normas internacionales seguridad de las aplicaciones
TRANSCRIPT
Normas Internacionales Normas Internacionales
Seguridad de las AplicacionesSeguridad de las Aplicaciones
Normas InternacionalesNormas Internacionales
IntroducciónIntroducción ISO 17799ISO 17799 ISO 15408ISO 15408 COBITCOBIT SP800-14+27SP800-14+27 SAS 94SAS 94
IntroducciónIntroducción
Énfasis en seguridad de redesÉnfasis en seguridad de redes Un igual o mayor riesgo puede ser asociado con Un igual o mayor riesgo puede ser asociado con
aplicaciones críticasaplicaciones críticas Varias normas enfatizan la seguridad de las Varias normas enfatizan la seguridad de las
aplicaciones, incluso la confidencialidad, aplicaciones, incluso la confidencialidad, integridad y disponibilidad.integridad y disponibilidad.
Algunas áreas de seguridad específicas ponen Algunas áreas de seguridad específicas ponen énfasis en las normas, por ejemplo : controles énfasis en las normas, por ejemplo : controles de acceso, ciclo de vida y control de de acceso, ciclo de vida y control de criptografía.criptografía.
IntroducciónIntroducción
La seguridad de la aplicación se puede definir como :La seguridad de la aplicación se puede definir como :
““Un conjunto de mecanismos de Un conjunto de mecanismos de seguridad alrededor de una aplicación que seguridad alrededor de una aplicación que protege su confidencialidad, integridad y protege su confidencialidad, integridad y disponibilidad”disponibilidad”
IntroducciónIntroducción
Las aplicaciones en el ambiente de producción moderno, Las aplicaciones en el ambiente de producción moderno, no operan en un vacío.no operan en un vacío.
El análisis del proceso comercial se utiliza para entender El análisis del proceso comercial se utiliza para entender el papel y funcionamiento de una aplicación.el papel y funcionamiento de una aplicación.
La administración de riesgos es importante para dirigir y La administración de riesgos es importante para dirigir y asignar los recursos de seguridad a las áreas más asignar los recursos de seguridad a las áreas más críticas.críticas.
ISO 17799ISO 17799
Publicada el año 2000 y esta basada en la norma 7799 Publicada el año 2000 y esta basada en la norma 7799 del año 1995.del año 1995.
Es un conjunto de controles que considera las mejores Es un conjunto de controles que considera las mejores prácticas en seguridad de información incluyendo las prácticas en seguridad de información incluyendo las políticas, prácticas, procedimientos, estructuras políticas, prácticas, procedimientos, estructuras organizacionales y funciones del softwareorganizacionales y funciones del software
Recomienda realizar y mantener un documento Recomienda realizar y mantener un documento “Administración Sistema Seguridad de la Información”.“Administración Sistema Seguridad de la Información”.
Debe enfocarse en identificar los recursos de Debe enfocarse en identificar los recursos de información críticos e identificar los niveles de seguridad información críticos e identificar los niveles de seguridad requeridos.requeridos.
ISO 17799ISO 17799
Los controles detallados son organizados en 10 Los controles detallados son organizados en 10 secciones principales :secciones principales : La Política de SeguridadLa Política de Seguridad La Organización de la SeguridadLa Organización de la Seguridad La Clasificación y Control del RecursoLa Clasificación y Control del Recurso La Seguridad del PersonalLa Seguridad del Personal La Seguridad Física y Medio AmbientalLa Seguridad Física y Medio Ambiental Comunicaciones y Administración de las OperacionesComunicaciones y Administración de las Operaciones Control de AccesoControl de Acceso El Desarrollo y Mantención de SistemasEl Desarrollo y Mantención de Sistemas Administración del Plan de ContinuidadAdministración del Plan de Continuidad
ISO 17799ISO 17799
Seguridad de la AplicaciónSeguridad de la Aplicación La sección de Desarrollo y Mantención de Sistemas La sección de Desarrollo y Mantención de Sistemas
provee objetivos de seguridad específicos, riesgos y provee objetivos de seguridad específicos, riesgos y controles relativos a la seguridad de la aplicacióncontroles relativos a la seguridad de la aplicación
El objetivo básico es prevenir la pérdida , El objetivo básico es prevenir la pérdida , modificación o mal uso de los datos del usuario.modificación o mal uso de los datos del usuario.
Controles deben ser diseñados alrededor de la Controles deben ser diseñados alrededor de la entrada, proceso y salida de datos.entrada, proceso y salida de datos.
ISO 17799ISO 17799
Los controles específicos de entrada incluyen chequeos Los controles específicos de entrada incluyen chequeos de doble ingreso.de doble ingreso.
El procesamiento de datos incluye controles para El procesamiento de datos incluye controles para proteger la integridad de la información, como por proteger la integridad de la información, como por ejemplo totales de control.ejemplo totales de control.
Controles de salida deben incluir la posibilidad de Controles de salida deben incluir la posibilidad de verificar la razonabilidad de los datos y control de verificar la razonabilidad de los datos y control de conciliación para asegurar el proceso de la totalidad de conciliación para asegurar el proceso de la totalidad de la información.la información.
Los controles de criptografía son analizados con el Los controles de criptografía son analizados con el objetivo de proteger la confidencialidad, autenticidad e objetivo de proteger la confidencialidad, autenticidad e integridad de la información. integridad de la información.
ISO 17799ISO 17799
Las políticas son apropiadas aquí para identificar la Las políticas son apropiadas aquí para identificar la información sensible, que requiere protección.información sensible, que requiere protección.
Los algoritmos de encriptación y largo de las llaves son Los algoritmos de encriptación y largo de las llaves son problemas importantes.problemas importantes.
El control de las firmas digitales y administración de las El control de las firmas digitales y administración de las claves de criptografía son importantes para proteger la claves de criptografía son importantes para proteger la autenticidad e integridad de los documentos autenticidad e integridad de los documentos electrónicos.electrónicos.
La administración de claves incluye las funciones críticas La administración de claves incluye las funciones críticas de generación, distribución, almacenamiento y de generación, distribución, almacenamiento y revocación de claves. revocación de claves.
ISO 15408ISO 15408Criterio de Evaluación para Seguridad de TICriterio de Evaluación para Seguridad de TI
Esta basado en el “Esta basado en el “criterio comúncriterio común” para evaluar ” para evaluar productos de TI y sistemas.productos de TI y sistemas.
La función de “La función de “criterio comúncriterio común” es una norma para medir ” es una norma para medir la seguridad y confiabilidad asociada con un producto.la seguridad y confiabilidad asociada con un producto.
El objetivo es prevenir el acceso no autorizado, El objetivo es prevenir el acceso no autorizado, modificación o pérdida de uso, similar a confidencialidad, modificación o pérdida de uso, similar a confidencialidad, integridad y disponibilidad.integridad y disponibilidad.
Fue publicado en 1999 por un consorcio de EE.UU y la Fue publicado en 1999 por un consorcio de EE.UU y la ISO Europea, y fue autorizado al ISO como ISO/IEC ISO Europea, y fue autorizado al ISO como ISO/IEC 1540815408
ISO 15408ISO 15408
Los usuarios pueden usar la norma para determinar si Los usuarios pueden usar la norma para determinar si una aplicación o sistema cumple con sus una aplicación o sistema cumple con sus requerimientos.requerimientos.
Los diseñadores usan la norma como una guía para Los diseñadores usan la norma como una guía para diseñar y construir un producto.diseñar y construir un producto.
Los evaluadores usan la norma para probar los Los evaluadores usan la norma para probar los productos y determinar que funcionalidad esta incluida.productos y determinar que funcionalidad esta incluida.
Pueden evaluarse usando el “Pueden evaluarse usando el “criterio comúncriterio común” incluso los ” incluso los sistemas operativos, redes, sistemas distribuídos y sistemas operativos, redes, sistemas distribuídos y aplicaciones.aplicaciones.
ISO 15408ISO 15408
Seguridad de la AplicaciónSeguridad de la Aplicación Presenta dos categorías de requerimientos de seguridad, Presenta dos categorías de requerimientos de seguridad,
funcional y requisitos de confiabilidad que son usadas para funcional y requisitos de confiabilidad que son usadas para desarrollar aplicaciones con varios grados de seguridad.desarrollar aplicaciones con varios grados de seguridad.
Los requerimientos de seguridad funcional están agrupados en Los requerimientos de seguridad funcional están agrupados en 11 clases, cada uno con un número de “familias”, que tienen un 11 clases, cada uno con un número de “familias”, que tienen un objetivo específico de seguridad y una conducta de seguridad objetivo específico de seguridad y una conducta de seguridad deseada.deseada.
Las 11 clases son :Las 11 clases son :
ISO 15408ISO 15408
Auditoría de SeguridadAuditoría de Seguridad Identificación y AutenticaciónIdentificación y Autenticación Utilización de los recursosUtilización de los recursos Soporte de CriptografíaSoporte de Criptografía Administración de SeguridadAdministración de Seguridad Control de AccesoControl de Acceso ComunicaciónComunicación PrivacidadPrivacidad Rutas Seguras (Canales)Rutas Seguras (Canales) Protección de datos del UsuarioProtección de datos del Usuario Protección de Funciones de Seguridad.Protección de Funciones de Seguridad.
ISO 15408ISO 15408
Los requisitos de confiabilidad están basados en la Los requisitos de confiabilidad están basados en la confianza en la aplicación de funciones de seguridad así confianza en la aplicación de funciones de seguridad así como la efectividad de las mismas.como la efectividad de las mismas.
Estos requerimientos están basados en la presencia de Estos requerimientos están basados en la presencia de la conducta deseada así como la ausencia de la la conducta deseada así como la ausencia de la conducta no deseada.conducta no deseada.
Los ocho requisitos son :Los ocho requisitos son :
ISO 15408ISO 15408
Administración de la configuraciónAdministración de la configuración Documentación de los procedimientosDocumentación de los procedimientos Valoración de la vulnerabilidadValoración de la vulnerabilidad Entrega y OperaciónEntrega y Operación Apoyo al ciclo de vidaApoyo al ciclo de vida Mantención de la confiabilidadMantención de la confiabilidad DesarrolloDesarrollo PruebasPruebas
ISO 15408ISO 15408
Los niveles de evaluación de confiabilidad (EAL) son Los niveles de evaluación de confiabilidad (EAL) son paquetes predefinidos de los requisitos de confiabilidad paquetes predefinidos de los requisitos de confiabilidad previamente mencionados. previamente mencionados.
EAL1 indica que un producto solo ha sido probado EAL1 indica que un producto solo ha sido probado funcionalmentefuncionalmente
EAL7 indica que el producto ha sido sometido al máximo EAL7 indica que el producto ha sido sometido al máximo de pruebas y el diseño ha sido probado completamente, de pruebas y el diseño ha sido probado completamente, este nivel es asociado a una información de alto valor y este nivel es asociado a una información de alto valor y alto riesgo.alto riesgo.
Esta norma no asigna un modelo para el desarrollo de Esta norma no asigna un modelo para el desarrollo de las aplicaciones.las aplicaciones.
COBITCOBIT Fue publicado por el IT Governance Institute e ISACFFue publicado por el IT Governance Institute e ISACF Es un conjunto de administración de TI y prácticas de control.Es un conjunto de administración de TI y prácticas de control. La guía de administración de TI esta integrada en el ciclo de La guía de administración de TI esta integrada en el ciclo de
requerimientos del negocio, procesos de TI y recursos de TI para requerimientos del negocio, procesos de TI y recursos de TI para soportar las operaciones de la empresa.soportar las operaciones de la empresa.
Cobit describe un rango de criterios de información para desarrollar Cobit describe un rango de criterios de información para desarrollar un programa de seguridad comprensivo en apoyo a las un programa de seguridad comprensivo en apoyo a las necesidades del negocio.necesidades del negocio.
Un concepto fundamental de Cobit es que los requerimientos de la Un concepto fundamental de Cobit es que los requerimientos de la empresa son la prioridad y la información debe conformarse de empresa son la prioridad y la información debe conformarse de acuerdo a un cierto criterio.acuerdo a un cierto criterio.
COBITCOBIT
Los criterios de información fueron desarrollados de Los criterios de información fueron desarrollados de otros modelos de seguridad conocidos e integrado los otros modelos de seguridad conocidos e integrado los conceptos de efectividad, eficacia, fiabilidad y conceptos de efectividad, eficacia, fiabilidad y rendimiento, así como los conceptos de seguridad rendimiento, así como los conceptos de seguridad tradicionales de confidencialidad, integridad y tradicionales de confidencialidad, integridad y disponibilidad.disponibilidad.
Cobit incluye 34 procesos TI agrupados en cuatro Cobit incluye 34 procesos TI agrupados en cuatro dominios :dominios :
Planificación y Organización (PO)Planificación y Organización (PO) Adquisición e Implementación (AI)Adquisición e Implementación (AI) Entrega y Soporte (DS)Entrega y Soporte (DS) Monitoreo (M)Monitoreo (M)
COBITCOBIT
Los procesos son abiertos a su vez en 318 objetivos de Los procesos son abiertos a su vez en 318 objetivos de control específicos y guías de auditoría asociadas.control específicos y guías de auditoría asociadas.
Los recursos de TI incluyen datos, sistemas de Los recursos de TI incluyen datos, sistemas de aplicación, tecnología, instalaciones y personal.aplicación, tecnología, instalaciones y personal.
El control y la seguridad es crítico en la administración El control y la seguridad es crítico en la administración de estos recursos usando políticas específicas, de estos recursos usando políticas específicas, procedimientos, prácticas y estructura organizacional.procedimientos, prácticas y estructura organizacional.
COBITCOBIT
Aplicación de SeguridadAplicación de Seguridad Se entienden los sistemas de aplicación como la suma de Se entienden los sistemas de aplicación como la suma de
procedimientos manuales y procedimientos programados.procedimientos manuales y procedimientos programados. Los datos se definen ampliamente incluyendo texto, video, Los datos se definen ampliamente incluyendo texto, video,
gráfico y sonido.gráfico y sonido. Estos dos recursos de TI convierten los eventos comerciales en Estos dos recursos de TI convierten los eventos comerciales en
información utlizable.información utlizable. Aplicación de seguridad es integrada en los cuatro dominios de Aplicación de seguridad es integrada en los cuatro dominios de
Cobit.Cobit.
Dominios y Procesos Relevantes a la Seguridad de AplicacionesDominios y Procesos Relevantes a la Seguridad de Aplicaciones
Planificación y Planificación y Organización (PO)Organización (PO)
Adquisición e Adquisición e Implementación (AI)Implementación (AI)
Entrega y Soporte (DS)Entrega y Soporte (DS) Monitoreo (M)Monitoreo (M)
Definir Plan Estratégico Definir Plan Estratégico de TI (PO1)de TI (PO1)
Identificar soluciones Identificar soluciones automatizadas (AI1)automatizadas (AI1)
Definir y administrar Definir y administrar niveles de servicio (DS1)niveles de servicio (DS1)
Monitoreo de Procesos Monitoreo de Procesos (M1)(M1)
Definir arquitectura de Definir arquitectura de información (PO2)información (PO2)
Adquirir y mantener Adquirir y mantener aplicaciones de software aplicaciones de software (AI2)(AI2)
Administrar los servicios Administrar los servicios de terceros (DS2)de terceros (DS2)
Determinar un control Determinar un control interno adecuado (M2)interno adecuado (M2)
Administrar la inversión Administrar la inversión en TI (PO5)en TI (PO5)
Desarrollar y mantener Desarrollar y mantener procedimientos (AI4)procedimientos (AI4)
Administrar el Administrar el rendimiento y capacidad rendimiento y capacidad (DS3)(DS3)
Obtener confiabilidad Obtener confiabilidad
independienteindependiente Asegurar cumplimiento Asegurar cumplimiento con requerimientos con requerimientos externos (PO8)externos (PO8)
Instalar y acreditar Instalar y acreditar sistemas (AI5)sistemas (AI5)
Asegurar continuidad del Asegurar continuidad del servicio (DS5)servicio (DS5)
Determinar riesgos (PO9)Determinar riesgos (PO9) Administración de Administración de cambios (AI6)cambios (AI6)
Asegurar la seguridad del Asegurar la seguridad del sistema (DS5)sistema (DS5)
Administrar Proyectos Administrar Proyectos (PO10)(PO10)
Identificar los costos Identificar los costos asignados (DS6)asignados (DS6)
Administrar calidad Administrar calidad (PO11)(PO11)
Ayude y aconseje a Ayude y aconseje a clientes (DS8)clientes (DS8)
Administre la Administre la configuración (DS9)configuración (DS9)
Administre problemas e Administre problemas e incidentes (DS10)incidentes (DS10)
Administre las Administre las operaciones (DS13)operaciones (DS13)
SP800-14SP800-14 El Instituto de Normas y Tecnología (NIST) y el Departamento de El Instituto de Normas y Tecnología (NIST) y el Departamento de
Comercio de US publicaron “Principios Generalmente Aceptados y Comercio de US publicaron “Principios Generalmente Aceptados y Prácticas para la Seguridad de los Sistemas de Información Prácticas para la Seguridad de los Sistemas de Información Tecnológicos”, Publicación Especial 800-14 en 1996.Tecnológicos”, Publicación Especial 800-14 en 1996.
Este documento proporciona una base de los principios de Este documento proporciona una base de los principios de seguridad y prácticas para el uso, protección y diseño de los seguridad y prácticas para el uso, protección y diseño de los sistemas de información gubernamentalessistemas de información gubernamentales
Posee 8 principios y 14 prácticas .Posee 8 principios y 14 prácticas . Los principios de seguridad generalmente aceptados son Los principios de seguridad generalmente aceptados son
generales.generales. Prácticas y controles en cada una de las fases del ciclo de vida.Prácticas y controles en cada una de las fases del ciclo de vida. Controles operacionalesControles operacionales
SP800-14 + 27SP800-14 + 27
El concepto en SP800-14 fue desarrollado más tarde en El concepto en SP800-14 fue desarrollado más tarde en “Principios de Ingeniería para Seguridad de Sistemas de “Principios de Ingeniería para Seguridad de Sistemas de Informacìón Tecnológicos”, Publicación Especial 800-27, Informacìón Tecnológicos”, Publicación Especial 800-27, publicada por el NIST el 2001.publicada por el NIST el 2001.
Provee un mayor nivel de seguridad.Provee un mayor nivel de seguridad. Referencia a la ISO 15408 (criterio común)Referencia a la ISO 15408 (criterio común) Incluye 33 principios de seguridad que aplican a las Incluye 33 principios de seguridad que aplican a las
fases del ciclo de vida.fases del ciclo de vida.
SAS 94SAS 94
El AICPA emitió el SAS 94 en 2001 “Los Efectos de la El AICPA emitió el SAS 94 en 2001 “Los Efectos de la Tecnología de Información en el Auditor, Consideración Tecnología de Información en el Auditor, Consideración del Control Interno en una Auditoría de Estados del Control Interno en una Auditoría de Estados Financieros”.Financieros”.
Esta norma requiere que el auditor financiero considere Esta norma requiere que el auditor financiero considere la tecnología de información como parte del control la tecnología de información como parte del control interno.interno.
SAS 94 actualiza SAS 55 y 78.SAS 94 actualiza SAS 55 y 78. Controles de Aplicaciones relevantes en una auditoría Controles de Aplicaciones relevantes en una auditoría
financiera incluyen control de acceso, control de financiera incluyen control de acceso, control de cambios de programas, control de procesos,etc.cambios de programas, control de procesos,etc.
SAS 94SAS 94
Sugiere dos niveles :Sugiere dos niveles : Primero es una revisión de los controles operacionalesPrimero es una revisión de los controles operacionales El segundo y más profundo es una revisión de si los controles El segundo y más profundo es una revisión de si los controles
están operando eficazmente.están operando eficazmente.
La diferencia entre ambos niveles es el alcance o La diferencia entre ambos niveles es el alcance o magnitudmagnitud
El objetivo es la integridad de toda la información que El objetivo es la integridad de toda la información que afecta los estados financieros y la auditoría.afecta los estados financieros y la auditoría.
ConclusiónConclusión
Las normas y documentos presentados muestran la Las normas y documentos presentados muestran la seguridad de aplicaciones desde diferentes seguridad de aplicaciones desde diferentes perspectivas.perspectivas.
Comparten controles en muchas áreas, como el ciclo de Comparten controles en muchas áreas, como el ciclo de vida y aplicaciones de entrada, proceso y salida.vida y aplicaciones de entrada, proceso y salida.
La ISO 15408 ha tenido un gran impacto y ha sido La ISO 15408 ha tenido un gran impacto y ha sido referenciada por otras normas.referenciada por otras normas.
Cobit e ISO 15408 parecen tener una mayor profundidad Cobit e ISO 15408 parecen tener una mayor profundidad y detalle referente a la seguridad.y detalle referente a la seguridad.
DocumentaciónDocumentación
ISO 17799ISO 17799 www.bspsl.com/secure/iso17799software/cvm.cfmwww.bspsl.com/secure/iso17799software/cvm.cfm
COBITCOBIT www.isaca.org/cobit.htmwww.isaca.org/cobit.htm www.isaca.clwww.isaca.cl
ISO 15408ISO 15408 Csrc.nist.gov/cc/ccv20/ccv2list.htmCsrc.nist.gov/cc/ccv20/ccv2list.htm
SP 800-14 + 27SP 800-14 + 27 Csrc.nist.gov/publications/nistpubsCsrc.nist.gov/publications/nistpubs
SAS 94SAS 94 www.aicpa.org/members/div/auditstd/riasai/sas94.htmwww.aicpa.org/members/div/auditstd/riasai/sas94.htm
DS 5 Ensure Systems SecurityDS 5 Ensure Systems Security Proceso TI, requerimiento de la empresa y objetivo de control Proceso TI, requerimiento de la empresa y objetivo de control
detallado define que necesita hacer para implementar una efectiva detallado define que necesita hacer para implementar una efectiva estructura de seguridad.estructura de seguridad.
La práctica de control de TI provee con más detalle como y por qué La práctica de control de TI provee con más detalle como y por qué es necesario que el administrador, proveedor de servicios, usuario es necesario que el administrador, proveedor de servicios, usuario final y profesionales de auditoría implementen controles final y profesionales de auditoría implementen controles específicos basados en una análisis de la operación y riesgo de la específicos basados en una análisis de la operación y riesgo de la TI.TI.
Dentro de Cobit DS 5 es un objetivo de control de alto nivel para Dentro de Cobit DS 5 es un objetivo de control de alto nivel para salvaguardar la información de uso no autorizado, acceso no salvaguardar la información de uso no autorizado, acceso no autorizado, modificaciones, daños o pérdidas por acceso al autorizado, modificaciones, daños o pérdidas por acceso al sistema, datos y programas son restringidos a usuarios autorizados.sistema, datos y programas son restringidos a usuarios autorizados.
Posee 21 objetivos de control detalladosPosee 21 objetivos de control detallados
DS 5 Ensure Systems SecurityDS 5 Ensure Systems Security
5.1 Administración medidas de seguridad5.1 Administración medidas de seguridad 5.2 Identificación, autenticación y acceso5.2 Identificación, autenticación y acceso 5.3 Seguridad acceso en línea a los datos5.3 Seguridad acceso en línea a los datos 5.4 Administración cuentas de usuarios5.4 Administración cuentas de usuarios 5.5 Administración revisión cuentas de usuarios5.5 Administración revisión cuentas de usuarios 5.6 Control del usuario de las cuentas de usuarios5.6 Control del usuario de las cuentas de usuarios 5.7 Vigilancia de seguridad5.7 Vigilancia de seguridad 5.8 Clasificación de los datos5.8 Clasificación de los datos 5.9 Identificación central y administración de los 5.9 Identificación central y administración de los
derechos de accesoderechos de acceso
DS 5 Ensure Systems SecurityDS 5 Ensure Systems Security
5.10 Violaciones e informes de seguridad5.10 Violaciones e informes de seguridad 5.11 Manejo de incidentes5.11 Manejo de incidentes 5.12 Reacreditación5.12 Reacreditación 5.13 Confianza del contador de acceso5.13 Confianza del contador de acceso 5.14 Autorización de transacciones5.14 Autorización de transacciones 5.15 No repudio5.15 No repudio 5.16 Camino correcto5.16 Camino correcto 5.17 Protección de las funciones de seguridad5.17 Protección de las funciones de seguridad 5.18 Administración de las claves de criptografía5.18 Administración de las claves de criptografía
DS 5 Ensure Systems SecurityDS 5 Ensure Systems Security
5.19 Prevención, detección y corrección de software 5.19 Prevención, detección y corrección de software maliciosomalicioso
5.20 Arquitectura de Firewall y conexiones con redes 5.20 Arquitectura de Firewall y conexiones con redes públicas.públicas.
5.21 Protección del valor electrónico5.21 Protección del valor electrónico
DS 5 Ensure Systems SecurityDS 5 Ensure Systems Security
DS 5.2 Identificación, autenticación y accesoDS 5.2 Identificación, autenticación y acceso Porque hacer estoPorque hacer esto
• Asegurar a los usuarios externos que el sistema es Asegurar a los usuarios externos que el sistema es adecuadamente seguroadecuadamente seguro
• Protección de los sistemas de información para prevenir Protección de los sistemas de información para prevenir acceso o uso no autorizadoacceso o uso no autorizado
• Especificación de requerimientos mínimos de seguridad para Especificación de requerimientos mínimos de seguridad para todos los sistemastodos los sistemas
• Segregación apropiada entre los ambientes de producción, Segregación apropiada entre los ambientes de producción, prueba y desarrollo.prueba y desarrollo.
DS 5 Ensure Systems SecurityDS 5 Ensure Systems Security
Prácticas de ControlPrácticas de Control Los sistemas e información están protegidos para prevenir un Los sistemas e información están protegidos para prevenir un
acceso no autorizadoacceso no autorizado Los requerimientos mínimos de seguridad son especificados Los requerimientos mínimos de seguridad son especificados
para todos los sistemas operativos y versiones dentro de la para todos los sistemas operativos y versiones dentro de la organizaciónorganización
Los sistemas operativos son probados para cumplir con los Los sistemas operativos son probados para cumplir con los requerimientos mínimos de seguridad establecidos.requerimientos mínimos de seguridad establecidos.
Cumplimiento con los requerimientos de seguridad establecidos Cumplimiento con los requerimientos de seguridad establecidos son revisados regularmente.son revisados regularmente.
Los recursos están protegidos por reglas de acceso, basado en Los recursos están protegidos por reglas de acceso, basado en una adecuada identificación y autenticación de los usuarios.una adecuada identificación y autenticación de los usuarios.
Posterior a una falla del sistema, los usuarios no esta permitido Posterior a una falla del sistema, los usuarios no esta permitido volver atrás en el sistema sin una reautenticación.volver atrás en el sistema sin una reautenticación.