MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1.1 Otorgar acceso a servicios que requier<strong>en</strong> mayor nivel de seguridad o que involucran medios de<br />
pago sólo para usuarios autorizados. Se requiere limitar el acceso solo para usuarios id<strong>en</strong>tificados<br />
y aut<strong>en</strong>ticados apropiadam<strong>en</strong>te.<br />
PS1.2 Otorgar los mínimos privilegios de acceso a servicios que requier<strong>en</strong> mayor nivel de seguridad. Se<br />
requiere minimizar el daño pot<strong>en</strong>cial causado por usuarios autorizados lo cual implica establecer<br />
segregación de funciones para separar usuarios de los servicios y usuarios con roles<br />
administrativos.<br />
PS1.3 Otorgar acceso a servicios que requier<strong>en</strong> mayor nivel de seguridad condicionado a la pres<strong>en</strong>tación<br />
de un tok<strong>en</strong> de acceso 15 expedido por un tercero <strong>en</strong> repres<strong>en</strong>tación de la <strong>en</strong>tidad de gobierno<br />
proveedora del servicio. Se debe fortalecer el control de acceso para las transacciones que<br />
requieran mayor nivel de seguridad.<br />
PS1.4 Otorgar acceso a servicios que requier<strong>en</strong> mayor nivel de seguridad condicionado a la pres<strong>en</strong>tación<br />
de información que soporte la id<strong>en</strong>tidad del individuo que requiere el acceso y sus cred<strong>en</strong>ciales de<br />
aut<strong>en</strong>ticación. Se debe implem<strong>en</strong>tar la aut<strong>en</strong>ticación personal más allá de la posesión del tok<strong>en</strong>.<br />
PS1.5 Otorgar privilegios de acceso a servicios de <strong>Gobierno</strong> <strong>en</strong> Línea sólo cuando se satisfaga la<br />
verdadera id<strong>en</strong>tidad del usuario, es decir que el usuario sea qui<strong>en</strong> realm<strong>en</strong>te dice que es y no esté<br />
registrado bajo otra id<strong>en</strong>tidad con un acceso legítimo. Se debe prev<strong>en</strong>ir la creación de múltiples<br />
id<strong>en</strong>tidades. Un usuario puede t<strong>en</strong>er múltiples roles con respecto a los servicios de <strong>Gobierno</strong> <strong>en</strong><br />
Línea pero solo puede poseer una única id<strong>en</strong>tidad.<br />
PS1.6 Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el servicio<br />
específico requerido. Se deb<strong>en</strong> fortalecer los controles de acceso a nivel de objeto o aplicación, de<br />
manera que un usuario legítimo, una vez otorgado el acceso, no pueda alterar datos no requeridos<br />
por el servicio solicitado.<br />
PS1.7 Implem<strong>en</strong>tar una administración efectiva de los derechos de acceso de usuarios y asignar dicha<br />
responsabilidad al personal apropiado (administradores de accesos).<br />
PS1.8 Implem<strong>en</strong>tar la vig<strong>en</strong>cia de los derechos de acceso y su revocación, una vez finalice el período<br />
asignado, o haya pérdida de las cred<strong>en</strong>ciales, o se detecte uso indebido de los recursos por parte<br />
de los usuarios. Las cred<strong>en</strong>ciales de acceso y los tok<strong>en</strong>s deb<strong>en</strong> quedar inválidos ante ev<strong>en</strong>tos de<br />
revocación.<br />
15 Tok<strong>en</strong> de acceso: es un medio físico que un usuario posee y/o controla y lo utiliza para aut<strong>en</strong>ticar su id<strong>en</strong>tidad.<br />
Página 55 de 207