11.1 REQUISITOS DEL NEGOCIO PARA EL CONTROL DEL ACCESO
Objetivo: controlar el acceso a la información.El acceso a la información, a los servicios de procesamiento de información y a los
procesos del negocio se debería controlar con base en los requisitos de seguridad y del
negocio.
Las reglas para el control del acceso deberían tener en cuenta las políticas de
distribución y autorización de la información.
11.1.1 Política de control de acceso
Control
Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso.Guía de implementación
Las reglas y los derechos para el control del acceso para cada usuario o grupo de usuarios se deberían establecer con claridad en una política de control del acceso. Los controles del
acceso son tanto lógicos como físicos (véase la sección 9) y se deberían considerar en
conjunto. A los usuarios y a los proveedores de servicios se les debería brindar una declaración
clara de los requisitos del negocio que deben cumplir los controles del acceso.
La política debería considerar los siguientes aspectos:
a) requisitos de seguridad de las aplicaciones individuales del negocio;
b) identificación de toda la información relacionada con las aplicaciones del negocio y los
riesgos a los que se enfrenta la información;
c) políticas para la distribución y autorización de la información, como por ejemplo la
necesidad de conocer el principio y los niveles de seguridad y la clasificación de la
información (véase el numeral 7.2);
d) consistencia entre el control del acceso y las políticas de clasificación de la información
de sistemas y redes diferentes;
e) legislación pertinente y obligaciones contractuales relacionadas con la protección del
acceso a los datos o los servicios (véase el numeral 15.1);
f) perfiles estándar de acceso de usuario para funciones laborales comunes en la organización;
g) gestión de los derechos de acceso en un entorno distribuido y con red que reconozca
todos los tipos de conexiones posibles;
h) distribución de las funciones de control de acceso, por ejemplo solicitud de acceso,
autorización del acceso, administración del acceso;
i) requisitos para la autorización formal de las solicitudes de acceso (véase el numeral
11.2.1);
j) requisitos para la revisión periódica de los controles de acceso (véase el numeral
11.2.4);
k) retiro de los derechos de acceso (véase el numeral 8.3.3).
Información adicional
Se recomienda cuidado al especificar las reglas de control de acceso para considerar:
a) diferenciación entre reglas que siempre se deben hacer cumplir y directrices que son
opcionales o condicionales;
b) establecimiento de reglas basadas en la premisa "En general, todo está prohibido, a
menos que esté expresamente permitido" y no en la regla más débil de " En general,
todo está permitido, a menos que esté expresamente prohibido";
c) cambios en las etiquetas de la información (véase el numeral 7.2) que son iniciados
automáticamente por los servicios de procesamiento de información y aquellos iniciados
a discreción del usuario;
d) cambios en los permisos de usuario que son iniciados automáticamente por los
servicios de procesamiento de información y aquellos iniciados por un administrador;
e) reglas que requieren aprobación específica antes de su promulgación y aquellas que
no.
Las reglas de control de acceso deberían tener soporte de procedimientos formales y de
responsabilidades claramente definidas (véase, por ejemplo, 6.1.3, 11.3, 10.4.1, 11.6).
11.2 GESTIÓN DEL ACCESO DE USUARIOS
Objetivo: asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios noautorizados a los sistemas de información.
Se deberían establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios de información.
Los procedimientos deberían comprender todas las fases del ciclo de vida del acceso del
usuario, desde el registro inicial de los usuarios nuevos hasta la cancelación final del registro de usuarios que ya no requieren acceso a los servicios y sistemas de información. Se debería poner atención especial, según el caso, a la necesidad de controlar la asignación de derechos de acceso privilegiado que permiten a los usuarios anular los controles del sistema.
11.2.1 Registro de usuarios
Control
Debería existir un procedimiento formal para el registro y cancelación de usuarios con el fin de conceder y revocar el acceso a todos los sistemas y servicios de información.Guía de implementación
El procedimiento de control del acceso para el registro y cancelación de usuarios debería
incluir:
a) uso de la identificación única de usuario (ID) para permitir que los usuarios queden
vinculados y sean responsables de sus acciones; el uso de identificadores (ID) de grupo
únicamente se debería permitir cuando son necesarios por razones operativas o del
negocio, y deberían estar aprobados y documentados;
b) verificación de que el usuario tenga autorización del dueño del sistema para el uso del
sistema o servicio de información, también pueden ser conveniente que la dirección
apruebe por separado los derechos de acceso;
c) verificación de que el nivel de acceso otorgado sea adecuado para los propósitos del
negocio (véase el numeral 11.1) y sea consistente con la política de seguridad de la
organización, es decir, no pone en peligro la distribución de funciones (véase el
numeral 10.1.3);
d) dar a los usuarios una declaración escrita de sus derechos de acceso;
e) exigir a los usuarios firmar declaraciones que indiquen que ellos entienden las
condiciones del acceso;
f) asegurar que los proveedores del servicio no otorguen el acceso hasta que se hallan
terminado los procedimientos de autorización;
g) mantenimiento de un registro formal de todas las personas registradas para usar el
servicio;
h) retirar o bloquear inmediatamente los derechos de acceso de los usuarios que han
cambiado de función, de trabajo o que han dejado la organización;
i) verificar, retirar o bloquear periódicamente las identificaciones (ID) y cuentas
redundantes de usuarios (véase el numeral 11.2.4);
j) garantizar que las identificaciones (ID) de usuario redundantes no se otorgan a otros
usuarios.
Información adicional
Se debería considerar el establecimiento de roles de acceso de usuario basadas en los
requisitos del negocio que incluyan un número de derechos en perfiles típicos de acceso de
usuario. Las solicitudes y revisiones de acceso (véase el numeral 11.2.4) se gestionan más
fácilmente en el ámbito de dichas funciones que en el ámbito de derechos particulares.
Es conveniente considerar la inclusión de cláusulas en los contratos del personal y de los
servicios que especifiquen las sanciones si el personal o los agentes del servicio intentan el
acceso no autorizado (véanse los numerales 6.1.5, 8.1.3 y 8.2.3).
11.2.2 Gestión de privilegios
Control
Se debería restringir y controlar la asignación y el uso de privilegios.Guía de implementación
Los sistemas de usuario múltiple que requieren protección contra el acceso no autorizado
deberían controlar la asignación de privilegios a través de un proceso formal de autorización.
Se recomienda tener en cuenta los siguientes elementos:
a) Se deberían identificar los usuarios y sus privilegios de acceso asociados con cada
producto del sistema, como sistema operativo, sistema de gestión de bases de datos y
aplicaciones;
b) Se deberían asignar los privilegios a los usuarios sobre los principios de necesidad deuso y evento-por-evento, y de manera acorde con la política de control de acceso
(véase el numeral 11.1.1), es decir, el requisito mínimo para su función, sólo cuando sea
necesario;
c) se deberían conservar un proceso de autorización y un registro de todos los privilegios
asignados. Los privilegios no se deberían otorgar hasta que el proceso de autorización
esté completo;
d) es conveniente promover el desarrollo y empleo de rutinas del sistema para evitar la
necesidad de otorgar privilegios a los usuarios;
e) se recomienda promover también el desarrollo y empleo de programas que eviten la
necesidad de funcionar con privilegios;
f) los privilegios se deberían asignar a un identificador de usuario (ID) diferente a los
utilizados para el uso normal del negocio.
Información adicional
El uso no apropiado de los privilegios de administración del sistema (cualquier característica o servicio de un sistema que permita al usuario anular los controles del sistema o de la aplicación) puede ser un factor contribuyente importante a las fallas o vulnerabilidades del sistema.
11.2.3 Gestión de contraseñas para usuarios
Control
La asignación de contraseñas se debería controlar a través de un proceso formal de gestión.Guía de implementación
El proceso debería incluir los siguientes requisitos:
a) se debería exigir a los usuarios la firma de una declaración para mantener
confidenciales las contraseñas personales y conservar las contraseñas de grupo
únicamente entre los miembros de éste; esta declaración firmada se podría incluir en los
términos y condiciones laborales (véase el numeral 8.1.3);
b) cuando se exige a los usuarios mantener sus propias contraseñas, inicialmente se les
debería suministrar una contraseña temporal segura (véase el numeral 11.3.1) que
estén forzados a cambiar inmediatamente;
c) establecer procedimientos para verificar la identidad de un usuario antes de
proporcionarle una contraseña temporal, de reemplazo o nueva;
d) las contraseñas temporales se deberían suministrar de forma segura a los usuarios; se
recomienda evitar mensajes de correo electrónico de terceras partes o sin protección
(texto claro);
e) las contraseñas temporales deberían ser únicas para un individuo y no ser descifrables;
f) los usuarios deberían confirmar la entrega de las contraseñas;
g) las contraseñas nunca se deberían almacenar en sistemas de computador en un
formato no protegido;
h) las contraseñas predeterminadas por el proveedor se deberían cambiar inmediatamente
después de la instalación de los sistemas o del software.
Información adicional
Las contraseñas son un medio común de verificación de la identidad de un usuario antes de
darle acceso a un sistema o servicio de información de acuerdo con la autorización del usuario.
Según el caso, es recomendable considerar otras tecnologías disponibles para la identificación y autenticación del usuario tales como biométricos, (verificación de huella digital, verificación de firma) y el uso de tokens de autenticación, (tarjetas inteligentes).
11.2.4 Revisión de los derechos de acceso de los usuarios
Control
La dirección debería establecer un procedimiento formal de revisión periódica de los derechos de acceso de los usuarios.Guía de implementación
Se recomienda que en la revisión de los derechos de acceso se consideren las siguientes
directrices:
a) los derechos de acceso de los usuarios se deberían revisar a intervalos regulares, por
ejemplo cada seis meses y después de cada cambio, como por ejemplo promoción,
cambio a un cargo en un nivel inferior, o terminación del contrato laboral (véase el
numeral 11.2.1);
b) los derechos de acceso de usuarios se debería revisar y reasignar cuando hay cambios
de un cargo a otro dentro de la misma organización;
c) es recomendable revisar las autorizaciones para derechos de acceso privilegiado
(véase el numeral 11.2.2) a intervalos más frecuentes, por ejemplo cada tres meses;
d) se debería verificar la asignación de privilegios a intervalos regulares para garantizar
que no se obtienen privilegios no autorizados;
e) los cambios en las cuentas privilegiadas se deberían registrar para su revisión periódica.
Información adicional
Es necesario revisar con regularidad los derechos de acceso de los usuarios para mantener un control eficaz del acceso a los datos y a los servicios de información.
11.3 RESPONSABILIDADES DE LOS USUARIOS
Objetivo: evitar el acceso de usuarios no autorizados, el robo o la puesta en peligro de lainformación y de los servicios de procesamiento de información.
La cooperación de los usuarios autorizados es esencial para la eficacia de la seguridad.
Se debería concientizar a los usuarios sobre sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular con relación al uso de contraseñas y a la seguridad del equipo del usuario.
Es recomendable implementar una política de escritorio y pantalla despejados para reducir el riesgo de acceso no autorizado o daño de reportes, medios y servicios de procesamiento de información.
11.3.1 Uso de contraseñas
Control
Se debería exigir a los usuarios el cumplimiento de buenas prácticas de seguridad en laselección y el uso de las contraseñas.
Guía de implementación
Todos los usuarios deberían:
a) mantener la confidencialidad de las contraseñas;
b) evitar conservar registros (por ejemplo en papel, archivos de software o dispositivos
manuales) de las contraseñas, a menos que éstas se puedan almacenar de forma
segura y el método de almacenamiento esté aprobado;
c) cambiar las contraseñas siempre que haya indicación de puesta en peligro del sistema
o de la contraseña;
d) seleccionar contraseñas de calidad con longitud mínima suficiente que:
1) sean fáciles de recordar;
2) no se basen en algo que alguien pueda adivinar fácilmente o usando información
relacionada con la persona, por ejemplo nombre, números telefónicos, fechas de
cumpleaños, etc.;
3) no sean vulnerables al ataque de diccionarios (es decir, que no consistan en
palabras incluidas en diccionarios);
4) no tengan caracteres idénticos consecutivos, que no sean todos numéricos ni
todos alfabéticos;
e) cambiar las contraseñas a intervalos regulares o con base en el número de accesos (las
contraseñas para cuentas privilegiadas se deberían cambiar con más frecuencia que las
contraseñas normales) y evitar la reutilización de contraseñas antiguas;
f) cambiar las contraseñas temporales en el primer registro de inicio;
g) no incluir contraseñas en ningún proceso de registro automatizado, por ejemplo
almacenadas en un macro o en una clave de función;
h) no compartir las contraseñas de usuario individuales;
i) no utilizar la misma contraseña para propósitos del negocio y para los que no lo son.
Si los usuarios necesitan acceso a múltiples servicios, sistemas o plataformas y se les exige conservar múltiples contraseñas separadas, se les debería advertir que pueden usar una sola contraseña de calidad (véase d) arriba) para todos los servicios cuando se les garantiza que se
ha establecido un nivel razonable de protección para almacenar la contraseña en cada servicio, sistema o plataforma.
Información adicional
La gestión de los sistemas de ayuda del escritorio auxiliar que tratan con las contraseñas
perdidas u olvidadas necesita cuidado especial puesto que también puede ser un medio de
ataque al sistema de contraseña.
11.3.2 Equipo de usuario desatendido
Control
Los usuarios deberían asegurarse de que los equipos desatendidos tengan protecciónapropiada.
Guía de implementación
Se debería concientizar a los usuarios sobre los requisitos y los procedimientos de seguridad para proteger los equipos desatendidos, así como sobre sus responsabilidades en la implementación de dicha protección. Se debería advertir a los usuarios sobre:
a) terminar las sesiones activas cuando finalice, a menos que se puedan asegurar por
medio de un mecanismo de bloqueo, como un protector de pantalla protegido por contraseña;
b) realizar el registro de cierre en computadoras principales, servidores y computadores
personales de oficina al terminar la sesión (es decir, no sólo apagar el interruptor de la
pantalla del computador o terminal);
c) cuando no están en uso, asegurar los computadores personales o los terminales contra el uso no autorizado mediante una clave de bloqueo o un control equivalente como, por
ejemplo, el acceso por contraseña (véase el numeral 11.3.3).
Información adicional
Los equipos instalados en las áreas de usuario, por ejemplo las estaciones de trabajo o los
servidores de archivo, pueden requerir protección específica contra el acceso no autorizado
cuando se dejen desatendidos durante periodos prolongados.
11.3.3 Política de escritorio despejado y de pantalla despejada
Control
Se debería adoptar una política de escritorio despejado para reportes y medios dealmacenamiento removibles y una política de pantalla despejada para los servicios de
procesamiento de información.
Guía de implementación
En la política de escritorio despejado y pantalla despejada se deberían considerar las
clasificaciones de la información (véase el numeral 7.2), los requisitos legales y contractuales (véase el numeral 15.1), los riesgos correspondientes y los aspectos culturales de la organización. Es recomendable tener presentes las siguientes directrices:
a) cuando no se requiere la información sensible o crítica del negocio, como por ejemplo
los medios de almacenamiento electrónicos o en papel, se debería asegurar bajo llave (idealmente una caja fuerte, un gabinete u otro mueble de seguridad), especialmente
cuando la oficina está vacía;
b) las sesiones de los computadores y los terminales se deberían cerrar o proteger con un
mecanismo de bloqueo de pantalla y de teclado controlado por una contraseña, un
token o un mecanismo similar de autenticación de usuario cuando no están atendidos, y
se deberían proteger mediante bloqueos de clave, contraseñas u otros controles cuando
no se estén utilizando;
c) se deberían proteger los puntos de entrada y salida de correo y las máquinas de
facsímil desatendidas;
d) es conveniente evitar el uso no autorizado de fotocopiadoras y otra tecnología de
reproducción (por ejemplo, escáneres, cámaras digitales, etc.).
e) los documentos que contengan información sensible o clasificada se deberían retirar
inmediatamente de las impresoras.
Información adicional
Una política sobre escritorio despejado / pantalla despejada reduce los riesgos de acceso no autorizado, pérdida y daño de la información durante y fuera de las horas laborales normales.
Las cajas fuertes u otras formas de almacenamiento seguro también podrían proteger la
información almacenada allí contra desastres como incendio, terremoto, inundación o
explosión.
Se debería pensar en la utilización de impresoras con función de código de pines (pin code) de forma que quien inicia la impresión sea el único que pueda obtenerla y únicamente cuando esté cerca de la impresora.
11.4 CONTROL DE ACCESO A LAS REDES
Objetivo: evitar el acceso no autorizado a los servicios en red.Es recomendable controlar el acceso a los servicios en red, tanto internos como externos.
El acceso de los usuarios a las redes y a los servicios de red no debería comprometer la
seguridad de los servicios de red garantizando que:
a) existen interfases apropiadas entre la red de la organización y las redes que
pertenecen a otras organizaciones, y las redes públicas;
b) se aplican mecanismos adecuados de autenticación para los usuarios y los equipos;
c) se exige control de acceso de los usuarios a los servicios de información.
11.4.1 Política de uso de los servicios en red
Control
Los usuarios sólo deberían tener acceso a los servicios para cuyo uso están específicamente autorizados.Guía de implementación
Se debería formular una política con respecto al uso de las redes y los servicios de red. Esta política debería abarcar:
a) las redes y los servicios de red a los cuales se permite el acceso;
b) los procedimientos de autorización para determinar a quién se le permite el acceso a
qué redes y qué servicios en red;
c) los controles y procedimientos de gestión para proteger el acceso a las conexiones de
red y los servicios de red;
d) los medios utilizados para el acceso a las redes y los servicios de red (por ejemplo las
condiciones para permitir el acceso a la marcación a un proveedor de servicios de
Internet o a un sistema remoto).
La política sobre el uso de los servicios de red debería ser consistente con la política de control de acceso de la organización (véase el numeral 11.1).
Información adicional
Las conexiones inseguras y no autorizadas a servicios de red pueden afectar a toda la
organización. Este control es particularmente importante para las conexiones de red de
aplicaciones sensibles o críticas para el negocio o para usuarios en lugares de alto riesgo, por ejemplo en áreas públicas o externas que se hallan fuera del control y la gestión de seguridad de la organización.
11.4.2 Autenticación de usuarios para conexiones externas
Control
Se deberían emplear métodos apropiados de autenticación para controlar el acceso deusuarios remotos.
Guía de implementación
La autenticación de usuarios remotos se puede lograr usando, por ejemplo, una técnica con
base criptográfica, token de hardware o protocolos de desafío / respuesta. Las posibles
implementaciones de dichas técnicas se pueden encontrar en diversas soluciones de red
privada virtual (VPN). Las líneas privadas dedicadas también se pueden emplear para brindar aseguramiento de la fuente de las conexiones.
Los procedimientos y controles de devolución de marcación, por ejemplo empleando módems de retorno de marcación, pueden suministrar protección contra conexiones no deseadas o no autorizadas a los servicios de procesamiento de información de la organización. Este tipo de control autentica a los usuarios tratando de establecer una conexión con una red de la organización desde sitios remotos. Cuando se usa este control, la organización no debería utilizar servicios de red que incluyen envío de llamada o, si lo hacen, deberían desactivar el uso de dichas características para evitar las debilidades asociadas con el envío de llamada. El proceso de devolución de llamada debería garantizar que realmente se produce una desconexión en el lado de la organización. De otro modo, el usuario remoto debería mantener la línea abierta pretendiendo que ha ocurrido la verificación de la devolución de la llamada. Los procedimientos y controles de devolución de la llamada se deberían probar en su totalidad para determinar esta posibilidad.
La autenticación del nodo puede servir como un medio alterno para la autenticación de grupos de usuarios remotos cuando están conectados a un servicio seguro de computador compartido.
Para la autenticación del nodo se pueden emplear las técnicas criptográficas, por ejemplo las basadas en certificados de máquina. Esto forma parte de varias soluciones basadas en la red privada virtual (VPN).
Se deberían implementar controles de autenticación adicionales para controlar el acceso a
redes inalámbricas. En particular, es necesario tener cuidado especial en la selección de los controles para redes inalámbricas debido a las grandes oportunidades para la interceptación e inserción no detectadas en el tráfico de la red.
Información adicional
Las conexiones externas suministran un potencial para el acceso no autorizado a la
información del negocio, por ejemplo el acceso a los métodos de marcación. Existen diferentes métodos de autenticación, algunos de los cuales proporcionan un mayor grado de protección que otros, como por ejemplo los métodos con base en el uso de técnicas criptográficas que pueden brindar autenticación sólida. Es importante determinar a partir de la evaluación de riesgos el grado necesario de protección. Ello es necesario para la selección adecuada de un método de autenticación.
Un medio para la conexión automática a un computador remoto podría suministrar una forma de obtener acceso no autorizado a una aplicación del negocio. Esto es especialmente importante si la conexión utiliza una red que está fuera del control de la gestión de seguridad de la organización.
11.4.3 Identificación de los equipos en las redes
Control
La identificación automática de los equipos se debería considerar un medio para autenticarconexiones de equipos y ubicaciones específicas.
Guía de implementación
Se puede usar la identificación del equipo, si es importante que la comunicación únicamente se
pueda iniciar desde un equipo o lugar específico. Un identificador en el equipo o acoplado a
éste se puede usar para indicar si está permitido que este equipo se conecte a la red. Estos
identificadores deberían indicar con claridad a qué red está permitido conectar el equipo, si
existe más de una red y si estas redes tienen sensibilidad diferente. Puede ser necesario
considerar la protección física del equipo para mantener la seguridad del identificador de éste.
Información adicional
Este control se puede complementar con otras técnicas para autenticar el usuario del equipo (véase el numeral 11.4.2). La identificación del equipo se puede aplicar en adición a la autenticación del usuario.
11.4.4 Protección de los puertos de configuración y diagnóstico remoto
Control
El acceso lógico y físico a los puertos de configuración y de diagnóstico debería estarcontrolado.
Guía de implementación
Los controles potenciales para el acceso a los puertos de diagnóstico y configuración incluyen el uso de un bloqueo de clave y procedimientos de soporte para controlar el acceso físico al
puerto. Un ejemplo de un procedimiento de soporte es garantizar que los puertos de
diagnóstico y configuración sólo sean accesibles mediante acuerdo entre el administrador del servicio de computador y el personal de soporte de hardware / software que requiere el acceso.
Los puertos, servicios y prestaciones similares instaladas en un servicio de computador o de red, que no se requieren específicamente para la funcionalidad del negocio, se deberían
inhabilitar o retirar.
Información adicional
Muchos sistemas de computador, sistemas de red y sistemas de comunicación se instalan en un sitio de configuración o de diagnóstico remoto para ser utilizados por los ingenieros de mantenimiento. Si no están protegidos, estos puertos de diagnóstico son un medio para el acceso no autorizado.
11.4.5 Separación en las redes
Control
En las redes se deberían separar los grupos de servicios de información, usuarios y sistemasde información.
Guía de implementación
Un método para el control en las redes grandes es dividirlas en dominios lógicos de red
separados, por ejemplo, dominios de red internos de la organización y dominios de red
externos, cada uno protegido por un perímetro de seguridad definido. Se puede aplicar un
conjunto graduado de controles en diferentes dominios lógicos de red para separar aún más los entornos de seguridad de la red, por ejemplo los sistemas de acceso público, las redes internas y los activos críticos. Los dominios se deberían definir con base en una evaluación de riesgos y en los diferentes requisitos de seguridad en cada uno de los dominios.
Se puede implementar un perímetro de red instalando una puerta de enlace (gateway) seguro entre las dos redes que se van a interconectar para controlar el acceso y el flujo de información entre los dos dominios. Esta puerta de enlace (gateway) se debería configurar para filtrar el tráfico entre estos dominios (véanse los numerales 11.4.6 y 11.4.7) y para bloquear el acceso no autorizado, según la política de control de acceso de la organización (véase el numeral 11.1). Un ejemplo de este tipo de puerta de enlace (gateway) es lo que se conoce comúnmente como barrera de fuego (firewall). Otro método para apartar los dominios lógicos separados es restringir el acceso a la red usando redes privadas virtuales para grupos de usuarios dentro de la organización.
Las redes también se pueden separar utilizando la funcionalidad del dispositivo de red, por
ejemplo la conmutación IP. Los dominios separados se pueden implementar entonces
controlando los flujos de datos de la red usando las capacidades de enrutamiento /
conmutación, como por ejemplo las listas de control de acceso.
Los criterios para separar las redes en dominios se deberían basar en la política de control de acceso y en los requisitos de acceso (véase el numeral 10.1) y deberían tener en cuenta los costos relativos y el impacto en el desempeño por la incorporación de tecnología conveniente de
puerta de enlace (gateway) o de enrutamiento de red (véanse los numerales 11.4.6 y 11.4.7).
Además, la separación de las redes se debería basar en el valor y la clasificación de la
información almacenada o procesada en la red, los niveles de confianza o los lineamientos del negocio con el fin de reducir el impacto total de una interrupción del servicio.
También se debería pensar en la separación de las redes inalámbricas procedentes de redes internas y privadas. Puesto que los perímetros de las redes inalámbricas no están bien definidos, es recomendable llevar a cabo una evaluación de riesgos en tales casos para identificar los controles (por ejemplo, autenticación sólida, métodos criptográficos y selección de frecuencia) para mantener la separación de la red.
Información adicional
Las redes se extienden cada vez más allá de las fronteras tradicionales de la organización, ya que se forman sociedades de negocios que pueden requerir la interconexión o compartir el procesamiento de información y las prestaciones de la red. Tal extensión puede incrementar el riesgo no autorizado a los sistemas de información existentes que utilizan la red, algunos de los cuales pueden requerir protección contra otros usuarios de la red debido a su sensibilidad o importancia.
11.4.6 Control de conexión a las redes
Control
Para redes compartidas, especialmente aquellas que se extienden más allá de las fronteras de la organización, se debería restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control de acceso y los requisitos de aplicación del negocio (véase el numeral 11.1).Guía de implementación
Los derechos de acceso a la red de los usuarios se deberían mantener y actualizar según se requiera a través de la política de control de acceso (véase el numeral 11.1.1).
La capacidad de conexión de los usuarios se puede restringir a través de puertas de enlace
(gateway) de red que filtren el tráfico por medio de tablas o reglas predefinidas. Los siguientes
son algunos ejemplos de aplicaciones a las cuales se deberían aplicar restricciones:
a) mensajería, por ejemplo, el correo electrónico;
b) transferencia de archivos;
c) acceso interactivo;
d) acceso a las aplicaciones.
Es conveniente tomar en consideración el enlace de los derechos de acceso a la red con
algunas horas del día o fechas.
Información adicional
La política de control del acceso puede exigir la incorporación de controles para restringir la
capacidad de conexión de los usuarios a redes compartidas, especialmente aquellas que se extienden más allá de las fronteras de la organización.
11.4.7 Control del enrutamiento en la red
Control
Se deberían implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso de las aplicaciones del negocio.Guía de implementación
Los controles de enrutamiento se deberían basar en mecanismos de verificación para las
direcciones fuente /destino válidos.
Las puertas de enlace (gateway) de seguridad se pueden usar para validar la dirección
fuente/destino en los puntos de control de las redes interna y externa, si se emplean
tecnologías proxy y / o de traducción de dirección de red. Quienes desarrollan la
implementación deberían ser conscientes de las fortalezas y deficiencias de los mecanismos
desplegados. Los requisitos para el control del enrutamiento en la red se deberían basar en la política de control de acceso (véase el numeral 11.1).
Información adicional
Las redes compartidas, especialmente aquellas que van más allá de las fronteras de la
organización, pueden requerir controles adicionales de enrutamiento. Esto se aplica
particularmente cuando las redes son compartidas por usuarios de terceras partes (que no
pertenecen a la organización).
11.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO
Objetivo: evitar el acceso no autorizado a los sistemas operativos.Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no
autorizados a los sistemas operativos. Tales medios deberían tener la capacidad para:
a) autenticar usuarios autorizados, de acuerdo con una política definida de control de
acceso;
b) registrar intentos exitosos y fallidos de autenticación del sistema;
c) registrar el uso de privilegios especiales del sistema;
d) emitir alarmas cuando se violan las políticas de seguridad del sistema;
e) suministrar medios adecuados para la autenticación;
f) cuando sea apropiado, restringir el tiempo de conexión de los usuarios.
11.5.1 Procedimientos de registro de inicio seguro
Control
El acceso a los sistemas operativos se debería controlar mediante un procedimiento de registro de inicio seguro.Guía de implementación
El procedimiento de registro en un sistema operativo debería estar diseñado para minimizar la oportunidad de acceso no autorizado. Por lo tanto, el procedimiento de registro de inicio
debería divulgar información mínima sobre el sistema para evitar suministrar asistencia
innecesaria a un usuario no autorizado. Un buen procedimiento de registro de inicio debería
cumplir los siguientes aspectos:
a) no mostrar identificadores de aplicación ni de sistema hasta que el proceso de registro
de inicio se haya completado exitosamente;
b) mostrar una advertencia de notificación general indicando que sólo deberían tener
acceso al computador los usuarios autorizados;
c) no suministrar mensajes de ayuda durante el procedimiento de registro de inicio que
ayuden a un usuario no autorizado;
d) validar la información de registro de inicio únicamente al terminar todos los datos de
entrada. Si se presenta una condición de error, el sistema no debería indicar qué parte
de los datos es correcta o incorrecta;
e) limitar la cantidad de intentos permitidos de registro de inicio, por ejemplo tres intentos,
y considerar:
1) registrar intentos exitosos y fallidos;
2) forzar un tiempo de dilación antes de permitir intentos adicionales del registro de
inicio o de rechazar los intentos adicionales sin autorización específica;
3) desconectar las conexiones de enlaces de datos;
4) enviar un mensaje de alarma a la consola del sistema si se alcanza la cantidad
máxima de intentos de registro de inicio;
5) establecer la cantidad de reintentos de contraseña junto con la longitud mínima
de ella y el valor del sistema que se protege;
f) limitar el tiempo máximo y mínimo permitido para el procedimiento de registro de inicio.
Si se excede, el sistema debería finalizar esta operación;
g) mostrar la siguiente información al terminar un registro de inicio exitoso:
1) fecha y hora del registro de inicio exitoso previo;
2) detalles de los intentos fallidos de registro de inicio desde el último registro
exitoso;
h) no mostrar la contraseña que se introduce o considerar esconder los caracteres
mediante símbolos;
i) no transmitir contraseñas en texto claro en la red.
Información adicional
Si las contraseñas se transmiten en texto claro durante la sesión de registro de inicio pueden ser capturadas en la red por un programa "husmeador" de red.
11.5.2 Identificación y autenticación de usuarios
Control
Todos los usuarios deberían tener un identificador único (ID del usuario) únicamente para su uso personal, y se debería elegir una técnica apropiada de autenticación para comprobar laidentidad declarada de un usuario.
Guía de implementación
Este control se debería aplicar a todos los tipos de usuarios (incluyendo el personal de soporte técnico, operadores, administradores de red, programadores de sistemas y administradores de bases de datos).
Los identificadores de usuario (ID) se deberían utilizar para rastrear las actividades de la
persona responsable. Las actividades de usuarios regulares no se deberían realizar desde
cuentas privilegiadas.
En circunstancias excepcionales, cuando existe un beneficio claro para el negocio, se puede usar un identificador de usuario compartido para un grupo de usuarios o un trabajo específico.
La aprobación por la dirección debería estar documentada para dichos casos. Se pueden
requerir controles adicionales para mantener la responsabilidad.
Sólo se deberían permitir los identificadores (ID) de usuario genéricos para uso de un individuo si existen funciones accesibles o si no es necesario rastrear las acciones ejecutadas por el identificador (por ejemplo el acceso de sólo lectura), o cuando no hay controles establecidos (por ejemplo cuando la contraseña para un identificador genérico sólo se emite para un personal a la vez y el registro de tal caso).
métodos alternos a la contraseña, como los medios criptográficos, las tarjetas inteligentes,
token o medios biométricos.
Información adicional
Las contraseñas (véanse los numerales 11.3.1 y 11.5.3) son una forma muy común de
identificar y autenticar con base en un secreto que sólo conoce el usuario. Lo mismo se puede lograr con medios criptográficos y protocolos de autenticación. La fortaleza de la identificación y autenticación del usuario debería ser adecuada a la sensibilidad de la información a la que se tiene acceso.
Objetos tales como los tokens de memoria o las tarjetas inteligentes que poseen los usuarios
también se pueden usar para la identificación y la autenticación. Las tecnologías de
autenticación biométrica que utilizan características o atributos únicos de un individuo también mecanismos enlazados con seguridad producirá una autenticación sólida.
11.5.3 Sistema de gestión de contraseñas
Control
Los sistemas para la gestión de contraseñas deberían ser interactivos y deberían asegurar la calidad de las contraseñas.Guía de implementación
Un sistema de gestión de contraseñas debería:
a) hacer cumplir el uso de identificadores de usuario (ID) individual y de contraseñas para
conservar la responsabilidad;
b) permitir a los usuarios la selección y el cambio de sus contraseñas e incluir un
procedimiento de confirmación para tener en cuenta los errores en los ingresos;
c) imponer una elección de contraseñas de calidad (véase el numeral 11.3.1);
d) imponer cambios de contraseña (véase el numeral 11.3.1);
e) forzar a los usuarios a cambiar las contraseñas temporales en el primer registro de inicio
(véase el numeral 11.2.3);
f) conservar un registro de las contraseñas de usuario previas y evitar su reutilización;
g) no mostrar contraseñas en la pantalla cuando se hace su ingreso;
h) almacenar los archivos de contraseñas separadamente de los datos del sistema de
aplicación;
i) almacenar y transmitir las contraseñas en formatos protegidos (por ejemplo encriptadas
o codificadas).
Información adicional
Las contraseñas son un mecanismo principal para validar una autoridad del usuario para tener
acceso a un servicio de computador.
Algunas aplicaciones requieren la asignación de contraseñas de usuario por parte de una
autoridad independiente, en tales casos, no se aplican los literales b), d) y e) indicados en la directriz anterior. En la mayoría de los casos, las contraseñas son seleccionadas y conservadas
por los usuarios. Véase el numeral 11.3.1 para la directriz sobre el uso de contraseñas.
11.5.4 Uso de las utilidades del sistema
Control
Se debería restringir y controlar estrictamente el uso de programas utilitarios que pueden anular los controles del sistema y de la aplicación.Guía de aplicación
Se recomienda considerar la siguiente directriz para el uso de las utilidades del sistema:
a) uso de procedimientos de identificación, autenticación y autorización para las utilidades
del sistema;
b) separación de las utilidades del sistema del software de aplicaciones,
c) limitación del uso de las utilidades del sistema a la cantidad mínima viable de usuarios
de confianza autorizados (véase el numeral 11.2.2);
d) autorización del uso ad hoc de las utilidades del sistema;
e) limitación de la disponibilidad de las utilidades del sistema, por ejemplo para la duración
de un cambio autorizado;
f) registro de todo uso de las utilidades del sistema;
g) definición y documentación de los niveles de autorización para las utilidades del
sistema;
h) retiro o inhabilitación de todas las utilidades o el software del sistema basado en
software innecesario;
i) no poner a disposición las utilidades del sistema a usuarios que tengan acceso a
aplicaciones en sistemas en donde se requiere distribución de funciones.
Información adicional
La mayoría de las instalaciones de computador tiene uno o más programas de utilidades del sistema que pueden anular los controles del sistema y de la aplicación.
11.5.5 Tiempo de inactividad de la sesión
Control
Las sesiones inactivas se deberían suspender después de un periodo definido de inactividad.Guía de implementación
Una utilidad de tiempo de inactividad debería despejar la pantalla de sesión y también, tal vez más tarde, cerrar tanto la sesión de la aplicación como la de red después de un periodo
definido de inactividad. La dilación del tiempo de inactividad debería reflejar los riesgos de
seguridad del área, la clasificación de la información que se maneja y las aplicaciones que se utilizan, así como los riesgos relacionados con los usuarios del equipo.
Algunos sistemas pueden suministrar una forma limitada de utilidad de tiempo de inactividad la cual despeja la pantalla y evita el acceso no autorizado, pero no cierra las sesiones de aplicación ni de red.
Información adicional
Este control es importante particularmente en lugares de alto riesgo, los cuales incluyen áreas públicas o externas fuera de la gestión de seguridad de la organización. Las sesiones se deberían cerrar para evitar el acceso de personas no autorizadas y negar ataques al servicio.
11.5.6 Limitación del tiempo de conexión
Control
Se deberían utilizar restricciones en los tiempos de conexión para brindar seguridad adicional para las aplicaciones de alto riesgo.Guía de implementación
Se deberían tener en cuenta los controles de tiempo para las aplicaciones sensibles de
computador, especialmente las de lugares de alto riesgo, por ejemplo áreas públicas o externas que están fuera de la gestión de seguridad de la organización. Los siguientes son algunos ejemplos de estas restricciones:
a) uso de espacios de tiempo predeterminados, por ejemplo, para transmisiones de lotes
de archivos, o uso de sesiones interactivas de corta duración;
b) restricción de los tiempos de conexión a las horas normales de oficina, si no se requiere
tiempo extra u operaciones de horario prolongado;
c) considerar la repetición de la autenticación a intervalos determinados.
Información adicional
La limitación del periodo durante el cual se permite la conexión a los servicios de computador reduce la ventana de oportunidad para el acceso no autorizado. La limitación de la duración de las sesiones activas evita que los usuarios mantengan sesiones abiertas para evitar la repetición de la autenticación.
11.6 CONTROL DE ACCESO A LAS APLICACIONES Y A LA INFORMACIÓN
Objetivo: evitar el acceso no autorizado a la información contenida en los sistemas deaplicación.
Se deberían usar medios de seguridad para restringir el acceso a los sistemas de aplicación y dentro de ellos.
El acceso lógico al software de aplicación y a la información se debería restringir a usuarios
autorizados.
Los sistemas de aplicación deberían:
a) controlar el acceso de usuarios a la información y a las funciones del sistema de
aplicación, de acuerdo con una política definida de control de acceso;
b) suministrar protección contra acceso no autorizado por una utilidad, el software del
sistema operativo y software malicioso que pueda anular o desviar los controles del
sistema o de la aplicación;
c) no poner en peligro otros sistemas con los que se comparten los recursos de
información.
11.6.1 Restricción del acceso a la información
Control
Se debería restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso.Guía de implementación
Las restricciones del acceso se deberían basar en los requisitos de las aplicaciones
individuales del negocio. La política de control de acceso también debería ser consistente con la política de acceso de la organización (véase el numeral 11.1).
Se debería considerar la aplicación de las siguientes directrices con el objeto de dar soporte a los requisitos de restricción del acceso:
a) proporcionar menús para controlar el acceso a las funciones del sistema de aplicación;
b) controlar los derechos de acceso de los usuarios, por ejemplo, leer, escribir, eliminar y
ejecutar;
c) controlar los derechos de acceso de otras aplicaciones;
d) garantizar que los datos de salida de los sistemas de aplicación que manejan
información sensible sólo contienen la información pertinente para el uso de la salida y
que se envía únicamente a terminales o sitios autorizados; ello debería incluir revisiones
periódicas de dichas salidas para garantizar el retiro de la información redundante.
11.6.2 Aislamiento de sistemas sensibles
Control
Los sistemas sensibles deberían tener un entorno informático dedicado (aislados).Guía de implementación
Se deberían considerar los siguientes puntos para el aislamiento de los sistemas sensibles:
a) la sensibilidad de un sistema de aplicación se debería identificar y documentar
explícitamente por parte del dueño de la aplicación (véase el numeral 7.1.2);
b) cuando una aplicación se ha de ejecutar en un entorno compartido, los sistemas de
aplicación con los cuales compartirá recursos y los riesgos correspondientes deberían
ser identificados y aceptados por el dueño de la aplicación sensible.
Información adicional
Algunos sistemas de aplicación son lo suficientemente sensibles a la pérdida potencial que
requieren manejo especial. La sensibilidad puede indicar que el sistema de aplicación debería:
a) ejecutarse en un computador dedicado, o
b) únicamente debería compartir recursos con sistemas de aplicación confiables.
El aislamiento se puede lograr utilizando métodos físicos o lógicos (véase el numeral 11.4.5).
11.7 COMPUTACIÓN MÓVIL Y TRABAJO REMOTO
Objetivo: garantizar la seguridad de la información cuando se utilizan dispositivos decomputación móviles y de trabajo remoto.
La protección necesaria debería estar acorde con los riesgos que originan estas formas
específicas de trabajo. Cuando se usa la computación móvil, se deberían tener en cuenta los riesgos de trabajar en un entorno sin protección y aplicar la protección adecuada. En el caso del trabajo remoto, la organización debería aplicar protección en el sitio del trabajo remoto y garantizar que se han establecido las disposiciones adecuadas para esta forma de trabajo.
11.7.1 Computación y comunicaciones móviles
Control
Se debería establecer una política formal y se deberían adoptar las medidas de seguridadapropiadas para la protección contra los riesgos debidos al uso de dispositivos de computación y comunicaciones móviles.
Guía de implementación
Cuando se usan servicios de computación y de comunicaciones móviles, por ejemplo,
computadores portátiles livianos (notebooks), microcomputadores de bolsillo (palmtops), y
computadores portátiles pesados (laptops), tarjetas inteligentes y teléfonos móviles se debería tener cuidado especial para asegurarse de que la información no se pone en peligro. En la política de computación móvil se deberían considerar los riesgos de trabajar con equipos de computación móvil en entornos sin protección.
En la política de computación móvil se deberían incluir los requisitos para la protección física, los controles de acceso, las técnicas criptográficas, las copias de respaldo y la protección contra virus. Esta política también debería incluir reglas y asesoría sobre la conexión de los servicios móviles a las redes y directrices sobre el uso de estos servicios en lugares públicos.
Es conveniente tener cuidado cuando se utilizan servicios de computación móvil en lugares
públicos, salas de reuniones y otras áreas sin protección fuera de las instalaciones de la
organización. Se debería establecer la protección para evitar el acceso o la divulgación no
autorizados de la información almacenada y procesada por estos servicios, por ejemplo,
usando técnicas criptográficas (véase el numeral 12.3).
Los usuarios de servicios de computación móviles en lugares públicos deberían tener cuidado para evitar el riesgo de ser observados por personas no autorizadas. Es recomendable establecer procedimientos contra software malicioso y mantenerlos actualizados (véase el
numeral 10.4).
Es conveniente hacer copias de respaldo a intervalos regulares de la información del negocio.
Se debería disponer de equipo para permitir el respaldo rápido y fácil de la información. Las
copias de respaldo deberían tener protección adecuada contra robo o pérdida de información.
La utilización de los servicios móviles conectados a las redes deberían tener una protección
idónea. El acceso remoto a la información del negocio a través de redes públicas usando
servicios de computación móvil sólo debería tener lugar después de la identificación y la
autenticación exitosa y con el establecimiento de los mecanismos adecuados de control del
acceso (véase el numeral 11.4). Los servicios de computación móvil también se deben proteger físicamente contra robo, especialmente cuando se deja, por ejemplo, en los automóviles y otros medios de transporte, habitaciones de hoteles, centros de conferencias y sitios de reuniones.
Es conveniente establecer un procedimiento específico en el que se tengan presentes los
requisitos legales, de seguros y otros de seguridad de la organización para los casos de robo o pérdida de los servicios de computación móvil. El equipo que porta información sensible y / o crítica importante del negocio no se debería dejar desatendido y, cuando sea posible, se debería bloquear con algún medio físico o usar cerraduras especiales para asegurar el equipo (véase el numeral 9.2.5).
Se recomienda disponer la formación del personal que utiliza computación móvil para
concientizarlo sobre los riesgos adicionales que se originan en este tipo de trabajo y los
controles que se deberían implementar.
Información adicional
Las conexiones inalámbricas a red móvil son similares a otros tipos de conexión de red, pero tienen diferencias importantes que se deberían considerar al identificar los controles. Las diferencias típicas son:
a) algunos protocolos de seguridad inalámbrica son inmaduros y tienen debilidades
conocidas;
b) la información almacenada en los computadores móviles puede no tener copias de
respaldo debido al ancho de banda de red limitado y / o a que el equipo móvil puede no
estar conectado en las horas en las que están programadas las copias de respaldo.
11.7.2 Trabajo remoto
Control
Se deberían desarrollar e implementar políticas, planes operativos y procedimientos para las actividades de trabajo remoto.Guía de implementación
Las organizaciones sólo deberían autorizar las actividades de trabajo remoto si están
satisfechas con las disposiciones de seguridad adecuadas y los controles establecidos, y si
ellos cumplen la política de seguridad de la organización.
Es conveniente establecer una protección apropiada del sitio de trabajo remoto contra, por
ejemplo, robo del equipo y la información, divulgación no autorizada de información, acceso
remoto no autorizado a los sistemas internos de la organización o el uso inadecuado de sus
servicios. Las actividades de trabajo remoto deberían estar autorizadas y controladas por la
dirección y se debería garantizar la instauración de disposiciones adecuadas para esta forma de trabajo.
Se recomienda considerar los siguientes aspectos:
a) la seguridad física existente en el sitio de trabajo remoto, tomando en consideración la
seguridad física de la edificación y del entorno local;
b) el entorno físico de trabajo remoto propuesto;
c) los requisitos de seguridad de las comunicaciones, pensando en la necesidad de
acceso remoto a los sistemas internos de la organización, la sensibilidad de la
información a la cual se tendrá acceso y sobrepasar el enlace de comunicación y la
sensibilidad del sistema interno;
d) la amenaza del acceso no autorizado a la información o los recursos por parte de otras
personas que usan el mismo espacio, por ejemplo familiares y amigos;
e) el uso de redes domésticas y los requisitos o restricciones en la configuración de
servicios de red inalámbrica;
f) las políticas y los procedimientos para evitar disputas con respecto a los derechos de
propiedad intelectual desarrollados o al equipo de propiedad privada;
g) el acceso a equipo de propiedad privada (para verificar la seguridad de la máquina o
durante una investigación), el cual puede estar prohibido por la ley;
h) los acuerdos sobre licencias de software que permitan que la organización sea
responsable de la licencia para software de clientes en estaciones de trabajo de
propiedad privada de los empleados, contratistas o usuarios de terceras partes;
i) protección antivirus y requisitos de barreras contra fuego (firewall).
Las directrices y disposiciones a considerar deberían incluir las siguientes:
a) disposición de equipo adecuado y medios de almacenamiento para las actividades de
trabajo remoto, en las que no se permite el uso de equipo de propiedad privada que no
esté bajo el control de la organización;
b) definición del trabajo que se permite realizar, las horas laborables, la confidencialidad
de la información que se conserva y los sistemas y servicios internos para los cuales el
trabajador tiene acceso autorizado;
c) disposición de equipo de comunicación apropiado, incluyendo los métodos para
asegurar el acceso remoto;
d) seguridad física;
e) reglas y directrices sobre el acceso de familiares y visitantes al equipo y a la
información;
f) disposición de soporte y mantenimiento de hardware y software;
g) disposición de pólizas de seguros;
h) procedimientos para el respaldo y la continuidad del negocio;
i) auditoría y monitoreo de seguridad;
j) revocación de autoridad y derechos de acceso, y la devolución del equipo al finalizar las
actividades de trabajo remoto.
Información adicional
En el trabajo remoto se emplean tecnologías de comunicaciones que le permiten al personal realizar trabajo remoto desde un lugar fijo fuera de su organización.
excelente!!!!
ResponderBorrar