La presente Base Normativa se encuentra en estado de revisión.
Los usuarios convienen en exonerar de responsabilidad a la Intendencia de Montevideo, División Asesoría Jurídica, Equipo Técnico de Actualización Normativa e Información Jurídica, por todo tipo de daño o perjuicio, directo o indirecto que eventualmente puedan sufrir especialmente los derivados de involuntarias inexactitudes, falta de información o datos imperfectos de cualquier naturaleza, contenidos en los archivos de dicha base.

Digesto Departamental
Volumen III Relación Funcional

Libro III
De la relación funcional
Parte Reglamentaria
Título  Único
Capítulo XVIII.3
Del Sistema de Gestión de la Seguridad de la Información
Sección VI
De la política de control de acceso de usuarios

Artículo R.418.25 ._

Establecer la siguiente Política de Control de Acceso de Usuarios a los efectos de garantizar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas informáticos:
a) Gestión de acceso de usuarios
a.1) Registro de usuarios
i. Debe existir un procedimiento claro para las altas y bajas de permisos de acceso a los usuarios.
ii. Todo usuario debe tener una identificación única que permita asociarlo con sus acciones.
iii. Los permisos a otorgar a cada usuario deberán ser aprobados por un supervisor responsable con la justificación adecuada. Dicha aprobación debe estar debidamente documentada.
iv. El nivel de acceso otorgado debe estar acorde con el principio de mínimo privilegio, siendo éste el mínimo necesario para cumplir con las actividades asociadas a su tarea dentro de la Organización.
v. Se deben modificar o revocar inmediatamente los permisos de acceso de usuarios que cambian de roles o dejan la Organización.
a.2) Gestión de privilegios
i. La definición de Roles o Permisos y la administración de acceso a los sistemas será responsabilidad de los administradores de cada sistema.
ii. Asignar a los usuarios un rol o permiso dentro de los que tiene definido cada sistema, que les habilite las posibilidades de realizar acciones en el mismo, estando habilitados a solicitar la asignación de roles o permisos a los nuevos usuarios, los Directores de Departamento, División o Servicio, los que deberán indicar para cuál de éstos se solicita acceso. Es responsabilidad de los Directores informar cuando un funcionario ya no puede tener más acceso a la red o a un rol en particular.
iii. Debe existir un proceso de autorización y registro de los privilegios otorgados a usuarios. Los privilegios deben otorgarse una vez finalizado el proceso de autorización.
a.3) Gestión de contraseñas
i. Para trabajar en los Sistemas Informáticos de la Intendencia de Montevideo es necesario tener un usuario y su correspondiente contraseña que solamente conoce cada persona.
ii. Constituirá falta grave la divulgación de la contraseña, aunque ésta no llegase a ser utilizada.
iii. La contraseña debe tener una vigencia máxima de 6 (seis) meses. En caso que el usuario omita realizar este cambio u olvide su contraseña solicitará la asignación de una nueva contraseña temporal.
iv. La contraseña debe tener un mínimo de 8 (ocho) caracteres y debe ser el resultado de una combinación alfanumérica.
v. Se dará a los usuarios inicialmente, una contraseña segura temporal para el ingreso a los sistemas, la cual deben cambiar inmediatamente.
vi. Las contraseñas temporales deben ser únicas para cada usuario y generadas en forma aleatoria.
vii. Las contraseñas temporales serán entregadas en forma segura, se debe evitar el uso del correo electrónico que no sea el corporativo o no protegidos (texto claro).
viii. Para el cambio de contraseña se debe solicitar a la persona una identificación que permita verificar la identidad de la misma.
ix. Los usuarios deben acusar el recibo de las contraseñas.
x. En todo sistema de autenticación, que lo permita, se debe verificar automáticamente el vencimiento del plazo para el cambio de contraseña, el largo, la repetición y la no trivialidad de la misma.
a.4) Revisión de permisos de acceso
i. Cada seis (6) meses, se deben eliminar las cuentas de usuario que no fueron accedidas durante este período.
ii. Los permisos de acceso deben ser revisados y reasignados cuando se modifica la condición laboral del usuario, por ejemplo una promoción, degradación o terminación de empleo.
iii. Se mantendrá registro de los intentos de acceso fallido, a sistemas considerados críticos, el cuál será revisado semanalmente por el responsable de cada sistema de autenticación.
iv. Constituirá falta grave el intento de obtener accesos no autorizados.
b) Responsabilidades del usuario
b.1) Uso de contraseña: Los usuarios son responsables de:
i. mantener la confidencialidad de la contraseña
ii. evitar registrar las contraseñas en papel o archivos de forma no segura
iii. cambiar las contraseñas en el período establecido
iv. evitar el uso de contraseñas ya utilizadas anteriormente
v. cambiar las contraseñas temporales en la primer conexión
vi. no compartir las contraseñas
vii. no utilizar la misma contraseña que utiliza para propósitos particulares
viii. seleccionar contraseñas que:

  • sean fáciles de recordar

  • no puedan ser adivinadas fácilmente, conteniendo información relacionada a la persona, por ejemplo nombres, números telefónicos, fechas

  • mantengan el largo mínimo establecido

  • no sean palabras incluidas en diccionarios

  • sean alfanuméricas

  • no contengan caracteres idénticos sucesivos

b.2) Estaciones de trabajo
i.Los usuarios deben asegurarse de: 

  • cerrar las aplicaciones una vez terminado el trabajo en ellas

  • desconectarse de las aplicaciones o servidores una vez finalizado el trabajo

  • proteger las estaciones de trabajo que gestionan información sensible con salva pantalla controlado por contraseña, que se active automáticamente después de 10 minutos de inactividad

b.3) Estaciones de trabajo móviles
i. Los equipos y medios que contengan datos con información sensible, no deben dejarse desatendidos en sitios públicos.
ii. Durante viajes, las computadoras portátiles deben, cuando sea posible, transportarse como equipaje de mano.
iii. En caso de que las computadoras portátiles contengan información sensible, la misma deberá estar encriptada.
iv. El usuario será responsable de asegurar el cumplimiento del punto anterior, pudiendo solicitar ayuda a Atención al Usuario, sobre las medidas a tomar.
v. No deberá conectarse a redes inalámbricas no confiables o desconocidas para transmitir información sensible.
vi. Previo a su utilización el usuario deberá consultar a Atención al Usuario, para que se controle el correcto funcionamiento del software antivirus y firewall del equipo, así como que el mismo tenga todos los parches correspondientes a su sistema operativo instalado.
c) Definiciones
i. Permisos de acceso: privilegio que asociado a un usuario le permita acceder, borrar o modificar cualquier recurso informático, o realizar acciones a través de los distintos sistemas tales como enviar un correo, disparar un proceso, modificar un dato, etc.
ii. Contraseña segura: aquella contraseña que cumple con las directivas establecidas en esta política.
iii. Se entiende por administrador de sistema a quién o quienes decidan sobre la finalidad, contenido y uso del sistema. No incluye a los técnicos informáticos.

FuentesObservaciones
num. 1
num. 1