1. Indicar los mecanismos de identificación que se encuentran en el caso de estudio.

Mencione cuales son los problemas que identifica frente a estos mecanismos (si los hay)
y que cambios realizaría para mejorar los procesos de identificación realizados en el
caso de estudio.

En las mejoras planteadas debe considerar si aplica adquisiciones, nuevos desarrollos,

entre otros, debe plantear el análisis económico que sustente la mejora que propone,
así como el análisis de tiempos de implementación que puedan ser requeridos.

Rta/

El principal mecanismo de identificación encontrado en el caso de estudio es el de

autenticación con cuentas de usuario y contraseña, el cual podría ser catalogado como
una autenticación básica. No tener la combinación de diferentes factores representa un
problema, facilitando un posible ataque de fuerza bruta, teniendo en cuenta, además,
que el 90% de las contraseñas son vulnerables.

La solución de IAM permite garantizar que todos los usuarios, dispositivos y aplicaciones
tengan los debidos permisos para poder realizar su función. IAM permite alcanzar el
objetivo de identificación, autenticación y autorización de individuos y dispositivos a
través de los diferentes procesos y políticas. En este caso la gestión de accesos permite
verificar la identidad de una persona antes de proporcionar acceso a determinado
recurso o aplicación, a su vez gestiona el ciclo de vida y los accesos dentro de la
universidad, automatizando de esa manera las altas, cambios y bajas de usuarios y
privilegios. IAM proporciona un portal de autoservicio para la gestión de las contraseñas
sin tener que acudir al recurso de contacto con la mesa de ayuda. Por otro lado, existe el
gobierno de identidades que permite identificar quién tiene acceso a qué en toda la
institución.

Una mejora en el mecanismo de identificación sería implementar una capa adicional de

seguridad para el ID de usuario, con el fin de garantizar que sea la única persona que
pueda acceder a la cuenta y esto podría lograrse a partir de la implementación del doble
factor de autenticación que para el caso aplicaría el uso de tokens basados en software,
generando contraseñas de un solo uso.

2. Describir el(los) modelo(s) de control de acceso que identifica en el caso estudio,

presentando en qué situación identifica el modelo de control de acceso (especificar la
parte del caso estudio donde identifica cada modelo) y la justificación de porque lo
clasifica como el modelo de control de acceso que seleccione (esto se refiere a DAC,
MAC, RBAC o BR-RBAC).
 Para cada situación donde identifica un modelo de control de acceso, explique las
ventajas y desventajas que identifica de ese modelo que encuentra aplicado en la
situación. Si identifica posibles mejoras en la aplicación del modelo indíquelas
igualmente.

Rta/ En el caso de estudios presentado podemos ver los modelos de control de acceso
DAC Y RBAC, el modelo DAC lo podemos evidenciar cuando tenían los problemas de
restablecimiento de contraseñas y el RBAC cuando implementan con Fisher. El modelo
de Control de acceso discrecional (Discretionary Access Control - DAC) se identifica en
el párrafo que lleva el título mesa de ayuda en la página 4, Restablecimientos de
contraseña ineficaces y propensos a errores, así como el siguiente que se refiere a al
personal de TI que podría acceder a las contraseñas de los usuarios finales. Se clasifica
en este modelo porque define que todos los objetos tienen un dueño, responsable de
gestionar los accesos; no hay una fuente autoritativa que otorgue o revoque los
permisos o privilegios por lo cual es necesario el uso de políticas de administración.
Dentro de las ventajas de este modelo de control de acceso se tienen:
 Los usuarios restablecen de forma segura sus propias contraseñas olvidadas en
un par de minutos en lugar de esperar a la mesa de ayuda
 Los usuarios finales restablecer de forma segura sus propias contraseñas
olvidadas.
Desventajas:
 Se acude a la mesa de ayuda para el restablecimiento de contraseñas.
 Sobresaturación de la mesa de ayuda.

El modelo de Control de acceso basado en roles (Role Based Access Control - RBAC), se
identifica en el caso de estudio se identifica en el párrafo que corresponde a la solución
(pág. 5). Se considera la aplicación de este modelo porque se amplió la automatización y
el aprovisionamiento para distintas aplicaciones, grupos y roles.
Ventajas:
 Se analiza el costo-beneficio al implementar con Fisher.
 Los procesos se implementan por fases.
 Impacto positivo en la implementación con Fisher.
 Precisión mejorada de las actividades manuales.

3. Realizar la definición de las políticas de control de acceso que considere pertinentes

para responder a los requerimientos de seguridad del caso estudio. La definición de las
políticas debe considerar las tres frases: política de alto nivel, planteamiento de las
reglas (representación formal) y la descripción de la implementación técnica.

Políticas

1. El sistema debe solicitar cambio de contraseña obligatoria luego que la contraseña

haya sido enviada al usuario por el sistema o mesa de ayuda de TI.
2. El sistema debe validar que no se usen contraseñas anteriores.
3. El sistema no debe permitir eliminar el usuario cuando este ya no participe más de la
universidad o colegio, debe permitir deshabilitar el usuario para que no tenga más
acceso y quede el historial del usuario (estudiante, padre, profesor, contratista,
ETC.)
4. El sistema no debe permitir crear usuarios que ya existan o crear duplicados
5. Se debe tener un Rol para asociar al usuario.
6. Se debe contar un formulario o documentación completa del usuario para crear un
usuario en el sistema.
7. Se debe contar con una autorización de parte de líder de TI encargado para
modificar algún dato del usuario y debe quedar registro del cambio.
8. Si se envía la contraseña vía correo electrónico, el correo se debe marcar como
confidencial para que solo el usuario dueño de la cuenta pueda tener acceso a esta.
9. Todos los usuarios creados deben estar conectados a Directorio activo de la empresa
para controlar los inicios de sesiones.
10. Solo un área especializada de TI debe tener acceso a la Base de datos de contraseñas
y ser los gestores de usuarios y contraseñas.
11. La información en la base de datos y la información transmitida que contenga
información confidencial debe estar cifrada
12. El sistema de contar con proceso de gestión autónoma de olvido de contraseña
13. Se deben bloquear los usuarios cuando: están en vacaciones, cuando llevan más de
un mes sin acceder a la plataforma, cuando han finalizado sus estudios o labores o
cuando es retirado el usuario por algún motivo que se considere un riesgo en algún
sentido.
14. Se debe exigir que no se escriba la contraseña en lugares visibles.
15. El sistema de controlar que las contraseñas sean robustas es decir que incluya
Mayúsculas, minúsculas, números y caracteres especiales
16. El sistema debe validar que la contraseña ingresada al momento de cambiarla no
contenga los nombres, apellidos, o algún dato relevante registrado en el formulario
de creación del usuario.