35 ¿Se expide un certificado de cancelación de registros de usuario cuando se ha dado por terminada la relación laboral con el funcionario? ¿Cuándo un usuario ha cambiado de funciones se daba de baja a ese usuario y se le asigna otro con diferentes privilegios según su cargo? ¿Se documenta el proceso de la pregunta 3? ¿Se realiza un proceso formal para la gestión de información de autenticación secreta de usuarios? ¿El proceso de autenticación de usuario se encuentra documentado? ¿Se efectúa un cambio de clave cada cierto periodo de tiempo? ¿Se efectúan revisiones periódicas al derecho de acceso de los usuarios? ¿Se realiza una revisión periódica de la asignación de los privilegios? Total Porcentaje
4 4 4 4 4 4 4 4 36 66.66%
Nota. Fuente: https://normaiso27001.es/a9-control-de-acceso/. Adaptado por: El autor
Se proyecta la aplicación del objetivo de control de un 66.66% en una fase intermedia de aplicabilidad, se ve la necesidad de proteger el ingreso de los funcionarios a los servicios de la institución y es necesario mitigar y proteger los servicios que utilizan los docentes.
Tabla 14 Objetivo de control Responsabilidades del usuario Control: Periodo:
1.1 II-2020
Uso de información de autenticación secreta
Preguntas ¿Existe una política sobre el uso de información de autenticación secreta? ¿Los usuarios poseen contraseñas seguras? ¿Se le asigna responsabilidades de seguridad de la información por escrito al funcionario con respecto a su perfil de usuario? ¿Se efectúan revisiones periódicas sobre esta política? Total Porcentaje
Ponderación No 1 2 3
24 Si 4 4 4 4
5
6
4 16 66.66%
Nota. Fuente: https://normaiso27001.es/a9-control-de-acceso/. Adaptado por: El autor
El objetivo de control se encuentra aplicado en una fase intermedia con el 66.66%, es necesario aplicar una política sobre el uso de información de autenticación secreta de la institución, generar lineamientos de contraseñas seguras, y generar una política de responsabilidad del uso que le dé a su información.
