lineamientos para el control de acceso · para el retiro de derechos de acceso en la red, para...

LINEAMIENTOS PARA EL CONTROL DE

ACCESO

BOGOTÁ D.C AGOSTO de 2019

LINEAMIENTOS PARA EL

CONTROL DE ACCESO

Proceso

asociado

Código

Versión

Tecnología de Información

y Comunicaciones

L-TI-20

02

1

CONTENIDO

1. OBJETIVO ....................................................................................................................... 3

2. ALCANCE ........................................................................................................................ 3

3. TÉRMINOS Y DEFINICIONES ............................................................................................ 3

4. LINEAMIENTOS PARA EL CONTROL DE ACCESO A PLATAFORMA TECNOLÓGICA ............ 5

4.1. CREACIÓN DE CUENTA DE USUARIO ............................................................................ 7

4.2. PERFILES DE NAVEGACIÓN DE INTERNET ..................................................................... 7

4.2.1. Standard ........................................................................................................................... 7

4.2.2. Asesores ........................................................................................................................... 8

4.2.3. Directivos ......................................................................................................................... 8

4.2.4. Prensa ............................................................................................................................... 8

4.3. ACCESO A SISTEMAS, APLICACIONES Y SERVICIOS WEB ............................................... 8

4.3.1. Autorización de acceso a servicios TI ........................................................................... 9

4.3.2. Lineamientos para servicio de almacenamiento en redes públicas (Nube - Internet) .. 9

4.3.3. Administradores de servicios de TI ............................................................................ 10

4.3.4. Roles de servicios Web .............................................................................................. 10

4.4. ACCESO REMOTO ...................................................................................................... 11

4.5. ACCESO A DISCOS DE RED O CARPETAS VIRTUALES ................................................... 11

4.6. ACCESO A SERVICIOS DE LA ENTIDAD ........................................................................ 11

5. LINEAMIENTOS DE CONTROL DE ACCESO FÍSICO ......................................................... 12

6. LINEAMIENTOS PARA EL ESTABLECIMIENTO, USO Y PROTECCIÓN DE CLAVES DE

ACCESO ........................................................................................................................ 12

6.1 Manejo de contraseñas para administradores de tecnología ..................................... 14

7. LINEAMIENTOS DE ACCESO A ÁREAS SEGURAS ............................................................ 14


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

2

8. REVISIÓN DE DERECHOS DE ACCESO ............................................................................ 17

9. DOCUMENTOS ASOCIADOS .......................................................................................... 17

10. RESPONSABLE DEL DOCUMENTO ................................................................................. 17


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

3

1. OBJETIVO Definir las pautas generales para asegurar un acceso controlado, físico o lógico, a la información de la plataforma Tecnológica del DAPRE, así como el uso de medios de computación móvil y carpetas virtuales.

2. ALCANCE Estos lineamientos deben ser aplicados por todos los funcionarios, contratistas, pasantes, personal en comisión, del Departamento Administrativo de la Presidencia de la República.

3. TÉRMINOS Y DEFINICIONES Actividades Criminales: Sitios para abogar, instruir o dar consejo sobre la realización de actos ilegales; Consejos sobre eludir la aplicación de la ley. Almacenamiento de red personal (Nube): Páginas Web que permiten a los usuarios subir carpetas y archivos a un servidor de red en línea para realizar copias de seguridad, compartir, editar o recuperar archivos o carpetas desde cualquier navegador Web. (Este almacenamiento desde los servicios de TI debe tener la configuración de herramientas de prevención de pérdidas de información del DAPRE, realizadas por el Área de Tecnologías y Sistemas de Información.) Temas de búsqueda en Internet:

Armas: Sitios con información de compras o pedidos en línea, incluyendo listas de precios y ubicaciones de distribuidores; cualquier página o sitio que contenga predominantemente o proporcione enlaces a contenido relacionado con la venta de armas, armas, municiones o sustancias venenosas; exhibir o detallar el uso de armas, armas, municiones o sustancias venenosas.

Nota: Las armas se definen como algo (como un palo, un cuchillo o una pistola) usado para dañar, derrotar o destruir.

Automotores: Sitios para revisiones de vehículos, consejos de compra o venta de vehículos y catálogos de piezas; Fotos, y discusión de vehículos incluyendo motocicletas, barcos, coches, camiones; revistas sobre la modificación, reparación y personalización de vehículos; y sitios en línea del clubes del entusiastas de automotores.

Búsqueda de empleo: Sitios de agencias de empleo, contratistas, listados de trabajo, información sobre carreras, búsquedas de carrera y grupos de redes de carrera, páginas web relacionadas con una búsqueda de empleo, incluyendo sitios relacionados con la


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

4

escritura de currículum, entrevistas, carreras cambiantes, publicidad clasificada y bases de datos de gran tamaño, incluye páginas Web corporativas que incluyen oportunidades de empleo, sitios de comparación de salarios, empleo temporal, sitios de publicación de trabajos de la empresa.

Educacional: Sitios para instituciones educativas, (escuelas preescolares, escuelas primarias, secundarias y secundarias y universidades), sitios educativos en los niveles preescolar, básica primaria, secundaria y universitaria; Educación a distancia, incluyendo cursos en línea.

Entretenimiento: Sitios sobre guías de programación de televisión, películas, música y video; Revistas y revistas en línea de la industria del entretenimiento; Sitios de fans de celebridades; Empresas de radiodifusión y tecnologías (satélite, cable, etc.); Horóscopos; Bromas, cómics, cómics, comediantes, o cualquier sitio diseñado para ser divertido o satírico; Tarjetas de felicitación en línea; Y atracciones y parques temáticos.

Estilos de vida: Sitios para pasatiempos recreativos, tales como recolección, jardinería y aviones de equipo; Actividades recreativas al aire libre, tales como senderismo, camping y escalada en roca; Consejos o tendencias enfocados en un arte específico, arte o técnica; Publicaciones en línea sobre un pasatiempo específico o actividad recreativa; Clubes, asociaciones o foros en línea dedicados a un hobby; Juegos tradicionales, tales como juegos de mesa y juegos de cartas, y sus entusiastas; Y sitios relacionados con animales y mascotas, incluyendo sitios específicos de raza, entrenamiento, shows y sitios de sociedades humanas, incluye sitios que promueven o distribuyen alcohol o productos de tabaco de forma gratuita o compra, sitios para recetas, instrucciones y consejos para cocinar, productos alimenticios y asesores de vino; restaurantes, cafeterías, restaurantes, pubs y bares; Y revistas y revistas de comida y bebida.

Finanzas e inversiones: Acceso sitios para cotizaciones bursátiles, fondos de inversiones; acciones en línea o comercio de acciones; banca en línea y servicios de pago de facturas; asesoramiento o contactos para la negociación de valores; servicios de gestión de dinero o de inversión o empresas; finanzas generales y empresas que asesoran sobre finanzas; y contabilidad, actuarios, bancos, hipotecas y compañías de seguros generales.

Militar: Incluye el acceso a páginas web que contienen información mantenido por organizaciones gubernamentales o militares, como sucursales o agencias gubernamentales, departamentos de policía, de bomberos, de defensa civil, de contraterrorismo o de organizaciones supranacionales, como las Naciones Unidas o la Unión Europea. Las instalaciones médicas para militares y veteranos están incluidas en esta categoría.

Noticias: Incluye el acceso a periódicos en línea, sitios de noticias titulares, servicios de noticias, servicios de noticias personalizados y sitios meteorológicos

Órdenes: Incluye el acceso a sitios de negocios o compras en línea.


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

5

Páginas personales: Incluye el acceso a páginas web de inicio personales que comparten un dominio común, como los alojados por los ISP, los servidores universitarios / educativos o los hosts de páginas web gratuitos. También se incluyen dominios únicos que contienen información personal, como una página personal.

Religioso: Incluye el acceso a sitios de iglesias, sinagogas y otras casas de culto; Cualquier fe o sitios de creencias religiosas.

Salud y Medicina: Incluye el acceso a sitios para medicamentos recetados; Información médica y referencia sobre enfermedades, condiciones y medicamentos; salud general, como la aptitud y el bienestar; procedimientos médicos, incluyendo cirugía electiva y cosmética; odontología, optometría y otros sitios relacionados con la medicina; psiquiatría general y sitios de bienestar mental; psicología, libros de autoayuda y organizaciones; promover la autocuración de los abusos físicos y mentales, dolencias y adicciones; terapias alternativas y complementarias, incluyendo yoga, quiropráctica y craneosacral; Y sitios de seguros médicos y hospitalarios.

Sociales y culturales: Incluye el acceso a sitios sobre temas relacionados con la familia y vida familiar, incluyendo bodas, nacimientos y funerales, consejos para padres y planificación familiar, cuestiones no pornográficas, culturas extranjeras e información socio cultural.

Tecnología, Informática y comunicaciones: Incluye el acceso a sitios para tecnologías de la información y comunicaciones, equipos electrónicos, desarrollo de software, revistas de tecnología, páginas de fabricantes de tecnología, foros sobre tecnología, sitios de reseñas, información, guías de compradores de computadoras, partes y accesorios de computadoras, software de computadora y compañías de Internet, noticias y revistas de la industria y sitios de pago.

Transporte: Incluye el acceso a páginas web de aerolíneas, empresas de transporte terrestre y agencias de reserva de vuelos y transporte terrestre, información de alojamiento, listas de paquetes de viaje, guías de ciudades e información turística y alquiler de vehículos.

4. LINEAMIENTOS PARA EL CONTROL DE ACCESO A PLATAFORMA TECNOLÓGICA

El DAPRE proporcionará a los funcionarios, personal en comisión permanente y contratistas (personas naturales) todos los recursos tecnológicos necesarios para que puedan desempeñar las funciones para las cuales fueron contratados, por tal motivo no se permite conectar a la red o instalar dispositivos fijos o móviles, tales como: computadores portátiles, tablets, enrutadores, agendas electrónicas, celulares inteligentes, access point; el Área de Tecnologías y Sistemas de Información podrá realizar la mencionada conexión previa solicitud del interesado.


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

6

El DAPRE debe cuenta con un firewall, sistemas de prevención y detección de intrusos para la conexión a Internet o cuando sea inevitable para la conexión a otras redes en outsourcing o de terceros. Todo usuario final con privilegios de publicación o administración de servicios Web, administrador de servicios o aplicativos del DAPRE, deberá diligenciar y firmar el formato entrega de Rol F-TI-13, en caso de asignación o entrega del rol. Solo los funcionarios del Grupo de Soporte y Mesa de Ayuda, Redes y Plataforma TI, pertenecientes al Área de Tecnologías y Sistemas de Información, están autorizados para instalar software y/o hardware en los equipos, servidores e infraestructura de telecomunicaciones del DAPRE, así como el uso de herramientas que permitan realizar tareas de mantenimiento, revisión de software, recuperar datos perdidos, eliminar software malicioso. El Área de Tecnologías y Sistemas de Información debe restringir el acceso a los códigos fuente de los programas y elementos asociados como (diseños, especificaciones, librerías de fuentes de programas, planes de verificación y planes de validación), así mismo debe auditar este acceso de manera periódica. Para el control de acceso a los servicios de TI, la Entidad realizará las configuraciones de red, mediante la creación de usuarios, control de directivas de red, protocolo de control de acceso, certificados para la autenticación; definidos e implementados por el Área de Tecnologías y Sistemas de la Información. La asignación de niveles de navegación, autorizaciones de sistemas, aplicativos, acceso a servicios de TI, administración de servicios de TI, deben ser registrados en el sistema de mesa de ayuda de TI, de acuerdo a solicitud de Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28 y Procedimiento de Administración de Mesa de Servicios P-TI-11. El retiro e ingreso de todo activo de información de los visitantes que presten servicios al DAPRE (consultores, pasantes, visitantes, etc.) será registrado e inspeccionado en los controles de accesos de las instalaciones de la Entidad. El personal de seguridad y vigilancia en los controles de acceso verificarán y registrarán las características de identificación del activo de información. Para el retiro de derechos de acceso en la red, para funcionarios de planta, como se define en Gestión de novedades de cuentas de funcionarios de planta P-TI-25. La remoción o ajuste a derechos de acceso a servicios de TI para cada usuario, debe ser solicitado al Jefe del Área de Tecnologías y Sistemas de Información, a través de correo institucional del DAPRE o mediante el envío de una comunicación oficial por el sistema de gestión de correspondencia oficial de la Entidad. Estos ajustes deberán registrarse en el sistema de gestión de solicitudes. También se autorizará el acceso a la plataforma de tecnología y sistemas de información a proveedores de servicios, que por la naturaleza de sus actividades requieran acceder a estos servicios en forma periódica previa firma del formato de compromiso y reserva F-GD-20 y solicitud del Asesor o Profesional responsable de las actividades por el proveedor de servicios al Jefe del Área de Tecnologías y Sistemas de Información.


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

7

4.1. CREACIÓN DE CUENTA DE USUARIO La generación de cuenta de usuario se realizará posterior a la aprobación de la solicitud realizada a través de la herramienta servicios en línea disponible en la intranet de la Entidad. Ver Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28; mediante esta solicitud, la Entidad autoriza el acceso físico y acceso a servicios de tecnologías de información a los funcionarios, contratistas, pasantes, personal en comisión del Departamento Administrativo de la Presidencia de la República. En la solicitud de creación de cuenta, se debe indicar el perfil de navegación de internet y el acceso a aplicativos que requiere por su cargo y funciones a desempeñar. Todo usuario que requiera ingresar a los servicios de red del DAPRE deberá diligenciar y firmar el formato Entrega de Usuario F-TI-07, excepto la configuración de acceso a internet de visitantes, en equipos no institucionales o personales.

4.2. PERFILES DE NAVEGACIÓN DE INTERNET Los perfiles serán asignados a los funcionarios, contratistas, personal en comisión administrativa, pasantes y proveedores de servicios, que por su cargo y funciones a desempeñar y que requiera tener acceso a servicios de navegación de internet, por lo cual la entidad define los siguientes perfiles para los usuarios de tecnología y sistemas de información. Los perfiles de navegación de internet relacionados a continuación incluyen características de los sitios y servicios web aprobados por la Entidad, no obstante, los sitios deben cumplir con las políticas configuradas en las herramientas de seguridad de la información con que cuenta la entidad, por lo cual, aquellos sitios que las herramientas las identifique como no confiables, deberán ser bloqueadas por el administrador de seguridad. La asignación de perfiles de navegación, acceso a aplicativos y la asignación de roles debe ser asignada por el Jefe del Área y Oficina del usuario, por lo cual debe seguir lo indicado en el Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28.

4.2.1. Standard Para este perfil se aprueba el acceso a los siguientes servicios de temas de búsqueda en internet, los cuales serán gestionados por el Área de Tecnologías y Sistemas de Información:

Automotores

Búsqueda de empleo

Educacional

Entretenimiento

Finanzas e inversiones

Sociales y culturales

Salud y Medicina


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

8

Transporte

4.2.2. Asesores Para este perfil se aprueba el acceso a los siguientes servicios de temas de búsqueda en internet, correspondientes al nivel estándar, junto con los relacionados a continuación, los cuales serán gestionados por el Área de Tecnologías y Sistemas de Información.

Órdenes

Actividades Criminales

Tecnología, Informática y comunicaciones

Estilos de vida

4.2.3. Directivos Para este perfil se aprueba el acceso a los siguientes servicios de temas de búsqueda en internet, correspondientes al nivel estándar, junto con los relacionados a continuación, los cuales serán gestionados por el Área de Tecnologías y Sistemas de Información.

Páginas personales

Armas

Militar

4.2.4. Prensa Para este perfil se aprueba el acceso a los siguientes servicios de temas de temas de búsqueda en internet, correspondientes al nivel Directivo, junto con los relacionados a continuación, los cuales serán gestionados por el Área de Tecnologías y Sistemas de Información.

Religioso

4.3. ACCESO A SISTEMAS, APLICACIONES Y SERVICIOS WEB Los sistemas y aplicaciones a los cuales pueden tener acceso los usuarios, de acuerdo a sus funciones, son los siguientes:

Sistema de Gestión Documental “ESCRIBE PRESIDENCIA”

Sistema de Gestión humana

Correo electrónico de la Entidad

Intranet

Servicios en Línea

Salida de elementos


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

9

Aplicativo código único

Aladino

Sistema de información aspirantes

Sistema de comisiones Presidencia

Sistema de comisiones al exterior

Sistema de campañas publicitarias

Sistema integrado para la gestión de adquisiciones “SIGA” (Contratos, proveedores)

Aplicativo de Gestión Financiera

Sistema de gestión de parqueaderos

Sistema de control de acceso

Sistema de control de flotas

Observatorio (Equidad para la Mujer, Derechos Humanos, Colombia Joven)

Sistema de Boletines

Sistema de monitoreo de medios DALET

Info Presidencia

Portal de Oferta Institucional ¡Si Joven!

Correo electrónico en dispositivos móviles No se encuentra autorizado el acceso a los servicios de TI, que no se encuentren registrados en el presente lineamiento o no estén aprobados por el Comité de Seguridad de la Información.

4.3.1. Autorización de acceso a servicios TI Los servicios Web de la Entidad, son administradas por el Área de Tecnologías y Sistemas de Información; así como la creación de usuarios Ver Solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28, en virtud al cargo, funciones o responsabilidades asignadas, se deberá indicar por intermedio del aplicativo Servicios en Línea la asignación del Rol. Se debe tener en cuenta que el Jefe del Área u Oficina, es el responsable de la asignación de permisos y roles en los sistemas del DAPRE. En caso de requerir el ajuste en el rol de los servicios que se encuentran a cargo del Área de Tecnologías y Sistemas de Información; el Jefe del Área u Oficina debe realizar la solicitud por correo institucional o a través del Sistema de Gestión Documental “ESCRIBE PRESIDENCIA” al Área de Tecnologías y Sistemas de Información. De tal forma que la puede aprobar o solicitar verificación y visto bueno por parte del comité de seguridad de la información por posible afectación a la disponibilidad, integridad o confidencialidad de la información de la Entidad.

4.3.2. Lineamientos para servicio de almacenamiento en redes públicas (Nube - Internet)

4.3.2.1 Descarga de Archivos: El DAPRE permite a los usuarios, la descarga de archivos desde los sistemas de almacenamiento ubicados en las redes públicas (Internet), únicamente con fines institucionales, la cual será supervisada con las herramientas de seguridad de la Información, destinadas para ese fin.


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

10

4.3.2.2 Carga de Archivos: El acceso a servicios de almacenamiento de información en plataformas públicas, personales o privadas como Dropbox, Google Drive, OneDrive, etc., con la finalidad de realizar almacenamiento de información de la Entidad el cual debe ser aprobado por el Comité de Seguridad de la Información.

4.3.3. Administradores de servicios de TI Los sistemas, aplicativos y servicios Web de la Entidad, deberán ser administrados por el Área de Tecnologías y Sistemas de la Información, el Rol de administrador de los mismos son asignados por el Jefe de Área de Tecnologías y Sistemas de Información o coordinador del Grupo, de acuerdo al rol a ser asignado, esta asignación se documenta mediante el diligenciamiento del formato denominado Entrega de Rol F-TI-13. Sistemas, aplicativos y servicios Web

Web Master de páginas de Presidencia

Sistema de cortafuegos

Sistema de prevención de perdida de datos

Sistemas de Back Up

Directorio activo

Antivirus

Sistema de filtrado de navegación

Sistema de enrutamiento y balanceo F5

Sistema de almacenamiento

Sistema de control de activos de TI

Administrador de aplicativos

Administrador Plataforma Share Point

4.3.4. Roles de servicios Web Los servicios Web de la Entidad, son administradas por el Área de Tecnologías y Sistemas de Información; las dependencias deben indicar a través del aplicativo Servicios en Línea, los sistemas, servicios Web a que deben tener acceso el nuevo usuario; los cuales requirieren entrega de Rol. Si es una asignación del Rol, para un usuario existente, el Jefe del Área u Oficina debe realizar la solicitud mediante correo institucional o a través del Sistema de Gestión Documental “ESCRIBE PRESIDENCIA” al Área de Tecnologías y Sistemas de Información para la entrega de:

Publicador (Web)

Certificados

Normativa (Jurídica)

Notificaciones por aviso (Atención a la ciudadanía)

Documentos SIGEPRE (Planeación)

Lista de funcionarios principales (Talento Humano)


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

11

Taurus

Informes de supervisión de contratos

4.4. ACCESO REMOTO Los funcionarios, contratistas, proveedores, pasantes, personal en comisión usuarios de servicios de TI del DAPRE, que requieran realizar conexión remota desde el exterior de las instalaciones del DAPRE en virtud al cargo, cumplimiento de funciones o responsabilidades asignadas; debe realizar la solicitud por correo institucional o a través Sistema de Gestión Documental “ESCRIBE PRESIDENCIA” al Jefe del Área de Tecnologías y Sistemas de Información a través del Jefe de Área u Oficina. La conexión remota a la red de área local del DAPRE debe ser hecha a través de una conexión VPN segura configurada por el Área de Tecnologías y Sistemas de Información, y con un TOKEN aprobado, registrado, suministrado y auditado por la entidad. Todo trabajo a realizarse en las estaciones de trabajo y servidores del DAPRE con información de la Entidad, por parte de sus funcionarios o contratistas, se debe realizar desde la red física de la Entidad, no se podrá realizar ninguna actividad de tipo remoto (VPN Virtual Private Network, “Conexión Privada a la Red”) sin la debida aprobación del Jefe del Área de Tecnologías y Sistemas de Información DAPRE.

4.5. ACCESO A DISCOS DE RED O CARPETAS VIRTUALES El Área de Tecnologías y Sistemas de Información tiene implementado y configurado discos de red o carpetas virtuales que permitan el almacenamiento de información digital para los usuarios de la Entidad, así como las medidas de seguridad que permitan mantener la integridad, disponibilidad e integridad de la información allí almacenada. Los usuarios que requieran acceso a la información ubicada en los discos de red o carpetas virtuales, el responsable de la carpeta compartida o el jefe inmediato debe enviar mediante correo electrónico remitido a mesa de ayuda del Área de Tecnologías y Sistemas de Información del DAPRE, dirección de correo electrónico [email protected], autorizando el acceso y permisos, correspondientes al rol y funciones a desempeñar, Los usuarios tendrán permisos de escritura, lectura o modificación de información en los discos de red, dependiendo de la solicitud a las funciones y el rol asignado.

4.6. ACCESO A SERVICIOS DE LA ENTIDAD La entidad debe definir los servicios de TI a publicar en las redes internas y externas, para lo cual debe definir la segmentación de la red, perfiles de acceso para el acceso a los servicios que administra el Área de Tecnología y Sistemas de la Información. El grupo de redes deberá generar la segmentación de redes y los perfiles de acceso, de acuerdo a la capacidad y disponibilidad de servicios de TI.

mailto:[email protected]


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

12

Se debe implementar y administrar una red inalámbrica con perfiles para acceso a los servicios red de la entidad y para el acceso a la red externa (Pública).

5. LINEAMIENTOS DE CONTROL DE ACCESO FÍSICO La Entidad define la de forma de Autorización de acceso físico a Visitantes y Proveedores a las instalaciones de Gobierno bajo la administración del DAPRE, que será ejecutado por Jefatura para la Protección Presidencial, el Área Administrativa y el Área de Tecnologías y Sistemas de Información.

6. LINEAMIENTOS PARA EL ESTABLECIMIENTO, USO Y PROTECCIÓN DE CLAVES DE ACCESO

Se debe concienciar y controlar a los usuarios para que apliquen buenas prácticas de seguridad en la selección, uso y protección de claves o contraseñas; las cuales constituyen un medio de validación de la identidad de un usuario y consecuentemente un medio para establecer derechos de acceso a las instalaciones, equipos o servicios tecnológicos. Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le asignen para la utilización de los equipos o servicios informáticos de la Entidad. Ningún usuario deberá acceder a la red o a los servicios TIC del DAPRE, utilizando una cuenta de usuario o clave de otro usuario. Los usuarios deben tener en cuenta los siguientes aspectos:

No incluir contraseñas en ningún proceso de registro automatizado, por ejemplo, almacenadas en un macro o en una clave de función.

El cambio de contraseña solo podrá ser solicitado por el titular de la cuenta, comunicándose a PUC (Punto Único de Contacto) Ext. 3999; en donde se llevará a cabo la validación de los datos personales; en caso de ser solicitado el cambio de contraseña para otra persona, debe ser realizada por su jefe inmediato (previa autorización por parte del Jefe de Área de Tecnologías y Sistemas de Información).

Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de bloqueo cuando no estén en uso.

Se bloquea el acceso a todo usuario que haya intentado el ingreso, sin éxito, a un equipo o sistema informático, en forma consecutiva por tres veces.


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

13

La clave de acceso será desbloqueada sólo por el PUC (Punto Único de Contacto), luego de la solicitud formal por parte del responsable de la cuenta. Para todas las cuentas especiales, la reactivación debe ser documentada y comunicada al PUC.

El DAPRE suministrará a los usuarios las claves respectivas para el acceso a los servicios de red y sistemas de información a los que hayan sido autorizados.

Es responsabilidad del usuario el manejo apropiado a las claves asignadas de los servicios de red y de acceso a la red estas claves de acceso y usuarios son personales e intransferibles.

El personal del Área de Tecnologías y Sistemas de la Información no debe dar a conocer su clave de usuario a terceros de los sistemas de información, sin previa autorización del Jefe del Área de Tecnologías y Sistemas de la Información.

Los usuarios y claves de los administradores de sistemas y del personal del Área de Tecnologías y Sistemas de la Información son de uso personal e intransferible.

El personal del Área de Tecnologías y Sistemas de la Información debe emplear obligatoriamente las claves o contraseñas con un alto nivel de complejidad y utilizar los servicios de autenticación fuerte que posee la entidad de acuerdo al rol asignado.

Los administradores de los sistemas de información deben seguir las políticas de cambio de clave y utilizar procedimiento de salvaguarda o custodia de las claves o contraseñas en un sitio seguro. A este lugar solo debe tener acceso el Jefe del Área de Tecnologías y Sistemas de Información o el Asesor para la de Seguridad de la Información.

Las claves o contraseñas deben: Poseer algún grado de complejidad y no deben ser palabras comunes que se puedan encontrar en diccionarios, ni tener información personal, ni productos a resaltar de su entidad, evite asociarla con fechas especiales, por ejemplo: fechas de cumpleaños, nombre de los hijos, placas de automóvil, etc. Nunca utilice sus contraseñas personales en el entorno laboral La contraseña debe tener mínimo ocho caracteres alfanuméricos. Cambiarse obligatoriamente la contraseña, la primera vez que el usuario ingrese al sistema. La contraseña debe cambiarse obligatoriamente cada 30 días, o cuando lo establezca el Área de Tecnologías y Sistemas de Información. Cada vez que se cambien las claves, estas deben ser distintas por lo menos de las últimas doce anteriores.


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

14

Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la cuenta de usuario. La contraseña, no se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos, ni todos alfabéticos. La clave de acceso, no debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse. La contraseña debe cumplir con tres de los cuatro requisitos:

Caracteres en mayúsculas

Caracteres en minúsculas

Base de 10 dígitos (0 a 9)

Caracteres no alfabéticos (Ejemplo ¡,$,%,&) Las contraseñas de acceso, No ser reveladas a ninguna persona, incluyendo al personal del Área de Tecnologías y Sistemas de Información. No registrar las contraseñas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar de forma segura y el método de almacenamiento este aprobado.

6.1 Manejo de contraseñas para administradores de tecnología Se debe garantizar en las plataformas de tecnología que el ingreso a la administración en lo posible, se realice con la vinculación directamente de las credenciales de los usuarios de directorio activo. Los usuarios administradores y sus correspondientes contraseñas de acceso a las consolas de administración, se dejan en custodia en sobre sellado en el área segura donde designe la entidad, las credenciales allí contenidas deben ser modificadas de manera mensual o cuando amerite. Las contraseñas referentes a las cuentas “predefinidas” incluidas en los sistemas o aplicaciones adquiridas deben ser desactivadas. De no ser posible su desactivación, las contraseñas deben ser cambiadas después de la instalación del producto.

7. LINEAMIENTOS DE ACCESO A ÁREAS SEGURAS El acceso a áreas seguras (instalaciones de procesamiento y centros de datos), se encuentra restringida para visitantes y proveedores; se permite el acceso, mediante la solicitud de acceso aprobada por el Coordinador de Redes o el Jefe del Área de Tecnologías y Sistemas de Información y diligenciando el formato de Registro de ingreso centro de cómputo F-TI-14.


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

15

El acceso de dispositivos, de fotografía, de video, grabación de audio, de comunicación, de procesamiento y almacenamiento de información, a las instalaciones de Palacio de Nariño, la Vicepresidencia de la República, la Hacienda Presidencial Hato grande, la Casa de Huéspedes Ilustres “Fuerte San Juan de Manzanillo”, es restringido para visitantes y proveedores; solo se permite el ingreso de estos equipos y visitantes, mediante el diligenciamiento del formato de Autorización ingreso visitantes F-SA-09 por parte del funcionario responsable del visitante o proveedor. La grabación de vídeo en las instalaciones del centro de datos debe estar expresamente autorizada por el comité de seguridad de la Información y exclusivamente con fines institucionales. El Área de Tecnologías y Sistemas de la Información debe garantizar que el control de acceso al centro de datos y centros de cableado del DAPRE, exija doble autenticación para aprobación de acceso con dispositivos electrónicos. El Área de Tecnologías y Sistemas de la Información implementará dispositivos de control de acceso que exijan autenticación para aprobación de acceso mediante dispositivos electrónicos, a las áreas de trabajo definidas como áreas seguras establecidas por el Comité de Seguridad de la Información. El Área de Tecnologías y Sistemas de la Información deberá garantizar que todos los equipos de los centros de datos cuenten con un sistema alterno de respaldo de energía. La limpieza y aseo del centro de datos estará a cargo del Área Administrativa y debe efectuarse en presencia de un funcionario y/o contratista del Área de Tecnología y Sistemas de la Información del DAPRE. El personal de limpieza debe ser ilustrado con respecto a las precauciones mínimas a seguir durante el proceso de limpieza. Debe prohibirse el ingreso de personal de limpieza con maletas o elementos que no sean estrictamente necesarios para su labor de limpieza y aseo. En las instalaciones del centro de datos o de los centros de cableado, No está permitido:

Fumar dentro del Data Center.

Introducir alimentos o bebidas al Data Center

El porte de armas de fuego, corto punzantes o similares.

Mover, desconectar y/o conectar equipo de cómputo sin autorización.

Modificar la configuración del equipo o intentarlo sin autorización.

Alterar software instalado en los equipos sin autorización.

Alterar o dañar las etiquetas de identificación de los sistemas de información o sus conexiones físicas.

Extraer información de los equipos en dispositivos externos.

Abuso y/o mal uso de los sistemas de información.

Toda persona debe hacer uso únicamente de los equipos y accesorios que les sean asignados y para los fines que se les autorice.

El centro de datos debe estar provisto de:


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

16

Señalización adecuada de todos y cada uno de los diferentes equipos y elementos, así como luces de emergencia y de evacuación, cumpliendo las normas de seguridad industrial y de salud ocupacional.

Pisos elaborados con materiales no combustibles.

Sistema de refrigeración por aire acondicionado de precisión. Este equipo debe ser redundante para que en caso de falla se pueda continuar con la refrigeración.

Unidades de potencia ininterrumpida UPS, que proporcionen respaldo al mismo, con el fin de garantizar el servicio de energía eléctrica durante una falla momentánea del fluido eléctrico de la red pública.

Alarmas de detección de humo y sistemas automáticos de extinción de fuego, conectada a un sistema central. Los detectores deberán ser probados de acuerdo a las recomendaciones del fabricante o al menos una vez cada 6 meses y estas pruebas deberán estar previstas en los procedimientos de mantenimiento y de control.

Extintores de incendios o un sistema contra incendios debidamente probados y con la capacidad de detener el fuego generado por equipo eléctrico, papel o químicos especiales.

El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo protejan. Los cables de potencia deben estar separados de los de comunicaciones, siguiendo las normas técnicas. Las actividades de soporte y mantenimiento dentro del centro de datos siempre deben ser supervisadas por un funcionario y/o contratista autorizado por el jefe de Área de Tecnologías y Sistemas de Información o coordinador de grupo de Redes del DAPRE. Las puertas del centro de datos deben permanecer cerradas; Si por alguna circunstancia se requiere ingresar y salir del centro de datos, el funcionario responsable de la actividad se ubicará dentro del centro de datos. Cuando se requiera realizar alguna actividad sobre algún armario (rack), este debe quedar ordenado, cerrado y con llave, cuando se finalice la actividad. Mientras no se encuentre personal dentro de las instalaciones del centro de datos, las luces deben permanecer apagadas. Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallas que se puedan presentar. El acceso a la Hacienda Presidencial Hato grande y la Casa de Huéspedes Ilustres “Fuerte de San Juan de Manzanillo”, es restringido, para la autorización de acceso se debe generar una solicitud mediante correo institucional del DAPRE o documento enviado a través del Sistema de Gestión Documental “ESCRIBE PRESIDENCIA” a Jefatura para la Protección Presidencial.


CONTROL DE ACCESO

Proceso

asociado

Código

Versión


y Comunicaciones

L-TI-20

02

17

8. REVISIÓN DE DERECHOS DE ACCESO El Área de Tecnologías y Sistemas de Información realiza las acciones que permiten el registro, cancelación y periodicidad de revisión y ajuste a permisos de acceso a la red y servicios de red, asignados a los usuarios de los sistemas de información y comunicaciones del DAPRE, tomando como base los múltiples factores de riesgo existentes en la seguridad de la información.

9. DOCUMENTOS ASOCIADOS

Formato entrega de Rol F-TI-13.

Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28.

Procedimiento de Administración de Mesa de Servicios P-TI-11.

Gestión de novedades de cuentas de funcionarios de planta P-TI-25.

Compromiso y reserva F-GD-20.

Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28.

Registro de ingreso centro de cómputo F-TI-14.

Autorización ingreso visitantes F-SA-09.

10. RESPONSABLE DEL DOCUMENTO Jefe Área de Tecnologías y Sistemas de Información.

lineamientos para el control de acceso · para el retiro de derechos de acceso en la red, para...

Documents