Resolución N° 835/12
Nro de Expediente:
6611-000144-10
 
ASESORIA JURIDICA
Fecha de Aprobación:
27/2/2012

Tema:
DIGESTO

Resumen:
Se sustituye lo dispuesto en el numeral 1o. de la Resolución No. 68/10, de 4 de enero de 2010, incorporado como artículo R.418.25 en el Vol. III "Relación Funcional", del Digesto, relacionado con la Política de Control de Acceso de Usuarios a los efectos de garantizar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas informáticos.-

Montevideo, 27 de Febrero de 2012.-
 
          VISTO: la necesidad de modificar el numeral 1o. de la Resolución No. 68/10, de 4 de enero de 2010, en virtud de la actualización efectuada en el Vol. III del Digesto, de acuerdo con la aprobación de las Resoluciones Nos. 5160/09, 64/10, 65/10, 66/10, 67/10 y la propia 68/10;
          RESULTANDO: 1o.) que de acuerdo a lo informado por el Equipo Técnico de Actualización Normativa e Información Jurídica luego de realizada la correspondiente actualización del Volumen III del Digesto, en consulta con la División Tecnología de la Información, los artículos R.418.4 y R. 418.6 a R.418.10 han quedado sin efecto;
          2o.) que los mencionados artículos, R. 418.4, R.418.8, R.418.9 y R.418.10 son referenciados en el numeral 1o. de la Resolución No. 68/10, por lo que correspondería modificar dicha referencia;
          CONSIDERANDO: que la División Asesoría Jurídica estima conveniente el dictado de resolución al respecto;
          LA INTENDENTA DE MONTEVIDEO
          RESUELVE:
          1. Sustituir lo dispuesto en el numeral 1o. de la Resolución No. 68/10, de 4 de enero de 2010, incorporado como artículo R.418.25 en el Vol. III "Relación Funcional", del Digesto, el que quedará de la siguiente manera:
          1o. Establecer la siguiente Política de Control de Acceso de Usuarios a los efectos de garantizar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas informáticos:
          a) Gestión de acceso de usuarios
          a.1) Registro de usuarios
          i. Debe existir un procedimiento claro para las altas y bajas de permisos de acceso a los usuarios.
          ii. Todo usuario debe tener una identificación única que permita asociarlo con sus acciones.
          iii. Los permisos a otorgar a cada usuario deberán ser aprobados por un supervisor responsable con la justificación adecuada. Dicha aprobación debe estar debidamente documentada.
          iv. El nivel de acceso otorgado debe estar acorde con el principio de mínimo privilegio, siendo éste el mínimo necesario para cumplir con las actividades asociadas a su tarea dentro de la Organización.
          v. Se deben modificar o revocar inmediatamente los permisos de acceso de usuario que cambian de roles o dejan la Organización.
          a.2) Gestión de Privilegios.
          i. La definición de Roles o Permisos y la administración de acceso a los sistemas será responsabilidad de los administradores de cada sistema.
          ii. Asignar a los usuarios un rol o permiso dentro de los que tiene definido cada sistema, que les habilite las posibilidades de realizar acciones en el mismo, estando habilitados a solicitar la asignación de roles o permisos a los nuevos usuarios, los Directores de Departamento, División o Servicio, los que deberán indicar para cuál de éstos se solicita acceso. Es responsabilidad de los Directores informar cuando un funcionario ya no puede tener más acceso a la red o a un rol en particular.
          iii. Debe existir un proceso de autorización y registro de los privilegios otorgados a usuarios. Los privilegios deben otorgarse una vez finalizado el proceso de autorización.
          a.3) Gestión de contraseñas.
          i. Para trabajar en los Sistemas Informáticos de la Intendencia de Montevideo, es necesario tener un usuario y su correspondiente contraseña que solamente conoce cada persona.
          ii. Constituirá falta grave la divulgación de la contraseña, aunque ésta no llegase a ser utilizada.
          iii. La contraseña debe tener una vigencia máxima de 6 (seis) meses. En caso que el usuario omita realizar este cambio u olvide su contraseña solicitará la asignación de una nueva contraseña temporal.
          iv. La contraseña debe tener un mínimo de 8 (ocho) caracteres y debe ser el resultado de una combinación alfanumérica.
          v. Se dará a los usuarios inicialmente, una contraseña segura temporal para el ingreso a los sistemas, la cual deben cambiar inmediatamente.
          vi. Las contraseñas temporales deben ser únicas para cada usuario y generadas en forma aleatoria.
          vii. Las contraseñas temporales serán entregadas en forma segura, se debe evitar el uso del correo electrónico que no sea el corporativo o no protegidos (texto claro).
          viii. Para el cambio de contraseña se debe solicitar a la persona una identificación que permita verificar la identidad de la misma.
          ix. Los usuarios deben acusar el recibo de las contraseñas.
          x. En todo sistema de autenticación, que lo permita, se debe verificar automáticamente el vencimiento del plazo para el cambio de contraseña, el largo, la repetición y la no trivialidad de la misma.
          a.4) Revisión de permisos de acceso.
          i. Cada 6 (seis) meses, se deben eliminar las cuentas de usuario que no fueron accedidas durante este período.
          ii. Los permisos de acceso deben ser revisados y reasignados cuando se modifica la condición laboral del usuario, por ejemplo, una promoción, degradación o terminación de empleo.
          iii. Se mantendrá registro de los intentos de acceso fallido, a sistemas considerados críticos, el cual será revisado semanalmente por el responsable de cada sistema de autenticación.
          iv. Constituirá falta grave el intento de obtener accesos no autorizados.
          b) Responsabilidades del usuario
          b.1) Uso de contraseña: Los usuarios son responsables de:
          i. mantener la confidencialidad de la contraseña
          ii. evitar registrar las contraseñas en papel o archivos de forma no segura
          iii. cambiar las contraseñas en el período establecido
          iv. evitar el uso de contraseñas ya utilizadas anteriormente
          v. cambiar las contraseñas temporales en la primer conexión
          vi. no compartir las contraseñas
          vii. no utilizar la misma contraseña que utiliza para propósitos particulares
          viii. seleccionar contraseñas que:
          - sean fáciles de recordar
          - no puedan ser adivinadas fácilmente, conteniendo información relacionada a la persona, por ejemplo nombres, números telefónicos, fechas
          - mantengan el largo mínimo establecido
          - no sean palabras incluidas en diccionarios
          - sean alfanuméricas
          - no contenga caracteres idénticos sucesivos
          b.2) Estaciones de trabajo.
          i. Los usuarios deben asegurarse de:
          - cerrar las aplicaciones una vez terminado el trabajo en ellas
          - desconectarse de las aplicaciones o servidores una vez finalizado el trabajo
          - proteger las estaciones de trabajo que gestionan información sensible con salva pantalla controlado por contraseña, que se active automáticamente después de 10 minutos de inactividad.
          b.3) Estaciones de trabajo móviles
          i. Los equipos y medios que contengan datos con información sensible, no deben dejarse desatendidas en sitios públicos
          ii. Durante viajes, las computadoras portátiles deben, cuando sea posible, transportarse como equipaje de mano.
          iii. En caso de que las computadoras portátiles contengan información sensible, la misma deberá estar encriptada.
          iv. El usuario será responsable de asegurar el cumplimiento del punto anterior, pudiendo solicitar ayuda a Atención al Usuario, sobre las medidas a tomar.
          v. No deberá conectarse a redes inalámbricas no confiables o desconocidas para trasmitir información sensible.
          vi. Previo a su utilización el usuario deberá consultar a Atención al Usuario, para que se controle el correcto funcionamiento del software antivirus y firewall del equipo, así como que el mismo tenga todos los parches correspondientes a su sistema operativo instalado.
          c) Definiciones
          i. Permisos de acceso: privilegio que asociado a un usuario le permita acceder, borrar o modificar cualquier recurso informático, o realizar acciones a través de los distintos sistemas tales como enviar un correo, disparar un proceso, modificar un dato, etc.
          ii. Contraseña segura: aquella contraseña que cumple con las directivas establecidas en esta política.
          iii. Se entiende por administrador de sistema a quién o quienes decidan sobre la finalidad, contenido y uso del sistema. No incluye a los técnicos informáticos.




          2. Comuníquese a la Secretaría General, a todos los Departamentos, a todos los Municipios, a las Divisiones Asesoría Jurídica, Información y Comunicación, Tecnología de la Información, a la Contaduría General, al Equipo Técnico Digesto y Normas Departamentales y pase al Equipo Técnico de Actualización Normativa e Información Jurídica a sus efectos.-
ANA OLIVERA, Intendenta de Montevideo.-
RICARDO PRATO, Secretario General.-