Beruflich Dokumente
Kultur Dokumente
ISO27002
Requerimientosdenegocioparael
controldeaccesos
Objetivo:Controlarlosaccesosalainformacin
Principios:
controlarlosaccesosalainformacin,losrecursosde
tratamientodelainformacinylosprocesosdenegocio
enbasealasnecesidadesdeseguridadydenegociode
laOrganizacin.
Lospropietariosdeactivosdeinformacinqueson
responsablesanteladireccindelaproteccin"sus"
activosdeberantenerlacapacidaddedefiniry/o
aprobarlasreglasdecontroldeaccesoyotroscontroles
deseguridad.
1.Polticadecontroldeaccesos
Definir,documentaryrevisarunapolticade
controldeaccesos.
2.Gestindeaccesodelusuario
Garantizarelaccesoalosusuariosautorizados
eimpedirlosaccesosnoautorizadosalos
sistemasdeinformacin
Debieraexistirunprocedimientoformalparaelregistroy
desregistrodelusuarioparaotorgaryrevocarelacceso
atodoslossistemasyserviciosdeinformacin.
Sedebierarestringirycontrolarlaasignacinyusode
privilegios.
Laasignacindeclavessecretassedebieracontrolara
travsdeunprocesodegestinformal.
Lagerenciadebierarevisarlosderechosdeaccesodelosusuariosa
intervalosregularesutilizandounprocesoformal.
3.Responsabilidaddelusuario
Objetivo:Evitarelaccesodeusuariosno
autorizados,evitarponerenpeligrola
informacinyevitarelrobodeinformacinylos
mediosdeprocesamientodelainformacin.
Usodeclavessecretas
Sedebierarequeriralosusuariosquesiganbuenas
prcticasdeseguridadenlaseleccinyusodeclaves
secretas.
Equipodelusuariodesatendido
Losusuariosdebieranasegurarqueelequipo
desatendidotengalaproteccinapropiada
Polticadeescritorioypantallalimpios
Sedebieraadoptarunapolticadeescritoriolimpio
parapapelesymediosdealmacenajeremoviblesy
unapolticadepantallalimpiaparalosmediosde
procesamientodelainformacin.
4.Controldeaccesoalared
Evitarelaccesonoautorizadoalosservicios
delared.
Elaccesodelusuarioalasredesyserviciosde
lasredesnodebierancomprometerla
seguridaddelosserviciosdelared
Polticasobreel
usodelos
serviciosdela
red
Losusuariosslodebieranteneracceso
alosserviciosparaloscualeshayan
sidoespecficamenteautorizados.
Autenticacin
delusuariopara
lasconexiones
externas
Sedebieranutilizarmtodosde
autenticacinapropiadospara
controlarelaccesodeusuarios
remotos.
Identificacin
delequipoenlas
redes
Laidentificacinautomticadelequipo
sedebieraconsiderarcomounmedio
paraautenticarlasconexionesde
ubicacionesyequiposespecficos
Proteccindelpuerto
dediagnsticoy
configuracinremoto
Sedebieracontrolarelaccesofsicoylgicoalospuertosde
diagnsticoyconfiguracin
Segregacinenredes
Losgruposdeserviciosdeinformacin,usuariosysistemas
deinformacindebieransersegregadosenredes.
Controldeconexin
alared
Paralasredescompartidas,especialmenteaquellasquese
extiendenatravsdelasfronterasdelaorganizacin,se
debierarestringirlacapacidaddelosusuariospara
conectarsealared,enlneaconlapolticadecontrolde
accesoylosrequerimientosdelasaplicacionescomerciales
Controlderouting delared
Sedebieranimplementarcontrolesderouting enlasredespara
asegurarquelasconexionesdelacomputadoraylosflujosde
informacinnoviolenlapolticadecontroldeaccesodelas
aplicacionescomerciales.
4.ControldeaccesoalSO
Evitarelaccesonoautorizadoalossistemasoperativos.Se
debieranutilizarmediosdeseguridadpararestringirelaccesoa
lossistemasoperativosalosusuariosautorizados.
5.Controldeaccesoa laaplicaciny
lainformacin
Evitarelaccesonoautorizadoalainformacin
mantenidaenlossistemasdeaplicacin.
Sedebieranutilizarmediosdeseguridadpara
restringirelaccesoaydentrodelossistemasde
aplicacin.
Restriccindelaccesoa
lainformacin
Aislarelsistema
confidencial
Elaccesodelosusuariosyel
personaldesoporteala
informacinylasfunciones
delsistemadelaaplicacin
debieralimitarseen
concordanciaconlapoltica
decontroldeacceso
definida.
Lossistemasconfidenciales
debierantenerunambiente
decmputodedicado
(aislado).
6.Computacinyteletrabajomovil
Objetivo:Asegurarlaseguridaddelainformacincuandoseutiliza
mediosdecomputacinyteletrabajomviles.Laproteccin
requeridasedebieraconmensurarconlosriesgosquecausanestas
manerasdetrabajoespecficas.
Sedebieraestablecerunapoltica
yadoptarlasmedidasde
Computaciny seguridadapropiadaspara
comunicaciones protegercontralosriesgosde
mviles
utilizarmediosdecomputaciny
comunicacinmvil
Teletrabajo
Sedebieradesarrollare
implementarunapoltica,planes
operacionalesyprocedimientos
paralasactividadesdetele
trabajo.