Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Dirección de Contraloría Interna DGU50000102
Vigente a partir del 25/04/2016
DIRECTRICES DE LA GESTIÓN
DE CUENTAS DE USUARIO
Dirección de Contraloría Interna DGU50000102
Vigente a partir del 25/04/2016
Propiedad del Banco Nacional de Obras y Servicios Públicos, S.N.C.
Av. Javier Barros Sierra No. 515
Col. Lomas de Santa Fe,
Ciudad de México, C.P. 01219
Tel. 52-70-12-00
La reproducción total o parcial de este documento podrá efectuarse mediante la autorización expresa de la Dirección de Contraloría Interna, otorgándole el crédito correspondiente.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 1 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Hoja de autorización Elaboró
Israel Rojas Luna Subgerente de Seguridad de la Información 2
Rúbrica
Revisó
Julio Cesar Carrasco Ruiz Gerente de Cómputo
Rúbrica Juan Carlos Rodríguez Rodríguez Gerente de Seguridad de la
Información
Rúbrica
Aprobó
José Luis Cummings Ibarra Director de Contraloría Interna
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 2 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Sección de control de cambios Revisión
Página (s) modificada (s)
Descripción del cambio Fecha de emisión
1.0 5-11 Se Agregaron las Directrices de Gestion de Cuentas de adminsitracion de infraestructura Institucional
28/06/2016
1.0 18-24 Se agregaron los diagramas de proceso y descriptiva de la gestión de cuentas a infraestructura institucionales
28//06/2016
1.0 28-30 Se Adjuntan dos anexos:
Formato Responsiva de Acceso a Infraestructuras
Catálogo de Aplicaciones
28/06/2016
1.0 10-12 Actualizacion de lineamiento “ de la cuenta de usuario” y “ de la Contraseña”
13/07/2016
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 3 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Contenido
Hoja de autorización ______________________________________________ 1
Sección I. Visión General ___________________________________________ 4
I.1. Objetivo _____________________________________________________ 4
I.2. Alcance ______________________________________________________ 4
I.4. Marco jurídico y normativo______________________________________ 5
I.5. Instancias de autorización ______________________________________ 5
I.6. Definiciones y términos _________________________________________ 5
Sección II. Directrices ______________________________________________ 6
Sección III. Lineamientos __________________________________________ 12
Sección IV. Procedimientos ________________________________________ 13
Sección V. Anexos _______________________________________________ 19
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 4 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Sección I. Visión General
I.1. Objetivo Las presentes Directrices tienen como propósito contribuir a la implementación del Sistema de Gestión de Seguridad de la Información (SGSI), mediante los controles de seguridad de la información; que deben establecerse, generando políticas, lineamientos y procedimientos para la Gestión de Cuentas de Usuario: alta, baja, renovación y/o cambio de accesos en las aplicaciones o Activos de Información de BANOBRAS; esto, con el fin de preservar la confidencialidad, integridad y disponibilidad de la información generada por dichos aplicativos.
Adicionalmente, el contenido de este documento, da cumplimiento a lo establecido en la normatividad vigente, con relación a la seguridad de la información.
I.2. Alcance Estas Directrices aplican a todo el personal interno y externo, que por necesidades de negocio/laborales, requieran contar con acceso a las aplicaciones o a las infraestructuras institucionales, para realizar actividades relacionadas a su función dentro de BANOBRAS.
I.3. Responsabilidades respecto al documento
Responsable Responsabilidad Director de Contraloría
Interna Autorizar estas Directrices del proceso de Gestión de Cuentas de
Usuarios. Proponer mejoras en apego a los Objetivos y Lineamientos del
Sistema de Control Interno. Gerente de Cómputo Proponer mejoras.
Gerente de Seguridad de la Información
Coordinar la actualización del presente documento cuando se requiera o derivado de: Modificaciones al marco jurídico y normativo aplicable; Observaciones y/o recomendaciones por parte de las instancias
de supervisión y fiscalización, así como de las autoridades competentes;
Cambios en la estructura organizacional de BANOBRAS y mejora del proceso de calidad regulatoria.
Gestionar la publicación de este documento en la Normateca. Enviar a guarda y custodia el documento.
Subgerente de Seguridad de la Información 2
Elaborar la Directriz del proceso de Gestión de Usuarios. Proponer y coordinar las mejoras.
Personal facultado de las áreas involucradas
Aplicar estas Directrices del proceso de Gestión de Usuarios. Proponer y ejecutar las mejoras.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 5 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
I.4. Marco jurídico y normativo A continuación se señalan los ordenamientos jurídicos, en que se sustentan las políticas y procedimientos de estas Directrices, en la inteligencia de que es una referencia efectuada de manera enunciativa más no limitativa:
Manual de Políticas Generales de Seguridad de la Información; inciso 5.
MAAGTICSI, Proceso de la Administración de la Seguridad de la Información (Administración de Seguridad de la Información); proceso ASI 6.
Circular Única de Bancos (CUB); artículo 166; anexo 52.
Objetivos y Lineamientos del Sistema de Control Interno de BANOBRAS; sección, III.1.5.
Guía para la Emisión de la Normativa Interna.
I.5. Instancias de autorización El presente documento debe ser autorizado por el Director de Contraloría Interna, de conformidad con la Guía para la Emisión de la Normativa Interna.
I.6. Definiciones y términos Perfil: conjunto de requisitos y cualificaciones requeridos para el cumplimiento satisfactorio de las tareas del usuario.
Rol: papel que desempeña un individuo o un grupo en una actividad determinada.
Cuenta de usuario: es el identificador asignado al usuario para su acceso a los aplicativos institucionales o infraestructura institucional.
Usuario: Es toda persona que presta sus servicios dentro de BANOBRAS y que requiere acceso a los aplicativos institucionales.
Usuario con privilegios altos: Es toda persona facultada y autorizada para el mantenimiento, configuración y soporte dentro de la infraestructura institucional de BANOBRAS.
Cuenta de usuario genérica: es un identificador para el acceso a los aplicativos que no corresponde a una persona en particular.
Ticket de atención: es el número asignado por la Mesa de Servicios BANOBRAS para la atención de alguna solicitud.
Inhabilitación de cuenta de usuario: Es el mecanismo que se ejecuta para que un usuario no pueda tener acceso a los aplicativos institucionales.
Cambio en cuenta de usuario: solicitud de cambio de identificador de usuario (user-id) o contraseña, así como la solicitud de cambio de perfil.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 6 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Infraestructura Institucional: Son los aplicativos, bases de datos, servidores, sistemas operativos, software institucional, equipos de cómputo, equipos de comunicaciones que soportan la operación diaria en BANOBRAS.
Gerencia de Seguridad de Información: responsable de la gestión de accesos y resguardo de formatos de solicitud; asimismo dar visto bueno de las solicitudes generadas por el usuario solicitante.
Administrador Operativo de la Aplicación Institucional: es el responsable de la definición del perfilamiento y las actividades del proceso de negocio, dentro del aplicativo.
Administrador de la Infraestructura Institucional: es el responsable del mantenimiento operativo de los activos de información que soportan los aplicativos institucionales.
Área Usuaria: es aquella Gerencia o un nivel superior que requiere la inhabilitación de una cuenta de usuario correspondiente a una persona que dejará de laborar en la Institución.
Sección II. Directrices
II.1. Generales
1. El acceso de los usuarios a la Infraestructura institucional y/o aplicativos institucionales de Banobras, debe ser mediante un identificador de usuario único y su contraseña, los cuales deben ser de uso personal e intransferible
2. Las políticas de sesión, bloqueo, desbloqueo, inactividad y contraseña de las cuentas de usuario deberán ser similares a las configuradas en el directorio activo de Banobras.
3. Los usuarios deben tener acceso sólo a lo correspondiente al perfil/rol requerido.
4. Toda cuenta de usuario genérico o para personal externa debe estar asociada al menos a una personal que labore en Banobras, con nivel mínimo de Subgerencia.
5. El nivel mínimo de autorización en los procesos de alta, baja y/o cambio, debe de ser de Gerencia.
6. La Gerencia Seguridad de la Información, debe ser la única instancia facultada para gestionar la ejecución de las actividades de alta, baja, cambios y monitoreo de usuarios; así como el resguardo de la documentación generada.
7. La solicitud de altas, bajas y/o cambios de cuenta de usuarios a la Infraestructura institucional y/o aplicativos institucionales de Banobras debe hacerse a través de formatos correspondientes disponibles en la Intranet:
(FOR-01-SAAI) Solicitud de acceso para Aplicativos Institucionales. (FOR-01-RAII) Responsiva de acceso para Infraestructuras Institucionales.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 7 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
8. El nombre y firma del usuario solicitante y final de los formatos a solicitar, deben ser los mismos que la de su credencial Institucional.
9. Todo solicitud de accesos lógico, será uso exclusivo del personal de Tecnologías de la Información y Comunicaciones, el cual será asignado mediante el formato.
10. Todos los accesos lógicos serán gestionados a través de la Mesa de Servicios de Banobras, previamente equidistado.
11. Los formatos deberán contar con el visto bueno, y serán resguardados por la Gerencia de Seguridad de la Información.
12. El usuario solicitante debe ser quien tramite y obtenga las autorizaciones necesarias para la solicitud de alta, baja o cambio de cuenta de usuario y quien realice la entrega del formato original a la Gerencia de Seguridad de la Información.
13. El usuario debe entregar en la Mesa de Servicios BANOBRAS la copia de los formatos solicitud de acceso a la Infraestructura institucional y/o aplicativos institucionales de Banobras con la validación y visto bueno de la Gerencia de Seguridad de la Información.
14. Para usuarios de las Delegaciones Estatales, su trámite se realizará de forma electrónica, utilizando el correo electrónico institucional.
15. Para la autorización de aplicaciones a usuarios de las Delegaciones Estatales, es necesario solicitar el visto bueno correspondiente, vía correo electrónico institucional del administrador operativo del aplicativo.
16. Una vez que los usuarios de las Delegaciones Estatales cuenten con el correo de la autorización por el administrador operativo del aplicativo institucional, se deberá adjuntar con en el formato FOR-01-SAAI previamente requisitado y enviarlo por correo a la Gerencia de Seguridad de la Información.
17. La Gerencia de Seguridad de la Información responsable del control de accesos, solicitará el formato original a los usuarios solicitantes para la gestión de su solicitud.
18. La Mesa de Servicios BANOBRAS, únicamente debe dar trámite a las cuentas de usuario que muestren la validación y el visto bueno de la Gerencia de Seguridad de la Información.
19. La Gerencia de Cómputo, debe garantizar que para la captura de datos (dependiendo la solicitud) está completa conforme a datos requisitados.
20. La Mesa de Servicios BANOBRAS, debe contar con la evidencia de la ejecución de lo solicitado.
21. La Gerencia de Seguridad de la Información, debe estar notificada al cierre de la solicitud, una vez que se cuente con la evidencia de la atención a lo solicitado en los formatos FOR-01-SAAI y FOR-01-RAII.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 8 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
II.2. Del procedimiento de alta
1. El usuario debe contar con los servicios básicos de Tecnologías de Información, como usuario de red, equipo de cómputo y correo electrónico de BANOBRAS antes de realizar la solicitud del alta de cuenta de usuario.
2. El Administrador Operativo de la Aplicación Institucional debe autorizar el acceso mediante nombre y firma en el formato FOR-01-SAAI.
3. El usuario debe presentar la credencial institucional a la Gerencia de Seguridad de la Información al entregar el formato FOR-01-SAAI y/o FOR-01-RAII, debidamente requisitado para su validación.
4. El Administrador de la Infraestructura Institucional, debe autorizar el acceso con su nombre y firma en el formato FOR-01-RAII.
5. El perfilamiento debe ser conforme a los perfiles/roles definidos en la aplicación solicitada por el responsable del proceso de negocio.
6. El perfilamiento dentro de la Infraestructura Institucional debe ser conforme a los perfiles/roles definidos dentro de la tecnología a utilizar y el responsable de cada Infraestructura de Tecnologías de la Información y Comunicaciones.
II.3. Del procedimiento de inhabilitación
1. La inactividad de una cuenta de usuario en un periodo mayor a 3 meses, debe ser causa de inhabilitación.
2. La cuenta de usuario será inactactiva después de tres intentos fallidos.
3. Si a través de los procedimientos de validación de accesos o monitoreo, se detecta que las actividades de un usuario comprometen la integridad, confidencialidad y/o disponibilidad de la información, será motivo de inhabilitación de su cuenta.
4. La solicitud de una inhabilitación inmediata de cuenta de usuario debe realizarse mínimo a nivel Gerencia, mediante correo electrónico a la Gerencia de Seguridad de la Información.
5. En el caso de una baja laboral de una persona, el jefe inmediato con nivel mínimo de Gerencia, podrá solicitar vía correo electrónico a la Gerencia de Seguridad de la Información, la inhabilitación de la(s) cuenta(s) de usuario asignadas a esa persona.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 9 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
II.4. Del procedimiento de habilitación
1. La habilitación de cuentas de usuario se deberá solicitar a través de Mesa de Servicio Banobras.
II.5. Del procedimiento de cambio
1. Los cambios de área o promociones del personal, deben ser notificados por el área de Recursos Humanos y/o jefe inmediato, a la Gerencia de Seguridad de la Información.
2. Los cambios o solicitudes de nuevos perfiles, deberán ser definidos y gestionados a través de una solicitud de mejora de sistema; esta debe ser autorizada por el Administrador Operativo del Aplicativo y ejecutado por el Administrador del Aplicativo con el visto bueno de la Gerencia de Seguridad de la Informacion.
3. El perfil o rol solicitado debe ser conforme a lo definido en el aplicativo.
II.6. Del procedimiento de renovación de accesos a infraestructura Institucional
1. El procedimiento de renovación de acceso aplica sólo para el personal de la Dirección de Tecnologías de la información y comunicaciones, el cual, se llevará a cabo una vez al año, mediante el formato FOR-01-RAII.
II.7. De la cuenta de usuario 1. La cuenta de usuario debe estar formada por 8 posiciones, conformadas por la primera
letra del nombre + apellido paterno + primera letra de apellido materno.
2. En caso de concurrencia, la cuenta de usuario a 8 posiciones debe conformarse por la primera letra de nombre + apellido paterno + identificador número de concurrencia logrando el identificador a 8 posiciones.
3. En caso de concurrencias mayores a 9, para formar la cuenta de usuario a 8 posiciones se debe eliminar letras finales del apellido colocando el número de identificador de concurrencia.
4. En caso de no tener apellido materno, para formar la cuenta de usuario, se debe colocar: primera letra de nombre + apellido paterno + número de concurrencia para completar las 8 posiciones.
5. En caso de primera concurrencia la cuenta de usuario se debe formar con la primera letra de nombre + apellido paterno + consecutivo a dos dígitos indicando el número de concurrencia.
6. En caso de tener apellido paterno muy largo la cuenta de usuario se debe forma con la primera letra de nombre + apellido paterno a 7 posiciones.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 10 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
7. En caso concurrencia, la cuenta de usuario se debe forma con la primera letra de nombre + apellido paterno + consecutivo a dos dígitos indicando el número de concurrencia.
8. En caso de tener apellido paterno muy corto, la cuenta se debe forma con la primera letra de nombre + apellido paterno + número de indicador de concurrencia para completar 8 posiciones.
9. En caso concurrencia, la cuenta de usuario se debe forma con la primera letra de nombre + apellido paterno + indicador de concurrencia.
10. Para cualquier alta de usuario en las aplicaciones o Infraestructuras se deberá respetar el Id user generado en el directorio activo Banobras.
11. Para todos los aplicativos y activos de información de Banobras, que utilicen al menos una cuenta de usuario deberán contar con las siguientes lineamientos configurables para el control de acceso:
Bloqueo de cuentas al tercer de intento fallidos de acceso a sistemas informáticos
Almacenamiento de un historial de 12 contraseñas de acceso a los sistemas
Cambio obligatorio de contraseña al acceder por primera vez a los sistemas
Desconexión por tiempo 300 segundos de inactividad de los sistemas
No utilizar sesiones múltiples o simultaneas / concurrentes de los sistemas
Debera cambiarse cada 30 dias
Que el historial de contraseñas sea guardado de forma cifrada
Que no se pueda desbloquear de forma automática
Debera contar con una bitácora de intentos fallidos
II.8. De la contraseña 1. La contraseña asociada a la cuenta de usuario, debe cumplir con los siguientes criterios:
a. Debe contener al menos 8 caracteres.
b. Debe contener al menos un carácter alfanumérico y un carácter especial (_, -, /, *, $, ¡, ¿, =, +, etc.), de forma no consecutiva. Por ejemplo: s3cr?tbr.
c. No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc.
d. No debe tener como base un nombre propio, por ejemplo: gato2016.
e. No debe estar relacionada con números telefónicos o fechas de nacimiento, por ejemplo: hola1979, a6713617.
f. No debe ser basada en información personal, nombres de familia, etc.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 11 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
g. Deberá cambiarse cada 45 días.
h. Las contraseñas no debe contener más de dos caracteres idénticos consecutivos.
i. No debe ser un palíndromo, por ejemplo: agasaja.
2. Todas las contraseñas deben ser tratadas con carácter confidencial.
3. Si alguna contraseña es detectada y catalogada como no segura, debe darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña.
4. Para las contraseñas de las cuentas de usuario con altos privilegios en los activos de información Institucionales,deberán cumplir como minimo los siguientes criterios.
a) Debe contener al menos 12 caracteres:
Al menos una Letra Mayuscula
Al menos una Letra Minuscula
Almenos un carecter numérico
Al menos un caractere no-alfanuméricos (por ejemplo: !, $, #, %, . , etc )
b) Debera cambiarse cada 30 dias
c) Que no pueda restablecer o cambiar password despues 3 dias de haberlo actualizado.
d) Que el historial de contraseñas se guardado de forma cifrada
e) Que no se pueda desbloquear de forma automática
f) Debera contar con una bitácora de intentos fallidos
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 12 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Sección III. Lineamientos
III.1. Administrativos
1. La Subdirección de Soluciones Tecnológicas, debe mantener actualizado el Catálogo de Firmas de Administradores Operativos de Aplicativos Institucionales.
2. El área de Recursos Humanos debe actualizar y mantener disponible la información de las plantillas del personal activo que labora en la Institución.
3. El área de Recursos Humanos, debe notificar al área responsable de la Gestión de Accesos, los movimientos de personal (altas, bajas y cambios) de forma periódica (15 días).
4. La información válida para la creación de cuentas de usuario dentro de un aplicativo, sólo debe ser la especificada dentro del formato FOR-01-SAAI o del Directorio Activo.
5. La información válida para la creación de cuentas de usuario dentro de las Infraestructuras Institucionales, sólo debe ser la especificada dentro del formato FOR-01-RAII.
6. La Subgerencia de Computo Central deberá actualizar el listado de usuarios con privilegios de administrador en las Infraestructuras Institucionales.
7. La Subgerencia de Computo Central Institucional deberá contar con mecanismos de monitoreo para las cuentas de usuario en las Infraestructuras Institucionales.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 13 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Sección IV. Procedimientos
IV.1. Diagrama de flujo del procedimiento de alta de cuenta de usuario
InicioEntrada
FOR-01-SAAI
Usuario Solicitante
1. Descarga de la Intranet el formato
Administrador Operativo de la Aplicación Institucional
2. Verifica firmas en el formato y valida perfil
¿La verificación y validación son sat isfactorias?
Usuario Solicitante
4. Entrega formato validado y firmado
Gerencia de Seguridad de la Información
5. Valida información y firmas del formato
¿La validación es
sat isfactoria?
Mesa de Servicios BANOBRAS
9. Ejecuta la acción solicitada y Notifica el cierre de Ticket
A
A
¿La verificación es sat isfactoria?
SalidaCuenta de usuario y
contraseña
Fin
No
No
No
Sí
Usuario Solicitante
7. Solicita ejecución del alta a Mesa de Servicios BANOBRAS
Mesa de Servicios BANOBRAS
8. Recibe solicitud y verif ica firma
Administrador Operativo de la Aplicación Institucional
3. Firma y entrega formato
Sí
Sí
Gerencia de Seguridad de la Información
6. Firma formato y entrega copia al usuario y resguarda documentación
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 14 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.2. Descripción de actividades del proceso de alta de cuenta de usuario
Responsable Paso Actividad Documento de trabajo
Tiempo
1.0 Descarga de la Intranet el formato.
Usuario solicitante
1.1 Descarga de la Intranet el formato, lo requisita conformeal instructivo de llenado y lo entrega al Administrador Operativo del aplicativo para su validación.
FOR-01-SAAI 1 hora
Administrador Operativo de la
Aplicación Institucional
2.0 Verifica firmas en el formato y valida perfil.
2.1
Verifica que el formato cuente con las firmas del usuariosolicitante y jefe inmediato y valida que el perfil/rolsolicitado sea el adecuado para el desempeño de susfunciones.
FOR-01-SAAI
2.2 ¿La verificación y validación son satisfactorias? Si, continúa actividad 3.0 No, repite actividad 1.0
1 hora
3.0 Firma y entrega formato.
3.1 Valida formato con nombre y firma, y lo entrega al usuariopara continuar con el proceso.
FOR-01-SAAI 1 hora
Usuario solicitante
4.0 Entrega formato validado y firmado.
4.1 Entrega formato validado y firmado por el Administrador Operativo (FOR-01-SAAI) a la Gerencia de Seguridad de la Información, para su validación.
FOR-01-SAAI 1 hora
Gerencia de Seguridad de la
Información
5.0 Valida información y firmas del formato.
5.1 Valida la(s) firma(s) del/los administrador(es) del/los aplicativo(s) con el Catálogo de Firmas y que el formatoesté debidamente requisitado.
FOR-01-SAAI Catálogo de Firmas
5.2 ¿La validación es satisfactoria? Si, continúa actividad 6.0 No, repite actividad 1.0
1 hora
6.0 Firma formato, entraga copia al usuario y resguarda documentación.
6.1 Valida con nombre y firma el formato, entrega copia del formato al usuario y resguarda la documentación generada.
FOR-01-SAAI 1 hora
Usuario solicitante
7.0 Solicita ejecución del alta.
7.1 Solicita ejecución del alta a Mesa de ServiciosBANOBRAS, con la copia del formato validado por la Gerencia de Seguridad de la Información.
Copia de FOR-01-SAAI
1 hora
Mesa de Servicios
BANOBRAS
8.0 Recibe solicitud y verifica firma.
8.1 Recibe solicitud y verifica la firma de la Gerencia de Seguridad de la Información en la copia del formato con el Catálogo de Firmas.
Copia del FOR-01-SAAI
1 hora
8.2 ¿La verificación es satisfactoria? Si, continúa actividad 9.0 No, repite actividad 5.0
9.0 Ejecuta la acción solicitada.
9.1
Ejecuta el alta conforme a lo solicitado en el formato,envía identificador de usuario y entrega contraseña alusuario. Nota: el tiempo de ejecución de esta actividad será deuna hora por aplicativo.
Copia del FOR-01-SAAI
1 hora
9.2 Notifica y manda evidencia (capturas de pantalla), de la ejecución del alta a la Gerencia de Seguridad de laInformación.
Correo electrónico con notificación y
evidencia 1 hora
Fin del procedimiento
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 15 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.3. Diagrama de flujo del proceso de inhabilitación de cuenta de usuario
SalidaCuenta de usuario y
contraseña inhabilitadas
Inicio
Gerencia de Seguridad de la Información
2. Recibe y valida solicitud
¿La solicitud es válida?
Gerencia de Seguridad de la Información
5. Recibe reporte de accesos por aplicativo y notificación de inhabilitación
de cuenta
Sí
No
Recursos Humanos / Área Usuaria
1. Envía solicitud
Gerencia de Seguridad de la Información
3. Solicita inhabilitación de cuenta
Gerencia de Cómputo
4. Inhabilita cuenta, notifica, realiza y envía reporte de accesos
Fin
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 16 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.4. Descripción de actividades del proceso de inhabilitación de cuenta de usuario
Responsable Paso Actividad Documento de Trabajo Tiempo
Recursos Humanos o Área
Usuaria
1.0 Envía solicitud.
1.1
Envía solicitud de inhabilitación de cuenta de usuario alárea responsable de la Gestión de Accesos, vía correoelectrónico o mediante el formato requisitado conforme alinstructivo.
“Formatos de Acceso (FOR-01-SAAI o Correo
electrónico 1 hora
Gerencia de Seguridad de la
Información
2.0 Recibe y valida solicitud. 1 hora
2.1 Recibe solicitud de inhabilitación de cuenta de usuario(formato/correo).
FOR-01-SAAI o Correo electrónico
2.2 Valida solicitud de inhabilitación de cuenta de usuario,verificando que el área usuaria corresponda al área de los usuarios a inhabilitar.
FOR-01-SAAI o Correo electrónico,
Estructura Organizacional de BANOBRAS
1 hora
2.3 ¿La solicitud es válida? Si, continúa actividad 3.0. No, repite actividad 1.0.
3.0 Solicita inhabilitación de cuenta.
3.1 Solicita a la Gerencia de Cómputo, la inhabilitación de la cuenta de usuario para suspender su uso.
Copia del FOR-01-SAAI o Correo electrónico
1 hora
3.2 Solicita Reporte de los accesos por aplicativo de las cuentas a inhabilitar.
Gerencia de
Cómputo
4.0 Inhabilita cuenta, notifica, realiza y envía reporte deaccesos.
4.1 Ejecuta Inhabilitación de la cuenta de usuario indicada enla solicitud y notifica al área responsable de la Gestión deAccesos, anexando evidencia de la ejecución.
Copia del FOR-01-SAAI o Correo electrónico,
Correo electrónico con notificación
1 hora
4.2 Genera reporte de accesos por aplicativo, del usuario a inhabilitar.
Correo electrónico 1 hora
4.3 Envía reporte de accesos por cuenta de usuario a inhabilitar.
Correo electrónico Reporte de accesos del usuario por aplicativo.
1 hora
Gerencia de Seguridad de la
Información
5.0 Recibe reporte de accesos por aplicativo ynotificación de inhabilitación de cuenta.
5.1 Recibe reporte de accesos del/los usuarios a inhabilitar, por aplicativo.
Correo electrónico 1 hora
5.2 Recibe notificación de inhabilitación de usuarios. Correo electrónico 1 hora
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 17 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.5. Diagrama de flujo del proceso de cambio en cuenta de usuario.
InicioEntrada
FOR-01-SAAI
Usuario Solicitante
1. Descarga, requisita y entrega formato
Administrador Operativo de la Aplicación Institucional
2. Verifica firmas en el formato y valida perfil
¿La verificación y validación son sat isfactorias?
Usuario Solicitante
4. Entrega formato validado y firmado
Gerencia de Seguridad de la Información
5. Valida información y firmas del formato
¿La validación de firmas
es satisfactoria?
Mesa de Servicio BANOBRAS
9. Ejecuta el cambio solicitado y Not if ica
A
A
¿La verificación es sat isfactoria?
SalidaCuenta de usuario
modif icada(a)
Fin
No
No
Sí
No
Sí
Mesa de Servicios BANOBRAS
8. Recibe solicitud y verif ica firma
Mesa de Servicios BANOBRAS
10. Cierra ticket
Usuario Solicitante
7. Solicita ejecución del cambio
Administrador Operativo de la Aplicación Institucional
3. Firma y entrega formato
Gerencia de Seguridad de la Información
6. Firma formato, entrega copia al usuario y resguarda documentación
Sí
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 18 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.6. Descripción de actividades del proceso de cambio en cuenta de usuario
Responsable Paso Actividad Documento de trabajo Tiempo
Usuario solicitante
1.0 Descarga, requisita y entrega formato. 1 hora
1.1 Descarga de la Intranet el formato, lo requisita conforme al instructivo y lo entrega al Administrador Operativo del Aplicativopara su validación.
“Formatos de Acceso (FOR-01-SAAI
Administrador Operativo de la
Aplicación Institucional
2.0 Verifica firmas en el formato y valido perfil.
2.1 Verifica que el formato cuente con las firmas del usuario solicitante y jefe inmediato y valido que el perfil/rol solicitado sea el adecuado para el desempeño de sus funciones.
FOR-01-SAAI 1 hora
2.2 ¿La verificación y validación son satisfactorias? Si, continúa actividad 3.0. No, repite actividad 1.0.
3.0 Firma y entrega formato.
3.1 Valida formato con nombre y firma el formato y lo entrega al usuario para continuar con el proceso.
FOR-01-SAAI 1 hora
Usuario solicitante
4.0 Entrega formato validado y firmado
4.1 Entrega formato validado y firmado por el Administrador Operativo del Aplicativo al área responsable de la Gestión de Accesos, para su validación.
FOR-01-SAAI 1 hora
Gerencia de Seguridad de la
Información
5.0 Valida información y firmas del formato.
5.1 Valida las firmas del formato con el Catálogo de Firmas y que el formato esté requisitado conforme al instructivo.
FOR-01-SAAI Catálogo de Firmas
1 hora
5.2 ¿La validación de firmas es satisfactoria? Si, continúa actividad 6.0. No, repite actividad 1.0.
6.0 Firma formato, entrega copia al usuario y resguarda documentación.
6.1 Valida con nombre y firma el formato, entrega copia al usuario y resguarda documentación generada.
FOR-01-SAAI 1 hora
Usuario solicitante
7.0 Solicita ejecución del cambio.
7.1 Solicita la ejecución del cambio a Mesa de Servicios BANOBRAS con lo especificado en la copia del formato validado.
Copia de FOR-01-SAAI 1 hora
Mesa de Servicios
BANOBRAS
8.0 Recibe solicitud y verifica firma.
8.1 Recibe solicitud y verifica la firma del área responsable de la Gestión de Accesos en la copia del formato con el Catálogo de Firmas.
Copia de FOR-01-SAAICatálogo de Firmas
1 hora
8.2 ¿La verificación es satisfactoria? Si, continúa actividad 9.0. No, repite actividad 6.0.
9.0 Ejecuta el cambio solicitado.
9.1 Ejecuta el cambio conforme a lo solicitado en el formato. Nota: el tiempo de ejecución de esta actividad será de una hora por aplicativo.
Copia de FOR-01-SAAIy/o FOR-01-RAII
1 hora
9.2 Notifica y manda evidencia de la ejecución del cambio (capturas de pantalla) a la Gerencia de Seguridad de la Información.
Correo electrónico con notificación y evidencia(Capturas de Pantalla)
Mesa de Servicios
BANOBRAS 11.0 Cierra ticket.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 19 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.7. Diagrama de flujo del procedimiento de alta de cuenta de usuario con altos privilegios en la Infraestructura Institucional
InicioFOR-01-RAII
Usuario Solicitante
1.Solicita formato
Administrador de la Infraestructura Institucional
2. Verifica firmas en el formato y valida solicitud
¿La verificación y validación son sat isfactorias?
Usuario Solicitante
4. Entrega formato validado y firmado
Gerencia de Seguridad de la Información
5. Valida información y firmas del formato
¿La validación es
sat isfactoria?
Administrador de la Infraestructura Institucional
9. Ejecuta la acción solicitada y Notifica
A
A
¿La verificación es sat isfactoria?
SalidaCuenta de usuario y
contraseña
Fin
No
No
No
Sí
Mesa de Servicios BANOBRAS
10. Recibe Vo. Bo. y cierra t icket
Usuario Solicitante
7. Solicita ejecución del alta a Mesa de Servicios BANOBRAS
Mesa de Servicios BANOBRAS
8. Recibe solicitud y verif ica firma
Administrador de la Infraestructura Institucional
3. Firma y entrega formato
Sí
Sí
Gerencia de Seguridad de la Información
6. Firma formato y entrega copia al usuario y resguarda documentación
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 20 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.8. Descripción de actividades del proceso de alta de cuenta de usuario con altos privilegios en
Infraestructura Institucional. Responsable Paso Actividad Documento
de trabajo Tiempo
1.0 Descarga de la Intranet el formato.
Usuario solicitante
1.1 Solicita el formato a la Gerencia de Computo, lo requisita conforme al instructivo de llenado y lo entrega al Administrador dela Infraestructura Institucional para su validación.
“ FOR-01-RAII ”
1 hora
Administrador Infraestructura
Institucional
2.0 Verifica firmas en el formato y valida acceso.
2.1 Verifica que el formato cuente con las firmas del usuario solicitante y jefe inmediato y valida que el acceso solicitado sea el adecuado.
FOR-01-RAII
2.2 ¿La verificación y validación son satisfactorias? Si, continúa actividad 3.0 No, repite actividad 1.0
1 hora
3.0 Firma y entrega formato.
3.1 Valida formato con nombre y firma, y lo entrega al usuario para continuar con el proceso.
1 hora
Usuario solicitante
4.0 Entrega formato validado y firmado.
4.1
Entrega formato validado y firmado por el Administrador Operativo del Aplicativo Institucional a la Gerencia de Seguridad de la Información responsable de la gestión de accesos, para su validación y visto bueno.
FOR-01-RAII 1 hora
Gerencia de Seguridad de la
Información
5.0 Valida información y firmas del formato.
5.1 Valida la(s) firma(s) del/los administrador(es) del/los aplicativo(s) con el Catálogo de Firmas y que el formato esté debidamente requisitado.
Catálogo de
Firmas
5.2 ¿La validación es satisfactoria? Si, continúa actividad 6.0 No, repite actividad 1.0
1 hora
6.0 Firma formato, entrega copia al usuario y resguarda documentación.
6.1 Valida con nombre y firma el formato, entrega copia del formato al usuario y resguarda la documentación generada.
FOR-01-RAII 1 hora
Usuario solicitante
7.0 Solicita ejecución del alta.
7.1 Solicita ejecución del alta a Mesa de Servicios BANOBRAS, con la copia del formato validado por el área responsable de la Gestión de Accesos.
Copia del FOR-01-RAII
1 hora
Mesa de Servicios
BANOBRAS
8.0 Recibe solicitud y verifica firma.
8.1 Recibe solicitud y verifica la firma del área responsable de la Gestión de Accesos en la copia del formato con el Catálogo de Firmas.
1 hora
8.2 ¿La verificación es satisfactoria? Si, continúa actividad 9.0 No, repite actividad 5.0
Administrador Infraestructura
Institucional
9.0 Ejecuta la acción solicitada. 1 hora
9.1
Ejecuta el alta conforme a lo solicitado en el formato, envía identificador de usuario y entrega contraseña al usuario. .
Correo electrónico
con notificación y
evidencia
1 hora
9.2 Notifica y manda evidencia de la ejecución del cambio (capturas de pantalla) a la Gerencia de Seguridad de la Información.
Mesa de Servicios
BANOBRAS 10.0 Cierre ticket. Correo 1 hora
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 21 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.9. Diagrama de flujo del proceso de cambio en cuenta de usuario con altos privilegios en la Infraestructura Institucional.
Inicio
Usuario Solicitante
1. solicita formato
Administrador de la Infraestructura Institucional
2. Verifica firmas en el formato y valida el cambio del acceso
¿La verificación y validación son sat isfactorias?
Usuario Solicitante
4. Entrega formato validado y firmado
Gerencia de Seguridad de la Información
5. Valida información y firmas del formato
¿La validación de firmas
es satisfactoria?
Administrador de la Infraestructura Institucional
9. Ejecuta el cambio solicitado y Notif ica
A
A
¿La verificación es sat isfactoria?
SalidaCuenta de usuario
modif icada(a)
Fin
No
No
Sí
No
Sí
Mesa de Servicios BANOBRAS
8. Recibe solicitud y verif ica firma
Mesa de Servicios BANOBRAS
10. Cierra ticket
Usuario Solicitante
7. Solicita ejecución del cambio
Administrador de la Infraestructura Institucional
3. Firma y entrega formato
Gerencia de Seguridad de la Información
6. Firma formato, entrega copia al usuario y resguarda documentación
Sí
FOR-01-RAII
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 22 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.10. Descripción de actividades del proceso de cambio en cuenta de usuario con altos privilegios en la Infraestructura Institucional
Responsable Paso Actividad Documento de
trabajo Tiempo
Usuario solicitante
1.0 Solicita, requisita y entrega formato. 1 hora
1.1 Solicita formato a la Gerencia de Computo, lo requisita conformeal instructivo y lo entrega al Administrador de la Infraestructurapara su validación.
“FOR-01-RAII“
Administrador de la
Infraestructura Institucional
2.0 Verifica firmas en el formato y valida perfil.
2.1 Verifica que el formato cuente con las firmas del usuariosolicitante y jefe inmediato y valida que el perfil/rol solicitado sean el adecuado para el desempeño de sus funciones.
FOR-01-RAII 1 hora
2.2 ¿La verificación y validación son satisfactorias? Si, continúa actividad 3.0. No, repite actividad 1.0.
3.0 Firma y entrega formato.
3.1 Valida formato con nombre y firma el formato y lo entrega alusuario para continuar con el proceso.
1 hora
Usuario solicitante
4.0 Entrega formato validado y firmado
4.1 Entrega formato validado y firmado por el Administrador de la Infraestructura Institucional y Gerencia de Seguridad de la Información para para su validación y visto bueno.
“FOR-01-RAII” 1 hora
Gerencia de Seguridad de la Información
5.0 Valida información y firmas del formato.
5.1 Valida las firmas del formato con el Catálogo de Firmas y que el formato esté requisitado conforme al instructivo.
Catálogo de Firmas
1 hora
5.2 ¿La validación de firmas es satisfactoria? Si, continúa actividad 6.0. No, repite actividad 1.0.
6.0 Firma formato, entrega copia al usuario y resguarda documentación.
6.1 Valida con nombre y firma el formato, entrega copia al usuario y resguarda documentación original generada.
1 hora
Usuario solicitante
7.0 Solicita ejecución del cambio.
7.1 Solicita la ejecución del cambio a Mesa de Servicios BANOBRAS con lo especificado en la copia del formato validado.
Copia “FOR-01-RAII
1 hora
Mesa de Servicios
BANOBRAS
8.0 Recibe solicitud y verifica firma.
8.1 Recibe solicitud y verifica la firma del área responsable de la Gestión de Accesos en la copia del formato con el Catálogo de Firmas.
1 hora
8.2 ¿La verificación es satisfactoria? Si, continúa actividad 9.0. No, repite actividad 6.0.
Administrador de la
Infraestructura Institucional
9.0 Ejecuta el cambio solicitado.
9.1 Ejecuta el cambio conforme a lo solicitado en el formato. Nota: el tiempo de ejecución de esta actividad será de una horapor aplicativo.
1 hora
9.2 Notifica y manda evidencia de la ejecución del cambio (capturas de pantalla.
Correo electrónico con notificación y
evidencia
Mesa de Servicios
BANOBRAS 10.0 Cierra ticket.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 23 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.11. Diagrama de flujo del proceso de renovación de accesos a usuario con altos privilegios en la Infraestructura Institucional
InicioFOR-01-RAII
Usuario Solicitante
1.Solicita formato para renovación
Administrador de la Infraestructura Institucional
2. Verifica firmas en el formato y valida solicitud
¿La verificación y validación son sat isfactorias?
Usuario Solicitante
4. Entrega formato validado y firmado
Gerencia de Seguridad de la Información
5. Valida información y firmas del formato
¿La validación es
sat isfactoria?
Administrador de la Infraestructura Institucional
9. Ejecuta la acción de renovación solicitada y Notifica
A
A
¿La verificación es sat isfactoria?
SalidaCuenta de usuario y
contraseña
Fin
No
No
No
Sí
Mesa de Servicios BANOBRAS
10. Cierra ticket
Usuario Solicitante
7. Solicita renovación
Mesa de Servicios BANOBRAS
8. Recibe solicitud y verif ica firma
Administrador de la Infraestructura Institucional
3. Firma y entrega formato
Sí
Sí
Gerencia de Seguridad de la Información
6. Firma formato y entrega copia al usuario y resguarda documentación
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 24 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
IV.12.Descripción de actividades del proceso de renovación de accesos a usuario con altos privilegios en la Infraestructura Institucional.
Responsable Paso Actividad Documento de trabajo
Tiempo
1.0 Descarga de la Intranet el formato.
Usuario solicitante
1.1 Solicita el formato a la Gerencia de Computo para renovación de acceso, lo requisita conforme al instructivo de llenado y lo entrega alAdministrador dela Infraestructura Institucional para su validación.
FOR-01-RAII 1 hora
Administrador Infraestructura
Institucional
2.0 Verifica firmas en el formato y valida acceso.
2.1 Verifica que el formato cuente con las firmas del usuario solicitante yjefe inmediato y valida que el acceso solicitado sea el adecuado.
FOR-01-RAII
2.2 ¿La verificación y validación son satisfactorias? Si, continúa actividad 3.0 No, inicia actividad alta de usuario
1 hora
3.0 Firma y entrega formato.
3.1 Valida formato con nombre y firma, y lo entrega al usuario paracontinuar con el proceso.
1 hora
Usuario solicitante
4.0 Entrega formato validado y firmado.
4.1
Entrega formato validado y firmado por el Administrador Operativo del Aplicativo Institucional a la Gerencia de Seguridad de la Informaciónresponsable de la gestión de accesos, para su validación y visto bueno.
FOR-01-RAII 1 hora
Gerencia de Seguridad de la Información
5.0 Valida información y firmas del formato.
5.1 Valida la(s) firma(s) del/los administrador(es) del/los aplicativo(s) con el Catálogo de Firmas y que el formato esté debidamente requisitado.
Catálogo de
Firmas
5.2 ¿La validación es satisfactoria? Si, continúa actividad 6.0 No, repite actividad 1.0
1 hora
6.0 Firma formato, entrega copia al usuario y resguarda documentación.
6.1 Valida con nombre y firma el formato, entrega copia del formato al usuario y resguarda la documentación generada.
FOR-01-RAII 1 hora
Usuario solicitante
7.0 Solicita ejecución de renovación.
7.1 Solicita ejecución de renovación a Mesa de Servicios BANOBRAS,con la copia del formato validado por el área responsable de la Gestión de Accesos.
Copia del FOR-01-RAII
1 hora
Mesa de Servicios
BANOBRAS
8.0 Recibe solicitud y verifica firma.
8.1 Recibe solicitud y verifica la firma del área responsable de la Gestiónde Accesos en la copia del formato con el Catálogo de Firmas.
1 hora
8.2 ¿La verificación es satisfactoria? Si, continúa actividad 9.0 No, repite actividad 5.0
Administrador Infraestructura
Institucional
9.0 Ejecuta la acción de renovación solicitada. 1 hora
9.1 Ejecuta la renovación conforme a lo solicitado en el formato, envía identificador de usuario y entrega contraseña al usuario y notifica a la Gerencia de Seguridad de la Información.
Correo electrónico con notificación y
evidencia 1 hora
Mesa de Servicios
10.0 Cierre ticket. 1 hora
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 25 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Responsable Paso Actividad Documento de trabajo
Tiempo
BANOBRAS Fin del Procedimiento
Sección V. Anexos V.1. Tabla de anexos
No. Nombre Pág.
1 Formato “Solicitud de Acceso a Aplicaciones Institucionales (FOR-01-SAAI)”
21 - 23
2 Formato “Responsiva de Acceso a las Infraestructuras Institucionales (FOR-01-RAII)”
24-25
3 Catálogo de Administradores Operativos de Aplicaciones Institucionales 26
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 26 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Anexo 1 Formato “Solicitud de Acceso a Aplicaciones
Institucionales (FOR-01-SAAI)”
Nombre Completo No. Expediente
Número de Área
Extensión Piso Puesto
Nombre Completo No. Expediente
Número de Área
Extensión Piso No de Lugar
Tipo de Usuario RFC Login
Correo Electrónico
Tipo de Solicitud Cambio
Vigencia del Servicio Permanente Temporal Desde / Hasta
2. Datos del Usuario Solicitante
Alta
Puesto
Baja
Nombre Área/Empresa #N/A
3. Servicios de Aplicaciones Institucionales
1. Datos del Jefe Inmediato del Solicitante
Nombre Área/Empresa #N/A
Fecha Elaboracion 20/04/2016
Hoja 1 de 3BANCO NACIONAL DE OBRAS Y SERVICIOS PÚBLICOS S.N.C.
Solicitud de Acceso a aplicaciones Institucionales (FOR‐OlSAAI)
4. Justificación de la Solicitud
6. Anotaciones de Mesa de Servicios Banobras
Nombre Completo Firma
5. Especificaciones o Comentarios Adicionales
Autorizaciones y Firmas
Aplicación
Lista de Aplicación(es)
Solicitada(s)
Permiso
Aplicación Permiso
Gerencia de Seguridad de la
Información
7. Firmas de Autorización
SOLICITANTE
Administrador Operativo (Solo en caso de acceso a Aplicaciones
Institucionales)
Jefe Inmediato del Solicitante (Nivel mínimo de Autorización: Gerente)
+ +
Limpiar
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 27 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Recibo y Acepto los términos legales
Nombre y Firma
2 de 3
20/04/2016
Nombre: Cargo:
Adscripción:
CONFIDENCIAL
CARTA RESPONSIVA DE ACCESOS A LOS APLICATIVOS DE BANOBRAS Y DE CONFIDENCIALIDADANEXO “A” CARTA RESPONSIVA
BANCO NACIONAL DE OBRAS Y SERVICIOS PÚBLICOS S.N.C.
Carta Responsiva de Accesos a los Aplicativos de Banobras y de
Confidencialidad
Hoja
Fecha de Elaboración
Presente.
En mi carácter de Usuaria(o) designada(o), recibo la cuenta de acceso a los aplicativos institucionales de BANOBRAS y la Información confidencialidad o de cualquier otra naturaleza que se encuentre contenida en dichos aplicativos.
Acepto la total responsabilidad por el uso del sistema, así como de las contraseña(s) que estén asociadas al ID(s) Usuarias(os) y que serán generadas por el suscrito en mi carácter de usuaria(o), y que son únicamente conocidas por el que suscribe, e ignorada por cualquier empleado y funcionario de BANOBRAS, por lo que será mi plena responsabilidad el uso que se le de; toda vez que el ID(s) Usuarias(os), como mi contraseña se considerará como identificador de mi actividad en los aplicativos y acepto y reconozco que es único, personal, confidencial e intransferible y en el caso necesario, para todos los efectos legales a que haya lugar, acepto que mi ID como usuaria(o), sea tomado con los mismos efectos que las leyes otorgan a la firma autógrafa, por lo que seré la/el única(o) responsable de su mal uso y de las consecuencias de ello.
Comprometiéndome a guardar estricta confidencialidad de mi ID y/o contraseña e informar de inmediato al área correspondiente, en cuanto tenga conocimiento que mí ID y/o contraseña han sido identificadas por una tercera persona o tenga razones suficientes para considerar que se hace mal uso de ellas.
Así mismo, acepto tener conocimiento que queda estrictamente prohibido acceder, copiar, alterar, modificar o destruir la información digitalizada, contenida, transmitida, almacenada, procesada o utilizada en los sistemas, equipos de informática, medios electrónicos o electromagnéticos de BANOBRAS, sin la autorización correspondiente y por escrito de mi superior jerárquico, o de la persona autorizada y me comprometo a tomar todas las medidas que estén a mi alcance para evitar cualquier afectación del servicio de los sistemas o equipos de informática o la prestación de servicios bancarios a través de los sistemas automatizados de la Institución y notificar inmediatamente a la autoridad correspondiente, la acción de cualquier persona tendiente a cualquier afectación.
Por lo anterior, la firma del presente documento, sirve como la expresión de mi entera conformidad, y asimismo, BAJO PROTESTA DE DECIR VERDAD, manifiesto que el acceso a los aplicativos institucionales de BANOBRAS y a la Información Confidencial, de la clientela y de cualquier otra naturaleza contenida en dichos sistemas, solo puede ser usada para los fines del desempeño de mi cargo, puesto, asignación o comisión, de acuerdo a los permisos que le otorguen en mi perfil de usuaria(o), comprometiéndome a guardar estricta confidencialidad dentro y fuera de la institución, respecto de la información a la que tenga acceso con el uso de mi ID y contraseña, responsabilizándome del uso indebido o destino diferente que haga de los aplicativos de institucionales de BANOBRAS y de la Información Confidencial, así como a los datos a los que tenga acceso, sin perjuicio de las sanciones, civiles, administrativas, laborales y penales, a las que me pudiera hacer acreedor(a), de conformidad con lo establecido tanto en la legislación bancaria y demás normatividad regulatoria aplicable vigente.
La obligación estipulada en el presente documento, estará en vigor durante la vigencia del contrato que regule mi relación con BANOBRAS y hasta 5 años posteriores a su terminación por cualquier causa o motivo.
Asimismo me doy por notificado para todos los efectos a que haya lugar de la “POLÍTICA DE USO DE APLICATIVOS INSTITUCIONALES DE BANOBRAS” que se acompaña a esa responsiva como Anexo “A”.
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 28 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
FechaNombre y Firma
RECIBIDO POR EL USUARIO FINAL
ANEXO “B” POLITICA DE USO ACEPTABLE
Hoja
Fecha de Elaboración
3. Si se sospecha de algún intruso utilizando una cuenta de usuario ajena.
° El usuario deberá renovar su contraseña periódicamente con el objetivo de reforzar la seguridad en los
equipos de cómputo.
2. Si pone en peligro el buen funcionamiento de las Aplicaciones Institucionales.
"POLÍTICA DE USO ACEPTABLE DE APLICATIVOS INSTITUCIONALES DE BANOBRAS”
° Esta política de uso aceptable de BANOBRAS, es provista para brindar a los usuarios y clientes una clara
comprensión de lo que la empresa espera de ellos en el uso del servicio.
° BANOBRAS se reserva el derecho de modificar su política en cualquier momento, siendo obligatorias
dichas modificaciones a partir de su publicación.
° Tiene como objetivo establecer las medidas de índole técnico y de organización, necesarias para
garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de
información, redes) y personas que interactúan haciendo uso de los servicios asociados a ellos y se
aplican a todos los usuarios de BANOBRAS.
° Todo usuario debe de respetar la intimidad, confidencialidad y derechos individuales de los demás
usuarios.
° BANOBRAS se obliga a proporcionar al empleado o proveedor acceso al servicio mediante la asignación
de una cuenta o identificador de usuario, así como a una contraseña, las cuales serán personales e
intransferibles. El empleado o proveedor será el único responsable del uso que se le dé a su cuenta de
usuario y contraseña. Está prohibido al empleado o proveedor, facilitar su cuenta de usuario y
contraseña a terceras personas, con la finalidad de utilizar el servicio.
° Para reforzar la seguridad de la información, el usuario deberá definir su contraseña de acuerdo al
procedimiento de la Política de Contraseña.
° El usuario deberá cuidar, respetar y hacer uso adecuado de los recursos de cómputo y de red de
BANOBRAS.
° El usuario deberá solicitar apoyo al área de Mesa de Servicios BANOBRAS, ante cualquier duda en el
manejo de los recursos de cómputo.
° La Gerencia de Computo y La Gerencia de Seguridad de la Informacion, inhabilitará la cuenta de usuario
mediante este
formato o por los siguientes casos: 1. Si la cuenta no se está usando con fines institucionales.
3 de 3
20/04/2016
BANCO NACIONAL DE OBRAS Y SERVICIOS PÚBLICOS S.N.C.
Política de Uso Aceptable de Aplicativos Institucionales de
Banobras
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 29 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Anexo 2 Formato “FOR-01-RAII”
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 30 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 31 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO
Anexo 3 Catálogo de Administradores Operativos de Aplicaciones
Institucionales
Vigente a partir de:
Día Mes Año
25 04 2016
MPR50000106 Página 32 de 23
Aprobado/Autorizado Esta página sustituye a la aprobada/autorizada el: Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC Día Mes Año
Elaboró: IRL
Dirección de Contraloría Interna - - - - Día Mes Año
Revisó: JCCR/JCRR
- - -
DIRECTRICES DE LA GESTIÓN DE CUENTAS DE USUARIO