PRC-DTI-007 Administración de Cuentas de Usuario Procedimiento Dirección de TI - COSEVI

Transcripción

1 PRC-DTI-007 Administración de Cuentas de Usuario Procedimiento Dirección de TI - COSEVI Versión: 1.0 Fecha de la versión: Febrero del 2012 Creado por: PwC Costa Rica Aprobado por: Vinicio Ureña Irola Firma: Nivel de confidencialidad: Privado

2 Historial de revisiones ASESORÍA EN TECNOLOGÍA DE LA Fecha Versión Autor Descripción 26/01/ PwC Costa Rica Creación del procedimiento. 1.0 Marco Vinicio Aprobación del procedimiento Ureña Irola 2

3 Tabla de Contenido 1. Objetivos Alcance Definiciones Roles y Responsabilidades Proceso Administración de Cuentas de Usuario Entradas al proceso Salidas al proceso Métricas de desempeño Proceso Administración de Cuentas de Usuario Subproceso Creación de Cuentas de Usuario Subproceso Modificación de Cuentas de Usuario Subproceso Eliminación Lógica y Suspensión de Cuentas de Usuario Diagramas de flujo Proceso: Administración de Cuentas de Usuario Subproceso: Creación de cuentas de usuario Subproceso: Modificación de Cuentas de Usuario Subproceso: Eliminación Lógica de Cuentas de Usuario Procedimiento Administración de Cuentas de Usuario Administración de Cuentas de Usuario Creación de Cuentas de Usuario Modificación de Cuentas de Usuario Eliminación Lógica y Suspensión de Cuentas de Usuario Anexos FOR-PRC-TI Solicitud de Cuentas de Usuarios FOR-PRC-TI Solicitud Cambio Contraseña

4 Procedimiento PRC-DTI-007 Administración de Cuentas de Usuario 1. Objetivos Garantizar que los derechos de acceso de los usuarios (internos, externos o temporales) de los sistemas de información administrados por la DTI de COSEVI, se solicitan por la jefatura del usuario, se aprueban por el responsable del sistema y se implementan por la persona responsable de la seguridad, con el fin de asegurar que los permisos de acceso del usuario al sistema y los datos están en línea con las necesidades del negocio, definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario. 2. Alcance Lo definido en este documento es aplicable a los funcionarios de la DTI que se encargan de la administración de cuentas de usuario tanto de la red y correo electrónico, como de los Sistemas de Información del COSEVI. 3. Definiciones Modificación: de acuerdo con la definición del marco de referencia ITIL, una modificación es cualquier adición, cambio o eliminación de hardware, dispositivos de telecomunicaciones, software, aplicaciones, ambientes, sistemas o documentación relacionada. Terceros: Persona, grupo u organización de origen externo que es requerida para asegurar la entrega exitosa de un servicio de TI. Matriz RACI (matriz de asignación de responsabilidades): Se utiliza para relacionar actividades con recursos (individuos o equipos de trabajo) para asegurar que cada uno de los componentes del alcance esté asignado a un individuo o a un equipo. En la siguiente tabla se explica en qué consiste cada rol. Descripción R Responsable Este rol realiza el trabajo y es responsable por su realización. Es quien ejecuta las tareas. A Aprobador Este rol se encarga de aprobar el trabajo finalizado y a partir de este momento, se vuelve responsable de él. Debe asegurarse que se ejecuten las tareas. C Consultado Este rol posee la información o capacidad necesaria para terminar el trabajo. Se le informa y se le consulta información. I Informado Este rol debe ser informado sobre el progreso y los resultados del trabajo. 4. Roles y Responsabilidades A continuación se presentan los roles que están involucrados en el proceso de Administración de cuentas de usuario. Departamento de Gestión y Desarrollo Humano (DGDH): Es la instancia encargada de colaborar con las jefaturas de las diferentes unidades para comunicar a la Dirección de TI sobre la necesidad de suspender o eliminar los derechos de acceso a usuarios que no deben continuar con dichos permisos. 4

5 Jefatura Unidad Solicitante (JUS): Es el encargado del usuario al que se realizará la asignación, modificación o eliminación de la cuenta de usuario. Jefatura Dirección de Tecnologías de Información (JDTI): Es la instancia dueña del proceso Administración de Cuentas de Usuario. Es responsable de gestionar los roles del COSEVI. Encargado de atender solicitud (EAS): Es el funcionario al que se la asigna la labor de atender la solicitud relacionada a la gestión de la cuenta de usuario de un funcionario del COSEVI. Usuario (U): Es el funcionario que recibe los datos para la cuenta de usuario o solicita cambios de la misma. Actividades Roles DGDH JUS JDTI EAS U 1. Completar formulario de solicitud RA 2. Enviar solicitud completa RA I 3. Recibir solicitud y asignar encargado RA 4. Comunicar y trasladar solicitud RA I 5. Enviar solicitud de emergencia RA 6. Activar cuenta del usuario RA 7. Notificar necesidad de eliminar / suspender cuenta I RA 8. Completar formulario de solicitud de eliminación o RA suspensión 9. Recibir y trasladar solicitud completa RA I 10. Recibir solicitud y asignar encargado RA 11. Comunicar y trasladar solicitud RA I 12. Comunicar a la Jefatura DTI I RA 13. Comunicar a Gestión y Desarrollo Humano I RA 14. Comunicar a Jefatura Usuario I RA 15. Comunicar a Jefatura Usuario RA I 16. Enviar solicitud de cambio de contraseña RA 17. Recibir petición de cambio de contraseña RA 18. Evaluar rol solicitado para la cuenta según una correcta RA segregación de funciones 19. Informar a la DTI el incumplimiento I RA 20. Crear la cuenta de usuario y asignar rol RA 21. Crear oficio y sobre con contraseña RA 22. Revisar y firmar oficio RA R 23. Enviar oficio a Jefatura Unidad Solicitante I RA R 24. Entregar cuenta al usuario I I RA I 25. Realizar primer inicio de sesión y cambio de contraseña RA 26. Asignar fecha de expiración I RA 27. Crear cuenta I RA 28. Otorgar accesos a recursos de la red I RA 29. Evaluar justificación C RA 30. Modificar nombre de usuario I RA 31. Entregar información al usuario RA I 32. Poner contraseña por defecto I RA 33. Entregar información al usuario RA I 34. Evaluar justificación C RA 35. Asignar nuevo rol I RA 5

6 36. Eliminar rol anterior I RA 37. Asignar / Revocar recurso RA 38. Generar cuenta temporal asociada a cuenta a eliminar. RA 39. Informar a la DTI la asignación / revocación del recurso I RA 40. Realizar la revisión de contenido de las cuentas I I RA 41. Almacenar documentos o recursos I I RA 42. Eliminar recursos de la cuenta del usuario I I RA 43. Eliminar o suspender cuenta del usuario I I RA R = Responsable A = Aprobador C =Consultado I = Informado 5. Proceso Administración de Cuentas de Usuario 5.1 Entradas al proceso Desde el Proceso PO2 Definir la arquitectura de la información. PO3 Determinar la dirección tecnológica PO9 Evaluar y administrar riesgos de TI AI2 Adquirir y mantener el software aplicativo. DS1 Definir y administrar niveles de servicio. Entradas al Proceso Arquitectura de Información; clasificación de datos asignados Estándares de tecnología Evaluación de riesgo Especificaciones de controles de seguridad en las aplicaciones OLAs 5.2 Salidas al proceso Salidas del Proceso Definición de incidentes de seguridad Requerimientos específicos de entrenamiento sobre conciencia de seguridad Reportes de desempeño del proceso Cambios de seguridad requeridos Amenazas y vulnerabilidades de seguridad Hacia el Proceso o dominio DS8 Administrar la mesa de servicios y los incidentes DS7 Educar y entrenar a los usuarios ME1 Monitorear y evaluar el desempeño de TI AI6 Administrar cambios PO9 Evaluar y administrar riesgos de TI 5.3 Métricas de desempeño Se definió un formato para la descripción de las métricas para evaluar el desempeño de este proceso, a continuación se explica el detalle de cada uno de los campos de las tablas: Índice: Contiene el número consecutivo que se le da a la métrica que por lo general es de dos dígitos, así como un espacio para asignar el nombre con el se gestionará el mismo. Aunque el nombre no debe ser detallado, es importante incluir palabras clave que permitan identificar fácilmente qué se está midiendo. Objetivo: Se debe indicar claramente el motivo por el cual fue creada la métrica y las referencias que están siendo evaluadas. 6

7 Nivel de Riesgo: Establece tres niveles de riesgo, los cuales son definidos previamente por la Dirección de Tecnologías de Información y que son específicos para cada métrica. Los niveles de riesgo se clasifican de la siguiente forma: Bajo (color verde): indica que el resultado del cálculo de la métrica representa una efectiva gestión de la Dirección de Tecnologías de Información. Medio (color amarillo): si el resultado del cálculo de la métrica se encuentra en el rango de valores indicado en esta casilla se puede deducir que la gestión aún está en un nivel donde acciones correctivas deberán ser tomadas. Alto (color rojo): en caso de ubicar el resultado del cálculo de las métricas en este punto, será necesario tomar acciones inmediatas para remediar la brecha existente y mejorar las métricas. Unidad de medida: Se utiliza para representar la unidad de medida con la que se expresa la métrica. Aunque es más común utilizar la unidad Porcentaje, también podrían existir unidades de medida de peso, velocidad y tiempo, entre otros. Frecuencia: La frecuencia hace referencia a la periodicidad con la que el cálculo de la métrica debe ser realizado. Valores comúnmente aceptados son horas, minutos, segundos, días, semanas, meses y años. Descripción: Relata en detalle aspectos propios de la métrica donde se pueden incluir temas sobre documentación relacionada y características de las mediciones. Se pueden hacer referencias a mejores prácticas, estándares, políticas, justificaciones y aclaraciones sobre otros campos del formulario. Fórmula: Operaciones básicas para conocer el resultado de la métrica. Insumos: Los insumos son una lista de requerimientos obligatorios que permitirán obtener la información necesaria para hacer el cálculo del resultado de la métrica. Estos insumos pueden ser el resultado de consultas a bases de datos, conteo manual de eventos, software y consultas de bitácoras, entre otros. A continuación se presentan las métricas que permitirán monitorear, en función de los objetivos previamente descritos, el desempeño de este proceso. Será responsabilidad de la Auditoría utilizar estas métricas para fiscalizar el desempeño del proceso. 7

8 INDICE 01: Fallos por mala asignación de cuentas de usuario Objetivo Nivel de riesgo Unidad de medida Bajo Menos del 20% Porcentaje Medio 20% valor 50% Alto Más del 50% Garantizar la seguridad de la información que albergan los Sistemas de Información del COSEVI, preservando su confidencialidad e integridad. Frecuencia Anual Descripción Los resultados determinarán qué tan efectivo es el proceso de Administración de Cuentas de Usuario al indicar la cantidad de incidentes relacionados con fallos en la integridad y/o confidencialidad de la información. Fórmula ( X 100) Y Insumos Incidentes ingresados en la DTI en el período analizado. % X = # incidentes de relacionados con fallos en la integridad o confidencialidad de la información y cuya causa raíz esté relacionada con mala definición o asignación de cuentas de usuario. Y = # incidentes ingresados en la Mesa de Servicios en el periodo analizado. 8

9 5.4 Proceso Administración de Cuentas de Usuario Ref Actividad # 1. Solicitar crear / modificar / activar cuenta de usuario? Descripción Solicitar crear / modificar / activar cuenta de usuario? Sí, va al paso 2. Completar formulario de solicitud No, va al paso 13. Solicitar eliminar / suspender cuenta de usuario? 2. Completar formulario de solicitud La Jefatura de la Unidad Solicitante completa el formulario de solicitud FOR-PRC-DTI Solicitud de Cuentas de Usuario. 3. Enviar solicitud completa La Jefatura de la Unidad Solicitante envía a la DTI la solicitud completamente llena. 4. Recibir solicitud y asignar encargado La Jefatura de la DTI recibe la solicitud y determina quién es el responsable para atenderla. 5. Comunicar y trasladar solicitud La Jefatura de la DTI comunica al encargado de atender la solicitud que se debe atender la misma y le traslada el formulario tanto en versión física como en versión digital. 6. Crear cuenta de usuario? Crear cuenta de usuario? Sí, va al paso 7. Subproceso: Creación de cuentas de usuario No, va al paso 8. Modificar cuenta de usuario? 7. Subproceso: Creación de cuentas de usuario El Encargado de atender solicitud ejecuta el subproceso Creación de Cuentas de Usuario detallado en el punto 5.5 de este documento. Termina el proceso. 8. Modificar cuenta de usuario? Modificar cuenta de usuario? Sí, va al paso 9. Subproceso: Modificación de cuentas de usuario. No, va al paso 11. Activar cuenta de usuario? 9. Subproceso: Modificación de cuentas de usuario El Encargado de atender solicitud ejecuta el subproceso Modificación de Cuentas de Usuario detallado en el punto 5.6 de este documento. 10. Se requiere informar a la Jefatura de la DTI? Se requiere informar a la Jefatura de la DTI? Sí, va al paso 22. Comunicar a la Jefatura DTI. No, termina el proceso. 11. Activar cuenta de usuario? Activar cuenta de usuario? Sí, va al paso 12. Activar cuenta del usuario No, va al paso 22. Comunicar a la Jefatura DTI 12. Activar cuenta del usuario El Encargado de atender solicitud realiza las acciones necesarias para Activar cuenta del usuario. Va al paso 22. Comunicar a la Jefatura DTI 9

10 13. Solicitar eliminar / suspender cuenta de usuario? Solicitar eliminar / suspender cuenta de usuario? Sí, va al paso 14. Es una suspensión de emergencia? No, va al paso 27. Requiere una nueva contraseña para su cuenta? 14. Es una suspensión de emergencia? Es una suspensión de emergencia? Sí, va al paso 15. Enviar solicitud de emergencia No, va al paso 16. Completar formulario de solicitud 15. Enviar solicitud de emergencia La Jefatura de la DTI envía una solicitud de suspensión de cuentas de emergencia. Va al paso 21. Subproceso: Eliminación Lógica y suspensión de cuentas de usuarios 16. Completar formulario de solicitud La Jefatura de la Unidad solicitante completa el formulario FOR-PRC-DTI Solicitud de Cuentas de Usuario para comunicar la necesidad de eliminar o suspender la cuenta de algún usuario. 17. Notificar necesidad de eliminar / suspender cuenta La Jefatura de la Unidad Solicitante notifica al Departamento de Gestión y Desarrollo Humano la necesidad de eliminar o suspender la cuenta de usuario. 18. Recibir y Trasladar solicitud completa El Departamento de Gestión y Desarrollo Humano envía el formulario de solicitud completo a la Jefatura de la DTI. 19. Recibir solicitud y asignar encargado La Jefatura de la DTI recibe la solicitud y asigna al encargado de atender la solicitud. 20. Comunicar y trasladar solicitud La Jefatura de la DTI comunica al encargado de atender la solicitud que se debe gestionar la misma y le traslada el formulario tanto en versión física como en versión digital. 21. Subproceso: Eliminación Lógica y suspensión de cuentas de usuarios El Encargado de atender solicitud ejecuta el subproceso Eliminación Lógica y suspensión de cuentas de usuario detallado en el punto 5.7 de este documento. 22. Comunicar a la Jefatura DTI El Encargado de atender solicitud comunica a la jefatura de la DTI el resultado de las acciones implementadas. 23. Comunicar a Gestión y Desarrollo Humano? Comunicar a Gestión y Desarrollo Humano? Sí, va al paso 24. Comunicar a Gestión y Desarrollo Humano No, va al paso 25. Comunicar a Jefatura Usuario 24. Comunicar a Gestión y Desarrollo Humano La Jefatura de la DTI comunica al Departamento de Gestión y Desarrollo Humano el resultado de las acciones implementadas. Va al paso 26 Comunicar a Jefatura Usuario. 25. Comunicar a Jefatura Usuario La Jefatura de la DTI comunica el resultado de las acciones implementadas a la Jefatura del Usuario. Termina el proceso. 10

11 26. Comunicar a Jefatura Usuario El Departamento de Gestión y Desarrollo Humano comunica el resultado de las acciones implementadas a la Jefatura del Usuario. Termina el proceso. 27. Requiere una nueva contraseña para su cuenta? Requiere una nueva contraseña para su cuenta? Sí, va al paso 28. Enviar solicitud de cambio de contraseña No, termina el proceso. 28. Enviar solicitud de cambio de contraseña El Usuario realiza una solicitud de cambio de contraseña con el formulario FOR-PRC-DTI Solicitud de Cambio de Contraseña para alguno de los sistemas de información o de alguno de los recursos de infraestructura de TI. 29. Recibir petición de cambio de contraseña El Encargado de atender solicitud recibe la petición de cambio de contraseña. Va al paso 8. Fin del Proceso Administración de Cuentas de Usuario 5.5 Subproceso Creación de Cuentas de Usuario Ref Actividad # 1. La cuenta de usuario es para un sistema de información? Descripción La cuenta de usuario es para un sistema de información? Sí, va al paso 2. La cuenta tendrá un rol asociado? No, va al paso 14. La cuenta por crear es cuenta temporal? 2. La cuenta tendrá un rol asociado? La cuenta tendrá un rol asociado? Sí, va al paso 3. Evaluar rol solicitado para la cuenta según una correcta segregación de funciones No, va al paso 8. Crear la cuenta de usuario y asignar rol 3. Evaluar rol solicitado para la cuenta según una correcta segregación de funciones 4. El rol cumple con la correcta segregación de funciones? El encargado de atender la solicitud evalúa si el rol que se está solicitando para el funcionario cumple la correcta segregación de funciones. El rol cumple con la correcta segregación de funciones? Sí, va al paso 6. El rol existe en el sistema de información? No, va al paso 5. Informar a la DTI el incumplimiento 5. Informar a la DTI el incumplimiento El encargado de atender la solicitud informa a la DTI el incumplimiento y la justificación para no proceder. Termina el subproceso. 11

12 6. El rol existe en el sistema de información? El rol existe en el sistema de información? Sí, va al paso 8. Crear la cuenta de usuario y asignar rol No, va al paso 7. Proceso: Administración de Roles 7. Proceso: Administración de Roles El encargado de atender la solicitud ejecuta el proceso PRC-DTI-006 Administración de Roles para generar el nuevo rol que se requiere. 8. Crear la cuenta de usuario y asignar rol El encargado de atender la solicitud realiza las acciones necesarias para crear la cuenta de usuario y asignar el rol necesario. 9. Crear oficio y sobre con contraseña El encargado de atender la solicitud realiza el oficio para entregar la información de la cuenta al usuario además del sobre que contendrá dicha información. 10. Revisar y firmar oficio La Jefatura de la DTI revisa el oficio y lo firma, el Encargado de atender la solicitud firma el oficio en caso de aplicar. 11. Enviar oficio a Jefatura Unidad Solicitante La Jefatura de la DTI en conjunto con el Encargado de atender solicitud envían a la Jefatura de la Unidad Solicitante el oficio en el que consta que la cuenta de usuario ha sido creada. 12. Entregar cuenta al usuario El Encargado de atender solicitud entrega al usuario la información de la cuenta de usuario por medio del sobre, el oficio de aceptación y las recomendaciones para la gestión de las cuentas de usuarios y contraseñas. 13. Realizar primer inicio de sesión y cambiar contraseña. El Usuario realiza el primer inicio de sesión y realiza el cambio de contraseña. Termina el subproceso. 14. La cuenta por crear es cuenta temporal? La cuenta por crear es cuenta temporal? Sí, va al paso 15. Asignar fecha de expiración No, va al paso 16. Crear cuenta 15. Asignar fecha de expiración El encargado de atender la solicitud asigna una fecha de expiración para la cuenta de usuario. 16. Crear cuenta El encargado de atender la solicitud realiza las acciones necesarias para crear la cuenta de usuario. 17. Otorgar accesos a recursos de la red El encargado de atender la solicitud otorga acceso a aquellos recursos que se requieran en la red asociados a la nueva cuenta de usuario. Va al paso 9. Crear oficio y sobre con contraseña Fin del Subproceso Creación de Cuentas de Usuario 12

13 5.6 Subproceso Modificación de Cuentas de Usuario Ref Actividad Descripción # 1. Se requiere modificar el nombre de usuario? Se requiere modificar el nombre de usuario? Sí, va al paso 2. Evaluar justificación No, va al paso 6. Se requiere modificar la contraseña? 2. Evaluar justificación El encargado de atender la solicitud evalúa la justificación presentada para la modificación del nombre de usuario. 3. Se justifica la modificación? Se justifica la modificación? Sí, va al paso 4. Modificar nombre de usuario No, termina el subproceso 4. Modificar nombre de usuario El encargado de atender la solicitud realiza las acciones necesarias para modificar el nombre de usuario. 5. Entregar información al usuario El encargado de atender la solicitud entrega la información al usuario correspondiente a su nuevo nombre de usuario. 6. Se requiere modificar la contraseña? Se requiere modificar la contraseña? Sí, va al paso 7. Poner contraseña por defecto No, va al paso 9. Se requiere modificar el rol de un Sistema de Información? 7. Poner contraseña por defecto El encargado de atender la solicitud pone una contraseña por defecto para la cuenta de usuario. 8. Entregar información al usuario El encargado de atender la solicitud le entrega al usuario la información correspondiente a su contraseña. 9. Se requiere modificar el rol de un Sistema de Información? Se requiere modificar el rol de un Sistema de Información? Sí, va al paso 10. Evaluar justificación No, va al paso 18. Se requiere asignar / revocar algún recurso? 10. Evaluar justificación El encargado de atender la solicitud evalúa la justificación presentada para realizar la modificación del rol en el Sistema de Información. 11. Se justifica la modificación? Se justifica la modificación? Sí, va al paso 12. El rol cumple con la correcta segregación de funciones? No, termina el subproceso. 12. El rol cumple con la correcta segregación de funciones? El rol cumple con la correcta segregación de funciones? Sí, va al paso 13. El rol existe en el sistema de información? No, termina el subproceso. 13

14 13. El rol existe en el sistema de información? El rol existe en el sistema de información? Sí, va al paso 15. Asignar nuevo rol. No, va al paso 14. Proceso: Administración de Roles 14. Proceso: Administración de Roles El encargado de atender la solicitud ejecuta el proceso PRC-DTI-006 Administración de Roles para la creación del rol solicitado. 15. Asignar nuevo rol El encargado de atender la solicitud realiza las acciones necesarias para asignar un nuevo rol. 16. Se debe eliminar el rol que se tenía previamente? Se debe eliminar el rol que se tenía previamente? Sí, va al paso 17. Eliminar rol anterior No, va al paso 18. Se requiere asignar / revocar algún recurso? 17. Eliminar rol anterior El encargado de atender la solicitud realiza las acciones necesarias para remover el rol que tenía la cuenta de usuario previamente. 18. Se requiere asignar / revocar algún recurso? Se requiere asignar / revocar algún recurso? Sí, va al paso 19. Asignar / Revocar recurso No, termina el subproceso. 19. Asignar / Revocar recurso El encargado de atender la solicitud realiza la asignación o revocación de recursos. Termina el subproceso. Fin del Subproceso Modificación de Cuentas de Usuario 5.7 Subproceso Eliminación Lógica y Suspensión de Cuentas de Usuario Ref Actividad # 1. Crear una cuenta temporal de la cuenta a eliminar o suspender? 2. Generar cuenta temporal asociada a cuenta a eliminar. Descripción Crear una cuenta temporal de la cuenta a eliminar o suspender? Sí, va al paso 2. Generar cuenta temporal asociada a cuenta a eliminar. No, va al paso 3. Es necesario revisar el contenido de las cuentas? El encargado de atender la solicitud realiza las acciones necesarias para generar una cuenta temporal asociada a la cuenta a eliminar. 3. Es necesario revisar el contenido de las cuentas? Es necesario revisar el contenido de las cuentas? Sí, va al paso 4. Realizar la revisión de contenido de las cuentas No, va al paso 9. Eliminar o suspender cuenta del usuario 4. Realizar la revisión de contenido de las cuentas El encargado de atender la solicitud realiza una revisión del contenido de las cuentas de usuario. 14

15 5. Es necesario almacenar contenido de la cuenta? Es necesario almacenar contenido de la cuenta? Sí, va al paso 6. Almacenar documentos o recursos No, va al paso 9. Eliminar o suspender cuenta del usuario 6. Almacenar documentos o recursos El encargado de atender la solicitud almacena los documentos o recursos requeridos que se encontraban asociados a la cuenta de usuario. 7. Es necesario eliminar datos de la cuenta? Es necesario eliminar datos de la cuenta? Sí, va al paso 9. Eliminar o suspender cuenta del usuario No, va al paso 8. Eliminar recursos de la cuenta del usuario 8. Eliminar recursos de la cuenta del usuario El encargado de atender la solicitud elimina los recursos asociados a la cuenta del usuario. 9. Eliminar o suspender cuenta del usuario El encargado de atender la solicitud realiza las acciones necesarias para realizar una eliminación lógica o de suspender la cuenta de usuario. Termina el subproceso. Fin del Subproceso Eliminación Lógica y Suspensión de Cuentas de Usuario 6. Diagramas de flujo Simbología A continuación se presentan los símbolos más importantes utilizados para la realización de los diagramas de flujo. 15

16 6.1 Proceso: Administración de Cuentas de Usuario 16

17 6.2 Subproceso: Creación de cuentas de usuario 17

18 6.3 Subproceso: Modificación de Cuentas de Usuario 18

19 6.4 Subproceso: Eliminación Lógica y Suspensión de Cuentas de Usuario 19

20 7. Procedimiento Administración de Cuentas de Usuario 7.1 Administración de Cuentas de Usuario Jefatura Unidad Solicitante Determina si se requiere crear / solicitar / activar una cuenta de usuario. En caso de que re requiera, se va al paso Si no se requiere se va al paso Completa el formulario FOR-PRC-DTI Solicitud de Cuentas de usuario donde se deben especificar los datos del usuario al cual se le creará la cuenta (Sección Datos Generales de Usuario), además de acuerdo a lo requerido se debe completar: Si se requiere gestionar la cuenta de red (Sección 2.Infraestructura de Red: Cuenta de Red): seleccionar si se solicita crear, modificar, eliminar, activar o suspender. Además en caso de que aplique si requiere internet sí o no, y si se requiere el acceso a carpetas o recursos adicionales. Si se requiere gestionar el correo electrónico (Sección 2.Infraestructura de Red: Correo electrónico): seleccionar si se solicita crear, modificar, eliminar, activar o suspender. Si se requiere gestionar el acceso a los sistemas de información (Sección 3.Sistemas de Información): seleccionar si se solicita crear, eliminar, activar o suspender y se especifica el nombre del sistema en el cual se requiere y el rol asociado. En caso de requerir modificar se debe seleccionar la opción y especificar si se requiere asignar o eliminar el rol, y el Sistema de Información asociado. Si se requiere solicitar un cambio en la cuenta de usuario o bien en los recursos a los cuales tiene acceso el usuario (Sección 4. Cambios en Cuenta de Usuario): Debe realizar la selección del cambio que solicita, nombre de usuario o contraseña, se especifica el nombre del Sistema de Información o la Infraestructura (correo o red) al cual se requiere hacer el cambio. O bien se puede solicitar agregar o quitar recursos los cuales se pueden especificar en la sección de Justificación donde se detalla por qué se debe hacer el cambio y se hacen las observaciones relacionadas. Adicionalmente, se pueden realizar observaciones a la solicitud (Sección 5. Observaciones) La aprobación (Sección 6. Aprobación) debe ir completada con el nombre de la Jefatura de la Unidad Solicitante con la correspondiente firma sin la cual, la solicitud será inválida Envía el formulario FOR-PRC-DTI Solicitud de Cuentas de usuario completamente lleno a la Jefatura de la DTI tanto en formato físico como en formato digital por medio de un correo electrónico. Jefatura de la DTI Recibe la solicitud y determina quién será el encargado de gestionar la solicitud Comunica al encargado de atender la solicitud que debe encargarse de la solicitud y le traslada la misma por medio del correo electrónico y la versión física en caso de ser necesario. Encargado de atender solicitud Determina si la solicitud es para crear una cuenta de usuario. En caso de requerirse crear una cuenta de usuario, va al paso Si no se requiere, va al paso Ejecuta el subproceso Creación de cuentas de usuario detallado en el punto 7.2. Creación de Cuentas de Usuario. Termina el subproceso. 20

21 7.1.8 Determina si la solicitud es para modificar una cuenta de usuario. En caso de requerirse modificar una cuenta de usuario, se va al paso Si no se requiere, se va al paso Ejecuta el subproceso Modificación de Cuentas de Usuario detallado en el punto 7.3 Modificación de Cuentas de Usuario Determina si se requiere informar a la Jefatura de la DTI, en caso de que se requiera realizar una modificación de contraseña por petición del usuario (por ejemplo que la haya olvidado, o la haya revelado a otro usuario) no se requiere informar a la DTI sobre la modificación, en otro caso, sí se debe informar. En caso de que se requiera informar a la DTI, se va al paso Si no se requiere informar, termina el proceso Determina si la solicitud es para activar la cuenta de usuario. En caso de requerirse activar la cuenta de usuario, se va al paso Si no se requiere, se va al paso Ejecuta el subproceso Activar cuentas de Usuario detallado en el punto 7.4 Activar Cuentas de Usuario. Jefatura de la Unidad Solicitante Determina si se requiere solicitar la eliminación o suspensión de una cuenta de usuario. Los casos que se pueden presentar para eliminación de cuenta de usuario es porque el funcionario se haya retirado de la Institución, ya sea por despido, renuncia, muerte o jubilación. Para realizar una suspensión de una cuenta de usuario se puede haber presentado entre otras situaciones, vacaciones o permisos especiales por más de una semana, o bien porque el funcionario fuera arrestado o esté bajo investigación. En caso de que se requiera eliminar o suspender la cuenta de usuario se va al paso Si no se requiere, se va al paso Determina si se trata de una suspensión de emergencia. Las suspensiones de emergencia pueden ser solicitadas única y exclusivamente por la Jefatura de la DTI y solamente para la suspensión de cuentas de usuario y en casos donde sea realmente urgente una suspensión inmediata por riesgos en la seguridad de la información. En caso de que se requiera una suspensión de emergencia, se va al paso Si no se requiere, se va al paso Jefatura de la DTI Envía una solicitud de emergencia por medio de un correo electrónico como mínimo, donde se solicita suspender las cuentas de usuario necesarias. Va al paso Jefatura de la Unidad Solicitante Completa la solicitud del formulario FOR-PRC-DTI Solicitud de Cuentas de Usuario para la eliminación o suspensión de las cuentas de usuario necesarias Comunica al Departamento de Gestión y Desarrollo Humano la necesidad de eliminar o suspender la o las cuentas de usuario por medio de un correo electrónico adjuntando el formulario de solicitud completo. Departamento de Gestión y Desarrollo Humano Recibe la solicitud de eliminación o suspensión de cuenta o cuentas de usuario de un funcionario y remite el formulario a la DTI. 21

22 Jefatura de la DTI Recibe la solicitud de eliminación o suspensión de la cuenta y asigna el encargado de atender la solicitud Comunica al encargado de atender la solicitud que se debe gestionar la misma y le traslada el formulario en versión electrónica y en versión física en caso de considerarse necesario. Encargado de Atender Solicitud Ejecuta el subproceso Eliminación Lógica y Suspensión de Cuentas de Usuario detallado en el punto 7.4 Eliminación Lógica y Suspensión de Cuentas de Usuario Comunica a la Jefatura el resultado de las acciones que se implementaron para dar respuesta a la solicitud. Jefatura de la DTI Determina si es necesario comunicar al Departamento de Gestión y Desarrollo Humano los resultados de la implementación. Se debe realizar la comunicación a este Departamento en caso de que la solicitud fuera para eliminación o suspensión. En caso que se requiera comunicar a Gestión y Desarrollo Humano, se va al paso Si no se requiere comunicar va al paso Comunica al Departamento de Gestión y Desarrollo Humano los resultados de las acciones implementadas para atender la solicitud Comunica a la Jefatura de la Unidad Solicitante los resultados de las acciones implementadas para atender la solicitud. Termina el proceso. Departamento de Gestión y Desarrollo Humano Comunica a la Jefatura de la Unidad Solicitante los resultados de las acciones implementadas para atender la solicitud. Termina el proceso. Usuario Determina si requiere una nueva contraseña para alguna de sus cuentas de usuario. En caso de requerir una nueva contraseña, va al paso Si no, termina el proceso Completa el formulario FOR-PRC-DTI Solicitud de Cambios de Contraseña donde realiza la solicitud del cambio y la envía al encargado de atender las solicitudes o bien a la DTI. Encargado de Atender Solicitud Recibe las peticiones de cambio de contraseña. Va al paso Creación de Cuentas de Usuario Encargado de Atender Solicitud Determina si la cuenta que se va a crear es para un Sistema de Información. En caso de que la cuenta sea para un Sistema de Información, se va al paso Si no es así, se va al paso

23 7.2.2 Determina si la cuenta que se va a crear tendrá un rol asociado. En caso de que la cuenta vaya tener un rol asociado, se va al paso Si no es así, se va al paso Evalúa si el rol que se está solicitando asignar para la cuenta de usuario cumple con una correcta segregación de funciones, es decir, que sea acorde al puesto que tiene el funcionario y a las necesidades que tiene de tener acceso a dicha información Determina si el rol cumple con la correcta segregación de funciones. En caso de que cumpla con la correcta segregación de funciones, va al paso Si no cumple, va al paso Informa a la DTI por medio de un correo electrónico el incumplimiento de la correcta segregación de funciones y la justificación por la cual no se puede proceder con la creación de la cuenta de usuario con ese rol. Termina el subproceso Determina si el rol existe en el Sistema de Información. Si el rol existe en el Sistema, se va al paso Si no existe, va al paso Ejecuta el proceso PRC-DTI-006 Administración de Roles para crear el rol que se requiere en el Sistema de Información Ejecuta las acciones necesarias para crear la cuenta de usuario y asignar el rol necesario Realiza el oficio para entregar la información de la cuenta al usuario además del sobre que contendrá la información. Jefatura de la DTI - Encargado de Atender Solicitud Revisa el oficio y lo firma. El encargado de atender la solicitud firma el oficio en caso de aplicar Envía a la Jefatura de la Unidad Solicitante el oficio que hace constar que la cuenta de usuario ha sido creado. Encargado de Atender Solicitud Entrega al usuario la información de la cuenta de usuario por medio de un sobre sellado, además se le entrega un oficio de aceptación de la información de la cuenta y se le brinda también las recomendaciones para la gestión de las cuentas de usuario y contraseñas. Usuario Realiza el primer inicio de sesión y cambia la contraseña siguiendo las recomendaciones para la gestión de cuentas de usuarios y contraseñas. Termina el subproceso Determina si la cuenta que se va a crear es una cuenta temporal. En caso que se trate de una cuenta temporal, se va al paso Si no se trata de una cuenta temporal se va al paso Asigna una fecha de expiración para crear la cuenta de usuario Realiza las acciones necesarias para crear la cuenta de usuario Otorga los accesos necesarios a la red y la infraestructura de la red que hayan sido solicitados. Va al paso

24 7.3 Modificación de Cuentas de Usuario Encargado de Atender Solicitud Determina si la solicitud de modificación corresponde a modificar el nombre de usuario. En caso de que se requiera modificar el nombre de usuario, se va al paso Si no se requiere, se va al paso Evalúa si la justificación presentada para la modificación del nombre de usuario es válida. Entre las justificaciones que se pueden considerar como válidas es que el nombre que se generó de acuerdo a las políticas suene extraño, inapropiado o poco serio Determina si se justifica la modificación. En caso de que se justifique, se va al paso Si no se requiere termina el subproceso Realiza las acciones necesarias para modificar el nombre de usuario Entrega al usuario la información correspondiente a su nuevo nombre de usuario para el Sistema solicitado Determina si se requiere modificar la contraseña de alguna de las cuentas del usuario. En caso de que se requiera modificar la contraseña, se va al paso Si no se requiere, se va al paso Se encarga de poner una contraseña por defecto para la cuenta del usuario Entrega al usuario la información de la nueva contraseña para el Sistema solicitado Determina si se requiere modificar el rol de un Sistema de Información. En caso de que se requiera modificar el rol del Sistema de Información, se va al paso Si no se requiere, se va al paso Evalúa si la justificación para cambiar el rol del usuario es aceptable Determina si la modificación se justifica. En caso de que se justifique, se va al paso Si no se justifica, termina el subproceso Determina si el rol cumple con la correcta segregación de funciones. En caso de que cumpla con la correcta segregación de funciones, va al paso Si no cumple, termina el subproceso Determina si el rol existe en el Sistema de Información. Si el rol existe en el Sistema, se va al paso Si no existe, va al paso Ejecuta el proceso PRC-DTI-006 Administración de Roles para crear el rol que se requiere en el Sistema de Información Realiza las acciones necesarias para asignar el nuevo rol a la cuenta del Usuario Determina si se debe eliminar el rol que se tenía previamente. En caso de que se requiera eliminar, se va al paso Si no se requiere, se va al paso Realiza las acciones necesarias para remover el rol que tenía la cuenta de usuario previamente Determina si se requiere asignar o revocar algún recurso. En caso de que se requiera asignar o revocar algún recurso se va al paso Si no, termina el subproceso. 24

25 Realiza las acciones necesarias para asignar o revocar recursos asociados a la cuenta del usuario. Termina el subproceso. 7.4 Eliminación Lógica y Suspensión de Cuentas de Usuario Nota: Debido a las pistas de auditoría que se deben conservar en los sistemas, lo que en este subproceso se refiera a eliminación, hace referencia a la eliminación lógica, es decir un cambio de estado de activo a inactivo y no la eliminación de la cuenta como tal, esto aplica al menos para los Sistemas de Información. Encargado de Atender Solicitud Determina si se requiere crear una cuenta temporal de la cuenta a eliminar o suspender. En caso de que se requiera la cuenta temporal, se va al paso Si no, se va al paso Realiza las acciones necesarias para generar una cuenta temporal asociada a la cuenta a eliminar o suspender de forma tal que se pueda tener acceso a la información Determina si es necesario revisar el contenido de la cuentas. En caso de ser necesario, se va al paso Si no, se va al paso Realiza una revisión del contenido de las cuentas de usuarios para determinar si hay información que es necesario conservar Determina si es necesario almacenar el contenido de la cuenta. En caso de ser necesario se va al paso Si no se necesario, va al paso Almacena los documentos o recursos que se determinó que se debían conservar asociados a la cuenta del usuario Determina si es necesario eliminar los datos de la cuenta del usuario. En caso de que se determine que se requiere eliminarse, se va al paso Si no se requiere, se va al paso Elimina los recursos asociados a la cuenta del usuario que se determinó que no eran necesarios Realiza las acciones necesarias para realizar una eliminación lógica en caso de aplicar o una suspensión de la cuenta de usuario. Termina el subproceso. 25

26 8. Anexos 8.1 FOR-PRC-DTI Solicitud de Cuentas de Usuario Formulario FOR-PRC-TI Solicitud de Cuentas de Usuarios 1. DATOS GENERALES DE USUARIO Fecha: (DD/MM/AAAA): Puesto: / / Nombre y Apellidos: Departamento: Jefe de la Unidad Administrativa Encargada del Usuario: Tipo de acceso: (Permanente/Temporal) 2. INFRAESTRUCTURA DE RED Cuenta de Red: Correo Electrónico: Internet: Acceso carpetas o recursos adicionales: 3. SISTEMAS DE Cuenta de Sistema: Sistema: Sistema: Rol: Rol: Asignación de Roles: Sistema: Sistema: Rol: Rol: Eliminación de Roles: Sistema: Rol: Sistema: Rol: 4. CAMBIOS EN CUENTA DE USUARIO Sistema /Infraestructura: Justificación y Observaciones: 5. OBSERVACIONES 6. APROBACION Nombre: Firma: 26

27 8.2 FOR-PRC-DTI Solicitud Cambio Contraseña 1. DATOS GENERALES DE USUARIO Fecha: (DD/MM/AAAA): / / Nombre y Apellidos del solicitante: Departamento: Puesto: 2. SOLICITUD DE CAMBIO DE CONTRASEÑA A INFRAESTRUCTURA DE RED 3. SOLICITUD DE CAMBIO DE CONTRASEÑA A SISTEMA DE Detalle a continuación el nombre o los nombres de los sistemas de información a los cuales requiere un cambio de contraseña Nombre del sistema: Nombre del sistema: Nombre del sistema: Nombre del sistema: Nombre del sistema: Nombre del sistema: 27