UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO

FACULTAD DE INGENIERÍA ELÉCTRICA, ELECTRÓNICA,

INFORMÁTICA Y MECÁNICA

ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE

SISTEMAS

ASIGNATURA: Seguridad, control y auditoría de sistema de

información

TEMA: IMPLEMENTACIÓN DE LA CLÁUSULA N° 9 – CONTROL DE ACCESO

– DE LA NTP ISO/IEC 27001 – 2014

DOCENTE:

Mgt. Palomino Olivera Emilio

Alumnos:

● Ccoa Quintana, Charlyhe Javier 111176

● Ccopa Peralta, Ronnie Jimmy 110284
● Mora Quispe, Luis Angel 101663

CUSCO-PERÚ

2018
 ÍNDICE

INTRODUCCIÓN .................................................................................................................. 2
CAPÍTULO I. Aspectos Generales ........................................................................................ 5
1.1. Descripción del problema ........................................................................................ 5
1.2. Objetivos ..................................................................................................................... 6
1.2.1. Objetivo General .................................................................................................. 6
1.2.2. Objetivos Específicos ........................................................................................... 6
1.3. Justificación ................................................................................................................ 6
1.4. Antecedentes .............................................................................................................. 6
1.5. Alcances ..................................................................................................................... 6
1.6 Limitaciones ................................................................................................................. 6
1.7. Metodología ................................................................................................................ 7
CAPÍTULO II. Marco Teórico ................................................................................................. 8
2.1. Norma Técnica Peruana NTP-ISO/IEC 27001 2014. TECNOLOGÍA DE LA
INFORMACIÓN. Técnicas de seguridad. Sistemas de gestión de seguridad de la
información. Requisitos. ..................................................................................................... 8
2.1.1. Norma ISO/IEC 27001 - Gestión de la Seguridad de la Información ..................... 8
2.1.2. Estructura de la norma ISO 27001 ....................................................................... 9
2.1.3. Anexo A: Objetivos de control y control de referencia ..........................................10
2.1.4. Categoría ............................................................................................................12
2.1.5. Control.................................................................................................................12
2.2. Cláusula N°9: Control de acceso ...............................................................................12

1
 INTRODUCCIÓN

En la actualidad la información se ha convertido en el pilar muy importante en la sociedad, ya que

debido a esto se tomaran las medidas necesarias en cuanto a seguridad de la información preserva la

confidencialidad, integridad y disponibilidad de la información aplicando un proceso de gestión de

riesgos y proporcionar confianza a las partes interesadas en el sentido en que los riesgos se manejan

adecuadamente dentro de una organización.

RESEÑA HISTÓRICA

La Norma Técnica Peruana 27001:2014 fue preparada por el Comité Técnico conjunto ISO/IEC JTC

1, Tecnología de la información, Sub-comité SC 27, Técnicas de seguridad de la TI.

Fue elaborada por el Comité Técnico de Normalización de Codificación e intercambio electrónico

de datos, durante los meses de abril a junio del 2014, utilizando como antecedente la norma ISO/IEC

27001:2013. La nueva norma NTP ISO/IEC 27001:2014 cancela y reemplaza la primera edición (NTP-

ISO/IEC 27001:2008), la cual se ha revisado técnicamente. Desde el año 2016, en el Perú se tiene a la

NTP-ISO/IEC 27001 2014, que es la Norma Técnica Peruana que regula las Tecnologías de la

Información, y contiene el Código de buenas prácticas para la gestión de la seguridad de la

información. Mediante Resolución Ministerial N° 004-2016-PCM se aprueba el uso obligatorio de esta

norma en todas las entidades integrantes del Sistema Nacional de Informática.

La estructura de esta norma consta de 14 cláusulas de control de seguridad, 35 categorías

principales de seguridad y una cláusula introductoria conteniendo temas de evaluación y tratamiento

del riesgo. Cada categoría principal contiene un objetivo de control declarando lo que debe alcanzar y

uno o más controles que pueden ser aplicados para alcanzar el objetivo de control.

2
 Problemática

La NTP-ISO/IEC 27001 2014 es de obligación implementarlas para las entidades integrantes del

Sistema Nacional de Informática, tendrán un plazo máximo de dos (2) años para la implementación

y/o adecuación de la NTP-ISO/IEC 27001 2014.Dicha entidad tendrá un plazo de 60 días a partir de la

publicación, para presentar cronograma de implementación y/o adecuación del sistema de gestión de

la Seguridad de la Información que deberá ser presentado a la Oficina Nacional de Gobierno

Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros.

• Cualquier persona puede ingresar a los espacios físicos, sistemas (red), sin ninguna restricción.

• Accesos vulnerables.

• Vulnerabilidad ante un ataque.

• Sin un debido registro de usuarios en el sistema no se daría un buen control de estos.

• Usuarios habilitados en el sistema podrían ingresar a los módulos de la organización, sin

restricción alguna causando daños en el sistema.

• Ex-empleados de la institución con usuarios pueden ingresar y malograr la información de la

institución.

• Sin una actualización a los derechos de acceso de usuarios, los empleados promovidos no

podrán tener los privilegios que competen a su cargo, así como los empleados que bajen de

categoría tengan privilegios que no les competen.

• Sin un proceso de gestión formal los usuarios pueden entregar su información de

autentificación secreta a cualquier persona, provocando sanción a las autoridades

responsables en la entidad, por las acciones que puede realizar el usuario.

• Las restricciones de acceso no serán usadas correctamente si no se adecuan a las

especificaciones de la aplicación a las que se hace el acceso.

• El ingreso de cualquier persona al código fuente del sistema, podría causar modificaciones

malintencionadas que provoquen daños graves en la institución.

3
 Solución

Para garantizar la seguridad de la información de una organización, la NTP-ISO/IEC 27001:2014

proporciona medidas importantes, así mismo, en la cláusula 9 se dan las medidas para controlar los

accesos a tal información. Como solución se propone lo siguiente:

• El acceso es restringido y exclusivo para las personas autorizadas.

• El servicio de red es de uso restringido para el personal con previa autorización.

• Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido

específicamente autorizados a usar.

• Se conoce con exactitud a los usuarios registrados, lo cual permite un mejor control sobre el

manejo de la información en los diferentes SI.

• Los usuarios tienen acceso solo a los módulos que se les asigne sin provocar daño alguno a la

integridad de la información de la organización.

• Los usuarios son responsables del correcto uso de la autentificación secreta y de ser usada con

malas intenciones el usuario deberá ser sancionado.

• La revisión periódica de los derechos de acceso de usuarios garantiza la actualización de los

mismos ya sea en caso de ser promovido, removido y/o incorporado a la entidad.

• Un adecuado control de acceso al código fuente de los programas salvaguarda la integridad de

los diferentes programas de la entidad, de tal manera que se sabe con exactitud quién y/o

quienes son los responsables de las modificaciones realizadas al código fuente.

• Los usuarios deben ser exigidos a que sigan las prácticas de la organización en el uso de

información de autentificación secreta.

• La asignación y uso de derechos de acceso privilegiado debe ser restringida y controlada.

4
 CAPÍTULO I. Aspectos Generales

1.1. Descripción del problema

Un problema que se presenta en el mundo actual para todo tipo de instituciones, tiene que ver con

la seguridad y es que en las organizaciones, los propietarios de activos de información, quienes son

responsables ante la dirección de la protección sus activos, deberían tener la capacidad de definir y/o

aprobar las reglas de control de acceso y otros controles de seguridad pues ante incumplimientos, no

conformidades u otras eventualidades, las autoridades pertinentes responsabilizaran a la entidad.

Dentro del control de acceso se desea evitar la intromisión de algún usuario a los espacios físicos,

información, procesamiento de información, sistemas o aplicaciones por medio de accesos

vulnerables de la organización; es necesario restringir también el acceso a la red de la organización y

fortalecerla porque puede ser víctima de ataques delictivos. Otro parámetro importante de una

organización a tomar en cuenta son los usuarios, empleados y exempleados que son los que

interactúan con él y tienen acceso a la información de manera que puede ser dañada o divulgada

corrompiendo varias normas internas, afectando a la entidad y en el peor de lo escenarios sin

información sobre el autor del acto delictivo. Sin un proceso de gestión y regulación adecuado los

usuarios pueden entregar la información de autentificación secreta a cualquier persona, provocando

sanción a las autoridades responsables de la entidad.

El sistema de Control proporciona una seguridad razonable. Ya que reconoce que este tiene

limitaciones inherentes; esto puede traducirse en que jamás el directivo y sus trabajadores deben

pensar que, una vez implementado los controles, han erradicado las probabilidades de errores y

fraudes en la organización y que todos sus objetivos serán alcanzados, ya que estarían obviando la

posibilidad de que, así estén establecidos los procedimientos más eficientes, se puedan cometer

errores por descuido, malas interpretaciones, desconocimiento o distracción del personal o

5
sencillamente que algunas personas decidan cometer un hecho delictivo. Por tanto, el diseño de estos

debe ir enfocado a los recursos humanos, las vías y métodos para su mejoramiento continuo.

1.2. Objetivos

1.2.1. Objetivo General

Propuesta de implementación de 10 controles de la cláusula N° 9 Control de acceso en la NTP

ISO/IEC 27001:2014.

1.2.2. Objetivos Específicos

● Desarrollar las propuestas para controles seleccionados.

● Elaborar una propuesta de documentación para realizar el proceso de auditoría para cada uno

de los 10 controles.

● Evaluar la información recolectada para su posterior selección y organización.

● Desarrollar Diagramas que describan los procesos de negocio que sean abarcados por los

controles seleccionados.

1.3. Justificación

De acuerdo a la Resolución Ministerial N° 004-2016-PCM se aprueba el uso obligatorio de la norma

NTP-ISO/IEC 27001:2014 en todas las entidades integrantes del Sistema Nacional de Informática, por

tanto, con el presente trabajo se realizará una propuesta de implementación de 10 controles de la

cláusula N°9 Control de Acceso con el propósito de ser una guía de implementación para la norma y

permitir que las entidades puedan cumplir con ésta.

1.4. Antecedentes

Solo se cuenta con la NTP-ISO/IEC 27001 y sus precedentes.

1.5. Alcances

Solo se implementará 10 controles de la cláusula nro. 9.

1.6 Limitaciones

• No se realizaran pruebas con dicho documentos auditables.

6
 • No se cuenta con suficiente documentación y trabajos previos a este.

1.7. Metodología

Para la implementación de la cláusula de Control de Accesos se utilizará la metodología PHVA

(Planificar, Hacer, Verificar y Actuar), conocida también como ciclo PHVA, el cual es un ciclo dinámico

que puede ser empleado dentro de los procesos de la Organización. Es una herramienta de simple

aplicación y, cuando se utiliza adecuadamente, puede ayudar mucho en la realización de las

actividades de una manera más organizada y eficaz. Por tanto, adoptar la filosofía del ciclo PHVA

proporciona una guía básica para la gestión de las actividades y los procesos, la estructura básica de

un sistema, y es aplicable a cualquier organización.

De manera resumida, el ciclo PHVA se puede describir así:

1. Planificar: Establecer los objetivos y procesos necesarios para obtener los resultados, de

conformidad con los requisitos del cliente y las políticas de la organización.

2. Hacer: Implementar procesos para alcanzar los objetivos.

3. Verificar: Realizar seguimiento y medir los procesos y los productos en relación con las

políticas, los objetivos y los requisitos, reportando los resultados alcanzados.

4. Actuar: Realizar acciones para promover la mejora del desempeño del (los) proceso(s).

Ilustración 1 Gráfico del Ciclo Deming según la norma ISO 27001: Planificar-Hacer-Verificar-Actuar. Fuente:

(ISO/IEC, 2014)

7
 CAPÍTULO II. Marco Teórico

2.1. Norma Técnica Peruana NTP-ISO/IEC 27001 2014. TECNOLOGÍA DE LA

INFORMACIÓN. Técnicas de seguridad. Sistemas de gestión de seguridad de la

información. Requisitos.

Esta Norma Técnica Peruana ha sido preparada para proporcionar los requisitos para establecer,

implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la

información.

El sistema de gestión de seguridad de la información debe preservar la confidencialidad, integridad

y disponibilidad de la información aplicando un proceso de gestión de riesgos y proporciona confianza

a las partes interesadas en el sentido en que los riesgos se manejan adecuadamente.

Esta Norma Técnica Peruana reemplaza a la NTP-ISO/IEC 27001:2008(revisada el 2013) y es una

adopción de la norma ISO/TEC 27001:2013 y de la ISO/TEC 27001:2013/COR 1.

La Norma Técnica Peruana 27001 2014 se divide en 14 cláusulas de control de seguridad que

contiene colectivamente un total de 35 categorías principales de seguridad y cada categoría de una a

más controles.

2.1.1. Norma ISO/IEC 27001 - Gestión de la Seguridad de la Información

ISO/IEC 27001 es un conjunto de estándares desarrollados por la Organización Internacional de

Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), que proporcionan un marco de

gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o

privada, grande o pequeña.

Es la única norma internacional auditable que define los requisitos para un sistema de gestión de la

seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles

de seguridad adecuados y proporcionales.

8
 Esto ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes

interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer,

implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.

La norma ISO/IEC 27001 se ha convertido en la principal norma a nivel mundial para la seguridad

de la información y muchas empresas han certificado su cumplimiento.

2.1.2. Estructura de la norma ISO 27001

ISO/IEC 27001 se divide en 11 secciones más el anexo A; las secciones 0 a 3 son introductorias (y

no son obligatorias para la implementación), mientras que las secciones 4 a 10 son obligatorias, lo que

implica que una organización debe implementar todos sus requerimientos si quiere cumplir con la

norma. Los controles del Anexo A deben implementarse sólo si se determina que corresponden en la

Declaración de aplicabilidad.

• Sección 0 – Introducción – Explica el objetivo de ISO 27001 y su compatibilidad con otras

normas de gestión.

• Sección 1 – Alcance – Explica que esta norma es aplicable a cualquier tipo de organización.

• Sección 2 – Referencias normativas – Hace referencia a la norma ISO/IEC 27000 como estándar

en el que se proporcionan términos y definiciones.

• Sección 3 – Términos y definiciones – De nuevo, hace referencia a la norma ISO/IEC 27000.

• Sección 4 – Contexto de la organización – Esta sección es parte de la fase de Planificación del

ciclo PDCA (Planificar, Hacer, Verificar y Actuar) y define los requerimientos para comprender

cuestiones externas e internas, también define las partes interesadas, sus requisitos y el

alcance del SGSI.

• Sección 5 – Liderazgo – Esta sección es parte de la fase de Planificación del ciclo PDCA y define

las responsabilidades de la dirección, el establecimiento de roles y responsabilidades y el

contenido de la política de alto nivel sobre seguridad de la información.

9
 • Sección 6 – Planificación – Esta sección es parte de la fase de Planificación del ciclo PDCA y

define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la

Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los

objetivos de seguridad de la información.

• Sección 7 – Apoyo – Esta sección es parte de la fase de Planificación del ciclo PDCA y define los

requerimientos sobre disponibilidad de recursos, competencias, concienciación, comunicación

y control de documentos y registros.

• Sección 8 – Funcionamiento – Esta sección es parte de la fase de Planificación del ciclo PDCA y

define la implementación de la evaluación y el tratamiento de riesgos, como también los

controles y demás procesos necesarios para cumplir los objetivos de seguridad de la

información.

• Sección 9 – Evaluación del desempeño – Esta sección forma parte de la fase de Revisión del

ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación,

auditoría interna y revisión por parte de la dirección.

• Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y define

los requerimientos para el tratamiento de no conformidades, correcciones, medidas

correctivas y mejora continua.

• Anexo A Objetivos de control y control de referencia – Este anexo proporciona un catálogo de

114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones A.5 a A.18).

2.1.3. Anexo A: Objetivos de control y control de referencia

El Anexo A de la Norma ISO 27001 es probablemente el anexo más famoso de todas las normas

ISO, ello porque provee una herramienta esencial para la gestión de la seguridad: contiene 14

Clausulas, 35 objetivos de control y 114 controles (antes 133), cada cláusula contiene un número de

categorías principales de seguridad. Las 14 cláusulas son:

10
• 5 Políticas de seguridad de la Información – Controles acerca de cómo deben ser escritas y

revisadas las políticas.

• 6 Organización de la seguridad de la información – Controles acerca de cómo se asignan las

responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo.

• 7 Seguridad de los Recursos Humanos – Controles antes, durante y después de emplear.

• 8 Gestión de recursos – Controles acerca de lo relacionado con el inventario de recursos y su uso

aceptable, también la clasificación de la información y la gestión de los medios de

almacenamiento.

• 9 Control de Acceso – Controles para las políticas de control de acceso, gestión de acceso de los

usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.

• 10 Criptografía – Controles relacionados con la gestión de encriptación y claves.

• 11 Seguridad física y ambiental – Controles que definen áreas seguras, controles de entrada,

protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y

pantalla despejadas, etc.

• 12 Seguridad Operacional – Muchos de los controles relacionados con la gestión de la producción

en TI: gestión de cambios, gestión de capacidad, malware, respaldo, bitácoras, espejos, instalación,

vulnerabilidades, etc.

• 13 Seguridad de las Comunicaciones – Controles relacionados con la seguridad de redes,

segregación, servicios de redes, transferencia de información, mensajería, etc.

• 14 Adquisición, desarrollo y mantenimiento de Sistemas – Controles que definen los requerimientos

de seguridad y la seguridad en los procesos de desarrollo y soporte.

• 15 Relaciones con los proveedores – Controles acerca de qué incluir en los contratos, y cómo hacer

el seguimiento a los proveedores.

• 16 Gestión de Incidentes en Seguridad de la Información – Controles para reportar los eventos y

debilidades, definir responsabilidades, procedimientos de respuesta, y recolección de evidencias.

11
 • 17 Aspectos de Seguridad de la Información de la gestión de la continuidad del negocio – Controles

que requieren la planificación de la continuidad del negocio, procedimientos, verificación y

revisión, y redundancia de TI.

• 18 Cumplimiento – Controles que requieren la identificación de las leyes y regulaciones aplicables,

protección de la propiedad intelectual, protección de datos personales, y revisiones de la

seguridad de la información.

2.1.4. Categoría

Dentro del anexo A Objetivos de control y control de referencia se hallan los objetivos de control,

que declaran los que se debe alcanzar y controles que pueden ser aplicados para alcanzar el objetivo

del control.

2.1.5. Control

En cada Categoría existe un control que define el título del control y declara el control para

satisfacer el objetivo de control.

2.2. Cláusula N°9: Control de acceso

La cláusula N° 09 “Control de Acceso” contiene en su estructura a cuatro categorías principales, las

cuales a su vez contienen diferentes controles:

9.1 Requisitos de la empresa para el control de acceso

Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de la

información.

Se debería controlar el acceso a la información y los procesos del negocio sobre la base de los

requisitos de seguridad y negocio. Se deberían tener en cuenta para ello las políticas de distribución

de la información y de autorizaciones. Se implementaron los controles:

9.1.1 Políticas de control de acceso

9.1.2 Acceso a redes y servicios de red

12
 9.2 Gestión de acceso de usuario

Objetivo: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los

sistemas y servicios.

Estos procedimientos deberían cubrir todas las etapas del ciclo de vida del acceso de los usuarios,

desde el registro inicial de los nuevos usuarios hasta la baja del registro de los mismos. Se debe

prestar especial atención al control de la asignación de derechos de acceso privilegiados que permitan

a ciertos usuarios evitar los controles del sistema. Se implementaron los controles:

9.2.1 Registro y baja de usuarios

9.2.3 Gestión de derechos de acceso privilegiados

9.2.4 Gestión de información de autentificación secreta de usuarios

9.2.5 Revisión de derechos de acceso de usuarios

9.3 Responsabilidades de los usuarios

Objetivo: Hacer que los usuarios respondan por la salvaguarda de su información de

autentificación.

Los usuarios deberían ser conscientes de sus responsabilidades en el mantenimiento de la eficacia

de las medidas de control de acceso, en particular respecto al uso de contraseñas y a la seguridad del

material puesto a su disposición.

Un escritorio limpio, así como una política de pantalla clara debe ser implementado con el fin de

reducir el riesgo de acceso no autorizado o de daño a los papeles, medios e instalaciones del

procesamiento de información. Se implementó el control:

9.3.1 Uso de información de autentificación secreta

9.4 Control de acceso a sistema y aplicación

Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones

13
 Se debe usar las facilidades de seguridad lógica dentro de los sistemas de aplicación para restringir

el acceso, también se debe restringir el acceso lógico a los sistemas sólo a los usuarios autorizados. Las

aplicaciones deberían:

Controlar el acceso de los usuarios a la información y las funciones del sistema de aplicación, de

acuerdo con la política de control de accesos.

Protegerse de accesos no autorizados desde otras facilidades o software de sistemas operativos

que sean capaces de eludir los controles del sistema o de las aplicaciones.

No comprometer la seguridad de otros sistemas con los que se compartan recursos de

información. Se implementaron los controles:

9.4.1 Restricción de acceso a la información.

9.4.3 Sistema de gestión de contraseñas

9.4.5 Control de acceso al código fuente de los programas

A continuación se describe los objetivos de cada categoría y se muestran los controles que se

desarrollaran de cada una.

9 Control de acceso
9.1 Requisitos de la empresa para el control de acceso
Objetivos: Limitar el acceso a la información y a las instalaciones de procesamiento de la información.
9.1.1 Política de control de acceso Control
Una política de control de acceso debe ser establecida,
documentada y revisada basa en requisitos del negocio de
seguridad de la información.
9.1.2 Acceso a redes y servicios de Control
red Los usuarios deben tener acceso solamente a la red y a
servicios de red que hayan sido específicamente
autorizados a usar.

14
9.2 Gestión de acceso de usuario
Objetivos: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas
y servicios
9.2.1 Registro y baja de usuarios Control
Un proceso formal de registro y baja de usuarios debe ser
implementado para permitir la asignación de derechos de
acceso.
9.2.2 Aprovisionamiento de acceso Control
a usuario Un proceso formal de aprovisionamiento de acceso a
usuarios debe ser implementado para asignar o revocar los
derechos de acceso para todos los tipos de usuarios a todos
los sistemas y servicios.
9.2.3 Gestión de derechos de Control
acceso privilegiados La asignación y uso de derechos de acceso privilegiado
debe ser restringida y controlada.
9.2.4 Gestión de información de Control
autentificación secreta de La asignación de información de autentificación secreta
usuarios. debe ser controlada a través de un proceso de gestión
formal.
9.2.5 Revisión de derechos de Control
acceso de usuarios Los propietarios de los activos deben revisar los derechos
de acceso de usuario a intervalos regulares.
9.2.6 Remoción o ajuste de Control
derechos de acceso Los derechos de acceso a información e instalaciones de
procesamiento de información de todos los empleados y de
los usuarios de partes externas deben removerse al término
de su empleo, contrato o acuerdo, o ajustarse según el
cambio.
9.3 Responsabilidades de los usuarios
Objetivo: Hacer que los usuarios respondan por la salvaguarda de su información de autentificación
9.3.1 Uso de información de Control
autentificación secreta Los usuarios deben ser exigidos a que sigan las prácticas de
la organización en el uso de información de autentificación
secreta.

15
9.4 Control de acceso a sistema y aplicación
Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones
9.4.1 Restricción de acceso a la Control
información El acceso a la información y a las funciones del sistema de
aplicación debe ser restringido en concordancia con la
política de control de acceso.
9.4.2 Procedimientos de ingreso Control
seguro Donde la política de control de acceso lo requiera, el acceso
a los sistemas y a las aplicaciones debe ser controlado por
un procedimiento de ingreso seguro.

9.4.3 Sistemas de gestión de Control

contraseñas Los sistemas de gestión de contraseñas deben ser
interactivos y deben asegurar contraseñas de calidad.
9.4.4 Uso de programas utilitarios Control
privilegiados El uso de programas utilitarios que podrían ser capaces de
pasar por alto los controles del sistema y de las aplicaciones
debe ser restringido y controlarse estrictamente.
9.4.5 Control de acceso al código Control
fuente de los programas El acceso al código fuente de los programas debe ser
restringido.

16