Volver al indice

CU-ORFEO-52 Políticas de seguridad en Orfeo

1. Descripción


La seguridad de la información deberá garantizar: confidencialidad, integridad y disponibilidad. Esto se logrará en la medida que se implante un conjunto de controles adecuados, que pueden ser políticas, prácticas, procedimientos, estructuras organizaciónales y funciones de software. Es necesario establecer estos controles para asegurar que se cumplan los objetivos específicos de seguridad.
 
La seguridad de la información tiene una necesidad que nace de la amplia gama de fuentes que amenazan con poner en riesgo los tres factores básicos: confidencialidad, integridad y disponibilidad. Fuentes como virus informáticos, ataques de intusión, espionaje, sabotaje, etc. son cada vez más comunes, ambiciosos y sofisticados y dada la dependencia de los sistemas y servicios de información implica que las organizaciones son más vulnerables a las amenazas de seguridad.


2. Módulos que se deben cambiar

2.Gestión de cuentas de los usuarios de ORFEO.


2.1. El responsable de cada grupo debe confirmar cada 3 meses los permisos asignados a cada uno de los usuarios generando el reporte de ayuda de ORFEO que deberá enviar via mail al servicio de soporte.
 

3. Administración de contraseñas y control de acceso de las cuentas de ORFEO


3.1.1 Los cambios de contraseña se solicitarán automáticamente por el sistema cada 3 meses.



52_cambio_con1.png


3.1.2 Se deberá controlar en el sistema que una contraseña ya utilizada no podrá ser asignada nuevamente para el mismo usuario.

52_cambio_con2.png



3.1.3 Las claves o contraseñas deben tener una longitud mínima de 8 caracteres la cual debe ser una combinación de letras y números.


52_cambio_con3.png


3.1.4 No se permitirá el ingreso de un grupo de personas a algún recuros compartido, base de datos, archivos, etc, con un mismo usuario y contraseña. Para este caso cada usuario deberá realizar su ingreso al recurso compartido con su usuario y contraseña-
3.1.5 Al ingresar un usuario nuevo al sistema, este ingresará con el login asignado y su contraseña igual, pero el sistema validará que es un usuario nuevo y por lo tanto solicitará el cambio de contraseña.
3.1.7 Para evitar posibles intentos de ingreso a un usuario sin autorización del dueño, después de haber intentado 3 veces su ingreso, la contraseña se bloqueará. Solamente el administrador podrá activarla nuevamente.

52_cambio_con4.jpg

52_cambio_con5.jpg


3.1.8 Si un usuario se encuentra en al sistema y se detecta inactividad durante 30 minutos, se debe cerrar la sesión. Para reestablecer la sesión el usuario se deberá autenticar nuevamente.


3.1.9 Se debe llevar un registro (logs) de los diferentes ingresos y desconexiones del sistema de un usuario, guardando los datos de login, documento, fecha y hora de ingreso, fecha y hora de desconexión, etc. los cuales se guardarán durante 3 meses, tiempo en el cual se borrarán. Se debe garantizar la protección de esta información sin que pueda ser alterada y que solamente pueda ser leída por usuarios autorizados para esto.
 


Volver al indice