9.4.1-8 Control de acceso a Sistemas y Aplicaciones

9.4.1-8 Control de acceso a Sistemas y Aplicaciones

de Juan Manuel FERNANDEZ -
Número de respuestas: 2

9.4.1.a: ¿Se controla el acceso a los servicios de red tanto internos como externos y el Responsable del Área Informática tiene a cargo el otorgamiento del acceso a los servicios y recursos de red, únicamente de acuerdo al pedido formal del titular de una Unidad Organizativa que lo solicite para personal de su incumbencia?

9.4.1.b: ¿Se desarrollan procedimientos para la activación y desactivación de derechos de acceso a las redes?

9.4.8.a: ¿Se han implementado controles para limitar la capacidad de conexión de los usuarios?

En respuesta a Juan Manuel FERNANDEZ

Re: 9.4.1-8 Control de acceso a Sistemas y Aplicaciones

de Juan Manuel FERNANDEZ -
Requerimientos iniciales:

9.4.1.a:
- Log completo de acceso al servidor Proxy de ingreso a la empresa
- Log de edicion de archivos de configuracion de firewall del Proxy
- Archivos de configuracion de reglas de acceso al firewall del Proxy

9.4.1.b:

- Los procedimientos se pueden inferir en base en base al log de acceso y las configuraciones del proxy

9.4.8.b:

- Se puede saber si se implementan dichos controles observando los archivos ya pedidos
En respuesta a Juan Manuel FERNANDEZ

Re: 9.4.1-8 Control de acceso a Sistemas y Aplicaciones

de Juan Manuel FERNANDEZ -
Procedimientos sustantivos:
9.4.1.a: Hacer una revision exhaustiva de los logs de acceso historicos al proxy y su posterior contrastacion con las reglas del firewall actuales
9.4.1.b: En base a la revision anterior, revisar si luego de una supuesta desactivacion de derechos de acceso no se registran efectivamente actividades de dicha maquina
9.4.8.a: Contrastar aquellos usuarios cuya conexion haya sido limitada con el log de acceso al servidor Proxy

Procedimientos de cumplimiento:
9.4.1.a:
- El proxy debe limitar el acceso unicamente a aquellos que tengan acceso por parte del administrador
- El firewall debe bloquear conexiones entrantes a puertos no correspondientes

9.4.1.b:
- El documento que define el procedimiento de desactivacion debe incluir la exlusion del usuario de la red en caso de una desactivacion
- El documento que define el procedimiento de desactivacion debe incluir la inclusion del usuario de la red en caso de una activacion

9.4.8.b:
- Se han implementado controles tanto para la salida como entrada de trafico en puertos no permitidos
- Se han implementado bloqueos de dominios no deseados