Servicios de protección de datos en Majadahonda
Compruébelo usted mismo, LLáMENOS 925 366 897
¿CÓMO CONTROLAR EL ACCESO A LOS EQUIPOS Y APLICACIONES INFORMÁTICAS?
1. PROCEDIMIENTOS DE GESTIÓN DE USUARIOS Y CONTROL DE ACCESO
1.1 Creación de perfiles de usuarios.
1.2 Eliminación o inhabilitación de cuentas de usuarios
1.3 Identificación y autenticación de usuarios.
1.4 Perfil de usuario estándar y perfil administrador
1.5 Existencia de varios usuarios con permisos de administrador
1.6 Bloqueo temporal de usuarios.
1.7 Evitar la concurrencia de sesiones.
1.8 Uso de salvapantallas.
1.9 Doble factor de autenticación.
1.10 Cierre de sesión.
1.11 Código Captcha.
1.12 Registro de accesos.
La implementación de un sistema de gestión de usuarios y control de acceso permite mantener una base de datos de usuarios y permisos actualizados, obtener mayores garantías de confidencialidad de la información, reducir la probabilidad de que los usuarios menos cualificados comentan errores, la posibilidad de monitorizar la utilización de los datos y de los tratamientos, reducir los problemas que pudieran surgir como consecuencia de la asignación de permisos, así como retirarlos en caso necesario. A continuación, se enumeran una serie de medidas que nos ayudan a gestionar usuarios y controles de acceso:
1.1 Creación de perfiles de usuarios
El responsable de seguridad debe relacionar los distintos usuarios que acceden a los datos, otorgando los permisos de acceso únicamente a aquellos que sean necesarios para el desarrollo de su actividad laboral. Generalmente se creará un perfil de usuario, con permisos y privilegios adaptados a su puesto de trabajo, que previamente han sido definidos por la dirección del departamento que corresponda, correspondiendo al responsable de seguridad a dar de alta al usuario, así como su baja, modificación del perfil y acceso a los sistemas de información.
Las políticas de grupos, permiten crear reglas que pueden denegar la ejecución de programas informáticos, así como directivas que permiten restringir el acceso.
Una norma básica de seguridad es que los usuarios tengan los mínimos privilegios, tan sólo aquellos que necesitan pudiéndose gestionar en la política de usuarios del sistema. Además, en las carpetas y documentos del sistema Windows se pueden incorporar privilegios para determinados perfiles como el control total, modificación, lectura y ejecución, lectura y escritura.
1.2 Eliminación o inhabilitación de cuentas de usuarios
Cuando una cuenta de usuario ya no sea necesaria se debe eliminar, o bien, deshabilitar. El mantenimiento de cuentas sin ningún tipo de uso, únicamente incrementa los riesgos de seguridad.
1.3 Identificación y autenticación de usuarios
Se debe establecer una técnica de acceso y autenticación adecuada que verifique la identidad de un usuario de forma inequívoca y personalizada para acceder a los ficheros automatizados. Generalmente se creará un nombre de USUARIO y una contraseña, de manera que cada persona autorizada a tratar información automatizada debería disponer de un único identificador propio para su uso exclusivo.
1.4 Perfil de usuario estándar y perfil administrador
Utilizar usuarios con permisos de administrador en los equipos y aplicaciones informáticas sólo en caso necesario. Las cuentas de administrador permiten realizar todo tipo de cambios en el equipo y ello puede suponer un gran problema de seguridad. Si el pc es atacado por un malware, éste podría tener la posibilidad de ejecutar cambios de cualquier índole puesto que el usuario tiene permisos de administrador. En cambio, si el ataque se produce mientras utilizamos un usuario con permiso estándar, el malware pedirá permisos de administrador al ejecutarse siendo mucho más difícil que el ataque prospere. Además, se dotaría al usuario de ese PC de máximos privilegios, como cambios en la configuración del sistema, en el registro y también la instalación de software, por ejemplo, un usuario podría descargarse la aplicación de mensajería WhatsApp.
1.5 Existencia de varios usuarios con permisos de administrador
La existencia de dos o más usuarios con permisos de administrador permite la mejora en la resolución de incidencias, puesto que de no estar disponible un administrador se puede recurrir a otro.
1.6 Bloqueo temporal de usuarios
Si un usuario intenta acceder al sistema más de 3 veces introduciendo las credenciales de usuario de manera errónea, se deberá bloquear el sistema temporalmente, o bien, hasta que el administrador de sistemas le otorgue un nuevo permiso.
1.7 Evitar la concurrencia de sesiones
Se puede configurar el sistema para que se impida la concurrencia de sesiones realizadas con las mismas credenciales. Esto ayudará a evitar que dos personas compartan la clave.
1.8 Uso de salvapantallas
Cuando un usuario se ausente del puesto de trabajo deberá bloquear el equipo, resulta recomendable activar el salvapantallas, cuando hayan pasado unos minutos de inactividad sin mover el ratón o pulsar algún botón del teclado, de manera que sea necesario volver a introducir las credenciales para reanudar el acceso. El periodo considerado debe ser prudencial, en muchos casos se suele establecer en cinco minutos salvo para aquellos sistemas en que por sus características se fije otro límite, que podrá ser inferior o superior.
1.9 Doble factor de autenticación
En las aplicaciones web para evitar la intromisión de usuarios no autorizados externos se puede utilizar un doble factor de autentificación, permitiendo que solo se puede acceder a la cuenta en dispositivos de confianza. Cuando un usuario desee iniciar sesión en un nuevo dispositivo por primera vez, deberá proporcionar dos tipos de información, la contraseña asignada y el código de verificación que recibirá por algún medio que habrá de ser distinto del que recibió la contraseña, por ejemplo, si ésta la recibió por e-mail, el código de verificación lo podrá recibir por SMS. Al introducir el código, estará verificando que el nuevo dispositivo pertenece a un entorno que hemos considerado seguro y por tanto podrá acceder al servicio.
1.10 Cierre de sesión
Cuando un usuario finalice su trabajo, debe cerrar su cesión, sobre todo en equipos y aplicaciones que estén compartidos con otros usuarios, y también en aplicaciones telemáticas.
1.11 Código Captcha
Los accesos a las aplicaciones web, así como los formularios que recojan datos deben disponer de una protección de acceso mediante un código Captcha o reCaptcha. Un Captcha es una prueba que se utiliza para distinguir que quien accede al servicio es un humano y no un robot, el Captcha se configura para que la solución la pueda aportar un hombre y no una máquina. Esta herramienta sólo impediría el acceso de máquinas a la cuenta, pero no de personas, luego esta solución debe ser complementada por otra. El código ReCaptcha es una evolución del Captcha empleando pruebas de desafío-respuesta basadas en el reconocimiento de texto u objetos presentes en imágenes. El ReCaptcha v3 implementado por Google, no será “molesto” para los humanos, puesto que tiene en cuenta algunos aspectos, como el movimiento del ratón, número de clics, tiempo de navegación en algunas secciones de la web, …, de manera que Google recogerá estos datos y serán tratados según su política de privacidad y condiciones.
1.12 Registro de accesos
Este registro es una medida de control exhaustiva que permite conocer la trazabilidad de acciones sobre los ficheros. Esta herramienta puede estar incluida en los propios softwares de gestión, más habitual en aquellos que manejen información sobre datos de categorías especiales, como los de salud, creencias, sindicales, políticos, …, de hecho, sería una solución indispensable en muchas de las organizaciones que traten datos de este tipo. También pueden existir otros softwares con funciones específicas de registro de acceso que controlan los tratamientos realizados en los equipos informáticos. Cuando se van a tratar estos tipos de datos, sobre todo si el volumen es considerable y hay varios usuarios, se debe elegir una aplicación informática que disponga de las medidas de seguridad que se han mencionado, y además tenga un registro de accesos que cumpla con las siguientes características:
1.12.1 Tipos de datos almacenados
En los intentos de acceso de un usuario, se debe almacenar al menos la identificación del mismo, la fecha y hora en que se produjo, el fichero al que se ha accedido, así como el tipo de acceso y si éste ha sido autorizado o bien denegado.
1.12.2 Comprobación de registros
De cada acceso autorizado se deberá almacenar la información que permita conocer el registro al que se ha accedido.
1.12.3 Conservación de los registros
Con carácter general los datos que se hayan registrado deberán almacenarse 2 años.
1.12.4 Monitorización de registros
El registro de accesos debe ser fácilmente accesible para la persona o el equipo que se encargue de revisarlos y monitorizarlos, generalmente el responsable de seguridad, y éste deberá tener el control sobre el mismo evitando que otros usuarios accedan. El software debe permitir que se puedan realizar listados de los logs para analizar si existe algún tipo de incidencia. El responsable de seguridad deberá emitir un informe periódico sobre las incidencias detectadas. En caso de sospecha de que se han realizado accesos no autorizados, no se han utilizado los datos de manera apropiada, o se ha realizado una fuga de información, se deberán conseguir evidencias a través del Registro de Accesos que lo demuestren. Los datos tratados por la ofimática tradicional en el entorno Windows permiten al administrador del equipo conocer algunos de estos detalles, como el usuario que ha accedido, la fecha y hora e incluso la carpeta, pero en cambio sería muy complicado auditar qué registro ha sido alterado.
Software que integra el Registro de Accesos: MN PROGRAM
Este software se utiliza para la gestión de servicios en las empresas en múltiples sectores e integra un Registro de Accesos, almacenando los logs de toda la actividad de los usuarios.
A continuación, se relacionan un conjunto de procedimientos de seguridad que contienen medidas que se pueden desarrollar, ampliar o reducir según las necesidades de la empresa. Se pueden tomar como referencia para proteger los ficheros y así poder cumplir con lo señalado en el art. 32 de Reglamento General de Protección de datos (RGPD), que versa sobre la seguridad del tratamiento de datos. Pulse en cada una de ellas para obtener más información.
Procedimientos de Seguridad. Introducción
- Procedimientos de gestión de usuarios y control de acceso.
- Procedimientos de gestión de contraseñas.
- Procedimientos de gestión de soportes.
- Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
- Procedimientos de ficheros temporales y copias de trabajo de documentos.
- Procedimientos de gestión de telecomunicaciones.
- Procedimientos de trabajo fuera de los locales.
- Procedimientos de protección en equipos, redes y aplicaciones informáticas.
- Procedimientos de gestión de copias de seguridad.
- Procedimientos de gestión de incidencias.
según datos del INE del año 2019.
Majadahonda tiene 1 polígono industrial, el Carralero, y 4 grandes centros comerciales:
Centro Comercial Centro Oeste
Centro Comercial Equinoccio Park.
Centro Comercial Paular.
Centro Comercial Gran Plaza 2
Protección de Datos en Majadahonda.
Reglamento General de Protección de Datos (RGPD)
Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD).