El Control de Accesos A La Información

[AFO014342] Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2017
[MOD013646] La Seguridad de la Información

[UDI077816] El control de accesos a la información
1. El control de accesos: generalidades, alcance y objetivos
El control de accesos es una de las actividades más importantes dentro de la seguridad de un
sistema. Siendo el acceso por medio de un sistema de restricciones y excepciones a la información la
base de todo sistema de seguridad informática.
m
co
n.
io
ac
Es importante no confundir el control de accesos con la autenticación, ya que esta última tiene por
m
objeto identificar que la información con la que se pretende acceder es cierta, es decir, “confirmar
or
que se trata de quien dice ser”. Además, el control de acceso se desarrolla en un momento posterior
af
a la autenticación, debiendo vigilar que el usuario autentificado, acceda únicamente a los recursos
ec
sobre los cuáles tenga derecho a acceder y a ningún otro.

sn
De lo dicho, se derivan por tanto dos tareas básicas:

.e
u al
Guiar debidamente al usuario.

rt
Identificar el desvío de cualquier acceso, fuera de lo correcto.

s vi
pu
Resulta pertinente señalar que cuanto más se acerque el usuario a la información crítica, más
m
deberán incrementarse las medidas de seguridad.

ca
Para evitar el acceso sin autorización a los sistemas de información deben implementarse
procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de
información, bases de datos y servicios de información, debiendo documentarse y comunicarse de
forma clara y controlados de forma efectiva en cuanto a su cumplimiento (ONTI).
El control de accesos se definirá en la política de seguridad de la información, que será de aplicación
a todas las formas de acceso de aquellos que se encuentren debidamente autorizados con el permiso
oportuno sobre los sistemas de información, bases de datos o servicios de información de la
campusvirtual.esnecaformacion.com
1 / 29
organización o empresa, con independencia de la función que realicen en la misma.
De la misma forma se aplicará al personal técnico que define, instala, administra y mantiene los
permisos de acceso y las conexiones de red, y a los que administran su seguridad.
m
co
Para conseguir la eficacia de la política de seguridad es necesaria la cooperación de los usuarios y la
n.
concienciación de los mismos acerca de sus responsabilidades en el mantenimiento de la eficacia de
io
los controles de acceso, en concreto los que están relacionados con el uso de contraseñas y la
ac
seguridad del equipamiento.
m
Con el control de los accesos se persiguen los siguientes objetivos (ONTI):
or
af
Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de

ec
información.
sn
Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y

.e
autorización.
u al
Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o
rt
privadas.
vi
Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los
s
pu
sistemas.
m
Concienciar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas

ca
y equipos.
Garantizar la seguridad de la información cuando se utiliza informática o equipos móviles e
instalaciones de trabajo remoto.
Para cumplir con los objetivos que acabamos de enumerar se tendrán en cuenta los veinticinco
controles de la Norma ISO/IEC 27002, contenidos en este dominio y que se encuentran agrupados
en:
2 / 29
Requerimiento del negocio para el control de accesos.
Gestión de accesos de usuarios.
Responsabilidades de usuarios.
Control de acceso a sistemas y aplicaciones.
Pasamos a continuación a comentar cada uno de estos grupos de controles.
m
co
n.
io
ac
m
or
af
ec
sn
.e
u al
rt
s vi
pu
m
ca
3 / 29
2. Requisitos de negocio para el control de accesos
Es fundamental controlar el acceso a la información y a los procesos de negocio sobre la base de
procedimientos de seguridad y teniendo en cuenta las políticas de autorizaciones y distribución de la
información en la organización, tales como:
m
co
Definición de los requisitos del negocio para el control de accesos que contengan las reglas, los
n.
derechos y responsabilidades de los usuarios, autorizaciones, normas de distribución,
io
ac
legislación aplicable, etc.
Establecimiento de las reglas de los controles de accesos, identificando la obligatoriedad o no
m
or
de las mismas, cambios de autorización de usuarios, normas de aprobación de reglas, etc.
af
ec
Debe existir una política de control de accesos documentada, periódicamente revisada y basada en
sn
los niveles de seguridad que determine el nivel de riesgo de cada activo.

.e
al
2.1. Política de control de acceso

u
rt
Las reglas de control de acceso y los derechos para cada usuario o grupos de usuarios se deben
s vi
establecer claramente en la política de control de acceso.

pu
En la aplicación de este control de acceso, se tendrán en cuenta los siguientes aspectos (ONTI):
m
ca
Identificar los requerimientos de seguridad de cada una de las aplicaciones comerciales
individuales.
Identificar toda la información relacionada con las aplicaciones comerciales.
Establecer criterios coherentes entre la política de control de acceso y la política de
clasificación de la información de los diferentes sistemas y redes.
Identificar la legislación relevante y las obligaciones contractuales con respecto a la protección
del acceso a datos y servicios.
4 / 29
Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de
trabajo.
Administrar los derechos de acceso en un ambiente distribuido y de red, que reconozca todos
los tipos de conexiones disponibles.
Requerimientos para la autorización formal de las solicitudes de acceso y para la revisión
periódica de los controles de acceso.
m
Las reglas de control de accesos deben ser respaldadas por procedimientos formales y
co
responsabilidades claramente definidas.
n.
io
ac
m
or
af
ec
sn
.e
u al
rt
s vi
pu
m
ca
5 / 29
3. Gestión de acceso de usuario
Para evitar accesos no autorizados a los sistemas de información, se deben establecer
procedimientos formales para controlar la asignación de los derechos de acceso de los usuarios
internos y externos a los sistemas y servicios de información.
Se evitarán los accesos no autorizados empleando los controles que forman parte de este grupo,
como son:
m
co
Registro de usuario.
n.
Gestión de privilegios.
io
Gestión de contraseñas de usuario.
ac
Revisión de los derechos de acceso de usuario.
m
or
af
ec
sn
.e
u al
rt
s vi
3.1. Registro del usuario

pu
m
Debe existir un procedimiento formal para el registro de las altas y bajas del usuario que tenga por
ca
objeto otorgar y revocar el acceso a todos los sistemas y servicios de información.
El procedimiento de control formal para el registro de alta y baja del usuario debe incluir:
Indicación expresa a los usuarios de las reglas que son obligatorias y de las que son optativas.
Los usuarios deben expresar normalmente mediante la firma su conformidad con las
condiciones y sus derechos de acceso.
En el registro utilizar la indicación de usuarios únicos, de manera que se pueda identificar a los
6 / 29
usuarios por sus acciones evitando la existencia de múltiples perfiles de acceso para un mismo
empleado, permitiendo a los usuarios vincularse y ser responsables de sus acciones.
Comprobar que el usuario tenga la autorización dada por la organización o empresa para el uso
del sistema o servicio de información.
Comprobar que el nivel de acceso otorgado sea el apropiado para el propósito comercial de la
empresa, siendo también coherente con la política de seguridad de la organización.
Mantener un registro formal de todas las personas registradas para usar el servicio.
m
La cancelación inmediata de los derechos de acceso de los usuarios que hayan sufrido
co
modificaciones, al cambiar de tareas, serles revocadas las autorizaciones, dejar de formar parte
n.
de la organización, pérdida o robo de las credenciales de acceso, etc.
io
Realizar revisiones periódicas para evitar que las situaciones anteriores tengan lugar.
ac
m
or
3.2. Gestión o administración de privilegios
af
La gestión de privilegios debe realizarse a través de un proceso de autorizaciones que contemple la

ec
asignación y mantenimiento de privilegios a cada elemento del sistema de acuerdo con su

sn
naturaleza, y a cada individuo según su función y responsabilidad (San Martín García, 2004).
.e
u al
rt
s vi
La asignación y uso de privilegios debe limitarse, ya que el uso inadecuado de los privilegios del
pu
sistema frecuentemente resulta uno de los factores determinantes en el acaecimiento de fallos en el

m
sistema.
ca
Los sistemas multiusuario necesitan protección contra el acceso no autorizado, debiendo controlarse
la asignación de privilegios a través de un proceso de autorización formal.
Para ello deben tenerse en cuenta las siguientes cuestiones (ONTI):
Identificar los privilegios asociados a cada producto del sistema.
Asignar los requerimientos mínimos para su rol funcional, esto es, asignar los privilegios a los
7 / 29
usuarios sobre la base de la necesidad de uso (sólo lo que necesitan saber) y evento por evento,
en línea con la política de control de acceso.
Mantener un proceso de autorización y un registro de todos los privilegios asignados, no
pudiendo otorgarse privilegios hasta que finalice el proceso de autorización.
Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar
privilegios a los usuarios.
m
3.3. Gestión de contraseñas de usuario
co
n.
io
ac
Este proceso debe incluir los siguientes requerimientos:
m
or
af
Compromiso escrito de los usuarios sobre la confidencialidad de sus contraseñas personales y

ec
de las contraseñas de los grupos de trabajo exclusivamente entre los miembros del grupo.
sn
Cuando se requiera que los usuarios tengan sus propias claves secretas, inicialmente se les
.e
deberá proporcionar una contraseña temporal segura que han de cambiar en cuanto la reciban.
al
Establecer procedimientos que permitan verificar la identidad de un usuario antes de

u
rt
proporcionar una clave.

vi
Las contraseñas nunca se deben almacenar en los sistemas de cómputo de una forma
s
pu
desprotegida.
m
ca
Las contraseñas o claves secretas son un medio común para verificar la identidad del usuario con
anterioridad a otorgar acceso a un sistema o servicio de información en concordancia con la
autorización del usuario.
3.4. Revisión de los derechos de acceso de usuario
La dirección de la organización o la empresa debe revisar, con regularidad y siguiendo un
procedimiento formal, los derechos de acceso de los usuarios.
8 / 29
El procedimiento de revisión de los derechos de acceso se realizará teniendo en cuenta:
La revisión periódica de los derechos de acceso no podrá retrasarse más de seis meses.
La revisión de los derechos de acceso se realizará antes de un periodo de tres meses cuando se
trate de autorizaciones sobre privilegios especiales.
Revisar de forma regular la asignación de privilegios para asegurar que no se obtienen
privilegios no autorizados.
m
co
Los derechos de acceso de todos los empleados y terceras partes, a la información y a los recursos
de tratamiento de la información deben ser retirados a la finalización del empleo, del contrato o del
n.
acuerdo, o ajustados en caso de cambio.
io
ac
m
or
af
ec
sn
.e
u al
rt
s vi
pu
m
ca
9 / 29
4. Responsabilidades del usuario
Este dominio está formado por tres controles:
Uso de contraseña.
Equipo de usuario desatendido.
Política de puesto de trabajo despejado y pantalla limpia.
m
Este grupo de controles tiene como objetivo impedir el acceso de usuarios no autorizados, así como
co
el robo o utilización fraudulenta de información, siendo fundamental la cooperación de los usuarios
n.
autorizados para conseguir estos objetivos y una seguridad efectiva.
io
ac
Para evitar el acceso no autorizado a la información es imprescindible que los usuarios sean
m
conscientes de sus responsabilidades en el mantenimiento de la eficacia de las medidas de control
or
de acceso, el uso de contraseñas y el manejo seguro del material que emplean en su trabajo diario
af
(San Martín García, 2004).

ec
sn
Todos los miembros de la organización deben tener documentadas sus obligaciones relativas a la
.e
seguridad de la información en la empresa. De forma independiente a la jerarquía del usuario en la

al
empresa, siempre existirá algún tipo de responsabilidad a partir del momento en que se tenga
u
acceso a la información.
rt
vi
Lo que sí es evidente es que en función de la jerarquía del usuario en la empresa, existirán distintos
s
pu
grados de responsabilidad y de obligaciones. Siendo indispensable que cada usuario conozca cuáles
son sus responsabilidades.

m
ca
4.1. El uso de contraseñas
Las claves o contraseñas se constituyen como un medio de validación y autenticación de la identidad
de un usuario; y, consecuentemente, como un medio para establecer derechos de acceso a las
instalaciones o servicios de procesamiento de información (ONTI).
En relación al uso y selección de contraseñas o claves secretas, deben realizarse una serie de
advertencias a los usuarios, entre las que encontramos:
10 / 29
Confidencialidad de las claves secretas o contraseñas.
Evitar mantener un registro de las contraseñas o claves.
Cambio de claves cuando existan indicios de peligro.
Seleccionar claves secretas de calidad. Para ello deben ser:
Fáciles de recordar.
Que no se basen en nada que se pueda adivinar fácilmente u obtener utilizando
información relacionada con la persona (fecha de nacimiento, números telefónicos,
m
etc.)
co
Que se alternen caracteres numéricos y alfabéticos.
n.
io
Cambiar la contraseña temporal en el primer registro de ingreso.
ac
No utilizar la misma clave personal para propósitos comerciales y no comerciales.
m
or
af
4.2. Protección de equipos desatendidos

ec
Este control tiene como objetivo asegurar que los equipos desatendidos reciben una protección
sn
adecuada. Para ello los usuarios deben estar al tanto de los requerimientos de seguridad y los
.e
procedimientos para proteger el equipo desatendido, así como sus responsabilidades para
u al
implementar dicha protección.

rt
vi
Para conseguir la protección de equipos desatendidos y evitar posibles amenazas a la seguridad de

s
la información, los usuarios deben:

pu
m
Cerrar las sesiones activas cuando se terminan las tareas (no basta con cerrar un documento o
ca
apagar la pantalla), a no ser que puedan asegurarse con un mecanismo de cierre apropiado,
como puede ser un protector de pantalla protegido mediante una contraseña (ONTI).
Proteger los equipos o terminales contra usos no autorizados mediante un bloqueo de
seguridad o un control equivalente, como puede ser establecer accesos sólo mediante clave
secreta cuando el equipo no se está utilizando.
11 / 29
4.3. Política de puesto de trabajo despejado y pantalla limpia
A este control ya hicimos referencia anteriormente de forma superficial, por lo que hay que
remarcar que, tiene como objetivo que se establezcan políticas para escritorios y monitores limpios
de información. Esto es, que en el escritorio del usuario no haya de forma permanente papeles que
revelen información confidencial o crítica y que en la pantalla del ordenador no haya carpetas que
contengan información confidencial de la empresa.
m
Para conseguir este objetivo deberán tenerse en cuenta los siguientes lineamientos:
co
n.
La información confidencial o crítica deberá guardarse o almacenarse aplicando las medidas de
io
seguridad oportunas cuando no está siendo utilizada.
ac
Cuando los ordenadores no estén siendo utilizados, deben dejarse apagados o protegidos con
m
mecanismos que aseguren que el acceso sólo se producirá con la clave adecuada.
or
Deben protegerse los puntos de ingreso y de salida de correo y fax.
af
Debe evitarse el uso no autorizado de fotocopiadoras y otra tecnología de reproducción.

ec
La información confidencial que se imprima debe sacarse inmediatamente de la impresora para

sn
evitar que se pierda o sea sustraída.

.e
al
Una política de escritorio y pantalla limpia reduce el riesgo de accesos no autorizados, pérdidas y
u
daño a la información durante y fuera del horario normal de trabajo.

rt
s vi
pu
m
ca
12 / 29
5. Control de acceso a la red
El acceso de los usuarios a las redes y servicios de las redes no debe comprometer la seguridad de
los servicios de la red. Para evitar que la seguridad de los servicios de red se vea amenazada deberá
m
garantizarse:
co
n.
Que existen interfaces adecuadas entre la red de la organización o empresa y las redes
io
públicas o privadas de otras organizaciones.
ac
Que se aplican mecanismos adecuados de autenticación a los usuarios y equipos.
m
El cumplimiento obligatorio del control de acceso de los usuarios a los servicios de
or
información.
af
ec
Dentro de este tipo de control de accesos a sistemas y aplicaciones, el objetivo es prevenir el acceso
sn
no autorizado a los sistemas y aplicaciones. Por lo tanto, se aplicarán los controles previstos en este
.e
dominio. Son los siguientes:

u al
rt
Restricción del acceso a la información.

vi
Procedimientos seguros de inicio de sesión.

s
pu
Sistemas de gestión de contraseñas.
Uso de utilidades con privilegios del sistema.

m
Control de acceso al código fuente de los programas.

ca
Todos los servicios de red deben ser susceptibles de medidas de control de acceso, con el conjunto
de controles que acabamos de enumerar se busca prevenir cualquier acceso no autorizado a los
servicios de red.
5.1. La política de uso de los servicios en red
13 / 29
Esta primera medida indica que debe existir una política de uso de los servicios de red para que los
usuarios accedan exclusivamente a los servicios para los que se encuentran debidamente
autorizados.
Para garantizar que los usuarios que tengan acceso a las redes y a sus servicios no comprometan la
seguridad de los mismos se controlará el acceso a los servicios de red tanto internos como externos.
Para ello se formulará una política relacionada con el uso de las redes y los servicios de la red, en la
m
que se desarrollarán procedimientos para la activación y desactivación de derechos de acceso a las
co
redes. Esta política debe:
n.
io
Identificar las redes y servicios de la red a los cuales se permite el acceso.
ac
Establecer procedimientos de autorización para determinar las personas, las redes y servicios
m
de redes a los cuales se les otorgará el acceso. or
Implantar controles y procedimientos de gestión para proteger el acceso a las conexiones y
af
servicios de red.
ec
Ser coherente con la política de control de accesos de la organización o la empresa.

sn
.e
al
5.2. Autentificación de los usuarios de conexiones externas

u
rt
Las conexiones externas son una de las mayores vías de acceso no autorizado a la información de la
vi
organización. Este es el motivo que hace necesario someter el acceso de usuarios remotos al
s
pu
cumplimiento de procesos de autentificación.

m
ca
La autentificación de usuarios remotos puede realizarse utilizando distintos métodos como son las
técnicas basadas en la criptografía, dispositivos de hardware o un protocolo de desafío/respuesta.
Para la selección apropiada de éstos métodos de autenticación, es importante realizar una
evaluación del riesgo para determinar el nivel de protección requerido.
14 / 29
5.3. Identificación de equipos en las redes
La identificación de equipos se puede utilizar si es importante que la comunicación sólo sea iniciada
desde una determinada ubicación o equipo. La utilización de identificadores incorporados a los
equipos sirve para indicar si el equipo está autorizado para conectarse a la red y en caso de que
tenga autorización, a qué red de las existentes se puede conectar.
La seguridad y protección física del equipo es importante para mantener inalterable y con las
m
condiciones que se programó el identificador.
co
n.
5.4. Diagnóstico remoto y protección de los puertos de
io
ac
configuración
m
Muchos ordenadores y sistemas de comunicación se instalan y administran con una herramienta de
or
diagnóstico remoto, si no reciben una protección adecuada estos puertos de diagnóstico
af
ec
proporcionan un medio de fácil acceso no autorizado.

sn
Por lo tanto, es necesario realizar un control de acceso físico y lógico a los puertos de diagnóstico y
.e
configuración, ofreciendo un mecanismo de seguridad apropiado.

u al
rt
5.5. Segregación de las redes

s vi
pu
Para controlar la seguridad de las redes extensas es recomendable realizar una segregación del uso
de redes por grupos de usuarios, servicios y sistemas de información, dividiéndolas en dominios

m
lógicos independientes dotados de sus propias medidas de seguridad y control de accesos mediante
ca
firewalls y routers seguros.
Así, con el objetivo de poder controlar la seguridad en las redes extensas, se podrán dividir en
dominios lógicos separados. Para realizar esta segregación se definirán y documentarán los
perímetros de seguridad que sean convenientes. Debiendo implementarse estos perímetros
mediante la instalación de gateways con funcionalidades de firewall o de redes privadas virtuales,
para así filtrar el tráfico entre los dominios y bloquear el acceso no autorizado de acuerdo con la
política de control de accesos (ONTI).
15 / 29
El criterio de segregación de las redes en dominios se debe basar en la política de control de acceso
y los requerimientos de acceso, debiendo también tomar en cuenta el coste relativo y el impacto en
el desempeño al incorporar una adecuada tecnología de routing o gateway de red.
Además, la segregación de las redes debe tener como base el valor y la clasificación de la
información que se almacena o procesa en la red, los niveles de confianza o líneas comerciales, para
así poder reducir el impacto total de una interrupción del servicio.
m
co
5.6. Control de la conexión a la red
n.
En las redes compartidas, principalmente las que se extienden más allá de los límites de la propia
io
empresa, se deberían restringir las competencias de los usuarios para conectarse en red según la
ac
política de control de acceso y necesidad de uso de las aplicaciones del negocio. Así, los derechos de
m
or
acceso a la red de los usuarios se mantendrán o actualizarán, de acuerdo con los requerimientos de
af
la política de control de accesos.
ec
sn
.e
u al
La capacidad de conexión de los usuarios se puede restringir por medio de gateways. Algunos
rt
ejemplos de los entornos a los que deben aplicarse restricciones son:

s vi
pu
Correo electrónico.
m
Transferencia de activos.
ca
Acceso interactivo.
Acceso a una aplicación.
5.7. El control de routing o encaminamiento de red
Este control tiene por objeto garantizar que las conexiones entre servidores cumplen las políticas de
accesos a las aplicaciones y seguridad de la organización verificando las direcciones de origen y
16 / 29
destino.
Para realizar el objetivo de este control se emplea la tecnología Proxy o lo que es lo mismo de
traducción de direcciones de la red, pudiendo utilizarse los gateways de seguridad para validar las
direcciones de la fuente y el destino en los puntos de control de las redes internas y externas.
La política del control de acceso también servirá en este caso como base de los requerimientos para
el control del routing de la red.
m
co
n.
io
ac
m
or
af
ec
sn
.e
u al
rt
s vi
pu
m
ca
17 / 29
6. Control de acceso al sistema operativo
El grupo de controles que forman parte de este dominio tienen como objetivo evitar el acceso no
autorizado a los sistemas operativos.
Deben utilizarse las medidas de seguridad de los sistemas operativos para restringir el acceso no
deseado a los recursos de los servidores y ordenadores de la organización.
Para evitar el acceso no deseado al sistema operativo debe aplicarse el siguiente grupo de controles:
m
co
Procedimientos seguros de inicio de sesión.
n.
Identificación y autentificación del usuario.
io
ac
Sistema de gestión de contraseñas.
m
Uso de los recursos del sistema.
or
Desconexión automática de sesión.
af
Limitación del tiempo de conexión.
ec
sn
La tarea de evitar el acceso no autorizado a los sistemas operativos debe realizarse utilizando
.e
medios que tengan capacidad para:

u al
Autentificar a los usuarios autorizados de forma coherente con la política de control de acceso
rt
que se haya establecido.

vi
Registrar los intentos, tanto fallidos como exitosos, de acceso al sistema.

s
pu
Registrar el uso de los privilegios especiales del sistema.

m
Emitir alarmas cuando se violan las políticas de seguridad del sistema.

ca
Proporcionar medios de autenticación apropiados.
Cuando sea necesario, restringir el tiempo de conexión de los usuarios.
6.1. Procedimientos seguros de inicio de sesión
18 / 29
A continuación exponemos algunas pautas características de un buen procedimiento de registro:
m
co
Hasta que no se haya completado de forma satisfactoria el proceso de registro no se deben
n.
mostrar identificadores del sistema o la aplicación.
io
La pantalla debe mostrar una advertencia en la que se establezca la limitación de acceso al
ac
equipo de personal autorizado.
m
La aplicación no debe proporcionar mensajes de ayuda, ya que podrían facilitar el acceso de
or
personal no autorizado.
af
Sólo deben validar la información del registro de acceso después de completar todo el input de
ec
datos o sistema de entrada de información.

sn
Debe limitarse el número de intentos de acceso, así como el tiempo máximo para el
.e
procedimiento del registro.

al
Cuando el registro es satisfactorio debe mostrar la siguiente información: fecha y hora, detalles
u
de cualquier intento de registro infructuoso desde el último registro satisfactorio.

rt
vi
No debe mostrar la clave secreta que se está ingresando, es factible esconder los caracteres
s
mediante símbolos.
pu
m
Es un factor muy importante para mantener la seguridad del equipo y de la información, que se
ca
habilite una opción de inicio seguro de sesión, para que de esta forma sea obligatorio pulsar
CTRL+ALT+SUPR (en Windows) para iniciar la sesión.
El uso del inicio de sesión seguro ofrece otro nivel de seguridad al equipo, al asegurarse de que lo
que aparezca sea una pantalla de inicio segura y auténtica. Cuando se habilita el inicio de sesión
seguro, ningún otro programa, sea malicioso o no, puede interceptar el nombre de usuario y
contraseña cuando se escriben.
19 / 29
6.2. Identificación y autentificación del usuario
Todos los usuarios deben tener un identificador único para su uso personal exclusivo, de manera que
las actividades puedan rastrearse con posterioridad hasta llegar al individuo responsable. Los
identificadores de usuario no darán ningún indicio del nivel de privilegio otorgado (ONTI).
En circunstancias especiales, cuando exista un claro beneficio para la organización o la empresa,
podrá utilizarse un identificador compartido para un grupo de usuarios o una tarea específica. Para
m
situaciones de esta índole, deberá documentarse la justificación y aprobación del propietario de la
co
información de que se trate.
n.
Cuando se requiere autenticación y verificación de identidades sólidas, se deben utilizar métodos de
io
ac
autenticación alternativos para las claves secretas, como son los medios criptográficos, las tarjetas
m
inteligentes, dispositivos o medios biométricos.
or
La complejidad en el registro de autenticación debe estar en función de la confidencialidad de la
af
información a la que se va a tener acceso.

ec
sn
6.3. El sistema de gestión de contraseñas

.e
al
Las claves secretas o contraseñas constituyen uno de los principales medios de validación de la
u
rt
autoridad de un usuario para acceder a un servicio informático. Los sistemas de administración de

vi
contraseñas deben constituir una herramienta eficaz e interactiva que garantice contraseñas de
s
pu
calidad (ONTI).
m
Los sistemas para el manejo de claves secretas deben ser interactivos y asegurar claves secretas
ca
adecuadas.
Los sistemas de gestión de contraseñas o claves secretas deben:
Identificar a los usuarios individuales con claves secretas para mantener la responsabilidad.
Permitir a los usuarios seleccionar y cambiar sus claves secretas e incluir un procedimiento de
confirmación para contemplar errores de ingreso.
Las contraseñas seleccionadas por los usuarios deben ser de calidad.
20 / 29
Aplicarse los cambios necesarios a las claves secretas.
Obligar a los usuarios a cambiar las claves secretas temporales en su primer ingreso o registro.
Mantener un registro de claves de usuario previas y evitar volverlas a usar.
No mostrar las claves en la pantalla cuando se estén introduciendo.
Si las claves se almacenan debe hacerse en un formato protegido.
En aquellos supuestos en que las claves secretas se asignen por autoridades independientes, los
m
usuarios no dispondrán de la facultad de cambiar las claves.
co
n.
6.4. El uso de los recursos del sistema
io
ac
Este control tiene como objetivo restringir y controlar el uso de los programas de utilidad que
m
podrían ser capaces de sortear los controles del sistema y la aplicación. Es muy importante que su
or
uso sea limitado y controlado de forma minuciosa, para ello deben considerarse los siguientes
af
controles:
ec
sn
Utilizar procedimientos de autenticación o verificación para utilitarios del sistema.

.e
Separar entre utilitarios del sistema y software de aplicaciones.

al
Limitar el uso de las utilidades del sistema a un número práctico mínimo.

u
Autorización para el uso ad hoc de las utilidades del sistema.

rt
vi
Limitación de la disponibilidad de las utilidades del sistema.

s
Registro de todo uso de las utilidades del sistema.

pu
Definir y documentar los niveles de autorización de las utilidades del sistema.

m
Eliminar o inutilizar todas las utilidades necesarias basadas en software que son innecesarias.
ca
6.5. La desconexión automática de sesión
Las sesiones inactivas deben ser cerradas después de un periodo de inactividad definido, a fin de
evitar el acceso de personas no autorizadas. Esta herramienta de desconexión por tiempo muerto
deberá limpiar la pantalla del ordenador y cerrar tanto la sesión de la aplicación como la de red.
21 / 29
El lapso de tiempo de espera, es decir, el tiempo en que no se está utilizando el ordenador, será
mayor o menor dependiendo de los riesgos de seguridad del área y de la información que contenga
el equipo.
Es importante señalar también que si un usuario debe abandonar momentáneamente su puesto de
trabajo deberá activar protectores de pantalla protegidos con contraseñas, con el objetivo de evitar
que terceros puedan ver su trabajo o acceder a la información del equipo o la red.
m
co
6.6. Limitación del tiempo de conexión
n.
En las aplicaciones de alto riesgo deben establecerse limitaciones sobre los tiempos de conexión a
io
fin de proporcionar una seguridad adicional para las aplicaciones de alto riesgo.
ac
m
La limitación del periodo durante el cual se permiten las conexiones de terminales a los servicios
or
informáticos reduce las posibilidades de acceso no autorizado. Se deben usar estos controles en las
af
aplicaciones especialmente sensibles o de alto riesgo.

ec
sn
Estas restricciones incluyen medidas como:

.e
Utilización de espacios de tiempo predeterminados.

u al
Restringir tiempos de conexión a los horarios laborales.

rt
Cada cierto intervalo de tiempo volver a realizar la validación o autenticación.

vi
En el supuesto de que existan usuarios sin limitaciones de conexión, deben especificarse y

s
pu
documentarse debidamente las causas.

m
ca
22 / 29
7. Control de acceso a las aplicaciones y a la información
Es muy importante utilizar los mecanismos de seguridad de las aplicaciones y de sistemas para
evitar el acceso no autorizado al software y a la información.
Este grupo está formado por dos controles que tienen como objetivo la prevención del acceso no
autorizado a la información que se contiene por los sistemas de las aplicaciones. Para ello se deben
utilizar medidas de seguridad que restrinjan el acceso a los sistemas de las aplicaciones.
m
co
Para conseguir este objetivo habrá de aplicar los siguientes controles:
n.
Restricciones del acceso a la información.
io
ac
Aislamiento de sistemas sensibles.
m
or
El acceso lógico al software de la aplicación y la información se debe limitar a los usuarios que se
af
encuentren debidamente autorizados. Los sistemas de aplicación deben:
ec
sn
Controlar el acceso del usuario a la información y las funciones del sistema de aplicación, en
concordancia con una política de control de acceso definida.

.e
al
Proporcionar protección contar un acceso no autorizado de cualquier utilidad, software del

u
sistema de operación y software malicioso que sea capaz de superar o pasar los controles del
rt
sistema o la aplicación.
vi
No comprometer a otros sistemas con los cuales se comparten recursos de información.

s
pu
m
ca
7.1. Restricciones del acceso a la información
Los usuarios de sistemas de aplicación y el personal de soporte, tendrán acceso a la información y a
las funciones de los sistemas de aplicación de acuerdo con las previsiones recogidas en la política de
control de acceso, teniendo además en cuenta los requerimientos de cada aplicación y la política de
la organización para el acceso a la información.
Con el objetivo de reforzar los requerimientos para las restricciones del acceso a la información,
debe tenerse en cuenta la aplicación de las siguientes cuestiones:
23 / 29
Proporcionar menús para controlar el acceso a las funciones del sistema de aplicación.
Controlar los derechos de acceso de los usuarios.
Controlar los derechos de acceso de otras aplicaciones.
Asegurar que los outputs o salida de información de los sistemas de aplicación que manejan
información confidencial sólo contengan información relevante para la utilización del output y
sólo se envía a las terminales y ubicaciones autorizadas. La periodicidad de las revisiones
evitará información redundante.
m
co
n.
7.2. Aislamiento de sistemas sensibles
io
ac
Los sistemas sensibles deben disponer de un entorno informático propio.
m
Para conseguir el aislamiento de los sistemas confidenciales o sensibles se deben tener en cuenta las
or
siguientes premisas:
af
ec
Identificación y documentación clara de la sensibilidad o confidencialidad del sistema de

sn
aplicación. Esta tarea se llevará a cabo por el administrador o responsable de la aplicación.

.e
Si la aplicación se va a ejecutar en un entorno compartido, se deberán identificar y aceptar los

al
sistemas de aplicación con los cuales va a compartir recursos y los correspondientes riesgos.
u
rt
s vi
pu
m
ca
24 / 29
8. Informática móvil y teletrabajo
El objetivo que persiguen este conjunto de controles es asegurar la seguridad de la información
cuando se utilizan medios de computación (informática móvil) y teletrabajo.
La protección que se requiere en estos supuestos debe ser equivalente al riesgo que estas formas de
trabajo suponen. En la utilización de los equipos informáticos móviles se deben tener en cuenta los
riesgos de trabajar en un ambiente desprovisto de protección y en consecuencia aplicar la
m
protección adecuada. En el caso del teletrabajo la organización debe aplicar las medidas de
co
protección adecuadas para esta forma de trabajar y evitar así el mayor número de riesgos posible.
n.
io
ac
8.1. Los ordenadores portátiles y las comunicaciones móviles
m
Cuando se utilizan dispositivos móviles debe prestarse especial atención en garantizar que no se
or
compromete la seguridad de la información de la organización o empresa.
af
ec
Para proteger la información de los riesgos derivados de la utilización de ordenadores portátiles y

sn
comunicaciones móviles es importante el establecimiento de una política de seguridad y en

.e
consecuencia adoptar las medidas de seguridad apropiadas.

u al
Estas políticas se desarrollarán a través de procedimientos que comprendan cuestiones como:

rt
vi
Inclusión de requisitos para una protección física.

s
pu
Establecer controles de acceso a los dispositivos.

m
Utilización de técnicas criptográficas para la transmisión de información clasificada, respaldos

ca
(back up) y protección contra virus.
Incluir reglas y consejos para la conexión de medios móviles con las redes y lineamientos para
el uso de estos medios en lugares públicos.
Además, resulta especialmente importante en el uso de este tipo de dispositivos la concienciación
del personal sobre la gran probabilidad de sufrir un atraco, robo o hurto. Debiendo desarrollarse
normas y procedimientos sobre cuidados especiales a tener en cuenta estando en posesión de
dispositivos móviles.
25 / 29
En definitiva, los usuarios de dispositivos móviles deben ser conscientes de que los dispositivos
móviles en comparación con los ordenadores de sobremesa, tienen vulnerabilidades y requieren la
adopción de medidas de seguridad que garanticen la autenticación de usuario, la integridad de los
datos y la confidencialidad de las comunicaciones (INTECO).
8.2. El teletrabajo
m
En el teletrabajo o trabajo remoto se utiliza la tecnología de forma que se permiten las
co
comunicaciones del personal desde un lugar externo a la empresa.
n.
La organización o empresa sólo autorizará el teletrabajo cuando se verifique de forma fehaciente
io
que son adoptadas todas las medidas que corresponden en materia de seguridad de la información,
ac
que cuenta con los controles apropiados y que éstos cumplen con la política de seguridad de la
m
información.
or
af
Para conseguir la seguridad del teletrabajo se establecerán normas y procedimientos que deberán
ec
tener en cuenta aspectos como los siguientes:

sn
.e
Seguridad física existente en el lugar donde se vaya a realizar el teletrabajo.

al
El ambiente de trabajo remoto propuesto.

u
Los requerimientos de seguridad de comunicaciones, teniendo en cuenta la necesidad de

rt
vi
acceso remoto a los sistemas internos del Organismo, la sensibilidad de la información a la que
s
se accederá y que pasará a través del vínculo de comunicación y la sensibilidad del sistema
pu
interno.
m
La amenaza de acceso no autorizado a información o recursos por parte de otras personas que
ca
utilizan el lugar, por ejemplo, familia y amigos.
Evitar la instalación y la desinstalación de software no autorizada por el Organismo.
26 / 29
Recuerda
Para conseguir la seguridad de los datos es necesario mantener un riguroso control del acceso
a la información.
Los requisitos de negocio para el control de accesos tienen como objetivo controlar los accesos
a la información.
Las reglas de control de acceso y los derechos para cada usuario o grupos de usuarios se deben
m
establecer claramente en la política de control de acceso.
co
Para evitar accesos no autorizados a los sistemas de información, se deben establecer
n.
procedimientos formales para controlar la asignación de los derechos de acceso de los usuarios
io
internos y externos a los sistemas y servicios de información.
ac
Para evitar el acceso no autorizado a la información es imprescindible que los usuarios sean
m
conscientes de sus responsabilidades en el mantenimiento de la eficacia de las medidas de
or
control de acceso, el uso de contraseñas y el manejo seguro del material que emplean en su
af
trabajo diario.
ec
El control de acceso a la red tiene por objeto impedir el acceso no autorizado a los servicios de
sn
red, estableciendo el deber de controlar el acceso a los servicios de redes internas y externas.
.e
Para restringir el acceso no deseado a los recursos de los servidores y ordenadores de la

al
organización deben utilizarse las medidas de seguridad de los sistemas operativos.

u
rt
El control de acceso a las aplicaciones y a la información tienen como objetivo la prevención

vi
del acceso no autorizado a la información que se contiene por los sistemas de las aplicaciones.
s
Para evitar este acceso se deben utilizar medidas de seguridad que restrinjan el acceso a los
pu
sistemas de las aplicaciones.

m
En la utilización de los equipos informáticos móviles se deben tener en cuenta los riesgos de
ca
trabajar en un ambiente desprovisto de protección y en consecuencia aplicar la protección
adecuada.
27 / 29
Autoevaluación
1. Indica si es verdadero o falso el siguiente enunciado: “Con el control de

accesos se pretenden evitar accesos no autorizados a los sistemas de
información”.
Verdadero.
m
co
Falso.
n.
io
2. El grupo de controles de gestión de acceso de usuarios está formado por los
ac
siguientes controles:
m
or
Política de control de accesos, gestión de privilegios y gestión de contraseñas.
af
ec
sn
Gestión de contraseñas de usuarios, revisión de derechos de acceso de usuario,

provisión de servicios y seguridad del cableado.
.e
u al
Registro de usuario, gestión de privilegios, gestión de contraseñas de usuario y

rt
revisión de los derechos de acceso de usuario.

s vi
pu
3. Indica si es verdadero o falso el siguiente enunciado: “El grupo de controles

m
de responsabilidad del usuario tiene como objetivo impedir el acceso de usuarios

no autorizados, así como el robo o utilización fraudulenta de información, siendo
ca
fundamental la cooperación de los usuarios autorizados para conseguir estos

objetivos y una seguridad efectiva”.
Verdadero.
Falso.
28 / 29
4. Para evitar que la seguridad de los servicios de red se vea amenazada deberá
garantizarse (señale la opción que no es correcta):
Que existen interfaces adecuadas entre la red de la organización o empresa y las

redes públicas o privadas de otras organizaciones.
El compromiso de la dirección de la organización o empresa en la implantación de una

política de seguridad de la información.
m
co
Que se aplican mecanismos adecuados de autenticación a los usuarios y equipos.
n.
io
ac
5. La desconexión automática de sesión supone:
m
or
El cierre de las sesiones inactivas después de un periodo de inactividad definido, a fin
af
de evitar el acceso de personas no autorizadas.

ec
sn
La desconexión de la red cuando se tiene conocimiento de una gran amenaza o riesgo

.e
para la seguridad de la información.

u al
rt
El cierre de la sesión cuando se comenten más de tres errores al introducir la

contraseña o clave de acceso.
s vi
pu
m
ca
29 / 29

El Control de Accesos A La Información

Cargado por

Copyright:

Formatos disponibles

El Control de Accesos A La Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

El Control de Accesos A La Información

Cargado por

Copyright:

Formatos disponibles

[AFO014342] Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2017

[MOD013646] La Seguridad de la Información

1. El control de accesos: generalidades, alcance y objetivos

El control de accesos es una de las actividades más importantes dentro de la seguridad de un

sistema. Siendo el acceso por medio de un sistema de restricciones y excepciones a la información la

base de todo sistema de seguridad informática.

sobre los cuáles tenga derecho a acceder y a ningún otro.

De lo dicho, se derivan por tanto dos tareas básicas:

Guiar debidamente al usuario.

Identificar el desvío de cualquier acceso, fuera de lo correcto.

deberán incrementarse las medidas de seguridad.

procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de

información, bases de datos y servicios de información, debiendo documentarse y comunicarse de

forma clara y controlados de forma efectiva en cuanto a su cumplimiento (ONTI).

El control de accesos se definirá en la política de seguridad de la información, que será de aplicación

oportuno sobre los sistemas de información, bases de datos o servicios de información de la

organización o empresa, con independencia de la función que realicen en la misma.

permisos de acceso y las conexiones de red, y a los que administran su seguridad.

Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de

Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y

Concienciar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas

Garantizar la seguridad de la información cuando se utiliza informática o equipos móviles e

instalaciones de trabajo remoto.

Requerimiento del negocio para el control de accesos.

Gestión de accesos de usuarios.

Control de acceso a sistemas y aplicaciones.

Pasamos a continuación a comentar cada uno de estos grupos de controles.

2. Requisitos de negocio para el control de accesos

Es fundamental controlar el acceso a la información y a los procesos de negocio sobre la base de

procedimientos de seguridad y teniendo en cuenta las políticas de autorizaciones y distribución de la

información en la organización, tales como:

Establecimiento de las reglas de los controles de accesos, identificando la obligatoriedad o no

los niveles de seguridad que determine el nivel de riesgo de cada activo.

2.1. Política de control de acceso

establecer claramente en la política de control de acceso.

Identificar los requerimientos de seguridad de cada una de las aplicaciones comerciales

Identificar toda la información relacionada con las aplicaciones comerciales.

Establecer criterios coherentes entre la política de control de acceso y la política de

clasificación de la información de los diferentes sistemas y redes.

Identificar la legislación relevante y las obligaciones contractuales con respecto a la protección

del acceso a datos y servicios.

los tipos de conexiones disponibles.

Requerimientos para la autorización formal de las solicitudes de acceso y para la revisión

periódica de los controles de acceso.

3. Gestión de acceso de usuario

Para evitar accesos no autorizados a los sistemas de información, se deben establecer

internos y externos a los sistemas y servicios de información.

3.1. Registro del usuario

objeto otorgar y revocar el acceso a todos los sistemas y servicios de información.

condiciones y sus derechos de acceso.

empleado, permitiendo a los usuarios vincularse y ser responsables de sus acciones.

del sistema o servicio de información.

empresa, siendo también coherente con la política de seguridad de la organización.

La gestión de privilegios debe realizarse a través de un proceso de autorizaciones que contemple la

asignación y mantenimiento de privilegios a cada elemento del sistema de acuerdo con su

sistema frecuentemente resulta uno de los factores determinantes en el acaecimiento de fallos en el

la asignación de privilegios a través de un proceso de autorización formal.

Para ello deben tenerse en cuenta las siguientes cuestiones (ONTI):

Identificar los privilegios asociados a cada producto del sistema.