Requisitos de negocio para el control de accesos
- Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.
- Se debería proveer a los usuarios de los accesos a redes y los servicios de red para los que han sido expresamente autorizados a utilizar.
Gestión de acceso de usuario
- Debería existir un procedimiento formal de alta y baja de usuarios con objeto de habilitar la asignación de derechos de acceso.
- Se debería de implantar un proceso formal de aprovisionamiento de accesos a los usuarios para asignar o revocar derechos de acceso a todos los tipos de usuarios y para todos los sistemas y servicios.
- La asignación y uso de derechos de acceso con privilegios especiales debería ser restringido y controlado
- La asignación de información confidencial para la autenticación debería ser controlada mediante un proceso de gestión controlado
- Los propietarios de los activos deberían revisar con regularidad los derechos de acceso de los usuarios
- Se deberían retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisados en caso de cambio
Responsabilidades del usuario
- Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad de la organización en el uso de información confidencial para la autenticación.
Control de acceso a sistemas y aplicaciones
- Se debería restringir el acceso de los usuarios y el personal de mantenimiento a la información y funciones de los sistemas de aplicaciones, en relación a la política de control de accesos definida
- Cuando sea requerido por la política de control de accesos se debería controlar el acceso a los sistemas y aplicaciones mediante un procedimiento seguro de log-on
- Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar contraseñas de calidad
- El uso de utilidades software que podrían ser capaces de anular o evitar controles en aplicaciones y sistemas deberían estar restringidos y estrechamente controlados
- Se debería restringir el acceso al código fuente de las aplicaciones software