MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.4.3 Control: Los acuerdos de gestión de id<strong>en</strong>tidad y acceso<br />
deb<strong>en</strong>:<br />
a) incluir un método de validación de las id<strong>en</strong>tidades de<br />
los usuarios antes de activar las cu<strong>en</strong>tas de usuario<br />
b) mant<strong>en</strong>er un número mínimo de cu<strong>en</strong>tas de usuario<br />
para inicio de sesión<br />
SM4.4.4 Control: Los acuerdos de gestión de id<strong>en</strong>tidad y acceso<br />
deb<strong>en</strong> proveer un conjunto consist<strong>en</strong>te de métodos para:<br />
a) la id<strong>en</strong>tificación de los usuarios (por ejemplo,<br />
utilizando únicas user ID).<br />
Aut<strong>en</strong>ticación de usuarios (por ejemplo, utilizando<br />
contraseñas, fichas o datos biométricos)<br />
el usuario de inicio de sesión <strong>en</strong> proceso<br />
se autoriza a los usuarios privilegios de acceso<br />
administrar los privilegios de acceso de usuario.<br />
SM4.4.5 Control: Se deb<strong>en</strong> desarrollar acuerdos de<br />
administración de id<strong>en</strong>tidad y de acceso para mejorar la<br />
integridad de la información del usuario para:<br />
a) que la información esté disponible para que sea<br />
validada por lo usuarios<br />
b) permitir a los usuarios corregir sus propia información<br />
c) mant<strong>en</strong>er un número limitado de almac<strong>en</strong>ami<strong>en</strong>tos de<br />
id<strong>en</strong>tidad(es decir, el lugar donde la información de<br />
aut<strong>en</strong>ticación de usuario se almac<strong>en</strong>a, como una base<br />
de datos, X500 / servicio de directorio Lightweight<br />
Directory Access Protocol (LDAP), o productos<br />
comerciales de gestión de id<strong>en</strong>tidad y acceso)<br />
d) utilizar un sistema automatizado de dotación (<strong>en</strong> virtud<br />
del cual se crean cu<strong>en</strong>tas de usuario para todos los<br />
sistemas, sigui<strong>en</strong>do la creación de una <strong>en</strong>trada inicial de<br />
un usuario <strong>en</strong> una aplicación c<strong>en</strong>tral de gestión de<br />
id<strong>en</strong>tidad y acceso)<br />
e) utilizar un sistema c<strong>en</strong>tralizado de gestión del cambio<br />
SM4.4.6 Control: Los acuerdos de gestión de id<strong>en</strong>tidad y acceso<br />
deb<strong>en</strong> permitir:<br />
a) que los derechos de acceso sean rápida y fácilm<strong>en</strong>te<br />
concedidos, modificado o eliminados para un gran<br />
número de usuarios (por ejemplo, instalando derechos<br />
de acceso basado <strong>en</strong> roles)<br />
b) que la gestión de privilegios de acceso de los usuarios<br />
sea realizada por los propietarios de los sistema<br />
SM4.5 Protección Física<br />
SM4.5.1 Control: Deb<strong>en</strong> existir normas y procedimi<strong>en</strong>tos para la<br />
protección física <strong>en</strong> las zonas donde se alojan los<br />
servicios de TI críticos d<strong>en</strong>tro de la organización<br />
Página 150 de 207