Está en la página 1de 18

Seguridad de la Información

P.A.P INGENIERÍA DE SISTEMAS E INFORMÁTICA


UNIVERSIDAD DE HUÁNUCO
Control de acceso
 Cada usuario accederá únicamente a los
datos y recursos necesarios para el
desarrollo de sus funciones
 Deberá existir una relación actualizada de
usuarios y perfiles de usuarios, con los
accesos autorizados para estos
 De deberá establecer mecanismos que
eviten el acceso a datos o recursos con
derechos distintos a los autorizados
 La concesión alteración o anulación de
permisos de acceso sólo podrá realizarse
por el personal autorizado en el
documento de seguridad
 En caso que exista personal ajeno al
responsable del fichero que tenga acceso a
los recursos, deberá estar sometido a las
mismas condiciones y obligaciones de los
de seguridad que el propio equipo
Acceso a los datos sólo por usuarios
autorizados
 Acceso a los datos sólo por
usuarios autorizados
 se debe garantizar que los
usuarios sólo acceden a los
datos y recursos necesarios para
el desempeño de sus funciones
Relación de usuarios y accesos

 Mantener una relación actualizada de


usuarios y perfiles de usuario, y el tipo
de acceso autorizado. En la relación
de usuarios y accesos deberán constar
los siguientes datos:
 Sistema o modulo al que accede
 Nombre y apellido del usuario
 Perfil al que pertenece
 Identificador asignado
 Fecha de alta
 Fecha de baja
Política de control de acceso

Los procedimientos de control de acceso deben


tener en cuenta el ciclo de vida del usuario desde
su alta en el sistema hasta la baja en el mismo.
 Gestión de altas y bajas de los usuarios
 Asignar un identificador único por usuario, sin que
diferentes usuarios puedan compartirlo.
 En caso de baja definitiva de un usuario, eliminar
inmediatamente sus derechos de acceso de los
recursos a los que tienen acceso permitido.
 Incorporación en el contrato laboral de una
cláusula de sanción en caso de realizar accesos no
autorizados.
Mecanismos que impiden el acceso a los usuarios no
autorizados

 En el caso de los sistemas, se debe


establecer mecanismos de seguridad con
el siguiente criterio: "Todo lo que no está
explícitamente autorizado, está
prohibido"
 Seguir una política de “arriba-abajo”,
es decir comenzar protegiendo el acceso
al servidor y sus recursos Cómo seguir
con las aplicaciones de gestión utilizadas
y terminar protegiendo el acceso a los
puestos de trabajo
Proteger el acceso al servidor

 Proteger el acceso al servidor


 Proteger el acceso físico al
servidor.
 Proteger el acceso lógico al
servidor.
 Proteger el acceso a los
recursos del servidor
 Proteger el acceso a las
aplicaciones de gestión
 Proteger el acceso a los puestos
de trabajo
Gestión Soportes y documentos
 Los soportes y documentos que contengan
datos de carácter sensibles deben permitir:
 Identificar el tipo de información que contienen.
 Ser inventariados.
 Ser accesibles únicamente por el personal
autorizado.
 La salida de soportes y documentos que
contengan datos sensibles fuera de los
locales debe ser autorizada por el
responsable del fichero.
 En el traslado de documentación se evitará
su pérdida o acceso indebido.
 La identificación de soportes con
información sensible se podrá realizar a
través de un etiquetado que sea
comprensible sólo para los usuarios con
acceso autorizado.
Identificación, inventariado y almacenamiento
Identificación
 Los soportes que contengan datos de
carácter personal deberán ser
identificados, aunque se distinga de los
demás soportes.
 Un ejemplo de etiqueta identificativa
podría ser:
Identificación, inventariado y almacenamiento

 Inventario de soportes en papel: En


caso de habilitar un inventario de
soportes en papel, se anexara al
documento de seguridad y se
actualizará cuando exista una alta o
baja de soporte con datos personales.
 Inventario de soportes
automatizado: Se podrá crear
también un inventario en soporte
informático a través de alguna
aplicación de hoja de cálculo o base
de datos como que nos permita al
acceso a su información de forma
cómoda y nos facilite efectuar
listados.
Almacenamiento de soporte
 No se debe almacenar ningún soporte ni
documento fuera de los lugares previstos
para su custodia cuando no sean
utilizados.
 Los soportes que contengan copias de
seguridad deberán almacenarse en un
armario ignífugo, cerrado con llave otro
mecanismo de bloqueo similar.
 Debe existir una relación actualizada de
los lugares donde se almacenan los
soportes que contienen datos personales
tanto manuales como automatizados, así
como los usuarios autorizados a acceder a
cada uno de esos lugares.
Identificación y autenticación

 Se debe garantizar la correcta


identificación y autenticación de
los usuarios.
 Se debe identificar de forma
inequívoca y personalizada a los
usuarios que intenten Acceder al
sistema de información, y se debe
verificar que estén autorizados.
 Debe existir un procedimiento de
asignación como distribución y
almacenamiento de contraseñas.
 Una vez al año, como mínimo como
se deben cambiar las contraseñas
de acceso.
Mecanismos de identificación y
autenticación
 Podemos clasificar los sistemas de estos
tipos:
 Sistemas basados en algo que el usuario conoce
(contraseña).
 Sistemas basados en algo que el usuario posee
(Dni electrónico, token, etc.)
 Sistemas basados en una característica física del
usuario, también denominados biométricos
(reconocimiento de huella dactilar, voz, rostro,
patrón ocular, etc.)
 Sistemas mixtos, que combinan dos o más de los
descritos anteriormente.
Mecanismos de identificación y
autenticación

Construcción del identificador


(identificación)
 El identificador es lo que
suele llamarse el " nombre
de usuario ", deberá seguirse
un procedimiento de
asignación de identificadores
a los usuarios del sistema.
Mecanismos de identificación y
autenticación
Construcción del autenticador
(autenticación)
 Una vez asignado el identificador,
el responsable de dar acceso al
sistema debe construir un código
alfanumérico que será adjuntado a
este identificador para permitir su
acceso a los datos y recursos que
tengan autorizados. Este código
recibe el nombre de autenticador o
contraseña.
Mecanismos de identificación y
autenticación
Concesión de acceso a datos y recursos
(autorización)
 Sobre la base del perfil asignado al
usuario, el responsable conceder acceso
para este identificador a los datos y
recursos que le son necesarios para el
desempeño de sus funciones.
Implementación de la identificación y
autenticación
Acceso al sistema operativo
 Cuando el equipo arranca, se puede
acceder al sistema operativo
introduciendo el nombre de usuario y la
contraseña.

 Acceso a las aplicaciones de


gestión de la organización
 Normalmente, el acceso a las
aplicaciones de gestión es
independiente del acceso a los datos y
recursos del servidor, con lo cual se
debe realizar una doble
implementación:
 Con relación a los recursos del servidor
 Con relación a la aplicación de gestión
Políticas de seguridad en los sistemas
operativos

A fin de gestionar de manera


automática las políticas de
seguridad de la organización,
en sistemas operativos
modernos es posible configurar
las directivas de seguridad.

También podría gustarte