DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO

Transcripción

1 DIRECTRICES DE LA GESTIÓN DE Dirección de Contraloría Interna DGU Vigente a partir del 25/04/2016

2 Propiedad del Banco Nacional de Obras y Servicios Públicos, S.N.C. Av. Javier Barros Sierra No. 515 Col. Lomas de Santa Fe, Ciudad de México, C.P Tel La reproducción total o parcial de este documento podrá efectuarse mediante la autorización expresa de la Dirección de Contraloría Interna, otorgándole el crédito correspondiente. Dirección de Contraloría Interna DGU Vigente a partir del 25/04/2016

3 Hoja de autorización Elaboró Israel Rojas Luna Subgerente de Seguridad de la 2 Rúbrica Revisó Julio Cesar Carrasco Ruiz Gerente de Cómputo Rúbrica Juan Carlos Rodríguez Rodríguez Gerente de Seguridad de la Rúbrica Aprobó José Luis Cummings Ibarra Director de Contraloría Interna Página 1 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

4 Sección de control de cambios Revisión Página (s) modificada (s) Descripción del cambio Se Agregaron las Directrices de Gestion de Cuentas de adminsitracion de infraestructura Institucional Se agregaron los diagramas de proceso y descriptiva de la gestión de cuentas a infraestructura institucionales Se Adjuntan dos anexos: Formato Responsiva de Acceso a Infraestructuras Catálogo de Aplicaciones Actualizacion de lineamiento de la cuenta de usuario y de la Contraseña Fecha de emisión 28/06/ //06/ /06/ /07/2016 Página 2 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

5 Contenido Hoja de autorización 1 Sección I. Visión General 4 I.1. Objetivo 4 I.2. Alcance 4 I.4. Marco jurídico y normativo 5 I.5. Instancias de autorización 5 I.6. Definiciones y términos 5 Sección II. Directrices 6 Sección III. Lineamientos 12 Sección IV. Procedimientos 13 Sección V. Anexos 19 Página 3 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

6 I.1. Objetivo Sección I. Visión General Las presentes Directrices tienen como propósito contribuir a la implementación del Sistema de Gestión de Seguridad de la (SGSI), mediante los controles de seguridad de la información; que deben establecerse, generando políticas, lineamientos y procedimientos para la Gestión de Cuentas de Usuario: alta, baja, renovación y/o cambio de accesos en las aplicaciones o Activos de de BANOBRAS; esto, con el fin de preservar la confidencialidad, integridad y disponibilidad de la información generada por dichos aplicativos. Adicionalmente, el contenido de este documento, da cumplimiento a lo establecido en la normatividad vigente, con relación a la seguridad de la información. I.2. Alcance Estas Directrices aplican a todo el personal interno y externo, que por necesidades de negocio/laborales, requieran contar con acceso a las aplicaciones o a las infraestructuras institucionales, para realizar actividades relacionadas a su función dentro de BANOBRAS. I.3. Responsabilidades respecto al documento Responsable Director de Contraloría Interna Gerente de Cómputo Responsabilidad Autorizar estas Directrices del proceso de Gestión de Cuentas de Usuarios. Proponer mejoras en apego a los Objetivos y Lineamientos del Sistema de Control Interno. Proponer mejoras. Gerente de Seguridad de la Subgerente de Seguridad de la 2 Personal facultado de las áreas involucradas Coordinar la actualización del presente documento cuando se requiera o derivado de: Modificaciones al marco jurídico y normativo aplicable; Observaciones y/o recomendaciones por parte de las instancias de supervisión y fiscalización, así como de las autoridades competentes; Cambios en la estructura organizacional de BANOBRAS y mejora del proceso de calidad regulatoria. Gestionar la publicación de este documento en la Normateca. Enviar a guarda y custodia el documento. Elaborar la Directriz del proceso de Gestión de Usuarios. Proponer y coordinar las mejoras. Aplicar estas Directrices del proceso de Gestión de Usuarios. Proponer y ejecutar las mejoras. Página 4 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

7 I.4. Marco jurídico y normativo A continuación se señalan los ordenamientos jurídicos, en que se sustentan las políticas y procedimientos de estas Directrices, en la inteligencia de que es una referencia efectuada de manera enunciativa más no limitativa: Manual de Políticas Generales de Seguridad de la ; inciso 5. MAAGTICSI, Proceso de la Administración de la Seguridad de la (Administración de Seguridad de la ); proceso ASI 6. Circular Única de Bancos (CUB); artículo 166; anexo 52. Objetivos y Lineamientos del Sistema de Control Interno de BANOBRAS; sección, III.1.5. Guía para la Emisión de la Normativa Interna. I.5. Instancias de autorización El presente documento debe ser autorizado por el Director de Contraloría Interna, de conformidad con la Guía para la Emisión de la Normativa Interna. I.6. Definiciones y términos Perfil: conjunto de requisitos y cualificaciones requeridos para el cumplimiento satisfactorio de las tareas del usuario. Rol: papel que desempeña un individuo o un grupo en una actividad determinada. Cuenta de usuario: es el identificador asignado al usuario para su acceso a los aplicativos institucionales o infraestructura institucional. Usuario: Es toda persona que presta sus servicios dentro de BANOBRAS y que requiere acceso a los aplicativos institucionales. Usuario con privilegios altos: Es toda persona facultada y autorizada para el mantenimiento, configuración y soporte dentro de la infraestructura institucional de BANOBRAS. Cuenta de usuario genérica: es un identificador para el acceso a los aplicativos que no corresponde a una persona en particular. Ticket de atención: es el número asignado por la Mesa de Servicios BANOBRAS para la atención de alguna solicitud. Inhabilitación de cuenta de usuario: Es el mecanismo que se ejecuta para que un usuario no pueda tener acceso a los aplicativos institucionales. Cambio en cuenta de usuario: solicitud de cambio de identificador de usuario (user-id) o contraseña, así como la solicitud de cambio de perfil. Página 5 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

8 Infraestructura Institucional: Son los aplicativos, bases de datos, servidores, sistemas operativos, software institucional, equipos de cómputo, equipos de comunicaciones que soportan la operación diaria en BANOBRAS. Gerencia de Seguridad de : responsable de la gestión de accesos y resguardo de formatos de solicitud; asimismo dar visto bueno de las solicitudes generadas por el usuario solicitante. Administrador Operativo de la Aplicación Institucional: es el responsable de la definición del perfilamiento y las actividades del proceso de negocio, dentro del aplicativo. Administrador de la Infraestructura Institucional: es el responsable del mantenimiento operativo de los activos de información que soportan los aplicativos institucionales. Área Usuaria: es aquella Gerencia o un nivel superior que requiere la inhabilitación de una cuenta de usuario correspondiente a una persona que dejará de laborar en la Institución. II.1. Generales Sección II. Directrices 1. El acceso de los usuarios a la Infraestructura institucional y/o aplicativos institucionales de Banobras, debe ser mediante un identificador de usuario único y su contraseña, los cuales deben ser de uso personal e intransferible 2. Las políticas de sesión, bloqueo, desbloqueo, inactividad y contraseña de las cuentas de usuario deberán ser similares a las configuradas en el directorio activo de Banobras. 3. Los usuarios deben tener acceso sólo a lo correspondiente al perfil/rol requerido. 4. Toda cuenta de usuario genérico o para personal externa debe estar asociada al menos a una personal que labore en Banobras, con nivel mínimo de Subgerencia. 5. El nivel mínimo de autorización en los procesos de alta, baja y/o cambio, debe de ser de Gerencia. 6. La Gerencia Seguridad de la, debe ser la única instancia facultada para gestionar la ejecución de las actividades de alta, baja, cambios y monitoreo de usuarios; así como el resguardo de la documentación generada. 7. La solicitud de altas, bajas y/o cambios de cuenta de usuarios a la Infraestructura institucional y/o aplicativos institucionales de Banobras debe hacerse a través de formatos correspondientes disponibles en la Intranet: (FOR-01-SAAI) Solicitud de acceso para Aplicativos Institucionales. (FOR-01-RAII) Responsiva de acceso para Infraestructuras Institucionales. Página 6 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

9 8. El nombre y firma del usuario solicitante y final de los formatos a solicitar, deben ser los mismos que la de su credencial Institucional. 9. Todo solicitud de accesos lógico, será uso exclusivo del personal de Tecnologías de la y Comunicaciones, el cual será asignado mediante el formato. 10. Todos los accesos lógicos serán gestionados a través de la Mesa de Servicios de Banobras, previamente equidistado. 11. Los formatos deberán contar con el visto bueno, y serán resguardados por la Gerencia de Seguridad de la. 12. El usuario solicitante debe ser quien tramite y obtenga las autorizaciones necesarias para la solicitud de alta, baja o cambio de cuenta de usuario y quien realice la entrega del formato original a la Gerencia de Seguridad de la. 13. El usuario debe entregar en la Mesa de Servicios BANOBRAS la copia de los formatos solicitud de acceso a la Infraestructura institucional y/o aplicativos institucionales de Banobras con la validación y visto bueno de la Gerencia de Seguridad de la. 14. Para usuarios de las Delegaciones Estatales, su trámite se realizará de forma electrónica, utilizando el correo electrónico institucional. 15. Para la autorización de aplicaciones a usuarios de las Delegaciones Estatales, es necesario solicitar el visto bueno correspondiente, vía correo electrónico institucional del administrador operativo del aplicativo. 16. Una vez que los usuarios de las Delegaciones Estatales cuenten con el correo de la autorización por el administrador operativo del aplicativo institucional, se deberá adjuntar con en el formato FOR-01-SAAI previamente requisitado y enviarlo por correo a la Gerencia de Seguridad de la. 17. La Gerencia de Seguridad de la responsable del control de accesos, solicitará el formato original a los usuarios solicitantes para la gestión de su solicitud. 18. La Mesa de Servicios BANOBRAS, únicamente debe dar trámite a las cuentas de usuario que muestren la validación y el visto bueno de la Gerencia de Seguridad de la. 19. La Gerencia de Cómputo, debe garantizar que para la captura de datos (dependiendo la solicitud) está completa conforme a datos requisitados. 20. La Mesa de Servicios BANOBRAS, debe contar con la evidencia de la ejecución de lo solicitado. 21. La Gerencia de Seguridad de la, debe estar notificada al cierre de la solicitud, una vez que se cuente con la evidencia de la atención a lo solicitado en los formatos FOR-01-SAAI y FOR-01-RAII. Página 7 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

10 II.2. Del procedimiento de alta 1. El usuario debe contar con los servicios básicos de Tecnologías de, como usuario de red, equipo de cómputo y correo electrónico de BANOBRAS antes de realizar la solicitud del alta de cuenta de usuario. 2. El Administrador Operativo de la Aplicación Institucional debe autorizar el acceso mediante nombre y firma en el formato FOR-01-SAAI. 3. El usuario debe presentar la credencial institucional a la Gerencia de Seguridad de la al entregar el formato FOR-01-SAAI y/o FOR-01-RAII, debidamente requisitado para su validación. 4. El Administrador de la Infraestructura Institucional, debe autorizar el acceso con su nombre y firma en el formato FOR-01-RAII. 5. El perfilamiento debe ser conforme a los perfiles/roles definidos en la aplicación solicitada por el responsable del proceso de negocio. 6. El perfilamiento dentro de la Infraestructura Institucional debe ser conforme a los perfiles/roles definidos dentro de la tecnología a utilizar y el responsable de cada Infraestructura de Tecnologías de la y Comunicaciones. II.3. Del procedimiento de inhabilitación 1. La inactividad de una cuenta de usuario en un periodo mayor a 3 meses, debe ser causa de inhabilitación. 2. La cuenta de usuario será inactactiva después de tres intentos fallidos. 3. Si a través de los procedimientos de validación de accesos o monitoreo, se detecta que las actividades de un usuario comprometen la integridad, confidencialidad y/o disponibilidad de la información, será motivo de inhabilitación de su cuenta. 4. La solicitud de una inhabilitación inmediata de cuenta de usuario debe realizarse mínimo a nivel Gerencia, mediante correo electrónico a la Gerencia de Seguridad de la. 5. En el caso de una baja laboral de una persona, el jefe inmediato con nivel mínimo de Gerencia, podrá solicitar vía correo electrónico a la Gerencia de Seguridad de la, la inhabilitación de la(s) cuenta(s) de usuario asignadas a esa persona. Página 8 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

11 II.4. Del procedimiento de habilitación 1. La habilitación de cuentas de usuario se deberá solicitar a través de Mesa de Servicio Banobras. II.5. Del procedimiento de cambio 1. Los cambios de área o promociones del personal, deben ser notificados por el área de Recursos Humanos y/o jefe inmediato, a la Gerencia de Seguridad de la. 2. Los cambios o solicitudes de nuevos perfiles, deberán ser definidos y gestionados a través de una solicitud de mejora de sistema; esta debe ser autorizada por el Administrador Operativo del Aplicativo y ejecutado por el Administrador del Aplicativo con el visto bueno de la Gerencia de Seguridad de la Informacion. 3. El perfil o rol solicitado debe ser conforme a lo definido en el aplicativo. II.6. Del procedimiento de renovación de accesos a infraestructura Institucional 1. El procedimiento de renovación de acceso aplica sólo para el personal de la Dirección de Tecnologías de la información y comunicaciones, el cual, se llevará a cabo una vez al año, mediante el formato FOR-01-RAII. II.7. De la cuenta de usuario 1. La cuenta de usuario debe estar formada por 8 posiciones, conformadas por la primera letra del nombre + apellido paterno + primera letra de apellido materno. 2. En caso de concurrencia, la cuenta de usuario a 8 posiciones debe conformarse por la primera letra de nombre + apellido paterno + identificador número de concurrencia logrando el identificador a 8 posiciones. 3. En caso de concurrencias mayores a 9, para formar la cuenta de usuario a 8 posiciones se debe eliminar letras finales del apellido colocando el número de identificador de concurrencia. 4. En caso de no tener apellido materno, para formar la cuenta de usuario, se debe colocar: primera letra de nombre + apellido paterno + número de concurrencia para completar las 8 posiciones. 5. En caso de primera concurrencia la cuenta de usuario se debe formar con la primera letra de nombre + apellido paterno + consecutivo a dos dígitos indicando el número de concurrencia. 6. En caso de tener apellido paterno muy largo la cuenta de usuario se debe forma con la primera letra de nombre + apellido paterno a 7 posiciones. Página 9 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

12 7. En caso concurrencia, la cuenta de usuario se debe forma con la primera letra de nombre + apellido paterno + consecutivo a dos dígitos indicando el número de concurrencia. 8. En caso de tener apellido paterno muy corto, la cuenta se debe forma con la primera letra de nombre + apellido paterno + número de indicador de concurrencia para completar 8 posiciones. 9. En caso concurrencia, la cuenta de usuario se debe forma con la primera letra de nombre + apellido paterno + indicador de concurrencia. 10. Para cualquier alta de usuario en las aplicaciones o Infraestructuras se deberá respetar el Id user generado en el directorio activo Banobras. 11. Para todos los aplicativos y activos de información de Banobras, que utilicen al menos una cuenta de usuario deberán contar con las siguientes lineamientos configurables para el control de acceso: Bloqueo de cuentas al tercer de intento fallidos de acceso a sistemas informáticos Almacenamiento de un historial de 12 contraseñas de acceso a los sistemas Cambio obligatorio de contraseña al acceder por primera vez a los sistemas Desconexión por tiempo 300 segundos de inactividad de los sistemas No utilizar sesiones múltiples o simultaneas / concurrentes de los sistemas Debera cambiarse cada 30 dias Que el historial de contraseñas sea guardado de forma cifrada Que no se pueda desbloquear de forma automática Debera contar con una bitácora de intentos fallidos II.8. De la contraseña 1. La contraseña asociada a la cuenta de usuario, debe cumplir con los siguientes criterios: a. Debe contener al menos 8 caracteres. b. Debe contener al menos un carácter alfanumérico y un carácter especial (_, -, /, *, $,,, =, +, etc.), de forma no consecutiva. Por ejemplo: s3cr?tbr. c. No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc. d. No debe tener como base un nombre propio, por ejemplo: gato2016. e. No debe estar relacionada con números telefónicos o fechas de nacimiento, por ejemplo: hola1979, a f. No debe ser basada en información personal, nombres de familia, etc. Página 10 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

13 g. Deberá cambiarse cada 45 días. h. Las contraseñas no debe contener más de dos caracteres idénticos consecutivos. i. No debe ser un palíndromo, por ejemplo: agasaja. 2. Todas las contraseñas deben ser tratadas con carácter confidencial. 3. Si alguna contraseña es detectada y catalogada como no segura, debe darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña. 4. Para las contraseñas de las cuentas de usuario con altos privilegios en los activos de información Institucionales,deberán cumplir como minimo los siguientes criterios. a) Debe contener al menos 12 caracteres: Al menos una Letra Mayuscula Al menos una Letra Minuscula Almenos un carecter numérico Al menos un caractere no-alfanuméricos (por ejemplo:!, $, #, %,., etc ) b) Debera cambiarse cada 30 dias c) Que no pueda restablecer o cambiar password despues 3 dias de haberlo actualizado. d) Que el historial de contraseñas se guardado de forma cifrada e) Que no se pueda desbloquear de forma automática f) Debera contar con una bitácora de intentos fallidos Página 11 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

14 III.1. Administrativos Sección III. Lineamientos 1. La Subdirección de Soluciones Tecnológicas, debe mantener actualizado el Catálogo de Firmas de Administradores Operativos de Aplicativos Institucionales. 2. El área de Recursos Humanos debe actualizar y mantener disponible la información de las plantillas del personal activo que labora en la Institución. 3. El área de Recursos Humanos, debe notificar al área responsable de la Gestión de Accesos, los movimientos de personal (altas, bajas y cambios) de forma periódica (15 días). 4. La información válida para la creación de cuentas de usuario dentro de un aplicativo, sólo debe ser la especificada dentro del formato FOR-01-SAAI o del Directorio Activo. 5. La información válida para la creación de cuentas de usuario dentro de las Infraestructuras Institucionales, sólo debe ser la especificada dentro del formato FOR-01- RAII. 6. La Subgerencia de Computo Central deberá actualizar el listado de usuarios con privilegios de administrador en las Infraestructuras Institucionales. 7. La Subgerencia de Computo Central Institucional deberá contar con mecanismos de monitoreo para las cuentas de usuario en las Infraestructuras Institucionales. Página 12 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

15 Sección IV. Procedimientos IV.1. Diagrama de flujo del procedimiento de alta de cuenta de usuario Entrada FOR-01-SAAI Inicio A Usuario Solicitante 1. Descarga de la Intranet el formato Gerencia de Seguridad de la 6. Firma formato y entrega copia al usuario y resguarda documentación Administrador Operativo de la Aplicación Institucional 2. Verifica firmas en el formato y valida perfil Usuario Solicitante 7. Solicita ejecución del alta a Mesa de Servicios BANOBRAS La verificación y validación son satisfactorias? No Mesa de Servicios BANOBRAS 8. Recibe solicitud y verifica firma Sí Administrador Operativo de la Aplicación Institucional 3. Firma y entrega formato No La verificación es satisfactoria? Sí Mesa de Servicios BANOBRAS Usuario Solicitante 9. Ejecuta la acción solicitada y Notifica el cierre de Ticket 4. Entrega formato validado y firmado Gerencia de Seguridad de la 5. Valida información y firmas del formato Fin Salida Cuenta de usuario y contraseña No La validación es satisfactoria? Sí A Página 13 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

16 IV.2. Descripción de actividades del proceso de alta de cuenta de usuario Responsable Paso Actividad Documento de trabajo 1.0 Descarga de la Intranet el formato. Descarga de la Intranet el formato, lo requisita conforme Usuario 1.1 al instructivo de llenado y lo entrega al Administrador solicitante Operativo del aplicativo para su validación. FOR-01-SAAI Administrador Operativo de la Aplicación Institucional Usuario solicitante Gerencia de Seguridad de la Usuario solicitante Mesa de Servicios BANOBRAS 2.0 Verifica firmas en el formato y valida perfil. Verifica que el formato cuente con las firmas del usuario solicitante y jefe inmediato y valida que el perfil/rol 2.1 solicitado sea el adecuado para el desempeño de sus funciones. 2.2 La verificación y validación son satisfactorias? Si, continúa actividad 3.0 No, repite actividad Firma y entrega formato. Valida formato con nombre y firma, y lo entrega al usuario 3.1 para continuar con el proceso. 4.0 Entrega formato validado y firmado. Entrega formato validado y firmado por el Administrador 4.1 Operativo (FOR-01-SAAI) a la Gerencia de Seguridad de la, para su validación. FOR-01-SAAI FOR-01-SAAI FOR-01-SAAI 5.0 Valida información y firmas del formato. Valida la(s) firma(s) del/los administrador(es) del/los FOR-01-SAAI 5.1 aplicativo(s) con el Catálogo de Firmas y que el formato Catálogo de Firmas esté debidamente requisitado. La validación es satisfactoria? 5.2 Si, continúa actividad 6.0 No, repite actividad Firma formato, entraga copia al usuario y resguarda documentación. Valida con nombre y firma el formato, entrega copia del formato al usuario y resguarda la documentación generada. 7.0 Solicita ejecución del alta. Solicita ejecución del alta a Mesa de Servicios 7.1 BANOBRAS, con la copia del formato validado por la Gerencia de Seguridad de la. 8.0 Recibe solicitud y verifica firma. Recibe solicitud y verifica la firma de la Gerencia de 8.1 Seguridad de la en la copia del formato con el Catálogo de Firmas. La verificación es satisfactoria? 8.2 Si, continúa actividad 9.0 No, repite actividad Ejecuta la acción solicitada Ejecuta el alta conforme a lo solicitado en el formato, envía identificador de usuario y entrega contraseña al usuario. Nota: el tiempo de ejecución de esta actividad será de una hora por aplicativo. Notifica y manda evidencia (capturas de pantalla), de la ejecución del alta a la Gerencia de Seguridad de la. Fin del procedimiento FOR-01-SAAI Copia de FOR-01- SAAI Copia del FOR-01- SAAI Copia del FOR-01- SAAI Correo electrónico con notificación y evidencia Tiempo Página 14 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

17 IV.3. Diagrama de flujo del proceso de inhabilitación de cuenta de usuario Inicio Recursos Humanos / Área Usuaria 1. Envía solicitud Gerencia de Seguridad de la 2. Recibe y valida solicitud No La solicitud es válida? Sí Gerencia de Seguridad de la 3. Solicita inhabilitación de cuenta Gerencia de Cómputo 4. Inhabilita cuenta, notifica, realiza y envía reporte de accesos Gerencia de Seguridad de la 5. Recibe reporte de accesos por aplicativo y notificación de inhabilitación de cuenta Salida Cuenta de usuario y contraseña inhabilitadas Fin Página 15 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

18 IV.4. Descripción de actividades del proceso de inhabilitación de cuenta de usuario Responsable Paso Actividad Documento de Trabajo Tiempo Recursos Humanos o Área Usuaria Gerencia de Seguridad de la Gerencia de Cómputo Gerencia de Seguridad de la 1.0 Envía solicitud. 1.1 Envía solicitud de inhabilitación de cuenta de usuario al área responsable de la Gestión de Accesos, vía correo electrónico o mediante el formato requisitado conforme al instructivo. Formatos de Acceso (FOR-01-SAAI o Correo electrónico 2.0 Recibe y valida solicitud. 2.1 Recibe solicitud de inhabilitación de cuenta de usuario FOR-01-SAAI o Correo (formato/correo). electrónico 2.2 FOR-01-SAAI o Correo Valida solicitud de inhabilitación de cuenta de usuario, electrónico, verificando que el área usuaria corresponda al área de Estructura Organizacional los usuarios a inhabilitar. de BANOBRAS 2.3 La solicitud es válida? Si, continúa actividad 3.0. No, repite actividad Solicita inhabilitación de cuenta. 3.1 Solicita a la Gerencia de Cómputo, la inhabilitación de la Copia del FOR-01-SAAI cuenta de usuario para suspender su uso. o Correo electrónico 3.2 Solicita Reporte de los accesos por aplicativo de las cuentas a inhabilitar. Inhabilita cuenta, notifica, realiza y envía reporte de accesos. Ejecuta Inhabilitación de la cuenta de usuario indicada en la solicitud y notifica al área responsable de la Gestión de Accesos, anexando evidencia de la ejecución. Genera reporte de accesos por aplicativo, del usuario a inhabilitar. Envía reporte de accesos por cuenta de usuario a inhabilitar. Copia del FOR-01-SAAI o Correo electrónico, Correo electrónico con notificación Correo electrónico Correo electrónico Reporte de accesos del usuario por aplicativo. 5.0 Recibe reporte de accesos por aplicativo y notificación de inhabilitación de cuenta. 5.1 Recibe reporte de accesos del/los usuarios a inhabilitar, por aplicativo. Correo electrónico 5.2 Recibe notificación de inhabilitación de usuarios. Correo electrónico Página 16 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

19 IV.5. Diagrama de flujo del proceso de cambio en cuenta de usuario. Entrada FOR-01-SAAI Inicio A Usuario Solicitante 1. Descarga, requisita y entrega formato Gerencia de Seguridad de la 6. Firma formato, entrega copia al usuario y resguarda documentación Administrador Operativo de la Aplicación Institucional 2. Verifica firmas en el formato y valida perfil Usuario Solicitante 7. Solicita ejecución del cambio La verificación y validación son satisfactorias? No Mesa de Servicios BANOBRAS 8. Recibe solicitud y verifica firma Sí Administrador Operativo de la Aplicación Institucional 3. Firma y entrega formato No La verificación es satisfactoria? Sí Mesa de Servicio BANOBRAS Usuario Solicitante 9. Ejecuta el cambio solicitado y Notifica 4. Entrega formato validado y firmado Mesa de Servicios BANOBRAS Gerencia de Seguridad de la 5. Valida información y firmas del formato 10. Cierra ticket Fin No La validación de firmas es satisfactoria? Salida Cuenta de usuario modificada(a) Sí A Página 17 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

20 IV.6. Descripción de actividades del proceso de cambio en cuenta de usuario Responsable Paso Actividad Documento de trabajo Tiempo Usuario solicitante Administrador Operativo de la Aplicación Institucional Usuario solicitante Gerencia de Seguridad de la Usuario solicitante Mesa de Servicios BANOBRAS Mesa de Servicios BANOBRAS 1.0 Descarga, requisita y entrega formato. 1.1 Descarga de la Intranet el formato, lo requisita conforme al Formatos de Acceso instructivo y lo entrega al Administrador Operativo del Aplicativo (FOR-01-SAAI para su validación. 2.0 Verifica firmas en el formato y valido perfil. Verifica que el formato cuente con las firmas del usuario 2.1 solicitante y jefe inmediato y valido que el perfil/rol solicitado FOR-01-SAAI sea el adecuado para el desempeño de sus funciones. La verificación y validación son satisfactorias? 2.2 Si, continúa actividad 3.0. No, repite actividad Firma y entrega formato. 3.1 Valida formato con nombre y firma el formato y lo entrega al usuario para continuar con el proceso. FOR-01-SAAI 4.0 Entrega formato validado y firmado Entrega formato validado y firmado por el Administrador 4.1 Operativo del Aplicativo al área responsable de la Gestión de FOR-01-SAAI Accesos, para su validación. 5.0 Valida información y firmas del formato. 5.1 Valida las firmas del formato con el Catálogo de Firmas y que FOR-01-SAAI el formato esté requisitado conforme al instructivo. Catálogo de Firmas La validación de firmas es satisfactoria? 5.2 Si, continúa actividad 6.0. No, repite actividad Firma formato, entrega copia al usuario y resguarda documentación. 6.1 Valida con nombre y firma el formato, entrega copia al usuario y resguarda documentación generada. FOR-01-SAAI 7.0 Solicita ejecución del cambio. Solicita la ejecución del cambio a Mesa de Servicios 7.1 BANOBRAS con lo especificado en la copia del formato Copia de FOR-01-SAAI validado. 8.0 Recibe solicitud y verifica firma. 8.1 Recibe solicitud y verifica la firma del área responsable de la Copia de FOR-01-SAAI Gestión de Accesos en la copia del formato con el Catálogo de Catálogo de Firmas Firmas. La verificación es satisfactoria? 8.2 Si, continúa actividad 9.0. No, repite actividad Ejecuta el cambio solicitado. 9.1 Ejecuta el cambio conforme a lo solicitado en el formato. Copia de FOR-01-SAAI Nota: el tiempo de ejecución de esta actividad será de una y/o FOR-01-RAII hora por aplicativo. Notifica y manda evidencia de la ejecución del cambio Correo electrónico con 9.2 (capturas de pantalla) a la Gerencia de Seguridad de la notificación y evidencia. (Capturas de Pantalla) 11.0 Cierra ticket. Página 18 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

21 IV.7. Diagrama de flujo del procedimiento de alta de cuenta de usuario con altos privilegios en la Infraestructura Institucional FOR-01-RAII Inicio A Usuario Solicitante 1.Solicita formato Gerencia de Seguridad de la 6. Firma formato y entrega copia al usuario y resguarda documentación Administrador de la Infraestructura Institucional 2. Verifica firmas en el formato y valida solicitud Usuario Solicitante 7. Solicita ejecución del alta a Mesa de Servicios BANOBRAS La verificación y validación son satisfactorias? No Mesa de Servicios BANOBRAS 8. Recibe solicitud y verifica firma Sí Administrador de la Infraestructura Institucional 3. Firma y entrega formato No La verificación es satisfactoria? Sí Administrador de la Infraestructura Institucional Usuario Solicitante 9. Ejecuta la acción solicitada y Notifica 4. Entrega formato validado y firmado Gerencia de Seguridad de la Mesa de Servicios BANOBRAS 5. Valida información y firmas del formato 10. Recibe Vo. Bo. y cierra ticket No La validación es satisfactoria? Fin Salida Cuenta de usuario y contraseña Sí A Página 19 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

22 IV.8. Descripción de actividades del proceso de alta de cuenta de usuario con altos privilegios en Infraestructura Institucional. Responsable Paso Actividad Documento de trabajo 1.0 Descarga de la Intranet el formato. Solicita el formato a la Gerencia de Computo, lo requisita conforme Usuario FOR al instructivo de llenado y lo entrega al Administrador dela solicitante RAII Infraestructura Institucional para su validación. 2.0 Verifica firmas en el formato y valida acceso. 2.1 Verifica que el formato cuente con las firmas del usuario solicitante y FOR-01-RAII jefe inmediato y valida que el acceso solicitado sea el adecuado. Administrador La verificación y validación son satisfactorias? Infraestructura 2.2 Si, continúa actividad 3.0 Institucional No, repite actividad Firma y entrega formato. 3.1 Valida formato con nombre y firma, y lo entrega al usuario para continuar con el proceso. 4.0 Entrega formato validado y firmado. Usuario solicitante Gerencia de Seguridad de la Usuario solicitante Mesa de Servicios BANOBRAS Administrador Infraestructura Institucional Mesa de Servicios BANOBRAS Entrega formato validado y firmado por el Administrador Operativo del Aplicativo Institucional a la Gerencia de Seguridad de la 4.1 FOR-01-RAII responsable de la gestión de accesos, para su validación y visto bueno. 5.0 Valida información y firmas del formato. Valida la(s) firma(s) del/los administrador(es) del/los aplicativo(s) con 5.1 el Catálogo de Firmas y que el formato esté debidamente Catálogo de requisitado. Firmas 5.2 La validación es satisfactoria? Si, continúa actividad 6.0 No, repite actividad Firma formato, entrega copia al usuario y resguarda documentación. 6.1 Valida con nombre y firma el formato, entrega copia del formato al FOR-01-RAII usuario y resguarda la documentación generada. 7.0 Solicita ejecución del alta. 7.1 Solicita ejecución del alta a Mesa de Servicios BANOBRAS, con la Copia del copia del formato validado por el área responsable de la Gestión de FOR-01-RAII Accesos. 8.0 Recibe solicitud y verifica firma. 8.1 Recibe solicitud y verifica la firma del área responsable de la Gestión de Accesos en la copia del formato con el Catálogo de Firmas. La verificación es satisfactoria? 8.2 Si, continúa actividad 9.0 No, repite actividad 5.0 Tiempo 9.0 Ejecuta la acción solicitada Ejecuta el alta conforme a lo solicitado en el formato, envía Correo identificador de usuario y entrega contraseña al usuario. electrónico. con notificación y Notifica y manda evidencia de la ejecución del cambio (capturas de pantalla) a la Gerencia de Seguridad de la. evidencia 10.0 Cierre ticket. Correo Página 20 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

23 IV.9. Diagrama de flujo del proceso de cambio en cuenta de usuario con altos privilegios en la Infraestructura Institucional. FOR-01-RAII Inicio A Usuario Solicitante 1. solicita formato Gerencia de Seguridad de la 6. Firma formato, entrega copia al usuario y resguarda documentación Administrador de la Infraestructura Institucional Usuario Solicitante 2. Verifica firmas en el formato y valida el cambio del acceso 7. Solicita ejecución del cambio La verificación y validación son satisfactorias? No Mesa de Servicios BANOBRAS 8. Recibe solicitud y verifica firma Sí Administrador de la Infraestructura Institucional 3. Firma y entrega formato No La verificación es satisfactoria? Sí Administrador de la Infraestructura Institucional Usuario Solicitante 9. Ejecuta el cambio solicitado y Notifica 4. Entrega formato validado y firmado Gerencia de Seguridad de la 5. Valida información y firmas del formato Mesa de Servicios BANOBRAS 10. Cierra ticket No La validación de firmas es satisfactoria? Fin Salida Cuenta de usuario modificada(a) Sí A Página 21 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

24 IV.10. Descripción de actividades del proceso de cambio en cuenta de usuario con altos privilegios en la Infraestructura Institucional Responsable Paso Actividad Documento de trabajo Tiempo 1.0 Solicita, requisita y entrega formato. Usuario Solicita formato a la Gerencia de Computo, lo requisita conforme solicitante 1.1 al instructivo y lo entrega al Administrador de la Infraestructura FOR-01-RAII para su validación. 2.0 Verifica firmas en el formato y valida perfil. Administrador de la Infraestructura Institucional Usuario solicitante Gerencia de Seguridad de la Usuario solicitante Mesa de Servicios BANOBRAS Administrador de la Infraestructura Institucional Mesa de Servicios BANOBRAS Verifica que el formato cuente con las firmas del usuario 2.1 solicitante y jefe inmediato y valida que el perfil/rol solicitado sean el adecuado para el desempeño de sus funciones. La verificación y validación son satisfactorias? 2.2 Si, continúa actividad 3.0. No, repite actividad Firma y entrega formato. Valida formato con nombre y firma el formato y lo entrega al 3.1 usuario para continuar con el proceso. 4.0 Entrega formato validado y firmado Entrega formato validado y firmado por el Administrador de la 4.1 Infraestructura Institucional y Gerencia de Seguridad de la para para su validación y visto bueno. 5.0 Valida información y firmas del formato. Valida las firmas del formato con el Catálogo de Firmas y que el 5.1 formato esté requisitado conforme al instructivo. La validación de firmas es satisfactoria? 5.2 Si, continúa actividad 6.0. No, repite actividad 1.0. Firma formato, entrega copia al usuario y resguarda 6.0 documentación. Valida con nombre y firma el formato, entrega copia al usuario y 6.1 resguarda documentación original generada. 7.0 Solicita ejecución del cambio. Solicita la ejecución del cambio a Mesa de Servicios BANOBRAS 7.1 con lo especificado en la copia del formato validado. 8.0 Recibe solicitud y verifica firma. Recibe solicitud y verifica la firma del área responsable de la 8.1 Gestión de Accesos en la copia del formato con el Catálogo de Firmas. 8.2 La verificación es satisfactoria? Si, continúa actividad 9.0. No, repite actividad Ejecuta el cambio solicitado. Ejecuta el cambio conforme a lo solicitado en el formato. 9.1 Nota: el tiempo de ejecución de esta actividad será de una hora por aplicativo. 9.2 Notifica y manda evidencia de la ejecución del cambio (capturas de pantalla Cierra ticket. FOR-01-RAII FOR-01-RAII Catálogo de Firmas Copia FOR-01- RAII Correo electrónico con notificación y evidencia Página 22 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

25 IV.11. Diagrama de flujo del proceso de renovación de accesos a usuario con altos privilegios en la Infraestructura Institucional FOR-01-RAII Inicio A Usuario Solicitante 1.Solicita formato para renovación Gerencia de Seguridad de la 6. Firma formato y entrega copia al usuario y resguarda documentación Administrador de la Infraestructura Institucional 2. Verifica firmas en el formato y valida solicitud Usuario Solicitante 7. Solicita renovación La verificación y validación son satisfactorias? No Mesa de Servicios BANOBRAS 8. Recibe solicitud y verifica firma Sí Administrador de la Infraestructura Institucional 3. Firma y entrega formato No La verificación es satisfactoria? Sí Administrador de la Infraestructura Institucional Usuario Solicitante 9. Ejecuta la acción de renovación solicitada y Notifica 4. Entrega formato validado y firmado Gerencia de Seguridad de la Mesa de Servicios BANOBRAS 5. Valida información y firmas del formato 10. Cierra ticket No La validación es satisfactoria? Fin Salida Cuenta de usuario y contraseña Sí A Página 23 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

26 IV.12.Descripción de actividades del proceso de renovación de accesos a usuario con altos privilegios en la Infraestructura Institucional. Responsable Paso Actividad Documento de trabajo 1.0 Descarga de la Intranet el formato. Solicita el formato a la Gerencia de Computo para renovación de Usuario 1.1 acceso, lo requisita conforme al instructivo de llenado y lo entrega al solicitante Administrador dela Infraestructura Institucional para su validación. FOR-01-RAII 2.0 Verifica firmas en el formato y valida acceso. 2.1 Verifica que el formato cuente con las firmas del usuario solicitante y FOR-01-RAII Administrador Infraestructura Institucional Usuario solicitante Gerencia de Seguridad de la Usuario solicitante Mesa de Servicios BANOBRAS Administrador Infraestructura Institucional Mesa de Servicios 2.2 jefe inmediato y valida que el acceso solicitado sea el adecuado. La verificación y validación son satisfactorias? Si, continúa actividad 3.0 No, inicia actividad alta de usuario 3.0 Firma y entrega formato. 3.1 Valida formato con nombre y firma, y lo entrega al usuario para continuar con el proceso. 4.0 Entrega formato validado y firmado. Entrega formato validado y firmado por el Administrador Operativo del 4.1 Aplicativo Institucional a la Gerencia de Seguridad de la responsable de la gestión de accesos, para su validación y visto bueno. 5.0 Valida información y firmas del formato. 5.1 Valida la(s) firma(s) del/los administrador(es) del/los aplicativo(s) con el Catálogo de Firmas y que el formato esté debidamente requisitado. La validación es satisfactoria? 5.2 Si, continúa actividad 6.0 No, repite actividad Firma formato, entrega copia al usuario y resguarda documentación. 6.1 Valida con nombre y firma el formato, entrega copia del formato al usuario y resguarda la documentación generada. 7.0 Solicita ejecución de renovación. Solicita ejecución de renovación a Mesa de Servicios BANOBRAS, 7.1 con la copia del formato validado por el área responsable de la Gestión de Accesos. 8.0 Recibe solicitud y verifica firma. 8.1 Recibe solicitud y verifica la firma del área responsable de la Gestión 8.2 de Accesos en la copia del formato con el Catálogo de Firmas. La verificación es satisfactoria? Si, continúa actividad 9.0 No, repite actividad 5.0 FOR-01-RAII Catálogo de Firmas FOR-01-RAII Copia del FOR- 01-RAII Tiempo 9.0 Ejecuta la acción de renovación solicitada. 9.1 Ejecuta la renovación conforme a lo solicitado en el formato, envía identificador de usuario y entrega contraseña al usuario y notifica a la Gerencia de Seguridad de la. Correo electrónico con notificación y evidencia 10.0 Cierre ticket. Página 24 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

27 Responsable Paso Actividad Documento de trabajo BANOBRAS Fin del Procedimiento Tiempo V.1. Tabla de anexos Sección V. Anexos No. Nombre Pág. 1 Formato Solicitud de Acceso a Aplicaciones Institucionales (FOR-01- SAAI) 2 Formato Responsiva de Acceso a las Infraestructuras Institucionales (FOR-01-RAII) Catálogo de Administradores Operativos de Aplicaciones Institucionales 26 Página 25 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

28 Anexo 1 Formato Solicitud de Acceso a Aplicaciones Institucionales (FOR-01-SAAI) BANCO NACIONAL DE OBRAS Y SERVICIOS PÚBLICOS S.N.C. Solicitud de Acceso a aplicaciones Institucionales (FOR OlSAAI) Hoja 1 de 3 Fecha Elaboracion 20/04/ Datos del Jefe Inmediato del Solicitante Nombre Completo No. Expediente Número de Área Extensión Nombre Área/Empresa #N/A Piso Puesto 2. Datos del Usuario Solicitante Nombre Completo No. Expediente Número de Área Nombre Área/Empresa #N/A Extensión Piso No de Lugar Puesto Tipo de Usuario RFC Login Correo Electrónico 3. Servicios de Aplicaciones Institucionales Tipo de Solicitud Alta Baja Cambio Vigencia del Servicio Permanente Temporal Desde / Hasta Aplicación Permiso + + Aplicación Permiso Limpiar Lista de Aplicación(es) Solicitada(s) 4. Justificación de la Solicitud 5. Especificaciones o Comentarios Adicionales 6. Anotaciones de Mesa de Servicios Banobras Autorizaciones y Firmas SOLICITANTE Jefe Inmediato del Solicitante (Nivel mínimo de Autorización: Gerente) Gerencia de Seguridad de la Administrador Operativo (Solo en caso de acceso a Aplicaciones Institucionales) 7. Firmas de Autorización Nombre Completo Firma Página 26 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

29 BANCO NACIONAL DE OBRAS Y SERVICIOS PÚBLICOS S.N.C. Hoja 2 de 3 Carta Responsiva de Accesos a los Aplicativos de Banobras y de Confidencialidad Fecha de Elaboración 20/04/2016 ANEXO A CARTA RESPONSIVA CARTA RESPONSIVA DE ACCESOS A LOS APLICATIVOS DE BANOBRAS Y DE CONFIDENCIALIDAD Nombre: Cargo: Adscripción: CONFIDENCIAL Presente. En mi carácter de Usuaria(o) designada(o), recibo la cuenta de acceso a los aplicativos institucionales de BANOBRAS y la confidencialidad o de cualquier otra naturaleza que se encuentre contenida en dichos aplicativos. Acepto la total responsabilidad por el uso del sistema, así como de las contraseña(s) que estén asociadas al ID(s) Usuarias(os) y que serán generadas por el suscrito en mi carácter de usuaria(o), y que son únicamente conocidas por el que suscribe, e ignorada por cualquier empleado y funcionario de BANOBRAS, por lo que será mi plena responsabilidad el uso que se le de; toda vez que el ID(s) Usuarias(os), como mi contraseña se considerará como identificador de mi actividad en los aplicativos y acepto y reconozco que es único, personal, confidencial e intransferible y en el caso necesario, para todos los efectos legales a que haya lugar, acepto que mi ID como usuaria(o), sea tomado con los mismos efectos que las leyes otorgan a la firma autógrafa, por lo que seré la/el única(o) responsable de su mal uso y de las consecuencias de ello. Comprometiéndome a guardar estricta confidencialidad de mi ID y/o contraseña e informar de inmediato al área correspondiente, en cuanto tenga conocimiento que mí ID y/o contraseña han sido identificadas por una tercera persona o tenga razones suficientes para considerar que se hace mal uso de ellas. Así mismo, acepto tener conocimiento que queda estrictamente prohibido acceder, copiar, alterar, modificar o destruir la información digitalizada, contenida, transmitida, almacenada, procesada o utilizada en los sistemas, equipos de informática, medios electrónicos o electromagnéticos de BANOBRAS, sin la autorización correspondiente y por escrito de mi superior jerárquico, o de la persona autorizada y me comprometo a tomar todas las medidas que estén a mi alcance para evitar cualquier afectación del servicio de los sistemas o equipos de informática o la prestación de servicios bancarios a través de los sistemas automatizados de la Institución y notificar inmediatamente a la autoridad correspondiente, la acción de cualquier persona tendiente a cualquier afectación. Por lo anterior, la firma del presente documento, sirve como la expresión de mi entera conformidad, y asimismo, BAJO PROTESTA DE DECIR VERDAD, manifiesto que el acceso a los aplicativos institucionales de BANOBRAS y a la Confidencial, de la clientela y de cualquier otra naturaleza contenida en dichos sistemas, solo puede ser usada para los fines del desempeño de mi cargo, puesto, asignación o comisión, de acuerdo a los permisos que le otorguen en mi perfil de usuaria(o), comprometiéndome a guardar estricta confidencialidad dentro y fuera de la institución, respecto de la información a la que tenga acceso con el uso de mi ID y contraseña, responsabilizándome del uso indebido o destino diferente que haga de los aplicativos de institucionales de BANOBRAS y de la Confidencial, así como a los datos a los que tenga acceso, sin perjuicio de las sanciones, civiles, administrativas, laborales y penales, a las que me pudiera hacer acreedor(a), de conformidad con lo establecido tanto en la legislación bancaria y demás normatividad regulatoria aplicable vigente. La obligación estipulada en el presente documento, estará en vigor durante la vigencia del contrato que regule mi relación con BANOBRAS y hasta 5 años posteriores a su terminación por cualquier causa o motivo. Asimismo me doy por notificado para todos los efectos a que haya lugar de la POLÍTICA DE USO DE APLICATIVOS INSTITUCIONALES DE BANOBRAS que se acompaña a esa responsiva como Anexo A. Recibo y Acepto los términos legales Nombre y Firma Página 27 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

30 BANCO NACIONAL DE OBRAS Y SERVICIOS PÚBLICOS S.N.C. Hoja 3 de 3 Política de Uso Aceptable de Aplicativos Institucionales de Banobras Fecha de Elaboración 20/04/2016 ANEXO B POLITICA DE USO ACEPTABLE "POLÍTICA DE USO ACEPTABLE DE APLICATIVOS INSTITUCIONALES DE BANOBRAS Esta política de uso aceptable de BANOBRAS, es provista para brindar a los usuarios y clientes una clara comprensión de lo que la empresa espera de ellos en el uso del servicio. BANOBRAS se reserva el derecho de modificar su política en cualquier momento, siendo obligatorias dichas modificaciones a partir de su publicación. Tiene como objetivo establecer las medidas de índole técnico y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de BANOBRAS. Todo usuario debe de respetar la intimidad, confidencialidad y derechos individuales de los demás usuarios. BANOBRAS se obliga a proporcionar al empleado o proveedor acceso al servicio mediante la asignación de una cuenta o identificador de usuario, así como a una contraseña, las cuales serán personales e intransferibles. El empleado o proveedor será el único responsable del uso que se le dé a su cuenta de usuario y contraseña. Está prohibido al empleado o proveedor, facilitar su cuenta de usuario y contraseña a terceras personas, con la finalidad de utilizar el servicio. Para reforzar la seguridad de la información, el usuario deberá definir su contraseña de acuerdo al procedimiento de la Política de Contraseña. El usuario deberá cuidar, respetar y hacer uso adecuado de los recursos de cómputo y de red de BANOBRAS. El usuario deberá solicitar apoyo al área de Mesa de Servicios BANOBRAS, ante cualquier duda en el manejo de los recursos de cómputo. La Gerencia de Computo y La Gerencia de Seguridad de la Informacion, inhabilitará la cuenta de usuario mediante este formato o por los siguientes casos: 1. Si la cuenta no se está usando con fines institucionales. 2. Si pone en peligro el buen funcionamiento de las Aplicaciones Institucionales. 3. Si se sospecha de algún intruso utilizando una cuenta de usuario ajena. El usuario deberá renovar su contraseña periódicamente con el objetivo de reforzar la seguridad en los equipos de cómputo. RECIBIDO POR EL USUARIO FINAL Nombre y Firma Fecha Página 28 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

31 Anexo 2 Formato FOR-01-RAII Página 29 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

32 Página 30 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

33 Anexo 3 Catálogo de Administradores Operativos de Aplicaciones Institucionales Página 31 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC

34 Página 32 de 23 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC