LA INSTITUCION

Fecha 13/01/2011 Versin 3.0

Norma de Administracin de Usuarios

Tabla de Contenidos 1 OBJETIVO.................................................................................................................. 3 2 ALCANCE................................................................................................................... 3 3 RESPONSABILIDADES............................................................................................. 3 4 INCUMPLIMIENTOS................................................................................................... 3 5 DEFINICIONES............................................................................................................ 3 6 DISPOSICIONES......................................................................................................... 3 6.1 Solicitud de accesos (alta y modificacin)........................................................... 3 6.2 Descripcin de recursos......................................................................................... 3 6.3 Autorizacin.............................................................................................................. 4 6.4 Ejecucin................................................................................................................... 4 6.5 Baja de usuarios ....................................................................................................... 4 6.6 Compromiso del usuario.......................................................................................... 4 6.7 Uso de un sistema automtico de control de accesos de usuarios..................... 4 6.8 Cuentas de usuarios ................................................................................................. 5 6.9 Cuentas de Usuarios especiales............................................................................... 5 6.10 Datos a incluir en las cuentas de usuarios............................................................ 6 6.11 Administracin de las claves de acceso................................................................ 6 6.12 Generacin de contraseas .................................................................................... 6 6.13 Bloqueo de las cuentas ........................................................................................... 7 6.14 Restricciones adicionales........................................................................................ 7 6.15 Depuracin de usuarios............................................................................................ 7 6.16 Desconexin automtica........................................................................................... 7 6.17 Pantalla de inicio de acceso a los sistemas de LA INSTITUCION.......................... 7 6.18 Protector de Pantalla.................................................................................................. 8 6.19 Seguridad de Accesos frente a Terceros ................................................................ 8 6.20 Otras medidas complementarias............................................................................... 8

Versin 3

Norma de Administracin de Usuarios

1 de 9

7 REFERENCIAS.................................................................................................................. 8 8 HISTORIAL DE REVISIONES............................................................................................ 9

Versin 3

Norma de Administracin de Usuarios

2 de 9

1 Objetivo
Definir las pautas que permitan asegurar que todos los usuarios tienen exclusivamente el acceso necesario a la informacin para el desarrollo de sus tareas habituales en LA INSTITUCION.

2 Alcance
Todo el personal de LA INSTITUCION y los terceros, que interactan de manera habitual u ocasional, que accedan a informacin sensible y/o a los recursos informticos en el desarrollo de sus tareas habituales.

3 Responsabilidades
El Responsable del Proceso es el RESPONSABLE DE SEGURIDAD INFORMATICA, quien se apoyar en el rea de SEGURIDAD INFORMATICA ACCESOS para mantener la operatividad de la presente Norma.

4 Incumplimientos
Las medidas disciplinarias por incumplimientos se definirn en el momento de la ocurrencia del incidente segn el impacto que haya tenido en LA INSTITUCION.

5 Definiciones 6 Disposiciones
Todo usuario de LA INSTITUCION debe tener una identificacin en los sistemas. Los usuarios slo deben tener permisos de accesos a los recursos a los cuales estn debidamente autorizados. El proceso de alta/baja/modificacin de perfiles y permisos de usuarios debe ser respetado por todos los integrantes de LA INSTITUCION.

6.1 Solicitud de accesos (alta y modificacin) La solicitud de accesos puede ser realizada por cualquier usuario a travs del correo electrnico, un workflow o la mesa de ayuda. 6.2 Descripcin de recursos En el pedido se debe identificar a qu recursos informticos especficos se requiere el acceso, tales como: A la red de LA INSTITUCION, A un equipo de procesamiento, A un sistema de aplicacin, A una base de datos, A un servicio, A un men y/o funcionalidad, Norma de Administracin de Usuarios 3 de 9

Versin 3

A un grupo de usuario, A determinadas reas de datos, A otros recursos que deben identificarse puntualmente.

6.3 Autorizacin En toda solicitud debe estar copiado el gerente del rea, no hace falta su aprobacin salvo en el caso de acceso a Internet o a VPN. Adicionalmente, en caso que la informacin a la cual se debe acceder sea crtica, es necesario contar con varias autorizaciones. Adems se debe realizar una validacin funcional a travs de los responsables correspondientes. 6.4 Ejecucin Se deben otorgar los permisos solicitados en el sistema correspondiente y luego comunicar a todos los involucrados que ya fue efectuada la solicitud. Adicionalmente, debe mantener un registro eficiente y permanente de los usuarios y de los permisos ya autorizados y los formularios de respaldo. 6.5 Baja de usuarios El rea de recursos humanos o los responsables de reas deben notificar inmediatamente la desvinculacin del personal. El rea de Recursos Humanos es responsable de efectuar un control diario de las modificaciones de los puestos de trabajos y/o bajas del personal y notificar al rea de seguridad informtica para que efecten las acciones correspondientes. El Responsable de Seguridad debe realizar controles de los usuarios inactivos y proceder a notificar al responsable para que efecte las acciones correspondientes. 6.6 Compromiso del usuario Todo usuario debe firmar un compromiso de responsabilidad y confidencialidad del uso de su cuenta de usuario, de la respectiva contrasea asignada y de la informacin de los sistemas informticos a los que acceda. Este compromiso debe ser renovado segn actualizaciones de las normas, que afecten directamente a los usuarios. 6.7 Uso de un sistema automtico de control de accesos de usuarios En todas las plataformas y sistemas se debe aplicar un control de accesos de los usuarios automtico. Todos los sistemas informticos poseen mecanismos de control de acceso a travs de mecanismos de autenticacin. El grupo no debe utilizar sistemas informticos que no posean control de acceso. En caso de que no pueda implementarse un sistema automtico, el Responsable de Seguridad en conjunto con el Responsable de los recursos informticos involucrados, deben analizar los controles alternativos a implementar.

Versin 3

Norma de Administracin de Usuarios

4 de 9

Los sistemas que sean clasificados como pblicos quedan exceptuados de esta obligacin. 6.8 Cuentas de usuarios Cada persona debe tener una nica cuenta personal de usuario en los sistemas que haga falta para cumplir con sus tareas habituales y es responsable por su correcto uso. Cualquier excepcin ya sea por ser una cuenta especial o una segunda cuenta de usuario, debe ser aprobada por el correspondiente responsable y el rea de seguridad informtica. La identificacin de la cuenta personal puede tener un mximo de 12 caracteres (lo ideal es de 8) y corresponder a la siguiente definicin: Inicial del Primer Nombre + Inicial del Segundo nombre (si existe) + apellido hasta completar los 8 caracteres. Ejemplo con Jos Luis Prez jlperez Repeticiones de primer nivel (la idea es que el apellido quede lo ms intacto posible, por eso, si no fuese suficiente con este nivel se utilizar el siguiente): Inicial del Primer Nombre + Inicial del Segundo nombre (si existe) + Apellido hasta completar 7 caracteres + Dgito secuencial (de 1 a 9) Ejemplo con Jos Luis Prez - jlperez1 Repeticiones de segundo nivel: Inicial del Primer Nombre + Inicial del Segundo nombre (si existe) + Apellido hasta completar 6 caracteres + Dos Dgitos secuenciales (de 10 a 99) Ejemplo con Jos Luis Prez - jlpere10 Se tendrn en cuenta excepciones. La duracin de la cuenta de usuario de empleados de LA INSTITUCION es indeterminada. Si se trata de terceros, la duracin es de 1 ao, debindose solicitar la activacin por un nuevo ao. Incluir adems en el campo Descripcin la empresa para la cual trabaja. 6.9 Cuentas de Usuarios especiales No estn permitidos los usuarios no personales, salvo las siguientes excepciones: Usuarios genricos necesarios para la ejecucin de software y acceso a datos: deben ser autorizados expresamente por el responsable de la informacin y el rea de seguridad informtica. Los usuarios con mximos permisos de cada equipo y/o sistema no deben utilizarse con fines operativos. Sus contraseas deben someterse a procedimientos de emergencia y su acceso restringido debe estar en poder del responsable. Norma de Administracin de Usuarios 5 de 9

Versin 3

La nomenclatura de las cuentas especiales debe ser modificada de la situacin original de instalacin, en la medida que no interrumpa la normal ejecucin dicho software, y deben asimilarse a las caractersticas utilizadas para usuarios finales.

6.10 Datos a incluir en las cuentas de usuarios En la descripcin de cada cuenta de usuario se debe incluir: los nombres y apellido del responsable de la misma y la identificacin de la ubicacin fsica. En la descripcin de las cuentas no personales no debe figurar la funcin para la que fue creada (sobre todo aquella cuenta creada por el software o aquellas de mximos privilegios). 6.11 Administracin de las claves de acceso Toda cuenta de usuario debe tener asociada obligatoriamente una clave de acceso que debe cumplir con los siguientes requisitos: Debe ser definida con una longitud mnima de 8 caracteres alfanumricos. Debe permanecer encriptada en archivos ocultos y protegidos. No debe ser visible por pantalla al momento de ser ingresada. No debe ser en blanco. No debe ser trivial. No debe ser identificada en el momento de la transmisin. Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema. Cambiarse obligatoriamente en un perodo mximo de cuarenta y cinco (45) Ser distintas por lo menos de las ltimas diez (10) anteriores. Permitir ser cambiadas toda vez que el usuario lo requiera

Es recomendable adems que: Contengan caracteres alfanumricos Contengan al menos un letra minscula y otra mayscula Y para prevenir el hecho de que se vean comprometidos varios sistemas, se debera alentar a los usuarios el empleo de claves de accesos diferentes en cada uno de los sistemas a los cuales se le haya concedido acceso.

6.12 Generacin de contraseas Cada vez que el Responsable de Seguridad asignado deba modificar una contrasea, utilizar procedimientos de llamado y/o verificacin de datos personales, para asegurarse la identidad del usuario al que le transferir la contrasea. Se generar la nueva contrasea en conjunto con el usuario en cuestin. El responsable de Seguridad asignado debe notificar al usuario que ya modific la contrasea, sin mencionarla en ningn momento. Se deber recomendar al usuario el cambio inmediato de dicha contrasea y/o si es posible forzar el cambio como primer paso despus de la conexin.

Versin 3

Norma de Administracin de Usuarios

6 de 9

6.13 Bloqueo de las cuentas Toda cuenta de usuario que haya intentado el acceso al sistema en forma fallida y consecutiva 5 veces debe ser automticamente bloqueada. La misma slo debe ser reconectada por el Responsable de Seguridad correspondiente luego de la solicitud por parte del responsable de la cuenta. Para todas las cuentas especiales, administradores y usuarios vips la reconexin debe ser documentada y comunicada al responsable. Toda cuenta de usuario que no haya accedido al sistema por noventa (90) das corridos debe bloquearse y deben iniciarse los procesos de autorizacin necesarios para darla de baja definitivamente. 6.14 Restricciones adicionales Restringir la cuenta de usuario a una sola sesin de trabajo, siempre y cuando se dispongan de las herramientas automticas para realizarlo. Las excepciones debern ser aprobadas por el Comit de Seguridad de la Informacin. Restringir el uso de la cuenta de usuario a determinados das y horas, siempre y cuando se dispongan de las herramientas automticas para realizarlo. Para las cuentas especiales de mayor riesgo y las cuentas de usuarios, en caso de que lo soliciten los responsables, se debern limitar las conexiones slo a las estaciones de trabajo autorizadas y adicionalmente se debe implementar en el sistema de control de acceso la registracin de los eventos relacionados con la seguridad de acuerdo a lo estipulado por la norma respectiva.

6.15 Depuracin de usuarios Controlar y depurar los usuarios en: Redes, mail, MSN, Internet, VPN, web access, SAP y sistemas Corporativos (por ejemplo, Meta4, SAP TRUCK y MOST, etc.) en forma anual y dejar constancia de lo revisado para las auditoras. Los usuarios bloqueados por ms de 90 das, si no son reactivados, deben ser eliminados (guardndose histrico en aquellos sistemas que lo requieran ante una posible reactivacin). En el caso de la aplicacin SAP se regir por lo establecido en la Norma de Acceso a SAP. 6.16 Desconexin automtica Se debe desconectar toda sesin activa cuando la estacin de trabajo no verifique uso durante 30 minutos, siempre y cuando se dispongan de las herramientas automticas para hacerlo. 6.17 Pantalla de inicio de acceso a los sistemas de LA INSTITUCION Se debe implementar, de manera automtica, un mensaje al momento de ingresar el usuario a los sistemas.

Versin 3

Norma de Administracin de Usuarios

7 de 9

El mensaje debe manifestar que el sistema slo puede ser utilizado para los propsitos autorizados para sus tareas y que el usuario tiene el compromiso de responsabilidad y confidencialidad de su cuenta de usuario asignada y de la informacin a la que accede. 6.18 Protector de Pantalla Se deber utilizar las facilidades de protector de pantalla con contrasea para las estaciones de trabajo, con activacin automtica a los 10 minutos de inactividad en el sistema. 6.19 Seguridad de Accesos frente a Terceros No se deben otorgar a terceros acceso a la informacin y a las instalaciones de procesamiento hasta tanto no se haya identificado e implementado los controles apropiados y se haya firmado un convenio que defina las condiciones para la conexin o el acceso segn las normas y procedimientos vigentes en LA INSTITUCION. Todo tercero que tenga acceso a los recursos informticos de LA INSTITUCION, deber quedar inhibido a partir del momento en que se produzca la desvinculacin o cese de servicios. El personal responsable de efectivizar la desvinculacin o cese de servicios de aquellos terceros que se encuentren autorizados a acceder a los recursos informticos de LA INSTITUCION deben comunicar inmediatamente tal medida al departamento de Recursos Humanos y al departamento de Sistemas para que dicho tercero sea desafectado de todos los accesos que tuviese otorgados. Tanto las habilitaciones como las inhibiciones a terceros debern quedar documentadas. 6.20 Otras medidas complementarias Se deber evaluar la posibilidad de implementar tambin mecanismos de validacin de ltima tecnologa: Software de autenticacin nica para todos los sistemas (del tipo Single Signon). Equipos de identificacin biomtrica (utilizando caractersticas fsicas propias de cada individuo), hardware tipo "tokens", tarjetas con chips, o similares. Servicio de autenticacin a travs de distintos tipos de certificaciones / firmas digitales (como ser la combinacin de claves pblicas y privadas)

7 Referencias
Norma de Acceso a SAP

Versin 3

Norma de Administracin de Usuarios

8 de 9

8 Historial de Revisiones
Revisin Fecha Autor Modificaciones

0 1 2

28/O6/2011 09/11/2011 14/11/2011

Lus Eiras Rebora Marisel Romano Carlos Daz

24/11/2011

Ariel Suarez

Ninguna Ninguna Se modifica el trmino Oficial de Seguridad, por Jefe de Seguridad Informtica Modificacin de formato y adaptacin a las normas de LA INSTITUCION.

Versin 3

Norma de Administracin de Usuarios

9 de 9