9.1.2 Reglas de gestión de acceso

9.1.2 Reglas de gestión de acceso

de Rocío Belén CORRAL -
Número de respuestas: 3

¿Las reglas de control de acceso especificadas cumplen los siguiente puntos? 

- Indicar expresamente si las reglas son obligatorias u optativas 

- Establecer reglas sobre la premisa “Todo debe estar prohibido a menos que se permita expresamente” y no sobre la premisa inversa de “Todo está permitido a menos que se prohíba expresamente”. 

- Controlar los cambios en los rótulos de información que son iniciados automáticamente por herramientas de procesamiento de información, de aquellos que son iniciados a discreción del usuario (Ver capítulo 7 Gestión de Activos). 

- Controlar los cambios en los permisos de usuario que son iniciados automáticamente por el sistema de información y aquellos que son iniciados por el administrador.

 - Controlar las reglas que requieren la aprobación del administrador o del Propietario de la Información de que se trate, antes de entrar en vigencia, y aquellas que no requieren aprobación.

En respuesta a Rocío Belén CORRAL

Re: 9.1.2 Reglas de gestión de acceso

de Rocío Belén CORRAL -
Requerimientos iniciales:
- Reglas vigentes de control de acceso al activo.
- Registros históricos de acceso al activo.
- Registros históricoa de asignación/revocación de permisos de usuario al activo incluyendo el origen de la acción.
- Inventario de herramientas de procesamiento de información usados por la organización y acceso a la configuración de las mismas.
En respuesta a Rocío Belén CORRAL

Re: 9.1.2 Reglas de gestión de acceso

de Rocío Belén CORRAL -
1. Procedimiento de control sustantivo:
- Revisar periódicamente todas las reglas de control de acceso vigentes para garantizar que cumplan con los requisitos establecidos: indica si la regla es obligatoria u optativa, si se basa en la premisa de "todo está prohibido a menos que se permita expresamente" y controlar que cada regla esté aprobada por la autoridad correspondiente.
- Evaluar y verificar los cambios en los rótulos de información y los permisos de usuario para garantizar que se controlen adecuadamente según su origen, ya sea automática o manual.

2. Procedimiento de control de cumplimiento
- Revisar los registros de cambios en los rótulos de información y los permisos de usuario para validar el cumplimiento de los procedimientos establecidos y garantizar que todos los cambios estén debidamente autorizados y documentados sin importar su origen automático o manual.

3. Procedimiento de control de cumplimiento:
- Realizar auditorías regulares del sistema de control de acceso para evaluar el cumplimiento de las reglas especificadas y verificar la aplicación de la premisa de "todo debe estar prohibido a menos que se permita expresamente", que efectivamente se apliquen las reglas obligatorias y que los cambios de permisos estén debidamente documentados e identificado su origen.
En respuesta a Rocío Belén CORRAL

Re: 9.1.2 Reglas de gestión de acceso

de Martín Cogo Belver -
Incumplimiento del control sustantivo:
Se verifica que existen algunas reglas que están firmadas por la autoridad correspondiente y se indican como obligatorias según corresponde,
pero se encuentran mal formuladas, o dejan lugar a malas interpretaciones.

- Incumplimiento es total: Se concidera incumplimiento total ya que, dado la ocurrencia de un accidente de acceso donde la regla este involucrada, permite su cuestionamiento y dificulta la solución rapida del problema a través de herramientas legales.

Incumplimiento del control de cumplimiento 2:
Se encuentran inconcistencias en los cambios de rótulos. La documentación existe, se pueden ver reflejados varios cambios. Pero hay un ultimo cambio de rotulo que no se ha documentado.

- Incumplimiento Parcial: Al tratarse de un cambio resiente no documentado, basta con que los encargados generen el registro de los cambios para pasar el incumplimiento a un estado regularizado. Su impacto no es grande en el corto perido de tiempo transcurrido.