El control de acceso implica quién tiene acceso a sistemas informáticos específicos y recursos en un momento dado. El concepto de control de acceso consta de tres pasos. Estos pasos son la identificación, autenticación y autorización. Con el uso de estos tres principios un administrador del sistema puede controlar que recursos están disponibles para los usuarios de un sistema.

• Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.

• Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.

• Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas.

• Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.

• Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

• Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.

• Uno de los principios que deben incorporarse al establecer una política de control de acceso eficaz es la práctica de un acceso mínimo o menos privilegios. Lo que esto significa es que un usuario debe tener la menor cantidad de acceso requerido para hacer su trabajo.

• El principio del menor privilegio incluye la limitación de los recursos y aplicaciones accesibles por el usuario, así como el acceso en tiempo permitido. Por, ejemplo, a veces, puede no ser aconsejable permitir el acceso a los registros financieros a las 3:00 am por la mañana, cuando las instalaciones deberían estar cerradas.

• La identificación se refiere las cosas como nombres de usuario y tarjetas de identificación. Es el medio por el cual un usuario del sistema identifica quiénes son. Este paso se realiza generalmente al iniciar sesión.• La autenticación es el segundo paso del proceso de control

de acceso. Contraseñas, reconocimiento de voz, y escáneres biométricos son métodos comunes de autenticación. El objetivo de la autenticación es para verificar la identidad del usuario del sistema.• La autorizacion se produce después de que un usuario del

sistema se autentica y luego es autorizado a utilizar el sistema. El usuario esta generalmente sólo autorizado a usar una porción de los recursos del sistema en función de su papel en la organización. Por ejemplo, el personal de ingeniería tiene acceso a diferentes aplicaciones y archivos que el personal de finanzas, o recursos humanos no.

*Gestión de accesos de usuario

*Control de accesos al sistema operativo

*Control de acceso a la información y aplicaciones

*Control de accesos en red

•Registro de usuarios

•Gestión de privilegios

•Gestión de contraseñas de usuario

•Revisión de los derechos de acceso de los usuarios

•Procedimientos de conexión de terminales

•Identificación y autenticación de los usuarios

•Sistema de gestión de contraseñas

•Utilización de utilidades del sistema

•Timeout de sesiones

•Limitación del tiempo de conexión

•Restricción de acceso a la información

•Aislamiento de sistemas sensibles

•Política de uso de los servicios de red

•Autenticación para conexiones externas

•Identificación de equipos en la red

•Protección a puertos de diagnóstico remoto y configuración

•Segregación en las redes

•Control de conexión a las redes

•Control de enrutamiento en red

*Contraseñas

*Certificados

*Limitación del tiempo de conexión

*Control de acceso a las aplicaciones

*Restricciones por IP

*Dispositivos Biometricos

*ETC…

• El objetivo es asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de información.• Debería restringirse y controlarse el uso y asignación de privilegios:

– identificar los privilegios; –asignar privilegios a los individuos según los

principios de “necesidad de uso”; –mantener un proceso de autorización y un

registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido; –promover el desarrollo y uso de rutinas del

sistema; promover el desarrollo y uso de programas; –asignar los privilegios a un identificador de

usuario distinto al asignado para un uso normal. Un uso inapropiado de los privilegios puede ser causa de fallas.