Está en la página 1de 2

POLITICA DE CONTROL DE ACCESO

INSTITUTO DE SALUD PÚBLICA DE CHILE

Según norma ISO 27002

a) Se observó que la empresa si cuenta en su política con requisitos de seguridad


de las aplicaciones, controlando que ningún usuario debe descargar programas
utilitarios sin el visto bueno de Plataforma TICs.

b) Se observó que la empresa si establece políticas de difusión y autorización de la


información mediante requerimientos de información de la organización que
incluyan, sin limitar, comunicados públicos, declaraciones, cuestionarios,
encuestas o entrevistas periodísticas, deben ser referidos a la Unidad de
Comunicaciones del ISP.

c) Se observó que la empresa si cuenta en su política con la coherencia entre los


derechos de acceso y políticas de clasificación de los sistemas y redes,
mediante el acceso lógico a la configuración de puertos de manera remota
debe ser controlado estableciendo métodos apropiados de autenticación para
los usuarios que utilicen accesos remotos. Por ejemplo: Utilización de
protocolos de autenticación y autorización como Radius, esquemas de
autentificación como PAP, CHAP o EAP, integración con repositorios de
usuarios del IPS (por ejemplo: LDAP o bases de datos de usuarios) y accesos
seguros a través de VPN IPSEC o SSL VPN por ejemplo para accesos fuera del
perímetro del ISP.

d) Se observó que la empresa si cuenta en su política con legislación relevante y


obligaciones contractuales respecto a la limitación de acceso a datos o
servicios, como: obligando a los usuarios deben autenticarse con User y
Password válidos antes de usar sistemas de información de ISP y los
Funcionarios de áreas técnicas no deben utilizar ninguna estructura de
contraseña que resulte predecible o fácil de adivinar, esto incluye sin limitar, a
contraseñas en blanco, palabras que aparezcan en diccionarios, secuencias
comunes de caracteres y datos personales.

e) Se observó que la empresa si cuenta en su política, gestionados de los derechos


de acceso en un ambiente distribuido y en red que reconoce todos los tipos de
conexiones disponibles.

f) Se observó que la empresa si cuenta en su política con la segregación de roles


de control de acceso, por ejemplo petición de acceso, la autorización de acceso,
administración de acceso; mediante el control de los accesos físicos y remotos
de externos (proveedores, visitas u otros) debiendo ser controlados.

g) Se observó que la empresa si cuenta en su política con los requisitos para la


autorización formal de las solicitudes de acceso, como antes de otorgar los
permisos de trabajo remoto a funcionarios de la organización, se debe firmar
un acuerdo de confidencialidad que proteja la información sensible de la
organización.

h) Se observó que la empresa si mantiene en su política los requisitos para la


revisión periódica de los derechos de acceso, mediante la revisión de los
derechos de acceso otorgados a los usuarios regularmente a través de
procedimientos formales.

i) Se observó que la empresa si cuenta con la eliminación de los derechos de


acceso, por o des habilitación de usuarios autenticados, si monitorean
constante de los derechos de acceso y procedimientos formales para el registro
y eliminación de usuarios, de modo de garantizar que se otorguen y quiten
accesos a los sistemas.

j) Se observó que la empresa no cuenta con un control de archivos de los


expedientes de todos los eventos importantes concernientes al uso y la
gestión de identidades de los usuarios y la información de autentificación
secreta.

k) Se observó que la empresa cuenta con un control de los roles con acceso
privilegiado, mediante los accesos a las salas de equipos de laboratorio y de
análisis que requieran restricción de ingreso, serán de responsabilidad del
encargado del área que tendrán privilegio, ya sea, en la definición de quienes
puedan ingresar y el control de acceso utilizado para ello.

LINK POLITICA REVISADA Y DOCUMENTO ADJUNTO:

http://www.ispch.cl/sites/default/files/1_Politica_Control_Acceso_v1.pdf