UNIVERSIDAD ANDINA DEL CUSCO

FACULTAD DE INGENIERA DE SISTEMAS

CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS

GUA DE IMPLEMENTACIN DE CONTROL DE ACCESOS

SEGN LA NTP-ISO-IEC 17799-2007

CURSO:
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS
INTEGRANTES:
Omar Pizarro Mendoza.
Marco Antonio Nieves Pealva.
DOCENTE:
ING. PALOMINO OLIVERA, EMILIO

CUSCO PER
2014

INDICE
INTRODUCCIN
1
1.1
PLANTEAMIENTO
DEL
PROBLEMA.1
1.2
HIPTESIS
...1
1.3
OBJETIVOS
GENERALES..
..1
1.4
OBJETIVOS
ESPECFICOS
1
11
CONTROLE
ACCESOS.
...2
11.1
Requisitos
de
negocio
para
el
control
de
accesos....2
11.1.1
Poltica
de
control
de
accesos..3
11.2
Gestin
de
acceso
de
Usuarios..6
11.2.1
Registros
de
Usuarios.6
11.2.2
Gestin
de
privilegios.9
11.2.3
Gestin
de
contraseas
de
Usuario...12
11.2.4 Revisin de los derechos de acceso de los
usuarios...15

INTRODUCCION
La Norma Tcnica Peruana NTP-ISO/IEC 17799: 2007 EDI. Tecnologa de la
informacin. Cdigo de buenas prcticas para la gestin de la seguridad de
la informacin, fue elaborada por el Comit Tcnico de Normalizacin de
Codificacin en Intercambio de Datos (EDI) junto a otras instituciones que
participaron en la elaboracin; para la Comisin de Reglamentos Tcnicos y
Comerciales de INDECOPI en Enero del 2007, teniendo como antecedente la
norma ISO/IEC 17799: 2007, el cual es un estndar internacional para la
seguridad de la informacin. Dicha norma es de uso obligatorio para las
instituciones del Estado y es recomendable y opcional para las instituciones
privadas. En resumen esta norma es una gua para la implementacin de
controles de seguridad de la informacin en las organizaciones, esto para una
consecuente identificacin, evaluacin y tratamiento de los riesgos de seguridad
de la informacin que puedan existir. Ya que se trata a la informacin, en sus
diversas formas, como un activo importante que debido a diversos factores est

expuesta a amenazas y vulnerabilidades, y por ello se debe salvaguardar su

seguridad para asegurar la continuidad del negocio, minimizar los daos a la
organizacin, mantener su competitividad, entre otros beneficios.
Para conseguir dicha seguridad la norma sugiere la implantacin de un conjunto
adecuado de controles, que si bien es cierto en esta norma es tomada de forma
general, estos controles pueden ser ms especficos en cada organizacin. Estos
controles pueden ser polticas, prcticas, estructuras organizativas y funciones de
hardware o software.
La estructura de este estndar consta de 11 clusulas de control de seguridad y
un total de 39 categoras principales, nuestro equipo de trabajo tom como punto
de trabajo la clusula que trata sobre Gestin de Comunicaciones y Operaciones.
La Gestin de Comunicaciones y Operaciones asegura la operacin correcta y
segura de los recursos de tratamiento de la informacin manteniendo su integridad
y disponibilidad; protege la integridad del hardware, software, informacin,

infraestructura de apoyo, evita interrupciones de actividades.

Llevar controles sobre este apartado es importante porque permite organizar de
manera ptima las actividades y tareas que se llevan a cabo indicando los
procedimientos, documentos de referencia, dependencias, personal interviniente,
supervisiones, tiempos de duracin, frecuencia, recursos de software y de
hardware.
El objetivo de este documento es mostrar un prototipo que puede seguirse de
acuerdo a la gua de implementacin de controles mostrada en la norma, por cada

control se ha realizado cuatro cuadros, el primero contiene el nombre de la

actividad, del control y la gua de implementacin, el segundo es el formato
prototipo, el tercero y cuarto contienen ejemplos de las dos anteriores. El prototipo
precisa el uso de un cuadro por cada tarea, servicio, operacin o proceso segn
sea el caso en los controles; ya que pretender amontonar todos los detalles en un
solo cuadro solo traera dificultades en su comprensin y organizacin.

1.1

Planteamiento del Problema

El acceso a la informacin y los procesos del negocio sobre la base de los
requisitos de seguridad

son parte fundamental de la Institucin ya que

debera tomarse controles de seguridad para asegurar el acceso autorizado

de usuarios y prevenir accesos no autorizados a los sistemas de
informacin.
Asegurar el control de los Sistemas de Informacin de la Institucin responde
a la siguiente pregunta: De qu manera un conjunto de procesos propiciara
el mejoramiento en el Control de accesos a la Informacin dentro de la
Institucin?
1.2

Hiptesis
Si el conjunto de procesos de llevase a cabo siguiendo los procedimientos
establecidos de forma secuencial, entonces se tendr un mejor control de
accesos a los sistemas de informacin de la institucin.

1.3

Objetivos Generales
Plantear un conjunto de procesos para el control de accesos a la
informacin dentro de una institucin basndose en la NTP-ISO-IEC-177992007.

1.4

Objetivos Especficos
Identificar, analizar y seleccionar las clausulas que comprenden al

control de accesos en la NTP-ISO-IEC-17799-2007.

Elaborar los formatos de control de accesos para cada uno de lso

controles establecidos segn la NTP-ISO-IEC-17799-2007.

Disear e implementar programas que nos permitan automatizar los
controles establecidos en el control de accesos.

GUIA DE IMPLEMENTACION DE CONTROL DE ACCESOS SEGN

LA NTP-ISO-IEC-17799- 2007
11. CONTROL DE ACCESOS
11.1

REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESOS.

Objetivo: Controlar los accesos a la informacin.

Se debera controlar el acceso a la informacin y los procesos del negocio

sobre la base de los requisitos de seguridad y negocio.

Se deberan tener en cuenta para ello las polticas de distribucin de la
informacin y de autorizaciones.

11.1.1 Poltica de Control de Accesos

CONTROL
Una poltica de control de acceso debe ser establecida, documentada y
revisada y debe estar basada en los requerimientos de seguridad y del
negocio.

Gua de Implementacin
Se deberan establecer claramente en una poltica de accesos las reglas y los
derechos de cada usuario o grupo de usuarios. Los controles de acceso son
lgicos y fsicos, y estos deben ser considerados juntos. Se debera dar a los
usuarios y proveedores de servicios una especificacin clara de los requisitos de
negocio cubiertos por los controles de accesos.
Esta poltica debera contemplar lo siguiente:

a Requisitos

de

seguridad

de

cada

aplicacin

de

negocio

individualmente.
b Identificacin de toda la informacin relativa a las aplicaciones y los
riesgos que la informacin est enfrentando.
c Polticas para la distribucin de la informacin y las autorizaciones (por
ejemplo, el principio de suministro slo de la informacin que se
necesita conocer y los niveles de seguridad para la clasificacin de
dicha informacin).
d Coherencia entre las polticas de control de accesos y las polticas de
clasificacin de la informacin en los distintos sistemas y redes.
e Legislacin aplicable y las obligaciones contractuales respecto a la
f

proteccin del acceso a los datos o servicios.

Perfiles de acceso de usuarios estandarizados segn las categoras

comunes de trabajos.
g Administracin delos derechos de acceso en un entorno distribuido en
red que reconozca todos los tipos disponibles de conexin.
h Segregacin de los roles de control de acceso, como el pedido de
acceso, autorizacin de acceso, administracin de accesos.
i Requerimientos para la autorizacin formal de los pedidos de acceso.
j Requerimientos para la revisin peridica de los controles de acceso.
k Retiro de los derechos de acceso.
Otra Informacin
Al especificar las reglas de los controles de accesos se tendr la precaucin
de considerar:
a) Distincin entre reglas a cumplir siempre y reglas opcionales o
condicionales.
b) Establecimiento de reglas
c) Cambios en las etiquetas de informacin iniciadas automticamente por
los recursos del tratamiento de informacin y las que inicia el usuario
manualmente.
d) Cambios a las autorizaciones a los usuarios realizados automticamente
por el sistema de informacin y los que realiza un administrador.

e) Distincin entre reglas que requieren o no la aprobacin del

administrador o de otra autoridad antes de su promulgacin.Las reglas de
control de acceso deben ser apoyadas por procedimientos formales y por
responsabilidades claramente definidos (vase, por ejemplo, 6.1.3, 11.3,
10.4.1, 11.6).

SECUENCIA DE ACTIVIDADES:
1.- rea de Informtica.a) Establece la elaboracin de las polticas de control de acceso.
b) Asigna el presupuesto para la elaboracin de polticas de control
de accesos.
c) Enva documento de elaboracin de polticas de control de acceso
a la comisin de polticas de control de acceso.
2.- Comisin de polticas de control de accesos
a) Elabora propuesta de polticas de control de acceso a los sistemas
de informacin
3.- rea de Informtica
a) Analiza, revisa y establece polticas de control de accesos.
b) Aprueba politicas de control de accesos.
c) Emite informe de politicas de control de accesos.
4.- Direccin de la gerencia general
a) Elabora documento

b) Emite resolucin de aproblacin de politicas de control de accesos

5.- Comisin de polticas de control de accesos
a) Difunde implantacin de cada poltica de control de accesos
b) Realiza capacitacin para el manejo politicas de control accesos

Diagrama de procesos de la Poltica de Control de Accesos

Objetivo: Asegurar el acceso autorizado de usuario y prevenir accesos no

autorizados a los sistemas de informacin.
11.2.1 Registro de Usuarios
CONTROL
Se debera formalizar un procedimiento de registro de altas y bajas de usuarios
para garantizar el acceso a los sistemas y servicios de informacin multiusuario.
Gua de Implementacin
Se debera controlar el acceso a los servicios de informacin multiusuario
mediante un proceso formal de registro que debera incluir:

La utilizacin de un identificador nico para cada usuario, de esta forma

puedevincularse a los usuarios y responsabilizarles de sus acciones. Se
debera permitir el usode identificadores de grupo cuando sea conveniente

para el desarrollo del trabajo y estosdeben ser aprobados y documentados.

La comprobacin de la autorizacin del usuario por el propietario del
serviciopara utilizar el sistema o el servicio de informacin. Tambin puede
ser conveniente quela gerencia apruebe por separado los derechos de

acceso.
Verificacin de la adecuacin del nivel de acceso asignado al propsito
delnegocio y su consistencia con la poltica de seguridad de laorganizacin

(por ejemplo, su no contradiccin con el principio de segregacin de tareas.

La entrega a los usuarios de una relacin escrita de sus derechos de

acceso.
La peticin a los usuarios para que reconozcan con su firma la comprensin

delas condiciones de acceso.

La garanta de que no se provea acceso al servicio hasta que se
hayancompletado los procedimientos de autorizacin.

El mantenimiento de un registro formalizado de todos los autorizados para

usarel servicio.
La eliminacin inmediata de las autorizaciones de acceso a los usuarios

quedejan la organizacin o cambien de trabajo en ella.

La revisin peridica y eliminacin de identificadores y cuentas de

usuarioredundantes.
La garanta de no reasignacin a otros usuarios de los identificadores de
usuario redundantes.
Otra Informacin
Se debera considerar el establecimiento de roles de acceso a usuarios
basado en requisitos de negocio que resuman un numero de derechos de
acceso en un expediente tpico de acceso de usuario. Los pedidos y
revisiones de acceso son manejadas ms fcilmente al nivel de dichos roles
que los niveles de derechos particulares.

SECUENCIA DE ACTIVIDADES:
a) rea de Informtica. Establecer derechos de acceso del usuario al sistema.
Enviar documentos de derechos de acceso del usuario al
sistema.
b) Direccin de la Gerencia General. Evaluar las autorizaciones de acceso de los usuarios al sistema.
Aprobar el derecho de acceso a los sistemas.
c) rea de informtica. Autorizar el derecho de acceso a los usuarios al sistema.

Enviar un documento a los usuarios con las condiciones de

acceso.
d) Usuario. Aceptacin de las condiciones de los derechos de acceso al
sistema.
Remitir documento y/o firma de conformidad.
e) rea de Informtica. Asignar un identificador nico a cada usuario.
Revisar identificadores redundantes.
Eliminar o cambiar las autorizaciones de acceso al Sistema.
Mantener un registro de todos los usuarios autorizados.
f) Usuario. Usar el servicio de acceso a los sistemas.

Diagrama de procesos de Registro de Usuarios

FORMATO DE CUMPLIMIENTO DE REGISTRO DE USUARIOS

Actividad:
11.2.1 Registro de Usuarios
Responsable :
Ingrese en este campo el Responsable
Supervisor:
Descripcin:
Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el
acceso a los sistemas y servicios de informacin multiusuario.
DOCUMENTO
Nombre del Documento
11.2.1 Registro de Usuarios
N Documento
Ingrese en este campo el Nro. de Documento.
Fecha

Versin
Ingrese en este campo la versin
RESPONSABLE (Del AREA)
Nombre
Cargo
Firma
rea
Ingrese el nombre.
Ingrese el Cargo.
Ingrese el rea.
RESPONSALBE DE GERENCIA GENERAL
Nombre
Cargo
Firma
rea
Ingrese el nombre.
Ingrese el Cargo.
Ingrese el rea.

Ingrese el nombre.

USUARIO
Nombre
Cargo
Firma
rea

Ingrese el Cargo.
Ingrese el rea.
N
rea de Cambio
Sistema
Responsabilidades
Identificador Temporal
Contrasea

Fecha de Entrega
Identificador Nuevo
Contrasea
Fecha de modificacin

Supervisor:
Descripcin:
DOCUMENTO
Nombre del Documento
N Documento

Ingrese en este campo el supervisor.

Debera restringirse y controlarse el uso y asignacin de privilegios
11.2.2 Gestin de privilegios
Ingrese en este campo el Nro. De Documento.

Fecha
Versin
Ingrese en este campo la versin
RESPONSABLE (Del AREA)
Nombre
Cargo
Firma
Ingrese el nombre.
Ingrese el Cargo.
USUARIO
Nombre
Cargo
Firma
Ingrese el nombre.
Privilegios
Sistema Operativo
SIAF
SEACE
Sistema de Base de Datos
Microsoft Office
Servicio de impresora

rea
Ingrese el rea.
rea

Ingrese el Cargo.
Privilegios Asociados al Sistema
reas
Gerencia
Contabilidad Informtica

Almacn

Otros

contraseas por medio de un proceso de gestin formal.

Ingrese el rea.

11.2.3

Gestin

de

Contraseas

de

Usuario
CONTROL
Se debera controlar la asignacin de

Gua de Implementacin
El proceso debe incluir los siguientes requisitos:

Requerir que los usuarios firmen un compromiso para mantener en secreto sus contraseas personales y las
compartidas por un grupo slo entre los miembros de ese grupo (compromiso que podra incluirse en los trminos y

condiciones del contrato de empleo.

Proporcionar inicialmente una contrasea temporal segura que forzosamente deben cambiar inmediatamente

despus.
Establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de

reemplazo o temporal.
Establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su

envo por terceros o por mensajes no cifrados de correo electrnico.

Las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias.
Los usuarios deberan remitir acuse de recibo de sus contraseas.
Las contraseas nunca deben ser almacenadas en sistemas de cmputo sin ser protegidos.
Las contraseas por defecto de los vendedores deben ser alteradas despus de la instalacin de los sistemas o
software.
Otra Informacin
Las contraseas son un medio comn de verificar la identidad del usuario antes de que el acceso a un sistema de
informacin o servicio sea dado de acuerdo a la autorizacin del usuario. Se deben considerar, si son apropiadas,

otras tecnologas para identificacin y

Autentificacin de usuario como las biomtricas (como la verificacin de huellas, la
Verificacin de la firma) o el uso de dispositivos hardware (como las tarjetas inteligentes).

SECUENCIA DE ACTIVIDADES:
a) Jefe del rea de informtica
a. Documento de compromiso para mantener en secreto sus contraseas temporales.
b. Verificar identidad de usuario antes de proveer una contrasea nueva.
c. Enviar documento a los usuarios con contraseas temporales mas polticas de cumplimiento.
b) Usuario
a. Aceptacin de polticas de cumplimiento y registro de nuevas contraseas.
b. Firmar compromiso de confidencialidad de su contrasea.

Diagrama de procesos de Gestion de contraseas de Usuario

Actividad:
Responsable :
Supervisor:
Descripcin:
DOCUMENTO
Nombre del Documento
N Documento

11.2.3 Gestin de contraseas de Usuario

Ingrese en este campo el Responsable
Ingrese en este campo el supervisor.
Se debera controlar la asignacin de contraseas por medio de un
proceso de gestin formal
11.2.3 Gestin de contraseas de Usuario
Ingrese en este campo el Nro. De Documento.

Fecha
Versin
Ingrese en este campo la versin
RESPONSABLE (Del AREA)
Nombre
Cargo
Firma
Ingrese el nombre.
Ingrese el Cargo.
USUARIO
Nombre
Cargo
Firma
Ingrese el nombre.
Ingrese el Cargo.
N
Responsabilidades
Contraseas Establecidas
Contrasea Temporal
Fecha
de
Contrasea Entrega
Ingrese
Contrasea
Temporal.

FORMATOS DE CUMPLIMIENTO DE
GESTION DE CONTRASEAS DE
USUARIO

rea
Ingrese el rea.
rea
Ingrese el rea.
Contrasea Nueva
Fecha
de
Contrasea
Modificacin
Ingrese
contrasea
Nueva.

11.2.4 Revisin de los derechos de acceso de usuarios

Control
La gerencia debera establecer un proceso formal de revisin peridica de los
derechos de acceso de los usuarios
Gua de implementacin
La revisin de los derechos de acceso de usuario debera considerar las
siguientes pautas:
a) Revisar los derechos de acceso de los usuario s a intervalos de tiempo
regulares (se recomienda cada seis meses) y despus de cualquier cambio
como promocin degradacin o termino del empleo
b) Los derechos de acceso de los usuarios debe ser revidados y reasignados
y despus de cualquier cambio como promocin degradacin o termino del
empleo
c) Revisar ms frecuentemente (se recomienda cada tres meses) las
autorizaciones de derecho de acceso con privilegios especiales
d) Comprobar las asignaciones de privilegios a intervalos de tiempo regulares
para asegurar que no se han obtenido privilegios no autorizados
e) Los cambios en las cuentas privilegiadas deber ser registradas para una
revisin peridica

Otra Informacin

Es necesario revisar regularmente los derechos de los accesos de los usuario

para mantener un control efectivo del acceso a los datos y los sistemas de
informacin

Diagrama de los derechos de acceso de usuarios

FORMATOS DE CUMPLIMIENTO DE REVISION DE LOS DERECHOS DE

ACCESO DE USUARIOS
Actividad:
11.2.4 Revisin de los derechos de acceso de los usuarios
Responsable :
Ingrese en este campo el Responsable
Supervisor:
Ingrese en este campo el supervisor.
Descripcin:
La Gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso
de los usuarios
DOCUMENTO
Nombre del Documento
11.2.4 Revisin de los derechos de acceso de los usuarios
N Documento
Ingrese en este campo el Nro. De Documento.
Fecha

Versin
Ingrese en este campo la versin
RESPONSABLE (GERENCIA GENERAL)
Nombre Y Apellidos
Cargo
Firma
Ingrese el nombre.
Ingrese el Cargo.
Ingrese el rea.
RESPONSABLE (AREA)
Nombre y Apellidos
Cargo
Firma

USUARIO
Nombre y Apellidos
ID del Usuario
Fecha de Revisin
Ingrese el nombre.
Ingrese ID del Usuario.

Motivo de la revisin