Control de acceso

CONTROL DE ACCESO

Control de acceso

Antecedentes

Controlar quien accede a la información de nuestra empresa es un primer paso para protegerla. Es esencial que podamos decidir quién tiene permisos para acceder a nuestra información, comocuando y con qué finalidad.

A la hora de gestionar el control de acceso a nuestros datos debemos tener en cuenta que la información, los servicios y las aplicaciones utilizadas no tienen por qué ubicarse de manera centralizada en nuestras instalaciones, sino que pueden estar diseminadas en equipos y redes remotas propias o de terceros. También tenemos que considerar que cada vez es más habitual el uso de dispositivos móviles en los centros de trabajo. En ocasiones estos dispositivos son propiedad del propio empleado lo que dificulta esta tarea.

Por otra parte el registro de los accesos en logs de los sistemas va a ser determinante para analizar los incidentes de seguridad.

Objetivos

Establecer quiencomo y cuando puede acceder a los activos de información de la empresa y registrar convenientemente dichos accesos.

Puntos clave

Los puntos clave de esta política son:

  • Política de usuarios y grupos. Definiremos una serie de grupos que tendrán determinados accesos para cada tipo de información establecido. Esta clasificación se puede hacer teniendo en cuenta los siguientes aspectos: 

    • en función del área o departamento al que pertenezca el empleado; 

    • en función del tipo de información a la qué accederá; 

    • en función de las operaciones permitidas sobre la información a la que se tiene acceso. 

En función de los criterios anteriores podemos establecer diversos perfiles de usuarios.

  • Asignación de permisos. Una vez establecidos los tipos de información, los perfiles de usuarios y los grupos existentes, podremos concretar los tipos de acceso a la información a los que tienen derecho. Los permisos concretarán que acciones pueden realizar sobre la información (creación, lectura, borrado, modificación, copia, ejecución, etc.). Como norma general siempre se otorgará el mínimo privilegio en el establecimiento de los permisos.  

  • Creación/modificación/borrado de cuentas de usuario. Para permitir el acceso real a los sistemas de información de la empresa debemos tener un procedimiento que permita gestionar la creación/modificación/borrado de las cuentas de acceso de los usuarios (por ejemplo: cuenta de correo, acceso al CRM, etc.) indicando quién debe autorizarlo. Detallaremos los datos identificativos de las mismas, las acciones que se permiten y las dotaremos de las credenciales de acceso correspondientes que deberán ser entregadas de forma confidencial a sus dueños. Se incluirán asimismo parámetros tales como la caducidad de las contraseñas y los procedimientos de bloqueo oportunos. Se debe informar al usuario de estos requisitos al entregarle las credenciales así como de la Política de contraseñas [4]. 

  • Cuentas de administración. Las cuentas de administración permiten realizar cualquier acción sobre los sistemas que administran, por lo que deben ser gestionadas con la máxima precaución. Tendremos en cuenta los siguientes aspectos: 

    • utilizar este tipo de cuentas únicamente para realizar labores que requieran permisos de administración; 

    • implantar un control de acceso basado en un doble factor de autenticación

    • registrar convenientemente todas sus acciones (registro de logs); 

    • cuando accedemos a un sistema en modo administrador, este debe indicarnos claramente tal situación a través de su contexto; 

    • el acceso como administrador debería ser notificado convenientemente; 

    • evitar que los privilegios de las cuentas de administrador puedan ser heredados; 

    • las claves de acceso deben ser lo más robustas posibles y ser cambiadas con frecuencia; 

    • pueden ser sometidas a auditorías periódicas; 

  • Mecanismos de autenticaciónDefiniremos e implantaremos los mecanismos de autenticación más adecuados para permitir el acceso a la información de nuestra empresa. Tendremos en cuenta aspectos tales como: 

    • utilizar mecanismos de autenticación internos o basados en servicios de autenticación de terceros (como la federación de identidades o el social-login) 

    • las tecnologías que utilizaremos: 

      • autenticación vía web 

      • ervicios de directorio 

      • LDAP 

    • factores de los mecanismos de autenticación (uno o varios): 

      • algo que somos (a través de técnicas biométricas) 

      • algo que sabemos (a través de contraseñas) 

      • algo que tenemos (a través de dispositivos personales, tokens criptográficos) 

  • Registro de eventosEstableceremos los mecanismos necesarios para registrar todos los eventos relevantes en el manejo de la información de la empresa. Registraremos convenientemente quién accede a nuestra información, cuando, cómo y con qué finalidad.  

  • Revisión de permisos. Revisaremos periódicamente que los permisos concedidos a los usuarios son los adecuados.  

  • Revocación de permisos y eliminación de cuentas. Al finalizar la relación contractual con el empleado es necesario revocar sus permisos de accesos a nuestros sistemas e instalaciones. Eliminaremos sus cuentas de correo, sus cuentas de acceso a los repositorios, servicios y aplicaciones. Además, exigiremos la devolución de cualquier activo de información que se le hubiese asignado (tarjetas de acceso o de crédito, equipos, dispositivos de almacenamiento, tokens criptográficos, etc.). 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.