El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Gestión de acceso e identidad de usuarios

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Desde el punto de vista de distintos procesos de control basados en frameworks de seguridad, estudiaremos cómo hacer una gestión segura y eficiente del control de acceso e identificación de usuarios en un sistema de información.

Transcripción

Uno de los procesos que más recursos consume, y cuya implementación es más compleja, es el de gestión de acceso y control de identidad de usuarios. En cuanto a frameworks de trabajo, tenemos múltiples referencias a controles de acceso y gestión de usuarios en el anexo A de la ISO 27001, sobre objetivos de control y controles. En COBIT5, tenemos el DSS05.4, titulado: Gestión de identidad de usuarios y acceso lógico. Sea cual sea el framework que usemos, siempre debemos tener en cuenta que la identificación de los usuarios y la gestión de acceso a recursos son dos cosas distintas. En ISO 27002, por ejemplo, tenemos el objetivo de control 11.2 de gestión de acceso de usuario, en el dominio 11 de control de acceso. La definición del DSS05.4 dice que la gestión de identidad de usuarios y acceso lógico, consiste en asegurar que todos los usuarios tengan derechos de acceso a la información de acuerdo con los requisitos de su puesto y coordinarse con las unidades de negocio que administran sus propios derechos de acceso dentro de los procesos de negocio. En resumen, los usuarios solo deben tener acceso a aquellos recursos que sean necesarios para desempeñar sus funciones dentro de la organización. Para ello, debemos ser capaces de identificar unívocamente cada recurso de información con los roles de usuario que pueden requerir su uso. Ambas cosas deben revisarse periódicamente para mantenerse adaptadas a los cambios que se vayan produciendo en el modelo de la organización. Basándonos en las necesidades, podemos gestionar el acceso autenticado mediante roles de usuarios individuales o por grupos registrados por la autoridad de la organización y con perfiles activos. La gestión de estos accesos debe estar perfectamente documentada en un manual de procedimiento e implicar no solo la creación de los mismos, también la modificación o eliminación cuando el contexto lo exija y dejando constancia registrada de todo ello. Los accesos privilegiados, por ejemplo, con privilegios de administración a un sistema operativo, deben ser los mínimos posibles y usarse solo cuando sea imprescindible. Para el resto de tareas, los usuarios que dispongan de dichos accesos privilegiados deberán usar las acciones normales, minimizando los posibles riesgos. Toda cuenta de usuario, rol, pertenencia a grupo o acceso privilegiado debe revisarse periódicamente para ajustarse a los requisitos del momento y, así, minimizar riesgos. Por ejemplo, asignando o revocando accesos de una cuenta para adaptarse a las nuevas necesidades del usuario; bloqueando una cuenta durante bajas médicas o vacaciones del usuario, o eliminándola si la persona ya no trabaja para la organización. Una parte fundamental de la gestión de control de accesos e identificación de usuarios, es la eliminación de cuentas genéricas y la asociación de cada una de las cuentas creadas a una persona en concreto para poder auditar unívocamente la actividad de cada usuario. Por último, hay que mantener las listas de usuario, sus derechos de acceso y privilegios, así como el estado de las cuentas, bajo una auditoría constante, registrando cada acción para tener un sitio donde empezar a investigar si se detectan brechas de seguridad. Es fácil equiparar distintos elementos de DSS05.04 con los controles del anexo A de la ISO 27002. En concreto, la sección A.9 de control de accesos, dividida a su vez en requisitos de negocio para control de acceso, gestión de acceso de usuarios, responsabilidades de usuarios y control de accesos a sistemas y aplicaciones. También podemos establecer equivalencias con el SP800-53 del NIST, especialmente con la sección de controles de acceso listados del AC-1 al AC-25, siendo los más importantes el AC-2: Gestión de cuentas y el AC3: Aplicación de accesos. Y con la sección de identificación y autenticación con 11 controles numerados del IA-1 al IA-11, destacando el IA-2, sobre identificación y autenticación de usuarios de la organización. Cabe destacar, que en el conjunto de la organización se incluyen no solo los trabajadores directos de nuestra propia organización o empresa, también agentes externos, como contratistas y proveedores que intervengan de alguna manera en nuestros sistemas. Una de las herramientas más utilizadas a nivel global para la identificación y autenticación de usuarios a nivel informático, es el directorio activo de Windows, abreviado a menudo como AD, por sus siglas en inglés. Este sistema permite gestionar cuentas individuales de usuario y su asociación en grupos para facilitar la gestión de permisos. En plataformas Linux, la solución más adoptada es el protocolo LDAP, siglas de Protocolo simplificado de acceso a directorios. Ambas plataformas almacenan las contraseñas de usuario en forma de hash, de forma que aunque el registro de contraseña sea robado, la obtención de las mismas solo pueda conseguirse mediante fuerza bruta, lo cual es muy ineficiente y altamente complicado si las contraseñas son lo suficientemente complejas. Los sistemas de control de acceso por contraseñas, implementados por LDAP y Active Directory, nunca almacenan las contraseñas del usuario tal cual las define este. Cuando el usuario crea una contraseña, se genera un hash, que es una operación matemática unidireccional, que siempre que se aplique a la misma información —en este caso la contraseña—, dará el mismo resultado. De este modo, cuando el usuario desee registrarse en un sistema e introduzca su contraseña en el formulario correspondiente, lo que se enviará al servidor, será el hash de la contraseña indicada por el usuario. Si el usuario existe y el hash enviado coincide con el almacenado, el usuario se habrá autenticado con éxito. Una vez el usuario ha accedido a un sistema, podrá disponer de distintos permisos de acceso a directorios y archivos. El administrador, para cada árbol de directorios y para cada archivo, puede establecer distintos privilegios para distintos usuarios o grupos. En Windows, el administrador puede desplegar el menú contextual de un directorio con el botón derecho del ratón, y seleccionar Propiedades. En el área de seguridad, podrá seleccionar distintos usuarios o grupos y, para cada uno de ellos, asignar distintos derechos de lectura, escritura o ejecución. En entornos Unix, la gestión de permisos se hace normalmente por línea de comandos, mediante la instrucción chmod, seguida de un número de tres cifras que indican, a nivel global, los permisos de un directorio o archivo, para el usuario, el grupo o en general. Para proporcionar estos servicios fuera de la organización, Windows dispone del Active Directory Federation Server, que permite el registro desde fuera de la infraestructura de red de la organización, con lo cual pueden operar trabajadores en movilidad o contratistas externos. Para autenticación e identificación de usuarios, se pueden usar sistemas alternativos a las contraseñas, o combinaciones de ellos con sistemas de doble factor de autenticación que generalmente combinan lo que sabemos con lo que tenemos o con lo que somos, o lo que tenemos con lo que somos Pero no solo a las cuentas del sistema operativo accede un usuario; también se conecta, por ejemplo, a redes donde necesita identificarse para poder comunicarse con el resto de equipos o a servicios web. Para todas estas plataformas y servicios hay soluciones tanto abiertas como comerciales para que busquemos las que mejor se adapten a las necesidades de nuestros organización en cumplimiento del framework que escojamos. El cifrado de información es un método más de prevención frente a accesos no autorizados, ya que solo quienes dispongan de la clave apropiada de descifrado, podrán acceder a la información contenida.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Formadores:
Fecha de publicación:29/08/2017
Duración:2:58 horas (27 Videos)

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.