Javier Bastarrica Lacalle Auditoria Informática.

Transcripción

1 Javier Bastarrica Lacalle Auditoria Informática.

2 Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles.

3 Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A LA RED Política de Uso de los Servicios de Red Autenticación del Usuario para las Conexiones Externas Identificación del Equipo en las Redes Protección del Puerto de Diagnóstico y Configuración Remoto Segregación en Redes Control de Conexión a la Red Control de Routing de la Red.

4 Control: Los usuarios sólo debieran tener acceso a los servicios para los cuales hayan sido específicamente autorizados. Formular un política relacionada con el uso de estos servicios que contenga: A. Redes y servicios a los que se tenga acceso. B. Procedimientos de autorización (quién y a qué). C. Controles y procedimientos gerenciales para proteger el acceso a conexiones y servicios. D. Medios utilizados para obtener el acceso a redes y servicios.

5 Control: Se debieran utilizar métodos de autenticación apropiados para controlar el acceso de usuarios remotos. A. Los usuarios remotos se pueden autenticar usando técnicas basadas en criptografía, dispositivos hardware o protocolos desafío/respuesta. Se puede usar también una VPN. B. Definir procedimientos y controles de discado para prevenir conexiones no autorizadas. C. Se puede utilizar la autenticación del nodo mediante técnicas criptográficas como el uso de certificados. D. Se debieran implementar controles para el acceso a redes inalámbricas (mayores oportunidades de intercepción del tráfico de la red). E. Tener controladas las conexiones externas que puedan tener acceso a información interna.

6 Control: La identificación automática del equipo se debiera considerar como un medio para autenticar las conexiones de ubicaciones y equipos específicos. A. Se debería identificar el equipo si es importante tener localizado el punto desde el que se hace la conexión. B. Se puede utilizar un identificador dentro o incorporado en el equipo. C. El identificador debe indicar a qué redes está autorizado a conectarse y si estas redes tienen diferentes grados de confidencialidad. D. Se debería considerar la protección física del equipo para mantener la seguridad del identificador.

7 Control: Se debiera controlar el acceso físico y lógico a los puertos de diagnóstico y configuración. A. Muchos sistemas informáticos incluyen un medio de diagnóstico y configuración destinado a labores de mantenimiento que podrían proporcionar un medio de acceso no autorizado. B. Los controles incluyen el uso de un seguro y procedimientos de soporte para controlar el acceso físico al puerto. C. Asegurar que solo sean accesibles mediante un acuerdo entre el gerente del servicio informático y el personal de soporte que requiere acceso. D. Si los puertos no son requeridos por funcionalidad comercial deberían ser desactivados.

8 Control: Los grupos de servicios de información, usuarios y sistemas de información debieran ser segregados en redes. A. Tras el pertinente estudio de riesgo y requerimientos de seguridad se debería dividir la red en dominios de red lógicos mas pequeños y manejables para establecer perímetros de seguridad. B. Se pueden usar gateways para controlar el acceso y flujo entre dos redes interconectadas de manera que se filtre el trafico y se controlen accesos no autorizados (firewall) C. Las redes pueden ser segregadas mediante el uso de IP switching y ACL. D. Tener en consideración la separación de las redes inalámbricas (perímetros mas difíciles de definir) del resto de redes internas y privadas. E. Todo lo anterior en concordancia con la política y requerimientos de control de acceso, el valor y la clasificación de la información procesada, los niveles de confianza y líneas comerciales para reducir el impacto de una interrupción del servicio.

9 Control: Para las redes compartidas, especialmente aquellas que se extienden a través de las fronteras de la organización, se debiera restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales. A. Los derechos de acceso a la red de los usuarios se deben mantener y actualizar (según la política de control de acceso) B. Se pueden restringir las conexiones mediante gateways en la red que filtren el trafico mediante reglas y tablas predefinidas. C. Aplicar restricciones a: mensajes (correo electrónico), transferencia de archivos, acceso interactivo, acceso a aplicaciones, etc. D. Considerar vincular los derechos de acceso a determinados días u horas. E. Restringir la capacidad de conexión a redes compartidas (sobre todo si se extienden más allá del perímetro corporativo).

10 Control: Se debieran implementar controles de routing en las redes para asegurar que las conexiones del computador y los flujos de información no violen la política de control de acceso de las aplicaciones comerciales. A. Si se emplean tecnologías proxy y/o de traducción de direcciones, se pueden utilizar los gateway de seguridad para validar las direcciones de origen y destino en los puntos de control de redes internas y externas. B. Los responsables de la implementación deben conocer las fuerzas y debilidades cualquier mecanismo empleado. C. Los requerimientos de control de routing se deben basar en la política de control de acceso. D. Las redes compartidas (con terceros) pueden requerir controles de routing adicionales.

11

12