Computing">
Entrega 3 - Gestion de Identidad
Entrega 3 - Gestion de Identidad
Entrega 3 - Gestion de Identidad
1. Introducción. Pág. 2
2. Objetivos. 3
3. Esquema de trazabilidad. 4
4. Propuesta Auditoria. 6
5. Controles o Acciones. 10
6. Tabla de Ilustraciones. 13
7. Referencias. 14
1
1. INTRODUCCIÓN.
El entorno de desarrollo tecnológico que hoy día rodea al ser humano, lo está
llevando a reconocer una dinámica inimaginable de posibilidades y riesgos de la
información cada vez notoria en todos los entornos del ser humano; por esta razón
cada vez más se deben implementar medidas preventivas y diseñar esquemas que
garanticen la seguridad de la información.
2
2. OBJETIVOS.
3
3. ESQUEMA DE TRAZABILIDAD.
Grafica No.1
4
Se diseña el presente esquema de trazabilidad y seguimiento para todas las
identidades que interactúen con los diferentes sistemas dependiendo de su rol, bien
sea en ambiente on premise y/o virtual; todas las aplicaciones tienen el sistema de
logs habilitado para un seguimiento más detallado de ser necesario.
Docentes Estudiantes
s
EMail - DLP Cloud - DA INTERNET
Firewall FW
Core
DMZ DA Core Admin Adaudit Plus
Acade
Adaudit Plus: Esta herramienta nos ofrece un estado de la red local en tiempo real,
asegurando los recursos críticos en la red, como los controladores de dominio, sean
auditados, monitoreados e informados con toda la información sobre objetos DA:
usuarios, grupos, GPO, computadora, OU, DNS, esquema AD y cambios de
configuración detallada, adicional de informes específicos del evento, las alertas se
envían por correo electrónico a la o cuentas configuradas para estas notificaciones.
5
DLP: También se implementó el DLP on premise y Cloud, teniendo en cuenta que
se cuenta con Office 365, esta es una herramienta para mitigar los riesgos en la
nube especialmente a través del correo electrónico. Relaciono algunas
características:
• Identificar los intentos maliciosos de suplantación de identidad.
• Prevenir las infecciones de ransomware a través de Office 365.
• Garantizar la protección de sus datos confidenciales.
• Detección automática de datos confidenciales e información sobre propiedad
intelectual en Office 365, OneDrive, correo electrónico, SharePoint, Yammer.
4. PROPUESTA AUDITORIA.
Para esta propuesta de auditoria se toma como base la norma ISO 27001,
específicamente el Anexo A en el numeral:
6
▪ ¿Se deshabilitan los ID de usuario de forma inmediata tras una
baja o despido?
▪ ¿Existen una comunicación eficiente ente la Administración de
Seguridad y Recursos Humanos?
▪ ¿Existe una revisión / auditoría periódica para identificar y
deshabilitar los ID de usuario redundantes?
▪ ¿Se eliminan los ID deshabilitados después de confirmar que
ya no son necesarios?
▪ ¿Qué impide que los ID de usuario sean reasignados a otros
usuarios?
o A.9.2.3. Gestión de derechos de acceso privilegiado.
▪ ¿Hay un proceso para realizar revisiones más frecuentes y
periódicas de cuentas privilegiadas para identificar y
deshabilitar / eliminar cuentas con privilegios redundantes y / o
reducir los privilegios?
▪ ¿Se genera un ID de usuario separado para otorgar privilegios
elevados?
▪ ¿Se ha establecido una caducidad para los ID de usuario con
privilegios?
▪ ¿Se controlan las actividades de los usuarios privilegiados de
forma más detallada?
o A.9.2.4. Gestión de información de autenticación secreta de usuarios.
▪ ¿Se implementan controles técnicos, como la longitud mínima
de la contraseña, reglas de complejidad, cambio forzado de
contraseñas en el primer uso, autenticación de múltiples
factores, datos biométricos, contraseñas compartidas etc.?
▪ ¿Se verifica rutinariamente si hay contraseñas débiles?
▪ ¿Se requiere confirmar la identidad de los usuarios antes de
proporcionarles contraseñas temporales nuevas?
▪ ¿Se transmite dicha información por medios seguros?
7
▪ ¿Se generan contraseñas temporales suficientemente fuertes?
▪ ¿Se cambian las contraseñas por defecto de los fabricantes?
▪ ¿Se recomienda a los usuarios usar el software adecuado de
protección de contraseñas?
▪ ¿Se almacenen de forma cifrada las contraseñas en sistemas,
dispositivos y aplicaciones?
• A.9.3. Responsabilidades de los usuarios.
o A.9.3.1 Uso de información de autenticación secreta.
▪ ¿Cómo se asegura la confidencialidad de las credenciales de
autenticación?
▪ ¿Existe un proceso de cambio de contraseñas en caso de ser
comprometida?
▪ ¿Existen controles de seguridad relativas a las cuentas
compartidas?
• A.9.4. Control de acceso a sistemas y aplicaciones.
o A.9.4.3. Sistema de gestión de contraseñas.
▪ ¿Los sistemas requieran una fortaleza de contraseñas
establecidos en las políticas y estándares corporativos?
▪ ¿Las reglas tienen en cuenta lo siguiente?
o Longitud mínima de la contraseña.
o Evitan la reutilización de un número específico de
contraseñas.
o Imponen reglas de complejidad (mayúsculas,
minúsculas, números, símbolos, etc.).
o Requiere el cambio forzado de contraseñas en el
primer inicio de sesión.
o Esconde la contraseña durante la imputación.
▪ ¿Se almacenan y transmiten de forma segura (cifrado)?
o A.9.4.4. Uso de programas utilitarios privilegiados.
▪ ¿Quién controla los servicios privilegiados?
8
▪ ¿Quién puede acceder a ellos, bajo qué condiciones y con qué
fines?
▪ ¿Se verifica que estas personas necesidad comercial para
otorgar el acceso según su roles y responsabilidades?
▪ ¿Existe un proceso auditable de aprobación, y cada instancia
de su uso está registrado?
▪ ¿Se tiene en cuenta la segregación de tareas?
9
información. Existen riesgos asociados a la falta de cuidado de un usuario y riesgos
asociados al uso de mecanismos y herramientas informáticas.
También existen otra clase de herramientas o mecanismos que utilizan para realizar
ataques a nuestros sistemas, estos son mas avanzados y requieren mas
conocimiento y tiempo para ejecutarlos, pero al final tiene el mismo objetivo de
acceder a los dispositivos y su información entre ellos podríamos encontrar:
• Ataques de diccionario.
• Ataques de fuerza bruta.
• Phishing.
• Malware.
5. CONTROLES O ACCIONES.
Pensando que los riesgos que planteo previamente; considere posibles controles o
acciones que se puedan implementar para su mitigación. Recuerde que los
controles deben estar descritos en términos de diseño (qué, quién, cuando,
documentación, evidencia).
10
Complejidad en las contraseñas de DA. Implementar el uso y control de medios de
autenticación (identificación de usuario y contraseñas) que permitan identificar y
responsabilizar a quienes utilizan los recursos de TI.
11
mensajería o correo
electrónico.
Digitar la URL o buscar
directamente sobre el
browser.
Validar las fuentes de las
cuales se reciben
mensajes o comunicados
vía correo electrónico,
teléfono, o mensajes de
texto antes de brindar
información personal.
Uso de dispositivos de
seguridad de usuario final
que detectan phishing.
Y todo lo anterior está
fuertemente ligado a
programas de toma de
conciencia hacía los
usuarios finales.
Código o software malicioso Obtener acceso a la red y Implementar sistemas de
R5 Malware cuyo objetivo puede ser a dispositivos críticos antivirus y detección de
infiltrarse en un sistema de para el funcionamiento spyware, troyanos y
información, una red o un los cuales podrían dejar gusanos
equipo para obtener inhabilitados. Bloquear Generar gestión del
información o causar daños equipos y encriptar cambio ante estos temas
sin la aprobación del usuario o información para solicitar y hacerle ver a los
propietario. rescate. usuarios que además de
la empresa los
principales perjudicados
son ellos, si no toman las
medidas implementadas
de manera adecuada.
12
6. TABLA DE ILUSTRACIONES.
13
7. REFERENCIAS.
14