POLÍTICA DE SEGURIDAD PARA LA IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS P03

Transcripción

1 POLÍTICA DE SEGURIDAD PARA LA IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS P03 Este documento explicará las medidas a ser tomadas en cuenta en el uso y protección de la identificación y contraseña de los funcionarios, ingresar en los servicios de tecnologías de información y comunicaciones de la institución manteniendo una ejecución segura de sus actividades. También sirve de guía al personal del Departamento de Informática respecto a la administración de las cuentas de los funcionarios en los sistemas. VERSION Nº 1 ELABORADO POR REVISADO POR 1.0 Juan Carlos Palacios Servicio Enc. Seguridad de Salud Información Maule Comité Seguridad Información Página 1 de 8

2 CONTROL DEL DOCUMENTO Ver Fecha Creación Autor Fecha Revisión Revisado por Fecha de Aprob. Aprobado por /09/13 Enc. Seg. Inf. Comité Seg. Información Comentarios Clasificación: Uso Interno Archivo fuente: politicaidentificacionautenticacionusuarios-p03v1.docx Archivo dist.: políticaidentificacionautenticacionusuarios-p03v1.pdf Sitio web difusión: Contacto: Encargado Seguridad de la Información Correo institucional: Fono: Página 2 de 8

3 OBJETIVOS Proteger la identificación (nombre de usuario y clave) de los funcionarios del SSM. Informar a los funcionarios del uso aceptable y prohibido de la identificación que se le entrega. Prevenir, identificar, detectar y corregir problemas relacionados con la identificación de los funcionarios del SSM. Evitar problemas relacionados con la suplantación de identidades en el uso de la información sensible del SSM. ALCANCE Las políticas mencionadas en el presente documento cubren el uso apropiado de las credenciales entregadas a los funcionarios del SSM y terceros operando en función del SSM que hacen uso de sus recursos de tecnologías de información y comunicaciones. ROLES Y RESPONSABILIDADES 1.0 Usuarios o Cada miembro del SSM tendrá asignada una cuenta de usuario y contraseña, para acceder a los recursos y activos de información de la institución, asumirá la responsabilidad de la correcta utilización de estas, tomando en cuenta que son personales e intransferibles. o Informarse y cumplir las reglas emitidas por esta política. o En caso de violación la persona puede ser sujeta a acciones disciplinarias determinadas por el Departamento de Gestión de las Personas y Asesoría Jurídica. Representante del Comité de Seguridad de la Información o Autorizar la asignación de privilegios de administración de cuentas a perfiles que no pertenecen al grupo de administradores. o Autorizar la asignación de credenciales (nombre de usuario y clave) a terceros operando en función del SSM cuando corresponda. o Revisar las herramientas de monitoreo detectando eventos que puedan indicar incidentes de seguridad con las cuentas de los usuarios. Página 3 de 8

4 o Incluir en el análisis de riesgo informático las herramientas de almacenamiento de credenciales para en conjunto con el Departamento de Informática, aplicar controles que minimicen el riesgo. o Validar los procedimientos de implementación de las políticas relativas a Seguridad de la Información, incluyendo actividades de control de acceso acorde a lo estipulado en los procedimientos establecidos, tales como: Registro de usuarios. Administración de privilegios. Administración de contraseñas. Utilización de servicios de red. Registro de eventos. Departamento de Informática o Actuar en forma coordinada con el Departamento de Gestión de las Personas, para la oportuna administración de cuentas de usuario en todos los sistemas y aplicaciones, que necesite el perfil del funcionario para el desempeño de sus labores. o Realizar el adecuado registro de la información asociada en dichas cuentas. o Establecer mecanismos de información para permitir a los usuarios supervisar la actividad normal de su cuenta, así como alertarlos oportunamente sobre actividades inusuales. o Gestionar la actividad administrativa de las cuentas de los usuarios y su mantenimiento. o Monitorear adecuadamente los sistemas de almacenamiento de credenciales para prevenir, detectar y corregir cualquier ataque o problema que pueda surgir, levantando e informando el incidente respectivo al superior inmediato y enviando una notificación al correo seguridad@ssmaule.cl. o Aportar cualquier información en el análisis de riesgo informático de los sistemas que mantienen las credenciales de los usuarios. Jefe de Departamento o Superior Inmediato o Solicitar, autorizar o rechazar formalmente al Departamento de Informática, cada vez que sea necesario realizar alguna creación, modificación o eliminación en el perfil de privilegios de acceso para una cuenta de usuario de su dependencia. o Revisar y confirmar periódicamente los derechos/eventos de acceso. Se debe llevar a cabo la comparación periódica entre los recursos y los registros de las cuentas para reducir el riesgo de errores, fraudes y/o alteración no autorizada o accidental. o Evaluar los riesgos a los cuales se expone la información con el objeto de determinar los controles de acceso, autenticación y utilización a implementar en cada caso. Página 4 de 8

5 o Comunicar cualquier actividad sospechosa que le informe un supervisado o del supervisado al correo seguridad@ssmaule.cl o contactando directamente a la Mesa de Ayuda por el Fono o al correo informatica@ssmaule.cl. Departamento de RRHH o Actuar en forma coordinada con el Departamento de Informática, para sincronizar altas, bajas y traslados del personal del SSM, de modo tal que se puedan mantener actualizadas las correspondientes cuentas de usuario. o Ser la fuente oficial que certifique los datos de identidad de todo el personal de la institución, así como la información relativa a su área de trabajo, cargo y perfil, dependiendo de la descripción del trabajo. o Incluir en la documentación de contratación firma de acuerdos de confidencialidad para el caso de funcionarios que manejen información sensible clasificada, según Política de Seguridad para la Clasificación de la Información. o Aportar insumos para el procedimiento de creación/eliminación (baja) de cuentas de usuarios. REGLAS Uso aceptable o Para poder tener acceso a cualquier recurso en la red o dispositivos del SSM, cada usuario debe ser identificado mediante un nombre de usuario o cuenta de usuario y su contraseña o clave. o El largo y configuración de la contraseña debe verificarse en el momento de su creación o modificación para cualquier funcionario, debe ser sencillo para el usuario poder crearla, modificarla o cambiarla. o Todos los usuarios deben cambiar la contraseña con una frecuencia de ocho (8) meses, solicitado por la herramienta que contiene las credenciales de los usuarios. o La contraseña debe cambiarse al momento de entregar las credenciales al funcionario, cumpliendo con las características mencionadas en esta política. o Es posible solicitar cambio de contraseña por olvido o compromiso a través de la Mesa de Ayuda, en caso de compromiso se debe abrir un caso como incidente de seguridad (ver Política de Seguridad para el Manejo de Incidentes). o Para prevenir ingresos por medio de múltiples intentos (conocido como fuerza bruta) se limita la aceptación hasta cinco (5) ingresos consecutivos, en caso que no se coloque Página 5 de 8

6 1.0 la contraseña correcta el usuario quedará bloqueado. Para recuperar la contraseña es necesario llamar al Mesa de Ayuda y abrir un caso (incidente). o En dispositivos compartidos, cada funcionario debe cerrar su sesión para poder dar paso a la actividad de otro funcionario con sus propias credenciales. Uso prohibido o Está prohibido usar credenciales de otras personas o facilitarlas a un tercero. o Queda absolutamente prohibido anotar las contraseñas o claves en lugares de fácil visibilidad y acceso, recuerde esta debe ser secreta y Ud. tiene responsabilidad por mantenerla. En caso de encontrar contraseñas en lugares de fácil acceso se deberá notificar a la cuenta seguridad@ssmaule.cl para tomar las acciones pertinentes (incluyendo notificación a RRHH). Consideraciones generales en la implementación (Departamento Informática) o Consideraciones en la administración de contraseñas La configuración de la contraseña de los funcionarios debe incluir al menos una letra mayúscula, una letra minúscula, al menos un carácter especial y al menos un número, formando el conjunto al menos ocho (8) caracteres. Para todos los usuarios, el sistema o la aplicación debe solicitar cambio de contraseña con una periodicidad de ocho (8) meses. Las contraseñas no deben ser reutilizadas ( y bajo ningún concepto deben estar escritas en texto plano (incluyendo código de las aplicaciones). Se debe establecer un mecanismo seguro para entregar la primera contraseña y que el funcionario coloque inmediatamente una de su preferencia. Se debe privilegiar el uso centralizado de cuentas de usuario y contraseñas, en caso de no ser posible validar en conjunto con Seguridad de la Información el procedimiento de administración de cuentas en dispositivos/sistemas administrados por el Departamento de Informática y el procedimiento de administración de cuentas en sistemas/dispositivos administrados por terceros. o Consideraciones para las cuentas de administración y operaciones de la plataforma tecnológica: La configuración de la contraseña de los funcionarios pertenecientes a algún perfil de administración del Departamento de Informática debe incluir al menos una letra mayúscula, al menos un carácter especial y al menos un número, formando al menos doce (12) caracteres. Las contraseñas de administración de dispositivos deben ser guardadas en sobres cerrados, en un lugar protegido y deben ser sincronizados (sobre/contraseñas digitales) para cumplir con la presente política. Página 6 de 8

7 Las contraseñas de funcionarios con permisos de administración deben cambiar la contraseña periódicamente a cada seis (6) meses. Los mensajes de ingreso a los sistemas (aplicaciones, sistemas operativos, switches, routers, etc.) no deben entregar información adicional (datos de la institución, versiones, o configuración) hasta que el ingreso haya sido autorizado. Todos los dispositivos/estaciones de trabajo, deben solicitar nombre de usuario y contraseña de ingreso al iniciar la actividad del funcionario y protector de pantalla al dejar desatendido el equipo. Todas las aplicaciones corporativas deben tener un tiempo de expiración de sesión. Todos los dispositivos que formen parte de la infraestructura del SSM (switches, routers, firewalls, redes inalámbricas, etc.) deben tener usuarios y claves diferentes al que vienen por defecto con el dispositivo y deben cumplir con la presente política (validar con informática). Si algún dispositivo no permite contraseña, se debe deshabilitar la administración remota permitiendo su acceso sólo en forma directa mientras se busca solución al tema el cual debe ser reportado. Página 7 de 8

8 GLOSARIO DE TERMINOS Cuenta: método usado para hacer ilegible un texto a través de codificación y el uso de llaves, haciendo el método inverso para obtener de nuevo el texto legible. Nombre de usuario: Contraseña: conjunto de caracteres alfanuméricos usado para permitir acceso, generalmente son de carácter individual. Compromiso de contraseña: cualquier sospecha o actividad que recaiga sobre la contraseña o clave, que pueda indicar que su conocimiento ya no es individual. Página 8 de 8