3. ACCESOS CORPORATIVOS
Todas las tareas
Tareas
de operaciónO
Tareas de
administración
A
Tareas de
servicioS
Clasificar las tareas
4. ACCESOS CORPORATIVOS
Caracterizar las cuentas
O
S
A
RD 3/2010 - ENS
4.2.1 Identificación [op.acc.1]
2. Cuando el usuario tenga diferentes roles
frente al sistema recibirá identificadores
singulares para cada uno de los casos…
8. ACCESOS CORPORATIVOS
Control de acceso
RD 3/2010 - ENS
4.2 Control de acceso. [op.acc].
a) Que todo acceso esté prohibido, salvo concesión expresa.
b) Que la entidad quede identificada singularmente [op.acc.1].
c) Que la utilización de los recursos esté protegida [op.acc.2].
d) Que se definan para cada entidad los siguientes parámetros: a qué se necesita acceder, con qué
derechos y bajo qué autorización [op.acc.4].
e) Serán diferentes las personas que autorizan, usan y controlan el uso [op.acc.3].
f) Que la identidad de la entidad quede suficientemente autenticada [mp.acc.5].
g) Que se controle tanto el acceso local ([op.acc.6]) como el acceso remoto ([op.acc.7]).
9. ACCESOS CORPORATIVOS
Limitar responsabilidades
(1) (2) (3) (4) (5) (6) (7) (8) I E
(1) Jefe Proyecto
(2) Desarrollador
(3) Responsable SI
(4) Administrador SI
(5) Responsable Unidad
(6) Administrador Sistemas
(7) Administrador Red
(8) Coordinador Incidencias
I USUARIO INTERNO
E USUARIO EXTERNO
10. ACCESOS CORPORATIVOS
Denegación
Materialización
de la solicitud
Información a terceros sobre
eventos asociados al sistema
de información
Cancelación
Notificación al
generador
Registrar solicitudes sistema
Generación
de la solicitud
Aprobación del
Responsable
de Unidad
Aviso
Aprobación del
Responsable
del sistema
Aviso
Actuación del
Administrador
del sistema
Aviso
Denegación
11. ACCESOS CORPORATIVOS
Definir mecanismos acceso
Sobremesa
Portátil
Dispositivo móvil
Consola de desarrollo
Escritorio remoto
Consola de Administración
Servidores
HTTP
Internet
WLAN
WIFI
VPN
12. ACCESOS CORPORATIVOS
Resumen
Tareas
Sistemas de
Información
Usuarios
Tareas
de operación
Tareas de
administración
Tareas de
servicio
(1) (2) (3) (4) (5) (6) (7) (8) I E
(1) Jefe Proyecto
(2) Desarrollador
(3) Responsable SI
(4) Administrador SI
(5) Responsable Unidad
(6) Administrador Sistemas
(7) Administrador Red
(8) Coordinador Incidencias
I USUARIO INTERNO
E USUARIO EXTERNO
Sistema de
Información
Categoría
BÁSICA
Sistema de
Información
Categoría
MEDIA
Sistema de
Información
Categoría
ALTA
Denegación
Materialización
de la solicitud
Información a terceros sobre
eventos asociados al sistema
de información
Cancelación
Notificación al
generador
Generación
de la solicitud
Aprobación del
Responsable
de Unidad
Aviso
Aprobación del
Responsable
del sistema
Aviso
Actuación del
Administrador
del sistema
Aviso
Denegación
1. Cuentas y tareas 2. Gestión de identidades
3. Mecanismos de acceso
Sobremesa
Portátil
Dispositivo móvil
Consola de desarrollo
Escritorio remoto
Consola de Administración
Servidores
HTTP
Internet
WLAN
WIFI
VPN
Buenos días, Bon día, Egu non, Bos días.
Soy Guillermo Obispo y tengo 25 años… de antigüedad en la AAPP.
Soy parte de la comunidad ProtAAPP para Empleados Públicos con interés en la Ciberseguridad
Trabajo en la IGAE.
Todas las organizaciones tienen:
Conjunto de usuarios
Lista de tareas
Colección de Sistemas de Información y Servicios
Se crean grupos de tareas en función de su tipo
Operación: uso, gestión e incluso administración de aplicaciones, ya sea de forma local o remota
Administración: servidores, bases de datos, servicios, accesos, elementos de infraestructura de red, etc.
Servicios: llevadas a cabo automáticamente por sistemas, habitualmente de forma desatendida (monitorización, pruebas, etc.)
Se crean grupos de cuentas en función de su tipo
Operación: Para autenticarse en el uso de recursos compartidos, SSII y servicios. Cada cuenta asociada con una persona física identificada. Cada persona solo una cuenta de operación.
Administración: Para autenticarse en servidores, BBDD, Servicios, Infraestructuras LAN, etc. Cada cuenta asociada con una persona física identificada. Cada persona física puede tener más de una cuenta de administración sobre sistemas diferentes.
Servicio: Para autenticarse en tareas de servicio (monitorización, cadenas de conexión, notificaciones, etc.) Cada cuenta asociada a una unidad, cuyo responsable en cada momento lo será igualmente de su uso.
Cada usuario recibe una cuenta de operación
Interno: Tiene permitida la conexión a redes internas de la organización.
Externo: No tiene permitida la conexión a redes internas de la organización.
Los usuarios que lo requieren reciben una o más cuentas de administración vinculadas a su cuenta de operación
Se recaba de cada Responsable de SI o Servicio la categoría en el ENS, según Anexo I del RD 3/2010
Se identifica el plano desde el que son accesibles: Operación, Administración o Servicios
Se indican las credenciales disponibles conformes con el Reglamento eIDAS UE 910/2014
Se gestiona el flujo de peticiones de cada usuario a su colección de Sistemas de Información y Servicios
Solicitud de acceso
Entornos de ejecución (Producción, preproducción, pruebas, formación)
Niveles de acceso (Perfil)
Autorización / Denegación
Se delimitan los diferentes tipos de tareas que puede realizar cada tipo de usuario
- Matriz de responsabilidades
Se gestiona el flujo de solicitudes de cada usuario para:
Nombramiento y revocación de responsabilidad
Acceso a Sistemas de Información y Servicios
Entornos de ejecución (Producción, preproducción, pruebas, formación)
Niveles de acceso (Perfil)
Autorización / Denegación
Se recogen los diferentes tipos de dispositivos que se pueden utilizar en cada plano
(Equipo sobremesa, Portátil, Dispositivo móvil, Consola de desarrollo, Escritorio remoto)
(Consola de administración)
(Servidores)
Se configuran los diferentes medios para acceder a SSII y Servicios
Desde redes corporativas (Cableado convencional, WIFI)
Desde redes no corporativas (VPN, Publicador HTTP, ER)
Se dispone que tipos de acceso están disponibles para cada tipo de usuario
Conjunto de usuarios
Lista de tareas
Colección de Sistemas de Información y Servicios
Parece que esto solo lo puede hacer un Superhombre
Sin embargo, cualquier de vosotros puede ser un Superhombre
De hecho, no estáis solos: podéis contar con ProtAAPP