ESTÁNDAR DE GESTIÓN DE 1 DE 5 1. OBJETO Definir los procesos de gestión del ciclo de vida de los accesos de los usuarios a los sistemas de información y servicios tecnológicos del. 2. ALCANCE Las normas contenidas en el presente estándar aplican a todas las empresas del Grupo Thomas Greg & Sons. 3. POLÍTICA APLICABLE Este estándar complementa la SI-POL-004 Política de Control de Acceso a los Sistemas. 4. DEFINICIONES 4.1 Cuentas de usuario: identificador usado por una persona real para conectarse a un sistema de información o servicio (correo electrónico, SFTP, SSH, VPN, etc.). Tiene asociada una contraseña para autenticación y un conjunto de privilegios que determinan las acciones que tiene permiso de ejecutar. 4.2 Cuenta de acceso grupal: cuenta de acceso compartida entre un grupo de personas. 4.3 Cuenta de Superusuario: son cuentas genéricas de usuarios administradores provistas por los fabricantes de los sistemas o plataformas, con los más altos privilegios sobre las mismas. 4.4 Rol: Es la forma de agrupar privilegios para asignarlos luego a los usuarios. 4.5 Privilegios: conjunto de permisos otorgados a un rol que determinan las acciones autorizadas que ésta puede desempeñar. 4.6 Bloqueo o Cancelación de una cuenta de usuario: se refiere a inhabilitar o eliminar una cuenta de usuario. 4.7 Ausencia Temporal: para efectos de este estándar, se refiere a las ausencias de personal por un tiempo mayor a 5 días hábiles, originado por vacaciones, licencias de cualquier tipo, incapacidades, entre otras. ELABORÓ: Oficiales de Seguridad de la Información REVISÓ: Planeación y Calidad Centro de Servicios Compartidos APROBÓ: Germán Mauricio Serrano Peña Gerente Corporativo de Seguridad
2 DE 5 5. DESCRIPCIÓN DEL ESTÁNDAR 5.1. Creación de Accesos de Usuarios Únicamente los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes) son responsables de solicitar a Tecnología, la creación de cuentas de usuario que un funcionario requiera, mediante los procedimientos vigentes. Tecnología realizará la creación de las cuentas de usuarios considerando: - Utilizar identificadores de usuario únicos, de manera que se pueda identificar a los usuarios por sus acciones evitando la existencia de múltiples perfiles de acceso para un mismo empleado. - Los nombres de las cuentas de usuario deben conformarse por primer nombre, punto y primer apellido (por ej. maria.perez). En caso de presentarse homónimos con otra cuenta creada, se puede utilizar el segundo nombre punto apellido o primer nombre e inicial del segundo nombre punto apellido. Si aun así persiste la situación, se establecerá entre el Jefe Inmediato y Tecnología el usuario a nombrar. - Bajo ninguna razón se asignarán cuentas de usuario existentes a nuevos funcionarios de la organización. No está permitido heredar cuentas de usuario. - El uso de identificadores grupales sólo debe ser permitido cuando sean convenientes para el trabajo a desarrollar debido a razones operativas. - La creación de cuentas de usuario genéricas no está permitidas. En los casos que se requieran puntos de contacto unificados interno o hacia clientes, proveedores o terceros, en donde se requiere mantener un mismo dato de contacto para el manejo de la operación o los servicios, se utilizarán listas de distribución con usuarios nombrados asignados a la misma. En el caso de sistemas de información administrados por terceros, el funcionario definido como contacto oficial del contrato, será el único autorizado para solicitar la creación de cuentas de usuario, de acuerdo con los perfiles de usuario definidos para el servicio.
3 DE 5 5.2. Administración de Roles y Privilegios - Debe otorgarse el mínimo de privilegios que sean suficientes para el desempeño de las labores del propietario de la cuenta de usuario, de acuerdo con la SI-POL- 004 Política de Control de Acceso a los Sistemas y el SI-EST-002 Estándar de Control de Acceso a los Sistemas. - Los Superusuarios de las aplicaciones o sistemas operativos, con roles y privilegios de administración (en cualquier plataforma ejemplo sys, system, root, admin, administrador, sa, etc...) no deberán ser utilizados en las tareas del día a día, sino solo en ocasiones de contingencia y sus contraseñas deberán ser establecidas y protegidas según el SI-EST-005 Estándar de Contraseñas. Cuando se requieran los privilegios de estos usuarios o Superusuarios para acceso a las plataformas, éstos deberán ser asignados a un usuario nombrado específico. - Es responsabilidad del área de Tecnología el mantenimiento de una matriz de roles y privilegios configurados o asignados en los sistemas, de acuerdo al SI-FOR- 008 Matriz de Roles y Privilegios. - Los cambios de adición o retiro de privilegios de acceso son realizados mediante una solicitud formal de los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes), mediante los procedimientos vigentes de Tecnología. - El cambio de cargo de un funcionario dentro de la organización debe tratarse como un retiro y un reingreso, en los cuales sus cuentas de usuario pueden mantenerse de ser necesario, pero todos sus privilegios de acceso deben ser completamente removidos y posteriormente creados. 5.3. Bloqueo o cancelación de cuentas de usuario - Las cuentas de usuario deberán bloquearse luego de 5 intentos fallidos de conexión. - Los Jefes inmediatos son los primeros responsables de informar a Tecnología y Seguridad Física del retiro o ausencias temporales (mayores a 5 días hábiles) de funcionarios, con el fin de que sean inhabilitados inmediatamente sus accesos lógicos y físicos.
4 DE 5 - En el caso de retiro del funcionario, previo reporte del jefe inmediato, Tecnología debe inhabilitar las cuentas de usuario y generar copia de seguridad de la información del funcionario, entregándola al jefe inmediato correspondiente. - En el caso de ausencias temporales por vacaciones, licencias, incapacidades, etc (todas ellas superiores a 5 días hábiles) Tecnología deberá inhabilitar las cuentas de usuario, mismas que serán habilitadas nuevamente con solicitud formal de los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes), mediante los procedimientos vigentes de Tecnología. - Asimismo, el funcionario debe configurar una respuesta automática para el servicio de correo electrónico, especificando a qué cuenta de usuario de la Compañía se debe redireccionar la información. - En los casos en que las solicitudes de bloqueo o cancelación de usuarios surjan directamente por parte de Gestión Humana, deberá ser la Gerencia de Gestión Humana quien reporte la solicitud a Tecnología y Seguridad Física. 5.4. Revisión de Privilegios - Seguridad de la Información podrá realizar revisiones periódicas sobre la administración de cuentas de usuario. - Tecnología deberá inhabilitar cuentas de usuario que presenten una inactividad mayor a treinta (30) días. 6. ROLES Y RESPONSABILIDADES 6.1. Jefes Inmediatos (Coordinadores, Jefes, Líderes, Directores o Gerentes) Realizar solicitudes de creación, bloqueo o cancelación de cuentas de usuario y modificación de privilegios, radicándolas ante el Área de Tecnología según los procedimientos establecidos, considerando el principio de otorgar el mínimo de privilegios necesarios para el desempeño de las labores de un empleado. Informar oportunamente a Seguridad Física y Tecnología los retiros o ausencias temporales de funcionarios, solicitando el bloqueo o cancelación de sus accesos lógicos y físicos.
5 DE 5 6.2. Gerencia de Gestión Humana Cuando aplique o le corresponda, informar oportunamente a Seguridad Física y Tecnología los retiros o ausencias temporales de funcionarios, solicitando el bloqueo o cancelación de sus accesos lógicos y físicos. 6.3. Seguridad Física Deshabilitar accesos físicos a empleados retirados o ausentes temporales de la compañía según los reportes de los jefes inmediatos o de Gestión Humana, y regular sus posteriores accesos a las compañías, según los procedimientos establecidos para visitantes. 6.4. Tecnología Creación de cuentas de usuario solicitadas y aprobadas por los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes). Creación y administración de cuentas de superusuario nombradas y asignación de roles y privilegios correspondientes a los funcionarios responsables de su uso. Custodia y reserva de las contraseñas de cuentas de superusuario genéricas de administrador, de acuerdo al SI-EST-005 Estándar de Contraseñas. Asignación y modificación de privilegios solicitadas y aprobadas por los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes). Bloquear o cancelar cuentas de usuario de usuarios según las solicitudes de los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes) y/o Gerencia de Gestión Humana. 6.5. Funcionario propietario de la Cuenta de Usuario - Configurar una respuesta automática para el servicio de correo electrónico, especificando a qué cuenta de usuario de la Compañía se debe redireccionar la información. HISTORIAL DE CAMBIOS Y REVISIONES No. Rev. Fecha Descripción VERSIÓN 1 23/08/2010 Emisión Inicial VERSIÓN 2 01/09/2011 Actualización general del documento VERSIÓN 3 01/03/2013 Actualización general del documento