ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Auditoria y Seguridad Informática


Enviado por   •  11 de Noviembre de 2018  •  Ensayo  •  2.210 Palabras (9 Páginas)  •  828 Visitas

Página 1 de 9

U.A.G.R.M.[pic 1][pic 2][pic 3]

FACULTAD DE CONTADURIA PÚBLICA O AUDITORIA FINANCIERA

CARRERA: INFORMACION Y CONTROL DE GESTION

Auditoria y Seguridad Informática

Empresa Gas TransBoliviano S.A. (GTB)

        

        Docente:         Ing. Severiche Zurita Mario

Estudiantes:                                                 Registro:

Huarachi Cuiza Jeankarla                                215157168

Matny Soliz Melody                                200435992

Quispe Catari Stefany                                 215033231

Fecha: 15/09/2018[pic 4]

1. SEGURIDAD ACTIVA DE LA EMPRESA

1 Alta, Baja y/o Modificación de los Perfiles de Usuarios

1.1 Alta en sistemas de Información

1.1.1 Agregar el nombre del o de los usuarios que tendrán acceso a un determinado Sistema de Información, identificando el tipo de acceso (perfil) y/o rol que éste ejercerá en el sistema, según las especificaciones descritas en el formulario

1.1.2 Escalar la solicitud de acceso a un Sistema de Información si así se requiere.

1.1.3 Atender las solicitudes de acceso de acuerdo a lo solicitado por Mesa de Servicio.

1.1.4 Cambiar el estado de la solicitud en el Sistema de Gestión de Solicitudes e informar al Analista de Mesa de Servicio.

1.2 Modificación de Usuario

1.2.1 Ejecutar modificación de un usuario en base a los lineamientos definidos en el procedimiento.

1.3 Baja de Usuario

1.3.1 Notificar la, baja de un empleado a la Mesa de Servicio.

1.3.2 Generar solicitud para deshabilitación de accesos en caso de rotaciones

1.3.3 Deshabilitar Cuenta y/o accesos a sistemas de información.

1.3.4 Eliminar los accesos a sistemas de información del puesto que está dejando y proceder a asignar los accesos que le corresponden en su nuevo puesto, en caso de que se trate de una rotación de puesto.

1.3.5 Revisar los registros (logs) de modificación de usuarios de Directorio Activo

2. Autentificación e identificación del usuario
Para cada usuario que requiere acceso a los sistemas de la empresa, se debe otorgar una identificación única dentro de cada uno de los sistemas a los que tenga acceso el usuario.
El uso o creación de identificaciones genéricas o cuentas genéricas está restringido, y debe ser autorizado por el Gerente de Tecnología de la Información.
Todos los accesos a un servicio o aplicación dentro de la empresa deben ser autentificados mediante una contraseña o mediante un servicio de autentificación instalado dentro de la empresa.

2.1 Identificación del usuario (cuenta de acceso)

Para el registro de un nuevo usuario en un sistema que permita la creación de la cuenta utilizando caracteres alfanuméricos se debe seguir el siguiente procedimiento:

  • Cuenta de acceso Alfanumérica. En forma estándar, se crea con la primera inicial del nombre, seguido por el apellido. Por ejemplo: Carlos Miranda-> CMiranda1. En caso que exista uno igual, se agrega al final la inicial del segundo apellido.
  • Para el registro de un nuevo usuario en sistemas que no permitan el uso de caracteres alfanuméricos se sugiere utilizar el código de funcionario asignado por la empresa.

2.2 Contraseñas (Passwords)
El uso de contraseñas asignada al usuario es personal, único e intransferible, el usuario es responsable de mantener la contraseña confidencial y no puede ser compartida con nadie excepto cuando sea requerida por su Gerente de área o el área de Tecnología de la Información por propósito de soporte.
En estos casos el usuario debe cambiar la contraseña una vez finalizada la situación que originó la divulgación de la contraseña.
Propiedades de las contraseñas:

  • Longitud contraseña: Está configurada para tener un mínimo de 8 caracteres en los sistemas que así lo soporten, contempla la obligación de incluir números y letras.
  • Inicialmente es creada igual al nombre de usuario forzándolo a cambiar la primera vez que ingrese al sistema. En los sistemas que no acepten entrada de letras (Ej.: Dispositivos móviles) la longitud mínima es de 4 caracteres
  • Cambios periódicos de contraseña: Los usuarios deben cambiar su contraseña cada 60 días, sin poder repetir la última contraseña. En el caso de cuentas de administración y cuentas de servicio las contraseñas se cambian cada 6 meses.
  • Bloqueo automático de cuentas por fallas al introducir contraseña. En los sistemas que lo soporten, toda cuenta se bloquea automáticamente cuando el usuario introduce su contraseña en forma equivocada en 3 ocasiones. Para que la cuenta sea desbloqueada deben informar a Mesa de Servicio.
  • En el caso de cuentas de red de Estaciones estas se desbloquean automáticamente después de 30 minutos.

3. Perfiles de acceso 
Los perfiles de acceso a los sistemas de información se encuentran definidos en documentos internos de la Gerencia de Tecnología de la Información.
El objetivo de los perfiles de acceso es definir una correcta segregación de funciones para reducir el riesgo de un acceso no autorizado.
Los perfiles se definen a nivel de cargo que ocupa el funcionario. El perfil define los sistemas a los que el usuario tiene acceso y a nivel de cada sistema detalla los accesos autorizados.
En cada alta o modificación de un usuario se debe tomar en cuenta el perfil del usuario a la hora de crear/actualizar el acceso.
La asignación de estos perfiles debe revisarse cada 6 meses para garantizar la correcta asignación de los mismos. Para efectos de trazabilidad se debe contar con un histórico de asignación de perfiles.

4. Accesos remotos
Un acceso remoto se define como la utilización de redes de telecomunicación, para acceder desde un lugar fuera de la empresa, a uno o más servicios que brinda TI dentro de la organización.

4.1 Acceso por VPN

El acceso por VPN está disponible para usuarios con Notebooks asignadas por la empresa y que además son usuarios cuyas actividades requieran tener los mismos accesos a la Red de Datos de la Empresa desde lugares remotos (fuera de la Oficina Central).

4.2 VPN para Contratistas
En el caso de contratistas que requieran acceso remoto a las instalaciones por VPN se solicitará la certificación por parte del contratista que el equipo que acceda a la VPN tenga los mismos niveles de seguridad que un equipo empresarial (Windows Original, Antivirus actualizado, Parches actualizados) y que previamente se haya firmado un documento de confidencialidad por parte del contratista.

...

Descargar como (para miembros actualizados) txt (13 Kb) pdf (199 Kb) docx (401 Kb)
Leer 8 páginas más »
Disponible sólo en Clubensayos.com