Control de Acceso a las aplicaciones y a la información

Objetivo: evitar el acceso no autorizado a la información contenida en los sistemas de aplicación.


Se deberían usar medios de seguridad para restringir el acceso a los sistemas de aplicación y dentro de ellos.
El acceso lógico al software de aplicación y a la información se debería restringir a usuarios autorizados.
Los sistemas de aplicación deberían:

• controlar el acceso de usuarios a la información y a las funciones del sistema de aplicación, de acuerdo con una política definida de control de acceso;
• suministrar protección contra acceso no autorizado por una utilidad, el software del sistema operativo y software malicioso que pueda anular o desviar los controles del sistema o de la aplicación:
• no poner en peligro otros sistemas con Jos que se comparten los recursos de información

Administración Accesos usuarios: 

Se debe definir, establecer, documentar y revisar mensualmente la política de control de acceso con base en los requisitos del negocio de la Organización y de la seguridad para el acceso a los activos y sistemas de información. En esta política deben establecerse las reglas y derechos de cada usuario o grupo de usuarios.

Todos los usuarios y proveedores de servicios de la Organización deben estar informados de los controles que deben seguir, según la política de control de acceso establecida, a los diferentes sistemas de información y activos con los que interactúan en la Organización.

Se deben establecer procedimientos para controlar la asignación de los derechos de acceso a los sistemas y servicios de la Organización, los cuales deben abarcar las etapas del ciclo de vida del acceso de los usuarios, desde el registro inicial de nuevos usuarios hasta su eliminación o desactivación cuando ya no sea requerido dicho acceso a los sistemas de información y servicios de la Organización.
Para los usuarios que tengan acciones privilegiadas en los sistemas y servicios de información, se deben definir y establecer derechos con acceso privilegiado que permita a estos usuarios evitar controles del sistema o ingresar a información y servicios de administración de más alto perfil. 

Bibliografía

• ISO/IEC 17799:2005, Documentación – International standard book numbering (ISBN)

• International Organization for Standarization. About ISO. Extraído el 1 de octubre, 2008, de http://www.iso.org/iso/about.htm

• International Organization for Standarization. Discover ISO. Extraído el 1 de octubre, 2008, de http://www.iso.org/iso/about/discover-iso_isos-name.htm

• IEC. IEC History. Extraído el 1 de octubre, 2008, de http://www.iec.ch/about/history/

• Wikipedia. Electrotecnia. Extraído el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/Electrotecnia

• Wikipedia. International Electrotechnical Commission. Extraído el 1 de octubre, 2008, de http://en.wikipedia.org/wiki/International_Electrotechnical_Commission

• Wikipedia. IEC JTC1. Extraído el 1 de octubre, 2008, de http://en.wikipedia.org/wiki/ISO/IEC_JTC1

• Wikipedia. Métrica. Extraído el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/M%C3%89TRICA

• Wikipedia. Criptografía. Extraído el 1 de octubre, 2008, de http://es.wikipedia.org/wiki/Criptograf%C3%ADa

 Cumplimiento

Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificación de la legislación aplicable debe estar bien definida.

Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general.

Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.

El cumplimiento de los requisitos legales se aplica también a la protección de los documentos de la organización, protección de datos y privacidad de la información personal, prevención del uso indebido de los recursos de tratamiento de la información, y a regulaciones de los controles criptográficos.

Los sistemas de información deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar el cumplimiento de los estándares de implementación de la seguridad.

En cuanto a las auditorías de los sistemas de información, se tiene que maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoría del sistema de información. Durante las auditorías de los sistemas de información deben existir controles para salvaguardar los sistemas operacionales y herramientas de auditoría. También se requiere protección para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoría.

Las actividades y requerimientos de auditoría que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.

Control de Acceso a las Redes

Objetivo: evitar el acceso no autorizado a los servicios en red.

Es recomendable controlar el acceso a los servicios en red, tanto internos como externos.

El acceso de los usuarios a las redes y a los servicios de red no debería comprometer la seguridad de los servicios de red garantizando que:

• existen interfases apropiadas entre la red de la organización y las redes que pertenecen a otras organizaciones. y las redes públicas:
• se aplican mecanismos adecuados de autenticación para los usuarios y los equipos.
• se exige control de acceso de los usuarios a los servicios de información.

Control de Acceso al Sistema Operativo

Todo acceso a los sistemas operativos de la Organización debe estar controlado por registros de inicio seguro. Es importante tener en cuenta la identificación automática de terminales para la autenticación de conexiones a sitios específicos y a equipos portátiles. Se debe definir un procedimiento para la conexión de los usuarios al sistema informático el cual minimice la posibilidad de accesos no autorizados.

Los procesos de conexión empleados deben mostrar el mínimo de información posible sobre el sistema, para no facilitar ayuda innecesaria a usuarios no autorizados. Los mecanismos seguros de "logon" se encuentran documentados en los manuales de usuario de las diferentes aplicaciones. 

Se debe limitar y mantener controlado el uso de programas utilitarios del sistema, los cuales sean capaces de eludir medidas de control del sistema o de las aplicaciones. Para las terminales utilizadas por la Organización se debe definir un período de tiempo de inactividad. 

Las terminales inactivas en sitios de alto riesgo, en áreas públicas o no cubiertas por el sistema de seguridad de la Organización deben ser desactivadas después de que se cumpla el periodo de tiempo de inactividad previamente definido, para impedir el acceso a estas por usuarios no autorizados.

El dispositivo que realiza la activación debe borrar la pantalla y cerrar las aplicaciones y sesiones de conexión a red después de cumplido el periodo de inactividad. Para reducir accesos no autorizados a terminales que manejan aplicaciones de alto riesgo, se deben implementar restricciones en los tiempos de conexión, se debe limitar el periodo de tiempo en el cual se aceptan conexiones desde una terminal. 

Objetivo: evitar el acceso no autorizado a los sistemas operativos

Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los sistemas operativos. Tales medios deberían tener la capacidad para:

• autenticar usuarios autorizados, de acuerdo con una politica definida de control de acceso;
• registrar intentos exitosos y fallidos de autenticación del sistema;
• registrar el uso de privilegios especiales del sistema;
• emitir alarmas cuando se violan las políticas de seguridad del sistema;
• suministrar medios adecuados para la autenticación:
• cuando sea apropiado, restringir el tiempo de conexión de los usuarios.

Planificación y aceptación del sistema

• Minimizar el riesgo de fallos en los sistemas.


• Se requiere una planificación y preparación avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los sistemas requerida. 
Deberían realizarse proyecciones de los requisitos de capacidad en el futuro para reducir el riesgo de sobrecarga de los sistemas.
Se deberían establecer, documentar y probar, antes de su aceptación, los requisitos operacionales de los nuevos sistemas.


• Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, etc., usando estándares aceptados como ISO 20000 (ITIL) donde sea posible. 
Defina e imponga estándares de seguridad básica (mínimos aceptables) para todas las plataformas de sistemas operativos, usando las recomendaciones de seguridad de CIS, NIST, NSA y fabricantes de sistemas operativos y, por supuesto, sus propias políticas de seguridad de la información.


• Porcentaje de cambios de riesgo bajo, medio, alto y de emergencia. Número y tendencia de cambios revertidos y rechazados frente a cambios exitosos. 
Porcentaje de sistemas (a) que deberían cumplir con estándares de seguridad básica o similares y (b) cuya conformidad con dichos estándares ha sido comprobada mediante benchmarking o pruebas.














 

Gestión de incidentes en la seguridad de la información

La comunicación es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible. De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los empleados, contratistas y terceros de los sistemas y servicios de información tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios.

Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información es elemental.

Aprender de los errores es sabio. Por ello, se deben establecer mecanismos para permitir cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información, siempre con la idea de no volver a cometer los errores que ya se cometieron, y mejor aún, aprender de los errores que ya otros cometieron.

A la hora de recolectar evidencia, cuando una acción de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra una acción legal (ya sea civil o criminal); se debe recolectar, mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdicción(es) relevante(s).

Gestión de la continuidad del negocio

Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización.

Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la información. Estos planes no deben ser estáticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluación.

Junto a la gestión de riesgos, debe aparecer la identificación de eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información. Por supuesto se requieren planes alternativos y de acción ante tales eventos, asegurando siempre la protección e integridad de la información y tratando de poner el negocio en su estado de operación normal a la mayor brevedad posible.

Adquisición; desarrollo y mantenimiento de los sistemas de información

Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen.

Debe existir una validación adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes.

La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas criptográficas en la organización, utilizando técnicas seguras.

Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe controlar el acceso a los archivos del sistema y el código fuente del programa, y los proyectos de tecnologías de información y las actividades de soporte se deben realizar de manera segura.

Deben establecerse procedimientos para el control de la instalación del software en los sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias.

Se debe restringir el acceso al código fuente para evitar robos, alteraciones, o la aplicación de ingeniería inversa por parte de personas no autorizadas, o para evitar en general cualquier tipo de daño a la propiedad de código fuente con que se cuente.

La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios, revisiones técnicas de aplicaciones tras efectuar cambios en el sistema operativo y también restricciones a los cambios en los paquetes de software. No se tiene que permitir la fuga ni la filtración de información no requerida.

Contar con un control de las vulnerabilidades técnicas ayudará a tratar los riesgos de una mejor manera.