Política y procedimiento de acceso remoto Se debe definir una política de acceso remoto donde se establezcan los requisitos necesarios de seguridad de las comunicaciones definiendo los motivos para el acceso remoto y el tipo de información a la que se accederá teniendo en cuenta su clasificación. Se debe contar con un procedimiento asociado a la política que indique al menos cómo es el procedimiento para la solicitud del acceso remoto. Mecanismos de autenticación y comunicaciones Los mecanismos de autenticación seguros son los métodos y procesos que se utilizan para verificar la identidad de un usuario, dispositivo o sistema de una manera fiable y resistente a los ataques. El objetivo principal es garantizar que solo las entidades autorizadas puedan acceder a datos, sistemas o recursos protegidos. Por ejemplo: múltiples factores de autenticación, contraseña de un solo uso, autenticación biométrica, entre otros. Se deben utilizar comunicaciones y mecanismos de autenticación seguros. Medidas de seguridad para el acceso remoto Se debe definir desde qué equipos se podrá acceder remotamente y qué medidas de seguridad deben tener dichos equipos, por ejemplo, protección contra software malicioso, últimos parches de actualización del sistema operativo, etc. Se debe evaluar la posibilidad de implementar el doble factor de autenticación para realizar conexiones remotas. Se debe contar con una lista blanca de todos los recursos disponibles accesibles de forma remota. Usuarios autorizados a acceder de forma remota Se debe determinar qué usuarios pueden acceder y autorizarlos; en qué momento, por cuanto tiempo y a qué recursos. Los usuarios deben ser nominados, evitando el uso de cuentas genéricas. Revisión periódica de los accesos remotos También se debe definir un procedimiento de revisión periódica de las cuentas de usuario con privilegios de acceso remoto y validar la necesidad de mantener dichos accesos. Mecanismos de seguridad para el acceso remoto Se deberán utilizar mecanismos seguros para el acceso remoto, cómo por ejemplo MFA, que garanticen la privacidad, confidencialidad e integridad de la información. El acceso remoto debe contar con mecanismos de activación y desactivación para realizar las tareas que sean necesarias con un plazo establecido. En aquellos casos para los que no sea posible contar con un plazo establecido, se deberá justificar el uso continuo de conexiones remotas. |