Propósito
Dar a conocer las políticas generales para el uso de las cuentas (usuario - contraseña)
de acceso a los Sistemas Web Institucionales.
Alcance
El alcance de estas políticas incluye a todo usuario de sistema Web que tenga un rol,
cuyas actividades sean de administración del sistema, de gestión o cualquier otro acceso
que sí esté permitido.
Política General
- El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada.
La cuenta es para uso personal e intransferible.
- La cuenta de usuario se protegerá mediante una contraseña. La contraseña asociada a la
cuenta de usuario, deberá seguir los Criterios para la Construcción de Contraseñas
Seguras descrito más abajo.
- Las cuentas de usuario (usuario y contraseña) son sensibles a mayúsculas y minúsculas,
es decir que estas deben ser tecleadas como están.
- No compartir la cuenta de usuario con otras personas: compañeros de trabajo, amigos,
familiares, etc.
- Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas
políticas. De ser necesaria la divulgación de la cuenta de usuario y su contraseña
asociada, deberá solicitarlo por escrito y dirigido al Administrador del Sistema.
- Si se detecta o sospecha que las actividades de una cuenta de usuario puede comprometer
la integridad y seguridad de la información, el acceso a dicha cuenta será suspendido
temporalmente y será reactivada sólo después de haber tomado las medidas necesarias a
consideración del Administrador del Sistema.
- Tipos de Cuentas de Usuario
Para efectos de las presentes políticas, se definen dos tipos de cuentas de usuario:
1. Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que sean utilizadas
por los usuarios para acceder a los diferentes sistemas de información. Estas cuentas permiten
el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran
reguladas por los roles de usuario del Sistema.
2. Cuenta de Administración de Sistema de Información: corresponde a la cuenta de usuario
que permite al administrador del Sistema realizar tareas específicas de usuario a nivel
directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema.
- Todas las contraseñas para acceso al Sistema Web con carácter administrativo deberán ser
cambiadas al menos cada 6 meses.
- Todas las contraseñas para acceso al Sistema Web de nivel usuario deberán ser cambiadas
al menos cada 12 meses.
- Todas las contraseñas deberán ser tratadas con carácter confidencial.
- Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios de mensajería
electrónica instantánea ni vía telefónica.
- Si es necesario el uso de mensajes de correo electrónico para la divulgación de contraseñas,
estas deberán transmitirse de forma cifrada.
- Se evitará mencionar y en la medida de lo posible, teclear contraseñas en frente de otros.
- Se evitará el revelar contraseñas en cuestionarios, reportes o formas.
- Se evitará el utilizar la misma contraseña para acceso a los sistemas operativos y/o a
las bases de datos u otras aplicaciones.
- Se evitará el activar o hacer uso de la utilidad de ?Recordar Contraseña? o ?Recordar
Password? de las aplicaciones.
- No se almacenarán las contraseñas en libretas, agendas, post-it, hojas sueltas, etc.
Si se requiere el respaldo de las contraseñas en medio impreso, el documento generado
deberá ser único y bajo resguardo.
- No se almacenarán las contraseñas sin encriptación, en sistemas electrónicos personales
(asistentes electrónicos personales, memorias USB, teléfonos celulares, agendas electrónicas,
etc).
- Si alguna contraseña es detectada y catalogada como no segura, deberá darse aviso al(los)
usuario(s) para efectuar un cambio inmediato en dicha contraseña.
Criterios en la construcción de contraseñas seguras
Una contraseña segura deberá cumplir con las siguientes características:
- La longitud debe ser al menos de 8 caracteres.
- Contener caracteres tanto en mayúsculas como en minúsculas.
- Puede tener dígitos y caracteres especiales como _, -, /, *, $, ¡, ¿, =, +, etc.
- No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc.
- No debe ser un palíndromo (ejemplo: agasaga)
- No debe ser basada en información personal, nombres de familia, etc.
- Procurar construir contraseñas que sean fáciles de recordar o deducir.
- Algunos ejemplos de contraseñas NO seguras por si solas:
- Nombres de familiares, mascotas, amigos, compañeros de trabajo, personajes, etc
- Cualquier palabra de cualquier diccionario, términos, sitios, compañías, hardware, software, etc.
- Cumpleaños, aniversarios, información personal, teléfonos, códigos postales, etc.
- Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc.
- Composiciones simples como: MINOMBRE1, 2minombre, etc.
|