lineamientos para el control de acceso - presidencia de...

LINEAMIENTOS PARA EL CONTROL DE ACCESO

Bogotá D.C. Noviembre de 2017

2

LINEAMIENTOS PARA EL CONTROL DE

ACCESO

Código: L-TI-20

Versión 01

Proceso asociado: Tecnología y Sistemas de Información

TABLA DE CONTENIDO

1. OBJETIVO -------------------------------------------------------------------------------------------------------------------- 3

2. ALCANCE -------------------------------------------------------------------------------------------------------------------- 3

3. TÉRMINOS Y DEFINICIONES ------------------------------------------------------------------------------------------ 3

4. ÁMBITO DE APLICACIÓN Y DISPOSICIONES GENERALES ------------------------------------------------- 5

4.1.1 Perfiles de navegación de internet ----------------------------------------------------------------------------- 6

4.1.1.1 Standard ------------------------------------------------------------------------------------------------------------- 6

4.1.1.2 Asesores ------------------------------------------------------------------------------------------------------------ 6

4.1.1.3 Directivos ------------------------------------------------------------------------------------------------------------ 7

4.1.1.4 Prensa --------------------------------------------------------------------------------------------------------------- 7

4.1.2 Acceso básico a sistemas, aplicaciones y servicios web -------------------------------------------------- 7

4.1.3 Sistemas, aplicaciones ------------------------------------------------------------------------------------------- 7

4.1.4 Roles para servicios Web ---------------------------------------------------------------------------------------- 8

4.1.5 Administradores de servicios de TI ---------------------------------------------------------------------------- 9

4.1.6 Autorización de acceso a servicios de TI --------------------------------------------------------------------- 9

4.1.7 Restricciones en el acceso. ------------------------------------------------------------------------------------- 9

4.1.8 Acceso remoto --------------------------------------------------------------------------------------------------- 10

4.2 Lineamientos para control de acceso ----------------------------------------------------------------------- 10

4.3 Lineamientos para servicio de almacenamiento en redes públicas (Nube - internet) ------------- 12

4.4 Lineamiento de seguridad y control de acceso a áreas seguras -------------------------------------- 12

4.5 Acceso a discos de red o carpetas virtuales --------------------------------------------------------------- 14

4.6 Revisión de Derechos de Acceso ---------------------------------------------------------------------------- 14

4.7 Acceso a servicios de la entidad ----------------------------------------------------------------------------- 15

4.8 Lineamientos para el establecimiento, uso y protección de claves de acceso ------------------- 15

Manejo de contraseñas para administradores de tecnología ---------------------------------------------------- 17

5. MARCO LEGAL ----------------------------------------------------------------------------------------------------------- 17

6. DOCUMENTOS ASOCIADOS ---------------------------------------------------------------------------------------- 18

7. RESPONSABLE DEL DOCUMENTO ------------------------------------------------------------------------------- 18

3


ACCESO

Código: L-TI-20

Versión 01


1. OBJETIVO

Definir las pautas generales para asegurar un acceso controlado, físico o lógico, a la información de la plataforma informática del DAPRE, así como el uso de medios de computación móvil y carpetas virtuales.

2. ALCANCE

Estos lineamientos deben ser aplicados por todos los funcionarios, contratistas, pasantes, personal en comisión, del Departamento Administrativo de la Presidencia de la República.

3. TÉRMINOS Y DEFINICIONES

Actividades Criminales: Sitios para abogar, instruir o dar consejo sobre la realización de actos ilegales; Consejos sobre eludir la aplicación de la ley. Almacenamiento de red personal (Nube): Páginas Web que permiten a los usuarios subir carpetas y archivos a un servidor de red en línea para realizar copias de seguridad, compartir, editar o recuperar archivos o carpetas desde cualquier navegador Web. (Este almacenamiento desde los servicios de TI debe tener la configuración de herramientas de prevención de pérdidas de información del DAPRE, realizadas por el Área de Tecnologías y Sistemas de Información.) Temas de búsqueda en Internet:

Armas: Sitios con información de compras o pedidos en línea, incluyendo listas de precios y ubicaciones de distribuidores; cualquier página o sitio que contenga predominantemente o proporcione enlaces a contenido relacionado con la venta de armas, armas, municiones o sustancias venenosas; exhibir o detallar el uso de armas, armas, municiones o sustancias venenosas.

Nota: Las armas se definen como algo (como un palo, un cuchillo o una pistola) usado para dañar, derrotar o destruir.

Automotores: Sitios para revisiones de vehículos, consejos de compra o venta de vehículos y catálogos de piezas; Fotos, y discusión de vehículos incluyendo motocicletas, barcos, coches, camiones; revistas sobre la modificación, reparación y personalización de vehículos; y sitios en línea del clubes del entusiastas de automotores.

Búsqueda de empleo: Sitios de agencias de empleo, contratistas, listados de trabajo, información sobre carreras, búsquedas de carrera y grupos de redes de carrera, páginas web relacionadas con una búsqueda de empleo, incluyendo sitios relacionados con la escritura de currículum, entrevistas, carreras cambiantes, publicidad clasificada y bases de datos de gran tamaño, incluye páginas Web

4


ACCESO

Código: L-TI-20

Versión 01


corporativas que incluyen oportunidades de empleo, sitios de comparación de salarios, empleo temporal, sitios de publicación de trabajos de la empresa.

Educacional: Sitios para instituciones educativas, (escuelas preescolares, escuelas primarias, secundarias y secundarias y universidades), sitios educativos en los niveles preescolar, básica primaria, secundaria y universitaria; Educación a distancia, incluyendo cursos en línea.

Entretenimiento: Sitios sobre guías de programación de televisión, películas, música y video; Revistas y revistas en línea de la industria del entretenimiento; Sitios de fans de celebridades; Empresas de radiodifusión y tecnologías (satélite, cable, etc.); Horóscopos; Bromas, cómics, cómics, comediantes, o cualquier sitio diseñado para ser divertido o satírico; Tarjetas de felicitación en línea; Y atracciones y parques temáticos.

Estilos de vida: Sitios para pasatiempos recreativos, tales como recolección, jardinería y aviones de equipo; Actividades recreativas al aire libre, tales como senderismo, camping y escalada en roca; Consejos o tendencias enfocados en un arte específico, arte o técnica; Publicaciones en línea sobre un pasatiempo específico o actividad recreativa; Clubes, asociaciones o foros en línea dedicados a un hobby; Juegos tradicionales, tales como juegos de mesa y juegos de cartas, y sus entusiastas; Y sitios relacionados con animales y mascotas, incluyendo sitios específicos de raza, entrenamiento, shows y sitios de sociedades humanas, incluye sitios que promueven o distribuyen alcohol o productos de tabaco de forma gratuita o compra, sitios para recetas, instrucciones y consejos para cocinar, productos alimenticios y asesores de vino; restaurantes, cafeterías, restaurantes, pubs y bares; Y revistas y revistas de comida y bebida.

Finanzas e inversiones: Acceso sitios para cotizaciones bursátiles, fondos de inversiones; acciones en línea o comercio de acciones; banca en línea y servicios de pago de facturas; asesoramiento o contactos para la negociación de valores; servicios de gestión de dinero o de inversión o empresas; finanzas generales y empresas que asesoran sobre finanzas; y contabilidad, actuarios, bancos, hipotecas y compañías de seguros generales.

Militar: Incluye el acceso a páginas web que contienen información mantenido por organizaciones gubernamentales o militares, como sucursales o agencias gubernamentales, departamentos de policía, de bomberos, de defensa civil, de contraterrorismo o de organizaciones supranacionales, como las Naciones Unidas o la Unión Europea. Las instalaciones médicas para militares y veteranos están incluidas en esta categoría.

Noticias: Incluye el acceso a periódicos en línea, sitios de noticias titulares, servicios de noticias, servicios de noticias personalizados y sitios meteorológicos

Órdenes: Incluye el acceso a sitios de negocios o compras en línea.

Páginas personales: Incluye el acceso a páginas web de inicio personales que comparten un dominio común, como los alojados por los ISP, los servidores universitarios / educativos o los hosts

5


ACCESO

Código: L-TI-20

Versión 01


de páginas web gratuitos. También se incluyen dominios únicos que contienen información personal, como una página personal.

Religioso: Incluye el acceso a sitios de iglesias, sinagogas y otras casas de culto; Cualquier fe o sitios de creencias religiosas.

Salud y Medicina: Incluye el acceso a sitios para medicamentos recetados; Información médica y referencia sobre enfermedades, condiciones y medicamentos; salud general, como la aptitud y el bienestar; procedimientos médicos, incluyendo cirugía electiva y cosmética; odontología, optometría y otros sitios relacionados con la medicina; psiquiatría general y sitios de bienestar mental; psicología, libros de autoayuda y organizaciones; promover la autocuración de los abusos físicos y mentales, dolencias y adicciones; terapias alternativas y complementarias, incluyendo yoga, quiropráctica y craneosacral; Y sitios de seguros médicos y hospitalarios.

Sociales y culturales: Incluye el acceso a sitios sobre temas relacionados con la familia y vida familiar, incluyendo bodas, nacimientos y funerales, consejos para padres y planificación familiar, cuestiones no pornográficas, culturas extranjeras e información socio cultural.

Tecnología, Informática y comunicaciones: Incluye el acceso a sitios para tecnologías de la información y comunicaciones, equipos electrónicos, desarrollo de software, revistas de tecnología, páginas de fabricantes de tecnología, foros sobre tecnología, sitios de reseñas, información, guías de compradores de computadoras, partes y accesorios de computadoras, software de computadora y compañías de Internet, noticias y revistas de la industria y sitios de pago.

Transporte: Incluye el acceso a páginas web de aerolíneas, empresas de transporte terrestre y agencias de reserva de vuelos y transporte terrestre, información de alojamiento, listas de paquetes de viaje, guías de ciudades e información turística y alquiler de vehículos.

4. ÁMBITO DE APLICACIÓN Y DISPOSICIONES GENERALES

Mediante solicitud de creación de cuenta de usuario a través del aplicativo de Servicios en línea, ver Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28, la Entidad autoriza el acceso físico y acceso a servicios de tecnologías de información a los funcionarios, contratistas, pasantes, personal en comisión del Departamento Administrativo de la Presidencia de la República. En el momento de realizar la entrega de la cuenta de red a los usuarios, se diligencia con el formato de entrega de usuario F-TI-07. La remoción o ajuste a derechos de acceso a servicios de TI para cada usuario, debe ser solicitado al Jefe del Área de Tecnologías y Sistemas de Información, a través de correo institucional del DAPRE o mediante el envío de una comunicación oficial por el sistema de gestión de correspondencia oficial de la Entidad. Estos ajustes deberán registrarse en el sistema de gestión de solicitudes.

6


ACCESO

Código: L-TI-20

Versión 01


También se autorizará el acceso a la plataforma de tecnología y sistemas de información a proveedores de servicios, que por la naturaleza de sus actividades requieran acceder a estos servicios en forma periódica previa firma del formato de compromiso y reserva F-GD-20 y solicitud del Asesor o Profesional responsable de las actividades por el proveedor de servicios al Jefe del Área de Tecnologías y Sistemas de Información. 4.1.1 Perfiles de navegación de internet Los perfiles serán asignados a los funcionarios, contratistas, personal en comisión administrativa, pasantes y proveedores de servicios, que por su cargo y funciones a desempeñar y que requiera tener acceso a servicios de navegación de internet, por lo cual la entidad define los siguientes perfiles para los usuarios de tecnología y sistemas de información. Los perfiles de navegación de internet relacionados a continuación incluyen características de los sitios y servicios web aprobados por la Entidad, no obstante los sitios deben cumplir con las políticas configuradas en las herramientas de seguridad de la información con que cuenta la entidad, por lo cual, aquellos sitios que las herramientas las identifique como no confiables, deberán ser bloqueadas por el administrador de seguridad. La asignación de perfiles de navegación, acceso a aplicativos y la asignación de roles debe ser asignada por el Jefe del Área y Oficina del usuario, por lo cual debe seguir lo indicado en el Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28.

4.1.1.1 Standard Para este perfil se aprueba el acceso a los siguientes servicios de temas de búsqueda en internet, los cuales serán gestionados por el Área de Tecnologías y Sistemas de Información:

Automotores

Búsqueda de empleo

Educacional

Entretenimiento

Finanzas e inversiones

Sociales y culturales

Salud y Medicina

Transporte

4.1.1.2 Asesores Para este perfil se aprueba el acceso a los siguientes servicios de temas de búsqueda en internet, correspondientes al nivel estándar, junto con los relacionados a continuación, los cuales serán gestionados por el Área de Tecnologías y Sistemas de Información.

7


ACCESO

Código: L-TI-20

Versión 01


Órdenes

Actividades Criminales

Tecnología, Informática y comunicaciones

Estilos de vida

4.1.1.3 Directivos Para este perfil se aprueba el acceso a los siguientes servicios de temas de búsqueda en internet, correspondientes al nivel estándar, junto con los relacionados a continuación, los cuales serán gestionados por el Área de Tecnologías y Sistemas de Información.

Páginas personales

Armas

Militar

4.1.1.4 Prensa Para este perfil se aprueba el acceso a los siguientes servicios de temas de temas de búsqueda en internet, correspondientes al nivel Directivo, junto con los relacionados a continuación, los cuales serán gestionados por el Área de Tecnologías y Sistemas de Información.

Religioso 4.1.2 Acceso básico a sistemas, aplicaciones y servicios web

Los usuarios de Tecnologías de Información - TI tienen autorizado el acceso y uso de los siguientes sistemas, aplicaciones y servicios web administradas por el Área de Tecnologías y Sistemas de Información:

Servicios compartidos (Talento Humano, servicios generales, transporte, mantenimiento, comunicaciones, control interno, tecnología y sistemas de la información, recursos físicos, apoyo logístico).

Sistema de Gestión de Solicitudes.

Sistema de Gestión Documental.

Aplicativo SIGEPRE

Intranet

4.1.3 Sistemas, aplicaciones

8


ACCESO

Código: L-TI-20

Versión 01


Los sistemas y aplicaciones a los cuales pueden tener acceso los usuarios, de acuerdo a sus funciones, son los siguientes:

Sistema de gestión de correspondencia

Servicios en Línea

Salida de elementos

Aplicativo código único

Aladino

Sistema de Gestión humana

Sistema de información aspirantes

Sistema de comisiones Presidencia

Sistema de comisiones al exterior

Sistema de campañas publicitarias

Sistema integrado para la gestión de adquisiciones “SIGA” (Contratos, proveedores)

Aplicativo de Gestión Financiera

Sistema de gestión de parqueaderos

Sistema de control de acceso

Sistema de control de flotas

Observatorio (Equidad para la Mujer, Derechos Humanos, Colombia Joven)

Sistema de Boletines

Sistema de monitoreo de medios DALET

Info Presidencia

Portal de Oferta Institucional Si Joven!

Correo electrónico en dispositivos móviles

4.1.4 Roles para servicios Web

Los servicios Web de la Entidad, son administradas por el Área de Tecnologías y Sistemas de Información, así mismo, la creación de usuarios, en virtud al cargo, funciones o responsabilidades asignadas, se deberá indicar por intermedio del aplicativo Servicios en Línea, los sistemas, servicios Web a que deben tener acceso, estos accesos requirieren entrega de Rol, por lo cual, para la asignación del Rol, el Jefe del Área u Oficina debe elevar la solicitud por correo institucional o a través del sistema de gestión de correspondencia oficial al Área de Tecnologías y Sistemas de Información para la entrega:

Publicador (Web)

Certificados

Normativa (Jurídica)

Notificaciones por aviso (Atención a la ciudadanía)

Documentos SIGEPRE (Planeación)

Lista de funcionarios principales (Talento Humano)

Taurus

9


ACCESO

Código: L-TI-20

Versión 01


Informes de supervisión de contratos

4.1.5 Administradores de servicios de TI Los sistemas, aplicativos y servicios Web de la Entidad, deberán ser administrados por el Área de Tecnologías y Sistemas de la Información, el Rol de administrador requiriere la Entrega de Rol F-TI-13, para lo cual el Jefe del Área de Tecnologías y Sistemas de Información deberá asignar el rol mediante comunicación oficial y esta a su vez será registrada en el sistema de gestión de solicitudes: Sistemas, aplicativos y servicios Web

Web Master de páginas de Presidencia

Sistema de cortafuegos

Sistema de prevención de perdida de datos

Sistemas de Back Up

Directorio activo

Antivirus

Sistema de filtrado de navegación

Sistema de enrutamiento y balanceo F5

Sistema de almacenamiento

Sistema de control de activos de TI

Administrador de aplicativos

Administrador Plataforma Share Point 4.1.6 Autorización de acceso a servicios de TI El acceso a servicios de TI y asignación de roles en las sistemas de información de la Entidad, se debe realizar de acuerdo a lo indicado en el Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28, se resalta que el Jefe del Área u Oficina, es el responsable de la asignación de permisos y roles en los sistemas del DAPRE. La autorización de acceso a servicios de TI específicos y que no se encuentran relacionados en el presente lineamiento, deben tramitarse por los Jefes de Área u Oficina, a través de correo institucional o sistema de gestión de correspondencia oficial al Jefe del Área de Tecnologías y Sistemas de Información, quien podrá aprobar el acceso o elevar la solicitud al Comité de Seguridad de la Información para su aprobación, por posible afectación a la disponibilidad, integridad o confidencialidad de la información de la Entidad. 4.1.7 Restricciones en el acceso.

10


ACCESO

Código: L-TI-20

Versión 01


No se encuentra autorizado el acceso a los servicios de TI, que no se encuentren registrados en el presente lineamiento o no se encuentren aprobados por el Comité de Seguridad de la Información. El acceso a áreas seguras (instalaciones de procesamiento y centros de datos), se encuentra restringida para visitantes y proveedores; se permite el acceso, mediante la solicitud de acceso aprobada por el Coordinador de Redes o el Jefe del Área de Tecnologías y Sistemas de Información, y posterior diligenciamiento del formato de Registro de ingreso centro de cómputo F-TI-14. El acceso de dispositivos, de fotografía, de video, grabación de audio, de comunicación, de procesamiento y almacenamiento de información, a las instalaciones de Palacio de Nariño, la Vicepresidencia de la República, la Hacienda Presidencial Hato grande, la Casa de Huéspedes Ilustres “Fuerte San Juan de Manzanillo”, es restringido para visitantes y proveedores; solo se permite el ingreso de estos equipos y visitantes, mediante el diligenciamiento del formato de Autorización ingreso visitantes F-SA-09 por parte del funcionario responsable del visitante o proveedor. El acceso a la Hacienda Presidencial Hato grande y la Casa de Huéspedes Ilustres “Fuerte de San Juan de Manzanillo”, es restringido, para la autorización de acceso se debe generar una solicitud mediante correo institucional del DAPRE o documento enviado a través del sistema de correspondencia oficial de la entidad a la Coordinación de Seguridad de la Casa Militar. 4.1.8 Acceso remoto Los funcionarios, contratistas, proveedores, pasantes, personal en comisión usuarios de servicios de TI del DAPRE, que requieran realizar conexión remota desde el exterior de las instalaciones del DAPRE en virtud al cargo, cumplimiento de funciones o responsabilidades asignadas, debe realizar la solicitud por correo institucional o a través del sistema de gestión de correspondencia oficial al Jefe del Área de Tecnologías y Sistemas de Información a través del Jefe de Área u Oficina. La conexión remota a la red de área local del DAPRE debe ser hecha a través de una conexión VPN segura configurada por el Área de Tecnologías y Sistemas de Información, y con un TOKEN aprobado, registrado, suministrado y auditado por la entidad. Todo trabajo a realizarse en las estaciones de trabajo y servidores del DAPRE con información de la entidad, por parte de sus funcionarios o contratistas, se debe realizar desde la red física de la Entidad, no se podrá realizar ninguna actividad de tipo remoto (VPN Virtual Private Network, “Conexión Privada a la Red”) sin la debida aprobación del Jefe del Área de Tecnologías y Sistemas de Información DAPRE. 4.2 Lineamientos para control de acceso

11


ACCESO

Código: L-TI-20

Versión 01


La Entidad define la de forma de Autorización de acceso físico a Visitantes y Proveedores a las instalaciones de Gobierno bajo la administración del DAPRE, que será ejecutado por la Casa Militar, el Área Administrativa y el Área de Tecnologías y Sistemas de Información. El Área de Tecnologías y Sistemas de Información configura los niveles de acceso para usuarios de los servicios y sistemas de información del DAPRE, acorde con Solicitud para la creación o Ajuste de Cuenta de usuario y servicios de Tecnología de Información mediante el Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28. El DAPRE debe contar con un firewall, sistemas de prevención y detección de intrusos para la conexión a Internet o cuando sea inevitable para la conexión a otras redes en outsourcing o de terceros. El DAPRE proporcionará a los funcionarios, personal en comisión permanente y contratistas (personas naturales) todos los recursos tecnológicos necesarios para que puedan desempeñar las funciones para las cuales fueron contratados, por tal motivo no se permite conectar a la red o instalar dispositivos fijos o móviles, tales como: computadores portátiles, tablets, enrutadores, agendas electrónicas, celulares inteligentes, access point; el Área de Tecnologías y Sistemas de Información podrá realizar la mencionada conexión previa solicitud del interesado. Todo usuario que requiera ingresar a los servicios de red del DAPRE deberá diligenciar y firmar el formato Entrega de Usuario F-TI-07, excepto la configuración de acceso a internet de visitantes, en equipos no institucionales o personales. Todo usuario final con privilegios de publicación o administración de servicios Web, administrador de servicios o aplicativos del DAPRE, deberá diligenciar y firmar el formato entrega de Rol F-TI-13, en caso de asignación o entrega del rol. Solo los funcionarios del Grupo de Soporte y Mesa de Ayuda, Redes y Plataforma TI, pertenecientes al Área de Tecnologías y Sistemas de Información, están autorizados para instalar software y/o hardware en los equipos, servidores e infraestructura de telecomunicaciones del DAPRE, así como el uso de herramientas que permitan realizar tareas de mantenimiento, revisión de software, recuperar datos perdidos, eliminar software malicioso. El Área de Tecnologías y Sistemas de Información debe restringir el acceso a los códigos fuentes de los programas y elementos asociados como (diseños, especificaciones, librerías de fuentes de programas, planes de verificación y planes de validación), así mismo debe auditar este acceso de manera periódica. Para el control de acceso a los servicios de TI, la Entidad realizará las configuraciones de red, mediante la creación de usuarios, control de directivas de red, protocolo de control de acceso, certificados para la autenticación; definidos e implementados por el Área de Tecnologías y Sistemas de la Información. La asignación de niveles de navegación, autorizaciones de sistemas, aplicativos, acceso a servicios de TI, administración de servicios de TI, deben ser registrados en el sistema de mesa de ayuda de TI, de acuerdo a solicitud de Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28 y Procedimiento de Administración de Mesa de Servicios P-TI-11.

12


ACCESO

Código: L-TI-20

Versión 01


El retiro e ingreso de todo activo de información de los visitantes que presten servicios al DAPRE (consultores, pasantes, visitantes, etc.) será registrado e inspeccionado en los controles de accesos de las instalaciones de la Entidad. El personal de seguridad y vigilancia en los controles de acceso verificarán y registrarán las características de identificación del activo de información. Para el retiro de derechos de acceso en la red, para funcionarios de planta, como se define en Gestión de novedades de cuentas de funcionarios de planta P-TI-25.

4.3 Lineamientos para servicio de almacenamiento en redes públicas (Nube - internet)

4.3.1 Descarga de Archivos El DAPRE permite a los usuarios, la descarga de archivos desde los sistemas de almacenamiento ubicados en las redes públicas (Internet), únicamente con fines institucionales, la cual será supervisada con las herramientas de seguridad de la Información, destinadas para ese fin.

4.3.2 Carga de Archivos El acceso a servicios de almacenamiento de información en plataformas públicas, personales o privadas como Dropbox, Google Drive, OneDrive, etc., con la finalidad de realizar almacenamiento de información de la Entidad el cual debe ser aprobado por el Comité de Seguridad de la Información.

4.4 Lineamiento de seguridad y control de acceso a áreas seguras

No se permite el ingreso al centro de datos, al personal que no esté expresamente autorizado por el Jefe de Área de Tecnologías y Sistemas de Información o por el coordinador de Grupo de Redes. Se debe llevar un control de ingreso y salida del personal que visita el centro de datos, de acuerdo al Formato de Registro de ingreso centro de cómputo F-TI-14, la cual debe ser diligenciada en lapicero de tinta al iniciar y finalizar la actividad a realizar. Solo el Jefe de Área de Tecnologías y Sistemas de Información o el coordinador de redes pueden autorizar el ingreso de computadores, dispositivos de comunicación y herramientas destinadas a las labores específicas de trabajo en las áreas de procesamiento de datos. La grabación de vídeo en las instalaciones del centro de datos debe estar expresamente autorizada por el comité de seguridad de la Información y exclusivamente con fines institucionales. El Área de Tecnologías y Sistemas de la Información debe garantizar que el control de acceso al centro de datos y centros de cableado del DAPRE, exija doble autenticación para aprobación de acceso con dispositivos electrónicos.

13


ACCESO

Código: L-TI-20

Versión 01


El Área de Tecnologías y Sistemas de la Información implementará dispositivos de control de acceso que exijan autenticación para aprobación de acceso mediante dispositivos electrónicos, a las áreas de trabajo definidas como áreas seguras establecidas por el Comité de Seguridad de la Información. El Área de Tecnologías y Sistemas de la Información deberá garantizar que todos los equipos de los centros de datos cuenten con un sistema alterno de respaldo de energía. La limpieza y aseo del centro de datos estará a cargo del Área Administrativa y debe efectuarse en presencia de un funcionario y/o contratista del Área de Tecnología y Sistemas de la Información del DAPRE. El personal de limpieza debe ser ilustrado con respecto a las precauciones mínimas a seguir durante el proceso de limpieza. Debe prohibirse el ingreso de personal de limpieza con maletas o elementos que no sean estrictamente necesarios para su labor de limpieza y aseo. En las instalaciones del centro de datos o de los centros de cableado, No está permitido:

Fumar dentro del Data Center.

Introducir alimentos o bebidas al Data Center

El porte de armas de fuego, corto punzantes o similares.

Mover, desconectar y/o conectar equipo de cómputo sin autorización.

Modificar la configuración del equipo o intentarlo sin autorización.

Alterar software instalado en los equipos sin autorización.

Alterar o dañar las etiquetas de identificación de los sistemas de información o sus conexiones físicas.

Extraer información de los equipos en dispositivos externos.

Abuso y/o mal uso de los sistemas de información.

Toda persona debe hacer uso únicamente de los equipos y accesorios que les sean asignados y para los fines que se les autorice.

El centro de datos debe estar provisto de:

Señalización adecuada de todos y cada uno de los diferentes equipos y elementos, así como luces de emergencia y de evacuación, cumpliendo las normas de seguridad industrial y de salud ocupacional.

Pisos elaborados con materiales no combustibles.

Sistema de refrigeración por aire acondicionado de precisión. Este equipo debe ser redundante para que en caso de falla se pueda continuar con la refrigeración.

Unidades de potencia ininterrumpida UPS, que proporcionen respaldo al mismo, con el fin de garantizar el servicio de energía eléctrica durante una falla momentánea del fluido eléctrico de la red pública.

Alarmas de detección de humo y sistemas automáticos de extinción de fuego, conectada a un sistema central. Los detectores deberán ser probados de acuerdo a las recomendaciones del fabricante o al menos una vez cada 6 meses y estas pruebas deberán estar previstas en los procedimientos de mantenimiento y de control.

Extintores de incendios o un sistema contra incendios debidamente probados y con la capacidad de

14


ACCESO

Código: L-TI-20

Versión 01


detener el fuego generado por equipo eléctrico, papel o químicos especiales. El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo protejan. Los cables de potencia deben estar separados de los de comunicaciones, siguiendo las normas técnicas. Las actividades de soporte y mantenimiento dentro del centro de datos siempre deben ser supervisadas por un funcionario y/o contratista autorizado por el jefe de Área de Tecnologías y Sistemas de Información o coordinador de grupo de Redes del DAPRE. Las puertas del centro de datos deben permanecer cerradas; Si por alguna circunstancia se requiere ingresar y salir del centro de datos, el funcionario responsable de la actividad se ubicará dentro del centro de datos. Cuando se requiera realizar alguna actividad sobre algún armario (rack), este debe quedar ordenado, cerrado y con llave, cuando se finalice la actividad. Mientras no se encuentre personal dentro de las instalaciones del centro de datos, las luces deben permanecer apagadas. Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallas que se puedan presentar. 4.5 Acceso a discos de red o carpetas virtuales El Área de Tecnologías y Sistemas de Información implementará y configurará discos de red o carpetas virtuales que permitan el almacenamiento de información digital para los usuarios de la Entidad, así como las medidas de seguridad que permitan mantener la integridad, disponibilidad e integridad de la información allí almacenada. Los usuarios que requieran acceso a la información ubicada en los discos de red, el jefe inmediato deberá enviar un mensaje de correo electrónico autorizando el acceso y permisos, correspondientes al rol y funciones a desempeñar, a la mesa de ayuda del Área de Tecnologías y Sistemas de Información del DAPRE. Los usuarios tendrán permisos de escritura, lectura o modificación de información en los discos de red, dependiendo de la solicitud a las funciones y el rol asignado. 4.6 Revisión de Derechos de Acceso El Área de Tecnologías y Sistemas de Información establecerá el procedimiento de registro, cancelación y periodicidad de revisión y ajuste a permisos de acceso a la red y servicios de red, asignados a los usuarios de los sistemas de información y comunicaciones del DAPRE, tomando como base los múltiples factores de riesgo existentes en la seguridad de la información.

15


ACCESO

Código: L-TI-20

Versión 01


4.7 Acceso a servicios de la entidad La entidad debe definir los servicios de TI a publicar en las redes internas y externas, para lo cual debe definir la segmentación de la red, perfiles de acceso para el acceso a los servicios que administra el Área de Tecnología y Sistemas de la Información. El grupo de redes deberá generar la segmentación de redes y los perfiles de acceso, de acuerdo a la capacidad y disponibilidad de servicios de TI. Se debe implementar y administrar una red inalámbrica con perfiles para acceso a los servicios red de la entidad y para el acceso a la red externa (Pública). 4.8 Lineamientos para el establecimiento, uso y protección de claves de acceso Se debe concienciar y controlar a los usuarios para que apliquen buenas prácticas de seguridad en la selección, uso y protección de claves o contraseñas, las cuales constituyen un medio de validación de la identidad de un usuario y consecuentemente un medio para establecer derechos de acceso a las instalaciones, equipos o servicios informáticos. Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le asignen para la utilización de los equipos o servicios informáticos de la Entidad. Ningún usuario deberá acceder a la red o a los servicios TIC del DAPRE, utilizando una cuenta de usuario o clave de otro usuario. Los usuarios deben tener en cuenta los siguientes aspectos:

No incluir contraseñas en ningún proceso de registro automatizado, por ejemplo almacenadas en un macro o en una clave de función.

El cambio de contraseña solo podrá ser solicitado por el titular de la cuenta, comunicándose a PUC (Punto Único de Contacto), en donde se llevará a cabo la validación de los datos personales; en caso de ser solicitado el cambio de contraseña para otra persona, debe ser realizada por su jefe inmediato (previa autorización por parte del Jefe de Área de Tecnologías y Sistemas de Información).

Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de bloqueo cuando no estén en uso.

Se bloqueara el acceso a todo usuario que haya intentado el ingreso, sin éxito, a un equipo o sistema informático, en forma consecutiva por tres veces.

16


ACCESO

Código: L-TI-20

Versión 01


La clave de acceso será desbloqueada sólo por el PUC (Punto Único de Contacto), luego de la solicitud formal por parte del responsable de la cuenta. Para todas las cuentas especiales, la reactivación debe ser documentada y comunicada al PUC.

El DAPRE suministrará a los usuarios las claves respectivas para el acceso a los servicios de red y sistemas de información a los que hayan sido autorizados.

Es responsabilidad del usuario el manejo apropiado a las claves asignadas de los servicios de red y de acceso a la red estas claves de acceso y usuarios son personales e intransferibles.

El personal del Área de Tecnologías y Sistemas de la Información no debe dar a conocer su clave de usuario a terceros de los sistemas de información, sin previa autorización del Jefe del Área de Tecnologías y Sistemas de la Información.

Los usuarios y claves de los administradores de sistemas y del personal del Área de Tecnologías y Sistemas de la Información son de uso personal e intransferible.

El personal del Área de Tecnologías y Sistemas de la Información debe emplear obligatoriamente las claves o contraseñas con un alto nivel de complejidad y utilizar los servicios de autenticación fuerte que posee la entidad de acuerdo al rol asignado.

Los administradores de los sistemas de información deben seguir las políticas de cambio de clave y utilizar procedimiento de salvaguarda o custodia de las claves o contraseñas en un sitio seguro. A este lugar solo debe tener acceso el Jefe del Área de Tecnologías y Sistemas de Información o el Asesor para la de Seguridad de la Información.

Las claves o contraseñas deben: Poseer algún grado de complejidad y no deben ser palabras comunes que se puedan encontrar en diccionarios, ni tener información personal, ni productos a resaltar de su entidad, evite asociarla con fechas especiales, por ejemplo: fechas de cumpleaños, nombre de los hijos, placas de automóvil, etc. Nunca utilice sus contraseñas personales en el entorno laboral La contraseña debe tener mínimo ocho caracteres alfanuméricos. Cambiarse obligatoriamente la contraseña, la primera vez que el usuario ingrese al sistema. La contraseña debe cambiarse obligatoriamente cada 30 días, o cuando lo establezca el Área de Tecnologías y Sistemas de Información. Cada vez que se cambien las claves, estas deben ser distintas por lo menos de las últimas doce anteriores.

17


ACCESO

Código: L-TI-20

Versión 01


Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la cuenta de usuario. La contraseña, no se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos, ni todos alfabéticos. La clave de acceso, no debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse. La contraseña debe cumplir con tres de los cuatro requisitos:

Caracteres en mayúsculas

Caracteres en minúsculas

Base de 10 dígitos (0 a 9)

Caracteres no alfabéticos (Ejemplo ¡,$,%,&) Las contraseñas de acceso, No ser reveladas a ninguna persona, incluyendo al personal del Área de Tecnologías y Sistemas de Información. No registrar las contraseñas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar de forma segura y el método de almacenamiento este aprobado. Manejo de contraseñas para administradores de tecnología Se debe garantizar en las plataformas de tecnología que el ingreso a la administración en lo posible, se realice con la vinculación directamente de las credenciales de los usuarios de directorio activo. Los usuarios administradores y sus correspondientes contraseñas de acceso a las consolas de administración, se dejan en custodia en sobre sellado en el área segura donde designe la entidad, las credenciales allí contenidas deben ser modificadas de manera mensual o cuando amerite. Las contraseñas referentes a las cuentas “predefinidas” incluidas en los sistemas o aplicaciones adquiridas deben ser desactivadas. De no ser posible su desactivación, las contraseñas deben ser cambiadas después de la instalación del producto.

5. MARCO LEGAL

Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Tecnologías de Información y Comunicaciones – Normograma o en el campo de documentos asociados cuando se consulta el documento.

18


ACCESO

Código: L-TI-20

Versión 01


6. DOCUMENTOS ASOCIADOS

Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Tecnologías de Información y Comunicaciones - Documentos y formatos o en el campo de documentos asociados cuando se consulta el documento.

7. RESPONSABLE DEL DOCUMENTO

Jefe Área de Tecnologías y Sistemas de Información

lineamientos para el control de acceso - presidencia de...

Documents