POLITICA DE MANTENIMIENTO DE CUENTAS DE USUARIOS y CONTRASEÑAS Elaborado por: Andres M. Gonzalez Revisado por: Renzo Maúrtua Neumann 001 Aprobado por: Vinicius Da Silva 1. OBJETIVO: Establecer normativas para la creación y mantenimiento de cuentas de usuario, definición y mantenimiento de contraseñas y seguridad de cuentas de acceso privilegiado a recursos y sistemas informáticos de Kantar Worldpanel Colombia. 2. ALCANCE: Esta política es de aplicación a todos los computadores y usuarios con acceso a los recursos informáticos de Kantar Worldpanel Colombia. 3. GENERALIDADES y DEFINICIONES: 3.1 Toda computadora propiedad de Kantar Worldpanel debe estar configurada para permitir acceso a los usuarios a través de un nombre de usuario y clave registrada en el AD. 3.2 El área responsable por la creación de cuentas de usuario y definición de seguridad de contraseñas y cuentas de acceso privilegiado es el Departamento de IT. AD.- Active Directory (Directorio Activo) es una base de datos con estructura jerárquica que guarda toda la información de configuración de la red o dominio de red, incluyendo configuraciones de acceso, seguridad y servicios. 4. DISPOSICIONES: 4.1 Cuentas de usuario 4.1.1 Todo personal que tenga acceso a la utilización de computadoras propiedad de Kantar Worldpanel debe contar con un nombre o cuenta de usuario único y exclusivo para su uso que estará definido en el AD del servidor de dominio. 4.1.2 Los nombres de usuario deberán seguir el formato nombre.apellido escrito en letras minúsculas (Ej. nombre: Pedro Pérez usuario: pedro.perez), en caso de coincidir nombres de usuarios la regla a seguir será agregar la inicial del segundo nombre. (Ej. Pedro Luis Pérez usuario: pedrol.perez). 4.1.3 No está permitida la creación de usuarios genéricos o compartidos a menos que sean cuentas de usuario para utilizar en servicios, por ejemplo actualización del antivirus. Estas cuentas de usuario compartidos deben estar identificados en una lista que documente o justifique su existencia. 4.1.4 La creación de nuevas cuentas de usuario debe estar soportada por una solicitud del responsable del departamento al cual esté adscrito el usuario o por notificación del área de Recursos Humanos. 4.1.5 Las cuentas de acceso privilegiado o de administración de redes, equipos, sistemas y bases de datos no deben tener el nombre ‘administrador’, ‘admin’ ni similares. Es responsabilidad del Gerente de IT y/o del administrador de la red asegurarse cumplir Página 1 de 2 POLITICA DE MANTENIMIENTO DE CUENTAS DE USUARIOS y CONTRASEÑAS 001 esta regla en servidores, PC de escritorio y portátiles. Igualmente solo el Gerente de IT y personal de IT autorizado puede tener acceso a utilizar estas cuentas de usuario. 4.1.6 Las cuentas de invitado o Guess deben estar desactivadas en al AD, los PC de escritorio y portátiles pertenecientes a Kantar Wordlpanel. 4.1.7 Las cuentas de usuario de personal que deje de laborar en Kantar Worldpanel deberán desactivarse según la fecha programada de retiro del personal comunicada por el área de RRHH. 4.2 Contraseñas (Password) 4.2.1 - Toda contraseña de usuarios deberá cumplir los siguientes requisitos mínimos de seguridad: Longitud mínima: 7 caracteres Complejidad: mezcla de letras mayúsculas, números y letras minúsculas. Tiempo de expiración: 60 días. Intentos fallidos: 3 (luego bloquear preventivamente por 30 minutos) Historial de contraseña: 24 contraseñas recordadas (valor por defecto) Esta configuración de seguridad debe estar implementada en el AD del servidor de dominio. 4.2.2 Las contraseñas de cuentas de usuario para servicios como por ejemplo actualización del antivirus y similares no necesitan cumplir el requisito de expiración. 4.2.3 Los sistemas que no proveen una manera automática de notificación de caducidad y solicitud de cambio de password deben contar con un manual de procedimiento donde se indique el modo y la frecuencia en que se debe cambiar las contraseñas, este manual de procedimiento debe estar aprobado por el Gerente de Finanzas. 4.2.4 Se debe comunicar a los usuarios que el uso de sus cuentas de usuario y claves de acceso son intransferibles y por lo tanto no deben compartir sus contraseñas con otros usuarios; de hacerlo será bajo su propia responsabilidad. 5. RESPONSABILIDAD: La implementación, desempeño y cumplimiento de las políticas son responsabilidad del Gerente de Sistemas quien contará con el apoyo del Gerente Financiero para el cumplimiento de los requerimientos en este documento.. 6. VIGENCIA: La norma entrará en vigencia a partir del día siguiente de su aprobación. Página 2 de 2