Políticas De Uso y Establecimiento De Claves De Acceso a Servicios De Información DIRECCIÓN DELTRABAJO Preparado por: Revisado por : Aprobado por: Leonardo Pérez G. Roberto Rodriguez M. María Cecilia Sánchez Toro Jefe Unidad de Sistemas Jefe Departamento de Tecnologías de la Información Directora del Trabajo Encargado de Seguridad Departamento de Tecnologías de la Información Fernando Ahumada C. Jefe Departamento de Gestión y Desarrollo CONTROL DE VERSIONES VERSIÓN 1.0 ELABORADO LEONARDO PEREZ REVISADO APROBADO AUTORIZADO FECHA FERNANDO AHUMADA 26-05-2010 ROBERTO RODRIGUEZ I. INTRODUCCIÓN Los servicios de información corresponden a cualquier mecanismo, producto o interfaz que provea o manipule algún tipo de dato o interpretación de estos a través de herramientas tecnológicas o manuales, dichos datos pueden ser utilizados para distintos fines, entre los que se cuentan, atención a usuarios, gestión, monitoreo, análisis de comportamiento, etc. Cuando los datos son de carácter público, no existe restricción del conocimiento de ellos, dejándolos disponibles a todo ciudadano para los fines que ellos estimen conveniente. Por otro lado, existe información sensible que es necesaria mantener resguardada y con acceso restringido. El carácter de privado o restringido determina además la forma en cómo se debe proteger y resguardar. La información tiene un soporte que la mantiene, en el caso de certificados, este puede ser una hoja de papel o bien un registro de una base de datos. En ambos casos el medio de soporte de la información debiera ser restringido y asegurado. El papel por ejemplo podría ser almacenado en un mueble o caja fuerte y entregarle las “llaves” sólo a ciertas personas. Por otro lado, el registro de la base de datos también debe ser restringido y asegurado con otro tipo de “llaves”, las “llaves electrónicas” o claves de acceso. Estas claves de acceso son entregadas a los usuarios para poder entregar cierto nivel de permiso a servicios o información determinada. Al igual que las llaves convencionales, deben cuidarse y no compartirse, ya que podría poner en peligro la privacidad o disponibilidad de la información o el servicio que protege. II. POLÍTICAS DE USO DE CLAVES DE ACCESO La clave de acceso de usuario a los servicios de información institucionales, entiéndase: acceso al computador, aplicaciones (DT PLUS, SIRELA, ETC.) y servicios de red en general, es personal e intransferible y de exclusiva responsabilidad de cada usuario una vez que se le entrega desde el departamento de informática. El formato de la clave se sugiere sea del tipo alfanumérica (números y letras) sin embargo, por razones de usabilidad para nuestros usuarios se aceptan claves que estén solamente compuestas por letras y con un largo mínimo de 8 caracteres. De igual manera, se sugiere a los usuarios cambiarla de forma periódica con el fin de no correr el riesgo de detección de clave por parte de otra persona (interna o externa al servicio) quien pudiese hacer mal uso de la información que se pudiese obtener al utilizar dicha clave o, por hacer un favor, generar eventos con errores los que serán siempre de responsabilidad del dueño de la clave. Es necesario recordar que todos los eventos registrados en los sistemas de información dejan una huella electrónica que podría ser recorrida si es necesario. La regla anterior cambiará a partir del 01.09.2010, cuando será obligatorio cambiar la clave de acceso al computador (y otros servicios) por una más “robusta” o compleja, que haga difícil la deducción de estas por otras personas. En este sentido, y con el objetivo de socializar la importancia de mantener en privado las claves de acceso a servicios de información o herramientas tecnológicas que pone a disposición de los usuarios la Dirección del Trabajo, es necesario que el usuario conozca y acate las siguientes reglas y haga suyas las recomendaciones que se plantean en esta normativa. III. POLÍTICAS DE CLAVES DE ACCESO. Las claves de acceso de nuevos funcionarios deben ser solicitadas por el jefe directo del nuevo usuario, enviando una solicitud mediante correo electrónico a las casillas [email protected] y [email protected] indicando el nombre completo de la persona, RUT, dependencia y fecha de ingreso. Las claves recién solicitadas tendrán un valor por defecto que se informará al jefe directo que lo solicitó, quien deberá indicarlo al usuario solicitante quien finalmente tendrá que cambiarla en el primer inicio de sesión en el computador asignado. Las claves son informadas por correo electrónico seguro y no participan terceros en la entrega (salvo el jefe o solicitante). Las claves entregadas a los usuarios por defecto NO incluyen permisos de administración del computador local, lo que impediría la instalación de componentes de software o hardware que dificulte el control y seguimiento de la información que se accede desde cada estación de trabajo. Las claves del computador y del correo serán siempre las mismas, si la cambia tendrá que tener esto en cuenta. Los jefes de cada departamento, inspección u otra dependencia de la DT deberá indicar las bajas de funcionarios. Esto mismo podrá ser informado por RRHH mediante un correo electrónico a la casilla [email protected] copiando a [email protected]. La clave debe tener un largo mínimo de 8 caracteres (letras o números). La clave debe ser alfanumérica, es decir, letras, números y opcionalmente algún signo especial (“_”, “-“, “@”, “.”, “ “) La clave deberá ser cambiada cada 6 meses. Cuando el usuario esté cerca del periodo de cambio, se le indicará mediante un aviso. Si el usuario NO lo hace en el periodo que se le indica, la clave caducará y deberá solicitar la reactivación de la clave mediante correo electrónico del jefe directo. El historial de claves se mantendrá por un periodo de 1 año. Esto quiere decir, que no se podrá ocupar la misma clave que utilizó hace 1 año y medio. Todos los usuarios deben memorizar su clave y NO es recomendable en ningún caso anotarla en un medio físico (papel, mural, pared, pantalla, etc) al cual pudiese tener acceso otra persona, ya que esto vulnera de forma directa la seguridad de la información que se pudiese obtener al utilizar la clave. El procedimiento de cambio de clave implica una comunicación directa con la Unidad de Sistemas del Departamento de Tecnologías solicitando dicho cambio (ver Anexo 1, Datos de contacto para Soporte) o bien, en el caso de las claves del computador, el usuario tiene la herramienta para realizar este cambio (ver Anexo 2 de cambio de clave del computador). Es recomendable para algunos usuarios usar frases clave en vez de palabras clave, por ejemplo: “mi mamá me mima”, “el perro de mi abuelo”, “colo-colo campeón” No utilice número o claves que sean de uso doméstico o personal (no use la clave que tiene establecida para el banco, para el acceso al correo o computador). En sus claves no use fechas de nacimiento, nombres de familiares o mascotas, ni números de teléfono o direcciones. Como los usuarios/claves de acceso permiten asegurar el ingreso a información privilegiada, los computadores que utilice el funcionario deberá quedar bloqueado para el uso no autorizado por parte de otras personas. Independiente de lo anterior, el DTI implementará una política de bloqueo centralizada que ejecutará un bloqueo automático a los 15 minutos de inactividad en los computadores. Las claves de acceso NO se deben compartir entre usuarios