CONTROL DE ACCESOSu propósito es evitar el acceso no autorizado a la información digital e inhalaciones de procesamiento de datos.

• ADMINISTRACION DE USUARIOS

1. el nivel de acceso asignado debe ser consistente con el propósito del negocio.2. todo usuario que acceda a los sistemas de información de la empresa, debe tener asignado un identificador único (id).3. los permisos asignados a los usuarios deben estar adecuadamente registrados y protegidos.4. cualquier cambio de posición de un rol, amerita de los permisos asignados.5. los sistemas de información de la organización, deben contar con mecanismos robustos de autenticación de usuarios.6. la creación, modificación y eliminación de claves debe ser controlada a través de un procedimiento formal.

Control de red

1. la empresa debe de contar con controles que protejan la información dispuesta en las redes de información y los servicios interconectados, evitando así los accesos no autorizados.

2. deben existir una adecuado nivel de segregación (dispersión) funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad. 3. deben existir sistemas de seguridad lógica de eventos que permite el monitoreo de incidentes de seguridad en redes.

Control de datos

1.la empresa debe contar con controles que protejan la información dispuesta en las B.D. de las aplicaciones.

2.Debe existir un adecuado nivel de segregación de funciones que regulen las actividades ejecutadas por los administradores de datos.

3. se debe mantener un log de actividades que registren las actividades de los administradores de datos.

4. los usuarios deben acceder a la información contenida en las B.D. únicamente atreves de aplicaciones que cuentan con mecanismos de control.

Encriptación

1.el nivel de protección de información debe estar basado en un análisis de riesgo.

2.Dicho análisis debe permitir identificar cuando es necesario encrestar la información.

3. toda la información criptográfica como confidencial debe ser almacenada, procesada y transmitida en forma.

4. todas las claves criptográficas deben estar protegidas contra modificaciones, perdida y destrucción.

Administración de claves

1.las claves deben estar protegidas contra accesos y modificaciones no autorizadas, perdidas y destruidas.

2. el equipamiento utilizado para generar y almacenar las claves debe estar físicamente protegido.

3. la protección de las claves de debe impedir su visualización aun si se vulnera el acceso al medio que la contiene.

Uso de password

Las password o claves e usuario son un elemento muy importante por eso todo empleado debe utilizar una clave segura para el acceso a los sistemas de la organización, esta clave es personal e intransferible.

χ claves no seguras * la clave contiene menos de 8 caracteres * la clave es en contra de un diccionario * la clave es una palabra de uso común. * la clave es fecha de cumpleaños u otra información personal.

claves seguras + la clave contiene mas de 8 caracteres. + la clave contiene caracteres en mayúsculas y minúsculas. + la clave tiene dígitos de puntuación, letras y números intercalados. + la clave no obedece a una palabra o lenguaje dialecto + fácil de recordar

Intercambio de información

Prevenir la perdida, modificación o acceso no autorizado y el mal uso de la información que la empresa intercambia como parte de sus procesos de negocio.

se permite acuerdos de intercambio: todo intercambio de información debe de estar autorizado expresamente por el dueño de esta. seguridad de los medios removibles: el dueño de la información es quien autoriza atreves de un medio removible desde la organización. seguridad en el comercio electrónico: la información debe estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas. seguridad en el correo electrónico: el correo es personalizado, no es aceptable la utilización del correo de otra persona, por tanto se asume el responsable del envió al remitente.