UNIVERSIDAD DE HUÁNUCO Control de acceso Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones Deberá existir una relación actualizada de usuarios y perfiles de usuarios, con los accesos autorizados para estos De deberá establecer mecanismos que eviten el acceso a datos o recursos con derechos distintos a los autorizados La concesión alteración o anulación de permisos de acceso sólo podrá realizarse por el personal autorizado en el documento de seguridad En caso que exista personal ajeno al responsable del fichero que tenga acceso a los recursos, deberá estar sometido a las mismas condiciones y obligaciones de los de seguridad que el propio equipo Acceso a los datos sólo por usuarios autorizados Acceso a los datos sólo por usuarios autorizados se debe garantizar que los usuarios sólo acceden a los datos y recursos necesarios para el desempeño de sus funciones Relación de usuarios y accesos
Mantener una relación actualizada de
usuarios y perfiles de usuario, y el tipo de acceso autorizado. En la relación de usuarios y accesos deberán constar los siguientes datos: Sistema o modulo al que accede Nombre y apellido del usuario Perfil al que pertenece Identificador asignado Fecha de alta Fecha de baja Política de control de acceso
Los procedimientos de control de acceso deben
tener en cuenta el ciclo de vida del usuario desde su alta en el sistema hasta la baja en el mismo. Gestión de altas y bajas de los usuarios Asignar un identificador único por usuario, sin que diferentes usuarios puedan compartirlo. En caso de baja definitiva de un usuario, eliminar inmediatamente sus derechos de acceso de los recursos a los que tienen acceso permitido. Incorporación en el contrato laboral de una cláusula de sanción en caso de realizar accesos no autorizados. Mecanismos que impiden el acceso a los usuarios no autorizados
En el caso de los sistemas, se debe
establecer mecanismos de seguridad con el siguiente criterio: "Todo lo que no está explícitamente autorizado, está prohibido" Seguir una política de “arriba-abajo”, es decir comenzar protegiendo el acceso al servidor y sus recursos Cómo seguir con las aplicaciones de gestión utilizadas y terminar protegiendo el acceso a los puestos de trabajo Proteger el acceso al servidor
Proteger el acceso al servidor
Proteger el acceso físico al servidor. Proteger el acceso lógico al servidor. Proteger el acceso a los recursos del servidor Proteger el acceso a las aplicaciones de gestión Proteger el acceso a los puestos de trabajo Gestión Soportes y documentos Los soportes y documentos que contengan datos de carácter sensibles deben permitir: Identificar el tipo de información que contienen. Ser inventariados. Ser accesibles únicamente por el personal autorizado. La salida de soportes y documentos que contengan datos sensibles fuera de los locales debe ser autorizada por el responsable del fichero. En el traslado de documentación se evitará su pérdida o acceso indebido. La identificación de soportes con información sensible se podrá realizar a través de un etiquetado que sea comprensible sólo para los usuarios con acceso autorizado. Identificación, inventariado y almacenamiento Identificación Los soportes que contengan datos de carácter personal deberán ser identificados, aunque se distinga de los demás soportes. Un ejemplo de etiqueta identificativa podría ser: Identificación, inventariado y almacenamiento
Inventario de soportes en papel: En
caso de habilitar un inventario de soportes en papel, se anexara al documento de seguridad y se actualizará cuando exista una alta o baja de soporte con datos personales. Inventario de soportes automatizado: Se podrá crear también un inventario en soporte informático a través de alguna aplicación de hoja de cálculo o base de datos como que nos permita al acceso a su información de forma cómoda y nos facilite efectuar listados. Almacenamiento de soporte No se debe almacenar ningún soporte ni documento fuera de los lugares previstos para su custodia cuando no sean utilizados. Los soportes que contengan copias de seguridad deberán almacenarse en un armario ignífugo, cerrado con llave otro mecanismo de bloqueo similar. Debe existir una relación actualizada de los lugares donde se almacenan los soportes que contienen datos personales tanto manuales como automatizados, así como los usuarios autorizados a acceder a cada uno de esos lugares. Identificación y autenticación
Se debe garantizar la correcta
identificación y autenticación de los usuarios. Se debe identificar de forma inequívoca y personalizada a los usuarios que intenten Acceder al sistema de información, y se debe verificar que estén autorizados. Debe existir un procedimiento de asignación como distribución y almacenamiento de contraseñas. Una vez al año, como mínimo como se deben cambiar las contraseñas de acceso. Mecanismos de identificación y autenticación Podemos clasificar los sistemas de estos tipos: Sistemas basados en algo que el usuario conoce (contraseña). Sistemas basados en algo que el usuario posee (Dni electrónico, token, etc.) Sistemas basados en una característica física del usuario, también denominados biométricos (reconocimiento de huella dactilar, voz, rostro, patrón ocular, etc.) Sistemas mixtos, que combinan dos o más de los descritos anteriormente. Mecanismos de identificación y autenticación
Construcción del identificador
(identificación) El identificador es lo que suele llamarse el " nombre de usuario ", deberá seguirse un procedimiento de asignación de identificadores a los usuarios del sistema. Mecanismos de identificación y autenticación Construcción del autenticador (autenticación) Una vez asignado el identificador, el responsable de dar acceso al sistema debe construir un código alfanumérico que será adjuntado a este identificador para permitir su acceso a los datos y recursos que tengan autorizados. Este código recibe el nombre de autenticador o contraseña. Mecanismos de identificación y autenticación Concesión de acceso a datos y recursos (autorización) Sobre la base del perfil asignado al usuario, el responsable conceder acceso para este identificador a los datos y recursos que le son necesarios para el desempeño de sus funciones. Implementación de la identificación y autenticación Acceso al sistema operativo Cuando el equipo arranca, se puede acceder al sistema operativo introduciendo el nombre de usuario y la contraseña.
Acceso a las aplicaciones de
gestión de la organización Normalmente, el acceso a las aplicaciones de gestión es independiente del acceso a los datos y recursos del servidor, con lo cual se debe realizar una doble implementación: Con relación a los recursos del servidor Con relación a la aplicación de gestión Políticas de seguridad en los sistemas operativos
A fin de gestionar de manera
automática las políticas de seguridad de la organización, en sistemas operativos modernos es posible configurar las directivas de seguridad.
![Manual_Administradores_Instituciones[1]](https://imgv2-1-f.scribdassets.com/img/document/51510782/149x198/9f0960752e/1440449833?v=1)
