Hoechst 33342 (HOE342)

a. Controles de acceso físico

Es primordial verificar que, en la organización:

o Se identifican todas las amenazas relevantes para la seguridad física de los

recursos más sensibles, para lo que se verifica la disposición física de los recursos.

o El acceso físico está restringido únicamente a los usuarios que necesitan

acceder frecuentemente a los recursos informáticos, a través de claves de identificación, tarjetas magnéticas para ingresar, por ejemplo. Así que se debe observar los puntos de acceso a las instalaciones durante las horas de trabajo, contrastar la lista de personal que tiene acceso autorizado.

o La revisión regular de la lista de personas que tienen acceso físico a las

instalaciones críticas.

o La existencia de obstáculos físicos para el acceso a sala de cómputo,

archivos y otras instalaciones críticas.

o Todas las entregas y retiros de medios de almacenamiento de datos son

autorizados y registrados y a los responsables de esta actividad.

o La gerencia o los responsables de seguridad deben mantener de forma

protegida los dispositivos de acceso tales como llaves, tarjetas magnéticas, entre otros.

o La entrada de visitantes al centro de cómputo debe ser registrada y siempre

deben estar acompañados por algún funcionario del DS. Se debe, entonces, entrevistar a quien registra la entrada de visitantes, a los guardias y responsables por la seguridad así como realizar una observación acuciosa del tránsito de personas por las áreas críticas en los períodos dentro y fuera del horario de trabajo.

o La existencia de procedimientos adecuados para la salida del personal del

área que estuviere en riesgo en situaciones de emergencia, así como del retorno del personal cuando la situación vuelva a su estado normal.

o Las contraseñas deben ser únicas para cada usuario, no para grupos; deben

ser controladas por los usuarios y no ser compartidas por nadie; deben ser cambiadas de forma periódica, por ejemplo, cada mes o cada trimestre; no se deben mostrar en pantalla cuando sean ingresadas y deben constar de por lo menos seis caracteres alfanuméricos e impedidas de repetirse, por lo menos, en los posteriores cinco o seis cambios.

o La existencia de restricciones al escoger la contraseña, para que no sea

posible usar nombres y palabras fáciles de descubrir, para lo cual se debe analizar una lista generada por el sistema de claves en uso.

o Cuando se entregan claves para el acceso por primera vez, estas son

inmediatamente cambiadas por los usuarios. Debe existir algún texto que indique que la clave entregada expirará automáticamente al primer ingreso, por lo que es necesario que ésta sea cambiada.

o No se pueda compartir códigos de identificación y claves de uso entre

usuarios.

o El acceso al sistema restringe a pocos intentos el ingreso de claves inválidas,

por ejemplo, lo más adecuado es que después de tres intentos, se bloquee el sistema.

o Se actualiza de forma periódica la lista del personal, para que en caso de

dimisión o transferencia, se elimine la autorización al acceso al sistema.

o Las cuentas de acceso inactivas son supervisadas y removidas cuando ya no

son necesarias. Para esto, se debe verificar las especificaciones del software de seguridad, examinar una lista de usuarios inactivos generada por el sistema y determinar por qué el acceso de dichos usuarios no fue revocado.

o Los usuarios de otros dispositivos de acceso, tales como códigos y tarjetas

magnéticas, comprenden de que se deben resguardar cuidadosamente, no ser prestados ni compartidos y de que, en caso de pérdida debe ser comunicado inmediatamente a los responsables.

o Identificación de caminos de acceso: se realiza un análisis de los caminos

b. Controles lógicos sobre archivos de datos y programas de software

Verificar que:

o Se utiliza software de seguridad para limitar el acceso a los archivos de datos

y programas.

o El acceso al software de seguridad está restringido solo a los administradores

del sistema.

o Las sesiones de acceso a redes son finalizadas automáticamente después de

un periodo de inactividad del usuario.

o Los responsables por la administración del sistema han configurado el

software de seguridad para restringir el acceso no autorizado a archivos de datos, bibliotecas de datos, procedimientos de operación en lote, bibliotecas de código fuente, archivos de seguridad y archivos de sistema operativo. Se deben probar los controles intentando conseguir acceso a varios archivos restringidos.

c. Controles lógicos sobre la base de datos

o Se debe constatar que los controles sobre los sistemas administradores de

bases de datos (DBMS) [18] y el diccionario de datos [19] se implementaron

para:

o Restringir el acceso a archivos de datos para lectura de datos, modificaciones

o borrado de campos.

o Controlar el acceso al diccionario de datos usando perfiles de seguridad y

contraseñas.

o Mantener pistas de auditoría, para determinar los cambios en los que se

hayan hecho en los diccionarios de datos.

o El acceso al sistema del DBMS está restringido únicamente a personal cuyas

facultades requieren del acceso.

d. Controles lógicos sobre el acceso remoto

Verificar que se implementó un software de comunicación (software de red) [20]

o Identificar el terminal en uso, para poder restringir el acceso mediante

terminales específicos.

o Verificar los códigos de identificación del usuario y contraseñas para el

acceso a las aplicaciones específicas.

o Controlar el acceso mediante conexiones entre sistemas y terminales.

o Restringir el uso de facilidades de red en aplicaciones específicas.

o Interrumpir automáticamente la conexión cuando se finalice una sesión.

o Mantener registros de actividad en la red.

o Restringir el acceso a definiciones de opciones de red, recursos y perfiles de

operador.

o Permitir que solo usuarios autorizados desconecten componentes de la red.

o Restringir el acceso interno y controlar cambios al software de

comunicaciones.

o Garantizar que los datos no puedan ser accedidos o modificados por un

usuario no autorizado, durante su transmisión o cuando son almacenados temporalmente.

o Restringir y supervisar el acceso al hardware de comunicaciones (routers,

switches) o instalaciones.

o Verificar la existencia de procedimientos para eliminar datos confidenciales y

programas instalados en recursos que van a ser dados de baja en la organización, ya sea por venta, donación, etc.

2.1.5.4 Supervisión del acceso, investigación de evidencias de violaciones