PRC-DTI-007 Administración de Cuentas de Usuario · 2019-05-24 · Procedimiento PRC-DTI-007...

PRC-DTI-007 Administración de

Cuentas de Usuario Procedimiento

Dirección de TI - COSEVI

Versión: 1.0

Fecha de la versión: Febrero del 2012

Creado por: PwC Costa Rica

Aprobado por: Vinicio Ureña Irola Firma:

Nivel de confidencialidad: Privado

ASESORÍA EN TECNOLOGÍA DE LA

INFORMACIÓN

Teléfono: (506) 2257-7200 FAX: (506) 2257-5129 / 2257-5460 Apdo.: 745-1150 La Uruca, SAN JOSE, COSTA RICA

2

Historial de revisiones

Fecha Versión Autor Descripción

26/01/2012 1.0 PwC Costa Rica Creación del procedimiento.

1.0 Marco Vinicio Ureña Irola

Aprobación del procedimiento


INFORMACIÓN


3

Tabla de Contenido

1. Objetivos .................................................................................................................................................... 4

2. Alcance....................................................................................................................................................... 4

3. Definiciones ............................................................................................................................................... 4

4. Roles y Responsabilidades ....................................................................................................................... 4

5. Proceso – Administración de Cuentas de Usuario .................................................................................. 6

5.1 Entradas al proceso ........................................................................................................................... 6

5.2 Salidas al proceso .............................................................................................................................. 6

5.3 Métricas de desempeño .................................................................................................................... 6

5.4 Proceso – Administración de Cuentas de Usuario .......................................................................... 9

5.5 Subproceso – Creación de Cuentas de Usuario .............................................................................. 11

5.6 Subproceso – Modificación de Cuentas de Usuario ...................................................................... 13

5.7 Subproceso – Eliminación Lógica y Suspensión de Cuentas de Usuario ..................................... 14

6. Diagramas de flujo .................................................................................................................................. 15

6.1 Proceso: Administración de Cuentas de Usuario .......................................................................... 16

6.2 Subproceso: Creación de cuentas de usuario................................................................................. 17

6.3 Subproceso: Modificación de Cuentas de Usuario ........................................................................ 18

6.4 Subproceso: Eliminación Lógica de Cuentas de Usuario .............................................................. 19

7. Procedimiento – Administración de Cuentas de Usuario ....................................................................20

7.1 Administración de Cuentas de Usuario .........................................................................................20

7.2 Creación de Cuentas de Usuario ..................................................................................................... 22

7.3 Modificación de Cuentas de Usuario.............................................................................................. 24

7.4 Eliminación Lógica y Suspensión de Cuentas de Usuario ............................................................ 25

8. Anexos ..................................................................................................................................................... 26

8.1 FOR-PRC-TI-007-01 – Solicitud de Cuentas de Usuarios ....................................................... 26

8.2 FOR-PRC-TI-007-02 – Solicitud Cambio Contraseña ............................................................. 27


INFORMACIÓN


4

Procedimiento PRC-DTI-007 Administración de Cuentas de Usuario

1. Objetivos

Garantizar que los derechos de acceso de los usuarios (internos, externos o temporales) de los sistemas de información administrados por la DTI de COSEVI, se solicitan por la jefatura del usuario, se aprueban por el responsable del sistema y se implementan por la persona responsable de la seguridad, con el fin de asegurar que los permisos de acceso del usuario al sistema y los datos están en línea con las necesidades del negocio, definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario.

2. Alcance

Lo definido en este documento es aplicable a los funcionarios de la DTI que se encargan de la administración de cuentas de usuario tanto de la red y correo electrónico, como de los Sistemas de Información del COSEVI.

3. Definiciones

Modificación: de acuerdo con la definición del marco de referencia ITIL, una modificación es cualquier adición, cambio o eliminación de hardware, dispositivos de telecomunicaciones, software, aplicaciones, ambientes, sistemas o documentación relacionada.

Terceros: Persona, grupo u organización de origen externo que es requerida para asegurar la entrega exitosa de un servicio de TI.

Matriz RACI (matriz de asignación de responsabilidades): Se utiliza para relacionar actividades con recursos (individuos o equipos de trabajo) para asegurar que cada uno de los componentes del alcance esté asignado a un individuo o a un equipo. En la siguiente tabla se explica en qué consiste cada rol.

Descripción

R Responsable Este rol realiza el trabajo y es responsable por su realización. Es quien ejecuta las tareas.

A Aprobador Este rol se encarga de aprobar el trabajo finalizado y a partir de este momento, se vuelve responsable de él. Debe asegurarse que se ejecuten las tareas.

C Consultado Este rol posee la información o capacidad necesaria para terminar el trabajo. Se le informa y se le consulta información.

I Informado Este rol debe ser informado sobre el progreso y los resultados del trabajo.

4. Roles y Responsabilidades

A continuación se presentan los roles que están involucrados en el proceso de Administración de cuentas de usuario.

Departamento de Gestión y Desarrollo Humano (DGDH): Es la instancia encargada de colaborar con las jefaturas de las diferentes unidades para comunicar a la Dirección de TI sobre la necesidad de suspender o eliminar los derechos de acceso a usuarios que no deben continuar con dichos permisos.

http://es.wikipedia.org/wiki/Equipo


INFORMACIÓN


5

Jefatura Unidad Solicitante (JUS): Es el encargado del usuario al que se realizará la asignación, modificación o eliminación de la cuenta de usuario.

Jefatura Dirección de Tecnologías de Información (JDTI): Es la instancia dueña del proceso Administración de Cuentas de Usuario. Es responsable de gestionar los roles del COSEVI.

Encargado de atender solicitud (EAS): Es el funcionario al que se la asigna la labor de atender la solicitud relacionada a la gestión de la cuenta de usuario de un funcionario del COSEVI.

Usuario (U): Es el funcionario que recibe los datos para la cuenta de usuario o solicita cambios de la misma.

Actividades Roles

DGDH JUS JDTI EAS U

1. Completar formulario de solicitud RA

2. Enviar solicitud completa RA I

3. Recibir solicitud y asignar encargado RA

4. Comunicar y trasladar solicitud RA I

5. Enviar solicitud de emergencia RA

6. Activar cuenta del usuario RA

7. Notificar necesidad de eliminar / suspender cuenta I RA

8. Completar formulario de solicitud de eliminación o suspensión

RA

9. Recibir y trasladar solicitud completa RA I

10. Recibir solicitud y asignar encargado RA

11. Comunicar y trasladar solicitud RA I

12. Comunicar a la Jefatura DTI I RA

13. Comunicar a Gestión y Desarrollo Humano I RA

14. Comunicar a Jefatura Usuario I RA

15. Comunicar a Jefatura Usuario RA I

16. Enviar solicitud de cambio de contraseña RA

17. Recibir petición de cambio de contraseña RA

18. Evaluar rol solicitado para la cuenta según una correcta segregación de funciones

RA

19. Informar a la DTI el incumplimiento I RA

20. Crear la cuenta de usuario y asignar rol RA

21. Crear oficio y sobre con contraseña RA

22. Revisar y firmar oficio RA R

23. Enviar oficio a Jefatura Unidad Solicitante I RA R

24. Entregar cuenta al usuario I I RA I

25. Realizar primer inicio de sesión y cambio de contraseña RA

26. Asignar fecha de expiración I RA

27. Crear cuenta I RA

28. Otorgar accesos a recursos de la red I RA

29. Evaluar justificación C RA

30. Modificar nombre de usuario I RA

31. Entregar información al usuario RA I

32. Poner contraseña por defecto I RA

33. Entregar información al usuario RA I

34. Evaluar justificación C RA

35. Asignar nuevo rol I RA


INFORMACIÓN


6

36. Eliminar rol anterior I RA

37. Asignar / Revocar recurso RA

38. Generar cuenta temporal asociada a cuenta a eliminar. RA

39. Informar a la DTI la asignación / revocación del recurso I RA

40. Realizar la revisión de contenido de las cuentas I I RA

41. Almacenar documentos o recursos I I RA

42. Eliminar recursos de la cuenta del usuario I I RA

43. Eliminar o suspender cuenta del usuario I I RA

R = Responsable A = Aprobador C =Consultado I = Informado

5. Proceso – Administración de Cuentas de Usuario

5.1 Entradas al proceso

Desde el Proceso … Entradas al Proceso

PO2 – Definir la arquitectura de la información.

Arquitectura de Información; clasificación de datos asignados

PO3 – Determinar la dirección tecnológica Estándares de tecnología

PO9 – Evaluar y administrar riesgos de TI Evaluación de riesgo

AI2 – Adquirir y mantener el software aplicativo.

Especificaciones de controles de seguridad en las aplicaciones

DS1 –Definir y administrar niveles de servicio.

OLAs

5.2 Salidas al proceso

Salidas del Proceso Hacia el Proceso o dominio …

Definición de incidentes de seguridad DS8 – Administrar la mesa de servicios y los incidentes

Requerimientos específicos de entrenamiento sobre conciencia de seguridad

DS7 – Educar y entrenar a los usuarios

Reportes de desempeño del proceso ME1 – Monitorear y evaluar el desempeño de TI

Cambios de seguridad requeridos AI6 – Administrar cambios

Amenazas y vulnerabilidades de seguridad PO9 – Evaluar y administrar riesgos de TI

5.3 Métricas de desempeño

Se definió un formato para la descripción de las métricas para evaluar el desempeño de este proceso, a continuación se explica el detalle de cada uno de los campos de las tablas:

Índice: Contiene el número consecutivo que se le da a la métrica que por lo general es de dos dígitos, así como un espacio para asignar el nombre con el se gestionará el mismo. Aunque el nombre no debe ser detallado, es importante incluir palabras clave que permitan identificar fácilmente qué se está midiendo.

Objetivo: Se debe indicar claramente el motivo por el cual fue creada la métrica y las referencias que están siendo evaluadas.


INFORMACIÓN


7

Nivel de Riesgo: Establece tres niveles de riesgo, los cuales son definidos previamente por la Dirección de Tecnologías de Información y que son específicos para cada métrica. Los niveles de riesgo se clasifican de la siguiente forma:

Bajo (color verde): indica que el resultado del cálculo de la métrica representa una efectiva gestión de la Dirección de Tecnologías de Información.

Medio (color amarillo): si el resultado del cálculo de la métrica se encuentra en el rango de valores indicado en esta casilla se puede deducir que la gestión aún está en un nivel donde acciones correctivas deberán ser tomadas.

Alto (color rojo): en caso de ubicar el resultado del cálculo de las métricas en este punto, será necesario tomar acciones inmediatas para remediar la brecha existente y mejorar las métricas.

Unidad de medida: Se utiliza para representar la unidad de medida con la que se expresa la

métrica. Aunque es más común utilizar la unidad Porcentaje, también podrían existir unidades de medida de peso, velocidad y tiempo, entre otros.

Frecuencia: La frecuencia hace referencia a la periodicidad con la que el cálculo de la métrica debe ser realizado. Valores comúnmente aceptados son horas, minutos, segundos, días, semanas, meses y años.

Descripción: Relata en detalle aspectos propios de la métrica donde se pueden incluir temas sobre documentación relacionada y características de las mediciones. Se pueden hacer referencias a mejores prácticas, estándares, políticas, justificaciones y aclaraciones sobre otros campos del formulario.

Fórmula: Operaciones básicas para conocer el resultado de la métrica.

Insumos: Los insumos son una lista de requerimientos obligatorios que permitirán obtener la información necesaria para hacer el cálculo del resultado de la métrica. Estos insumos pueden ser el resultado de consultas a bases de datos, conteo manual de eventos, software y consultas de bitácoras, entre otros.

A continuación se presentan las métricas que permitirán monitorear, en función de los objetivos previamente descritos, el desempeño de este proceso. Será responsabilidad de la Auditoría utilizar estas métricas para fiscalizar el desempeño del proceso.


INFORMACIÓN


8

INDICE 01: Fallos por mala asignación de cuentas de usuario

Objetivo Nivel de riesgo Unidad de medida Garantizar la seguridad de la

información que albergan los

Sistemas de Información del

COSEVI, preservando su

confidencialidad e integridad.

Bajo Menos del 20% Porcentaje

Medio 20% ≤ valor ≤ 50%

Alto Más del 50%

Frecuencia Anual

Descripción Fórmula Los resultados determinarán qué tan efectivo es el

proceso de Administración de Cuentas de Usuario

al indicar la cantidad de incidentes relacionados

con fallos en la integridad y/o confidencialidad de

la información.

Y

X )100( %

X = # incidentes de relacionados con fallos en la

integridad o confidencialidad de la información y

cuya causa raíz esté relacionada con mala

definición o asignación de cuentas de usuario.

Y = # incidentes ingresados en la Mesa de

Servicios en el periodo analizado.

Insumos

Incidentes ingresados en la DTI en el período analizado.


INFORMACIÓN


9

5.4 Proceso – Administración de Cuentas de Usuario

Ref #

Actividad Descripción

1. ¿Solicitar crear / modificar / activar cuenta de usuario?

¿Solicitar crear / modificar / activar cuenta de usuario? Sí, va al paso 2. Completar formulario de solicitud No, va al paso 13. ¿Solicitar eliminar / suspender cuenta de usuario?

2. Completar formulario de solicitud La Jefatura de la Unidad Solicitante completa el formulario de solicitud FOR-PRC-DTI-007-01 Solicitud de Cuentas de Usuario.

3. Enviar solicitud completa La Jefatura de la Unidad Solicitante envía a la DTI la solicitud completamente llena.

4. Recibir solicitud y asignar encargado La Jefatura de la DTI recibe la solicitud y determina quién es el responsable para atenderla.

5. Comunicar y trasladar solicitud La Jefatura de la DTI comunica al encargado de atender la solicitud que se debe atender la misma y le traslada el formulario tanto en versión física como en versión digital.

6. ¿Crear cuenta de usuario? ¿Crear cuenta de usuario? Sí, va al paso 7. Subproceso: Creación de cuentas de usuario No, va al paso 8. ¿Modificar cuenta de usuario?

7. Subproceso: Creación de cuentas de usuario El Encargado de atender solicitud ejecuta el subproceso Creación de Cuentas de Usuario detallado en el punto 5.5 de este documento. Termina el proceso.

8. ¿Modificar cuenta de usuario? ¿Modificar cuenta de usuario? Sí, va al paso 9. Subproceso: Modificación de cuentas de usuario. No, va al paso 11. ¿Activar cuenta de usuario?

9. Subproceso: Modificación de cuentas de usuario El Encargado de atender solicitud ejecuta el subproceso Modificación de Cuentas de Usuario detallado en el punto 5.6 de este documento.

10. ¿Se requiere informar a la Jefatura de la DTI? ¿Se requiere informar a la Jefatura de la DTI? Sí, va al paso 22. Comunicar a la Jefatura DTI. No, termina el proceso.

11. ¿Activar cuenta de usuario? ¿Activar cuenta de usuario? Sí, va al paso 12. Activar cuenta del usuario No, va al paso 22. Comunicar a la Jefatura DTI

12. Activar cuenta del usuario El Encargado de atender solicitud realiza las acciones necesarias para Activar cuenta del usuario. Va al paso 22. Comunicar a la Jefatura DTI


INFORMACIÓN


10

13. ¿Solicitar eliminar / suspender cuenta de usuario?

¿Solicitar eliminar / suspender cuenta de usuario? Sí, va al paso 14. ¿Es una suspensión de emergencia? No, va al paso 27. ¿Requiere una nueva contraseña para su cuenta?

14. ¿Es una suspensión de emergencia? ¿Es una suspensión de emergencia? Sí, va al paso 15. Enviar solicitud de emergencia No, va al paso 16. Completar formulario de solicitud

15. Enviar solicitud de emergencia La Jefatura de la DTI envía una solicitud de suspensión de cuentas de emergencia. Va al paso 21. Subproceso: Eliminación Lógica y suspensión de cuentas de usuarios

16. Completar formulario de solicitud La Jefatura de la Unidad solicitante completa el formulario FOR-PRC-DTI-007-01 Solicitud de Cuentas de Usuario para comunicar la necesidad de eliminar o suspender la cuenta de algún usuario.

17. Notificar necesidad de eliminar / suspender cuenta

La Jefatura de la Unidad Solicitante notifica al Departamento de Gestión y Desarrollo Humano la necesidad de eliminar o suspender la cuenta de usuario.

18. Recibir y Trasladar solicitud completa El Departamento de Gestión y Desarrollo Humano envía el formulario de solicitud completo a la Jefatura de la DTI.

19. Recibir solicitud y asignar encargado La Jefatura de la DTI recibe la solicitud y asigna al encargado de atender la solicitud.

20. Comunicar y trasladar solicitud La Jefatura de la DTI comunica al encargado de atender la solicitud que se debe gestionar la misma y le traslada el formulario tanto en versión física como en versión digital.

21. Subproceso: Eliminación Lógica y suspensión de cuentas de usuarios

El Encargado de atender solicitud ejecuta el subproceso Eliminación Lógica y suspensión de cuentas de usuario detallado en el punto 5.7 de este documento.

22. Comunicar a la Jefatura DTI El Encargado de atender solicitud comunica a la jefatura de la DTI el resultado de las acciones implementadas.

23. ¿Comunicar a Gestión y Desarrollo Humano? ¿Comunicar a Gestión y Desarrollo Humano? Sí, va al paso 24. Comunicar a Gestión y Desarrollo Humano No, va al paso 25. Comunicar a Jefatura Usuario

24. Comunicar a Gestión y Desarrollo Humano La Jefatura de la DTI comunica al Departamento de Gestión y Desarrollo Humano el resultado de las acciones implementadas. Va al paso 26 Comunicar a Jefatura Usuario.

25. Comunicar a Jefatura Usuario La Jefatura de la DTI comunica el resultado de las acciones implementadas a la Jefatura del Usuario. Termina el proceso.


INFORMACIÓN


11

26. Comunicar a Jefatura Usuario El Departamento de Gestión y Desarrollo Humano comunica el resultado de las acciones implementadas a la Jefatura del Usuario.

Termina el proceso.

27. ¿Requiere una nueva contraseña para su cuenta? ¿Requiere una nueva contraseña para su cuenta? Sí, va al paso 28. Enviar solicitud de cambio de contraseña No, termina el proceso.

28. Enviar solicitud de cambio de contraseña El Usuario realiza una solicitud de cambio de contraseña con el formulario FOR-PRC-DTI-007-02 – Solicitud de Cambio de Contraseña para alguno de los sistemas de información o de alguno de los recursos de infraestructura de TI.

29. Recibir petición de cambio de contraseña El Encargado de atender solicitud recibe la petición de cambio de contraseña. Va al paso 8.

Fin del Proceso Administración de Cuentas de Usuario

5.5 Subproceso – Creación de Cuentas de Usuario Ref #


1. ¿La cuenta de usuario es para un sistema de información?

¿La cuenta de usuario es para un sistema de información? Sí, va al paso 2. ¿La cuenta tendrá un rol asociado? No, va al paso 14. ¿La cuenta por crear es cuenta temporal?

2. ¿La cuenta tendrá un rol asociado? ¿La cuenta tendrá un rol asociado? Sí, va al paso 3. Evaluar rol solicitado para la cuenta según una correcta segregación de funciones No, va al paso 8. Crear la cuenta de usuario y asignar rol

3. Evaluar rol solicitado para la cuenta según una correcta segregación de funciones

El encargado de atender la solicitud evalúa si el rol que se está solicitando para el funcionario cumple la correcta segregación de funciones.

4. ¿El rol cumple con la correcta segregación de funciones?

¿El rol cumple con la correcta segregación de funciones? Sí, va al paso 6. ¿El rol existe en el sistema de información? No, va al paso 5. Informar a la DTI el incumplimiento

5. Informar a la DTI el incumplimiento El encargado de atender la solicitud informa a la DTI el incumplimiento y la justificación para no proceder. Termina el subproceso.


INFORMACIÓN


12

6. ¿El rol existe en el sistema de información? ¿El rol existe en el sistema de información? Sí, va al paso 8. Crear la cuenta de usuario y asignar rol No, va al paso 7. Proceso: Administración de Roles

7. Proceso: Administración de Roles El encargado de atender la solicitud ejecuta el proceso PRC-DTI-006 Administración de Roles para generar el nuevo rol que se requiere.

8. Crear la cuenta de usuario y asignar rol El encargado de atender la solicitud realiza las acciones necesarias para crear la cuenta de usuario y asignar el rol necesario.

9. Crear oficio y sobre con contraseña El encargado de atender la solicitud realiza el oficio para entregar la información de la cuenta al usuario además del sobre que contendrá dicha información.

10. Revisar y firmar oficio La Jefatura de la DTI revisa el oficio y lo firma, el Encargado de atender la solicitud firma el oficio en caso de aplicar.

11. Enviar oficio a Jefatura Unidad Solicitante La Jefatura de la DTI en conjunto con el Encargado de atender solicitud envían a la Jefatura de la Unidad Solicitante el oficio en el que consta que la cuenta de usuario ha sido creada.

12. Entregar cuenta al usuario El Encargado de atender solicitud entrega al usuario la información de la cuenta de usuario por medio del sobre, el oficio de aceptación y las recomendaciones para la gestión de las cuentas de usuarios y contraseñas.

13. Realizar primer inicio de sesión y cambiar contraseña.

El Usuario realiza el primer inicio de sesión y realiza el cambio de contraseña. Termina el subproceso.

14. ¿La cuenta por crear es cuenta temporal? ¿La cuenta por crear es cuenta temporal? Sí, va al paso 15. Asignar fecha de expiración No, va al paso 16. Crear cuenta

15. Asignar fecha de expiración El encargado de atender la solicitud asigna una fecha de expiración para la cuenta de usuario.

16. Crear cuenta El encargado de atender la solicitud realiza las acciones necesarias para crear la cuenta de usuario.

17. Otorgar accesos a recursos de la red El encargado de atender la solicitud otorga acceso a aquellos recursos que se requieran en la red asociados a la nueva cuenta de usuario. Va al paso 9. Crear oficio y sobre con contraseña

Fin del Subproceso Creación de Cuentas de Usuario


INFORMACIÓN


13

5.6 Subproceso – Modificación de Cuentas de Usuario Ref #


1. ¿Se requiere modificar el nombre de usuario? ¿Se requiere modificar el nombre de usuario? Sí, va al paso 2. Evaluar justificación No, va al paso 6. ¿Se requiere modificar la contraseña?

2. Evaluar justificación El encargado de atender la solicitud evalúa la justificación presentada para la modificación del nombre de usuario.

3. ¿Se justifica la modificación? ¿Se justifica la modificación? Sí, va al paso 4. Modificar nombre de usuario No, termina el subproceso

4. Modificar nombre de usuario El encargado de atender la solicitud realiza las acciones necesarias para modificar el nombre de usuario.

5. Entregar información al usuario El encargado de atender la solicitud entrega la información al usuario correspondiente a su nuevo nombre de usuario.

6. ¿Se requiere modificar la contraseña? ¿Se requiere modificar la contraseña? Sí, va al paso 7. Poner contraseña por defecto No, va al paso 9. ¿Se requiere modificar el rol de un Sistema de Información?

7. Poner contraseña por defecto El encargado de atender la solicitud pone una contraseña por defecto para la cuenta de usuario.

8. Entregar información al usuario El encargado de atender la solicitud le entrega al usuario la información correspondiente a su contraseña.

9. ¿Se requiere modificar el rol de un Sistema de Información?

¿Se requiere modificar el rol de un Sistema de Información? Sí, va al paso 10. Evaluar justificación No, va al paso 18. ¿Se requiere asignar / revocar algún recurso?

10. Evaluar justificación El encargado de atender la solicitud evalúa la justificación presentada para realizar la modificación del rol en el Sistema de Información.

11. ¿Se justifica la modificación? ¿Se justifica la modificación? Sí, va al paso 12. ¿El rol cumple con la correcta segregación de funciones? No, termina el subproceso.

12. ¿El rol cumple con la correcta segregación de funciones?

¿El rol cumple con la correcta segregación de funciones? Sí, va al paso 13. ¿El rol existe en el sistema de información? No, termina el subproceso.


INFORMACIÓN


14

13. ¿El rol existe en el sistema de información? ¿El rol existe en el sistema de información? Sí, va al paso 15. Asignar nuevo rol. No, va al paso 14. Proceso: Administración de Roles

14. Proceso: Administración de Roles El encargado de atender la solicitud ejecuta el proceso PRC-DTI-006 Administración de Roles para la creación del rol solicitado.

15. Asignar nuevo rol El encargado de atender la solicitud realiza las acciones necesarias para asignar un nuevo rol.

16. ¿Se debe eliminar el rol que se tenía previamente?

¿Se debe eliminar el rol que se tenía previamente? Sí, va al paso 17. Eliminar rol anterior No, va al paso 18. ¿Se requiere asignar / revocar algún recurso?

17. Eliminar rol anterior El encargado de atender la solicitud realiza las acciones necesarias para remover el rol que tenía la cuenta de usuario previamente.

18. ¿Se requiere asignar / revocar algún recurso? ¿Se requiere asignar / revocar algún recurso? Sí, va al paso 19. Asignar / Revocar recurso No, termina el subproceso.

19. Asignar / Revocar recurso El encargado de atender la solicitud realiza la asignación o revocación de recursos. Termina el subproceso.

Fin del Subproceso Modificación de Cuentas de Usuario

5.7 Subproceso – Eliminación Lógica y Suspensión de Cuentas de

Usuario Ref #


1. ¿Crear una cuenta temporal de la cuenta a eliminar o suspender?

¿Crear una cuenta temporal de la cuenta a eliminar o suspender? Sí, va al paso 2. Generar cuenta temporal asociada a cuenta a eliminar. No, va al paso 3. ¿Es necesario revisar el contenido de las cuentas?

2. Generar cuenta temporal asociada a cuenta a eliminar.

El encargado de atender la solicitud realiza las acciones necesarias para generar una cuenta temporal asociada a la cuenta a eliminar.

3. ¿Es necesario revisar el contenido de las cuentas? ¿Es necesario revisar el contenido de las cuentas? Sí, va al paso 4. Realizar la revisión de contenido de las cuentas No, va al paso 9. Eliminar o suspender cuenta del usuario

4. Realizar la revisión de contenido de las cuentas El encargado de atender la solicitud realiza una revisión del contenido de las cuentas de usuario.


INFORMACIÓN


15

5. ¿Es necesario almacenar contenido de la cuenta? ¿Es necesario almacenar contenido de la cuenta? Sí, va al paso 6. Almacenar documentos o recursos No, va al paso 9. Eliminar o suspender cuenta del usuario

6. Almacenar documentos o recursos El encargado de atender la solicitud almacena los documentos o recursos requeridos que se encontraban asociados a la cuenta de usuario.

7. ¿Es necesario eliminar datos de la cuenta? ¿Es necesario eliminar datos de la cuenta? Sí, va al paso 9. Eliminar o suspender cuenta del usuario No, va al paso 8. Eliminar recursos de la cuenta del usuario

8. Eliminar recursos de la cuenta del usuario El encargado de atender la solicitud elimina los recursos asociados a la cuenta del usuario.

9. Eliminar o suspender cuenta del usuario El encargado de atender la solicitud realiza las acciones necesarias para realizar una eliminación lógica o de suspender la cuenta de usuario. Termina el subproceso.

Fin del Subproceso Eliminación Lógica y Suspensión de Cuentas de Usuario

6. Diagramas de flujo

Simbología A continuación se presentan los símbolos más importantes utilizados para la realización de los diagramas de flujo.


INFORMACIÓN


16

6.1 Proceso: Administración de Cuentas de Usuario


INFORMACIÓN


17

6.2 Subproceso: Creación de cuentas de usuario


INFORMACIÓN


18

6.3 Subproceso: Modificación de Cuentas de Usuario


INFORMACIÓN


19

6.4 Subproceso: Eliminación Lógica y Suspensión de Cuentas de Usuario


INFORMACIÓN


20

7. Procedimiento – Administración de Cuentas de Usuario

7.1 Administración de Cuentas de Usuario Jefatura Unidad Solicitante 7.1.1 Determina si se requiere crear / solicitar / activar una cuenta de usuario. En caso de que re

requiera, se va al paso 7.1.2. Si no se requiere se va al paso 7.1.13.

7.1.2 Completa el formulario FOR-PRC-DTI-007-01 Solicitud de Cuentas de usuario donde se deben especificar los datos del usuario al cual se le creará la cuenta (Sección Datos Generales de Usuario), además de acuerdo a lo requerido se debe completar:

Si se requiere gestionar la cuenta de red (Sección 2.Infraestructura de Red: Cuenta de Red): seleccionar si se solicita crear, modificar, eliminar, activar o suspender. Además en caso de que aplique si requiere internet sí o no, y si se requiere el acceso a carpetas o recursos adicionales.

Si se requiere gestionar el correo electrónico (Sección 2.Infraestructura de Red: Correo electrónico): seleccionar si se solicita crear, modificar, eliminar, activar o suspender.

Si se requiere gestionar el acceso a los sistemas de información (Sección 3.Sistemas de Información): seleccionar si se solicita crear, eliminar, activar o suspender y se especifica el nombre del sistema en el cual se requiere y el rol asociado. En caso de requerir modificar se debe seleccionar la opción y especificar si se requiere asignar o eliminar el rol, y el Sistema de Información asociado.

Si se requiere solicitar un cambio en la cuenta de usuario o bien en los recursos a los cuales tiene acceso el usuario (Sección 4. Cambios en Cuenta de Usuario): Debe realizar la selección del cambio que solicita, nombre de usuario o contraseña, se especifica el nombre del Sistema de Información o la Infraestructura (correo o red) al cual se requiere hacer el cambio. O bien se puede solicitar agregar o quitar recursos los cuales se pueden especificar en la sección de Justificación donde se detalla por qué se debe hacer el cambio y se hacen las observaciones relacionadas.

Adicionalmente, se pueden realizar observaciones a la solicitud (Sección 5. Observaciones) La aprobación (Sección 6. Aprobación) debe ir completada con el nombre de la Jefatura de la Unidad Solicitante con la correspondiente firma sin la cual, la solicitud será inválida.

7.1.3 Envía el formulario FOR-PRC-DTI-007-01 Solicitud de Cuentas de usuario completamente lleno

a la Jefatura de la DTI tanto en formato físico como en formato digital por medio de un correo electrónico.

Jefatura de la DTI. 7.1.4 Recibe la solicitud y determina quién será el encargado de gestionar la solicitud.

7.1.5 Comunica al encargado de atender la solicitud que debe encargarse de la solicitud y le traslada la

misma por medio del correo electrónico y la versión física en caso de ser necesario.

Encargado de atender solicitud 7.1.6 Determina si la solicitud es para crear una cuenta de usuario. En caso de requerirse crear una

cuenta de usuario, va al paso 7.1.7. Si no se requiere, va al paso 7.1.8.

7.1.7 Ejecuta el subproceso Creación de cuentas de usuario detallado en el punto 7.2. Creación de Cuentas de Usuario. Termina el subproceso.


INFORMACIÓN


21

7.1.8 Determina si la solicitud es para modificar una cuenta de usuario. En caso de requerirse

modificar una cuenta de usuario, se va al paso 7.1.9. Si no se requiere, se va al paso 7.1.11. 7.1.9 Ejecuta el subproceso Modificación de Cuentas de Usuario detallado en el punto 7.3

Modificación de Cuentas de Usuario. 7.1.10 Determina si se requiere informar a la Jefatura de la DTI, en caso de que se requiera realizar una

modificación de contraseña por petición del usuario (por ejemplo que la haya olvidado, o la haya revelado a otro usuario) no se requiere informar a la DTI sobre la modificación, en otro caso, sí se debe informar. En caso de que se requiera informar a la DTI, se va al paso 7.1.22. Si no se requiere informar, termina el proceso.

7.1.11 Determina si la solicitud es para activar la cuenta de usuario. En caso de requerirse activar la

cuenta de usuario, se va al paso 7.1.12. Si no se requiere, se va al paso 7.1.22. 7.1.12 Ejecuta el subproceso Activar cuentas de Usuario detallado en el punto 7.4 Activar Cuentas de

Usuario.

Jefatura de la Unidad Solicitante 7.1.13 Determina si se requiere solicitar la eliminación o suspensión de una cuenta de usuario. Los

casos que se pueden presentar para eliminación de cuenta de usuario es porque el funcionario se haya retirado de la Institución, ya sea por despido, renuncia, muerte o jubilación. Para realizar una suspensión de una cuenta de usuario se puede haber presentado entre otras situaciones, vacaciones o permisos especiales por más de una semana, o bien porque el funcionario fuera arrestado o esté bajo investigación. En caso de que se requiera eliminar o suspender la cuenta de usuario se va al paso 7.1.14. Si no se requiere, se va al paso 7.1.27.

7.1.14 Determina si se trata de una suspensión de emergencia. Las suspensiones de emergencia pueden ser solicitadas única y exclusivamente por la Jefatura de la DTI y solamente para la suspensión de cuentas de usuario y en casos donde sea realmente urgente una suspensión inmediata por riesgos en la seguridad de la información. En caso de que se requiera una suspensión de emergencia, se va al paso 7.1.15. Si no se requiere, se va al paso 7.1.16.

Jefatura de la DTI 7.1.15 Envía una solicitud de emergencia por medio de un correo electrónico como mínimo, donde se

solicita suspender las cuentas de usuario necesarias. Va al paso 7.1.21.

Jefatura de la Unidad Solicitante 7.1.16 Completa la solicitud del formulario FOR-PRC-DTI-007-01 Solicitud de Cuentas de Usuario para

la eliminación o suspensión de las cuentas de usuario necesarias. 7.1.17 Comunica al Departamento de Gestión y Desarrollo Humano la necesidad de eliminar o

suspender la o las cuentas de usuario por medio de un correo electrónico adjuntando el formulario de solicitud completo.

Departamento de Gestión y Desarrollo Humano 7.1.18 Recibe la solicitud de eliminación o suspensión de cuenta o cuentas de usuario de un funcionario

y remite el formulario a la DTI.


INFORMACIÓN


22

Jefatura de la DTI 7.1.19 Recibe la solicitud de eliminación o suspensión de la cuenta y asigna el encargado de atender la

solicitud.

7.1.20 Comunica al encargado de atender la solicitud que se debe gestionar la misma y le traslada el formulario en versión electrónica y en versión física en caso de considerarse necesario.

Encargado de Atender Solicitud 7.1.21 Ejecuta el subproceso Eliminación Lógica y Suspensión de Cuentas de Usuario detallado en el

punto 7.4 Eliminación Lógica y Suspensión de Cuentas de Usuario.

7.1.22 Comunica a la Jefatura el resultado de las acciones que se implementaron para dar respuesta a la solicitud.

Jefatura de la DTI 7.1.23 Determina si es necesario comunicar al Departamento de Gestión y Desarrollo Humano los

resultados de la implementación. Se debe realizar la comunicación a este Departamento en caso de que la solicitud fuera para eliminación o suspensión. En caso que se requiera comunicar a Gestión y Desarrollo Humano, se va al paso 7.1.24. Si no se requiere comunicar va al paso 7.1.25.

7.1.24 Comunica al Departamento de Gestión y Desarrollo Humano los resultados de las acciones implementadas para atender la solicitud.

7.1.25 Comunica a la Jefatura de la Unidad Solicitante los resultados de las acciones implementadas

para atender la solicitud. Termina el proceso.

Departamento de Gestión y Desarrollo Humano 7.1.26 Comunica a la Jefatura de la Unidad Solicitante los resultados de las acciones implementadas

para atender la solicitud. Termina el proceso.

Usuario 7.1.27 Determina si requiere una nueva contraseña para alguna de sus cuentas de usuario. En caso de

requerir una nueva contraseña, va al paso 7.1.28. Si no, termina el proceso.

7.1.28 Completa el formulario FOR-PRC-DTI-007-02 Solicitud de Cambios de Contraseña donde realiza la solicitud del cambio y la envía al encargado de atender las solicitudes o bien a la DTI.

Encargado de Atender Solicitud 7.1.29 Recibe las peticiones de cambio de contraseña. Va al paso 7.1.8.

7.2 Creación de Cuentas de Usuario

Encargado de Atender Solicitud 7.2.1 Determina si la cuenta que se va a crear es para un Sistema de Información. En caso de que la

cuenta sea para un Sistema de Información, se va al paso 7.2.2. Si no es así, se va al paso 7.2.15.


INFORMACIÓN


23

7.2.2 Determina si la cuenta que se va a crear tendrá un rol asociado. En caso de que la cuenta vaya tener un rol asociado, se va al paso 7.2.3. Si no es así, se va al paso 7.2.8.

7.2.3 Evalúa si el rol que se está solicitando asignar para la cuenta de usuario cumple con una correcta segregación de funciones, es decir, que sea acorde al puesto que tiene el funcionario y a las necesidades que tiene de tener acceso a dicha información.

7.2.4 Determina si el rol cumple con la correcta segregación de funciones. En caso de que cumpla con

la correcta segregación de funciones, va al paso 7.2.6. Si no cumple, va al paso 7.2.5. 7.2.5 Informa a la DTI por medio de un correo electrónico el incumplimiento de la correcta

segregación de funciones y la justificación por la cual no se puede proceder con la creación de la cuenta de usuario con ese rol. Termina el subproceso.

7.2.6 Determina si el rol existe en el Sistema de Información. Si el rol existe en el Sistema, se va al paso

7.2.8. Si no existe, va al paso 7.2.7. 7.2.7 Ejecuta el proceso PRC-DTI-006 Administración de Roles para crear el rol que se requiere en el

Sistema de Información. 7.2.8 Ejecuta las acciones necesarias para crear la cuenta de usuario y asignar el rol necesario. 7.2.9 Realiza el oficio para entregar la información de la cuenta al usuario además del sobre que

contendrá la información.

Jefatura de la DTI - Encargado de Atender Solicitud 7.2.10 Revisa el oficio y lo firma. El encargado de atender la solicitud firma el oficio en caso de aplicar.

7.2.11 Envía a la Jefatura de la Unidad Solicitante el oficio que hace constar que la cuenta de usuario ha

sido creado.

Encargado de Atender Solicitud 7.2.12 Entrega al usuario la información de la cuenta de usuario por medio de un sobre sellado, además

se le entrega un oficio de aceptación de la información de la cuenta y se le brinda también las recomendaciones para la gestión de las cuentas de usuario y contraseñas.

Usuario 7.2.13 Realiza el primer inicio de sesión y cambia la contraseña siguiendo las recomendaciones para la

gestión de cuentas de usuarios y contraseñas. Termina el subproceso.

7.2.14 Determina si la cuenta que se va a crear es una cuenta temporal. En caso que se trate de una cuenta temporal, se va al paso 7.2.15. Si no se trata de una cuenta temporal se va al paso 7.2.16.

7.2.15 Asigna una fecha de expiración para crear la cuenta de usuario. 7.2.16 Realiza las acciones necesarias para crear la cuenta de usuario. 7.2.17 Otorga los accesos necesarios a la red y la infraestructura de la red que hayan sido solicitados. Va

al paso 7.2.9.


INFORMACIÓN


24

7.3 Modificación de Cuentas de Usuario

Encargado de Atender Solicitud 7.3.1 Determina si la solicitud de modificación corresponde a modificar el nombre de usuario. En caso

de que se requiera modificar el nombre de usuario, se va al paso 7.3.2. Si no se requiere, se va al paso 7.3.6.

7.3.2 Evalúa si la justificación presentada para la modificación del nombre de usuario es válida. Entre las justificaciones que se pueden considerar como válidas es que el nombre que se generó de acuerdo a las políticas suene extraño, inapropiado o poco serio.

7.3.3 Determina si se justifica la modificación. En caso de que se justifique, se va al paso 7.3.4. Si no se

requiere termina el subproceso. 7.3.4 Realiza las acciones necesarias para modificar el nombre de usuario. 7.3.5 Entrega al usuario la información correspondiente a su nuevo nombre de usuario para el Sistema

solicitado. 7.3.6 Determina si se requiere modificar la contraseña de alguna de las cuentas del usuario. En caso de

que se requiera modificar la contraseña, se va al paso 7.3.7. Si no se requiere, se va al paso 7.3.9. 7.3.7 Se encarga de poner una contraseña por defecto para la cuenta del usuario. 7.3.8 Entrega al usuario la información de la nueva contraseña para el Sistema solicitado. 7.3.9 Determina si se requiere modificar el rol de un Sistema de Información. En caso de que se

requiera modificar el rol del Sistema de Información, se va al paso 7.3.10. Si no se requiere, se va al paso 7.3.18.

7.3.10 Evalúa si la justificación para cambiar el rol del usuario es aceptable. 7.3.11 Determina si la modificación se justifica. En caso de que se justifique, se va al paso 7.3.12. Si no

se justifica, termina el subproceso. 7.3.12 Determina si el rol cumple con la correcta segregación de funciones. En caso de que cumpla con

la correcta segregación de funciones, va al paso 7.3.13. Si no cumple, termina el subproceso. 7.3.13 Determina si el rol existe en el Sistema de Información. Si el rol existe en el Sistema, se va al paso

7.3.15. Si no existe, va al paso 7.3.14. 7.3.14 Ejecuta el proceso PRC-DTI-006 Administración de Roles para crear el rol que se requiere en el

Sistema de Información. 7.3.15 Realiza las acciones necesarias para asignar el nuevo rol a la cuenta del Usuario. 7.3.16 Determina si se debe eliminar el rol que se tenía previamente. En caso de que se requiera

eliminar, se va al paso 7.3.17. Si no se requiere, se va al paso 7.3.18. 7.3.17 Realiza las acciones necesarias para remover el rol que tenía la cuenta de usuario previamente. 7.3.18 Determina si se requiere asignar o revocar algún recurso. En caso de que se requiera asignar o

revocar algún recurso se va al paso 7.3.19. Si no, termina el subproceso.


INFORMACIÓN


25

7.3.19 Realiza las acciones necesarias para asignar o revocar recursos asociados a la cuenta del usuario. Termina el subproceso.

7.4 Eliminación Lógica y Suspensión de Cuentas de Usuario Nota: Debido a las pistas de auditoría que se deben conservar en los sistemas, lo que en este subproceso se refiera a eliminación, hace referencia a la eliminación lógica, es decir un cambio de estado de activo a inactivo y no la eliminación de la cuenta como tal, esto aplica al menos para los Sistemas de Información.

Encargado de Atender Solicitud 7.4.1 Determina si se requiere crear una cuenta temporal de la cuenta a eliminar o suspender. En caso

de que se requiera la cuenta temporal, se va al paso 7.4.2. Si no, se va al paso 7.4.3.

7.4.2 Realiza las acciones necesarias para generar una cuenta temporal asociada a la cuenta a eliminar o suspender de forma tal que se pueda tener acceso a la información.

7.4.3 Determina si es necesario revisar el contenido de la cuentas. En caso de ser necesario, se va al

paso 7.4.4. Si no, se va al paso 7.4.9. 7.4.4 Realiza una revisión del contenido de las cuentas de usuarios para determinar si hay información

que es necesario conservar. 7.4.5 Determina si es necesario almacenar el contenido de la cuenta. En caso de ser necesario se va al

paso 7.4.6. Si no se necesario, va al paso 7.4.9. 7.4.6 Almacena los documentos o recursos que se determinó que se debían conservar asociados a la

cuenta del usuario. 7.4.7 Determina si es necesario eliminar los datos de la cuenta del usuario. En caso de que se

determine que se requiere eliminarse, se va al paso 7.4.9. Si no se requiere, se va al paso 7.4.8. 7.4.8 Elimina los recursos asociados a la cuenta del usuario que se determinó que no eran necesarios. 7.4.9 Realiza las acciones necesarias para realizar una eliminación lógica en caso de aplicar o una

suspensión de la cuenta de usuario. Termina el subproceso.


INFORMACIÓN


26

8. Anexos

8.1 FOR-PRC-DTI-007-01 – Solicitud de Cuentas de Usuario

Formulario FOR-PRC-TI-007 -01 – Solicitud de Cuentas de Usuarios 1. DATOS GENERALES DE USUARIO

Fecha: (DD/MM/AAAA):

/ / Nombre y Apellidos:

Departamento:

Puesto:

Jefe de la Unidad Administrativa Encargada del Usuario:

Tipo de acceso: (Permanente/Temporal)

2. INFRAESTRUCTURA DE RED

Cuenta de Red:

Internet:

Acceso carpetas o recursos adicionales:

Correo Electrónico:

3. SISTEMAS DE INFORMACIÓN

Cuenta de Sistema:

Sistema: Rol:

Sistema: Rol:

Asignación de Roles:

Sistema: Rol:

Sistema: Rol:

Eliminación de Roles:

Sistema: Rol:

Sistema: Rol:

4. CAMBIOS EN CUENTA DE USUARIO

Sistema /Infraestructura: Justificación y Observaciones:

5. OBSERVACIONES

6. APROBACION

Nombre: Firma:


INFORMACIÓN


27

8.2 FOR-PRC-DTI-007-02 – Solicitud Cambio Contraseña

1. DATOS GENERALES DE USUARIO

Fecha: (DD/MM/AAAA):

/ /

Nombre y Apellidos del solicitante:

Departamento:

Puesto:

2. SOLICITUD DE CAMBIO DE CONTRASEÑA A INFRAESTRUCTURA DE RED

3. SOLICITUD DE CAMBIO DE CONTRASEÑA A SISTEMA DE INFORMACIÓN

Detalle a continuación el nombre o los nombres de los sistemas de información a los cuales requiere

un cambio de contraseña

Nombre del sistema:

Nombre del sistema:

Nombre del sistema:

Nombre del sistema:

Nombre del sistema:

Nombre del sistema:

PRC-DTI-007 Administración de Cuentas de Usuario · 2019-05-24 · Procedimiento PRC-DTI-007...

Documents

Transcript of PRC-DTI-007 Administración de Cuentas de Usuario · 2019-05-24 · Procedimiento PRC-DTI-007...