ESTÁNDAR DE GESTIÓN DE ACCESO DE USUARIOS ESTADO COPIA CONTROLADA 01 VERSION 3 01-03-2013



Documentos relacionados
PROCESO: GESTIÓN DE SISTEMAS DE INFORMACIÓN Y TECNOLOGÍA PROCEDIMIENTO: ADMINISTRACIÓN DE CUENTAS DE USUARIOS

COL-ADM-011 PROCEDIMIENTO DE SISTEMAS

PRO002GSI Asignación Cuentas de Usuario y Correo

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

Norma de uso Identificación y autentificación Ministerio del Interior N02

Tema 1: Organización, funciones y responsabilidades de la función de TI.

PROCEDIMIENTO PARA EL CONTROL DE DOCUMENTOS Y REGISTROS TABLA DE CONTENIDO

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

CASO PRÁCTICO EVALUACIÓN DEL PROCESO DE TESORERÍA

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones

2.1 Responsable estratégico: Jefe Oficina de Informática

PROCEDIMIENTO ADMINISTRACIÓN BASE DE DATOS DEL PROCESO GESTIÓN RECURSOS DE TECNOLOGÍA.

PROCEDIMIENTO DE MANTENIMIENTO PREVENTIVO Y CORRECTIVO PROCESO GESTIÓN TECNOLÓGICA

Touring y Automóvil Club del Perú

UNIVERSIDAD DE ANTIOQUIA DIRECCIÓN DE DESARROLLO INSTITUCIONAL GESTIÓN INFORMÁTICA

UNIVERSIDAD DE CÓRDOBA PROCEDIMIENTO DE MANTENIMIENTO CORRECTIVO DE SOFTWARE ÍNDICE

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

Solución de Control de Asistencia ALCANCE TÉCNICO

TABLA DE CONTENIDO. CÓDIGO: PGDC-PR-05 VERSIÓN: 2 FECHA: 11 de dic 2014 Página 1 de 10 PROCEDIMIENTO: ELABORACIÓN Y CONTROL DE DOCUMENTOS Y REGISTROS

CONTROL DE EMISIÓN ELABORÓ REVISÓ AUTORIZÓ Lic. Marveli Juan Cruz Controladora de Documentos

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

Dirección Administrativa

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA

PROCEDIMIENTO DE CREACIÓN Y ELIMINACIÓN DE USUARIOS CONTENIDO

Elementos requeridos para crearlos (ejemplo: el compilador)

Número: FCD PROCEDIMIENTO. Control de Documentos. Se complementó la redacción de los párrafos

Resumen General del Manual de Organización y Funciones

Marco Normativo de IT

COPEG 4. SISTEMA DE GESTIÓN DE CALIDAD

REGLAMENTO PARA LLAMADAS TELEFÓNICAS TITULO I ASPECTOS GENERALES CAPITULO ÚNICO

CONTROL DE CAMBIOS Y MEJORAS

1.8 TECNOLOGÍA DE LA INFORMACIÓN

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

Procedimiento de Administración de Sistemas y Cuentas de Usuario PREFIN S. A. - BANCO DE CHILE

Configuración de Software

Procedimiento para el Control de Documentos

Sistema de Administración de la Calidad ISO 9001:2008 PSAC 6.2.2

PEMEX. DIRECCiÓN CORPORATIVA DE ADMINISTRACiÓN. BASES PARA EL FUNCIONAMIENTO DE LOS SERVICIOS DE INFORMACiÓN OPERATIVA DE RECURSOS HUMANOS

DISTRIBUIDORA CUMMINS CHILE S.A. I DT 01. Departamento Técnico Página 1 de 5

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

PROCESO DE DESVINCULACIÓN DE PERSONAL - CONSTRUCCIÓN Bizagi Process Modeler

Procedimiento de Sistemas de Información

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

MACROPROCESO: GESTIÓN ADMINISTRATIVA Y FINANCIERA INSTRUCTIVO: ADMINISTRAR INFORMACIÓN DE USUARIOS EN LOS PORTALES BANCARIOS

Este documento es válido solo si se ve en Sitio WEB de ITESCA

POLÍTICAS DE TRATAMIENTO, PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES DEL GRUPO TERRANUM

Gerència de Recursos Direcció del Sistema Municipal d Arxius POLÍTICA DE GESTIÓN DOCUMENTAL DEL AYUNTAMIENTO DE BARCELONA

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Sistemas Operativos en Red. NIVEL: 2º Sistemas Microinformáticos y Redes

Guía General Central Directo Seguridad

Business Layout Consulting, S.C. Todos los derechos reservados. Prohibida su reproducción total o parcial.

RESOLUCION DE LA OFICINA DE ADMINISTRACION Y FINANZAS Nº SERVIR-OAF

LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES

Contenido Derechos Reservados DIAN - Proyecto MUISCA

MANUAL DE ORGANIZACIÓN Y FUNCIONES PRESIDENCIA EJECUTIVA

[VPN] [Políticas de Uso]

G MAT, SOCIEDAD ADMINISTRADORA DE FONDOS DE INVERSIÓN, S.A.

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

MANUAL DE FUNCIONAMIENTO DEL SIP. Actualizado con las observaciones del CTSP en la 18ª Reunión.

Elaboró: Revisó: Aprobó: Auditora de Procesos - Proveedores Gerente Supply Chain Gerente General

POLITICA DE PRIVACIDAD DE LA PAGINA WEB

Acto Administrativo de Aprobación FT-MIC Solicitud de Creación, modificación o anulación de documentos aprobado el 10 de Diciembre de 2014

1. Instala gestores de contenidos, identificando sus aplicaciones y configurándolos según requerimientos.

Nº Caracas, xx de xx de 2011

CASO PRÁCTICO: PUBLICACIÓN DE IMÁGENES DE MENORES EN LA PÁGINA WEB, BLOG O REVISTA DE UN CENTRO EDUCATIVO


Firma: Fecha: Marzo de 2008

Consejo Superior Universitario Acuerdo 046 de 2009 página 2

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

INSTRUCTIVO CAMARA DE COMPENSACION Y LIQUIDACION

Nombre del documento: Procedimiento para Control de Registros de Calidad. Referencia a la Norma ISO 14001:

COPIA NO CONTROLADA PROCEDIMIENTO CONTROL DE DOCUMENTOS Y REGISTROS ADMINISTRACIÓN DEL SISTEMA DE GESTIÓN INTEGRADO

MODIFICACIÓN Cualquier cambio en el diseño, rutina, especificaciones de operación, materiales y eficiencia en los equipos.

METODOLOGIAS DE AUDITORIA INFORMATICA

CARACTERIZACION DE PROCESO GESTIÓN TECNOLOGICA Y DE SISTEMAS DE INFORMACIÓN

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar:

Manual de Organización DIRECCIÓN DE COMERCIO MUNICIPAL

Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos

Facultad de Ciencias Sociales Universidad de Buenos Aires POLITICA DE USO DE CAMPUS VIRTUAL

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD

Política de Control de Hojas de Cálculo. Prorrectoría

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

Proceso: AI2 Adquirir y mantener software aplicativo

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

POLITICA DE PROTECCION DE DATOS PERSONALES

VICERRECTORÍA ADMINISTRATIVA DIRECCIÓN GENERAL FINANCIERA

REGLAMENTO ESPECÍFICO DEL SISTEMA DE PRESUPUESTO TÍTULO I DISPOSICIONES GENERALES

helppeople Módulo de Gestión de Activos y Configuraciones. 2013

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

INEI. Aprueban Directiva Normas Técnicas para el Almacenamiento y Respaldo de la Información procesada por las Entidades de la Administración Pública

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

PROCEDIMIENTO INTEGRADO PARA EL CONTROL OPERACIONAL

A.G. ELECTRÓNICA S.A. DE C.V.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO.

POLÍTICAS Y PROCEDIMIENTOS. Grupo: Gestión de Seguridad y Salud Laboral Proceso: Gestión Administrativa. Descripción del cambio

Buenas Prácticas en el Proceso Contable.

Administración de Acciones Preventivas

ADMINISTRACIÓN DE PROYECTOS

Transcripción:

ESTÁNDAR DE GESTIÓN DE 1 DE 5 1. OBJETO Definir los procesos de gestión del ciclo de vida de los accesos de los usuarios a los sistemas de información y servicios tecnológicos del. 2. ALCANCE Las normas contenidas en el presente estándar aplican a todas las empresas del Grupo Thomas Greg & Sons. 3. POLÍTICA APLICABLE Este estándar complementa la SI-POL-004 Política de Control de Acceso a los Sistemas. 4. DEFINICIONES 4.1 Cuentas de usuario: identificador usado por una persona real para conectarse a un sistema de información o servicio (correo electrónico, SFTP, SSH, VPN, etc.). Tiene asociada una contraseña para autenticación y un conjunto de privilegios que determinan las acciones que tiene permiso de ejecutar. 4.2 Cuenta de acceso grupal: cuenta de acceso compartida entre un grupo de personas. 4.3 Cuenta de Superusuario: son cuentas genéricas de usuarios administradores provistas por los fabricantes de los sistemas o plataformas, con los más altos privilegios sobre las mismas. 4.4 Rol: Es la forma de agrupar privilegios para asignarlos luego a los usuarios. 4.5 Privilegios: conjunto de permisos otorgados a un rol que determinan las acciones autorizadas que ésta puede desempeñar. 4.6 Bloqueo o Cancelación de una cuenta de usuario: se refiere a inhabilitar o eliminar una cuenta de usuario. 4.7 Ausencia Temporal: para efectos de este estándar, se refiere a las ausencias de personal por un tiempo mayor a 5 días hábiles, originado por vacaciones, licencias de cualquier tipo, incapacidades, entre otras. ELABORÓ: Oficiales de Seguridad de la Información REVISÓ: Planeación y Calidad Centro de Servicios Compartidos APROBÓ: Germán Mauricio Serrano Peña Gerente Corporativo de Seguridad

2 DE 5 5. DESCRIPCIÓN DEL ESTÁNDAR 5.1. Creación de Accesos de Usuarios Únicamente los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes) son responsables de solicitar a Tecnología, la creación de cuentas de usuario que un funcionario requiera, mediante los procedimientos vigentes. Tecnología realizará la creación de las cuentas de usuarios considerando: - Utilizar identificadores de usuario únicos, de manera que se pueda identificar a los usuarios por sus acciones evitando la existencia de múltiples perfiles de acceso para un mismo empleado. - Los nombres de las cuentas de usuario deben conformarse por primer nombre, punto y primer apellido (por ej. maria.perez). En caso de presentarse homónimos con otra cuenta creada, se puede utilizar el segundo nombre punto apellido o primer nombre e inicial del segundo nombre punto apellido. Si aun así persiste la situación, se establecerá entre el Jefe Inmediato y Tecnología el usuario a nombrar. - Bajo ninguna razón se asignarán cuentas de usuario existentes a nuevos funcionarios de la organización. No está permitido heredar cuentas de usuario. - El uso de identificadores grupales sólo debe ser permitido cuando sean convenientes para el trabajo a desarrollar debido a razones operativas. - La creación de cuentas de usuario genéricas no está permitidas. En los casos que se requieran puntos de contacto unificados interno o hacia clientes, proveedores o terceros, en donde se requiere mantener un mismo dato de contacto para el manejo de la operación o los servicios, se utilizarán listas de distribución con usuarios nombrados asignados a la misma. En el caso de sistemas de información administrados por terceros, el funcionario definido como contacto oficial del contrato, será el único autorizado para solicitar la creación de cuentas de usuario, de acuerdo con los perfiles de usuario definidos para el servicio.

3 DE 5 5.2. Administración de Roles y Privilegios - Debe otorgarse el mínimo de privilegios que sean suficientes para el desempeño de las labores del propietario de la cuenta de usuario, de acuerdo con la SI-POL- 004 Política de Control de Acceso a los Sistemas y el SI-EST-002 Estándar de Control de Acceso a los Sistemas. - Los Superusuarios de las aplicaciones o sistemas operativos, con roles y privilegios de administración (en cualquier plataforma ejemplo sys, system, root, admin, administrador, sa, etc...) no deberán ser utilizados en las tareas del día a día, sino solo en ocasiones de contingencia y sus contraseñas deberán ser establecidas y protegidas según el SI-EST-005 Estándar de Contraseñas. Cuando se requieran los privilegios de estos usuarios o Superusuarios para acceso a las plataformas, éstos deberán ser asignados a un usuario nombrado específico. - Es responsabilidad del área de Tecnología el mantenimiento de una matriz de roles y privilegios configurados o asignados en los sistemas, de acuerdo al SI-FOR- 008 Matriz de Roles y Privilegios. - Los cambios de adición o retiro de privilegios de acceso son realizados mediante una solicitud formal de los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes), mediante los procedimientos vigentes de Tecnología. - El cambio de cargo de un funcionario dentro de la organización debe tratarse como un retiro y un reingreso, en los cuales sus cuentas de usuario pueden mantenerse de ser necesario, pero todos sus privilegios de acceso deben ser completamente removidos y posteriormente creados. 5.3. Bloqueo o cancelación de cuentas de usuario - Las cuentas de usuario deberán bloquearse luego de 5 intentos fallidos de conexión. - Los Jefes inmediatos son los primeros responsables de informar a Tecnología y Seguridad Física del retiro o ausencias temporales (mayores a 5 días hábiles) de funcionarios, con el fin de que sean inhabilitados inmediatamente sus accesos lógicos y físicos.

4 DE 5 - En el caso de retiro del funcionario, previo reporte del jefe inmediato, Tecnología debe inhabilitar las cuentas de usuario y generar copia de seguridad de la información del funcionario, entregándola al jefe inmediato correspondiente. - En el caso de ausencias temporales por vacaciones, licencias, incapacidades, etc (todas ellas superiores a 5 días hábiles) Tecnología deberá inhabilitar las cuentas de usuario, mismas que serán habilitadas nuevamente con solicitud formal de los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes), mediante los procedimientos vigentes de Tecnología. - Asimismo, el funcionario debe configurar una respuesta automática para el servicio de correo electrónico, especificando a qué cuenta de usuario de la Compañía se debe redireccionar la información. - En los casos en que las solicitudes de bloqueo o cancelación de usuarios surjan directamente por parte de Gestión Humana, deberá ser la Gerencia de Gestión Humana quien reporte la solicitud a Tecnología y Seguridad Física. 5.4. Revisión de Privilegios - Seguridad de la Información podrá realizar revisiones periódicas sobre la administración de cuentas de usuario. - Tecnología deberá inhabilitar cuentas de usuario que presenten una inactividad mayor a treinta (30) días. 6. ROLES Y RESPONSABILIDADES 6.1. Jefes Inmediatos (Coordinadores, Jefes, Líderes, Directores o Gerentes) Realizar solicitudes de creación, bloqueo o cancelación de cuentas de usuario y modificación de privilegios, radicándolas ante el Área de Tecnología según los procedimientos establecidos, considerando el principio de otorgar el mínimo de privilegios necesarios para el desempeño de las labores de un empleado. Informar oportunamente a Seguridad Física y Tecnología los retiros o ausencias temporales de funcionarios, solicitando el bloqueo o cancelación de sus accesos lógicos y físicos.

5 DE 5 6.2. Gerencia de Gestión Humana Cuando aplique o le corresponda, informar oportunamente a Seguridad Física y Tecnología los retiros o ausencias temporales de funcionarios, solicitando el bloqueo o cancelación de sus accesos lógicos y físicos. 6.3. Seguridad Física Deshabilitar accesos físicos a empleados retirados o ausentes temporales de la compañía según los reportes de los jefes inmediatos o de Gestión Humana, y regular sus posteriores accesos a las compañías, según los procedimientos establecidos para visitantes. 6.4. Tecnología Creación de cuentas de usuario solicitadas y aprobadas por los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes). Creación y administración de cuentas de superusuario nombradas y asignación de roles y privilegios correspondientes a los funcionarios responsables de su uso. Custodia y reserva de las contraseñas de cuentas de superusuario genéricas de administrador, de acuerdo al SI-EST-005 Estándar de Contraseñas. Asignación y modificación de privilegios solicitadas y aprobadas por los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes). Bloquear o cancelar cuentas de usuario de usuarios según las solicitudes de los jefes inmediatos (coordinadores, jefes, líderes, directores o gerentes) y/o Gerencia de Gestión Humana. 6.5. Funcionario propietario de la Cuenta de Usuario - Configurar una respuesta automática para el servicio de correo electrónico, especificando a qué cuenta de usuario de la Compañía se debe redireccionar la información. HISTORIAL DE CAMBIOS Y REVISIONES No. Rev. Fecha Descripción VERSIÓN 1 23/08/2010 Emisión Inicial VERSIÓN 2 01/09/2011 Actualización general del documento VERSIÓN 3 01/03/2013 Actualización general del documento

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback