cp-sin-pge-01-v04 - administración de usuarios perfiles y ... · usuarios perfiles y contraseñas...

ADMINISTRACIÓN DE USUARIOS PERFILES Y

CONTRASEÑAS

Procedimiento de Gestión

Código: CP-SIN-PGE-01-V04

Sector: Gerencia de Seguridad Informática

Proceso: Administración de Usuarios Perfiles y Contraseñas

Fecha: 21/11/2012

Preparó: C.B. OGP

2

Importante: Se aclara que las actividades que componen los procedimientos se encuentran enunciadas en forma continua y secuencial para cada uno de los intervinientes en los procesos. Ésta modalidad de redacción permite identificar la intervención completa de un Área/Sector dentro del procedimiento. Asimismo, y para una mejor visualización del flujo de las actividades y/o información, se recomienda la lectura de los procedimientos en conjunto con los flujogramas que los representan gráficamente.

CONTROL DE VERSIONES

VERSIÓN PROCESO CAMBIO FECHA

III. DEFINICIONES Y ABREVIATURAS Sistema de Tickets - SiTi

Incorporación de la definición al documento.

V. DESARROLLO

1. Alta de Usuario Modificación del punto por incorporación del uso del Sistema de Tickets - SiTi

Subproceso Cambio de Contraseña Subproceso eliminado de la versión.

3. Rehabilitación de Usuario 4. Modificación de Usuario 5. Depuración de Usuario

Subproceso incorporado a la versión. Subproceso incorporado a la versión. Subproceso incorporado a la versión.

VI. FORMULARIOS 1. Identificación Alta de Usuario 2. Conformidad Alta de Usuario 3. Rehabilitación de Usuario 4. Destrucción Contraseñas de Usuarios

Modificación de formulario. Modificación de formulario. Modificación de formulario. Incorporación de Formulario.

V4

VII. FLUJOGRAMAS 1. Alta De Usuario 2. Baja de Usuario 3. Rehabilitación de Usuario 4. Modificación de Usuario 5. Depuración de Usuarios 6. Certificación de Usuarios y Perfiles de Accesos

Modificación de formulario. Modificación de formulario. Reemplazo de formulario. Reemplazo de formulario. Incorporación de formulario. Modificación de formulario.

21/11/2012




Fecha: 21/11/2012

Preparó: C.B. OGP

3

ÍNDICE

I. OBJETIVO

4

II ALCANCE

4

III DEFINICIONES Y ABREVIATURAS

4

IV. ANTECEDENTES NORMATIVOS Y FORMULARIOS A UTILIZAR

5

V. DESARROLLO 1. Alta de Usuario 2. Baja de Usuario 3. Rehabilitación de Usuario 4. Modificación de Usuario 5. Depuración de Usuarios 6. Certificación de Usuarios y Perfiles de Accesos

6

6 9

11 13 16 17

VI. FORMULARIOS 1. Identificación Alta de Usuario 2. Conformidad Alta de Usuario 3. Rehabilitación de Usuario 4. Destrucción Contraseñas de Usuarios

18

18 19 20 21

VII. FLUJOGRAMAS 1. Alta de Usuario 2. Baja de Usuario 3. Rehabilitación de Usuario 4. Modificación de Usuario 5. Depuración de Usuarios 6. Certificación de Usuarios y Perfiles de Accesos

22

22 23 24 25 26 27

VIII. ANEXOS

28




Fecha: 21/11/2012

Preparó: C.B. OGP

4

I. OBJETIVO Asegurar razonablemente la correcta definición de los accesos de los usuarios a los recursos informáticos instalados en los distintos ambientes de procesamiento del Consejo Profesional de Ciencias Económicas de la Ciudad Autónoma de Buenos Aires. II. ALCANCE Este Procedimiento comprende a todos los empleados, consultores y proveedores que necesiten tener acceso para efectuar sus trabajos en los ambientes tecnológicos de la red interna, sistemas aplicativos, bases de datos, casillas de correos electrónicos e Internet.

Asimismo comprende el Manual de Políticas y Normas de Seguridad de la Información – Norma de Control de Acceso a los Sistemas y otras Normas afines.

III. DEFINICIONES Y ABREVIATURAS Propietario de los Datos: Es el responsable de clasificar la información de su propiedad de acuerdo con el grado de sensitividad y criticidad que corresponda. Debe asegurar y aprobar que el personal tenga garantizado sólo el acceso apropiado a los datos de acuerdo con sus respectivas funciones de trabajo. La responsabilidad de cumplir con la función de Propietario de los datos corresponde al Nivel Gerencial de las áreas usuarias. Delegado de los Datos: Es la persona en la cual el Propietario de los Datos ha delegado su función y la responsabilidad correspondiente a la misma. Custodio de los Datos: Es la persona responsable de proteger físicamente los repositorios de los datos. La responsabilidad de cumplir con la función de Custodio de los datos corresponde al Gerente de Sistemas. Sistema de Tickets - SiTi: Es un sistema aplicativo implementado por la Gerencia de Seguridad Informática y que se encuentra disponible para todos los empleados, permitiendo gestionar de manera individual, ágil, práctica, rápida y remota la generación de solicitudes de altas y bajas de usuarios, rehabilitaciones de contraseñas y modificaciones de permisos de accesos a sistemas y plataformas tecnológicas (para mayor información ver Instructivo de Uso del Sistema de Tickets CP-SIN-GUS-13).




Fecha: 21/11/2012

Preparó: C.B. OGP

5

IV. ANTECEDENTES NORMATIVOS Y FORMULARIOS A UTILIZAR:

1. Antecedentes Normativos Manual de Políticas y Normas de Seguridad de la Información – Norma de Control

de Acceso a los Sistemas y otras Normas afines. Instructivo de Uso del Sistema de Tickets CP-SIN-GUS-13

2. Formularios a utilizar Para facilitar el proceso en cuestión, se ha previsto la creación y utilización de cuatro formularios:

DETALLE FORMULARIO

Información de usuario y contraseña Identificación Alta de Usuario – CP-SIN-FNº-01

Recepción firmada por el usuario Conformidad Alta de Usuario – CP-SIN-FNº-02

Cambio de contraseña Rehabilitación de Usuario – CP-SIN-FNº-03

Destrucción de contraseña y baja de usuario

Destrucción Contraseñas de Usuarios - CP-SIN-FNº-08




Fecha: 21/11/2012

Preparó: C.B. OGP

6

V. DESARROLLO 1. Alta de Usuario 1.1. Sector Solicitante: 1.1.1. Solicita por medio del Sistema de Tickets - SiTi el alta de un usuario, de

presentarse las siguientes situaciones:

Ingreso de un nuevo empleado/consultor/proveedor. Habilitar nuevos accesos a usuarios existentes.

1.1.1.1. El Ticket que genera debe contener los siguientes datos:

Requerimiento: alta de usuario; Aplicativo: nombre del sistema; Texto: motivo del requerimiento y/o cualquier comentario

adicional.

1.1.1.2. En caso de tratarse de un pedido para otra persona se debe indicar además:

Nombre/s y apellido/s completo del usuario; Gerencia/Sector/Área; Número de interno/teléfono para comunicarse; Tipo de usuario: empleado efectivo o temporario/consultor/

proveedor; Tipo/descripción de la función a realizar (también se puede indicar

que las funciones a realizar son idénticas a las de otro usuario); Fecha de vigencia, incluyendo el último día de habilitación, de

corresponder.

1.1.2. Recepciona por medio de un correo electrónico el Ticket Cerrado sin Éxito, enviado por la Gerencia de Seguridad Informática, en caso de:

Rechazo de la Gerencia de Recursos Humanos y Servicios /

Propietario / Delegado / Custodio de los Datos. Detección de anomalía.

1.1.3. Recepciona por medio de un correo electrónico el Ticket Cerrado con Éxito,

enviado por la Gerencia de Seguridad Informática.




Fecha: 21/11/2012

Preparó: C.B. OGP

7

1.1.4. El usuario recibe de la Gerencia de Seguridad Informática el Formulario de Identificación Alta de Usuario (CP-SIN-FNº-01), conteniendo el usuario y contraseña correspondientes. Firma el Formulario de Conformidad Alta de Usuario (CP-SIN-FNº-02).

1.2. Gerencia de Recursos Humanos y Servicios: 1.2.1. Genera las altas correspondientes mediante el Sistema de Ticket - SiTi, o confirma

las solicitudes que hubieran, indicando:

Nombre/s y apellido/s completo del usuario; Gerencia/Sector/Área; Número de interno/teléfono para comunicarse; Tipo de usuario: empleado efectivo o temporario/consultor/


que las funciones a realizar son idénticas a las de otro usuario); Fecha de inicio de las actividades; Fecha de finalización prevista, incluyendo el último día de

habilitación, de corresponder.

1.2.2. Recibe el “Cierre Exitoso” del Ticket por medio de un correo electrónico enviado por la Gerencia de Seguridad Informática, donde se informa que fue efectuada el alta del usuario.

1.3. Gerencia de Seguridad Informática: 1.3.1. Funciones del Administrador:

1.3.1.1. Verifica los datos informados y la congruencia de la solicitud. 1.3.1.2. En caso de detectar alguna anomalía, informa al Gerente de Seguridad

Informática, para su revisión y seguimiento. En caso de corresponder, el Ticket es “Cerrado sin Éxito” explicando el motivo del mismo.

1.3.1.3. Verifica y procede, según el tipo de alta requerida:

Alta de un empleado nuevo:

o Verifica su incorporación según lo informado por la Gerencia de

Recursos Humanos y Servicios. En caso de no contar con información, consulta con dicha Gerencia si hubieron incorporaciones recientes.




Fecha: 21/11/2012

Preparó: C.B. OGP

8

Alta en un sistema aplicativo:

o Verifica el tipo de función a realizar. De corresponder, informa mediante el envío de un correo electrónico al Propietario/Delegado, la incorporación del usuario al perfil solicitado y/o la necesidad de creación de un nuevo perfil de acceso.

Alta a una base de datos:

o Verifica el tipo de función a realizar. De corresponder, informa

mediante el envío de un correo electrónico al Custodio de los Datos, el requerimiento solicitado.

En caso de detectar alguna anomalía en el proceso de verificación,

informa al Gerente de Seguridad Informática para su revisión y seguimiento.

En todos los casos registra en el historial del Ticket las acciones

realizadas.

1.3.1.4. Pide autorización, de corresponder:

Recibe autorización o rechazo de la Gerencia de Recursos Humanos y Servicios / Propietario / Delegado / Custodio de los Datos sobre lo consultado:

o Si recibe rechazo, no ejecuta la acción y registra el Ticket

“Cerrado sin Éxito”, explicando el motivo del mismo. o Si recibe autorización, avanza con el alta requerida.

1.3.1.5. Accede a la/s plataforma/s de procesamiento correspondiente/s y genera el alta del usuario y contraseña, utilizando las herramientas de las que dispone para tal fin.

1.3.1.6. Registra el “Cierre Exitoso” del Ticket, informando al usuario que puede

retirar de la Gerencia de Seguridad Informática la información correspondiente.

1.3.1.7. Entrega personalmente al usuario un sobre cerrado que contiene el

Formulario Identificación Alta de Usuario (CP-SIN-FNº-01), informando lo siguiente:

Entorno de Procesamiento; Identificación de Usuario; Contraseña;




Fecha: 21/11/2012

Preparó: C.B. OGP

9

Compromiso de cumplimiento de las Políticas y Normas de Seguridad Informática.

1.3.1.8. Solicita al usuario la firma del Formulario Conformidad Alta de Usuario

(CP-SIN-FNº-02), donde consta haber recibido la información antes mencionada.

1.3.1.9. De corresponder, registra la fecha de vigencia informada en la solicitud

de alta de usuario, para proceder a dar la baja, siempre y cuando se hubiera validado con el Supervisor/Jefe/Gerente solicitante la ejecución de la misma.

1.3.2. Funciones del Gerente:

1.3.2.1. En caso de existir alguna anomalía en el requerimiento/proceso o de producirse un rechazo en la solicitud:

Analiza el motivo e interviene en su resolución; Deja registradas las definiciones surgidas; Informa a todos los involucrados.

1.4. Propietario / Delegado / Custodio de los Datos: 1.4.1. Recibe la información enviada por el Administrador de Seguridad Informática. 1.4.2. Toma conocimiento sobre la información enviada por el Gerente de Seguridad

Informática y le comunica su resolución. 2. Baja de Usuario 2.1 Sector Solicitante:

2.1.1. Solicita por medio del Sistema de Tickets - SiTi la baja de un usuario,

correspondiente a su sector, de uno o varios sistemas, ya sea por tratarse de:

El cambio de función. La finalización o discontinuidad del trabajo realizado por el

personal, consultor y/o proveedor.

2.1.1.1 El Ticket debe contener los siguientes datos:

Requerimiento: baja de usuario;




Fecha: 21/11/2012

Preparó: C.B. OGP

10

Aplicativo: nombre del sistema; Texto: nombre y apellido del usuario a dar de baja, motivo del

requerimiento (desvinculación definitiva, baja temporal, etc.) y/o cualquier comentario adicional.

2.1.2. Recepciona por medio de un correo electrónico el Ticket Cerrado sin Éxito, enviado

por la Gerencia de Seguridad Informática, en caso de:

Rechazo de la Gerencia de Recursos Humanos y Servicios. 2.1.3. Recibe el “Cierre Exitoso” del Ticket por medio de un correo electrónico enviado

por la Gerencia de Seguridad Informática, donde se informa que fue efectuada la baja del usuario.

2.2 Gerencia de Recursos Humanos y Servicios: 2.2.1. Informa las bajas correspondientes mediante el Sistema de Ticket - SiTi, o

confirma las solicitudes que hubieran efectuado, indicando:

Requerimiento: baja de usuario; Aplicativo: nombre del sistema; Texto: nombre y apellido del usuario a dar de baja, motivo del

requerimiento (desvinculación definitiva, baja temporal, etc.) y/o cualquier comentario adicional.

2.2.2. Recibe el “Cierre Exitoso” del Ticket por medio de un correo electrónico enviado

por la Gerencia de Seguridad Informática, donde se informa que fue efectuada la baja del usuario.

2.3 Gerencia de Seguridad Informática: 2.3.1. Funciones del Administrador:

2.3.1.1. Verifica los datos informados y la congruencia de la solicitud.

En caso de detectar alguna anomalía en el requerimiento o en el proceso de verificación, informa al Gerente de Seguridad Informática para su revisión y seguimiento. El Ticket es “Cerrado sin Éxito” explicando el motivo del mismo.

2.3.1.2. Recibe autorización o rechazo de la Gerencia de Recursos Humanos

sobre lo consultado:




Fecha: 21/11/2012

Preparó: C.B. OGP

11

Si recibe rechazo, no ejecuta la acción y registra el Ticket “Cerrado sin Éxito”, explicando el motivo del mismo.

Si recibe autorización, avanza con la baja requerida.

2.3.1.3. Analiza el/los acceso/s que posee el usuario en las distintas

plataformas tecnológicas.

2.3.1.4. Accede a la/s plataforma/s de procesamiento correspondiente/s y efectúa la baja o inhabilitación del usuario.

2.3.1.5. Registra el “Cierre Exitoso” del Ticket, informando la baja del usuario.


2.3.2.1. En caso de existir alguna anomalía en el requerimiento/proceso:

Analiza el motivo; Interviene en su resolución ; Informa a todos los involucrados.

3. Rehabilitación de Usuario

3.1. Usuario Solicitante: 3.1.1 Solicita por medio del Sistema de Tickets - SiTi la rehabilitación de su usuario. 3.1.2 El Ticket debe contener la siguiente información:

Requerimiento: rehabilitación de usuario; Aplicativo: nombre del sistema; Texto:

o Identificación del usuario, en caso de tratarse de un tercero; o Motivo del requerimiento (bloqueo de cuenta por intentos

fallidos, cambio de equipamiento, olvido de contraseña, problemas en el sistema, contraseña temporal incorrecta, exposición o presunta exposición de la contraseña, entre otros).

3.1.3 El usuario recibe de la Gerencia de Seguridad Informática el Formulario de

Rehabilitación de Usuario (CP-SIN-FNº-03), conteniendo el cambio de contraseña solicitada. Firma conforme el Formulario de Rehabilitación de Usuario.




Fecha: 21/11/2012

Preparó: C.B. OGP

12

3.2. Gerencia de Seguridad Informática: 3.2.1. Funciones del Administrador:

3.2.1.1. Procede a gestionar el requerimiento recibido:

Analiza el requerimiento; Accede a la plataforma de procesamiento correspondiente; Efectúa el cambio de la contraseña solicitada, utilizando las

herramientas de las que dispone para tal fin.

3.2.1.2. Da aviso inmediato al Gerente de Seguridad Informática, en caso de tratarse de una exposición o presunta exposición de la contraseña.

3.2.1.3. En caso de detectar alguna anomalía, informa al Gerente de Seguridad

Informática para su revisión y seguimiento. En caso de corresponder, el Ticket es “Cerrado sin Éxito” explicando el motivo del mismo.

3.2.1.4. Accede a la/s plataforma/s de procesamiento correspondiente/s y

genera una nueva contraseña de usuario, según políticas de contraseñas vigentes, utilizando las herramientas de las que dispone para tal fin.

3.2.1.5. Registrar en el Ticket una Nota Externa para ser accedida por el usuario,

donde residirá temporalmente la contraseña generada. 3.2.1.6. Registra el “Cierre Exitoso” del Ticket, informando que el usuario puede

acceder a obtener su nueva contraseña. 3.2.1.7. Entrega personalmente un sobre cerrado que contiene el Formulario

Rehabilitación de Usuario (CP-SIN-FNº-03), en caso de encontrarse presente el usuario, informando lo siguiente:

Plataforma Tecnológica; Identificación de Usuario; Contraseña; Motivo de Rehabilitación; Recordatorio de Buenas Prácticas para el Uso de Contraseñas.

o Si no está presente, la información la recibe por medio de un

correo electrónico.

3.2.1.8. Recepciona por medio de un correo electrónico el Ticket Cerrado con Éxito, enviado por la Gerencia de Seguridad Informática

3.2.1.9. Solicita al usuario la firma del Formulario Rehabilitación de Usuario

donde consta haber recibido la información antes mencionada.




Fecha: 21/11/2012

Preparó: C.B. OGP

13


3.2.2.1. Procede ante una exposición de contraseña, del siguiente modo:

Confecciona un reporte de incidente describiendo lo ocurrido; Distribuye el reporte a los niveles jerárquicos correspondientes.

4. Modificación de Usuario 4.1 Sector Solicitante: 4.1.1. Solicita por medio del Sistema de Tickets – SiTi las modificaciones de un usuario,

de presentarse las siguientes situaciones:

Cambio de función del empleado/consultor/proveedor; Nuevas funcionalidades en el sistema.

4.1.1.1 El Ticket que genera debe contener los siguientes datos:

Requerimiento: modificación de usuario; Aplicativo: nombre del sistema; Texto: motivo del requerimiento y/o cualquier comentario

adicional.

4.1.1.2 En caso de tratarse de un pedido para otra persona se debe indicar además:

Identificación de usuario o nombre/s y apellido/s completo del

usuario; Gerencia/Sector/Área; Número de interno/teléfono para comunicarse; Tipo de usuario: empleado efectivo o temporario/consultor/


que las funciones a realizar son idénticas a las de otro usuario); Fecha de vigencia incluyendo el último día de habilitación, de

corresponder. 4.1.2. Recepciona por medio de un correo electrónico el Ticket Cerrado sin Éxito, enviado

por la Gerencia de Seguridad Informática, en caso de:

Rechazo de la Gerencia de Recursos Humanos y Servicios / Propietario / Delegado / Custodio de los Datos.

Detección de anomalía.




Fecha: 21/11/2012

Preparó: C.B. OGP

14

4.1.3. Recepciona por medio de un correo electrónico el Ticket Cerrado con Éxito, enviado por la Gerencia de Seguridad Informática.

4.2 Gerencia de Recursos Humanos y Servicios: 4.2.1. Genera las modificaciones correspondientes mediante el Sistema de Ticket - SiTi,

o confirma las solicitudes que hubieran, indicando:

Nombre/s y apellido/s completo del usuario o su identificación, Gerencia/Sector/Área; Número de interno/teléfono para comunicarse; Tipo de usuario: empleado efectivo o temporario/consultor/


que las funciones a realizar son idénticas a las de otro usuario); Fecha de inicio de las actividades; Fecha de finalización prevista, incluyendo el último día de

habilitación, de corresponder.

4.2.2. Recibe el “Cierre Exitoso” del Ticket mediante un correo electrónico enviado por la Gerencia de Seguridad Informática, donde se informa que fue efectuada la modificación del usuario.

4.3 Gerencia de Seguridad Informática: 4.3.1. Funciones del Administrador:

4.3.1.1. Verifica los datos informados y la congruencia de la solicitud.

4.3.1.2. En caso de detectar alguna anomalía, informa al Gerente de Seguridad Informática para su revisión y seguimiento. En caso de corresponder, el Ticket es “Cerrado sin Éxito” explicando el motivo del mismo.

4.3.1.3. Verifica y procede, según el tipo de alta requerida:

Modificación de funciones de un empleado, en la Organización:

o Verifica el cambio de función por la Gerencia de Recursos

Humanos y Servicios, en caso de ser necesario.

Modificación en un sistema aplicativo:




Fecha: 21/11/2012

Preparó: C.B. OGP

15

o Verifica el tipo de función a realizar. De corresponder, informa mediante el envío de un correo electrónico al Propietario/Delegado, la incorporación del usuario al perfil solicitado y/o la necesidad de creación de un nuevo perfil de acceso.

o Da de baja las funciones que no sean compatibles con la solicitud, en el caso de ser necesario.

Modificación en una base de datos:

o Verifica el tipo de función a realizar. De corresponder, informa

mediante el envío de un correo electrónico el requerimiento solicitado al Custodio de los Datos.

En caso de detectar alguna anomalía en el proceso de verificación,

informa al Gerente de Seguridad Informática, para su revisión y seguimiento.

En todos los casos registra en el historial del Ticket las acciones

realizadas.

4.3.1.4. Pide autorización de corresponder:

Recibe autorización o rechazo de la Gerencia de Recursos Humanos y Servicios / Propietario / Delegado / Custodio de los Datos sobre lo consultado:

o Si recibe rechazo, no ejecuta la acción y registra el Ticket

“Cerrado sin Éxito”, explicando el motivo del mismo. o Si recibe autorización, avanza con la modificación requerida.

4.3.1.5. Accede a la/s plataforma/s de procesamiento correspondiente/s y

genera la modificación del usuario y contraseña, utilizando las herramientas de las que dispone para tal fin.

4.3.1.6. Registra el “Cierre Exitoso” del Ticket, informando al usuario que puede

retirar de la Gerencia de Seguridad Informática la información correspondiente.

4.3.2. Funciones del Gerente

4.3.2.1. En caso de existir alguna anomalía en el requerimiento/proceso o de producirse un rechazo en la solicitud:

Analiza el motivo e intervenir en su resolución; Deja registrado las definiciones surgidas; Informa a todos los involucrados.




Fecha: 21/11/2012

Preparó: C.B. OGP

16

4.3. Propietario / Delegado / Custodio de los Datos: 4.3.1. Recibe la información enviada por el Administrador de Seguridad Informática. 4.3.2. Toma conocimiento sobre la información enviada por el Gerente de Seguridad

Informática y le comunica su resolución. 5. Depuración de Usuarios 5.1. Gerencia de Seguridad Informática: 5.1.1. Verifica los Formularios que no hubieran sido retirados, identificando los usuarios

correspondientes, en forma periódica. 5.1.2. Envía a los usuarios identificados y Gerentes correspondientes, un correo de aviso

previo de destrucción, para el caso que los mismos no sean retirados a una fecha dada.

5.1.3. Realiza la baja de los usuarios en los sistemas correspondientes, en la fecha

definida. 5.1.4. Registra en el Formulario Destrucción de Contraseñas de Usuarios (CP-SIN-FNº-

08) la siguiente información:

Nombre y Apellido; Identificación de Usuario; Plataforma Tecnológica; Sector; Gerencia.

5.1.5. Notifica a los Gerentes / Jefes / Gerencia de Recursos Humanos y Servicios /

Propietarios / Delegados / Custodios de los Datos sobre lo actuado, según corresponda.

5.1.6. Registra un Ticket con las acciones realizadas. 5.1.7. Resguarda la documentación correspondiente. 5.2. Usuario / Sector Correspondiente: 5.2.1. Recibe el correo electrónico de notificación y procede a retirar los Formularios

respectivos, presentándose en la Gerencia de Seguridad Informática antes del plazo establecido.




Fecha: 21/11/2012

Preparó: C.B. OGP

17

5.3. Gerentes / Jefes / Gerencia de Recursos Humanos / Propietarios / Delegados / Custodios de los Datos:

5.3.1. Toma conocimiento de las tareas realizadas por la Gerencia de Seguridad

Informática. 6. Certificación de Usuarios y Perfiles de Accesos 6.1. Gerencia de Seguridad Informática: 6.1.1. Accede a cada plataforma tecnológica y genera un informe conteniendo la lista de

todos los usuarios habilitados y sus respectivos perfiles de acceso, en forma periódica.

6.1.2. Envía el informe a cada Gerente / Jefe para su revisión y aprobación. 6.1.3. Registra un Ticket con las acciones realizadas. 6.1.4. Revisa y actualiza las observaciones enviadas por los Gerentes / Jefes. 6.1.5. Resguarda el informe aprobado por el Gerente / Jefe correspondiente.

6.2. Gerentes / Jefes: 6.2.1. Analiza la información recibida de la Gerencia de Seguridad Informática. 6.2.2. Informa a la Gerencia de Seguridad Informática los cambios necesarios. 6.2.3. Da conformidad del documento resultante, firmando el mismo y devolviéndolo a la

Gerencia de Seguridad Informática.




Fecha: 21/11/2012

Preparó: C.B. OGP

18

VI. FORMULARIOS 1. Identificación Alta de Usuario

CP-SIN-FNº 01

IDENTIFICACIÓN ALTA DE USUARIO

Entorno de procesamiento: SISTEMA

Identificación de usuario: USUARIO

Contraseña: Xxxxxxxxxx

Por la presente dejo constancia de haber recibido mi identificación de usuario y contraseña correspondiente, comprometiéndome a cumplir con las Políticas y Normas de Seguridad Informática del Consejo Profesional de Ciencias Económicas de la Ciudad Autónoma de Buenos Aires, en lo que me compete y específicamente a:

No divulgar ninguna información obtenida de los sistemas. No utilizar la información y los recursos para un fin contrario a los intereses de la

organización.

No retirar bajo ningún concepto la información catalogada confidencial, restringida y/o secreta.

No utilizar software ilegal o copias no autorizadas de software legal.

No introducir, extraer o modificar información de los sistemas informáticos por vías no autorizadas.

No revelar el usuario y la contraseña otorgados debido a que éstos son de uso individual.

Cambiar la contraseña por una nueva en la primera sesión de conexión al sistema. Generar contraseñas robustas, evitando en su confección el uso de nombres,

iniciales, sobrenombres, meses del año, palabras del diccionario, secuencias numéricas y/o cualquier otro tipo de contraseña de fácil descubrimiento.

Evitar la repetición de contraseñas al efectuar los cambios periódicos de las mismas.

No escribir la contraseña en lugares donde otras personas puedan descubrirlas. Desconectarse del mecanismo correspondiente cada vez que finalice una sesión o se

ausente momentáneamente, a fin de evitar el uso del perfil de usuario por otra persona.

Proceder a cambiar la contraseña en forma inmediata cuando sospeche que se encuentra comprometida, dando el aviso correspondiente.




Fecha: 21/11/2012

Preparó: C.B. OGP

19

2. Conformidad Alta de Usuario CP-SIN-FNº 02

CONFORMIDAD ALTA DE USUARIO

Por la presente dejo constancia de haber recibido mi identificación de usuario y contraseña correspondiente al Sistema /Usuario comprometiéndome a cumplir con las Políticas y Normas de Seguridad Informática del Consejo Profesional de Ciencias Económicas de la Ciudad Autónoma de Buenos Aires, en lo que me compete y específicamente a:

No divulgar ninguna información obtenida de los sistemas. No utilizar la información y los recursos para un fin contrario a los intereses de la

organización. No retirar bajo ningún concepto la información catalogada confidencial, restringida

y/o secreta.

No utilizar software ilegal o copias no autorizadas de software legal. No introducir, extraer o modificar información de los sistemas informáticos por vías

no autorizadas.

No revelar el usuario y la contraseña otorgados debido a que éstos son de uso individual.

Cambiar la contraseña por una nueva en la primera sesión de conexión al sistema. Generar contraseñas robustas, evitando en su confección el uso de nombres,

iniciales, sobrenombres, meses del año, palabras del diccionario, secuencias numéricas y/o cualquier otro tipo de contraseña de fácil descubrimiento.

Evitar la repetición de contraseñas al efectuar los cambios periódicos de las mismas. No escribir la contraseña en lugares donde otras personas puedan descubrirlas.

Desconectarse del mecanismo correspondiente cada vez que finalice una sesión o se ausente momentáneamente, a fin de evitar el uso del perfil de usuario por otra persona.

Proceder a cambiar la contraseña en forma inmediata cuando sospeche que se encuentra comprometida, dando el aviso correspondiente.

/ /

Firma del Usuario Aclaración Fecha de Entrega




Fecha: 21/11/2012

Preparó: C.B. OGP

20

3. Rehabilitación de Usuario CP-SIN-FNº 03

REHABILITACIÓN DE USUARIO

Por el presente solicito se rehabilite mi usuario ______________________________ en la plataforma tecnológica _____________________________________________. El mismo se encuentra inhabilitado debido a ________________________________ ___________________________________________________________.

Firma del Usuario Aclaración Fecha de Solicitud

Firma del Administrador Aclaración Fecha de Entrega

REHABILITACIÓN DE USUARIO

PLATAFORMA TECNOLÓGICA:

IDENTIFICACIÓN DE USUARIO:

CONTRASEÑA:

RECORDATORIO DE BUENAS PRÁCTICAS PARA EL USO DE CONTRASEÑAS No revelar el usuario y la contraseña otorgados debido a que éstos son de uso individual.

Cambiar la contraseña por una nueva en la primera sesión de conexión al sistema. Generar contraseñas robustas, evitando en su confección el uso de nombres, iniciales, sobrenombres, meses del año, palabras del diccionario, secuencias numéricas y/o cualquier otro tipo de contraseña de fácil descubrimiento.

No escribir la contraseña en lugares donde otras personas puedan descubrirlas.




Fecha: 21/11/2012

Preparó: C.B. OGP

21

4. Destrucción Contraseñas de Usuarios CP-SIN-FNº 08

DESTRUCCION CONTRASEÑAS DE USUARIOS

Nombre y Apellido

Usuario Plataforma Tecnológica

Sector Gerencia

______________________________ _______/_____/_____

Firma y Aclaración Fecha de Destrucción Administrador de Seguridad Informática




Fecha: 21/11/2012

Preparó: C.B. OGP

22

VII. FLUJOGRAMAS 1. Alta de Usuario




Fecha: 21/11/2012

Preparó: C.B. OGP

23

2. Baja de Usuario




Fecha: 21/11/2012

Preparó: C.B. OGP

24

3. Rehabilitación de Usuario




Fecha: 21/11/2012

Preparó: C.B. OGP

25

4. Modificación de Usuario




Fecha: 21/11/2012

Preparó: C.B. OGP

26

5. Depuración de Usuarios




Fecha: 21/11/2012

Preparó: C.B. OGP

27

6. Certificación de Usuarios y Perfiles de Accesos




Fecha: 21/11/2012

Preparó: C.B. OGP

28

VIII. ANEXOS No aplica.

cp-sin-pge-01-v04 - administración de usuarios perfiles y ... · usuarios perfiles y contraseñas...

Documents