ADMINISTRACIN DEL CONTROL DE

ACCESOS, ADECUADO A LOS

SISTEMAS DE INFORMACIN

Qu es el control de accesos?
El control de acceso implica quin tiene acceso
a sistemas informticos especficos y recursos
en un momento dado. El concepto de control de
acceso consta de tres pasos. Estos pasos son la
identificacin, autenticacin y autorizacin.
Con el uso de estos tres principios un
administrador del sistema puede controlar que
recursos estn disponibles para los usuarios de
un sistema.

OBJETIVOS DEL CONTROL DE ACCESO

Impedir el acceso no autorizado a los sistemas de informacin,
bases de datos y servicios de informacin.
Implementar seguridad en los accesos de usuarios por medio de
tcnicas de autenticacin y autorizacin.
Controlar la seguridad en la conexin entre la red del Organismo y
otras redes pblicas o privadas.
Registrar y revisar eventos y actividades crticas llevadas a cabo por
los usuarios en los sistemas.
Concientizar a los usuarios respecto de su responsabilidad frente a
la utilizacin de contraseas y equipos.
Garantizar la seguridad de la informacin cuando se utiliza
computacin mvil e instalaciones de trabajo remoto.

PRINCIPIOS DEL CONTROL DE ACCESO

Uno de los principios que deben incorporarse al
establecer una poltica de control de acceso eficaz es la
prctica de un acceso mnimo o menos privilegios. Lo que
esto significa es que un usuario debe tener la menor
cantidad de acceso requerido para hacer su trabajo.

El principio del menor privilegio incluye la limitacin de los

recursos y aplicaciones accesibles por el usuario, as como
el acceso en tiempo permitido. Por, ejemplo, a veces,
puede no ser aconsejable permitir el acceso a los registros
financieros a las 3:00 am por la maana, cuando las
instalaciones deberan estar cerradas.

PASOS PARA UN CONTROL DE ACCESO

La identificacin se refiere las cosas como nombres de usuario y
tarjetas de identificacin. Es el medio por el cual un usuario del
sistema identifica quines son. Este paso se realiza generalmente al
iniciar sesin.
La autenticacin es el segundo paso del proceso de control de
acceso. Contraseas, reconocimiento de voz, y escneres
biomtricos son mtodos comunes de autenticacin. El objetivo de
la autenticacin es para verificar la identidad del usuario del
sistema.
La autorizacion se produce despus de que un usuario del sistema
se autentica y luego es autorizado a utilizar el sistema. El usuario
esta generalmente slo autorizado a usar una porcin de los
recursos del sistema en funcin de su papel en la organizacin. Por
ejemplo, el personal de ingeniera tiene acceso a diferentes
aplicaciones y archivos que el personal de finanzas, o recursos
humanos no.

TIPOS DE CONTROL DE ACCESOS

Gestin de accesos de usuario
Control de accesos al sistema operativo
Control de acceso a la informacin y
aplicaciones
Control de accesos en red

TIPOS DE CONTROL DE ACCESOS

Gestin de accesos de usuario

Registro de usuarios
Gestin de privilegios
Gestin de contraseas de usuario
Revisin de los derechos de acceso de los
usuarios

TIPOS DE CONTROL DE ACCESOS

Control de accesos al sistema operativo
Procedimientos de conexin de terminales

Identificacin y autenticacin de los usuarios

Sistema de gestin de contraseas

Utilizacin de utilidades del sistema

Timeout de sesiones

Limitacin del tiempo de conexin

TIPOS DE CONTROL DE ACCESOS

Control de acceso a la informacin y aplicaciones

Restriccin de acceso a la informacin

Aislamiento de sistemas sensibles

TIPOS DE CONTROL DE ACCESOS

Control de accesos en red

Poltica de uso de los servicios de red

Autenticacin para conexiones externas
Identificacin de equipos en la red
Proteccin a puertos de diagnstico remoto y
configuracin
Segregacin en las redes
Control de conexin a las redes
Control de enrutamiento en red

METODOS DE CONTROL DE ACCESOS

Contraseas
Certificados
Limitacin del tiempo de conexin
Control de acceso a las aplicaciones
Restricciones por IP
Dispositivos Biometricos
ETC

ASIGNACION DE PRIVILEGIOS
El objetivo es asegurar el acceso autorizado de usuario y prevenir
accesos no autorizados a los sistemas de informacin.
Debera restringirse y controlarse el uso y asignacin de privilegios:
identificar los privilegios;
asignar privilegios a los individuos segn los principios de
necesidad de uso;
mantener un proceso de autorizacin y un registro de todos los
privilegios asignados. No se otorgarn privilegios hasta que el
proceso de autorizacin haya concluido;
promover el desarrollo y uso de rutinas del sistema; promover
el desarrollo y uso de programas;
asignar los privilegios a un identificador de usuario distinto al
asignado para un uso normal. Un uso inapropiado de los
privilegios puede ser causa de fallas.

REQUERIMIENTOS LEGALES
Ley Orgnica de Proteccin de Datos
Real Decreto 994/1999 que desarrolla
el Reglamento de Medidas de Seguridad

REQUERIMIENTOS LEGALES
Es importante sealar que tanto la Ley Orgnica como el
Real Decreto 994/1999 que desarrolla el Reglamento de
Medidas de Seguridad ligan el concepto de seguridad de
los datos a los conceptos de:

a) Confidencialidad: entendido como el acceso

autorizado a los datos.
b) Exactitud: la informacin no debe sufrir alteraciones
no deseadas, en cuanto a su contenido.
c) Disponibilidad: slo las personas autorizadas pueden
tener acceso a la informacin.

REQUERIMIENTOS LEGALES
Las medidas que debern ser adoptadas e implantadas por el
Responsable del Fichero son:
a) Medidas Organizativas: aquellas medidas destinadas a
establecer procedimientos, normas, reglas y estndares
de seguridad, cuyos destinatarios son los usuarios que
tratan los datos de los ficheros.
b) Medidas Tcnicas: medidas destinadas principalmente a
la conservar la integridad de la informacin (su no
alteracin, prdida o robo) y en menor medida a la
confidencialidad de los datos personales. Se encuentran
delimitadas en funcin del nivel de seguridad de los datos
tratados: bsico, medio y alto.

REQUERIMIENTOS LEGALES
Los niveles de seguridad en el Reglamento.
Nivel Bsico: Para todos los ficheros de datos de carcter personal.
Nivel Medio: Sern adoptadas para:
Ficheros que contengan datos relativos a la comisin de infracciones
administrativas o penales.
Ficheros que contengan datos sobre Hacienda Pblica.
Ficheros que contengan datos sobre Servicios Financieros.
Ficheros que contengan datos sobre solvencia patrimonial y crdito.
Ficheros que contengan un conjunto de datos suficientes que
permitan elaborar un perfil del afectado (se les aplican las medidas
descritas en los art.17 a 20).

Nivel Alto: Aquellos que contengan datos de ideologa, religin,

creencias, origen racial, salud, vida sexual.

REQUERIMIENTOS LEGALES
MEDIDAS DE SEGURIDAD (Control de Accesos)
1.- Los usuarios tendrn nicamente acceso a los datos/recursos de acuerdo a
su puesto laboral y tareas definidas en el documento (art.12.1).
2.- Debern implantarse mecanismos que eviten el acceso no autorizado a otros
recursos: establecimiento de perfiles de usuario (art.12.2).
3.- Control de acceso fsico a servidores y CPD (art.19).

4.- De cada acceso se guardarn: identificacin usuario, fecha y hora, fichero

accedido, tipo de acceso y su autorizacin o denegacin, guardando la
informacin que permita identificar registro accedido (art.24.2).
5.- Los mecanismos de acceso estarn bajo el control directo del Responsable
de Seguridad, sin que pueda permitirse la desactivacin (art.24.3).
6.- Registro y conservacin de accesos lgicos al fichero por un plazo no inferior
a 2 aos (art.24.4).
7.- Para accesos a travs de redes de telecomunicaciones, debern tener las
mismas medidas que para accesos en modo local (art.5).

BSICO MEDIO

ALTO

ACTIVE DIRECTORY LDAP

Qu es un Directorio Activo?
El directorio activo es un servicio de directorio. El trmino servicio de
directorio se refiere a dos cosas:
un directorio donde la informacin sobre usuarios y recursos est
almacenada,
un servicio o servicios te dejan acceder y manipular estos recursos.

El directorio activo es una manera de manejar todos los elementos de una

red, incluidos ordenadores, grupos, usuarios, dominios, polticas de
seguridad, y cualquier tipo de objetos definidos para el usuario. Adems
de esto, provee de funciones adicionales ms all de estas herramientas y
servicios.
El directorio activo est construido alrededor de la tecnologa DNS y LDAP.
Al ser protocolos de plataforma independiente, Los ordenadores Unix,
Linux y Macintosh pueden tener acceso a los recursos de igual modo que
los clientes de Windows.

ACTIVE DIRECTORY LDAP

Protocolos
LDAP: Es un protocolo que permite el acceso a un servicio de
directorio ordenado y distribuido para buscar diversa informacin en un
entorno de red, es un protocolo de acceso unificado a un conjunto de
informacin sobre una red. Tambin es considerado una base de datos a la
que pueden realizarse consultas.
DNS: Es una base de datos que almacena informacin asociada a nombres
de dominio, los usos ms comunes son la asignacin de nombres de
dominio a direcciones IP y la localizacin de los servidores de correo
electrnico de cada dominio.
DHCP (Dynamic Host Configuration Protocol) Es un protocolo de
asignacion de direcciones ip automaticamente.
kerberos: es un protocolo de autenticacin, permite a dos computadores
en una red insegura demostrar su identidad mutuamente de manera
segura.

ACTIVE DIRECTORY LDAP

Estructura
La estructura de directorio activo tiene una forma jerrquica donde
se localizan los objetos. Estos objetos caen en tres tipos de
categoras:
Recursos, como por ejemplo impresoras.
Servicios, como correo, Web, FTP, etc.
Usuarios, los cuales incluyen cuentas para conectarse, grupos de
trabajo, etc.

Un objeto es nicamente identificado por su nombre y tiene un

serie de atributos definidos por un esquema, que tambin
determina la clase de objetos que se pueden almacenar en l. Los
atributos son las caractersticas y la informacin que el objeto
contiene.