Linea base de seguridad de la informacion

1. OBJETIVO:

Implementar una Línea Base de Seguridad para Software y Aplicaciones que se utilizan en la organización:

a. Desactivar los usuarios y servicios por defecto.

b. Definir roles.

c. Acceso a los usuarios autorizados.

d. Establecer un estándar para la fortaleza de las contraseñas.

2. ALCANCE:

A todos los programas o software (FIREWALL) y aplicaciones de la organización

3. DEFINICIONES:

• Línea Base:

• Software Base:

En terminología informática el software de sistema, denominado también software de base, consiste en un software que sirve para controlar e interactuar con el sistema operativo, proporcionando control sobre el hardware y dando soporte a otros programas; en contraposición del llamado software de aplicación.

• Sistema Operativo

Conjunto de órdenes y programas que controlan los procesos básicos de una computadora y permiten el funcionamiento de otros programas. Un sistema operativo permite interactuar con el hardware de computadoras, teléfonos celulares, PDAs, etc. y ejecutar programas compatibles en éstos. Ejemplos: OS X., Windows, GNU/Linux, Unix, Solaris, FreeBSD, OpenBSD, Google Chrome OS

• Roles de Usuario:

Un rol de usuario permite conectar usuarios a compañías; se hace al usuario responsable de la compañía. Se pueden crear varios roles de usuario y luego asignar tareas específicas a los distintos roles.

• Contraseña:

Una contraseña o password es una serie secreta de caracteres que permite a un usuario tener acceso a un archivo, a un ordenador, o a un programa. En sistemas multiusos, cada usuario debe incorporar su contraseña antes de que el ordenador responda a los comandos.

4. RESPONSABILIDAD:

• El Oficial de seguridad de la información y el asistente de TI son los responsables de cumplir el presente procedimiento.

5. PROCEDIMIENTO:

5.1. la definición de roles

? USUARIO

? ADMINISTRADOR

5.2. la desactivación de los usuarios y servicios por defecto

SE DESACTIVARA LA CUENTA ADMINISTRADOR Y LOS SERVICIOS NO UTILIZADOS.

5.3. la autorización de acceso sólo a los usuarios autorizados.

a. Definir un estándar para fortaleza de la contraseña, basada en longitud mínima de 6 caracteres, y juego de caracteres alfanuméricos y mayúsculas.

DESACTIVACION DE USUARIOS Y SERVICIOS POR DEFECTO:

Los accesos concedidos son revisados periódicamente, revocando los derechos de los usuarios cuya vigencia de autorización haya caducado. (política de seguridad 11.6 a).

b. Definir los permisos que se han de otorgar a los usuarios privilegiados.

DEFINICION DE ROLES:

La administración de accesos a las aplicaciones son según los perfiles y

privilegios definidos siguiendo el numeral 11 Control de Accesos.

(política de seguridad 12.1 c)

SE HA DEFINIFDO COMO ROLES SOLO USUARIO Y ADMINSITRADOR

c. Desactivar el usuario Administrador del pc.

ACCESO DE USUARIO AUTORIZADOS.

Los usuarios de los sistemas de información, incluyendo aplicaciones, sistemas operativos, herramientas ofimáticas y sistemas de comunicación, tienen privilegios de acceso definidos en perfiles de usuario, consistentes con sus funciones y sus responsabilidades asignadas. otorgando los mínimos privilegios necesarios para que cada rol pueda ejecutar sus funciones de manera adecuada. Solo el permiso del administrador se encuentra restringido. (política de seguridad 11.2 b)

d. Usar contraseñas distintas para cada usuario, evitando reutilizarlas, y mantener un registro de estas.

e. Indicar al usuario su nueva contraseña.

6. REGISTROS:

• No Aplica.

...