Logo Nombre Proceso Nombre Procedimiento GESTIÓN TECNOLÓGICA GESTIÓN DE CUENTAS DE USURIO Código Versión Fecha de Aprobación 1 1. OBJETIVO 2. ALCANCE Gestionar la creación, modificación y cancelación de cuentas de usuarios de la GOBERNACIÓN DE CUNDINAMARCA. Empieza con la solicitud de creación, modificación o cancelación de las cuentas de usuario; continúa luego con la configuración y las comunicaciones respectivas; y finaliza con el cumplimiento y validación de lo solicitado. 3. TERMINOLOGÍA • Activo: en relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas, etc.), que tenga valor para la entidad. • Autenticación: provisión de una garantía de que una característica afirmada por una entidad es correcta. • Encargado de Activo de Información: identifica a un individuo, un cargo o proceso o grupo de trabajo designado por la entidad, que tiene la responsabilidad de administrar y hacer efectivo los controles que el Responsable del activo haya definido, con base en los controles de seguridad disponibles en la entidad. • Disponibilidad: propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada. • Responsabilidad de activo de información: identifica a un individuo, un cargo o proceso o grupo de trabajo designado por la entidad, que tiene la responsabilidad de definir los controles, el desarrollo, el mantenimiento, el uso y la seguridad de los activos de información asignados. • Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información. • Vulnerabilidad: debilidad de un activo o control que pueda ser explotado por una o más amenazas. 4. GENERALIDADES Y/O POLÍTICAS DE OPERACIÓN 4.1. CREACIÓN, MODIFICACIÓN Y CANCELACIÓN DE REGISTRO DE USUARIO a. Realizar la solicitud de creación, modificación o cancelación de las cuentas de usuario a través de la Mesa de ayuda y la Secretaría de TIC, conforme a los contratos celebrados con los funcionarios o contratistas de la Gobernación de Cundinamarca. b. La Secretaría de Función Pública debe notificar a la Mesa de ayuda, la suspensión temporal de la cuenta de usuario en caso de vacaciones, comisiones, licencias o permisos de los funcionarios de la Gobernación de Cundinamarca. 4.2. GESTIÓN DE AUTENTICACIÓN SECRETA DE USUARIOS a. Los funcionarios de la mesa de ayuda son los responsables de entregar a los usuarios, de forma secreta, la información de autenticación (usuario y contraseña). b. En su primer acceso el usuario siempre debe cambiar su contraseña. c. Es responsabilidad del usuario proteger su contraseña, por tal motivo debe protegerla y salvaguardarla en todo momento, evitando llevar un registro (por ejemplo: en papel, archivo digital o en dispositivo portátil). d. Las contraseñas deben configurarse con un mínimo de ocho (8) caracteres de longitud, con combinación de mayúsculas y minúsculas alternadas, caracteres especiales y números, evitando el uso de las últimas seis contraseñas y que las mismas tengan caracteres consecutivos. e. Al momento de generar las contraseñas se recomienda que sean fácil de recordar, evitando que estén basadas en algo que otra persona pueda adivinar fácilmente u obtener usando información relacionada con la persona, por ejemplo, nombres, números de teléfono, fechas importantes, entre otras. f. Los usuarios y administradores de las cuentas de acceso deben cambiar sus contraseñas, mínimo cada 60 días, o cuando se tenga sospecha de que la contraseña ha sido comprometida. g. Los usuarios y administradores de las cuentas deben evitar el uso de la misma contraseña en los sistemas o servicios que tenga acceso, así como su uso para propósitos diferentes al institucional. 4.3. REVISIÓN DE LOS DERECHOS DE ACCESO A LAS CUENTAS DE USUARIOS a. Los Funcionarios de Infraestructura revisarán, mínimo cada tres meses, los derechos de acceso a las cuentas de usuarios. Con base en esta revisión se deberán eliminar aquellas cuentas que no registren actividad por más de noventa (90) días, o en los casos en que el funcionario ya no se encuentre laboralmente activo en la Gobernación de Cundinamarca. En cualquier de estas situaciones, es preciso validar su eliminación con la respectiva área. 5. DOCUMENTOS APLICABLES Decreto 2573 de 2014 6. ANEXOS • Políticas de Seguridad y Privacidad de la Información. • Política de Control de Acceso • Formato A-GT-FR-014 "Solicitud actualización de usuarios" 7. DESCRIPCIÓN DE ACTIVIDADES N° FLUJOGRAMA 1 Inicio DESCRIPCIÓN / DOCUMENTOS RESPONSABLE REGISTRO Realizar la solicitud de creación, modificación o cancelación de las cuentas de usuario, a través de la Mesa de Ayuda, por medio de un correo electrónico. A su vez, es preciso adjuntar el formato A-GT-FR-014 "Solicitud actualización de usuario", registrando la novedad correspondiente y teniendo en cuenta los siguientes requerimientos: Realizar la solicitud de creación, modificación o cancelación de las cuentas de usuario a través de correo electrónico. 2 Creación de cuentas de usuario: adjuntar los documentos según el caso: Correo electrónico con los Para funcionarios centralizados, acta de posesión emitida por la Secretaría de documentos adjuntos la Función Publica. Secretaría de Función Pública, según sea el caso de Para funcionarios descentralizados, el acta de posesión. Director del área o persona según creación, modificación o Para contratistas centralizados o descentralizados, copia del contrato o acta de corresponda cancelación y el Formato inicio. A-GT-FR-014 "Solicitud actualización de usuarios" Modificación o Prorroga: para los funcionarios centralizados se llevará a cabo a través de la solicitud emitida por la Secretaría de la Función Pública; y para contratistas centralizados o descentralizados, minuta de la prorroga del contrato. Cancelación de la cuenta de usuario: para los funcionarios centralizados y descentralizados se efectuará a través del formato A-GT-FR-014, indicando la cancelación de la cuenta de usuario. Crear la solicitud del caso 3 ¿La solicitud realizada es para cancelación de una de cuentas de usuario? 4 SI 7 5 Crear el caso en herramienta de gestión y escalar en seguida la solicitud al área encargada. Profesional Mesa de ayuda Secretaría de Función Pública, Si la solicitud hace referencia a la cancelación de una cuenta de usuario, Director del área o persona según continuar con el paso 7; en caso contrario, proseguir con el paso 5. corresponda Registro en la herramienta de gestión N.A. NO Realizar la creación o modificación de la cuenta de usuario Efectuar la creación o modificación de la cuenta de usuario teniendo en cuenta el instructivo correspondiente, y asimismo, notificar a la Mesa de Ayuda la novedad mediante correo electrónico. Administrador del Sistema de Información Correo electrónico Informar al solicitante las actividades realizadas en el caso Realizar las actividades de instalación y configuración conforme a la solicitud y entregar la información de autenticación (usuario y contraseña) al usuario final. Profesional Mesa de Ayuda Correo electrónico Realizar Backup de la información de usuario Elaborar el Backup de la información de usuario en el sitio, e informar al Administrador del Sistema de Información que la actividad se llevó a cabo, con el fin de proceder con la eliminación de la cuenta de usuario. Profesional Mesa de Ayuda Registro en la herramienta de gestión 8 Cancelar la cuenta de usuario y enviar notificación del caso Efectuar la cancelación de las cuentas de usuario y notificar esta información a la Mesa de Ayuda, mediante correo electrónico. Administrador del Sistema de Información Correo electrónico 9 Cerrar el registro de la solicitud Cerrar el registro de solicitud en la herramienta de gestión y notificar el estado de la misma. Profesional Mesa de Ayuda Registro en la herramienta de gestión 10 FIN 6 7 ELABORO REVISÓ REVISÓ NOMBRE: NOMBRE: NOMBRE: CARGO: CARGO: CARGO: FECHA FECHA FECHA FECHA VERSION CAMBIO MOTIVO