CONTROL DE ACCESOS
Enviado por johanajmartinez • 2 de Abril de 2013 • Informe • 1.495 Palabras (6 Páginas) • 371 Visitas
CONTROL DE ACCESOS que tiene como objetivo asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de de información.
Con la tabla anterior se podrán identificar a los diferentes usuarios del aplicativo de tal forma de hacerlos responsables por las acciones que ellos realicen en el aplicativo. Esto deberá ir acompañado de una columna adicional en las tablas donde se considere necesario identificar al responsable, por ejemplo si hablamos de una entidad financiera la tabla que contenga las transacciones de caja, deberá contener por cada registro una columna que indique que usuario realizó la transacción. Adicionalmente es de suma utilidad un campo auto numérico que lo denominamos “identificador” para poder detectar en las revisiones faltantes y repetidos en los registros, este campo identificador lo incluimos en cada una de las siguientes tablas sugeridas.
En base a la guía de implementación de los diferentes puntos de Control de Accesos, sugerimos crear también las siguientes tablas:
En base a esta tabla, se puede realizar el control en la repetición de contraseñas en el último año por ejemplo, o al momento de que los usuarios cambien su contraseña impedirles que reciclen sus contraseñas como mínimo no pueden utilizar las últimas 3 contraseña.
En base a esta tabla se podrá parametrizar la seguridad de accesos, siendo más exigentes o menos exigentes al momento de crear las contraseñas, el tiempo para cambiar contraseñas, así mismo podrían definirse tiempos diferentes de expiración de clave diferenciando entre los usuarios administradores, supervisores y normales, puesto que la ISO 17799 recomienda que los usuarios con mayores privilegios cambien su contraseña con mayor frecuencia.
Una vez que se tienen como mínimo las anteriores tablas, esto se deberá reforzar con una GESTIÓN adecuada de la Seguridad de la Información, por ejemplo respecto de la administración del ciclo de vida de los usuarios, es decir desde que se crean los usuarios hasta se dan de baja (temporal o definitiva), considerando las prácticas recomendadas en el ISO 17799. Por ejemplo contar con una política de control de accesos, procedimiento de altas y bajas de usuarios, Controles en la asignación de privilegios. Para fines legales (forense) es muy importante que los usuarios se les haga entrega de una relación escrita de sus derechos de acceso; la petición a los usuarios para que reconozcan con su firma que comprenden las condiciones de acceso; antes de contratar personal hacerles entrega de una breve explicación de las políticas, normas y procedimientos y su firma expresando conformidad con las consecuencias que podrían generar las violaciones a la política de seguridad; los usuarios deben conocer que por ninguna circunstancia deben tratar de probar una debilidad.
B. GESTIÓN DE COMUNICACIONES Y OPERACIONES Tiene como objetivo detectar las actividades de procesamiento de información no autorizada.
• REGISTRO DE AUDITORIA: Los registros de auditoría grabando actividades de los usuarios, excepciones y eventos de la seguridad de información deben ser producidos y guardados para un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. De acuerdo con la guía de implementación deberíamos almacenar ciertos datos, sugerimos crear una tabla que contenga los siguientes datos:
La tabla Registro de Auditoria deberá incluir un campo clave auto numérico, el cual nos permita hacer pruebas de auditoría de detección de faltantes y repetidos. Así también el campo Evento deberá desagregarse (normalizar) y crear tablas específicas para almacenar los tipos de eventos a las cuales acceden los usuarios.
El contenido de la tabla Evento podría ser el siguiente:
Hasta este punto, podría surgir la duda de cómo llenamos los datos en estas tablas, pues bien tenemos por lo menos 2 alternativa. La primera alternativa es llenar las tablas mediante el aplicativo, esto significa mucho esfuerzo en programación, especialmente cuando existen cambios en la Base de Datos. La segunda alternativa es llenar las tablas mediante el diseño de triggers, esta opción tiene la ventaja de ser independiente del aplicativo y las tablas se llenarán ya sea cuando se haga modificaciones directamente mediante sentencias SQL o mediante opciones de menú o comandos del aplicativo. También podría surgir la duda de si integrar las pistas de auditoría en las tablas normales del aplicativo o crear nuevas tablas, la elección de la alternativa dependerá de las características de cada organización, puesto que si se cuentan con
...