Política de Control de Acceso CAPUAL. Hoja 1 / 5

Transcripción

1 Política de Control de Acceso CAPUAL Hoja 1 / 5

2 I.- OBJETIVO La presente política tiene como objetivo: Proporcionar seguridad razonable con respecto a la integridad y seguridad de los sistemas y recursos de información de CAPUAL, a través de un adecuado manejo y mantenimiento de las cuentas del usuario y los derechos y privilegios asociados con ellas, para acceder a los servidores, aplicaciones, bases de datos y datos. II.- ALCANCES Y LIMITACIONES Esta política aplica a todos los sistemas de CAPUAL, incluyendo sin limitar a las aplicaciones comerciales, bases de datos, aplicaciones desarrolladas internamente, equipos, instalaciones, sistemas, y redes que la organización posea en la actualidad o en el futuro, de manera que la no inclusión explícita en el presente documento, no constituye argumento para no proteger los activos de información que se encuentren en otras formas. II.-POLITICA 1. Los empleados que tienen acceso a visualizar información clasificada de cierto nivel de sensibilidad, no están autorizados para acceder a toda información del mismo nivel de clasificación o de niveles inferiores. 2. Los empleados no deben trasladar información clasificada en cierto nivel de sensibilidad a niveles inferiores de clasificación, a menos que se encuentren en procesos formales de desclasificación. 3. Todos los requerimientos de información de la organización que incluyan, sin limitar, comunicados públicos, declaraciones, cuestionarios, encuestas o entrevistas periodísticas, deben ser referidos a Relaciones públicas de CAPUAL. 4. Se deben establecer procedimientos formales para el registro y eliminación de usuarios, de modo de garantizar que se otorguen y quiten accesos a los sistemas y servicios de información, en consistencia con los niveles de autorización de los usuarios. 5. Se deben revisar los derechos de acceso otorgados a los usuarios regularmente a través de procedimientos formales. 6. Los empleados de la organización no deben utilizar herramientas para obtener información de la red, como detección de puertos, servicios y archivos en general en los sistemas de información de la organización. Hoja 2 / 5

3 7. El acceso físico y lógico a la configuración de puertos de manera remota debe ser controlado. Se deben establecer métodos apropiados de autenticación para los usuarios que utilicen accesos remotos. 8. Para los accesos a sistemas se deben establecer procedimientos de autenticación seguros, de modo de minimizar la oportunidad de accesos no autorizados. 9. Se debe definir para cada usuario un único nombre de usuario. 10. Todos los usuarios deben ser positivamente identificados antes de usar sistemas de información multiusuarios. 11. Los empleados no deben utilizar ninguna estructura de contraseña que resulte predecible o fácil de adivinar, esto incluye sin limitar, a contraseñas en blanco, palabras que aparezcan en diccionarios, secuencias comunes de caracteres y datos personales. 12. Las contraseñas fijas no deben ser almacenadas en archivos de ejecución por lotes, scripts automáticos, macros de software, computadoras de control de acceso o en otros medios donde personas no autorizadas pueden conocerlas. 13. Las contraseñas no deben ser escritas o almacenadas en lugares visibles o cerca de los sistemas a los cuales permiten el acceso. 14. Todos los empleados de la organización que tengan acceso a algún sistema, deben dejar siempre sus equipos bloqueados o con protector de pantalla con contraseña, en caso de no estar en su lugar de trabajo. 15. Si los empleados tienen que dejar sus computadores personales encendidos y conectados a la red fuera de horario de oficina, estos equipos deben contar con sistemas de seguridad aprobados. 16. Las sesiones que se encuentren inactivas serán desconectadas después de un periodo de inactividad. 17. La habilidad para ejecutar transacciones de negocio en representación de la organización debe estar sujeta al uso de una identificación individual en los sistemas de información y a una identificación positiva de ésta. 18. El acceso a información de Uso Interno o Confidencial, puede ser otorgado de manera individual o ser otorgado a grupos de usuarios. 19. Las actividades de usuarios sensibles que afectan la producción de sistemas de información, deben ser reconstruíbles desde registros de transacciones. 20. Las herramientas de monitoreo u observación de actividades computacionales deben ser usadas con una notificación a los usuarios involucrados, a excepción de una investigación de actividades criminales. Hoja 3 / 5

4 21. Los mensajes enviados por el sistema electrónico de correos de la organización sólo pueden ser leídos bajo los requerimientos establecidos en la normativa legal, en caso de persecución criminal o administrativa. 22. Todos los dispositivos móviles como notebooks y PDA s entre otros, que contienen información sensible de la Organización, deben considerar protección o encriptación de disco duro y archivos. 23. Antes de otorgar los permisos de trabajo remoto a empleados de la organización, se debe firmar un acuerdo de confidencialidad que proteja la información sensible de la organización. Hoja 4 / 5

5 Control Documental Nombre del Documento: HISTORIA DEL DOCUMENTO POL 0600 Control de Acceso Creado por: Soluciones Orión Responsable del Documento: Carolina Balboa Adasme Aprobado por: Gerencia General/Comité de Seguridad de la Información Fecha de Creación: 01/09/2009 Versi ón Fecha de Vigencia /03/2010 CONTROL DE VERSIONES Aprobación Gerencia General / Comité de Seguridad de la Información Comentario Creación del documento. versión. Primera (*) La presente versión substituye completamente a todas las precedentes, de manera que éste sea el único documento válido de entre todos los de la serie. *** Fin del Documento *** Hoja 5 / 5