protocolos de acceso a la información
TRANSCRIPT
NORMAS PARA ACCESO A LA INFORMACIÓN
Los controles de acceso a la información permitirán únicamente el ingreso a los usuarios autorizados de cada Área correspondiente, y según los criterios de accesibilidad designados por cada uno de los Jefes, para acceder a los datos o sistemas necesarios para desempeñar sus tareas o funciones habituales dentro de la compañía.
1. Se deberá contar con un procedimiento específico, para solicitar o
dar efectivamente el alta, la baja o la modificación de usuarios en
cualquier sistema de información.
En el caso de que un empleado se desvincule de la compañía, el Jefe
de Área solicitará de forma inmediata la baja del usuario y el Área de
Sistemas lo inhabilitará en los sistemas que correspondan.
Cuando se produzca la ausencia prolongada de un empleado de sus
funciones, el Jefe de Área solicitará la inhabilitación temporal de los
accesos del usuario.
Todo usuario inhabilitado solicitará la rehabilitación a su Jefe de Área
y éste al encargado en el Área de Sistemas.
2. Los usuarios de la compañía solo deberán tener acceso a los
sistemas de información y carpetas compartidas que sean necesarias
para el desarrollo de sus funciones habituales.
3. Cada usuario autorizado a ingresar a los Sistemas de Información de
la compañía tendrá un único nombre de usuario y contraseña, el cual
dispondrá de los privilegios de acceso que hayan sido autorizados
por el Jefe de Área respectiva.
Las únicas personas que pueden contar con varios usuarios y claves
de acceso son los administradores del sistema.
4. Se deshabilitarán todas las cuentas instaladas por defecto en los
productos adquiridos (sistema operativo, herramienta, aplicación,
etc.). Si no fuera técnicamente posible, se restringirán sus permisos
de tal forma que no afecte ningún sistema de información.
Se debe verificar el cumplimiento de este requisito luego de la
instalación de cada versión, actualizaciones, parches, etc.
5. Todo usuario en cualquier sistema de información sin excepción,
tendrá una clave de acceso (contraseña). Sólo él y el encargado en el
Área de Sistemas, podrán cambiarla cuando lo deseen, y
especialmente cuando se sospeche que pueda estar comprometida o
ser conocida por otros usuarios.
Es responsabilidad de cada usuario velar por la privacidad de su
contraseña y evitar su divulgación.
6. Preferiblemente, las claves de acceso de todos los usuarios estarán
sujetas a los siguientes parámetros:
Deberá tener una longitud de 8 caracteres como mínimo, conteniendo
al menos una letra mayúscula, una minúscula y un número.
No deberá coincidir con la última clave elegida por el usuario, es
decir, la nueva clave seleccionada deberá ser distinta a su clave
anterior.
Se deberá cambiar la clave inicial asignada. Es decir, cuando el
usuario ingrese por primera vez con su nueva clave el sistema lo
obligará al cambio de la misma.
Deberá tener una vigencia máxima de 60 días corridos. El sistema
deberá obligar al usuario a cambiar la clave vencido ese plazo.
7. El tercer intento consecutivo de ingreso erróneo a un sistema de
información deberá producir el bloqueo automático del usuario. El
acceso vuelve a ser habilitado por el Área de Sistemas.
8. Quedará automáticamente inhabilitado por el sistema el usuario que
no ingrese al mismo en un período de 90 días seguidos, para su
habilitación el Jefe de Área deberá solicitarlo al encargado en el Área
de Sistemas.
9. El Área de Sistemas deberá garantizar que las contraseñas sean
almacenadas o transmitidas de forma encriptada a los usuarios de la
compañía.
Los programas de control de accesos, los archivos de identificación,
contraseñas y grupos de usuarios deberán estar protegidos para
evitar su consulta por parte de cualquier persona, excepto por el
encargado en el Área de Sistemas.
10.Los Administradores del Sistema deberán monitorear los siguientes
aspectos:
Los accesos en horarios no habituales y los accesos fallidos a los
sistemas de información.
El acceso no autorizado de dispositivos o estaciones de trabajo a los
sistemas de información.
Que los usuarios habilitados en los sistemas de información
pertenezcan a empleados activos de la compañía.
Verificar que los usuarios estén ubicados solo en el grupo de trabajo
que les permita realizar las funciones acordes a su cargo.
11. El sistema deberá generar logs y pistas de auditoría en forma
automática, con la información mínima necesaria para realizar
auditorías. Los logs de información de actividades de usuarios y las
pistas de auditoría deberán ser almacenadas durante el tiempo que
se crea conveniente.
12.El acceso remoto por medio de VPN, deberá ser solo autorizado a
usuarios que debido a sus funciones lo requieran, este deberá ser
autorizado por el Jefe de Área y solicitado al encargado en el Área de
Sistemas.