POLÍTICA DE TI CUENTAS DE USUARIOS 1 PROPÓSITOS ALCANCES RESPONSABLES DEL CUMPLIMIENTO INCUMPLIMIENTOS DEFINICIONES...

Transcripción

1 CONTENIDO PRINCIPAL: 1 PROPÓSITOS ALCANCES RESPONSABLES DEL CUMPLIMIENTO INCUMPLIMIENTOS DEFINICIONES NORMAS TIPOS DE CUENTAS CREACIÓN DE CUENTAS ANÓNIMAS O GENÉRICAS EXTERNOS CUENTAS DE ADMINISTRACIÓN MONITOREO DE CUENTAS ANEXOS REFERENCIAS... 8 Página 1 de 8

2 REVISIÓN Nombre Cargo Fecha Firma Andrés Collao P. APROBACIÓN Jefe Depto Operaciones Tecnológicas Nombre Cargo Fecha Firma Cristian Domínguez A. CONTROL DE MODIFICACIONES: SubGerente de Procesos Tecnológicos Revisión Nº Fecha Descripción del cambio Elaborado por 01 Documento Original Andrés Collao Página 2 de 8

3 1 PROPÓSITOS Esta política define las reglas que controlan la creación y mantención de cuentas de usuarios a equipos y sistemas computacionales de Enaex. 2 ALCANCES Esta política se aplica a todos los recursos computacionales de la compañía. Es aplicable a toda a Enaex y filiales, aplica a personas contratadas directamente, honorarios, asesores, consultores, practicantes y otros que accedan por temas laborales a recursos de la compañía. Esta política sigue y se suscribe a las directrices generales del grupo SK. 3 RESPONSABLES DEL CUMPLIMIENTO Todo el personal de la compañía. 4 INCUMPLIMIENTOS Las medidas disciplinarias están descriptas en el Anexo Incumplimientos de las políticas de TI, y forman parte del conjunto de medidas disciplinarias de la compañía. 5 DEFINICIONES Palabra Descripción VPN Virtual Private Network (Red Privada Virtual) Página 3 de 8

4 6 NORMAS Es norma de la compañía los puntos que a continuación se señalan. 6.1 TIPOS DE CUENTAS Las cuentas de usuarios deben usarse apropiadamente bajo los siguientes lineamientos: a) Se reconocen 3 tipos dos cuentas: nivel usuario, nivel externo y nivel administrador. Estos niveles se refieren a accesos a redes, sistemas y otros dispositivos. b) En el nivel de cuentas de usuarios, se definen los privilegios y accesos. Su función es establecer perfiles propios para cada cargo funcional, los que serán usados como perfil por omisión si no se especifican otras características. c) A nivel de administrador, se definen los privilegios y accesos sólo a personal técnico calificado y que cumplen las funciones de soporte y administración. 6.2 CREACIÓN DE Las cuentas de usuarios deben cumplir con lo siguiente: a) Los usuarios deben identificarse en su computador y en la red interna con un identificador de cuenta único. b) Toda cuenta de usuario de red y correo electrónico debe ser creado por el Departamento de Operaciones Tecnológicas, a modo de garantizar su unicidad. c) La creación de cuentas de red y correo electrónico debe regirse de acuerdo a los procedimientos que defina el Departamento de Operaciones Tecnológicas. d) La creación de cuentas de sistemas informáticos deben regirse de acuerdo a los procedimientos que defina cada unidad dueña o responsable de dicho sistema. e) El Departamento de Operaciones Tecnológicas debe velar por el almacenamiento y actualización de la información asociada a las cuentas de usuarios de red y correo electrónico de la compañía. f) La nomenclatura para cuentas de usuarios de red y correo electrónico debe cumplir con un estándar definido por el Departamento de Operaciones Tecnológicas. g) En caso de la incorporación de personas de la compañía o se requiera la creación de una cuenta de usuario para consultores, asesores, practicantes u otras personas se deberá aplicar el procedimiento Alta/Baja Cuenta de Red/Correo/SAP. Página 4 de 8

5 h) En caso de la desvinculación de personas de la compañía o se produzca el término de relación con consultores, asesores, practicantes u otras personas se deberá aplicar el procedimiento Alta/Baja Cuenta de Red/Correo/SAP. 6.3 Para toda cuenta de usuario asignada, el colaborador debe tener presente: a) La cuenta es individual e intransferible y su dueño será responsable de mantener la confidencialidad de la contraseña de la cuenta, de hacer uso adecuado de la misma y de responder sobre todas las actividades que ocurran bajo su cuenta o contraseña. b) Sólo podrá utilizar la infraestructura de la red de datos institucional para aquellos servicios que se le haya concedido acceso y únicamente para el desarrollo de actividades relacionadas con su función. Esta cuenta es de uso exclusivo y no debe ser compartida. c) No utilizará los recursos de la red de datos institucional, para anunciar, enviar por correo electrónico o por cualquier otro medio de transmisión electrónica, contenidos ilegales o confidenciales, pornografía, anuncios no autorizados, materiales promocionales y mensajes que contengan virus que pongan en riesgo los bienes informáticos y datos institucionales. d) Cualquier material y/o datos bajados o de otra manera obtenidos mediante el uso del servicio, sin contar con las protecciones recomendadas, es riesgo para él y la Institución, y que será exclusivamente responsable de cualquier daño al sistema o pérdida de datos que pueda resultar de recibir tal material y/o datos. e) Resguardo de su clave: Mantener en forma confidencial las contraseñas Evitar mantener un registro escrito de la contraseña, a menos que se encuentre en un lugar muy seguro. Escoger una contraseña con un mínimo de 6 caracteres, fáciles de recordar, pero difíciles de suponer. No utilizar nombres de hijos, fechas de nacimientos, números telefónicos, etc. Cambiar periódicamente las contraseñas y no volver a utilizar una antigua. 6.4 CUENTAS ANÓNIMAS O GENÉRICAS a) No se deben utilizar cuentas de usuarios anónimas o con nombres genéricos para usuarios de red, correo o VPN. b) No se deben utilizar cuentas de usuarios anónimas o con nombres genéricos para acceso a sistemas informáticas, a menos que el responsable o dueño del sistema así lo autorice. Página 5 de 8

6 6.5 EXTERNOS Los siguientes puntos aplican a cuentas de usuarios externos de Enaex como: honorarios, asesores, consultores, practicantes y otros. Para los servicios de red, correo electrónico y vpn. a) La solicitud de cuenta debe ser formal y puede ser solicitada por: Jefe del departamento o unidad de Enaex que se hará responsable de dicha cuenta, así como de los recursos que acceda. Está solicitud deberá contar con la autorización de un Gerente/ SubGerente o Superintendente Gerencia de Personas, cuando sean alumnos en práctica, pasantes o memoristas. b) Para la creación de cuenta externa se debe indicar fecha de inicio y expiración (término) de la misma, las cuales son fechas obligatorias. c) Cuenta de usuario externo debe indicar su condición de externo en algún atributo, descripción, nombre o identificador. d) El departamento de Operaciones Tecnológicas revisará periódicamente que las cuentas de usuarios externos sean bloqueadas al cumplir su fecha de expiración. El jefe del departamento o unidad podrá solicitar una prórroga por un tiempo determinado. e) El departamento de Operaciones Tecnológicas revisará periódicamente que las cuentas de usuarios externos expiradas serán borradas y cerradas pasado 30 días desde su fecha de expiración. 6.6 CUENTAS DE ADMINISTRACIÓN a) En caso que aplicaciones requieran de cuentas de Administración para su ejecución, será necesario su individualización y estarán restringidas a su ejecución para que accedan sólo a los recursos que requieran para su adecuada ejecución. Sus contraseñas serán resguardadas por el departamento de Operaciones Tecnológicas. b) Las cuentas de administración que se puedan borran, sin generar incidente de seguridad por funcionalidad del sistema, deben ser borradas. Aquellas cuentas que no puedan ser borradas, será necesario designar una clave robusta, la que será resguardada por el departamento de Operaciones Tecnológicas. c) No se permite la asignación de privilegios de administración a cuentas que no pertenezcan al grupo de administradores. Cualquier excepción debe ser autorizada, por un período fijo, por el Subgerente de Procesos Tecnológicos. Esta autorización temporal debe ser controlada por el departamento de Operaciones Tecnológicas. d) No se utilizarán para fines operativos. Página 6 de 8

7 6.7 BAJA DE CUENTAS a) Instruida la baja de cuenta o cumplida su fecha de expiración, toda cuenta de red y correo será bloqueada por el Departamento de Operaciones Tecnológicas. b) Tras su fecha de bloqueo, se contarán 30 días para que los responsables o jefaturas extraigan cualquier información requerida. Posterior a dicho tiempo las cuentas serán eliminadas. c) La jefatura o responsable, de la cuenta dada de baja, tendrá la facultad de solicitar la prórroga de la eliminación de cuenta por 30 días, cuyo máximo es de 2 períodos adicionales. d) Es responsabilidad de la jefatura entregar equipamiento solicitado para el uso laboral de la o las personas dadas de baja. Estos equipos deberán ser enviados al Departamento de Operaciones Tecnológicas para su revisión y re-asignación. e) Es responsabilidad de la jefatura solicitar o indicar al Departamento de Operaciones Tecnológicos los accesos a la información de la compañía que pudiera estar almacenad en equipos computacionales, así como, tomar los respaldos correspondientes. f) Correos electrónicos no podrán ser respaldados o dar acceso a su visualización sin el consentimiento escrito de la persona dueña de la cuenta de correo. g) En caso que el Departamento de Operaciones Tecnológicas deba respaldar información personal de persona dada de baja presente en equipos computacionales, esto se realizará y alojará en un servidor por un período máximo de 90 días. Tras lo anterior, esta información será eliminada del servidor. 6.8 MONITOREO DE CUENTAS El departamento de operaciones tecnológicas para las cuentas de red, correo electrónico y vpn debe: a) Periódicamente auditar las cuentas existentes, para chequear que sólo se encuentren aquellas que debidamente autorizadas. b) Toda cuenta que no haya sido utiliza en los últimos 90 días corridos debe bloquearse y se deben iniciar los procesos de autorización necesarios para darla de baja definitivamente. Excepción a esto son cuentas de usuario de faenas mineras o que no cuenten con acceso recurrente a red, correo electrónico o vpn provista por la compañía. Página 7 de 8

8 7 ANEXOS N/A 8 REFERENCIAS Procedimiento Alta/Baja Cuenta de Red/Correo/SAP Página 8 de 8