Resolución N° 68/10
Nro de Expediente:
6003-001731-09
 
PLANIFICACION
Fecha de Aprobación:
4/1/2010

Tema:
VARIOS

Resumen:
Establecer la Política de Control de Acceso de Usuarios a los efectos de garantizar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas informáticos.-

Montevideo, 4 de Enero de 2010.-
 
          VISTO: las presentes actuaciones relacionadas con la importancia de identificar y proteger los activos de información de la Intendencia Municipal de Montevideo;
          RESULTANDO: que la Administración se ha trazado como objetivo el garantizar la continuidad de las principales operaciones y minimizar el impacto provocado por incidentes de seguridad, así como garantizar que la información distribuida o producida por la Organización mantenga su integridad y confidencialidad de forma apropiada y que la misma se encuentre disponible siempre que sea necesaria;
          CONSIDERANDO: 1º) que la Dirección de la División Tecnología de la Información, a fin de lograr estos cometidos, se ha abocado al desarrollo, implantación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información;
          2º) que en ese marco corresponde asignar al área responsable de seguridad de la información, el mantenimiento de dicha política y el asesoramiento respecto a su implantación;
          3º) que se debe garantizar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas informáticos;
          4º) que se estima necesario que todo el personal de la Intendencia Municipal de Montevideo debe adherirse a esta política de seguridad;
          5º) que el Director General del Departamento de Planificación se manifiesta de conformidad a lo


          informado, estimando procedente el dictado de Resolución al respecto;
          EL INTENDENTE MUNICIPAL DE MONTEVIDEO
          RESUELVE:

          1º. Establecer la siguiente Política de Control de Acceso de Usuarios a los efectos de garantizar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas informáticos:
          a) Gestión de acceso de usuarios
          a.1) Registro de usuarios
          i. Debe existir un procedimiento claro para las altas y bajas de permisos de acceso a los usuarios.
          ii. Todo usuario debe tener una identificación única que permita asociarlo con sus acciones.
          iii. Los permisos a otorgar a cada usuario deberán ser aprobados por un supervisor responsable con la justificación adecuada. Dicha aprobación debe estar debidamente documentada.
          iv. El nivel de acceso otorgado debe estar acorde con el principio de mínimo privilegio, siendo éste el mínimo necesario para cumplir con las actividades asociadas a su tarea dentro de la Organización.
          v. Se deben modificar o revocar inmediatamente los permisos de acceso de usuarios que cambian de roles o dejan la Organización.
          a.2) Gestión de privilegios
          i. La definición de Roles o Permisos y la administración de acceso a los sistemas será responsabilidad de los administradores de cada sistema. (Artículo R.418.9.)
          ii. Asignar a los usuarios un rol o permiso dentro de los que tiene definido cada sistema, que les habilite las posibilidades de realizar acciones en el mismo, estando habilitados a solicitar la asignación de roles o permisos a los nuevos usuarios, los Directores de Departamento, División o Servicio, los que deberán indicar para cuál de éstos se solicita acceso. Es responsabilidad de los Directores informar cuando un funcionario ya no puede tener más acceso a la red o a un rol en particular. (Artículo R.418.10.)
          iii. Debe existir un proceso de autorización y registro de los privilegios otorgados a usuarios. Los privilegios deben otorgarse una vez finalizado el proceso de autorización.
          a.3) Gestión de contraseñas
          i. Para trabajar en los Sistemas Informáticos de la Intendencia Municipal de Montevideo es necesario tener un usuario y su correspondiente contraseña que solamente conoce cada persona. (Artículo R.418.4)
          ii. Constituirá falta grave la divulgación de la contraseña, aunque ésta no llegase a ser utilizada. (Artículo R.418.8.)
          iii. La contraseña debe tener una vigencia máxima de 6 (seis) meses. En caso que el usuario omita realizar este cambio u olvide su contraseña solicitará la asignación de una nueva contraseña temporal.
          iv. La contraseña debe tener un mínimo de 8 (ocho) caracteres y debe ser el resultado de una combinación alfanumérica.
          v. Se dará a los usuarios inicialmente, una contraseña segura temporal para el ingreso a los sistemas, la cual deben cambiar inmediatamente.
          vi. Las contraseñas temporales deben ser únicas para cada usuario y generadas en forma aleatoria.
          vii. Las contraseñas temporales serán entregadas en forma segura, se debe evitar el uso del correo electrónico que no sea el corporativo o no protegidos (texto claro).
          viii. Para el cambio de contraseña se debe solicitar a la persona una identificación que permita verificar la identidad de la misma.
          ix. Los usuarios deben acusar el recibo de las contraseñas.
          x. En todo sistema de autenticación, que lo permita, se debe verificar automáticamente el vencimiento del plazo para el cambio de contraseña, el largo, la repetición y la no trivialidad de la misma.
          a.4) Revisión de permisos de acceso
          i. Cada seis (6) meses, se deben eliminar las cuentas de usuario que no fueron accedidas durante este período.
          ii. Los permisos de acceso deben ser revisados y reasignados cuando se modifica la condición laboral del usuario, por ejemplo una promoción, degradación o terminación de empleo.
          iii. Se mantendrá registro de los intentos de acceso fallido, a sistemas considerados críticos, el cuál será revisado semanalmente por el responsable de cada sistema de autenticación.
          iv. Constituirá falta grave el intento de obtener accesos no autorizados.
          b) Responsabilidades del usuario
          b.1) Uso de contraseña: Los usuarios son responsables de:
          i. mantener la confidencialidad de la contraseña
          ii. evitar registrar las contraseñas en papel o archivos de forma no segura
          iii. cambiar las contraseñas en el período establecido
          iv. evitar el uso de contraseñas ya utilizadas anteriormente
          v. cambiar las contraseñas temporales en la primer conexión
          vi. no compartir las contraseñas
          vii. no utilizar la misma contraseña que utiliza para propósitos particulares
          viii. seleccionar contraseñas que:
          * sean fáciles de recordar
          * no puedan ser adivinadas fácilmente, conteniendo información relacionada a la persona, por ejemplo nombres, números telefónicos, fechas
          * mantengan el largo mínimo establecido
          * no sean palabras incluidas en diccionarios
          * sean alfanuméricas
          * no contengan caracteres idénticos sucesivos
          b.2) Estaciones de trabajo
          i. Los usuarios deben asegurarse de:
          * cerrar las aplicaciones una vez terminado el trabajo en ellas
          * desconectarse de las aplicaciones o servidores una vez finalizado el trabajo
          * proteger las estaciones de trabajo que gestionan información sensible con salva pantalla controlado por contraseña, que se active automáticamente después de 10 minutos de inactividad
          b.3) Estaciones de trabajo móviles
          i. Los equipos y medios que contengan datos con información sensible, no deben dejarse desatendidos en sitios públicos.
          ii. Durante viajes, las computadoras portátiles deben, cuando sea posible, transportarse como equipaje de mano.
          iii. En caso de que las computadoras portátiles contengan información sensible, la misma deberá estar encriptada.
          iv. El usuario será responsable de asegurar el cumplimiento del punto anterior, pudiendo solicitar ayuda a Atención al Usuario, sobre las medidas a tomar.
          v. No deberá conectarse a redes inalámbricas no confiables o desconocidas para transmitir información sensible.
          vi. Previo a su utilización el usuario deberá consultar a Atención al Usuario, para que se controle el correcto funcionamiento del software antivirus y firewall del equipo, así como que el mismo tenga todos los parches correspondientes a su sistema operativo instalado.
          c) Definiciones
          i. Permisos de acceso: privilegio que asociado a un usuario le permita acceder, borrar o modificar cualquier recurso informático, o realizar acciones a través de los distintos sistemas tales como enviar un correo, disparar un proceso, modificar un dato, etc.
          ii. Contraseña segura: aquella contraseña que cumple con las directivas establecidas en esta política.
          iii. Se entiende por administrador de sistema a quién o quienes decidan sobre la finalidad, contenido y uso del sistema. No incluye a los técnicos informáticos.
          2º. Establecer que la Política de Control de Acceso de Usuarios, deberá ser revisada anualmente a efectos de evaluar su implantación y modificada cuando así se requiera, a efectos del eficaz cumplimiento de sus objetivos.-
          3º. Encomendar a la Asesoría Jurídica, la realización de los procedimientos pertinentes a los efectos de su incorporación al Digesto Municipal.-
          4º. Comuníquese a Secretaría General; a Asesoría Jurídica y a todos los Departamentos y pase a la División Tecnología de la Información.-
RICARDO EHRLICH, Intendente Municipal.-
LIC. ANDREA VIGNOLO, Secretaria General (I).-