMIENTO 2: MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS  Objetivos El presente documento tiene como objetivo definir el procedimiento para Monitorear las asignaciones de privilegio a cargo de un auditor externo.  Alcance  Es aplicable a las siguientes áreas de la organización  Gobierno TI  Área Administrativa  Área de Sistemas.
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS  Responsabilidades  Gobierno TI Se encarga de solicitar el monitoreo de los privilegios a un Auditor externo.  Auditor externo Debe realizar un análisis de la información solicitada por el Gobierno TI, verificando que se cumplan las asignaciones de privilegios establecidas, emitiendo posibles reportes de posibles fallas que se presenten.  Documentos Relacionados  Formulario de asignación de privilegios  Formulario de registro de un Usuario
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS  Definiciones  Software Utilitario: Todo aquel software destinado al manejo de los recursos del computador, de los programas. Como son la memoria, el disco duro, lector de CD/DVD. Para todo software utilitario requerido se deberá realizar los pasos burocráticos, para definir luego la aceptación o denegación de dicho utilitario.  Active Directory:  Directorio Activo.
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS REGISTROS Nombre Formato Frecuencia Formulario de monitoreo de asignación de Físico/Lógico Cuando se considere necesario privilegios de usuarios. Formulario de Incoherencias de Asignación Físico/Lógico Cuando se considere necesario de Privilegios
Monitoreo de asignación de privilegio por un Auditor al jefe de Sistemas Anexos: Formulario de Incoherencias de Asignación de Privilegios PYME Comercial Formulario de Incoherencias de Asignación de Privilegios Santa Cruz, 09 / 05 /2011 Señor Julio Cortes Pérez Gobierno de TI Presente. Nombre de Auditado:…………………………………….. …………………… Tipo de Incidentes: Violaciones de asignación: …………………………………..…………………… ………………………………………………………………………………………… Auditor Responsable DIRECCION: calle Palmas #325 TELEFONO: 3585947 CORREO: pyme@dominio.com
Procedimiento 3: Monitoreo de asignación de privilegio por el Jefe de Sistemas a un Usuario.  Objetivos Establecer el procedimiento para el Monitoreo de asignación de privilegios concedidos al usuario.  Alcance Es aplicable a las siguientes áreas de la empresa: • Gobierno TI • Área de Sistemas
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO.  Responsabilidades  Gobierno de TI Encargado de hacer cumplir con los procedimientos administrativo  Jefe de Sistemas.- Realiza los análisis pertinentes para identificar: amenazas, ventajas, desventajas, puntos débiles y nivel de rendimiento del software usado en la empresa.
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO.  Documentos Relacionados  Formulario de incidentes.  Formulario para Petición de Asignación de Privilegios  Formulario para Registro de Privilegios de Usuarios  Definiciones  Procedimiento administrativo: proceso mediante el cual un órgano administrativo adopta decisiones sobre las pretensiones formuladas por la ciudadanía o sobre las prestaciones y servicios cuya satisfacción o tutela tiene encomendadas.
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO. REGISTRO Nombre Formato Frecuencia Reporte de Privilegios Asignados. Digital/Físico Cuando se considere necesario Formulario de Incoherencias de Físico Cuando se encuentre incoherencias en l Asignación de Privilegios
MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO. ANEXOS PYME Comercial Formulario de Incoherencias de Asignación de Privilegios Santa Cruz, 09 / 05 /2011 Señor Julio Cortes Pérez Gobierno de TI Presente. Nombre de Auditado:…………………………………….. …………………… Tipo de Incidentes: Aplicaciones: …………………………………..……………………………… …………………………………………………………………………………. Recursos: …………………………………..………………………………….. …………………………………………………………………………………. Información: …………………………………..…………………… …………………………………………………………………………………. Jefe de Sistemas LUEGO DE LLENAR E IMPRIMIR ESTE DOCUMENTO, ES OBLIGATORIO FIRMARLO Y SELLARLO PARA SU VALIDEZ
DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO DE DERECHO DE ACCESO POR USUARIOS
INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE DERECHO DE ACCESO POR USUARIOS INSTRUCTIVO EN WINDOWS SERVER 2003
DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO DE DERECHO DE ACCESO POR USUARIOS INSTRUCTIVO EN WINDOWS SERVER 2003
DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO DE DERECHO DE ACCESO POR USUARIOS INSTRUCTIVO EN WINDOWS SERVER 2003
DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS
INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN WINDOWS SERVER. Accedemos a Usuarios y equipos de Active Directory y nos muestra el siguiente Grafico
INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN WINDOWS SERVER. En este formulario Vemos a todos los usuarios del sistema. Seleccionamos uno y le damos Click Derecho, y nos muestra el siguiente Grafico
INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN WINDOWS SERVER. Dando en Propiedades nos muestra la siguiente imagen.
NOS VAMOS A LA PESTANA MIEMBRO DE, EN EL CUAL PODEMOS VER LOS PRIVILEGIOS DEL USUARIO EN CUESTIÓN.
DIAGRAMA DE FLUJO: MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO.

Recommandé

ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Modulo
ModuloModulo
Modulolazgema
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimaticaguestbb37f8
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaLuis Guallpa
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacionCarlos Jara
 
Control del sistema de información
Control del sistema de informaciónControl del sistema de información
Control del sistema de informaciónsanty6a
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 

Recommandé

ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Modulo
ModuloModulo
Modulolazgema
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimaticaguestbb37f8
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaLuis Guallpa
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacionCarlos Jara
 
Control del sistema de información
Control del sistema de informaciónControl del sistema de información
Control del sistema de informaciónsanty6a
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadRayzeraus
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Clasificacion general de control
Clasificacion general de controlClasificacion general de control
Clasificacion general de controlRoderick Arauz
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionvanessagiovannasierra
 
Unidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoUnidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoJoannamar
 
Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_0Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_01401201014052012
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAAnabel Jaramillo
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNguest75288c
 
Controles
ControlesControles
Controlesfbogota
 
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONLISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONsistemas6si
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacionMaria de Lourdes Castillero
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4rodrigonix
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)Fabián Descalzo
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 
politica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticospolitica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticosgalactico_87
 
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Oscar Balderas
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronicoSenobioQuispeMollo2
 
Online - politisch - partizipativ
Online - politisch - partizipativOnline - politisch - partizipativ
Online - politisch - partizipativLandesjugendring Niedersachsen e.V.
 
Mar ti n suarez & lucho santos .
Mar ti n suarez & lucho santos .Mar ti n suarez & lucho santos .
Mar ti n suarez & lucho santos .martiinsuarez
 

Contenu connexe

Tendances

SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadRayzeraus
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Clasificacion general de control
Clasificacion general de controlClasificacion general de control
Clasificacion general de controlRoderick Arauz
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionvanessagiovannasierra
 
Unidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoUnidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoJoannamar
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAAnabel Jaramillo
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNguest75288c
 
Controles
ControlesControles
Controlesfbogota
 
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONLISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONsistemas6si
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4rodrigonix
 
Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)Fabián Descalzo
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 
politica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticospolitica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticosgalactico_87
 
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Oscar Balderas
 

Tendances (20)

SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridad
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
 
Clasificacion general de control
Clasificacion general de controlClasificacion general de control
Clasificacion general de control
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacion
 
Unidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoUnidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamiento
 
Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_0Asx03 g0 cap02_2005_0
Asx03 g0 cap02_2005_0
 
Modulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICAModulo2 AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICA
 
Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióN
 
Controles
ControlesControles
Controles
 
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONLISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)Administracion de identidades - Revista Magazcitum (México)
Administracion de identidades - Revista Magazcitum (México)
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
 
politica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticospolitica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticos
 
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad...
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronico
 

En vedette

Mar ti n suarez & lucho santos .
Mar ti n suarez & lucho santos .Mar ti n suarez & lucho santos .
Mar ti n suarez & lucho santos .martiinsuarez
 
Modelo Evaluacion Aporte Bibliotecas
Modelo Evaluacion Aporte BibliotecasModelo Evaluacion Aporte Bibliotecas
Modelo Evaluacion Aporte BibliotecasARSChile
 
La falta de lectura en estudiantes de
La falta de lectura en estudiantes deLa falta de lectura en estudiantes de
La falta de lectura en estudiantes deRobertoruedaalvarado
 
III Convención de Agronegocios - UPC
III Convención de Agronegocios - UPCIII Convención de Agronegocios - UPC
III Convención de Agronegocios - UPCFertilMundo
 
Lideres Torneo Beisbol La Vega Serie Regular
Lideres Torneo Beisbol La Vega Serie RegularLideres Torneo Beisbol La Vega Serie Regular
Lideres Torneo Beisbol La Vega Serie RegularAlberty Moronta
 
Digital Geschichten erzählen
Digital Geschichten erzählenDigital Geschichten erzählen
Digital Geschichten erzählenMarcus Schwarze
 
Saps d’on vénen els nins
Saps d’on vénen els ninsSaps d’on vénen els nins
Saps d’on vénen els ninstonieitor
 
ViSalus Business Briefing
ViSalus Business BriefingViSalus Business Briefing
ViSalus Business BriefingLori Kober
 
Adjektive German
Adjektive GermanAdjektive German
Adjektive Germans ghani
 

En vedette (20)

Online - politisch - partizipativ
Online - politisch - partizipativOnline - politisch - partizipativ
Online - politisch - partizipativ
 
Mar ti n suarez & lucho santos .
Mar ti n suarez & lucho santos .Mar ti n suarez & lucho santos .
Mar ti n suarez & lucho santos .
 
Hardware
HardwareHardware
Hardware
 
Finaletikca
FinaletikcaFinaletikca
Finaletikca
 
Modelo Evaluacion Aporte Bibliotecas
Modelo Evaluacion Aporte BibliotecasModelo Evaluacion Aporte Bibliotecas
Modelo Evaluacion Aporte Bibliotecas
 
Practica 3
Practica 3Practica 3
Practica 3
 
La falta de lectura en estudiantes de
La falta de lectura en estudiantes deLa falta de lectura en estudiantes de
La falta de lectura en estudiantes de
 
III Convención de Agronegocios - UPC
III Convención de Agronegocios - UPCIII Convención de Agronegocios - UPC
III Convención de Agronegocios - UPC
 
Lideres Torneo Beisbol La Vega Serie Regular
Lideres Torneo Beisbol La Vega Serie RegularLideres Torneo Beisbol La Vega Serie Regular
Lideres Torneo Beisbol La Vega Serie Regular
 
Digital Geschichten erzählen
Digital Geschichten erzählenDigital Geschichten erzählen
Digital Geschichten erzählen
 
hans schwab: zukunft der jugendverbandsarbeit
hans schwab: zukunft der jugendverbandsarbeithans schwab: zukunft der jugendverbandsarbeit
hans schwab: zukunft der jugendverbandsarbeit
 
Saps d’on vénen els nins
Saps d’on vénen els ninsSaps d’on vénen els nins
Saps d’on vénen els nins
 
Gestalt
GestaltGestalt
Gestalt
 
El carpintero-de-venecia
El carpintero-de-veneciaEl carpintero-de-venecia
El carpintero-de-venecia
 
Práctica 10
Práctica 10Práctica 10
Práctica 10
 
neXTkonferenz 2.0 – Jugendarbeit in Niedersachsen
neXTkonferenz 2.0 – Jugendarbeit in NiedersachsenneXTkonferenz 2.0 – Jugendarbeit in Niedersachsen
neXTkonferenz 2.0 – Jugendarbeit in Niedersachsen
 
Unidad 2
Unidad 2Unidad 2
Unidad 2
 
ViSalus Business Briefing
ViSalus Business BriefingViSalus Business Briefing
ViSalus Business Briefing
 
Jugendserver Niedersachsen 2011
Jugendserver Niedersachsen 2011Jugendserver Niedersachsen 2011
Jugendserver Niedersachsen 2011
 
Adjektive German
Adjektive GermanAdjektive German
Adjektive German
 

Similaire à Iso27002 110513165257-phpapp01

Auditoria de sistemas víctor reyes
Auditoria de sistemas víctor reyesAuditoria de sistemas víctor reyes
Auditoria de sistemas víctor reyesVictor Reyes
 
Controles generales de TI.pptx
Controles generales de TI.pptxControles generales de TI.pptx
Controles generales de TI.pptxfranco592473
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasStéfano Morán Noboa
 
Gestion de Control de Acceso a Usuario
Gestion de Control de Acceso a UsuarioGestion de Control de Acceso a Usuario
Gestion de Control de Acceso a UsuarioLuigi Zarco
 
Eq 4 seg- fiis -sugerencias para mejorar la seguridad
Eq 4 seg- fiis -sugerencias para mejorar la seguridadEq 4 seg- fiis -sugerencias para mejorar la seguridad
Eq 4 seg- fiis -sugerencias para mejorar la seguridadAlexander Velasque Rimac
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaEduardo Prado
 
Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1katerinepinilla
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaveroalexa10
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informaticaxsercom
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticafabianlfb182
 
Ronny balan auditoria
Ronny balan auditoriaRonny balan auditoria
Ronny balan auditoriaronnybalan
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaHernan Cajo Riofrio
 
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 

Similaire à Iso27002 110513165257-phpapp01 (20)

ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Auditoria de sistemas víctor reyes
Auditoria de sistemas víctor reyesAuditoria de sistemas víctor reyes
Auditoria de sistemas víctor reyes
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Controles generales de TI.pptx
Controles generales de TI.pptxControles generales de TI.pptx
Controles generales de TI.pptx
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemas
 
Gestion de Control de Acceso a Usuario
Gestion de Control de Acceso a UsuarioGestion de Control de Acceso a Usuario
Gestion de Control de Acceso a Usuario
 
Material rap3
Material rap3Material rap3
Material rap3
 
Eq 4 seg- fiis -sugerencias para mejorar la seguridad
Eq 4 seg- fiis -sugerencias para mejorar la seguridadEq 4 seg- fiis -sugerencias para mejorar la seguridad
Eq 4 seg- fiis -sugerencias para mejorar la seguridad
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Auditoria 2
Auditoria 2Auditoria 2
Auditoria 2
 
Grupo1 control de acceso
Grupo1 control de accesoGrupo1 control de acceso
Grupo1 control de acceso
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informatica
 
Ronny balan auditoria
Ronny balan auditoriaRonny balan auditoria
Ronny balan auditoria
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informatica
 
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
 
Auditoria1
Auditoria1Auditoria1
Auditoria1
 

Iso27002 110513165257-phpapp01

  • 1. CONTROL DE ACCESO POLITICAS, PROCEDIMIENTOS E INSTRUCTIVOS ISO/27002 Diplomado en Seguridad Informática: Control de Acceso al Sistema Integrantes: 1. Dany Aguanta Ch. 2. Jose Luis Cabrera G 3. Marilyn Casanova A. 4. Marito Leaños Arias
  • 2. INTRODUCCIÓN  En la actualidad, las organizaciones están cada vez más dependientes de su Seguridad Informática y un problema que afecte o vulnere su información, podría comprometer la continuidad de las operaciones.  Es así que los procedimientos de las Políticas de Seguridad Informática emergen como instrumentos para concientizar a sus miembros acerca de la sensibilidad de la información y servicios críticos, de la superación de fallas y de las debilidades de tal forma que permiten a la organización cumplir con su misión.  Debido a la gran importancia de asegurar la información y los demás recursos informáticos, las prácticas de seguridad descritas son obligatorias para todo el personal.
  • 3. POLÍTICAS Y PROCEDIMIENTOS  CONTROL DE ACCESOS  Administración de accesos de usuarios  Revisión de derecho de accesos de usuarios • Procedimiento 1: Monitoreo de derechos de accesos por usuario  Responsabilidades de los usuarios  Uso de contraseñas • Procedimiento 2: Monitoreo de Asignación de Privilegios por un Auditor al Jefe de Sistemas • Procedimiento 3: Monitoreo de Asignación de Privilegios por Jefe de Sistemas al usuario
  • 4. PROCEDIMIENTO 1: MONITOREO DE DERECHO DE ACCESO POR USUARIOS  Objetivos Establece el procedimiento para el monitoreo de derecho de acceso por usuarios, este procedimiento según la norma ISO/27002, pertenece a la política 11.2.4 Revisión de derecho de accesos de usuarios y se debe realizar periódicamente cada 15 días.  Alcance  Es aplicable a las siguientes áreas de la organización  Gobierno TI  Área Administrativa  Área de Sistemas
  • 5. MONITOREO DE DERECHO DE ACCESO POR USUARIOS  Responsabilidades  Gobierno de TI Se encarga de solicitar el informe sobre derecho de acceso de usuarios, toma decisión referente a los informes solicitados, se los emite al área administrativa.  Jefe de Sistemas Debe realizar un análisis de la información solicitada por el Gobierno de TI, verificando que se cumplan los derechos de accesos por usuarios, emitiendo posibles fallas que se presenten.  Área administrativa Debe realizar un análisis de la información otorgada por el encargado de sistemas, analizando y almacenando el informe que luego se comunica al gobierno y a los usuarios.  Documentos Relacionados  Formulario para solicitud de acceso de usuarios.  Formulario de pedido de accesos a sistemas.
  • 6. MONITOREO DE DERECHO DE ACCESO POR USUARIOS  Definiciones  Seguridad de la información Conservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades como autenticidad, rendición de cuentas, no repudio y confiabilidad también pueden estar implicadas.
  • 7. Monitoreo de derecho de acceso por usuarios REGISTROS Nombre Formato Frecuencia Formulario de monitoreo de acceso de Físico Cuando se considere necesario usuarios.
  • 8. ANEXOS 1 FORMULARIO DE MONITOREO DE ACCESO DE USUARIOS PYME COMERCIAL FORMULARIO DE MONITOREO DE ACCESOS DE USUARIOS Santa Cruz, 09 / 05 /2011 Señor Julio Cortes Pérez Gobierno de TI Presente. El monitoreo para el acceso de usuario se realizo en 08/05/2011, se concluyo con el reporte descrito a continuación: Fecha Hora Usuario Host Aplicacion 20/04/11 09:00 Kinfante PC01 Inicio de sesión 20/04/11 09:15 Kinfante PC01 Word __________________ Jose Jiménez C (Jefe de Sistemas) DIRECCION: calle Palmas #325 TELEFONO: 3585947 CORREO: pyme@dominio.com
  • 9. PROCEDIMIENTO 2: MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS  Objetivos El presente documento tiene como objetivo definir el procedimiento para Monitorear las asignaciones de privilegio a cargo de un auditor externo.  Alcance  Es aplicable a las siguientes áreas de la organización  Gobierno TI  Área Administrativa  Área de Sistemas.
  • 10. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS  Responsabilidades  Gobierno TI Se encarga de solicitar el monitoreo de los privilegios a un Auditor externo.  Auditor externo Debe realizar un análisis de la información solicitada por el Gobierno TI, verificando que se cumplan las asignaciones de privilegios establecidas, emitiendo posibles reportes de posibles fallas que se presenten.  Documentos Relacionados  Formulario de asignación de privilegios  Formulario de registro de un Usuario
  • 11. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS  Definiciones  Software Utilitario: Todo aquel software destinado al manejo de los recursos del computador, de los programas. Como son la memoria, el disco duro, lector de CD/DVD. Para todo software utilitario requerido se deberá realizar los pasos burocráticos, para definir luego la aceptación o denegación de dicho utilitario.  Active Directory:  Directorio Activo.
  • 12. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS REGISTROS Nombre Formato Frecuencia Formulario de monitoreo de asignación de Físico/Lógico Cuando se considere necesario privilegios de usuarios. Formulario de Incoherencias de Asignación Físico/Lógico Cuando se considere necesario de Privilegios
  • 13. Monitoreo de asignación de privilegio por un Auditor al jefe de Sistemas Anexos: Formulario de Incoherencias de Asignación de Privilegios PYME Comercial Formulario de Incoherencias de Asignación de Privilegios Santa Cruz, 09 / 05 /2011 Señor Julio Cortes Pérez Gobierno de TI Presente. Nombre de Auditado:…………………………………….. …………………… Tipo de Incidentes: Violaciones de asignación: …………………………………..…………………… ………………………………………………………………………………………… Auditor Responsable DIRECCION: calle Palmas #325 TELEFONO: 3585947 CORREO: pyme@dominio.com
  • 14. Procedimiento 3: Monitoreo de asignación de privilegio por el Jefe de Sistemas a un Usuario.  Objetivos Establecer el procedimiento para el Monitoreo de asignación de privilegios concedidos al usuario.  Alcance Es aplicable a las siguientes áreas de la empresa: • Gobierno TI • Área de Sistemas
  • 15. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO.  Responsabilidades  Gobierno de TI Encargado de hacer cumplir con los procedimientos administrativo  Jefe de Sistemas.- Realiza los análisis pertinentes para identificar: amenazas, ventajas, desventajas, puntos débiles y nivel de rendimiento del software usado en la empresa.
  • 16. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO.  Documentos Relacionados  Formulario de incidentes.  Formulario para Petición de Asignación de Privilegios  Formulario para Registro de Privilegios de Usuarios  Definiciones  Procedimiento administrativo: proceso mediante el cual un órgano administrativo adopta decisiones sobre las pretensiones formuladas por la ciudadanía o sobre las prestaciones y servicios cuya satisfacción o tutela tiene encomendadas.
  • 17. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO. REGISTRO Nombre Formato Frecuencia Reporte de Privilegios Asignados. Digital/Físico Cuando se considere necesario Formulario de Incoherencias de Físico Cuando se encuentre incoherencias en l Asignación de Privilegios
  • 18. MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO. ANEXOS PYME Comercial Formulario de Incoherencias de Asignación de Privilegios Santa Cruz, 09 / 05 /2011 Señor Julio Cortes Pérez Gobierno de TI Presente. Nombre de Auditado:…………………………………….. …………………… Tipo de Incidentes: Aplicaciones: …………………………………..……………………………… …………………………………………………………………………………. Recursos: …………………………………..………………………………….. …………………………………………………………………………………. Información: …………………………………..…………………… …………………………………………………………………………………. Jefe de Sistemas LUEGO DE LLENAR E IMPRIMIR ESTE DOCUMENTO, ES OBLIGATORIO FIRMARLO Y SELLARLO PARA SU VALIDEZ
  • 19. DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO DE DERECHO DE ACCESO POR USUARIOS
  • 20. INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE DERECHO DE ACCESO POR USUARIOS INSTRUCTIVO EN WINDOWS SERVER 2003
  • 21. DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO DE DERECHO DE ACCESO POR USUARIOS INSTRUCTIVO EN WINDOWS SERVER 2003
  • 22. DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO DE DERECHO DE ACCESO POR USUARIOS INSTRUCTIVO EN WINDOWS SERVER 2003
  • 23. DIAGRAMA DE FLUJO: PROCEDIMIENTO MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR UN AUDITOR AL JEFE DE SISTEMAS
  • 24. INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN WINDOWS SERVER. Accedemos a Usuarios y equipos de Active Directory y nos muestra el siguiente Grafico
  • 25. INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN WINDOWS SERVER. En este formulario Vemos a todos los usuarios del sistema. Seleccionamos uno y le damos Click Derecho, y nos muestra el siguiente Grafico
  • 26. INSTRUCTIVO: PROCEDIMIENTO MONITOREO DE ASIGNACIÓN DE PRIVILEGIOS DE USUARIOS EN WINDOWS SERVER. Dando en Propiedades nos muestra la siguiente imagen.
  • 27. NOS VAMOS A LA PESTANA MIEMBRO DE, EN EL CUAL PODEMOS VER LOS PRIVILEGIOS DEL USUARIO EN CUESTIÓN.
  • 28. DIAGRAMA DE FLUJO: MONITOREO DE ASIGNACIÓN DE PRIVILEGIO POR EL JEFE DE SISTEMAS A UN USUARIO.