Nínguna autorización formal para la creación de usuarios no públicos

De Safeval Wiki
Saltar a: navegación, buscar

Los usuarios públicos son los que se utilizan para la identificación público en general, pero que no representan a ningún derecho sobre las funciones críticas del sistema. Para que un usuario tenga un nivel justo por encima del público en general, es necesario que haya un proceso de autorización para este usuario.

La creación y asignación de derechos a los usuarios son las tareas administrativas críticos para la seguridad del sistema, para la creación de usuarios ficticios puede invalidar los mecanismos que garantizan la trazabilidad y autenticidad.

El punto principal es asegurar que el usuario está creando es efectivamente el usuario que recibe la contraseña. La autenticidad del proceso de creación de usuario es crítica porque, como el usuario "nace" en ese momento para el sistema, no hay manera de que el sistema puede garantizar por sí mismo, la autenticidad de la misma.

Este control sólo se puede implementar mediante procedimientos externos, ya que el sistema no puede autenticar al usuario antes de crear sus factores de autenticación.

Se aplicará a través de los siguientes mecanismos:

  1. La limitación de los derechos de "crear los usuarios" en el menor número posible de usuarios activos del sistema;
  2. Creación de pista de auditoría completa de las funciones de "crear los usuarios", "asignar derechos" y "elegir una contraseña";
  3. La segregación de funciones, lo que requiere la aprobación de otro usuario administrativo, de la creación de usuarios;
  4. Requisito de la confirmación por parte de otros sistemas o por un proceso externo, en el momento de la creación de usuarios, por ejemplo, de la validez del número de SSN o ID;
  5. Requisitos de algún tipo de registro físico identidad (identidad, licencia de conducir, pasaporte, etc.) en el momento de la creación de usuarios, a elección de la contraseña y la cesión de sus derechos.