11. CONTROL DEL ACCESO
11.1 REQUISITOS DEL
NEGOCIO PARA EL CONTROL DEL ACCESO
Objetivo: controlar el acceso a la información.
El acceso a la información, a los servicios de procesamiento
de información y a los procesos del negocio se debería controlar con base en los
requisitos de seguridad y del negocio.
Las reglas para el control del acceso deberían tener en
cuenta las políticas de distribución y autorización de la información.
11.1.1 Política de
control de acceso
Control
Se debería establecer, documentar y revisar la política de
control de acceso con base en los requisitos del negocio y de la seguridad para
el acceso.
Guía de implementación
Las reglas y los derechos para el control del acceso para
cada usuario o grupo de usuarios se deberían establecer con claridad en una
política de control del acceso. Los controles del acceso son tanto lógicos como
físicos (véase la sección 9) y se deberían considerar en conjunto. A los
usuarios y a los proveedores de servicios se les debería brindar una
declaración clara de los requisitos del negocio que deben cumplir los controles
del acceso.
La política debería considerar los siguientes aspectos:
a). requisitos de
seguridad de las aplicaciones individuales del negocio;
b).
identificación de toda la información relacionada con las aplicaciones del
negocio y los riesgos a los que se enfrenta la información;
c). políticas
para la distribución y autorización de la información, como por ejemplo la necesidad
de conocer el principio y los niveles de seguridad y la clasificación de la información
(véase el numeral 7.2);
d). consistencia
entre el control del acceso y las políticas de clasificación de la información de
sistemas y redes diferentes;
e). legislación
pertinente y obligaciones contractuales relacionadas con la protección del acceso
a los datos o los servicios (véase el numeral 15.1);
f). perfiles
estándar de acceso de usuario para funciones laborales comunes en la organización;
g). gestión de
los derechos de acceso en un entorno distribuido y con red que reconozca todos
los tipos de conexiones posibles;
h). distribución
de las funciones de control de acceso, por ejemplo solicitud de acceso, autorización
del acceso, administración del acceso;
i). requisitos
para la autorización formal de las solicitudes de acceso (véase el numeral 11.2.1);
j). requisitos
para la revisión periódica de los controles de acceso (véase el numeral 11.2.4);
k). retiro de los
derechos de acceso (véase el numeral 8.3.3).
Información adicional
Se recomienda cuidado al especificar las reglas de control
de acceso para considerar:
a).
diferenciación entre reglas que siempre se deben hacer cumplir y directrices
que son opcionales o condicionales;
b). establecimiento de reglas basadas en la premisa "En
general, todo está prohibido, a menos que esté expresamente permitido" y
no en la regla más débil de " En general, todo está permitido, a menos que
esté expresamente prohibido";
c). cambios en las etiquetas de la información (véase el
numeral 7.2) que son iniciados automáticamente por los servicios de
procesamiento de información y aquellos iniciados a discreción del usuario;
d). cambios en los permisos de usuario que son iniciados
automáticamente por los servicios de procesamiento de información y aquellos
iniciados por un administrador;
e). reglas que requieren aprobación específica antes de su
promulgación y aquellas que no.
Las reglas de control de acceso deberían tener soporte de
procedimientos formales y de responsabilidades claramente definidas (véase, por
ejemplo, 6.1.3, 11.3, 10.4.1, 11.6).
11.2 GESTIÓN DEL
ACCESO DE USUARIOS
Objetivo: asegurar el acceso de usuarios autorizados y evitar
el acceso de usuarios no autorizados a los sistemas de información.
Se deberían establecer procedimientos formales para controlar
la asignación de los derechos de acceso a los sistemas y servicios de información.
Los procedimientos deberían comprender todas las fases del
ciclo de vida del acceso del usuario, desde el registro inicial de los usuarios
nuevos hasta la cancelación final del registro de usuarios que ya no requieren
acceso a los servicios y sistemas de información. Se debería poner atención
especial, según el caso, a la necesidad de controlar la asignación de derechos de
acceso privilegiado que permiten a los usuarios anular los controles del
sistema.
11.2.1 Registro de
usuarios
Control
Debería existir un procedimiento formal para el registro y
cancelación de usuarios con el fin de conceder y revocar el acceso a todos los
sistemas y servicios de información.
Guía de
implementación
El procedimiento de control del acceso para el registro y
cancelación de usuarios debería incluir:
a). uso de la identificación única de usuario (ID) para permitir
que los usuarios queden vinculados y sean responsables de sus acciones; el uso
de identificadores (ID) de grupo únicamente se debería permitir cuando son
necesarios por razones operativas o del negocio, y deberían estar aprobados y
documentados;
b). verificación de que el usuario tenga autorización del dueño
del sistema para el uso del sistema o servicio de información, también pueden
ser conveniente que la dirección apruebe por separado los derechos de acceso;
c). verificación de que el nivel de acceso otorgado sea adecuado
para los propósitos del negocio (véase el numeral 11.1) y sea consistente con
la política de seguridad de la organización, es decir, no pone en peligro la
distribución de funciones (véase el numeral 10.1.3);
d). dar a los usuarios una declaración escrita de sus
derechos de acceso;
e). exigir a los usuarios firmar declaraciones que indiquen
que ellos entienden las condiciones del acceso;
f). asegurar que los proveedores del servicio no otorguen el
acceso hasta que se hallan terminado los procedimientos de autorización;
g). mantenimiento de un registro formal de todas las personas
registradas para usar el servicio;
h). retirar o bloquear inmediatamente los derechos de acceso
de los usuarios que han cambiado de función, de trabajo o que han dejado la
organización;
i). verificar, retirar o bloquear periódicamente las identificaciones
(ID) y cuentas redundantes de usuarios (véase el numeral 11.2.4);
j). garantizar que las identificaciones (ID) de usuario redundantes
no se otorgan a otros usuarios.
Información adicional
Se debería considerar el establecimiento de roles de acceso
de usuario basadas en los requisitos del negocio que incluyan un número de
derechos en perfiles típicos de acceso de usuario. Las solicitudes y revisiones
de acceso (véase el numeral 11.2.4) se gestionan más fácilmente en el ámbito de
dichas funciones que en el ámbito de derechos particulares.
Es conveniente considerar la inclusión de cláusulas en los contratos
del personal y de los servicios que especifiquen las sanciones si el personal o
los agentes del servicio intentan el acceso no autorizado (véanse los numerales
6.1.5, 8.1.3 y 8.2.3).
11.2.2 Gestión de
privilegios
Control
Se debería restringir y controlar la asignación y el uso de
privilegios.
Guía de
implementación
Los sistemas de usuario múltiple que requieren protección
contra el acceso no autorizado deberían controlar la asignación de privilegios
a través de un proceso formal de autorización.
Se recomienda tener en cuenta los siguientes elementos:
a). Se deberían identificar los usuarios y sus privilegios
de acceso asociados con cada producto del sistema, como sistema operativo,
sistema de gestión de bases de datos y aplicaciones;
b). Se deberían asignar los privilegios a los usuarios sobre
los principios de necesidad-deuso y evento-por-evento, y de manera acorde con la
política de control de acceso (véase el numeral 11.1.1), es decir, el requisito
mínimo para su función, sólo cuando sea necesario;
c). se deberían conservar un proceso de autorización y un registro
de todos los privilegios asignados. Los privilegios no se deberían otorgar
hasta que el proceso de autorización esté completo;
d). es conveniente promover el desarrollo y empleo de rutinas
del sistema para evitar la necesidad de otorgar privilegios a los usuarios;
e.) se recomienda promover también el desarrollo y empleo de
programas que eviten la necesidad de funcionar con privilegios;
f). los privilegios se deberían asignar a un identificador de
usuario (ID) diferente a los utilizados para el uso normal del negocio.
Información adicional
El uso no apropiado de los privilegios de administración del
sistema (cualquier característica o servicio de un sistema que permita al
usuario anular los controles del sistema o de la aplicación) puede ser un
factor contribuyente importante a las fallas o vulnerabilidades del sistema.
11.2.3 Gestión de
contraseñas para usuarios
Control
La asignación de contraseñas se debería controlar a través
de un proceso formal de gestión.
Guía de
implementación
El proceso debería incluir los siguientes requisitos:
a). se debería exigir a los usuarios la firma de una
declaración para mantener confidenciales las contraseñas personales y conservar
las contraseñas de grupo únicamente entre los miembros de éste; esta
declaración firmada se podría incluir en los términos y condiciones laborales
(véase el numeral 8.1.3);
b). cuando se exige a los usuarios mantener sus propias
contraseñas, inicialmente se les debería suministrar una contraseña temporal
segura (véase el numeral 11.3.1) que estén forzados a cambiar inmediatamente;
c). establecer procedimientos para verificar la identidad de
un usuario antes de proporcionarle una contraseña temporal, de reemplazo o
nueva;
d). las contraseñas temporales se deberían suministrar de forma
segura a los usuarios; se recomienda evitar mensajes de correo electrónico de
terceras partes o sin protección (texto claro);
e). las contraseñas temporales deberían ser únicas para un
individuo y no ser descifrables;
f). los usuarios deberían confirmar la entrega de las
contraseñas;
g). las contraseñas nunca se deberían almacenar en sistemas
de computador en un formato no protegido;
h). las contraseñas predeterminadas por el proveedor se deberían
cambiar inmediatamente después de la instalación de los sistemas o del
software.
Información adicional
Las contraseñas son un medio común de verificación de la identidad
de un usuario antes de darle acceso a un sistema o servicio de información de
acuerdo con la autorización del usuario.
Según el caso, es recomendable considerar otras tecnologías
disponibles para la identificación y autenticación del usuario tales como
biométricos, (verificación de huella digital, verificación de firma) y el uso
de tokens de autenticación, (tarjetas inteligentes).
11.2.4 Revisión de
los derechos de acceso de los usuarios
Control
La dirección debería establecer un procedimiento formal de
revisión periódica de los derechos de acceso de los usuarios.
Guía de
implementación
Se recomienda que en la revisión de los derechos de acceso
se consideren las siguientes directrices:
a). los derechos de acceso de los usuarios se deberían revisar
a intervalos regulares, por ejemplo cada seis meses y después de cada cambio,
como por ejemplo promoción, cambio a un cargo en un nivel inferior, o
terminación del contrato laboral (véase el numeral 11.2.1);
b.) los derechos de acceso de usuarios se debería revisar y
reasignar cuando hay cambios de un cargo a otro dentro de la misma
organización;
c). es recomendable revisar las autorizaciones para derechos
de acceso privilegiado (véase el numeral 11.2.2) a intervalos más frecuentes,
por ejemplo cada tres meses;
d). se debería verificar la asignación de privilegios a
intervalos regulares para garantizar que no se obtienen privilegios no
autorizados;
e). los cambios en las cuentas privilegiadas se deberían
registrar para su revisión periódica.
Información adicional
Es necesario revisar con regularidad los derechos de acceso
de los usuarios para mantener un control eficaz del acceso a los datos y a los
servicios de información.
11.3
RESPONSABILIDADES DE LOS USUARIOS
Objetivo: evitar el acceso de usuarios no autorizados, el robo
o la puesta en peligro de la información y de los servicios de procesamiento de
información.
La cooperación de los usuarios autorizados es esencial para
la eficacia de la seguridad.
Se debería concientizar a los usuarios sobre sus responsabilidades
por el mantenimiento de controles de acceso eficaces, en particular con
relación al uso de contraseñas y a la seguridad del equipo del usuario.
Es recomendable implementar una política de escritorio y pantalla
despejados para reducir el riesgo de acceso no autorizado o daño de reportes,
medios y servicios de procesamiento de información.
11.3.1 Uso de
contraseñas
Control
Se debería exigir a los usuarios el cumplimiento de buenas
prácticas de seguridad en la selección y el uso de las contraseñas.
Guía de
implementación
Todos los usuarios deberían:
a). mantener la confidencialidad de las contraseñas;
b). evitar conservar registros (por ejemplo en papel, archivos
de software o dispositivos manuales) de las contraseñas, a menos que éstas se
puedan almacenar de forma segura y el método de almacenamiento esté aprobado;
c). cambiar las contraseñas siempre que haya indicación de
puesta en peligro del sistema o de la contraseña;
d) .seleccionar contraseñas de calidad con longitud mínima
suficiente que:
1). sean fáciles de recordar;
2). no se basen en algo que alguien pueda adivinar fácilmente
o usando información relacionada con la persona, por ejemplo nombre, números
telefónicos, fechas de cumpleaños, etc.;
3). no sean vulnerables al ataque de diccionarios (es decir,
que no consistan en palabras incluidas en diccionarios);
4). no tengan caracteres idénticos consecutivos, que no sean
todos numéricos ni todos alfabéticos;
e). cambiar las contraseñas a intervalos regulares o con base
en el número de accesos (las contraseñas para cuentas privilegiadas se deberían
cambiar con más frecuencia que las contraseñas normales) y evitar la
reutilización de contraseñas antiguas;
f). cambiar las contraseñas temporales en el primer registro
de inicio;
g). no incluir contraseñas en ningún proceso de registro
automatizado, por ejemplo almacenadas en un macro o en una clave de función;
h). no compartir las contraseñas de usuario individuales;
i). no utilizar la misma contraseña para propósitos del
negocio y para los que no lo son.
Si los usuarios necesitan acceso a múltiples servicios,
sistemas o plataformas y se les exige conservar múltiples contraseñas
separadas, se les debería advertir que pueden usar una sola contraseña de calidad
(véase d) arriba) para todos los servicios cuando se les garantiza que se ha
establecido un nivel razonable de protección para almacenar la contraseña en
cada servicio, sistema o plataforma.
Información adicional
La gestión de los sistemas de ayuda del escritorio auxiliar
que tratan con las contraseñas perdidas u olvidadas necesita cuidado especial
puesto que también puede ser un medio de ataque al sistema de contraseña.
11.3.2 Equipo de
usuario desatendido
Control
Los usuarios deberían asegurarse de que los equipos
desatendidos tengan protección apropiada.
Guía de
implementación
Se debería concientizar a los usuarios sobre los requisitos
y los procedimientos de seguridad para proteger los equipos desatendidos, así
como sobre sus responsabilidades en la implementación de dicha protección. Se
debería advertir a los usuarios sobre:
a). terminar las sesiones activas cuando finalice, a menos
que se puedan asegurar por medio de un mecanismo de bloqueo, como un protector
de pantalla protegido por contraseña;
b). realizar el registro de cierre en computadoras principales,
servidores y computadores personales de oficina al terminar la sesión (es
decir, no sólo apagar el interruptor de la pantalla del computador o terminal);
c). cuando no están en uso, asegurar los computadores personales
o los terminales contra el uso no autorizado mediante una clave de bloqueo o un
control equivalente como, por ejemplo, el acceso por contraseña (véase el
numeral 11.3.3).
Información adicional
Los equipos instalados en las áreas de usuario, por ejemplo las
estaciones de trabajo o los servidores de archivo, pueden requerir protección
específica contra el acceso no autorizado cuando se dejen desatendidos durante
periodos prolongados.
11.3.3 Política de
escritorio despejado y de pantalla despejada
Control
Se debería adoptar una política de escritorio despejado para
reportes y medios de almacenamiento removibles y una política de pantalla despejada
para los servicios de procesamiento de información.
Guía de implementación
En la política de escritorio despejado y pantalla despejada
se deberían considerar las clasificaciones de la información (véase el numeral
7.2), los requisitos legales y contractuales (véase el numeral 15.1), los
riesgos correspondientes y los aspectos culturales de la organización. Es
recomendable tener presentes las siguientes directrices:
a). cuando no se requiere la información sensible o crítica
del negocio, como por ejemplo los medios de almacenamiento electrónicos o en
papel, se debería asegurar bajo llave (idealmente una caja fuerte, un gabinete
u otro mueble de seguridad), especialmente cuando la oficina está vacía;
b). las sesiones de los computadores y los terminales se
deberían cerrar o proteger con un mecanismo de bloqueo de pantalla y de teclado
controlado por una contraseña, un token o un mecanismo similar de autenticación
de usuario cuando no están atendidos, y se deberían proteger mediante bloqueos
de clave, contraseñas u otros controles cuando no se estén utilizando;
c). se deberían proteger los puntos de entrada y salida de
correo y las máquinas de facsímil desatendidas;
d) .es conveniente evitar el uso no autorizado de fotocopiadoras
y otra tecnología de reproducción (por ejemplo, escáneres, cámaras digitales,
etc.).
e). los documentos que contengan información sensible o clasificada
se deberían retirar inmediatamente de las impresoras.
Información adicional
Una política sobre escritorio despejado / pantalla despejada
reduce los riesgos de acceso no autorizado, pérdida y daño de la información
durante y fuera de las horas laborales normales.
Las cajas fuertes u otras formas de almacenamiento seguro
también podrían proteger la información almacenada allí contra desastres como
incendio, terremoto, inundación o explosión.
Se debería pensar en la utilización de impresoras con
función de código de pines (pin code) de forma que quien inicia la impresión
sea el único que pueda obtenerla y únicamente cuando esté cerca de la
impresora.
11.4 CONTROL DE
ACCESO A LAS REDES
Objetivo: evitar el acceso no autorizado a los servicios en
red.
Es recomendable controlar el acceso a los servicios en red,
tanto internos como externos.
El acceso de los usuarios a las redes y a los servicios de
red no debería comprometer la seguridad de los servicios de red garantizando
que:
a). existen interfaces apropiadas entre la red de la
organización y las redes que pertenecen a otras organizaciones, y las redes
públicas;
b). se aplican mecanismos adecuados de autenticación para
los usuarios y los equipos;
c). se exige control de acceso de los usuarios a los
servicios de información.
11.4.1 Política de
uso de los servicios en red
Control
Los usuarios sólo deberían tener acceso a los servicios para
cuyo uso están específicamente autorizados.
Guía de
implementación
Se debería formular una política con respecto al uso de las
redes y los servicios de red. Esta política debería abarcar:
a). las redes y los servicios de red a los cuales se permite
el acceso;
b). los procedimientos de autorización para determinar a quién
se le permite el acceso a qué redes y qué servicios en red;
c). los controles y procedimientos de gestión para proteger
el acceso a las conexiones de red y los servicios de red;
d). los medios utilizados para el acceso a las redes y los
servicios de red (por ejemplo las condiciones para permitir el acceso a la
marcación a un proveedor de servicios de Internet o a un sistema remoto).
La política sobre el uso de los servicios de red debería ser
consistente con la política de control de acceso de la organización (véase el
numeral 11.1).
Información adicional
Las conexiones inseguras y no autorizadas a servicios de red
pueden afectar a toda la organización. Este control es particularmente
importante para las conexiones de red de aplicaciones sensibles o críticas para
el negocio o para usuarios en lugares de alto riesgo, por ejemplo en áreas
públicas o externas que se hallan fuera del control y la gestión de seguridad de
la organización.
1.4.2 Autenticación
de usuarios para conexiones externas
Control
Se deberían emplear métodos apropiados de autenticación para
controlar el acceso de usuarios remotos.
Guía de
implementación
La autenticación de usuarios remotos se puede lograr usando,
por ejemplo, una técnica con base criptográfica, token de hardware o protocolos
de desafío / respuesta. Las posibles implementaciones de dichas técnicas se
pueden encontrar en diversas soluciones de red privada virtual (VPN). Las
líneas privadas dedicadas también se pueden emplear para brindar aseguramiento
de la fuente de las conexiones.
Los procedimientos y controles de devolución de marcación, por
ejemplo empleando módems de retorno de marcación, pueden suministrar protección
contra conexiones no deseadas o no autorizadas a los servicios de procesamiento
de información de la organización. Este tipo de control autentica a los
usuarios tratando de establecer una conexión con una red de la organización
desde sitios remotos. Cuando se usa este control, la organización no debería utilizar
servicios de red que incluyen envío de llamada o, si lo hacen, deberían
desactivar el uso de dichas características para evitar las debilidades asociadas
con el envío de llamada. El proceso de devolución de llamada debería garantizar
que realmente se produce una desconexión en el lado de la organización. De otro
modo, el usuario remoto debería mantener la línea abierta pretendiendo que ha
ocurrido la verificación de la devolución de la llamada. Los procedimientos y
controles de devolución de la llamada se deberían probar en su totalidad para determinar
esta posibilidad.
La autenticación del nodo puede servir como un medio alterno
para la autenticación de grupos de usuarios remotos cuando están conectados a
un servicio seguro de computador compartido.
Para la autenticación del nodo se pueden emplear las
técnicas criptográficas, por ejemplo las basadas en certificados de máquina.
Esto forma parte de varias soluciones basadas en la red privada virtual (VPN).
Se deberían implementar controles de autenticación adicionales
para controlar el acceso a redes inalámbricas. En particular, es necesario
tener cuidado especial en la selección de los controles para redes inalámbricas
debido a las grandes oportunidades para la interceptación e inserción no
detectadas en el tráfico de la red.
Información adicional
Las conexiones externas suministran un potencial para el
acceso no autorizado a la información del negocio, por ejemplo el acceso a los
métodos de marcación. Existen diferentes métodos de autenticación, algunos de
los cuales proporcionan un mayor grado de protección que otros, como por
ejemplo los métodos con base en el uso de técnicas criptográficas que pueden
brindar autenticación sólida. Es importante determinar a partir de la
evaluación de riesgos el grado necesario de protección. Ello es necesario para
la selección adecuada de un método de autenticación.
Un medio para la conexión automática a un computador remoto
podría suministrar una forma de obtener acceso no autorizado a una aplicación
del negocio. Esto es especialmente importante si la conexión utiliza una red
que está fuera del control de la gestión de seguridad de la organización.
11.4.3 Identificación
de los equipos en las redes
Control
La identificación automática de los equipos se debería considerar
un medio para autenticar conexiones de equipos y ubicaciones específicas.
Guía de
implementación
Se puede usar la identificación del equipo, si es importante
que la comunicación únicamente se pueda iniciar desde un equipo o lugar
específico. Un identificador en el equipo o acoplado a éste se puede usar para
indicar si está permitido que este equipo se conecte a la red. Estos identificadores
deberían indicar con claridad a qué red está permitido conectar el equipo, si existe
más de una red y si estas redes tienen sensibilidad diferente. Puede ser necesario
considerar la protección física del equipo para mantener la seguridad del
identificador de éste.
Información adicional
Este control se puede complementar con otras técnicas para autenticar
el usuario del equipo (véase el numeral 11.4.2). La identificación del equipo se
puede aplicar en adición a la autenticación del usuario.
11.4.4 Protección de
los puertos de configuración y diagnóstico remoto
Control
El acceso lógico y físico a los puertos de configuración y
de diagnóstico debería estar controlado.
Guía de
implementación
Los controles potenciales para el acceso a los puertos de
diagnóstico y configuración incluyen el uso de un bloqueo de clave y
procedimientos de soporte para controlar el acceso físico al puerto. Un ejemplo
de un procedimiento de soporte es garantizar que los puertos de diagnóstico y
configuración sólo sean accesibles mediante acuerdo entre el administrador del servicio
de computador y el personal de soporte de hardware / software que requiere el acceso.
Los puertos, servicios y prestaciones similares instaladas
en un servicio de computador o de red, que no se requieren específicamente para
la funcionalidad del negocio, se deberían inhabilitar o retirar.
Información adicional
Muchos sistemas de computador, sistemas de red y sistemas de
comunicación se instalan en un sitio de configuración o de diagnóstico remoto
para ser utilizados por los ingenieros de mantenimiento. Si no están
protegidos, estos puertos de diagnóstico son un medio para el acceso no
autorizado.
11.4.5 Separación en
las redes
Control
En las redes se deberían separar los grupos de servicios de
información, usuarios y sistemas de información.
Guía de
implementación
Un método para el control en las redes grandes es dividirlas
en dominios lógicos de red separados, por ejemplo, dominios de red internos de
la organización y dominios de red externos, cada uno protegido por un perímetro
de seguridad definido. Se puede aplicar un conjunto graduado de controles en
diferentes dominios lógicos de red para separar aún más los entornos de
seguridad de la red, por ejemplo los sistemas de acceso público, las redes
internas y los activos críticos. Los dominios se deberían definir con base en
una evaluación de riesgos y en los diferentes requisitos de seguridad en cada
uno de los dominios.
Se puede implementar un perímetro de red instalando una
puerta de enlace (gateway) seguro entre las dos redes que se van a
interconectar para controlar el acceso y el flujo de información entre los dos
dominios. Esta puerta de enlace (gateway) se debería configurar para filtrar el
tráfico entre estos dominios (véanse los numerales 11.4.6 y 11.4.7) y para
bloquear el acceso no autorizado, según la política de control de acceso de la
organización (véase el numeral 11.1). Un ejemplo de este tipo de puerta de
enlace (gateway) es lo que se conoce comúnmente como barrera de fuego (firewall).
Otro método para apartar los dominios lógicos separados es restringir el acceso
a la red usando redes privadas virtuales para grupos de usuarios dentro de la
organización.
Las redes también se pueden separar utilizando la funcionalidad
del dispositivo de red, por ejemplo la conmutación IP. Los dominios separados
se pueden implementar entonces controlando los flujos de datos de la red usando
las capacidades de enrutamiento / conmutación, como por ejemplo las listas de
control de acceso.
Los criterios para separar las redes en dominios se deberían
basar en la política de control de acceso y en los requisitos de acceso (véase
el numeral 10.1) y deberían tener en cuenta los costos relativos y el impacto
en el desempeño por la incorporación de tecnología conveniente de puerta de
enlace (gateway) o de enrutamiento de red (véanse los numerales 11.4.6 y
11.4.7).
Además, la separación de las redes se debería basar en el
valor y la clasificación de la información almacenada o procesada en la red,
los niveles de confianza o los lineamientos del negocio con el fin de reducir
el impacto total de una interrupción del servicio.
También se debería pensar en la separación de las redes inalámbricas
procedentes de redes internas y privadas. Puesto que los perímetros de las redes
inalámbricas no están bien definidos, es recomendable llevar a cabo una
evaluación de riesgos en tales casos para identificar los controles (por
ejemplo, autenticación sólida, métodos criptográficos y selección de
frecuencia) para mantener la separación de la red.
Información adicional
Las redes se extienden cada vez más allá de las fronteras
tradicionales de la organización, ya que se forman sociedades de negocios que
pueden requerir la interconexión o compartir el procesamiento de información y
las prestaciones de la red. Tal extensión puede incrementar el riesgo no
autorizado a los sistemas de información existentes que utilizan la red,
algunos de los cuales pueden requerir protección contra otros usuarios de la
red debido a su sensibilidad o importancia.
11.4.6 Control de
conexión a las redes
Control
Para redes compartidas, especialmente aquellas que se
extienden más allá de las fronteras de la organización, se debería restringir
la capacidad de los usuarios para conectarse a la red, de acuerdo con la
política de control de acceso y los requisitos de aplicación del negocio (véase
el numeral 11.1).
Guía de
implementación
Los derechos de acceso a la red de los usuarios se deberían
mantener y actualizar según se requiera a través de la política de control de
acceso (véase el numeral 11.1.1).
La capacidad de conexión de los usuarios se puede restringir
a través de puertas de enlace (gateway) de red que filtren el tráfico por medio
de tablas o reglas predefinidas. Los siguientes son algunos ejemplos de
aplicaciones a las cuales se deberían aplicar restricciones:
a). mensajería, por ejemplo, el correo electrónico;
b). transferencia de archivos;
c). acceso interactivo;
d). acceso a las aplicaciones.
Es conveniente tomar en consideración el enlace de los derechos
de acceso a la red con algunas horas del día o fechas.
Información adicional
La política de control del acceso puede exigir la
incorporación de controles para restringir la capacidad de conexión de los
usuarios a redes compartidas, especialmente aquellas que se extienden más allá
de las fronteras de la organización.
11.4.7 Control del
enrutamiento en la red
Control
Se deberían implementar controles de enrutamiento en las
redes con el fin de asegurar que las conexiones entre computadores y los flujos
de información no incumplan la política de control de acceso de las
aplicaciones del negocio.
Guía de
implementación
Los controles de enrutamiento se deberían basar en mecanismos
de verificación para las direcciones fuente /destino válidos.
Las puertas de enlace (gateway) de seguridad se pueden usar
para validar la dirección fuente/destino en los puntos de control de las redes
interna y externa, si se emplean tecnologías proxy y / o de traducción de
dirección de red. Quienes desarrollan la implementación deberían ser
conscientes de las fortalezas y deficiencias de los mecanismos desplegados. Los
requisitos para el control del enrutamiento en la red se deberían basar en la política
de control de acceso (véase el numeral 11.1).
Información adicional
Las redes compartidas, especialmente aquellas que van más
allá de las fronteras de la organización, pueden requerir controles adicionales
de enrutamiento. Esto se aplica particularmente cuando las redes son
compartidas por usuarios de terceras partes (que no pertenecen a la
organización).
11.5 CONTROL DE
ACCESO AL SISTEMA OPERATIVO
Objetivo: evitar el acceso no autorizado a los sistemas
operativos.
Se recomienda utilizar medios de seguridad para restringir
el acceso de usuarios no autorizados a los sistemas operativos. Tales medios
deberían tener la capacidad para:
a). autenticar usuarios autorizados, de acuerdo con una política
definida de control de acceso;
b). registrar intentos exitosos y fallidos de autenticación
del sistema;
c). registrar el uso de privilegios especiales del sistema;
d). emitir alarmas cuando se violan las políticas de
seguridad del sistema;
e). suministrar medios adecuados para la autenticación;
f). cuando sea apropiado, restringir el tiempo de conexión
de los usuarios.
11.5.1 Procedimientos
de registro de inicio seguro
Control
El acceso a los sistemas operativos se debería controlar
mediante un procedimiento de registro de inicio seguro.
Guía de implementación
El procedimiento de registro en un sistema operativo debería
estar diseñado para minimizar la oportunidad de acceso no autorizado. Por lo
tanto, el procedimiento de registro de inicio debería divulgar información
mínima sobre el sistema para evitar suministrar asistencia innecesaria a un
usuario no autorizado. Un buen procedimiento de registro de inicio debería cumplir
los siguientes aspectos:
a). no mostrar identificadores de aplicación ni de sistema hasta
que el proceso de registro de inicio se haya completado exitosamente;
b). mostrar una advertencia de notificación general indicando
que sólo deberían tener acceso al computador los usuarios autorizados;
c). no suministrar mensajes de ayuda durante el procedimiento
de registro de inicio que ayuden a un usuario no autorizado;
d). validar la información de registro de inicio únicamente
al terminar todos los datos de entrada. Si se presenta una condición de error,
el sistema no debería indicar qué parte de los datos es correcta o incorrecta;
e). limitar la cantidad de intentos permitidos de registro
de inicio, por ejemplo tres intentos, y considerar:
1). registrar intentos exitosos y fallidos;
2). forzar un tiempo de dilación antes de permitir intentos
adicionales del registro de inicio o de rechazar los intentos adicionales sin
autorización específica;
3). desconectar las conexiones de enlaces de datos;
4). enviar un mensaje de alarma a la consola del sistema si
se alcanza la cantidad máxima de intentos de registro de inicio;
5). establecer la cantidad de reintentos de contraseña junto
con la longitud mínima de ella y el valor del sistema que se protege;
f). limitar el tiempo máximo y mínimo permitido para el
procedimiento de registro de inicio. Si se excede, el sistema debería finalizar
esta operación;
g). mostrar la siguiente información al terminar un registro
de inicio exitoso:
1). fecha y hora del registro de inicio exitoso previo;
2). detalles de los intentos fallidos de registro de inicio
desde el último registro exitoso;
h). no mostrar la contraseña que se introduce o considerar
esconder los caracteres mediante símbolos;
i). no transmitir contraseñas en texto claro en la red.
Información adicional
Si las contraseñas se transmiten en texto claro durante la
sesión de registro de inicio pueden ser capturadas en la red por un programa
"husmeador" de red.
11.5.2 Identificación
y autenticación de usuarios
Control
Todos los usuarios deberían tener un identificador único (ID
del usuario) únicamente para su uso personal, y se debería elegir una técnica
apropiada de autenticación para comprobar la identidad declarada de un usuario.
Guía de
implementación
Este control se debería aplicar a todos los tipos de
usuarios (incluyendo el personal de soporte técnico, operadores,
administradores de red, programadores de sistemas y administradores de bases de
datos).
Los identificadores de usuario (ID) se deberían utilizar
para rastrear las actividades de la persona responsable. Las actividades de
usuarios regulares no se deberían realizar desde cuentas privilegiadas.
En circunstancias excepcionales, cuando existe un beneficio
claro para el negocio, se puede usar un identificador de usuario compartido
para un grupo de usuarios o un trabajo específico.
La aprobación por la dirección debería estar documentada
para dichos casos. Se pueden requerir controles adicionales para mantener la
responsabilidad.
Sólo se deberían permitir los identificadores (ID) de
usuario genéricos para uso de un individuo si existen funciones accesibles o si
no es necesario rastrear las acciones ejecutadas por el identificador (por
ejemplo el acceso de sólo lectura), o cuando no hay controles establecidos (por
ejemplo cuando la contraseña para un identificador genérico sólo se emite para
un personal a la vez y el registro de tal caso).
Cuando se requiere verificación de identidad y autenticación
sólidas, se deberían utilizar métodos alternos a la contraseña, como los medios
criptográficos, las tarjetas inteligentes, token o medios biométricos.
Información adicional
Las contraseñas (véanse los numerales 11.3.1 y 11.5.3) son
una forma muy común de identificar y autenticar con base en un secreto que sólo
conoce el usuario. Lo mismo se puede lograr con medios criptográficos y protocolos
de autenticación. La fortaleza de la identificación y autenticación del usuario
debería ser adecuada a la sensibilidad de la información a la que se tiene
acceso.
Objetos tales como los tokens de memoria o las tarjetas
inteligentes que poseen los usuarios también se pueden usar para la
identificación y la autenticación. Las tecnologías de autenticación biométrica
que utilizan características o atributos únicos de un individuo también se
pueden usar para autenticar la identidad de una persona. Una combinación de
tecnologías y mecanismos enlazados con seguridad producirá una autenticación
sólida.
11.5.3 Sistema de
gestión de contraseñas
Control
Los sistemas para la gestión de contraseñas deberían ser
interactivos y deberían asegurar la calidad de las contraseñas.
Guía de
implementación
Un sistema de gestión de contraseñas debería:
a). hacer cumplir el uso de identificadores de usuario (ID)
individual y de contraseñas para conservar la responsabilidad;
b). permitir a los usuarios la selección y el cambio de sus
contraseñas e incluir un procedimiento de confirmación para tener en cuenta los
errores en los ingresos;
c). imponer una elección de contraseñas de calidad (véase el
numeral 11.3.1);
d). imponer cambios de contraseña (véase el numeral 11.3.1);
e). forzar a los usuarios a cambiar las contraseñas
temporales en el primer registro de inicio (véase el numeral 11.2.3);
f). conservar un registro de las contraseñas de usuario
previas y evitar su reutilización;
g). no mostrar contraseñas en la pantalla cuando se hace su
ingreso;
h). almacenar los archivos de contraseñas separadamente de
los datos del sistema de aplicación;
i). almacenar y transmitir las contraseñas en formatos
protegidos (por ejemplo encriptadas o codificadas).
Información adicional
Las contraseñas son un mecanismo principal para validar una
autoridad del usuario para tener acceso a un servicio de computador.
Algunas aplicaciones requieren la asignación de contraseñas
de usuario por parte de una autoridad independiente, en tales casos, no se
aplican los literales b), d) y e) indicados en la directriz anterior. En la
mayoría de los casos, las contraseñas son seleccionadas y conservadas por los
usuarios. Véase el numeral 11.3.1 para la directriz sobre el uso de
contraseñas.
11.5.4 Uso de las
utilidades del sistema
Control
Se debería restringir y controlar estrictamente el uso de
programas utilitarios que pueden anular los controles del sistema y de la
aplicación.
Guía de aplicación
Se recomienda considerar la siguiente directriz para el uso
de las utilidades del sistema:
a). uso de procedimientos de identificación, autenticación y
autorización para las utilidades del sistema;
b). separación de las utilidades del sistema del software de
aplicaciones,
c). limitación del uso de las utilidades del sistema a la
cantidad mínima viable de usuarios de confianza autorizados (véase el numeral
11.2.2);
d). autorización del uso ad hoc de las utilidades del
sistema;
e). limitación de la disponibilidad de las utilidades del
sistema, por ejemplo para la duración de un cambio autorizado;
f). registro de todo uso de las utilidades del sistema;
g). definición y documentación de los niveles de
autorización para las utilidades del sistema;
h). retiro o inhabilitación de todas las utilidades o el
software del sistema basado en software innecesario;
i). no poner a disposición las utilidades del sistema a
usuarios que tengan acceso a aplicaciones en sistemas en donde se requiere distribución
de funciones.
Información adicional
La mayoría de las instalaciones de computador tiene uno o más
programas de utilidades del sistema que pueden anular los controles del sistema
y de la aplicación.
11.5.5 Tiempo de
inactividad de la sesión
Control
Las sesiones inactivas se deberían suspender después de un
periodo definido de inactividad.
Guía de
implementación
Una utilidad de tiempo de inactividad debería despejar la
pantalla de sesión y también, tal vez más tarde, cerrar tanto la sesión de la
aplicación como la de red después de un periodo definido de inactividad. La
dilación del tiempo de inactividad debería reflejar los riesgos de seguridad
del área, la clasificación de la información que se maneja y las aplicaciones
que se utilizan, así como los riesgos relacionados con los usuarios del equipo.
Algunos sistemas pueden suministrar una forma limitada de
utilidad de tiempo de inactividad la cual despeja la pantalla y evita el acceso
no autorizado, pero no cierra las sesiones de aplicación ni de red.
Información adicional
Este control es importante particularmente en lugares de
alto riesgo, los cuales incluyen áreas públicas o externas fuera de la gestión
de seguridad de la organización. Las sesiones se deberían cerrar para evitar el
acceso de personas no autorizadas y negar ataques al servicio.
11.5.6 Limitación del
tiempo de conexión
Control
Se deberían utilizar restricciones en los tiempos de
conexión para brindar seguridad adicional para las aplicaciones de alto riesgo.
Guía de
implementación
Se deberían tener en cuenta los controles de tiempo para las
aplicaciones sensibles de computador, especialmente las de lugares de alto
riesgo, por ejemplo áreas públicas o externas que están fuera de la gestión de
seguridad de la organización. Los siguientes son algunos ejemplos de estas
restricciones:
a). uso de espacios de tiempo predeterminados, por ejemplo,
para transmisiones de lotes de archivos, o uso de sesiones interactivas de
corta duración;
b). restricción de los tiempos de conexión a las horas normales
de oficina, si no se requiere tiempo extra u operaciones de horario prolongado;
c). considerar la repetición de la autenticación a
intervalos determinados.
Información adicional
La limitación del periodo durante el cual se permite la
conexión a los servicios de computador reduce la ventana de oportunidad para el
acceso no autorizado. La limitación de la duración de las sesiones activas
evita que los usuarios mantengan sesiones abiertas para evitar la repetición de
la autenticación.
11.6 CONTROL DE ACCESO
A LAS APLICACIONES Y A LA INFORMACIÓN
Objetivo: evitar el acceso no autorizado a la información
contenida en los sistemas de aplicación.
Se deberían usar medios de seguridad para restringir el
acceso a los sistemas de aplicación y dentro de ellos.
El acceso lógico al software de aplicación y a la
información se debería restringir a usuarios autorizados.
Los sistemas de aplicación deberían:
a). controlar el acceso de usuarios a la información y a las
funciones del sistema de aplicación, de acuerdo con una política definida de
control de acceso;
b). suministrar protección contra acceso no autorizado por
una utilidad, el software del sistema operativo y software malicioso que pueda
anular o desviar los controles del sistema o de la aplicación;
c). no poner en peligro otros sistemas con los que se
comparten los recursos de información.
11.6.1 Restricción
del acceso a la información
Control
Se debería restringir el acceso a la información y a las
funciones del sistema de aplicación por parte de los usuarios y del personal de
soporte, de acuerdo con la política definida de control de acceso.
Guía de
implementación
Las restricciones del acceso se deberían basar en los
requisitos de las aplicaciones individuales del negocio. La política de control
de acceso también debería ser consistente con la política de acceso de la
organización (véase el numeral 11.1).
Se debería considerar la aplicación de las siguientes
directrices con el objeto de dar soporte a los requisitos de restricción del
acceso:
a). proporcionar menús para controlar el acceso a las
funciones del sistema de aplicación;
b) .controlar los derechos de acceso de los usuarios, por
ejemplo, leer, escribir, eliminar y ejecutar;
c). controlar los derechos de acceso de otras aplicaciones;
d). garantizar que los datos de salida de los sistemas de
aplicación que manejan información sensible sólo contienen la información
pertinente para el uso de la salida y que se envía únicamente a terminales o
sitios autorizados; ello debería incluir revisiones periódicas de dichas
salidas para garantizar el retiro de la información redundante.
11.6.2 Aislamiento de
sistemas sensibles
Control
Los sistemas sensibles deberían tener un entorno informático
dedicado (aislados).
Guía de
implementación
Se deberían considerar los siguientes puntos para el
aislamiento de los sistemas sensibles:
a). la sensibilidad de un sistema de aplicación se debería
identificar y documentar explícitamente por parte del dueño de la aplicación
(véase el numeral 7.1.2);
b). cuando una aplicación se ha de ejecutar en un entorno
compartido, los sistemas de aplicación con los cuales compartirá recursos y los
riesgos correspondientes deberían ser identificados y aceptados por el dueño de
la aplicación sensible.
Información adicional
Algunos sistemas de aplicación son lo suficientemente sensibles
a la pérdida potencial que requieren manejo especial. La sensibilidad puede
indicar que el sistema de aplicación debería:
a). ejecutarse en un computador dedicado, o
b). únicamente debería compartir recursos con sistemas de
aplicación confiables.
El aislamiento se puede lograr utilizando métodos físicos o
lógicos (véase el numeral 11.4.5).
11.7 COMPUTACIÓN
MÓVIL Y TRABAJO REMOTO
Objetivo: garantizar la seguridad de la información cuando se
utilizan dispositivos de computación móviles y de trabajo remoto.
La protección necesaria debería estar acorde con los riesgos
que originan estas formas específicas de trabajo. Cuando se usa la computación
móvil, se deberían tener en cuenta los riesgos de trabajar en un entorno sin
protección y aplicar la protección adecuada. En el caso del trabajo remoto, la
organización debería aplicar protección en el sitio del trabajo remoto y garantizar
que se han establecido las disposiciones adecuadas para esta forma de trabajo.
11.7.1 Computación y
comunicaciones móviles
Control
Se debería establecer una política formal y se deberían adoptar
las medidas de seguridad apropiadas para la protección contra los riesgos
debidos al uso de dispositivos de computación y comunicaciones móviles.
Guía de
implementación
Cuando se usan servicios de computación y de comunicaciones
móviles, por ejemplo, computadores portátiles livianos (notebooks),
microcomputadores de bolsillo (palmtops), y computadores portátiles pesados (laptops),
tarjetas inteligentes y teléfonos móviles se debería tener cuidado especial
para asegurarse de que la información no se pone en peligro. En la política de
computación móvil se deberían considerar los riesgos de trabajar con equipos de
computación móvil en entornos sin protección.
En la política de computación móvil se deberían incluir los
requisitos para la protección física, los controles de acceso, las técnicas
criptográficas, las copias de respaldo y la protección contra virus. Esta
política también debería incluir reglas y asesoría sobre la conexión de los servicios
móviles a las redes y directrices sobre el uso de estos servicios en lugares
públicos.
Es conveniente tener cuidado cuando se utilizan servicios de
computación móvil en lugares públicos, salas de reuniones y otras áreas sin
protección fuera de las instalaciones de la organización. Se debería establecer
la protección para evitar el acceso o la divulgación no autorizados de la
información almacenada y procesada por estos servicios, por ejemplo, usando
técnicas criptográficas (véase el numeral 12.3).
Los usuarios de servicios de computación móviles en lugares públicos
deberían tener cuidado para evitar el riesgo de ser observados por personas no
autorizadas. Es recomendable establecer procedimientos contra software
malicioso y mantenerlos actualizados (véase el numeral 10.4).
Es conveniente hacer copias de respaldo a intervalos
regulares de la información del negocio.
Se debería disponer de equipo para permitir el respaldo
rápido y fácil de la información. Las copias de respaldo deberían tener
protección adecuada contra robo o pérdida de información.
La utilización de los servicios móviles conectados a las
redes deberían tener una protección idónea. El acceso remoto a la información
del negocio a través de redes públicas usando servicios de computación móvil
sólo debería tener lugar después de la identificación y la autenticación
exitosa y con el establecimiento de los mecanismos adecuados de control del acceso
(véase el numeral 11.4). Los servicios de computación móvil también se deben
proteger físicamente contra robo, especialmente cuando se deja, por ejemplo, en
los automóviles y otros medios de transporte, habitaciones de hoteles, centros
de conferencias y sitios de reuniones.
Es conveniente establecer un procedimiento específico en el
que se tengan presentes los requisitos legales, de seguros y otros de seguridad
de la organización para los casos de robo o pérdida de los servicios de
computación móvil. El equipo que porta información sensible y / o crítica
importante del negocio no se debería dejar desatendido y, cuando sea posible,
se debería bloquear con algún medio físico o usar cerraduras especiales para
asegurar el equipo (véase el numeral 9.2.5).
Se recomienda disponer la formación del personal que utiliza
computación móvil para concientizarlo sobre los riesgos adicionales que se
originan en este tipo de trabajo y los controles que se deberían implementar.
Información adicional
Las conexiones inalámbricas a red móvil son similares a
otros tipos de conexión de red, pero tienen diferencias importantes que se
deberían considerar al identificar los controles. Las diferencias típicas son:
a.)
algunos protocolos de seguridad inalámbrica son
inmaduros y tienen debilidades conocidas;
b). la información almacenada en los computadores móviles
puede no tener copias de respaldo debido al ancho de banda de red limitado y /
o a que el equipo móvil puede no estar conectado en las horas en las que están
programadas las copias de respaldo.
11.7.2 Trabajo remoto
Control
Se deberían desarrollar e implementar políticas, planes
operativos y procedimientos para las actividades de trabajo remoto.
Guía de
implementación
Las organizaciones sólo deberían autorizar las actividades
de trabajo remoto si están satisfechas con las disposiciones de seguridad
adecuadas y los controles establecidos, y si ellos cumplen la política de
seguridad de la organización.
Es conveniente establecer una protección apropiada del sitio
de trabajo remoto contra, por ejemplo, robo del equipo y la información,
divulgación no autorizada de información, acceso remoto no autorizado a los
sistemas internos de la organización o el uso inadecuado de sus servicios. Las
actividades de trabajo remoto deberían estar autorizadas y controladas por la dirección
y se debería garantizar la instauración de disposiciones adecuadas para esta
forma de trabajo.
Se recomienda considerar los siguientes aspectos:
a). la seguridad física existente en el sitio de trabajo
remoto, tomando en consideración la seguridad física de la edificación y del
entorno local;
b). el entorno físico de trabajo remoto propuesto;
c). los requisitos de seguridad de las comunicaciones,
pensando en la necesidad de acceso remoto a los sistemas internos de la organización,
la sensibilidad de la información a la cual se tendrá acceso y sobrepasar el
enlace de comunicación y la sensibilidad del sistema interno;
d). la amenaza del acceso no autorizado a la información o
los recursos por parte de otras personas que usan el mismo espacio, por ejemplo
familiares y amigos;
e). el uso de redes domésticas y los requisitos o restricciones
en la configuración de servicios de red inalámbrica;
f). las políticas y los procedimientos para evitar disputas
con respecto a los derechos de propiedad intelectual desarrollados o al equipo
de propiedad privada;
g). el acceso a equipo de propiedad privada (para verificar
la seguridad de la máquina o durante una investigación), el cual puede estar
prohibido por la ley;
h). los acuerdos sobre licencias de software que permitan
que la organización sea responsable de la licencia para software de clientes en
estaciones de trabajo de propiedad privada de los empleados, contratistas o
usuarios de terceras partes;
i). protección antivirus y requisitos de barreras contra
fuego (firewall).
Las directrices y disposiciones a considerar deberían
incluir las siguientes:
a)
.disposición de equipo adecuado y medios de
almacenamiento para las actividades de trabajo remoto, en las que no se permite
el uso de equipo de propiedad privada que no esté bajo el control de la
organización;
b). definición del trabajo que se permite realizar, las
horas laborables, la confidencialidad de la información que se conserva y los
sistemas y servicios internos para los cuales el trabajador tiene acceso
autorizado;
c). disposición de equipo de comunicación apropiado,
incluyendo los métodos para asegurar el acceso remoto;
d). seguridad física;}
e). reglas y directrices sobre el acceso de familiares y
visitantes al equipo y a la información;
f). disposición de soporte y mantenimiento de hardware y
software;
g). disposición de pólizas de seguros;
h). procedimientos para el respaldo y la continuidad del negocio;
i). auditoría y monitoreo de seguridad;
j). revocación de autoridad y derechos de acceso, y la
devolución del equipo al finalizar las actividades de trabajo remoto.
Información adicional
En el trabajo remoto se emplean tecnologías de
comunicaciones que le permiten al personal realizar trabajo remoto desde un
lugar fijo fuera de su organización.
No hay comentarios:
Publicar un comentario