GESTION DE IDENTIDAD PRESENTADO POR: SERGI ROBINNY BUENO JHON ALEXANDER BOLAÑOS DOCENTE DE PROYECTO: Doc. ALEXANDRE RA
Views 69 Downloads 2 File size 318KB
GESTION DE IDENTIDAD
PRESENTADO POR: SERGI ROBINNY BUENO JHON ALEXANDER BOLAÑOS
DOCENTE DE PROYECTO: Doc. ALEXANDRE RAMIREZ
INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRAN COLOMBIANO GESTION DE IDENTIDAD ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN 2019-20
1
2
3
Indicar los mecanismos de identificación que se encuentran en el caso estudio. Mencione cuales son los problemas que identifica frente a estos mecanismos (si los hay) y que cambios realizaría para mejorar los procesos de identificación realizados en el caso estudio.
Funcionarios
Funcionarios
Visitante
Visitantes Funcionario Recepcionista - Visitante Jefe - Administrador
Gerente Financiero
Cambios Frente a la asignacion de nombre de usuario es necesario que la organización establezca un mecanismos que le permita id mismno. También es importante que se establezacan perfiles y roles desde RRHH que permitan establecer límites de acces
Describir el(los) modelo(s) de control de acceso que identifica en el caso estudio, presentando en qué situación identifica el modelo de control de acceso (especificar la parte del caso estudio donde identifica cada modelo) y la justificación de porque lo clasifica como el modelo de control de acceso que seleccione (esto se refiere a DAC, MAC, RBAC o BR-RBAC).
Visitante
Área de Tecnología
Administrador - Área de Tecnología
Area Financiera
Area Financiera
Gerente de Riesgo
Administrador de los aplicativos
Realizar la definición de las políticas de control de acceso que considere pertinentes para responder a los requerimientos de seguridad del caso estudio. La definición de las políticas debe considerar las tres frases: política de alto nivel, planteamiento de las reglas (representación formal) y la descripción de la implementación técnica.
La División Informática [1] establece como Política de Control de Acceso el controlar el acceso a la información, a las instal y seguridad.
La política de alto nivel o política general [2], hace referencia a la necesidad de la implementación de un sistema de gestió implementación del SGSI, En este grupo se integran las politcas de Control de Acceso entendidas como aquellas directrice relacionados con los accesos a la información, sin importar si estos accesos sean electrónicos o físicos; estas deben contem
1. Control de acceso con usuario y contraseña: Se debe elaborar una política sobre control de acceso a redes, aplicacione creación, modificación, suspensión o eliminación de usuarios (ID) y contraseñas. a entidad debe establecer que por cada fu
2. Suministro del control de acceso: Esta política debe determinar los procedimientos formales y directrices que se deben deben tenerse en cuenta en esta política los casos especiales como lo son usuarios (ID) con privilegios superiores utilizado
3. Gestión de Contraseñas: Esta política debe definir los lineamientos mínimos en cuanto a calidad que deben tener las co política debe indicar a los funcionarios, contratistas y/o terceros los parámetros mínimos para que una contraseña sea considera como fuerte, gestión de cambio de contraseña, debe determinar que los accesos a autenticación y acceso a la información de forma segura
4. Perímetros de Seguridad: La política debe definir los perímetros físicos de seguridad donde se encuentra información cr cuales no, la política debe definir los responsables de autorizar o no ingresos a las áreas delimitadas como de acceso restri
5. Áreas de Carga: La política debe definir las condiciones e instalaciones físicas en las cuales se va a realizar despacho y ca política debe determinar el seguimiento que se debe realizar para garantizar el cumplimiento de dicha política y sus corres
Mecanismo de Identificación Biométrico con RFID
Autenticación contra el Directorio Activo
Registro software de recepción Logs o históricos de acceso (Software recepción) Torniquete Mesa de Ayuda (SolucionesTI)
Token Firma Digital
nismos que le permita identificar un usuario sin importar la plataforma, y un manejo de contraseña que le permita al usuario en alguno tablecer límites de acceso, asi mismo es importante que la empresa implemente la solicitud de "autorización de manejo de datos".
Modelos de
Presentación
El visitante es dirigido a una segunda recepción (en el piso base) donde es anunciado con el funcionario a quien visita el cual debe ir hasta la recepción y recoger al visitante. El visitante deja un documento de identificación y le es entregado una tarjeta de visitante, en el momento de retirarse de la compañía, en la segunda recepción debe devolver la Tarjeta de visitante
El área de tecnología tiene implementado una serie de controles y mecanismo para la administración de las cuentas y claves de usuario y los accesos que requieren los funcionarios a los diferentes recursos informáticos de la organización.
Para el caso de las aplicaciones, se manejan dos mecanismos de acceso, un esquema centralizado para las aplicaciones que están integradas al directorio, y un esquema local que se maneja de manera independiente en las aplicaciones que utilizan usuarios locales para su acceso.
Para el caso de los funcionarios del área financiera se cuenta con la asignación de tokens y firmas digitales para la realización de las operaciones financieras.
La asignación de los tokens a los funcionarios las realiza el Gerente financiero de acuerdo con quien considera que en un determinado momento puede realizar la operación financiera requerida.
Se puede acceder a redes corporativas desde la red cableada en una sala para proveedores (No se hace uso exclusivo de la red inalámbrica para los visitantes y proveedores)
Los Administradores locales guardan en Excel el registro de los usuarios para el control, y es almacenado en una carpeta compartida, donde tienen acceso los demás funcionarios dependiendo el aplicativo.
POLITICAS DE CONTROL DE ACCESO
información, a las instalaciones de procesamiento de la información (Datacenter) y a los procesos de provisión, los cuales deberán ser
n de un sistema de gestión de seguridad de la información (SGSI) planteado desde la descripción del quién, qué, por qué, cuándo y cóm como aquellas directrices mediante las cuales la organizacion determina los mecanismos de protección, los límites y procedimientos fr cos; estas deben contemplar las siguientes caracterisiticas
ceso a redes, aplicaciones, y/o sistemas de información de la entidad, mediante la cual se determinen los responsables y los procedimi stablecer que por cada funcionario, contratista o tercero debe tenerse un usuario y una contraseña para el acceso.
directrices que se deben construir para la gestión de asignación, modificación, revisión o revocación de derechos y/o privilegios a cada gios superiores utilizados para la administración de infraestructura, aplicaciones y sistemas de información de la entidad.
d que deben tener las contraseñas para ser utilizadas como mecanismo de autenticación en los accesos a la red, aplicaciones y/o sistem
rminar que los accesos a la red, las aplicaciones y sistemas de información deben requerir un usuario (ID) y una contraseña fuerte para
encuentra información crítica, sensible o se realice almacenamiento y/o procesamiento de información a los cuales los funcionarios, co as como de acceso restringido.
a realizar despacho y carga de paquetes físicos para bodegas o espacios definidos de carga, esto con el fin de evitar el acceso no auto icha política y sus correspondientes responsables.
REFERENCIAS
[1] politica y procedimiento preliminar de control de acceso - http://www.intendenciaatacama.gov.cl/filesapp/Control%20 [2] Elaboración de la política general de seguridad y privacidad de la información.- https://www.mintic.gov.co/gestionti/61
Técnicas Huella Dactilar Tarjeta de Proximidad
Cuenta: Nombre Usuario Clave: Password
Tarjeta de Identidad Cedula de Ciudadanía Cedula de Extranjería (Documento con foto) Tarjeta de Identidad Cedula de Ciudadanía Cedula de Extranjería (Documento con foto) Restricción de base basado en cronogramas Creación de usuarios basado en roles
Autenticación basada en llaves digitales
importar la plataforma, y un manejo de contraseña que le permita al usuario en algunos casos la recuperación de esta por si ante que la empresa implemente la solicitud de "autorización de manejo de datos".
Modelos de Control de Acceso
Control de acceso discrecional (Discretionary Access Control DAC)
Justificación: Se crean Políticas Administrativas de acceso físico a las Instalaciones (Proveedores y Visitantes) Ventajas: Hay control físico de acceso para los Proveedores y Visitantes. Desventajas: No se tienen logs de sitios accedidos Mejoras: Para Agilizar el tiempo de ingreso a los proveedores y visitantes; Contener una aplicación de base de datos, bajo la solicitud de autorización de manejo de dato para conoce
Justificación: son asignados tokens y firmas digitales para los procesos financieros. Ventajas: Control electronico de acceso. Mejoras: Generar logs y registros de control a los procesos que se hallan autorizado por tokens y firmas digitales.
Justificación: Solo el gerente tiene el control del Token. Ventajas: Tiene el control de las operacciones financieras. Mejoras:
Justificación: Los administradores Registran y Configuran los privilegios dentro la Red de compartida. Desventajas: Todos los administradores y funcionarios tienen acceso al Archivo Excel de Control de Usuario. Mejoras: Deberia el Area de Sistemas con el Area de Riesgo, Controlar este sistema.
nto de la información (Datacenter) y a los procesos de provisión, los cuales deberán ser controlados sobre la base de los requisitos
ormación (SGSI) planteado desde la descripción del quién, qué, por qué, cuándo y cómo, en torno al desarrollo de la organizacion determina los mecanismos de protección, los límites y procedimientos frente a la administración y responsabilidad, cterisiticas
mación de la entidad, mediante la cual se determinen los responsables y los procedimientos formales de autorización de o tercero debe tenerse un usuario y una contraseña para el acceso.
n de asignación, modificación, revisión o revocación de derechos y/o privilegios a cada uno de los usuarios (ID) creados, también de infraestructura, aplicaciones y sistemas de información de la entidad.
zadas como mecanismo de autenticación en los accesos a la red, aplicaciones y/o sistemas de información de la entidad. Esta
y sistemas de información deben requerir un usuario (ID) y una contraseña fuerte para que realice la correspondiente
ce almacenamiento y/o procesamiento de información a los cuales los funcionarios, contratistas o terceros, tienen acceso y a
para bodegas o espacios definidos de carga, esto con el fin de evitar el acceso no autorizado a otras áreas de la entidad. Esta es.
nar de control de acceso - http://www.intendenciaatacama.gov.cl/filesapp/Control%20de%20Acceso%20Preliminar.pdf - Pag 3 l de seguridad y privacidad de la información.- https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf - Pag 6
Problemas Identificados
Según se describe, está permitido la asignación de diferentes usuarios y contraseñas para cada funcionario en el ingreso de cada aplicativo, lo cual genera que los funcionarios realicen solicitudes constantes para recordar y desbloquear credenciales así como cambio de contraseñas
No se conservan los logs de acceso, se sobrescriben cada semana La empresa no tiene implementado solicitud de autorización de manejo de datos
No se tienen perfiles de cargo que permitan la asignación de roles y permisos, estos dependen del feje quien solicita las credenciales No se asignan basados en roles o perfiles, sino en la apreciación de un directivo (es subjetivo)
al usuario en algunos casos la recuperación de esta por si anejo de datos".
Modelos de Control de Acceso
Control de acceso mandatorio (Mandatory Access Control - MAC)
Justificación: El administrador crea la cuenta del nuevo funcionario a su cargo, generando los privilegios de la aplicación asignada. Ventajas: Acceso a la informacion y recursos. Desventajas: El funcionario debe memorizar los diferentes usuarios y Password creado por cada aplicacion, dependiendo de cuantas aplicaciones se le asignen a su cargo. Mejoras: Unifiación de criterios para la creación de credenciales (no debe se la misma contraseña)
cuales deberán ser controlados sobre la base de los requisitos
qué, cuándo y cómo, en torno al desarrollo de la y procedimientos frente a la administración y responsabilidad,
bles y los procedimientos formales de autorización de
o privilegios a cada uno de los usuarios (ID) creados, también tidad.
icaciones y/o sistemas de información de la entidad. Esta
traseña fuerte para que realice la correspondiente
los funcionarios, contratistas o terceros, tienen acceso y a
r el acceso no autorizado a otras áreas de la entidad. Esta
filesapp/Control%20de%20Acceso%20Preliminar.pdf - Pag 3 gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf - Pag 6, Pag 19
Control de acceso basado en roles (Role Based Access Control - RBAC)
Rule Based – Role Based Access Control (RBRBAC)
Justificación: El personal de la Area de Tecnologia administra y genera control de acceso del sujeto al objeto. Ventajas: Administra acceso a los usuarios y recursos. Desventajas: No hay sistema definido para las politicas de Control de acceso y privilegios. Mejoras: Aplicar de manera rigurosa las políticas asociadas a seguridad de la información, control de acceso, protección de datos personales, uso apropiado de software, uso de medios removibles y comunicaciones.
Justificación: Todas las Vlans no se pueden ver entre sí, pues el control de acceso se pierde Ventajas: Desventajas: Permite hacer ataques internos que pueden afectar la operatividad de la companía Mejoras: Se deben implementaras reglas de firewall y controles de acceso en los switches (layer3)
- Pag 3 eral.pdf - Pag 6, Pag 19
1. Proponer un modelo RBAC basado en la información entregada a continuación: Haga uso del lis que desarrollan. Si para el desarrollo requiere definir nuevos empleados puede hacerlo. Haga uso de los roles definidos y cree otros que considere necesarios para el desarrollo del punto realizarlo indicando las modificaciones que realice.
A continuación, en la siguiente Tabla 1 - Listado de Empleados; ubicación B16 – E39, se describe la agregado nuevos perfiles al anterior listado ubicados B40 – E43, completando el organigrama para donde se evidencia en la Imagen 1 – Organigrama Segurito S.A.
Imagen 1 - Organigrama Segurito S
La empresa Segurito S.A. de acuerdo a los cargos se ha establecido un solo rol de acuerdo al reque Tabla 2 –Roles, gracias al (Cod) – código, es posible asignar roles a nuevos perfiles o cargos que re empresa.
ID Empleado Nombre 521531 Marta Bedoya 521532 Juan Carlos Peña 521533 Amador Fernández 521534 Tatiana Redondo 521536 Marco Ventura 521537 Ignacio Casas
Tabla 1 - LISTADO DE EMPLEADOS Área Gerencia Gerencia Gerencia Gerencia Operaciones Operaciones
521538 Lida Buitrago 521539 Alberto Ocaso 521540 Mabel Tirado 521541 María Tirado 521542 Marco Ventura 521543 Ana María Peña 521544 Stive Castro 521545 Sandra Vega 521546 Pepe Grisales 521547 Leonardo Sierra 521548 Ana Roldan 521549 Daniel Romero 521550 Sergi Bueno 521551 Martha Peña 521552 Viviana Estuardo 521553 David F. Londoño 521554 John Cardenas 521555 Gibran Guerra 521556 Nicolas Calderon 521557 Oswaldo Carvajal
Operaciones Operaciones Financiera y administrativa Financiera y administrativa Financiera y administrativa Financiera y administrativa Financiera y administrativa Financiera y administrativa Tecnología Tecnología Tecnología Tecnología Tecnología Financiera y administrativa Financiera y administrativa Financiera y administrativa Financiera y administrativa Comercial Comercial Comercial
Utilice la referencia de los módulos y operaciones definidas para el aplicativo “MoviRed”. Tenga e análisis requerido de segregación de funciones de acuerdo con las operaciones existentes y la asig
SSD DSD
Segregación estática de funciones Segregación dinámica de funciones MOVIRED
MODULOS
SEGREGACION
SSD Facturación y ventas
DSD
Seguimiento de transporte
SSD
Consultas para cliente
DSD
SSD
Gestión de usuarios
SSD
SSD Generador de ruta SSD
2. Proponer una matriz de accesos que presente el esquema de roles, recursos (objetos) y permisos definidos en el modelo RBAC del punto anterior. Puede presentar el punto como una matriz de accesos, una tabla de autorizaciones, una lista de control de acceso o una lista de capacidades (el estudiante puede escoger cualquiera de las representaciones anterior SUJETO usuarios, aplicaciones, procesos del sistema OBJETO ACCIONES lectura (R), escritura (W), ejecucion (E)
3. Identificar los mecanismos y técnicas de autenticación y autorización utilizados en el caso estudio. Especifique la parte del caso estudio donde identifica el uso de estos mecanismos y técnicas. Mencione cuales son los problemas que identifica frente a estos mecanismos y técnicas (si los hay) y que cambios realizaría para mejorar los procesos de autenticación y autorización realizados en el caso estudio
mecanismos de autenticación y autori
Contraseñas y Passphrase Certificados electrónicos o digital Dispositivos autenticación chip yhuella las tarjetas conelfuncionalidad Biométricos para ( rasgos de la mano(tokens, (manos tarjetas y dedos,bancarias huella de con la mano dactilar), iris, la retina nivel de comportamiento el habla, el escribir, la firma y la forma de teclear y el ADN) Single Sign-On (kerberos, dominios de seguridad, servicios de directorios y clientes livianos)
Especificacion Los funcionarios pueden ingresar desde las 7:15 a.m. ingresando a través de torniquete con huella dactilar o tarjeta de proximidad.
MECANISMOS Biometrico (Huella Dactilar) y Dispositivos para autenticacion (Tarjeta de proximidad)
La sede cuenta con 5 pisos cada piso cuenta con un sistema de puertas activadas a partir de biométrico dactilar , por lo cual la salida de los visitantes está sujeta al acompañamiento del funcionario
Biometrico (Huella Dactilar)
El acceso a los aplicativos de la Contraseñas y Passphrase organización se da a través de uso de un usuario y Password por cada uno de los aplicativos
El área de tecnología tiene Contraseñas y Passphrase implementado una serie de controles y mecanismo para la administración de las cuentas y claves de usuario y los accesos que requieren los funcionarios a los diferentes recursos informáticos de la organización.
Para el caso de los funcionarios del Dispositivos para autenticacion área financiera se cuenta con la (tokens) y Certificados electrónicos asignación de tokens y firmas digitales o digital para la realización de las operaciones financieras.
El jefe Inmediato tienen conocimiento Contraseñas y Passphrase que En Vacaciones los Usuarios dejan sus cuentas y contraseñas a los compañeros para seguir trabajando.
da a continuación: Haga uso del listado de empleados entregado teniendo en cuenta la actividad pleados puede hacerlo. arios para el desarrollo del punto. Si es necesario modificar alguno de los roles definidos puede
ubicación B16 – E39, se describe la ID, Nombres, Área y Cargo de la empresa Segurito S.A. se ha completando el organigrama para el éxito del orden en los procesos y necesidades de la entidad,
magen 1 - Organigrama Segurito S.A.
do un solo rol de acuerdo al requerimiento de la actividad, haciendo una descripción detalla en la a nuevos perfiles o cargos que requiera la empresa. Ej: los nuevos cargos propuestos para la
ADO DE EMPLEADOS Cargo Gerente general Asistente de gerencia Coordinador administrativo Secretaria Director de logística Coordinador de logística
Rol RS01 RS06 RS02 RS06 RS03 RS04
Asistente de bodega Director de operaciones Director administrativo Gerente financiero Auxiliar de contabilidad Analista contable Coordinador contable Gerente de contabilidad Gerente de tecnología Administrador de infraestructura Analista de TI Analista de TI Gestion de Riego Director de recursos humanos Asistente de recursos humanos Jefe de contratación Director EH&S Director Comercial Gerente Marketing Atencion al Cliente
RS05 RS07 RS02 RS08 RS09 RS09 RS10 RS11 RS12 RS12 RS13 RS13 RS12 RS15 RS16 RS17 RS15 RS03 RS02 RS06
el aplicativo “MoviRed”. Tenga en cuenta en el momento de plantear el modelo RBAC aplicar el as operaciones existentes y la asignación de estas a los roles que utilice.
funciones e funciones MOVIRED DESCRIPCION
RBAC
"Factura": El analista contable consulta, para crear, modificar y eliminar una factura debe tener aprobación del coordinador contable, este debe proceder a modificar y eliminar con autorización del gerente de contabilidad.
El gerente de contabilidad tiene acceso total a todos los objetos (Facturas, clientes, contabilidad) y sujetos; su facultad le permite generar privilegios de acceso a otros Usuarios. El coordinador contable permite administrar el acceso de los usuarios a los recursos, agregar y consultar. El analista contable puede crear y modificar todos los tipos de recursos, pero no puede conceder acceso a otros. Auxiliar de contabilidad puede ver los recursos existentes.
"Clientes": El analista contable añade y modifica clientes, para eliminar un cliente debe tener autorización de coordinador contable y el gerente de contabilidad.
El Auxiliar de Contabilidad, Registra factura cobradas. Coordinador de logística tiene acceso al maestro de ventas y entregas. Tracking de pedidos
El coordinador autorizado puede agregar, modificar y eliminar, un conductor o vehículo al ser aprobado por el director de logística y el director de operaciones. El director de operaciones asigna ruta de transporte, debe disponer de un conductor y vehículo, aprobado para su salida. El cliente solo puede consultar despacho en la pagina web.
El gerente concede permisos en la Gestion de usuarios a los coordinadores para la gestion de roles a los nuevos funcionarios.
Jefe de contratación, para agregar, modificar y eliminar un usuario, debe ser aprobada a través de un documento o autorización sistematizado del director de recursos humanos. Al agregar al nuevo usuario el gerente del área debe asignar operaciones y roles al usuario. El asistente de recursos humanos hace consultas a usuarios. El director de recursos humanos aprueba el registro de un nuevo usuario; el Jefe de contratación hace la respectiva legalizacion. El numero de ruta es asignada por el seguimiento de transporte al conductor. Con el numero, Consulta ruta.
El director de operaciones tiene acceso total a todos los recursos, Conductores y Vehiculos; no puede delegar este acceso a otros.
El conductor envía mensaje a central de ruta.
roles, recursos (objetos) de presentar el punto sta de control de acceso o a de las representaciones anteriores)
MODULOS
Facturación y ventas
OPERACIONES Realizar presupuestos Realizacion de Facturas Crear factura Modificar factura Eliminar factura Consultar facturas Registrar factura cobrada Añadir cliente
Facturación y ventas
Modificar cliente
Eliminar clientes Agregar vehículo Modificar datos de vehículo Seguimiento de transporte
Eliminar vehículo Agregar conductor Modificar datos de conductor Eliminar conductor Asignar ruta de transporte
Consultas para cliente
Consultar despacho Agregar usuario Consultar usuario
Gestión de usuarios
Generador de ruta
rización utilizados en el fica el uso de estos identifica frente a estos mejorar los procesos de
Modificar datos de usuario Eliminar usuario Asignar operaciones a usuario Asignar rol a usuario Consulta de ruta Envió de mensaje a central
nismos de autenticación y autorización
hip yhuella las tarjetas conelfuncionalidad ano dactilar), iris, la retina ydelasRFID.) facciones del rostro (reconocimiento facial), la oreja y a de teclear y el ADN) rectorios y clientes livianos)
TÉCNICAS Tarjeta de proximidad RDIF + biométrica (elemento que se posee Y que es) El RDIF lleva un número de identificación; Este número se asocia a continuación a un usuario en un sistema informático. Y el Biometrico transforma la Huella dactilar en lenguaje matematico y al validar la autenticacion compara el Numero con los registrados en el repositorio (Sistema Control de Identidad)
PROBLEMAS
biométrica (elemento que es). transforma la Huella dactilar en lenguaje matematico y al validar la autenticacion compara el Numero con los registrados en el repositorio (Sistema Control de Identidad), en este caso valida al funcionario, para la autorizacion al acceso por las puertas biometricas.
El sistema biometrico de las puertas valida a todos los funcionarios el acceso a los pisos superiores, generando riesgos de seguridad por presencia a areas sensibles de informacion.
la contraseña (elementos que se sabe Y que es); los datos ingresados coinciden con datos del repositorio permite el acceso al aplicativo.
cada funcionario debe utilizar un usuario y contraseña diferente a las aplicaciones. Puede ser muy dispendioso para el funcionario que deba manejar muchas aplicaciones y deba siempre autenticar y generar autorizacion para el acceso al aplicativo.
la contraseña (elementos que se sabe Y que es); los datos ingresados coinciden con datos del repositorio permite el acceso al aplicativo.
el tokens genera un codigo numerico validando la autenticacion e ingreso al sistema y los certificados digitales a traves del sistema criptografico de clave pública o criptografía asimétrica. Valida la autenticacion y autorizacion.
la contraseña (elementos que se sabe Y que es); los datos ingresados coinciden con datos del repositorio permite el acceso al aplicativo de lo contrario lo restringe.
el funcionario al estar ausente de la empresa, sus credenciales son habilitadas para el acceso fuera de las instalaciones, aun en tiempos de vacaciones o licencias.
Cod RS01 RS02 RS03 RS04 RS05 RS06
TABLA 2 - ROL DESCRIPC
Aprobar presupuestos de inversion. Acceso a todas las áreas. Aprobar tickets crear clientes y modificar datos. Aprobación de compras. Acce Aprobar ordenes de ventas. Aprobar servicios logísticos (transporte). Aprobar Aprobar ordenes de ventas. Aprobar servicios logísticos (transporte) inferioes Cargue de ordened de venta. Cargue de ordenes de despecho. Permisos de lectura sistema de reportes de ventas.
RS07 RS08 RS09 RS10 RS11 RS12 RS12 RS13 RS15 RS16 RS17
Aprobar ordenes de producción. Aprobar ajustes de producción. Aprobar tickets accesos. Aprobar presupuestos de inversion. Acceso a todas la Cargue de facturas. Conciliación de documentos. Cargue de facturas. Conciliación de documentos. Pago a proveedores. Cargue de facturas. Conciliación de documentos. Aprobación pago a proveedo
Control de perfiles de acceso. Creación de credenciales. Acceso centro de cóm Acesso centro de cómputo. Acceso como administrador a los servidores. Acceso como administrador a los computadores.
Acceso sistema de RH. Acceso sistema de nómina. Aprobación nómina. Creaci Acceso sistema de RH. Acceso sistema de nómina. Cargue nómina. Acceso sistema de RH. Creación tickets alta de empleados.
Sujeto ACCIONES Task1 Task2 Task3 Task4 Task5 Task6
Gerente general Asistente de gerencia Coordinador administrativo Secretaria Director de logística Coordinador de logística Asistente de bodega
Task7
Director de operaciones
Task8
Director administrativo
Facturación y venta Task1
rwe
Task2
Task3
Task4
rwe
rwe
Task9
Gerente financiero
rwe
rwe
rwe
Task10
Auxiliar de contabilidad
re
r
Task11
Analista contable
re
re
re
re
Task12
Coordinador contable
rwe
rwe
rwe
re
Task13
Gerente de contabilidad
rwe
rwe
rwe
Task14 Task15 Task16 Task17
Gerente de tecnología Administrador de infraestructura Analista de TI Analista de TI
Task18
Gestion de Riego
Task19
Director de recursos humanos
Task20
Asistente de recursos humanos
Task21 Task22 Task23 Task24 Task25 Task26
Jefe de contratación Director EH&S Director Comercial Marketing Atencion al Cliente
SOLUCION
El sistema biometrico de las puertas debe validar y restringir el acceso a los demas pisos superiores a los funcionarios no autorizado.
generar un unico usuario o ID como cuenta en todas las aplicaciones y diferentes contraseñas que cumplan con unas especificaciones (longitud mínima, combinación de caracteres letras mayúsculas, minúsculas, números y caracteres especiales).
el sistema debe restringir el acceso a los funcionarios fuera de las horas laborales y suspensión de las cuentas a los aplicativos, en tiempos de vacaciones o licencias, con fines de mitigar riesgos de informacion y suplantacion de identidad.
TABLA 2 - ROLES DESCRIPCION
as áreas. bación de compras. Acceso a todas las áreas. os (transporte). Aprobar ajustes de invenarios. os (transporte) inferioes al 5% del valor del producto. despecho.
producción. version. Acceso a todas las áreas.
o a proveedores. obación pago a proveedores.
es. Acceso centro de cómputo. Acceso como administrador a los servidores. or a los servidores.
probación nómina. Creación tickets alta de empleados. argue nómina. eados.
Matriz de Acceso Facturación y ventas Task5
Task6
rwe
rwe re
Task7
Seguimiento de transporte Task8
Task9
Task10
Task11
Task12
Task13
Task14
Task15
Task16
Task17
rwe re
rwe re
rwe re
rwe re
rwe re
rwe re
rwe re
rwe
w
w
rwe
w
w
rwe
Task18
rwe re re
rwe
rwe
re
rw
re
re
rw
re
re
re
re
re
rw
we
re
re
rwe
rwe
re
Gestión de usuarios Task19
Task20
Task21
Task22
Task23
Task24
Task25
Task26
rwe
re
w
rwe
w
rwe
re rwe
re
re
rwe
rwe
TABLA DE AUTORIZACIONES
Sujeto Gerente general Asistente de gerencia Coordinador administrativo Secretaria Director de logística Coordinador de logística Asistente de bodega Director de operaciones Director administrativo
Accion rwe
rwe re re w rwe
Gerente financiero
w re rwe
Auxiliar de contabilidad
r rw re
Analista contable
rw re
Coordinador contable
we re rwe
Gerente de contabilidad
w re rwe
Gerente de tecnología Administrador de infraestructura Analista de TI Analista de TI Gestion de Riego Director de recursos humanos Asistente de recursos humanos Jefe de contratación Tecnico en Sistemas Director Comercial Marketing Atencion al Cliente
w re rwe re w re rwe
re
TABLA DE AUTORIZACIONES
Objeto Task1 Task3 Task4 Task5 Task6
Task11 Task12 Task13 Task14 Task15 Task16 Task17 Task18 Task11 Task12 Task13 Task14 Task15 Task16 Task17 Task19 Task18 Task12 Task13 Task15 Task16 Task11 Task14 Task17
Task21 Task20 Task1 Task3 Task4 Task5 Task6 Task2 Task7 Task1 Task5 Task7 Task1 Task2 Task3 Task4 Task5 Task6 Task8 Task9 Task10 Task8 Task4 Task5 Task9 Task10 Task1 Task2 Task3 Task6 Task7 Task21 Task20 Task1 Task3 Task4 Task5 Task6
Task21 Task20 Task19 Task22 Task23 Task24 Task20 Task21 Task20 Task19 Task22
Task18 Task20
1. Proponer los procesos/procedimientos que pueden ser implementado para llevar a cabo trazabilidad en el caso estudio de acuerdo con situaciones de monitoreo y riesgo que pueda identifcar. Considere la defnición metodológica: los recursos requeridos (herramientas que puedan apoyar el monitoreo, personal para realizar las actividades, tecnología e infraestructura requerida, entre otros).
Tipo
Descripción Proceso
Para el ingreso a las oficinas se debe enviar un correo previo con los documentos de seguridad social, y se recibirá correo de aprobación para el ingreso.
Servicio
Almacenamiento de los backups en Avamar BMR. Se toma como servicio y de esa manera se puede incrementar la capacidad sin invertir en hardware propio, y el costo se puede llevar al gasto.
Procedimiento
Incluir en los protocolos de ingreso una charla a los vivitantes sobre el comportamiento en la oficinas, haciendo énfasis en que no se pueden desplazar entre las oficinas sin un acompañante o serán retirados de la empresa.
Proceso Procedimiento
Capacitaciones en sensibilización de los empleados en el cumplimiento de las normas de seguridad. Estandarizar el uso de perfiles y roles para la asignación de permisos, así mismo como la asignación de tokens.
Herramienta
Implementar Kactus. Esta herramienta permitirá que los empleados soliciten sus vacaciones, sean aprobadas por el jefe y mediante ETL se desacativará en el Directorio Activo así como en las plataformas de acceso el usuario.
Herramienta
Implementación de 4 firewall Palo Alto que permitan segmentar las redes en Vlans, así como autenticar el puerto ethernet contra el DA de manera que, no cualquier persona se pueda conectar a redes con acceso a servidores.
2. Realizar el planteamiento de al menos 3 riesgos de seguridad de la información que identifque en el caso estudio frente a gestión de identidad y control de acceso y para cada riesgo indique: a. Descripción de la situación del caso estudio donde se evidencia el riesgo b. Las vulnerabilidades y amenazas o causas asociadas que dan origen al riesgo c. Las posibles consecuencias del riesgo identifcado d. Dueño del riesgo que propone explicando porque su propuesta (puede considerar funcionarios que no estén mencionados en el caso estudio si así lo requiere). e. Descripción del plan de tratamiento que propone para tratar el riesgo indicando de que tipo es (Recuerde que el tratamiento puede considerarse como aceptar, eliminar, mitigar o transferir). Para cada plan considere:
f. Responsable de implementar el plan de tratamiento que propone explicando porque su propuesta
Riesgo
Descripción El acceso a las oficinas administrativas se dá a través de la bodega de almacenamiento de gestión documental de clientes
Acceso a información clacificada
Se evidencian registros de ajustes contables sin aprobación del Gerente Financiero. Los token son otorgado por el gerente financiero a quien considera. Los accesos a las apliaciones son basados en las solicitudes de los jefes Falta de control de permisos de acceso
Los logs se reescriben cada 2 días, por lo cual frente a un problema (demanda de un cliente, auditoria interna/externa, proyectos de mejora continua, toma de decisiones) no existe trazabilidad ni logs que permitan hacer seguimiento o determinar el origen de un problema Sin logs de trazabilidad
3. Considerar que usted es el encargado de realizar una auditoría interna a la empresa del caso estudio, referente a gestión de identidad y control de acceso. Para ello su criterio de auditoria (o punto de referencia para realizar la auditoría) es el estándar ISO 27002 considerando los objetivos de control que pueden tener alguna relación con control de acceso y gestión de identidad. A partir del análisis del caso estudio identifque al menos 3 hallazgos u observaciones de no conformidad con la defnición de los controles de ISO 27002 y preséntelos como puntos de auditoría. Para cada hallazgo u observación indique: A. Nombre del hallazgo: a que hace referencia el hallazgo (Ej. Segregación de funciones). B. Descripción del hallazgo: Descripción de lo que se evidencio como falencia (Ej. La organización no cuenta con una política defnida para la segregación de funciones que rija como deben ser concedidos los accesos en función de evitar conflictos de interés).
C. Numeral de ISO 27002 referente: Código del control que se asocia con el hallazgo (Ej. A.6.1.2 Separación de deberes)
TABL Descripcion Los visitantes ingresan a las instalaciones con documento de identificacion (Fotografia), pero no se encontro evidencia fisica de autorización de manejo y proteccion de datos personales, por parte del visitante.
En el área contable, se cuenta con dos Analistas contables, un Coordinador Contable y el cargo de Gerente de contabilidad. Las operaciones realizadas frente a registro de ajustes contables son realizadas por los analistas o el coordinador sin embargo no se cuenta con límites de atribuciones establecidos para la realización de estas operaciones, así como no se recibe autorización final del Gerente para la realización de los ajustes, sino que este es dado por el Coordinador.
No se realiza seguimiento, medición y evaluación de contraseñas.
El control de acceso a las cuentas de los funcionarios que se encuentran en vacaciones o licencias; se encuentran activas, poniendo en riesgo la seguridad de la informacion.
Responsable
Apoyo
Seguridad
EH&S
Tecnología
Financiero
Seguridad
EH&S
RH
Tecnología
RH
Seguridad / Gerencias
Tecnología
Seguridad / Financiero
Tecnología
Seguridad / Financiero
Vulnerabilidades/Amenazas
Dueño del riesgo
. Perdida de información . Acceso de personal no autorizado . Mover la información del lugar correcto
Seguridad
. Acceso de personal sin suficientes privilegios a información clacificada . Pueden exisitir usuarios que son juez y parte . Perdidas económicas que no se evidencian
Financiero
. No existe trazabilidad . No se puede determinar el origen de un problema de acceso . No existe evidencia que soporte una investigación
Tecnología
TABLA DE AUDITORIA Nombre
C
Proteccion de Datos
10.7.3 Procesamiento para el manejo de Informacion
Privilegios
11.2.2 Gestion de Privilegios
Gestion de Contraseñas
11.2.3 Gestion de Contraseñas para usuarios
Gestion de Control de Acceso
11.1.1 Politicas de Control de Acceso
Costo
$
Aprox. 3´5 millones mensuales
Capex SI/NO
- NO
NO
$
- NO
$
- NO
$
- NO
89 millones
SI
USD $17,974 (cado FW cuesta $4,493.5)
SI
Descripción del plan de tratamiento
Eliminar. Se debe contratar un empresa de arquitectos para evaluar las áreas y determinar qué cambios físicos se deben realizar y de la mano con seguridad establecer los accesos de control necesarios
Mitigar. Desarrolar perfiles de cargo que permitan la asignación de permisos. Como no existe la cultura, este plan debe ir acompañado de un programa de auditorias externas para que evaluén el cumplimiento de las políticas de la compañía. Una auditoría con Deloitte también puede llevar la revisión de cargos, perfiles, roles y alcances de cada usuario en el sistema para tener los aprobadores correctos y límites (para que no existan roles que sean juez y parte).
Aceptar. Inversión en una NAS (Network-attached storage) que permita mejorar la capacidad de almacenamiento de logs. Teniendo en cuenta que en ningún caso se puede almacenar de manera vitalicia la información, la expectativa es tener los últimos seis meses disponibles y mover los anteriores 6 meses a backup, permitiendo así tener históricos del último año.
Responsable de implementar el plan de tratamiento
Gerencia Administrativa / Seguridad
Recursos Humanos / Financiero / Tecnología
Tecnología
D Brindar información a los visitantes, orientación acerca de las directrices en seguridad en las instalaciones, las zonas en donde los visitantes tienen libre acceso y las restricciones en cuanto al uso de los servicios de la organización, con el fin de evitar accidentes y/o el acceso no autorizada.
Mejorar la asignación de privilegios de acceso autorizados únicamente por el personal definido en un nivel de jerarquia mayor en los procedimientos, para evitar riesgos en cuanto a fraudes y manipulacion de valores que afecten los activos de la empresa.
Utilizar un sistema que le permita hacer las siguientes funciones; de los contrario hacerlo sistematicamente por formatos; Entregar las cuentas y contraseñas de forma mas segura, en correo encriptados, Forzar el cambio de contraseña asignado de forma inicial, que debería ser único para cada identidad. Establecer fortaleza y complejidad de la contraseña (debe considerar longitud mínima, combinación de caracteres - letras mayúsculas, minúsculas, números y caracteres especiales). Forzar el cambio de contraseña periódicamente asociado a una edad mínima del mismo. Manejar un histórico de contraseñas que no permita usar los ya digitados anteriormente.
Lograr ser más rigurosos y exigentes en la implementación de políticas de acceso de los usuarios, de manera que les permita mantener la seguridad de los sistemas y aplicaciones evitando manipulación y fuga de información. Ampliar las políticas de restricción de acceso a los funcionarios que estén en ausencia, en condiciones; vacacionales, licencias, remisiones, etc.
Tiempo
2 semanas
2 meses
1 mes Cada 3 meses
6 meses
5 meses
3 meses
Categoría del control
Administrativo
Funcionalidad del control
Correctivo
Responsable de ejecución
Recursos Humanos
Responsable de revisión
Gerencia Administrativa y Financiera
Frecuencia de ejecución
Continua
Frecuencia de revisión
Trimestral
1. Proponer los procesos/procedimientos que pueden ser implementado para llevar a cabo trazabilidad en el caso estudio de acuerdo con situaciones de monitoreo y riesgo que pueda identifcar. Considere la defnición metodológica: los recursos requeridos (herramientas que puedan apoyar el monitoreo, personal para realizar las actividades, tecnología e infraestructura requerida, entre otros).
Auditoria
Controles administrativos / de gestión / suaves
Politicas y lineamientos
Capacitacion en Seguridad
Puertas dactilar, torniquetes
Hardware para manejo logístico Controles físicos - Recursos Tecnologicos
Hardware Servidor de Almacenamiento (Backups - Sistema Operativo -Aplicaciones)
Hardware Servidor de Almacenamiento ( LOGS =Ingreso a las Instalaciones, Bitacoras de SO, aplicaciones o Software, redconexion )
Seguridad (Personal) reporte - evidencia (incidente= fraude)
Logs = auditoria (Personal) validar los controles, las acciones son quienes dicen ser y bajo los controles definidos.
Correo electronicos Encriptacion Controles técnicos o lógicos Software y Aplicaciones
Control en la creación de credenciales
Control de autenticación
Control de Acceso, Perfiles, roles
identifque en el caso estudio frente a gestión de identidad y control de acceso y para cada riesgo indique: a. Descripción de la situación del caso estudio donde se evidencia el riesgo b. Las vulnerabilidades y amenazas o causas asociadas que dan origen al riesgo c. Las posibles consecuencias del riesgo identifcado d. Dueño del riesgo que propone explicando porque su propuesta (puede considerar funcionarios que no estén mencionados en el caso estudio si así lo requiere). e. Descripción del plan de tratamiento que propone para tratar el riesgo indicando de que tipo es (Recuerde que el tratamiento puede considerarse como aceptar, eliminar, mitigar o transferir). Para cada plan considere: f. Responsable de implementar el plan de tratamiento que propone explicando porque su propuesta
Riesgo
Descripción
El acceso a las oficinas administrativas se dá a través de la bodega de almacenamiento de gestión documental de clientes Acceso a información clacificada
Se evidencian registros de ajustes contables sin aprobación del Gerente Financiero. Los token son otorgado por el gerente financiero a quien considera. Los accesos a las apliaciones son basados en las solicitudes de los jefes Falta de control de permisos de acceso
Los logs se reescriben cada 2 días, por lo cual frente a un problema (demanda de un cliente, auditoria interna/externa, proyectos de mejora continua, toma de decisiones) no existe trazabilidad ni logs que permitan hacer seguimiento o determinar el origen de un problema Sin logs de trazabilidad
3. Considerar que usted es el encargado de realizar una auditoría interna a la empresa del caso estudio, referente a gestión de identidad y control de acceso. Para ello su criterio de auditoria (o punto de referencia para realizar la auditoría) es el estándar ISO 27002 considerando los objetivos de control que pueden tener alguna relación con control de acceso y gestión de identidad. A partir del análisis del caso estudio identifque al menos 3 hallazgos u observaciones de no conformidad con la defnición de los controles de ISO 27002 y preséntelos como puntos de auditoría. Para cada hallazgo u observación indique: A. Nombre del hallazgo: a que hace referencia el hallazgo (Ej. Segregación de funciones). B. Descripción del hallazgo: Descripción de lo que se evidencio como falencia (Ej. La organización no cuenta con una política defnida para la segregación de funciones que rija como deben ser concedidos los accesos en función de evitar conflictos de interés). C. Numeral de ISO 27002 referente: Código del control que se asocia con el hallazgo (Ej. A.6.1.2 Separación de deberes)
Descripcion
Los visitantes ingresan a las instalaciones con documento de identificacion (Fotografia), pero no se encontro evidencia fisica de autorización de manejo y proteccion de datos personales, por parte del visitante.
En el área contable, se cuenta con dos Analistas contables, un Coordinador Contable y el cargo de Gerente de contabilidad. Las operaciones realizadas frente a registro de ajustes contables son realizadas por los analistas o el coordinador sin embargo no se cuenta con límites de atribuciones establecidos para la realización de estas operaciones, así como no se recibe autorización final del Gerente para la realización de los ajustes, sino que este es dado por el Coordinador.
No se realiza seguimiento, medición y evaluación de contraseñas.
El control de acceso a las cuentas de los funcionarios que se encuentran en vacaciones o licencias; se encuentran activas, poniendo en riesgo la seguridad de la informacion.
Tipo
Procedimiento
Proceso
Procedimiento
Herramienta
Servicio
Procedimiento
Herramienta
Descripción Implementar procedimiento de ingreso a las oficinas incluyendo el envio de un correo previo con los documentos de seguridad social del visitante, y se recibirá correo de aprobación para el ingreso. Capacitaciones en sensibilización de los empleados en el cumplimiento de las normas de seguridad.
Fortalecer el sistema de ingreso a las instalaciones, validar el acceso a los funcionarios; solo a su area de trabajo (Privilegios).
Implementar (RFID) para el almacenamiento de los documentos en bodega. Esto permite la lectura a distancia de etiquetas electrónicas, también conocidas como tags, mediante dispositivos lectores que permiten la identificación fiable de cada carpeta en el almacén y generado logs de trazabilidad. Almacenamiento de los backups en Avamar BMR. Se toma como servicio y de esa manera se puede incrementar la capacidad sin invertir en hardware propio, y el costo se puede llevar al gasto.
Implementar equipo Hardware de almacenamiento de LOGS, informacion sensible sobre las actividades de todo el sistema. Implementar Kactus. Esta herramienta permitirá que los empleados soliciten sus vacaciones, sean aprobadas por el jefe y mediante ETL se desacativará en el Directorio Activo así como en las plataformas de acceso el usuario.
Procedimiento
Implementar personal para el analisis y registros logs de informacion sensible sobre las actividades que se realizan en la red, los sistemas, aplicaciones e ingreso a las instalaciones.
Proceso
Fortalecer el proceso de encriptacion de informacion sensible a traves de la red local, correo electronico, etc.
Procedimiento
Fortalecer el aplicativo SolicitudesTI para la creación de usuarios, en la cual se debe utilizar el mismo login para todas las aplicación y los tickets para creación de nuevas credenciales deben estar aprobados en la plataforma por el Director de recursos humanos
Procedimiento
Desarrollar integradores que permitan a las aplicaciones autenticar contra el Directorio Activo, de manera que haya trazabilidad centralizada.
Procedimiento
Estandarizar el uso de perfiles y roles para la asignación de permisos, así mismo como la asignación de tokens.
Vulnerabilidades/Amenazas
Dueño del riesgo
. Puede existir perdida de información dado que personal no autorizado puede acceder a zonas restringidas. . Acceso a información privilegiada por falta de control. . Pueden ser trocada información dado que no existe control de acceso.
. Acceso de personal sin suficientes privilegios a información clacificada . Pueden exisitir usuarios que sean juez y parte dado que no existen perfiles que den lineamiento de limitantes de acceso. . Perdidas económicas (robos) dado que pueden exisitr usuarios con acceso a pagos y aprobación de pagos.
. No existe trazabilidad en el tiempo . No se puede determinar el origen de un problema de acceso . No existe evidencia que soporte una investigación
Seguridad Sergi Bueno
Financiero María Tirado
Tecnología Pepe Grisales
TABLA DE AUDITORIA Nombre
C
Proteccion de Datos
10.7.3 Procesamiento para el manejo de Informacion
Privilegios
11.2.2 Gestion de Privilegios
Gestion de Contraseñas
11.2.3 Gestion de Contraseñas para usuarios
Gestion de Control de Acceso
11.1.1 Politicas de Control de Acceso
Responsable/Nombres
Apoyo/Nombres
RH Viviana Estuardo
EH&S John Cardenas
Seguridad Sergi Bueno
Tecnologia Ana Roldan
Tecnología Daniel Romero
EH&S John Cardenas
Tecnología Leonardo Sierra
Operaciones Ignacio Casas
Tecnología Ana Roldan
Financiero María Tirado
Seguridad Jhon Bolaños
Tecnología/Financiero Ana Roldan / Stive Castro
Seguridad Sergi Bueno
RH Martha Peña
Seguridad Jhon Bolaños
Tecnologia/RH Ana Roldan / Martha Peña
Tecnología Daniel Romero
RH Martha Peña
Tecnología Leonardo Sierra
RH Martha Peña
Tecnología Daniel Romero
RH Martha Peña
Tecnología Pepe Grisales
RH Martha Peña
Descripción del plan de tratamiento
Responsable de implementar el plan de tratamiento
Eliminar. Se debe contratar un empresa de arquitectos para evaluar las áreas y determinar qué cambios físicos se deben realizar y de la mano con seguridad establecer los accesos de control necesarios
Mitigar. Desarrolar perfiles de cargo que permitan la asignación de permisos. Como no existe la cultura, este plan debe ir acompañado de un programa de auditorias externas para que evaluén el cumplimiento de las políticas de la compañía. Una auditoría con Deloitte también puede llevar la revisión de cargos, perfiles, roles y alcances de cada usuario en el sistema para tener los aprobadores correctos y límites (para que no existan roles que sean juez y parte).
Aceptar. Inversión en una NAS (Network-attached storage) que permita mejorar la capacidad de almacenamiento de logs. Teniendo en cuenta que en ningún caso se puede almacenar de manera vitalicia la información, la expectativa es tener los últimos seis meses disponibles y mover los anteriores 6 meses a backup, permitiendo así tener históricos del último año.
D
Gerencia Administrativa / Seguridad
Recursos Humanos / Financiero / Tecnología
Tecnología
Brindar información a los visitantes, orientación acerca de las directrices en seguridad en las instalaciones, las zonas en donde los visitantes tienen libre acceso y las restricciones en cuanto al uso de los servicios de la organización, con el fin de evitar accidentes y/o el acceso no autorizada.
Mejorar la asignación de privilegios de acceso autorizados únicamente por el personal definido en un nivel de jerarquia mayor en los procedimientos, para evitar riesgos en cuanto a fraudes y manipulacion de valores que afecten los activos de la empresa.
Utilizar un sistema que le permita hacer las siguientes funciones; de los contrario hacerlo sistematicamente por formatos; Entregar las cuentas y contraseñas de forma mas segura, en correo encriptados, Forzar el cambio de contraseña asignado de forma inicial, que debería ser único para cada identidad. Establecer fortaleza y complejidad de la contraseña (debe considerar longitud mínima, combinación de caracteres - letras mayúsculas, minúsculas, números y caracteres especiales). Forzar el cambio de contraseña periódicamente asociado a una edad mínima del mismo. Manejar un histórico de contraseñas que no permita usar los ya digitados anteriormente.
Lograr ser más rigurosos y exigentes en la implementación de políticas de acceso de los usuarios, de manera que les permita mantener la seguridad de los sistemas y aplicaciones evitando manipulación y fuga de información. Ampliar las políticas de restricción de acceso a los funcionarios que estén en ausencia, en condiciones; vacacionales, licencias, remisiones, etc.
Costo
Capex SI/NO
$
-
NO
$
-
NO
$
-
NO
25 millones
SI
Aprox. 3´5 millones mensuales
NO
$
-
89 millones
SI
SI
$
-
SI
$
-
NO
$
-
NO
23 millones
$
SI
-
NO
Categoría del control
Administrativo
Funcionalidad del control
Correctivo
Responsable de ejecución
Recursos Humanos
Responsable de revisión
Gerencia Administrativa y Financiera
Frecuencia de ejecución
Trimestral
Frecuencia de revisión
Semestral
Tiempo de Implementacion
Seguimiento / Evidencia
1 mes
Diario / Correo, Logs
2 meses
6 meses / Formato de compromiso
1 semana
Diario / Bitacora.
5 meses
Mensual / Logs de trazabilidad
5 meses
Diario / Bitacora de copias de seguridad, Formato cronograma de copias de seguridad.
6 meses
Diario / Bitacora de copias de seguridad, Formato evidencia digital.
5 meses
Semanal / Activación/desactivación automática de usuarios en vacaciones
3 meses
Diario / Formato evidencia Logs.
1 semana
Diario / Correos Electronicos.
1 semana
Diario / Correos Electronicos.
3 meses
Quincenal / Logs de autenticación
6 meses
Trimestral