No se debe confundir la actividad de control de
accesos con autenticación, esta última tiene por misión identificar que
verdaderamente “sea, quien dice ser”
.
Control De Accesos
Un sistema de control de acceso es un conjunto de dispositivos
interactuando entre sí que permite:
1.
Restringir la apertura de
puertas o accesos mediante algún medio mecánico.
2.
Identificar al usuario de
acuerdo con parámetros establecidos para determinar si el acceso es permitido o
denegado.
3.
Registrar y auditar los
eventos de acceso por usuario y por puerta.
4.
Programar la autorización o
desautorización del acceso relacionando a cada usuario.
5.
Permitir funciones adicionales
de seguridad y funcionalidad.
Para cumplir con este propósito, este apartado lo
hace a través de veinticinco controles, que los
agrupa de la siguiente forma:
Requerimientos de
negocio para el control de accesos:
La cual sugiere que debe existir una Política
de Control de accesos documentada, periódicamente revisada y
basada en los niveles de seguridad que determine el nivel de riesgo
de cada activo.
B. Administración de accesos de usuarios
Tiene como objetivo asegurar el correcto
acceso y prevenir el no autorizado y, a través de cuatro controles,
exige llevar un procedimiento de registro y revocación de usuarios,
una adecuada administración de los privilegios y delas contraseñas de cada
uno de ellos, realizando periódicas
Revisiones a intervalos regulares, empleando para
todo ello procedimientos formalizados dentro de la organización.
C. Responsabilidades
de usuarios:
Todo usuario dentro de la organización
debe tener documentadas sus obligaciones dentro de la seguridad de la
información de la empresa.
D. Control de acceso
a redes:
Todos los servicios de red deben ser susceptibles de medidas de control de acceso; para ello a
través de siete controles, en este grupo se busca prevenir
cualquier acceso no autorizado a los mismos.
Como primer medida
establece que debe existir una política de uso de los servicios de red
para que los usuarios, solo puedan acceder a los servicios específicamente
autorizados.
Se deberían utilizar las prestaciones
de seguridad del sistema operativo para permitir el acceso exclusivo a los
usuarios autorizados.
Las prestaciones deberían ser capaces
de:
1) la autenticación de los usuarios
autorizados, de acuerdo a la política de control de accesos definida;
2) registrar los intentos de
autenticación correctos y fallidos del sistema;
3) registrar el uso de privilegios
especiales del sistema;
4) emitir señales de alarma cuando se
violan las políticas de seguridad del sistema;
5) disponer los recursos adecuados para
la autenticación.
6) restringir los horarios de conexión
de los usuarios cuando sea necesario.
F. Control
de acceso a información y aplicaciones:
En este grupo, los dos
controles que posee están dirigidos a prevenir el acceso no
autorizado a la información mantenida en las aplicaciones. Propone
redactar, dentro de la política de seguridad, las definiciones adecuadas
para el control de acceso a las aplicaciones y a su vez el aislamiento de
los sistemas sensibles del resto de la infraestructura.
Adquisición De Sistemas De Información Desarrollo y Mantenimiento Este grupo
reúne dieciséis controles:
Requerimientos de seguridad
de los sistemas de información
Incluye un solo control, plantea la necesidad de realizar un análisis de
los requerimientos Que deben exigirse a los sistemas de
información, desde el punto de vista de la seguridad para cumplir con las
necesidades del negocio de cada empresa en particular, para poder garantizar
que la seguridad sea una parte integral de los sistemas.
Procesamiento
correcto en aplicaciones:
En este grupo se presentan cuatro controles, cuya misiones
el correcto tratamiento de la información en las aplicaciones de la empresa. Para
ello las medidas a adoptar son, validación en la entrada de datos, la
implementación de controles internos en el procesamiento de la
información para verificar o detectar cualquier corrupción de la
información a través de los procesos, tanto por error como intencionalmente,
la adopción de medidas para asegurar y proteger los mensajes de integridad
delas aplicaciones.
Controles
criptográficos:
Esto controles lo que buscan es proteger la integridad,
confidencialidad y autenticidad de la información. En este caso, a
través de dos controles, lo que propone es desarrollar una adecuada
política de empleo de estos controles criptográficos y administrar
las claves que se emplean de forma consciente.
Seguridad en los sistemas de archivos:
Este grupo de tres controles, en definitiva lo que
propone es el control de software operacional, test de esos datos y
controlar el acceso al código fuente.
Seguridad en el desarrollo y soporte
a procesos:
Desarrollar un procedimiento de control de cambios.
Realización de revisiones técnicas a las
aplicaciones luego de realizar cualquier cambio, teniendo especial
atención a las aplicaciones críticas.
Documentar claramente las restricciones que se
deben considerar en los cambios de paquetes de software.
Implementación de medidas tendientes a evitar
fugas de información.
Supervisión y motorización de
desarrollos de software externalizado.
Administración
técnica de vulnerabilidades:
Este grupo que solo trata un solo control, lo que propone es adoptar medidas para estaral tanto de
estos temas más “temprano” que “tarde”. Esta actividad, en la actualidad no requiere
esfuerzos económicos si se pone interés en la misma, pero sí requiere mucho tiempo
para poder consultar Webs especializadas o leer los mails que llegan si se está
subscripto a grupos de noticias de seguridad, o buscar en Internet en foros,
etc.
