PROCEDIMIENTO DE CREACIÓN Y ELIMINACIÓN DE USUARIOS CONTENIDO

Transcripción

1 Página 1 de 10 CONTENIDO 1 OBJETIVO DESTINATARIOS GLOSARIO REFERENCIAS GENERALIDADES DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES CREACIÓN DE USUARIOS Solicitud de Creación de Cuenta de Usuario Validación de Condiciones para la Creación de Cuenta de Usuario Configuración de Cuenta de Usuario Notificar al Responsable de Área Solicitante CANCELACIÓN DE USUARIOS Solicitud de Cancelación de Cuenta de Usuario Validación de Condiciones para la Cancelación de Cuenta de Usuario Cancelación de Cuenta de Usuario Notificar al Responsable de Área Solicitante DIAGRAMA DE FLUJO DOCUMENTOS RELACIONADOS Elaborado por: Nombre: John Edward Molano Hernández Cargo: Coordinador Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática Fecha: Revisado y Aprobado por: Nombre: Oscar Javier Asprilla Cruz Cargo: Jefe Oficina de Tecnología Fecha: Aprobación Metodológica por: Nombre: Giselle Johanna Castelblanco Muñoz Cargo: Representante de la Dirección para el sistema de Gestión de Calidad Fecha: Firma: (Original firmado) Firma: (Original firmado) Firma: (Original firmado) Cualquier copia impresa, electrónica o de reproducción de este documento sin la marca de agua o el sello de control de documentos, se constituye en copia no controlada. SC01-F02 Vr2 ( )

2 Página 2 de 10 1 OBJETIVO Definir las actividades y responsabilidades para planificar y controlar el acceso de los usuarios autorizados, evitar el acceso de usuarios no autorizados a los sistemas de información o de un acceso de teletrabajo de la Entidad y asegurar que se da cumplimiento a los lineamientos del documento GS02-M01 Manual General del SGSI - Política del SGSI de la OTI y a la Política de Control de Acceso especificada en el documento GS02- M02 Manual de Políticas - Sistema de Gestión de Seguridad de la Información - SGSI. 2 DESTINATARIOS Este procedimiento aplica para el Coordinador del Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática, o quien él delegue, quien recibe las solicitudes de creación o eliminación de cuentas de usuario y se encarga de su ejecución de acuerdo al procedimiento descrito en este documento. Este procedimiento también aplica para el Oficial de Seguridad de la Información, o quien él delegue, quien valida las condiciones para la creación o eliminación de una cuenta de usuario. 3 GLOSARIO Active Directory: Servicio de directorio propio de los sistemas operativos Windows Server, que brinda funciones de autenticación y autorización de usuarios en un contexto de red de equipos. Correo electrónico: o en inglés (electronic mail), es un servicio de red que permite a los usuarios enviar y recibir mensajes rápidamente (también denominados mensajes electrónicos o cartas electrónicas) mediante sistemas de comunicación electrónicos. Principalmente se usa este nombre para denominar al sistema que provee este servicio en Internet, mediante el protocolo SMTP, aunque por extensión también puede verse aplicado a sistemas análogos que usen otras tecnologías. Por medio de mensajes de correo electrónico se puede enviar, no solamente texto, sino todo tipo de documentos digitales. Su eficiencia, conveniencia y bajo costo están logrando que el correo electrónico desplace al correo ordinario para muchos usos habituales. Cuenta de usuario genérica: Cuenta de usuario que no refleja ningún tipo de personalización u asociación a la persona que la usa y por lo tanto no permite una fácil identificación del usuario. Ejemplos de este tipo de cuenta son: admin, administrator y user. Equipo de cómputo: Elemento electrónico que procesa y almacena información. Firewall: Es un elemento utilizado en redes de computadores para controlar las comunicaciones, permitiéndolas o prohibiéndolas. Proxy: En el contexto de las redes informáticas, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Por ejemplo un proxy web server, quien se encarga de atender solicitudes de usuarios que quieren acceder a un servidor web de una organización y quien valida que dichas solicitudes cumplan con unos requisitos de seguridad definidos.

3 Página 3 de 10 Software (SW): Término genérico que se aplica a los componentes no físicos de un sistema informático, como por ejemplo los programas, sistemas operativos, etc., que permiten a éste ejecutar sus tareas. Usuario: Persona que desempeña una labor determinada dentro de la Entidad. Web: Es un sistema de documentos de hipertexto y/o hipermedias enlazados y accesibles a través de Internet. con un navegador Web, un usuario visualiza páginas web que pueden contener texto, imágenes, vídeos u otros contenidos multimedia, y navega a través de ellas usando hiperenlaces. SIGLAS : Coordinador Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática OSI: Oficial de Seguridad de la Información 4 REFERENCIAS Jerarquía de la norma NTC-ISO- IEC Numero/Fecha Título Artículo 2013 Tecnología de la Información. Técnicas de Seguridad. Código de Práctica para la Gestión de la Seguridad de la Información. Aplicación total Aplicación Específica Aplicación total 5 GENERALIDADES La gestión de cuentas de usuario y niveles de privilegio es fundamental para preservar la confidencialidad, disponibilidad e integridad de activos de información, por ello se deben seguir un conjunto de pasos que garanticen la correcta adjudicación de permisos y que faciliten la auditoria global de los usuarios. La identificación de los usuarios a través de sistemas de autenticación permitirán la identificación y aplicación de no repudio en las actividades diarias de la OTI, además de controlar los niveles de acceso a recursos informáticos. El procedimiento de Creación y Eliminación de Usuarios, implica el diligenciamiento del Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario por cada usuario para el cual se haga la solicitud y por cada solicitud relacionada (de creación o cancelación), por lo tanto no se permite incluir solicitudes de dos usuarios distintos a través del mismo formato. 6 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES 6.1 CREACIÓN DE USUARIOS

4 Página 4 de Solicitud de Creación de Cuenta de Usuario Objetivo: Recibir formalmente un requerimiento de creación de cuentas de usuario con la información mínima requerida para iniciar el flujo de actividades. El Coordinador del Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática, o quien él delegue, recibe vía la solicitud de creación de usuarios del Grupo de Trabajo de Talento Humano o de Responsable de Área solicitante diligenciando el Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario, en el cual se indica entre otros los siguientes campos del funcionario para el cual se solicita la creación de cuenta de acceso: 1) nombre del funcionario, 2) Número de Identificación 3) Rol que desempeñará, 3) Niveles de acceso solicitados 4) Duración de la validez de la cuenta. Los niveles de acceso solicitados generalmente vienen determinados por la asignación de un usuario a una dependencia (correspondiente a un Grupo de Active Directory), de tal forma que los niveles de acceso del grupo se heredan a los usuarios que llegan a formar parte del mismo. En el formulario GS02- Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario se listan los sistemas para los cuales normalmente todos los funcionarios requieren acceso en la entidad y se cuenta con espacio adicional para registrar otros sistemas específicos. El Coordinador del Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática, o quien él delegue, deberá validar que el Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario se encuentra diligenciado correctamente y reenviar (reenvío del de la solicitud con el formato GS02- Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario adjunto) dicha solicitud al Oficial de Seguridad de la Información Validación de Condiciones para la Creación de Cuenta de Usuario Objetivo: Garantizar una correcta asignación de privilegios y niveles de acceso a los usuarios, que permitan la realización de sus labores sin vulnerar la seguridad de la información. El Oficial de Seguridad de la Información, o quien él delegue, recibe el Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario y se encarga de validar la solicitud siguiendo los lineamientos de la Política de Control de Acceso referida en el documento GS02-M02 - Manual de Políticas - Sistema de Gestión Seguridad de la Información SGSI. Los lineamientos a considerar son los siguientes: 1. Cada usuario de un sistema de información puede disponer de una identificación única (ID). Sólo se permiten identificadores de grupo cuando se justifican por razones operativas y bajo aprobación por parte del Oficial de Seguridad de la Información. Por ningún motivo se deben crear cuentas de usuario genéricas. 2. El otorgamiento de un determinado nivel de acceso a un usuario o aplicativo en un sistema de información debe ser autorizado previamente por el/los dueños de los procesos, o quien él delegue, a los cuales pertenecen los datos gestionados por los sistemas de información a los que se solicita acceso, siempre partiendo del concepto de que se debe autorizar el mínimo nivel de privilegios necesarios para la realización de las funciones del usuario o el funcionamiento del aplicativo. Para

5 Página 5 de 10 eso, el Oficial de Seguridad enviará vía correo electrónico la solicitud de creación de usuario a los dueños de procesos respectivos, o a quien él delegue, y estos deberán registrar la aprobación o rechazo de creación de la cuenta en el formato GS02- Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario, dando una justificación en caso de no aprobación y finalmente reenviar dicho formato diligenciado vía correo electrónico al Oficial de Seguridad de la Información. 3. No se permiten cuentas redundantes de usuarios. 4. Se debe conservar la separación de funciones. Después de validar que la solicitud de creación de cuenta de usuario no vulnera los lineamientos de la Política de Control de Acceso, el Oficial de Seguridad de la Información, o quien él delegue, aprueba y reenvía la solicitud (reenvío del de la solicitud con el formato GS02- Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario adjunto) vía correo electrónico, al Coordinador del Grupo de trabajo de Infraestructura Tecnológica y Seguridad Informática o a quien él delegue, para continuar con el procedimiento de creación de cuenta de usuario. En caso de que se vulnere algún lineamiento de la Política de Control de Acceso, el Oficial de Seguridad de la Información, o quien él delegue, debe registrar en el Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario, las razones para no crear la cuenta de usuario y reenviar (reenvío del de la solicitud con el formato GS02- Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario adjunto) la respuesta a la solicitud vía correo electrónico al Responsable de Área solicitante Configuración de Cuenta de Usuario Objetivo: Crear la cuenta de usuario de acuerdo a las detalles de la solicitud que fueron requeridos y aprobados previamente. delegue, debe realizar la creación de cuentas de usuario, la asignación de una contraseña y la asignación de privilegios de acuerdo al documento Instructivo para la creación de cuentas de usuario que aplique, por ejemplo: documento GS01-I13 Instructivo para la Creación de Cuentas de Usuario en el Directorio Activo y el Correo Electrónico. La contraseña de la cuenta de usuario se debe configurar de acuerdo con la política de contraseñas referida en el documento GS02-M02 Manual de Políticas - Sistema de Gestión de Seguridad de la Información SGSI. De acuerdo a la solicitud que fue hecha por cada Responsable de Área, y aprobada por los dueños del proceso y el Oficial de Seguridad de la Información, el Coordinador del Grupo de trabajo de Infraestructura Tecnológica y Seguridad Informática, o quien él delegue, debe asignar al nuevo usuario los privilegios y permisos; y de igual forma, restringir los accesos a la información que no le compete.

6 Página 6 de Notificar al Responsable de Área Solicitante Objetivo: Informar el resultado de la solicitud al Responsable de Área solicitante y terminar formalmente el flujo de actividades. delegue, debe notificar al Responsable de Área solicitante, vía , el resultado de la solicitud (reenvío del de la solicitud con el formato GS02- Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario adjunto). 6.2 CANCELACIÓN DE USUARIOS Solicitud de Cancelación de Cuenta de Usuario Objetivo: Recibir formalmente un requerimiento de cancelación de cuentas de usuario con la información mínima requerida para iniciar el flujo de actividades. delegue, recibe vía la solicitud de cancelación de usuario del área de Recursos Humanos o del Responsable del Área al que pertenece el usuario para el cual se quiere cancelar la cuenta, quien diligencia y remite el Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario, en el cual se indica entre otros los siguientes campos del funcionario para el cual se cancelará la cuenta de acceso: 1) Nombre, 2) Número de Identificación 3) Rol que desempeña, 3) Niveles de acceso retirados y 4) Tiempo de cancelación de la cuenta. delegue, deberá validar que el Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario se encuentra diligenciado correctamente y reenviar dicha solicitud (reenvío del de la solicitud con el formato GS02- Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario adjunto) al Oficial de Seguridad de la Información Validación de Condiciones para la Cancelación de Cuenta de Usuario Objetivo: Garantizar una correcta destitución de privilegios y niveles de acceso de los usuarios, sin vulnerar la seguridad de la información. El Oficial de Seguridad de la Información, o quien él delegue, recibe el Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario y se encarga de validar la solicitud siguiendo los lineamientos de la Política de Control de Acceso referida en el documento GS02-M02 Manual de Políticas - Sistema de Gestión de Seguridad de la Información - SGSI. Los lineamientos a considerar son los siguientes:

7 Página 7 de Se debe conservar la separación de funciones. La separación de funciones en este caso hace referencia a la validación que hace el Oficial de Seguridad de la Información, o quien él delegue, para garantizar que una acción de alto riesgo no queda a cargo de una única persona. Si se determina que la solicitud de cancelación de cuenta de usuario provocaría una situación donde no se respeta la separación de funciones, se debe informar al Responsable de Área, por medio del Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario y vía correo electrónico, sobre esta razón para no cancelar la cuenta de usuario, requiriéndole que genere una nueva solicitud de cancelación de cuenta de usuario por medio del Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario indicando una cuenta de usuario existente sobre la cual se asignarán los privilegios que se retiren de la cuenta de usuario a cancelar. Después de validar que la solicitud de cancelación de cuenta de usuario no vulnera los lineamientos de la Política de Control de Acceso, el Oficial de Seguridad de la Información, o quien él delegue, puede aprobar la solicitud y reenviar la misma (reenvío del de la solicitud con el formato GS02- Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario adjunto) vía correo electrónico, al Coordinador del Grupo de trabajo de Infraestructura Tecnológica y Seguridad Informática o a quien él delegue, para continuar con el procedimiento de cancelación de cuenta de usuario Cancelación de Cuenta de Usuario Objetivo: Cancelar la cuenta de usuario de acuerdo a las detalles de la solicitud que fueron requeridos y aprobados previamente. delegue, debe realizar la cancelación de cuentas de usuario, la revocación de la contraseña y la destitución de privilegios (incluidas las solicitudes de revocación de cuentas de usuario de teletrabajo (VPN)) de acuerdo al documento para la creación y cancelación de cuentas de usuario que aplique, por ejemplo: Instructivo para la Creación y Cancelación de Cuentas de Usuario en el Directorio Activo y el Correo Electrónico Notificar al Responsable de Área Solicitante Objetivo: Informar del resultado de la solicitud al Responsable de Área solicitante y terminar formalmente el flujo de actividades. delegue, debe notificar al Responsable de Área solicitante, vía , del resultado de la solicitud (reenvío del de la solicitud con el formato adjunto GS02- Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario).

8 Página 8 de 10 7 DIAGRAMA DE FLUJO INICIO Recibe una solicitud de creación de cuenta de usuario del Grupo de Trabajo del Talento Humano o un responsable de área OSI, Responsable Procesos Valida las condiciones para la creación de cuenta a usuario y asigna los privilegios de acuerdo con la política de control de acceso Se cumplen condiciones (mínimo nivel de privilegios y único ID usuario, etc)? No OSI Envía notificación al responsable del área solicitante indicando los motivos para no crear la cuenta (copia al ) SI OSI Aprueba solicitud e informa al A Configura (Usuario, contraseña y privilegios) de cuenta de usuario en el sistema solicitado (dominio, correo electrónico, sistemas de información) Envía notificación al responsable de área solicitante (copia al OSI) A FIN

9 Página 9 de 10 INICIO Recibe una solicitud de cancelación de cuenta de usuario del Grupo de Trabajo del Talento Humano o un responsable de área OSI Valida las condiciones para la cancelación de la cuenta a usuario OSI Se cumplen condiciones (separación de funciones)? No Envía notificación al responsable del área solicitante indicando los motivos para no cancelar la cuenta (copia al ) SI OSI Aprueba solicitud e informa al A Cancela cuenta de usuario (Dominio, correo electrónico, sistemas de información) Envía notificación al responsable de área solicitante (copia al OSI) A FIN

10 Página 10 de 10 8 DOCUMENTOS RELACIONADOS GS02-M01 GS02- GS01- I13 Manual General del SGSI - Política del SGSI de la OTI Formato de Solicitud de Creación y Cancelación de Cuentas de Usuario Instructivo para la Creación y Cancelación de Cuentas de Usuario en el Directorio Activo y el Correo Electrónico