| ¿Se han implementado controles para limitar la capacidad de conexión de los usuarios? |
En respuesta a Agustina Mariana SANCHEZ LANZA
Re: 9.4.8- Conexión a la red
Requisitos mínimos:
-Políticas y procedimientos del control de acceso y limitaciones de la capacidad de conexion
-Listado de todos los usuarios con acceso al sistema.
-Controles de autenticación que se implementan
-Documentación de roles y controles de usuario.
-Documentación de las restricciones de red.
-Documentación de controles y restricciones de dispositivos (laptos, pc, smartphone)
-Políticas y procedimientos del control de acceso y limitaciones de la capacidad de conexion
-Listado de todos los usuarios con acceso al sistema.
-Controles de autenticación que se implementan
-Documentación de roles y controles de usuario.
-Documentación de las restricciones de red.
-Documentación de controles y restricciones de dispositivos (laptos, pc, smartphone)
En respuesta a Agustina Mariana SANCHEZ LANZA
Re: 9.4.8- Conexión a la red
Procedimiento de cumplimiento
1) Corroborar que los procedimientos se correspondan con la política descripta y la documentación, a través de entrevistas con el personal que pone en funcionamiento los mismos.
2) Revisar que los roles de los usuarios, se correspondan con todos los roles que figuran en la documentación del sistema.
3)Corroborar con la lista de activos, los dispositivos disponibles.
Procedimiento sustantivo.
1) Mediante las restricciones de red, buscar cualquier usuario de la lista de usuarios y corroborar que no pueda realizar ninguna de las acciones restringidas.
2)Elegir un usuario al azar y corroborar que tenga el rol que se corresponde en la documentación y solo pueda realizar las acciones definidas para ese rol.
1) Corroborar que los procedimientos se correspondan con la política descripta y la documentación, a través de entrevistas con el personal que pone en funcionamiento los mismos.
2) Revisar que los roles de los usuarios, se correspondan con todos los roles que figuran en la documentación del sistema.
3)Corroborar con la lista de activos, los dispositivos disponibles.
Procedimiento sustantivo.
1) Mediante las restricciones de red, buscar cualquier usuario de la lista de usuarios y corroborar que no pueda realizar ninguna de las acciones restringidas.
2)Elegir un usuario al azar y corroborar que tenga el rol que se corresponde en la documentación y solo pueda realizar las acciones definidas para ese rol.
Incumplimiento de procedimiento de cumplimiento:
La lista de dispositivos activos no se corroboró contra la lista de dispositivos habilitados/disponibles y han habido accesos de usuario a sistemas de la empresa desde dispositivos y localizaciones que deberían revocarse ya que no han sido autorizados o no deberían haber sido autorizados.
El incumplimiento es parcial dado que puede revisarse parcial o vagamente los registros de acceso y como consecuencia pasar por alto estos registros relevantes. El impacto depende del origen del acceso e intenciones, dado que si es por incumplimiento de la regla por parte de los empleados puede tener impacto bajo o nulo, ya que el acceso no se hace con malas intenciones, simplemente se hace de forma no permitida. En caso de que el acceso fuera de un agente externo a la organización, el impacto podría ser alto dependiendo de sus intenciones al entrar a la red y el nivel de restricción de acceso a los distintos recursos dentro de la red interna.
La lista de dispositivos activos no se corroboró contra la lista de dispositivos habilitados/disponibles y han habido accesos de usuario a sistemas de la empresa desde dispositivos y localizaciones que deberían revocarse ya que no han sido autorizados o no deberían haber sido autorizados.
El incumplimiento es parcial dado que puede revisarse parcial o vagamente los registros de acceso y como consecuencia pasar por alto estos registros relevantes. El impacto depende del origen del acceso e intenciones, dado que si es por incumplimiento de la regla por parte de los empleados puede tener impacto bajo o nulo, ya que el acceso no se hace con malas intenciones, simplemente se hace de forma no permitida. En caso de que el acceso fuera de un agente externo a la organización, el impacto podría ser alto dependiendo de sus intenciones al entrar a la red y el nivel de restricción de acceso a los distintos recursos dentro de la red interna.