Determinar la siguiente política de control de acceso remoto, cuyo propósito es establecer los requerimientos mínimos para el acceso de forma remota a servicios informáticos de la red interna.
a) Política:
i. Esta política aplica a funcionarios y terceras partes relacionadas con la Intendencia de Montevideo.
ii. Los mecanismos que permitan dichos accesos deberán ser aprobados por Seguridad Informativa antes de ser utilizados.
iii. Deberá utilizarse una conexión VPN o mecanismo equivalente, con cifrado de datos mediante protocolos seguros que no presenten vulnerabilidades publicadas.
iv. La Dirección de cada Servicio de la Intendencia de Montevideo debe autorizar esta modalidad de acceso únicamente a los usuarios que lo requieran para desempeñar sus funciones.
v. Todo permiso de acceso debe estar estrictamente aprobado y quedar registrado.
vi. Preferentemente deberá establecerse un segundo factor de autenticación adicional al estándar de usuario/contraseña.
b) Empresas o usuarios externos a la organización:
i. El acceso físico o lógico a la infraestructura y aplicaciones únicamente se debe dar a los proveedores para propósitos de soporte, cuando sea necesario, y con aprobación previa.
ii. Previo al acceso será requerimiento la firma de un Compromiso de confidencialidad y responsabilidad sobre actuaciones realizadas con el usuario o conexiones establecidas.
iii. Deberán otorgarse únicamente los accesos mínimos requeridos para el desarrollo de sus actividades.
iv. Los usuarios definidos deberán tener una fecha de caducidad que esté determinada en el contrato establecido con la Intendencia de Montevideo o en su defecto deberá ser de un año corriente a la fecha de autorización, fecha en la cual caducará el permiso de acceso.
v. Cualquier actividad anómala detectada en el transcurso de la conexión remota establecida con la Intendencia de Montevideo, podrá determinar el bloqueo del usuario o la empresa en su conjunto, referente al acceso remoto.
vi. Las actividades deben ser supervisadas o monitoreadas adecuadamente.
vii. Deberán establecerse acuerdos de nivel de servicio (SLA) para aquellos casos que el soporte sea sobre los componentes críticos de la infraestructura.
c) Definiciones:
Acceso Remoto: conexión a los servicios informáticos de la Intendencia de Montevideo desde una ubicación remota a través de una Red Pública.
Segundo factor de autenticación: mecanismo utilizado para verificar que un usuario es quien dice ser combinando dos componentes diferentes, como ser contraseña y un mensaje o código obtenido desde un dispositivo móvil.
d) Roles y responsabilidades:
i. Todos los usuarios son responsables de minimizar el riesgo y proteger los dispositivos según lo establecido anteriormente.
ii. El área de Seguridad Informática es responsable de asegurar su cumplimiento.
iii. Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.