Back to top
La presente Base Normativa se encuentra en estado de revisión.
Los usuarios convienen en exonerar de responsabilidad a la Intendencia de Montevideo, División Asesoría Jurídica, Equipo Técnico de Actualización Normativa e Información Jurídica, por todo tipo de daño o perjuicio, directo o indirecto que eventualmente puedan sufrir especialmente los derivados de involuntarias inexactitudes, falta de información o datos imperfectos de cualquier naturaleza, contenidos en los archivos de dicha base.

Digesto Departamental
Volumen III Relación Funcional

Libro III
De la relación funcional
Parte Reglamentaria
Título  Único
Nota:

Por Res.IM Nº 0441/23 de 19/01/2023 se aprobó un régimen de trabajo especial para el Servicio Central de Locomoción, que comienza a regir a partir del 1º de enero de 2023 y que extenderá su vigencia por el término de 1 (un) año.  Por Res.IM Nº 973/24 de 27/02/2024 se prorrogó la vigencia del citado régimen hasta el 31/12/2024.

Capítulo XVIII.3
Del Sistema de Gestión de la Seguridad de la Información
Sección VI
De la política de control de acceso de usuarios

Artículo R.418.25 ._

Establecer la siguiente Política de Control de Acceso de Usuarios a los efectos de garantizar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas informáticos:

a) Gestión de acceso de usuarios
a.1) Registro de usuarios
i. Debe existir un procedimiento claro para las altas y bajas de permisos de acceso a los usuarios.
ii. Todo usuario debe tener una identificación única que permita asociarlo con sus acciones.
iii. Los permisos a otorgar a cada usuario deberán ser aprobados por un supervisor responsable con la justificación adecuada. Dicha aprobación debe estar debidamente documentada.
iv. El nivel de acceso otorgado debe estar acorde con el principio de mínimo privilegio, siendo éste el mínimo necesario para cumplir con las actividades asociadas a su tarea dentro de la Organización.
v. Se deben modificar o revocar inmediatamente los permisos de acceso de usuarios que cambian de roles o dejan la Organización.

a.2) Gestión de privilegios
i. La definición de Roles o Permisos y la administración de acceso a los sistemas será responsabilidad de los administradores de cada sistema.
ii. Asignar a los usuarios un rol o permiso dentro de los que tiene definido cada sistema, que les habilite las posibilidades de realizar acciones en el mismo.
iii. Están habilitados a solicitar la asignación de roles o permisos a los nuevos usuarios, los Directores de Departamento, División o Servicio, los que deberán indicar para cuál de éstos se solicita acceso.
iv. Es responsabilidad de los Directores de Departamento, División o Servicio informar cuando un usuario ya no puede tener más acceso a la red o a un rol en particular.
v. Debe existir un proceso de autorización y registro de los privilegios otorgados a usuarios. Los privilegios deben otorgarse a una vez finalizado el proceso de autorización.

a.3) Gestión de contraseñas
i. Para trabajar en los Sistemas Informáticos de la Intendencia de Montevideo es necesario tener un usuario y su correspondiente contraseña que solamente conoce cada persona,
ii. Constituirá falta grave la divulgación de la contraseña, aunque ésta no llegase a ser utilizada,
iii. La contraseña debe tener una vigencia máxima de un año. En caso que el usuario omita realizar este cambio u olvide su contraseña solicitará la asignación de una nueva contraseña temporal.
iv. La contraseña debe tener un mínimo de 8 (ocho) caracteres y debe ser el resultado de una combinación alfanumérica, incluir mayúsculas, minúsculas, no contener secuencias numéricas o de teclado, nombre, apellido o número de cédula del titular.
v. Se dará a los usuarios inicialmente, una contraseña segura temporal para el ingreso a los sistemas, la cual deben cambiar inmediatamente.
vi. Las contraseñas temporales deben ser únicas para cada usuario y generadas en forma aleatoria.
vii. Las contraseñas temporales serán entregadas en forma segura, se debe evitar el uso del correo electrónico que no sea el corporativo o no protegidos (texto claro).
viii. Para el cambio de contraseña se debe solicitar a la persona una identificación que permita verificar la identidad de la misma.
ix. Los usuarios deben acusar el recibo de la entrega de la contraseña.
x. En todo sistema de autenticación, que lo permita, se debe verificar automáticamente el vencimiento del plazo para el cambio de contraseña, el largo, la repetición y la no trivialidad de la misma.
xi. Para aquellos sistemas que se consideren críticos o habiliten el acceso a información clasificada como secreta, reservada o confidencial, podrá requerirse el uso de mecanismos adicionales para el acceso, como ser un segundo factor de autenticación.
xii. Para los accesos remotos de usuarios se requerirá un segundo factor de autenticación.

a.4) Revisión de permisos de acceso
i. Cada 6 (seis) meses, se deben bloquear las cuentas de usuario que no fueron accedidas durante este período.
ii. Se bloquearán los accesos una vez finalizada la relación de empleo de los usuarios.
iii. Los permisos de acceso deben ser revisados y reasignados cuando se modifica la condición laboral del usuario, por ejemplo una promoción, degradación o terminación de empleo.
iv. Se mantendrá registro de los intentos de acceso fallido, a sistemas considerados críticos.
v. Constituirá falta grave el intento de obtener accesos no autorizados.

a.5) Autorizaciones de accesos a datos de actuaciones de terceros
El acceso a datos referentes a las actuaciones de terceros, como ser: información acerca de archivos borrados o modificados, accesos a aplicaciones o internet, información de listas de correo, marcas de reloj horario/control de acceso, etc. requiere ser autorizado por el Director de Departamento, División o Servicio correspondiente.

a.6) Autorizaciones de acceso a información de cuentas de correo y/o documentos en carpetas personales de terceros.
Dichas solicitudes deben contar con el "consentimiento expreso del titular" o en su defecto ser autorizadas por la División de Asesoría Jurídica.

a.7) Eliminación de contenido de cuentas y documentos personales de usuarios que finalizaron su relación laboral.
Determinar a dos años, el plazo de retención de correos y documentos en carpetas personales de usuarios que hayan finalizado se relación laboral con la Organización, luego del cuál los mismos podrán ser eliminados definitivamente.

b) Responsabilidades del usuario
b.1) Uso de contraseña: los usuarios son responsables de:
i. Mantener la confidencialidad de la contraseña.
ii. Evitar registrar las contraseñas en papel o archivos de forma no segura.
iii. Cambiar las contraseñas en el período establecido.
iv. Evitar el uso de contraseñas ya utilizadas anteriormente.
v. Cambiar las contraseñas temporales en la primer conexión.
vi. No utilizar la misma contraseña que utiliza para propósitos particulares.
vii. Seleccionar contraseñas que:

  • Sean fáciles de recordar
  • No pueden ser adivinadas fácilmente, conteniendo información relacionada a la persona, por ejemplo
  • nombres, números telefónicos, fechas
  • Mantengan el largo mínimo establecido
  • No sean palabras incluidas en diccionarios
  • Sean alfanuméricas
  • No contengan caracteres idénticos sucesivos

viii. No ingresar nombre de usuario o contraseña en sitios web que no hayan sido validados como los institucionales o enviarlos en correos electrónicos.

b.2) Estaciones de trabajo
i. Deberán estar configuradas para bloquearse luego de 10 (diez) minutos de inactividad, de forma de limitar el acceso a las mismas,
ii. Los usuarios deben asegurarse de:

  • Desconectarse de las aplicaciones o servidores una vez finalizado el trabajo
  • Cerrar o bloquear la sesión del sistema operativo en caso de alejarse del mismo

b.3) Los usuarios no deberán conectar ningún dispositivo a la red cableada que no pertenezca al equipamiento distribuido por el Departamento de Desarrollo Sostenible e Inteligente o autorizado por Seguridad Informática, ya que puede implicar un riesgo para la seguridad de la información o a la red en general, dichos dispositivos podrán ser desconectados o retirados por las áreas de Seguridad Informática o Telecomunicaciones.

c) Definiciones
i. Permiso de acceso: privilegio que asociado a un usuario le permita acceder, borrar o modificar cualquier recurso informático, o realizar acciones a través de los distintos sistemas tales como enviar un correo, disparar un proceso, modificar un dato, etc.
ii. Contraseña segura: aquella contraseña que cumple con las directivas establecidas en esta política.
iii. Se entiende por administrador de sistema a quién o quienes decidan sobre la finalidad, contenido y uso del sistema. No incluye a los técnicos informáticos.
iv. Segundo factor de autenticación: mecanismo utilizado para verificar que un usuario es quien dice ser, combinando dos componentes diferentes, como ser una contraseña y un mensaje o código obtenido desde un dispositivo móvil.

d) Roles y responsabilidades
i. Los usuarios son responsables de minimizar el riesgo mediante el incumplimiento de las políticas establecidas y el seguimiento de las recomendaciones.
ii. El área de Seguridad Informática es responsable de asegurar su cumplimiento.
iii. Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.

FuenteObservaciones
num. 1 y 10
Sustituye la Res. IMM Nº 68/10 de 04.01.2010 y la Res.IM Nº 835/12 de 27.02.2012
num. 1
num. 1