SEGURIDAD DE

SISTEMAS

“TRABAJO DE
INVESTIGACIÓN”
ESTUDIANTES:
- COA APAZA AYAR INTI
9862294 LP.
- MARCA GUARACHI BRAYAN
FAVIO 9898096 LP.
- SACARI QUISPE LEO BELTRÁN
9201596 LP.
MATERIA: SEGURIDAD DE
SISTEMAS
 CONTR
1. INTRODUCCIÓN
OL DE
ACCESO
La seguridad y los controles de acceso a la información, son temas que han ganado cuerpo en
los últimos años, obteniendo espacio en los medios y convirtiéndose en «commodity», en
empresas de los más variados portes y segmentos. En contrapartida es importante subrayar que
la popularización del término SI (Seguridad de la Información) fue motivada por la elevación en el
número de incidentes de seguridad, ocurridos a nivel mundial. Los trastornos generados por esos
incidentes son variados, generando daños a la imagen del negocio o fuga de informaciones
críticas, lo que puede resultar en pérdidas financieras sustanciales.

En medio de este escenario surgió la norma internacional ISO/IEC 27002, que se centra en las
buenas prácticas para gestión de la seguridad de la información y controles de acceso.

Para impedir el acceso no autorizado al Sistema de Gestión de Seguridad de la Información

según la norma ISO 27002 se deberán implementar procedimientos formales para controlar la
asignación de derechos de acceso a los sistemas de información, bases de datos y servicios de
información, y estos deben estar de forma clara en los documentos, los comunicados y
controlarlos en cuanto a su cumplimiento.

En los días de hoy esta ISO es fundamental para la consolidación de un Sistema de Gestión de
Seguridad de la Información (SGSI), garantizando la continuidad y el mantenimiento de los
procesos de seguridad, alineados a los objetivos estratégicos de la organización.

En este trabajo se dará a conocer los procedimientos formales que nos ayudará al control de
accesos, en base a la ISO27002.

2. ALCANCE

Los controles de accesos están orientadas a controlar y monitorizar los accesos a los medios de
información de acuerdo a las políticas definidas por la organización, considerando los 4 objetivos
de control de acceso.

3. OBJETIVOS

 Dar a conocer las medidas de control de accesos que están orientadas a controlar y
monitorizar los accesos a los medios de información de acuerdo a las políticas definidas
por la organización, tomando en cuenta la ISO27002.

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 2

 4. DESARROLLO

¿QUE ES UN CONTROL DE ACCESO?

Un control de acceso es un sistema automatizado que permite de forma eficaz, aprobar o negar
el paso de personas o grupo de personas a zonas restringidas en función de ciertos parámetros
de seguridad establecidos por una empresa, comercio, institución o cualquier otro ente.

Los controles de acceso también hacen posible llevar un registro automatizado de los
movimientos de un individuo o grupo dentro de un espacio determinado.

NORMA ISO 27002 Y LOS CONTROLES DE ACCESO

El objetivo de la norma ISO 27002 es controlar el acceso mediante un sistema de restricciones y

excepciones a la información como base de todo Sistema de Seguridad de la Información.

Para impedir el acceso no autorizado al Sistema de Gestión de Seguridad de la Información

según la norma ISO 27002 se deberán implementar procedimientos formales establecidos en el
dominio de CONTROL DE ACCESO, el cual presenta 4 objetivos fundamentales y 14 controles;
todo ello para controlar la asignación de derechos de acceso a los sistemas de información.

A continuación se describe el dominio de control de acceso, sus objetivos y sus controles:

CONTROL DE ACCESO

1. REQUISITOS COMERCIALES DEL CONTROL DE ACCESO

Objetivo: limitar el acceso a la información y a las instalaciones de procesamiento de la

información.

1.1. POLÍTICA DE CONTROL DE ACCESO

Control

Se debería establecer, documentar y revisar una política de control de acceso en

base a los requisitos del negocio y de la seguridad de la información.

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 3

 DESCRIPCIÓN

Requisitos para definir las reglas de control de acceso a la información, o sea los
derechos y restricciones de acceso a la información

El requisito exacto de este punto, especifica la necesidad de establecer,

documentar y revisar la política de control de acceso periódicamente, lo que
significa que una política documentada es obligatoria.

1.2. ACCESO A REDES Y SERVICIOS DE RED

Control

Los usuarios solo deberían tener acceso a la red y a los servicios de red en los
que cuentan con autorización específica.

DESCRIPCIÓN

Se trata de un requisito para la gestionar la autorización de los usuarios que

acceden a los recursos de red

Para ello se exige como requisito elaborar una política específica para el uso de
los recursos de red

2. ADMINISTRACIÓN DE ACCESO A LOS USUARIOS

Objetivo: garantizar el acceso autorizado a los usuarios y evitar el acceso no autorizado a

los sistemas y servicios

2.1. REGISTRO Y CANCELACIÓN DE REGISTROS DE USUARIOS

Control

Se debería implementar un proceso formal de registro y cancelación de registro de

un usuario para permitir la asignación de derechos de acceso.

DESCRIPCIÓN

Se trata de un control para el alta y baja de los usuarios. Este control exige
establecer un proceso de altas y bajas que permite los derechos de acceso
teniendo en cuenta, un registro de IDs o cuentas de usuario donde se vincula o
identifica al usuario, los IDs deben desactivarse automáticamente o de forma
inmediata cuando el usuario abandona la organización, la eliminación periódica de
usuarios redundantes, los IDs redundantes nunca pueden ser asignados a otros
usuarios.

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 4

 2.2. ENTREGA DE ACCESO A LOS USUARIOS

Control

Se debería implementar un proceso formal de entrega de acceso a los usuarios

para asignar o revocar derechos de acceso para todos los tipos de usuarios y
todos los sistemas y servicios.

DESCRIPCIÓN

Se debe establecer un proceso formal que incluya la aprobación del propietario del
servicio o sistema, se garantice que el acceso no se da hasta finalizar el proceso
de autorización, se mantenga un registro de los accesos concedidos y se eliminen
los accesos de usuarios que han abandonado la organización.

2.3. ADMINISTRACIÓN DE DERECHOS PRIVILEGIADO

Control

La asignación y el uso de derechos de acceso privilegiado se deberían restringir y

controlar.

DESCRIPCIÓN

El control de los derechos de acceso privilegiados debe realizarse de forma

independiente mediante un proceso específico que tenga en cuenta las políticas
de acceso privilegiado definidas, se identifiquen accesos privilegiados de cada
sistema o proceso, se tenga en cuenta las reglas generales de mínimos privilegios,
se establezca una norma de caducidad, se definan IDs especiales, se definan
procedimientos para evitar el uso no autorizado de cuentas y se verifiquen
periódicamente las competencias de los usuarios.

2.4. ADMINISTRACIÓN DE LA INFORMACIÓN DE AUTENTICACIÓN SECRETA

DE LOS USUARIOS

Control

La asignación de la información de autentificación secreta se debería controlar a

través de un proceso de administración formal.

DESCRIPCIÓN

Es el control para garantizar que se mantiene la confidencialidad de la información

secreta de acceso (p. ejemplo contraseñas). Gestionar la información de
autenticación supone controlar: incluir cláusulas en contratos y condiciones de

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 5

 puesto de trabajo sobre el mantenimiento del secreto de las contraseñas o
información de autenticación.

2.5. REVISIÓN DE LOS DERECHOS DE ACCESO DE USUARIOS

Control

Los propietarios de activos deberían revisar los derechos de acceso de los

usuarios a intervalos regulares.

DESCRIPCIÓN

Es el control para establecer una revisión periódica de los permisos de accesos de

los usuarios, revisar derechos de acceso a la terminación de empleo o cambios en
la organización (cambios de empleo o promociones),limitar en el tiempo los
derechos de acceso con privilegios especiales, revisar las cuentas con privilegios
especiales periódicamente y registrar los cambios que se realicen.

2.6. ELIMINACIÓN O AJUSTE DE LOS DERECHOS DE ACCESO

Control

Los derechos de acceso para todos los empleados y usuarios externos a la

información y a las instalaciones de procesamiento de información se deberían
eliminar al término de su empleo, contrato o acuerdo, o se deberían ajustar en
caso de realizarse cambios en el empleo.

DESCRIPCIÓN

Es el control que garantiza que se modifican los derechos de acceso al finalizar el

empleo o cambiar de puesto dentro de la organización.

3. RESPONSABILIDADES DE USUARIO

Objetivo: hacer que los usuarios sean responsables de proteger su información de

autenticación.

3.1. USO DE INFORMACIÓN DE AUTENTICACIÓN SECRETA

Control

Se debería exigir al usuario seguir las prácticas de la organización en el uso de

información de autenticación secreta.

DESCRIPCIÓN

Cada organización debe establecer normas para la utilización de contraseñas

basándose en: Asegurar que las contraseñas no se divulguen, evitar el uso de

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 6

 registros de contraseñas (papel, archivos etc.), políticas para cambiar las
contraseñas ante amenazas.

Además de tener políticas para la calidad de las contraseñas, evitar el

almacenamiento de contraseñas, forzar cambios de contraseñas iniciales y evitar
compartir contraseñas para distintos usos

4. CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES

Objetivo: evitar el acceso no autorizado a los sistemas y aplicaciones.

4.1. RESTRICCIÓN DE ACCESO A LA INFORMACIÓN

Control

El acceso a la información y a las funciones del sistema de aplicación se debería

restringir de acuerdo a la política de control de acceso.

DESCRIPCIÓN

Las funciones de una aplicación o sistema deben considerar las restricciones de

control de acceso determinadas por la política de control definido: Utilice menús
para controlar el acceso a las distintas funciones, oculte las funciones de
administración a los usuarios habituales, determine que datos son accesibles
determinando que datos pueden estar disponibles para cada ID de usuario.
Restringa de forma selectiva derechos de lectura / escritura / eliminación /
ejecución etc.

4.2. PROCEDIMIENTOS DE INICIO DE SESIÓN SEGUROS

Control

Cuando lo requiera la política de control de acceso, el acceso a los sistemas y

aplicaciones debería estar controlado por un procedimiento de inicio de sesión
seguro.

DESCRIPCIÓN

El inicio de sesión seguro debe ser capaz de corroborar la identidad del usuario.

Cuando la clasificación de la información lo requiera por política, se debe

considerar la autenticación sólida por encima y más allá de la simple identificación
de usuario y contraseña. (Controles adicionales físicos o lógicos)

4.3. SISTEMA DE ADMINISTRACIÓN DE CONTRASEÑAS

Control

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 7

 Los sistemas de administración de contraseñas deberían ser interactivos y
deberían garantizar contraseñas de calidad.

DESCRIPCIÓN

A modo de refuerzo de lo dicho hasta ahora sobre las contraseñas, los sistemas
de administración deben aplicar contraseñas de calidad, rechazar contraseñas
débiles, requerir confirmación y, si se emiten con ID, forzar el cambio de las
contraseñas en el primer inicio de sesión.

También se deben establecer cambios de contraseñas de forma periódica,

además de registrar todas las contraseñas y rechazar contraseñas similares
utilizadas anteriormente.

4.4. USO DE PROGRAMAS DE UTILIDAD PRIVILEGIADOS

Control

El uso de programas de utilidad que pueden ser capaces de anular e de aplicación

se deberían restringir y controlar íntegramente.

DESCRIPCIÓN

El uso de programas de utilidad que pueden ser capaces de anular el sistema y los
controles de aplicación deberían ser restringidos y supervisados de manera
especial. Los programas con funciones privilegiadas deberían requerir
autenticación por separado y estar segregados de las aplicaciones del sistema.
Todas las actividades deben registrarse. Se debe considerar nuevamente la
segregación de funciones cuando sea posible.

4.5. CONTROL DE ACCESO AL CÓDIGO DE FUENTE DEL PROGRAMA

Control

Se debería restringir el acceso al código de fuente de programas.

DESCRIPCIÓN

El código fuente debe estar protegido con acceso restringido mediante el uso de
librerías fuente. El código fuente no debería protegerse con aplicaciones de red.
Por otro lado se establecen controles para mantener registros de la salida y de
auditoría de los cambios realizados en el código. La mayoría de las herramientas
de desarrollador tienen esta función. El desarrollo debe estar sujeto a un entorno
“beta” de prueba antes del lanzamiento y la migración a la red o aplicación en
operación.

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 8

 5. EJEMPLOS

A continuación se muestran algunos ejemplos de los diferentes controles, descritos en el dominio

de Control de Acceso:

CONTROL DE ACCESO

1. REQUISITOS COMERCIALES DEL CONTROL DE ACCESO

1.1. POLÍTICA DE CONTROL DE ACCESO

Autenticación Biométrica

1.2. ACCESO A REDES Y SERVICIOS DE RED

Conexiones solo desde dispositivos de la empresa y no así vía wifi.

2. ADMINISTRACIÓN DE ACCESO A LOS USUARIOS

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 9

 2.1. REGISTRO Y CANCELACIÓN DE REGISTROS DE USUARIOS

Registro de usuarios para la empresa AUTENTIA.

2.2. ENTREGA DE ACCESO A LOS USUARIOS

Acceso de usuarios a distintos destinos del sistema.

2.3. ADMINISTRACIÓN DE DERECHOS PRIVILEGIADO

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 10

 Ingreso al sistema por el personal autorizado

2.4. ADMINISTRACIÓN DE LA INFORMACIÓN DE AUTENTICACIÓN SECRETA DE

LOS USUARIOS

Un control para garantizar que se mantiene la confidencialidad de la información secreta de acceso

es la contraseña

2.5. REVISIÓN DE LOS DERECHOS DE ACCESO DE USUARIOS

Revisiones periódicas en caso de que el personal se cambió de trabajo y sea promovido.

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 11

 2.6. ELIMINACIÓN O AJUSTE DE LOS DERECHOS DE ACCESO

Control para garantizar que se modifican los derechos de acceso en caso de que el personal se
cambió de trabajo y sea promovido.

3. RESPONSABILIDADES DE USUARIO

3.1. USO DE INFORMACIÓN DE AUTENTICACIÓN SECRETA

Autenticación secreta, evitando papeles o archivos inseguros

4. CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES

4.1. RESTRICCIÓN DE ACCESO A LA INFORMACIÓN

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 12

 Restricción de algunas aplicaciones para el usuario.

4.2. PROCEDIMIENTOS DE INICIO DE SESIÓN SEGUROS

Los sistemas deberían mostrar advertencias evitando proporcionar mensajes de ayuda que podrían
dar pistas a los usuarios no deseados.

4.3. SISTEMA DE ADMINISTRACIÓN DE CONTRASEÑAS

Sistema de administración de contraseñas

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 13

 4.4. USO DE PROGRAMAS DE UTILIDAD PRIVILEGIADOS

Control de uso de programas en las cuentas de usuario.

4.5. CONTROL DE ACCESO AL CÓDIGO DE FUENTE DEL PROGRAMA

Acceso restringido mediante el uso de librerías.

6. CONCLUSIONES Y RECOMENDACIONES

Como consecuencia de lo expuesto en el informe, se puede llegar a las siguientes conclusiones:

● El acceso a la información, así como a los recursos de procesamiento de la información y

los procesos de negocios, debe ser controlado con base en los requisitos de negocio y en
la seguridad de la información. Debe garantizarse el acceso de usuario autorizado y
prevenido el acceso no autorizado a los sistemas de información, a fin de evitar daños a
documentos y recursos de procesamiento de la información que estén al alcance de
cualquiera.

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 14

 ● La cooperación de todos los usuarios es esencial para la eficiencia de la seguridad, por lo
que es necesario que se conciencie sobre las responsabilidades que tiene el
mantenimiento de los controles de acceso eficientes, en particular aquellos que se
relacionan con la utilización de las contraseñas y la seguridad del equipamiento.

● Es primordial resaltar la importancia de que las empresas posean profesionales

certificados en sus equipos de seguridad, dando mayor respaldo al proceso de
implantación de las buenas prácticas relacionadas a la norma, así como la obtención de
certificación corporativa ISO 27001.

7. BIBLIOGRAFÍA

Páginas Web consultadas:

 https://normaiso27001.es/a9-control-de-acceso/
 https://www.pmg-ssi.com/2017/08/norma-iso-27002-control-de-accesos/
 https://ostec.blog/es/generico/iso-27002-buenas-practicas-gsi

Libros consultados:

 Norma Boliviana – NB/ISO/IEC 27002

TRABAJO DE INVESTIGACIÓN – SEGURIDAD DE SISTEMAS Página 15