Procedimientos de Seguridad

SIN CLASIFICAR
CCN-STIC-822 Procedimientos de Seguridad en el ENS. Anexo I.

Centro Criptolgico Nacional 1
ANEXO I.

PROCEDIMIENTO DE GESTIN DE USUARIOS: ALTAS, BAJAS,
IDENTIFICACIN, AUTENTICACIN Y CONTROL DE ACCESO
LGICO
PR10

SIN CLASIFICAR


INDICE

1. OBJETO ........................................................................................................................................................ 3
2. MBITO DE APLICACIN ...................................................................................................................... 3
3. VIGENCIA .................................................................................................................................................... 3
4. REVISIN Y EVALUACIN ..................................................................................................................... 4
5. REFERENCIAS ........................................................................................................................................... 4
6. ROLES Y RESPONSABILIDADES .......................................................................................................... 4
7. GESTIN DE USUARIOS ......................................................................................................................... 6
7.1 ALTA/BAJA DE PERSONAL ................................................................................................................................ 7
7.1.1 PROCESO DE ALTA DE EMPLEADOS PBLICOS EN EL <<ORGANISMO>> .......................... 7
7.1.2 PROCESO DE BAJA DE EMPLEADOS PBLICOS EN EL <<ORGANISMO>>........................... 11
7.1.3 PROCESO DE ALTA DE PERSONAL EXTERNO EN EL <<ORGANISMO>> ............................. 15
7.1.4 PROCESO DE BAJA DE PERSONAL EXTERNO EN EL <<ORGANISMO>> .............................. 20
7.1.5 INCORPORACIN DE NUEVO EMPLEADO PBLICO ................................................................ 25
7.1.6 INCORPORACIN DE NUEVO PERSONAL EXTERNO COLABORADOR .................................. 29
7.2. GESTIN DE PRIVILEGIOS ............................................................................................................................. 31
7.2.1 INTRODUCCIN .............................................................................................................................. 31
7.2.2 GESTIN DE PRIVILEGIOS ............................................................................................................ 31
7.2.3 REVISIN DE PRIVILEGIOS .......................................................................................................... 32
7.2.4 CANCELACIN DE PRIVILEGIOS .................................................................................................. 33
8. CONTROL DE ACCESO .......................................................................................................................... 33
8.1 IDENTIFICADORES .......................................................................................................................................... 33
8.2 SERVICIO DE IDENTIDAD DIGITAL ............................................................................................................ 33
8.3 PRINCIPIOS DE CONTROL DE ACCESO ..................................................................................................... 34
8.4 REVISIN DEL CONTROL DE ACCESO ....................................................................................................... 34
9. AUTENTICACIN DE USUARIOS ....................................................................................................... 35
9.1 AUTENTICACIN MEDIANTE CONTRASEAS ....................................................................................... 35
9.2 AUTENTICACIN PERSONAL MEDIANTE CERTIFICADO DIGITAL ............................................... 39
9.3 GESTIN DE INICIOS DE SESIN.................................................................................................................. 39
9.4 CONTROL DE ACCESO A BASES DE DATOS Y APLICACIONES .......................................................... 40
9.5 CONTROL DE ACCESO A LA RED .................................................................................................................. 40
9.6 MONITORIZACIN DE LOS ACCESOS ........................................................................................................ 41
10. REGISTROS E INDICADORES .............................................................................................................. 41
10.1. TABLA DE REGISTROS .................................................................................................................................. 41
10.2. TABLA DE INDICADORES ............................................................................................................................ 42
10.3 REGISTRO DE SUCESOS ................................................................................................................................. 42
11. SOPORTE Y MODELOS.......................................................................................................................... 45
11.1. SOPORTE ............................................................................................................................................................ 45
11.2. MODELOS ........................................................................................................................................................... 45
ANEXO I:.............................................................................................................................................................. 46
MODELO DE SOLICITUD DE ALTA/BAJA DE RECURSOS IT .......................................................... 46
ANEXO II: ............................................................................................................................................................ 48
MODELO DE SOLICITUD ALTA/BAJA DE TELEFONA FIJA ........................................................... 48
ANEXO III: .......................................................................................................................................................... 49
MODELO DE SOLICITUD ALTA/BAJA DE TELEFONA MVIL Y/O DATOS EN MOVILIDAD49

SIN CLASIFICAR


1. OBJETO
1. El objeto del presente documento es la definicin del Procedimiento aplicable a la
Gestin de Usuarios: Altas, Bajas, Identificacin, Autenticacin y Control de Acceso
Lgico de los usuarios de los Sistemas de Informacin del <<ORGANISMO>>,
dentro del alcance sealado en el ENS.

Se implantar el presente Procedimiento atendiendo al nivel de seguridad de la
informacin y los servicios prestados, y la categora de los sistemas del
<<ORGANISMO>>, que resulten de la aplicacin de las previsiones contempladas
en los Anexos I y II del Real Decreto 3/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el mbito de la administracin electrnica (ENS).

2. MBITO DE APLICACIN
2. Este Procedimiento es de aplicacin a todo el mbito de actuacin del
<<ORGANISMO>>, y sus contenidos traen causa de las directrices de carcter ms
general definidas en la Poltica de Seguridad de la Informacin y en las Normas de
Seguridad del <<ORGANISMO>>.
3. El presente Procedimiento es de aplicacin y de obligado cumplimiento para todo el
personal que, de manera permanente o eventual, preste sus servicios en el
<<ORGANISMO>>, incluyendo el personal de proveedores externos, cuando sean
usuarios de los Sistemas de Informacin del <<ORGANISMO>>.
4. En el mbito de la presente normativa, se entiende por usuario cualquier empleado pblico
perteneciente o ajeno al <<ORGANISMO>>, as como personal de organizaciones
privadas externas, entidades colaboradoras o cualquier otro con algn tipo de vinculacin
con el <<ORGANISMO>> y que utilice o posea acceso a los Sistemas de Informacin del
<<ORGANISMO>>.

3. VIGENCIA
5. El presente Procedimiento ha sido aprobado por la <<U/OC>> del <<ORGANISMO>>,
estableciendo de esta forma las directrices generales para el uso adecuado de los recursos
de tratamiento de informacin que el <<ORGANISMO>> pone a disposicin de sus
usuarios para el ejercicio de sus funciones y que, correlativamente, asumen las
obligaciones descritas, comprometindose a cumplir con lo dispuesto en los siguientes
epgrafes.
6. Cualquier modificacin posterior entrar en vigor inmediatamente despus de su
publicacin por parte del <<ORGANISMO>>.
7. Las versiones anteriores que hayan podido distribuirse constituyen borradores que se han
desarrollado temporalmente, por lo que su vigencia queda anulada por la ltima versin de
este Procedimiento.

SIN CLASIFICAR


4. REVISIN Y EVALUACIN
8. La gestin de este Procedimiento corresponde a la <<U/OC>>, que es competente para:
Interpretar las dudas que puedan surgir en su aplicacin.
Proceder a su revisin, cuando sea necesario para actualizar su contenido o se
cumplan los plazos mximos establecidos para ello.
Verificar su efectividad.
9. Anualmente (o con menor periodicidad, si existen circunstancias que as lo aconsejen), la
<<U/OC>> revisar el presente Procedimiento, que se someter, de haber modificaciones,
a la aprobacin de la <<U/OC>> del <<ORGANISMO>>.
10. La revisin se orientar tanto a la identificacin de oportunidades de mejora en la gestin
de la seguridad de la informacin, como a la adaptacin a los cambios habidos en el marco
legal, infraestructura tecnolgica, organizacin general, etc.
11. Ser el Responsable de Seguridad la persona encargada de la custodia y divulgacin de la
versin aprobada de este documento.

5. REFERENCIAS
12. La implantacin de un Procedimiento como el descrito requiere el examen previo de la
siguiente documentacin:
Normativa de Seguridad [org.2]: Normativa General de Utilizacin de los Recursos y
Sistemas de Informacin del <<ORGANISMO>>
1
.
Normativa de Seguridad [org.2]: Normas Especiales o Particulares del
<<ORGANISMO>>
2
.

6. ROLES Y RESPONSABILIDADES
13. Las responsabilidades definidas por las tareas contempladas en el procedimiento son las
siguientes:
Roles Responsabilidades
3

Usuarios Aplicar el presente Procedimiento.

Responsable de Seguridad (RSEG) Mantener la seguridad de la
informacin manejada y de los
servicios prestados por los sistemas de
informacin en su mbito de
responsabilidad, de acuerdo a lo

1
Vase Gua CCN-STIC 821. Normas de Seguridad en el ENS. En concreto, puede consultarse la Norma
NG00-Normativa General de Utilizacin de los Recursos y Sistemas de Informacin del <<ORGANISMO>>, de
Anexo I.
2
Vase Gua CCN-STIC 821. Normativa de Seguridad en el ENS. En concreto, pueden consultarse las
Normas Particulares del Anexo II.
3
Vase Gua CCN-STIC 801. Responsabilidades en el ENS.
SIN CLASIFICAR


establecido en la Poltica de Seguridad
del <<ORGANISMO>>.
Promover la formacin y
concienciacin en materia de
seguridad de la informacin dentro de
su mbito de responsabilidad.
Determinacin de la categora del
sistema.
Anlisis de riesgos.
Declaracin de aplicabilidad.
Medidas de seguridad adicionales.
Elaborar configuracin de seguridad.
Documentacin de seguridad del
sistema.
Elaborar Normativa de seguridad.
Aprobar Procedimientos de seguridad.
Elaborar planes de mejora de la
seguridad.
Elaborar planes de concienciacin y
formacin.
Validar Planes de Continuidad.
Aprobar el ciclo de vida de seguridad:
especificacin, arquitectura,
desarrollo, operacin y cambios.
Analizar y proponer salvaguardas que
prevengan incidentes similares en el
futuro.
Responsable del sistema (RSIS) Desarrollar, operar y mantener el
Sistema de Informacin.
Definir la topologa y sistema de
gestin del Sistema de Informacin.
Cerciorarse de que las medidas
especficas de seguridad se integren
adecuadamente.
Elaborar os Procedimientos de
seguridad.
Elaborar el Plan de mejora de la
seguridad.
Elaborar el Plan de Continuidad.
Propone la suspensin temporal del
servicio.
Elabora el ciclo de vida de seguridad:
especificacin, arquitectura,
desarrollo, operacin y cambios.
Planifica la implantacin de las
salvaguardas en el sistema.
Ejecuta el Plan de Seguridad
SIN CLASIFICAR


aprobado.
Administrador de Seguridad del
Sistema (ASS)
Implantacin, gestin y
mantenimiento de las medidas de
seguridad.
Gestin, configuracin y
actualizacin, en su caso, del hardware
y software de seguridad, as como su
supervisin.
Gestin de las autorizaciones y
privilegios concedidos a los usuarios
del sistema.
Aplicacin de los Procedimientos de
seguridad y verificacin de su
cumplimiento.
Aprobar los cambios en la
configuracin de seguridad.
Asegurar que los controles de
seguridad se cumplen.
Monitorizar el estado de seguridad del
sistema.
Informar al RSEG y RSIS de cualquier
anomala.
Colaborar en la investigacin y
resolucin de incidentes de seguridad.
Llevar a cabo el registro, contabilidad
y gestin de los incidentes de
seguridad.
Aislar el incidente para evitar la
propagacin.
Tomar decisiones a corto plazo si la
informacin se ha visto comprometida
de tal forma que pudiera tener
consecuencias graves.
Asegurar la integridad de los
elementos crticos del Sistema si se ha
visto afectada la disponibilidad de los
mismos.
Mantener y recuperar la informacin
almacenada por el Sistema y sus
servicios asociados.
Investigar el incidente: Determinar el
modo, los medios, los motivos y el
origen del incidente.
Responsable de personal

Comunicar el alta y baja de usuarios, a
travs del procedimiento descrito en el
presente documento.

7. GESTIN DE USUARIOS
SIN CLASIFICAR


7.1 ALTA/BAJA DE PERSONAL
14. A continuacin se identifican las reas/Personal del <<ORGANISMO>> involucrado en
la ejecucin de alguna de las tareas que se van a describir en este epgrafe y que tendrn
que ser debidamente informados para la correcta ejecucin del procedimiento.
Responsable de Asignacin de Recursos IT
4.

Secretara.
Jefes de rea / Jefes de Servicio.
CAU.
rea de Sistemas.
rea de Comunicaciones.
rea de Desarrollo.
rea de Administracin Electrnica.
Grupo de Telefona Fija.
Grupo de Dispositivos Mviles.
RRHH
Habilitacin General.
rea de Seguridad
5
.
7.1.1 PROCESO DE ALTA DE EMPLEADOS PBLICOS EN EL <<ORGANISMO>>
15. El empleado pblico que se incorpore al <<ORGANISMO>> proporcionar, entre otros,
los siguientes datos:
Nombre.
Apellidos.
DNI.
Otros datos de distinta naturaleza (bancarios, etc.)
16. Seguidamente, se describe el proceso requerido para la incorporacin de un empleado
pblico al <<ORGANISMO>>. En el momento en el que el empleado pblico se incorpore
a su puesto en el rea correspondiente del <<ORGANISMO>>, su responsable definir
sus necesidades tecnolgicas, pudendo incluir: alta en ciertos sistemas, asignacin de
ordenador, telfono, etc.

4
Suele tratarse de una funcin asignada al Departamento de Sistemas de los organismos.
5
En ciertos organismos, estas funciones estn centralizadas en la Oficiala Mayor.
SIN CLASIFICAR


Proceso de ALTA DE EMPLEADOS PBLICOS en el <<ORGANISMO>>

El responsable del empleado pblico enviar una solicitud va correo electrnico al Responsable de Asignacin de Recursos IT del
<<ORGANISMO>> <<sealar direccin de email>>, indicndole las necesidades del nuevo usuario e incluyendo, entre otros, los
siguientes datos:
o Nombre y Apellidos.
o NIF.
o Perfil (permisos de acceso a recursos del sistema).
o Puesto de trabajo (denominacin del puesto y unidades administrativas a las que pertenece).
o Ubicacin (edificio, planta, despacho).
o Telfono, si ya se conoce.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> enviar un correo electrnico al rea de Seguridad del
<<ORGANISMO>> <<sealar direccin de email>> solicitando la credencial
6
de acceso al <<ORGANISMO>>. El correo electrnico
incluir los datos del empleado pblico que se va a incorporar: nombre, apellidos, NIF, un telfono de contacto, etc.

ALTA EN SISTEMAS Y ASIGNACIN
DE EQUIPAMIENTO
ALTA EN TELEFONA FIJA ALTA EN TELEFONA MVIL O
DATOS EN MOVILIDAD
En caso de que la solicitud requiera el
ALTA EN LOS SISTEMAS DE
INFORMACIN Y/O
EQUIPAMIENTO
INFORMTICO, el Responsable de
Asignacin de Recursos IT del
<<ORGANISMO>> remitir un correo
electrnico al CAU <<sealar
En caso de que la solicitud requiera
TELFONO FIJO, el Responsable
de Asignacin de Recursos IT del
<<ORGANISMO>> remitir un
correo electrnico al Grupo de
Telefona Fija <<sealar direccin de
email>> con la Solicitud de Alta/Baja
de Telefona Fija
9
, incluyendo la
En caso de que la solicitud requiera
TELFONO MVIL O
CONEXIN DE DATOS DE
MOVILIDAD PARA PORTTIL,
el Responsable de Asignacin de
Recursos IT del <<ORGANISMO>>
remitir un correo electrnico al Grupo
de Mviles <<sealar direccin de

6
Suele ser frecuente el uso de tarjetas personalizadas, que pueden incluir ciertos datos personales tales como: nombre, apellidos, cargo, fotografa e, incluso, un chip
criptogrfico para contener certificados digitales.
SIN CLASIFICAR


direccin de email>> con la Solicitud
de Alta/Baja de Recursos IT
7
,
incluyendo la informacin recibida del
responsable del nuevo empleado
pblico.

o El CAU dar de alta al usuario e
informar de ello al Responsable de
<<ORGANISMO>> <<sealar
direccin de email>>. Para ello,
utilizar la Solicitud de Alta/Baja de
Recursos IT
8
, completando la
informacin requerida en la plantilla.

o El Responsable de Asignacin de
enviar la informacin del alta al
responsable del funcionario que la ha
solicitado.

informacin recibida del responsable
del nuevo empleado pblico.

o El Grupo de Telefona Fija
ejecutar las acciones pertinentes
para asignar un telfono y una lnea
al usuario e informar va correo
electrnico del nmero de telfono
fijo y su extensin al Responsable
<<ORGANISMO>>, utilizando la
Solicitud de Alta/Baja de Telefona
Fija.

Recursos IT del
<<ORGANISMO>> enviar al
pblico funcionario que ha
solicitado la lnea de telfono la
informacin recibida del Grupo de
Telefona Fija y pondr en copia
del correo electrnico al nuevo
empleado pblico.
email>> con la Solicitud de Alta/Baja
de Telefona Mvil o Datos en
Movilidad
10
.

o El Grupo de Mviles ejecutar las
acciones pertinentes para asignar y
entregar el telfono mvil y/o
configurar la conexin de datos de
movilidad al nuevo empleado
pblico, e informar va correo
electrnico la finalizacin de las
tareas solicitadas, al Responsable
<<ORGANISMO>>, utilizando el
formulario Solicitud de Alta/Baja
de Telefona Mvil o Datos en
Movilidad.

Recursos IT del
<<ORGANISMO>> enviar al
pblico que ha solicitado el
telfono mvil o la conexin de

9
Un modelo de esta solicitud puede encontrase en el Anexo II.
7
Un modelo de esta solicitud puede encontrase en el Anexo I.
8
Un modelo de esta solicitud puede encontrase en el Anexo I.
10
Un modelo de esta solicitud puede encontrase en el Anexo III. Esta solicitud podr requerir la inclusin de la autorizacin de la Jefatura de Comunicaciones.

SIN CLASIFICAR


datos de movilidad, la informacin
recibida del grupo de mviles y
pondr en copia del correo
electrnico al nuevo empleado
pblico.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> deber dar de alta al nuevo empleado pblico en la <<Aplicacin
de Gestin de Accesos del Organismo>>, para ello deber recabar del empleado pblico los siguientes datos:

o Nombre.
o Apellidos.
o NIF.
o Fecha de alta.
o Telfono.
o Puesto de trabajo.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> ser responsable del registro y seguimiento de las solicitudes
realizadas a las distintas reas. En el caso de que existiera algn problema, el Responsable de Asignacin de Recursos IT del
<<ORGANISMO>> deber informar de la situacin al solicitante, sealando la causa de la demora en la ejecucin de las solicitudes.

SIN CLASIFICAR


7.1.2 PROCESO DE BAJA DE EMPLEADOS PBLICOS EN EL
<<ORGANISMO>>

17. Procedimiento a seguir al producirse la baja de un empleado pblico destinado en el
<<ORGANISMO>>, al objeto de proceder a la retirada del equipamiento
tecnolgico asignado, baja en los sistemas, etc.

SIN CLASIFICAR


Proceso de BAJA DE EMPLEADOS PBLICOS en el <<ORGANISMO>>

El Responsable del empleado pblico que se da de baja informar mediante correo electrnico al Responsable de Asignacin de
Recursos IT del <<ORGANISMO>> <<sealar direccin de email>> de la baja del empleado pblico. En dicho correo electrnico se
debern identificar entre otros datos: nombre, apellidos, NIF, rea del <<ORGANISMO>> en la que trabaja, puesto de trabajo y la fecha
de baja del personal.

BAJA DE SISTEMAS Y
RETIRADA DE EQUIPO
BAJA DE TELEFONA FIJA BAJA EN TELEFONA MVIL O
DATOS EN MOVILIDAD
El Responsable de Asignacin de
remitir al CAU <<sealar direccin
de email>> la Solicitud de Alta/Baja
de Recursos IT, informando de la baja
del empleado pblico y solicitando la
baja del empleado pblico en los
sistemas, la retirada del equipo que en
su caso tenga asignado, y sealando la
fecha de baja.

o El CAU ejecutar las acciones
pertinentes para dar de baja al
usuario de los sistemas en la fecha
de baja sealada.

o El CAU se pondr en contacto con
el empleado pblico que va a
causar baja y le reclamar la
devolucin del equipo facilitado
remitir al Grupo de Telefona Fija
<<sealar direccin de email>> la
Fija, informando de la baja del
empleado pblico y solicitando la
retirada del equipamiento que tuviere
asignado, y sealando la fecha de baja.

o En el caso de que no tuviera
ningn equipo de telefona fija
asignado, el Grupo de Telefona
Fija informar de ello al
Responsable de Asignacin de
Recursos IT del
<<ORGANISMO>> y se dar por
cerrada la solicitud.

o En el caso de tener asignado un
Recursos IT del <<ORGANISMO>>,
remitir al Grupo de Dispositivos
Mviles <<sealar direccin de
email>> la Solicitud de Alta/Baja de
Telefona Mvil o Datos en Movilidad,
informando de la baja del empleado
pblico y solicitando la retirada del
equipo de telefona mvil o tarjeta de
conexin de datos de movilidad que
tuviere asignado, y sealando la fecha
de baja.

o En el caso de que no tuviera ningn
equipo de telefona mvil o tarjeta
de conexin de datos en movilidad
asignada, el Grupo de Dispositivos
Mviles informar de ello al
Recursos IT del
SIN CLASIFICAR


por el <<ORGANISMO>>.

o Una vez completada la solicitud,
el CAU informar mediante correo
electrnico al Responsable de
Asignacin de Recursos IT de la
SGTIC la finalizacin del trabajo
solicitado. Para ello
cumplimentar los campos
asignados en el formulario de
Solicitud de Alta/Baja de Recursos
IT.
equipo de telefona fija asignado,
el Grupo de Telefona Fija retirar
el equipo del puesto de trabajo
indicado en la solicitud.

o Una vez realizadas las acciones
solicitadas, el Grupo de Telefona
Fija informar mediante correo
<<ORGANISMO>> la
finalizacin del trabajo. Para ello
utilizar los campos asignados en
la Solicitud de Alta/Baja de
Telefona Fija.


o En el caso de tener asignado un
equipo de telefona mvil o tarjeta
de conexin de datos en movilidad,
el Grupo de Dispositivos Mviles,
mediante su procedimiento interno,
se pondr en contacto con el
empleado pblico que causa baja y
retirar el material que el empleado
pblico tuviera asignado.

o Una vez completada la solicitud, el
Grupo de Dispositivos Mviles
informar mediante correo
<<ORGANISMO>> la finalizacin
del trabajo solicitado. Para ello
utilizar los campos asignados en
la Solicitud de Alta/Baja de
Telefona Mvil o Datos en
Movilidad.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> informar al rea de Seguridad del <<ORGANISMO>>
<<sealar direccin de email>> la fecha de baja del empleado pblico, al objeto de que, a partir de dicha fecha, se revoque el permiso de
acceso fsico a las instalaciones.
En el da en el que el empleado pblico cause baja en el <<ORGANISMO>>, el Responsable de Asignacin de Recursos IT del
SIN CLASIFICAR


<<ORGANISMO>> se pondr en contacto con el empleado pblico para retirarle la tarjeta de acceso.
El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> enviar a la unidad competente
11
, por valija interna, las tarjetas
de acceso de los empleados pblicos dados de baja en el <<ORGANISMO>>.
El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> dar de baja al usuario en la <<Aplicacin de Gestin de Accesos
del Organismo>> y, en su caso, en la <<Aplicacin de Control Horario del Organismo>>.

Una vez confirmado que se ha dado de baja al usuario en los sistemas, que se le ha retirado el equipo, el telfono y la tarjeta de acceso, el
Responsable de Asignacin de Recursos IT del <<ORGANISMO>> enviar la confirmacin de la baja completa al responsable del
empleado pblico que solicit la baja.

11
Por ejemplo, la Oficiala Mayor.
SIN CLASIFICAR


7.1.3 PROCESO DE ALTA DE PERSONAL EXTERNO EN EL
<<ORGANISMO>>
18. El trabajador externo que se incorpore al <<ORGANISMO>> proporcionar, entre
otros, los siguientes datos:
Nombre.
Apellidos.
NIF.
Empresa.
Categora Profesional.
Proyecto.
Jefe de Proyecto en el <<ORGANISMO>>.
Tiempo estimado de estancia.
19. Seguidamente se describe el proceso de Alta.

SIN CLASIFICAR


Proceso de ALTA DE PERSONAL EXTERNO en el <<ORGANISMO>>

Con anterioridad a la incorporacin de nuevo personal externo en el rea correspondiente del <<ORGANISMO>>, se identificarn las
necesidades de tal personal externo por parte del responsable del personal externo, pudendo incluir: alta en los sistemas, asignacin de
ordenador, telfono, etc.

Para satisfacer las anteriores necesidades, el responsable del personal externo enviar una solicitud va correo electrnico al Responsable
de Asignacin de Recursos IT del <<ORGANISMO>> <<sealar direccin de email>>, indicndole las necesidades del nuevo usuario e
incluyendo la siguiente informacin:

o Nombre.
o Apellidos.
o NIF.
o Perfil.
o Empresa.
o Fecha de incorporacin.
o Fecha prevista de finalizacin.

Adicionalmente, en esa misma comunicacin, el responsable del personal externo deber informar si el nuevo personal externo va a
utilizar el equipo de su propia organizacin o si, por el contrario, va a ser necesario que se le asigne un equipo perteneciente al
<<ORGANISMO>>.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> enviar un correo electrnico solicitando al rea de Seguridad
del <<ORGANISMO>>
12
<<sealar direccin de email>> las credenciales de acceso al <<ORGANISMO>>
13
para el nuevo personal
externo. El correo electrnico incluir los datos de la persona externa que se va a incorporar: nombre, apellidos, NIF, organizacin a la

12
En muchas ocasiones, se trata de la Oficiala Mayor.
13
Usualmente, una tarjeta personalizada, que podr incluir un chip criptogrfico para alojar certificados digitales.
SIN CLASIFICAR


que pertenece y un telfono de contacto.

ALTA EN SISTEMAS Y/O ASIGNACIN
DE EQUIPAMIENTO
ALTA EN TELEFONA FIJA ALTA EN TELEFONA MVIL O
DATOS EN MOVILIDAD
En caso de solicitud de alta en los
sistemas y/o equipamiento
informtico del <<ORGANISMO>>,
el Responsable de Asignacin de
remitir un correo electrnico al CAU
<<sealar direccin de email>> con la
Solicitud de Alta/Baja de Recursos IT,
responsable del personal externo.

pertinentes para de alta al usuario
y/o para asignarle equipo y tras su
finalizacin, informar va correo
<<ORGANISMO>>. Para ello,
utilizar la Solicitud de Alta/Baja
de Recursos IT, completando la
informacin requerida en la
plantilla.

En caso de requerir telfono fijo, el
remitir un correo electrnico al
Grupo de Telefona Fija <<sealar
de Alta/Baja de Telefona Fija,
responsable del personal externo.

o El Grupo de Telefona Fija
ejecutar las acciones pertinentes
para asignar un telfono y una lnea
al usuario, e informar al
Recursos IT del
<<ORGANISMO>> del telfono
fijo y la extensin va correo
electrnico utilizando el formulario
de Solicitud de Alta/Baja de
Telefona Fija.

Recursos IT del
En caso de requerir telfono mvil o
conexin de datos en movilidad, el
remitir un correo electrnico al Grupo
de Dispositivos Mviles <<sealar
de Alta/Baja de Telefona Mvil o
Datos en Movilidad
14
.

o El Grupo de Dispositivos Mviles
realizar las acciones pertinentes
para asignar y entregar el telfono
mvil y/o configurar la conexin
de datos de movilidad al personal
externo, e informar al
Recursos IT del
<<ORGANISMO>>, la
finalizacin de las tareas
solicitadas. Para ello utilizar la
Mvil o Datos en Movilidad.

14
Que podr incluir la autorizacin del Jefe de rea de Comunicaciones (o unidad equivalente).
SIN CLASIFICAR


Recursos IT del <<ORGANISMO
enviar la informacin del alta o
baja al responsable del personal
externo que la ha solicitado.

<<ORGANISMO>> remitir al
responsable del personal externo
que ha solicitado la lnea de
telfono fijo la informacin
recibida del Grupo de Telefona
Fija y pondr en copia del correo
electrnico al usuario final.

Recursos IT del
<<ORGANISMO>> remitir al
responsable del personal externo
que ha solicitado el telfono mvil
y/o la conexin de datos en
movilidad, la informacin recibida
del Grupo de Dispositivos Mviles
y pondr en copia del correo
electrnico al personal externo.

Como norma general, el personal externo no podr conectar sus propios equipos al dominio del <<ORGANISMO>>, utilizando los que
le sean proporcionados por el <<ORGANISMO>>. En casos excepcionales en los que se autorice aquel uso, se adoptarn las siguientes
cautelas:

o El responsable del personal externo que va a utilizar su propio equipamiento (ordenador porttil, por ejemplo) debe de realizar las
tareas definidas en el procedimiento de <<Normativa de seguridad para ordenadores de usuarios externos>>.
o El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> remitir va correo electrnico al CAU <<sealar direccin
de email>> la Solicitud de Alta/Baja de Recursos IT, que incluir la autorizacin del responsable del personal externo.
o El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> acompaar al CAU al personal externo incorporado.
o El CAU realizar el procedimiento interno definido e informar al Responsable de Asignacin de Recursos IT, va correo electrnico,
la finalizacin del trabajo solicitado. Para ello usar la Solicitud de Alta/baja de Recursos IT.
o El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> enviar la informacin del alta al responsable del personal
externo que la ha solicitado y pondr en copia del correo electrnico al usuario final.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> deber de dar de alta al usuario externo en la <<Aplicacin de
Gestin de Accesos del Organismo>>. Para ello, deber recabar los datos necesarios, tales como:

o Nombre.
SIN CLASIFICAR


o Apellidos.
o NIF.
o Perfil.
o Empresa.
o Fecha de incorporacin.
o Fecha de finalizacin.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> ser responsable del registro y seguimiento de las solicitudes
realizadas a las distintas reas. En el caso de que existiera algn problema, el Responsable de Asignacin de Recursos IT del
<<ORGANISMO>> deber informar de la situacin al solicitante, sealando la causa de la demora en la ejecucin de las solicitudes.

SIN CLASIFICAR


7.1.4 PROCESO DE BAJA DE PERSONAL EXTERNO EN EL
<<ORGANISMO>>
20. Seguidamente se describe el proceso de baja de personal externo, al objeto de
revocar los permisos de acceso a los sistemas, retirada de equipamiento, etc.

SIN CLASIFICAR


Proceso de BAJA DE PERSONAL EXTERNO en el <<ORGANISMO>>

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>>, realiza un seguimiento continuo de las fechas de expiracin de
las credenciales de identificacin del personal externo al <<ORGANISMO>>. Para ello, en el momento en el que a un personal externo
se le entregue una credencial de acceso, el Responsable de Asignacin de Recursos IT del <<ORGANISMO>> deber registrar la fecha
en la que le caduca la misma en la <<Aplicacin de Gestin de Accesos del Organismo>>.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> controlar peridicamente las tarjetas prximas a caducar y
remitir un correo electrnico a los distintos responsables para interesarse por su eventual renovacin o la confirmacin de su definitiva
baja.

El responsable de cada personal externo consultado confirmar al Responsable de Asignacin de Recursos IT del <<ORGANISMO>>
si es necesaria o no la renovacin de las credenciales de acceso del personal externo. En el caso de que lo sea, el Responsable de
Asignacin de Recursos IT del <<ORGANISMO>> acompaar al personal externo a renovar la credencial, de manera anloga a la que
se ha descrito anteriormente en el procedimiento.

En el caso de que el responsable del personal externo informe al Responsable de Asignacin de Recursos IT del <<ORGANISMO>>
que el usuario externo va a causar baja definitiva en el <<ORGANISMO>>, entonces se debern realizar las acciones pertinentes para
que le sea retirado el equipamiento tecnolgico del <<ORGANISMO>> que se le hubiere entregado o que tuviere asignado, as como
darle de baja de los sistemas.

BAJA DE SISTEMAS Y
RETIRADA DE EQUIPO
BAJA DE TELEFONA FIJA BAJA EN TELEFONA MVIL O
DATOS EN MOVILIDAD
remitir por correo electrnico al CAU
<<sealar direccin de email>> la
Solicitud de Alta/Baja de Recursos IT,
solicitando la baja del usuario del
remitir por correo electrnico al
Grupo de Telefona Fija del
direccin de email>> la Solicitud de
remitir por correo electrnico al
Grupo de Dispositivos Mviles del
direccin de email>> la Solicitud de
SIN CLASIFICAR


sistema y, en su caso, la retirada del
equipo propiedad del
<<ORGANISMO>> que tuviere
asignado, y sealando la fecha de baja
del externo.

pertinentes para dar de baja al
usuario externo de los sistemas, en
la fecha sealada.

o En caso de que tuviera asignado
un equipo del
<<ORGANISMO>>, el CAU,
mediante su procedimiento
interno, retirar tal equipo en el
puesto de trabajo indicado en la
solicitud.

o En caso de que no tuviera
asignado ningn equipo del
<<ORGANISMO>> por haber
estado utilizando el personal
externo su propio equipamiento,
es necesario que el Jefe de
Proyecto del <<ORGANISMO>>
realice las tareas definidas en el
procedimiento de <<Normativa de
seguridad para ordenadores de
usuarios externos>>.
Alta/Baja de Telefona Fija,
informando de la baja del personal
externo, y solicitando la retirada del
equipo de telefona fija que tuviere
asignado, sealando la fecha de baja
del personal externo.

o En caso de que no tuviera ningn
equipo de telefona fija asignado, el
Grupo de Telefona Fija informar
de ello al Responsable de

o En caso de tener asignado un
equipo de telefona fija, el Grupo
de Telefona Fija del
<<ORGANISMO>> retirar tal el
equipo en el puesto de trabajo
indicado en la solicitud.

pertinentes, el Grupo de Telefona
Fija del <<ORGANISMO>>
informar mediante correo
<<ORGANISMO>> la finalizacin
del trabajo solicitado. Para ello
Alta/Baja de Telefona Mvil o Datos
en Movilidad, informando sobre la
baja del personal externo y solicitando,
en su caso, la retirada del equipo de
telefona mvil o la tarjeta de
conexin de datos de movilidad que
tuviere asignados, y la fecha de baja
del personal externo.

o En caso de que no tuviera ningn
equipo de telefona mvil o
tarjeta de conexin de datos en
movilidad asignados, el Grupo de
Dispositivos Mviles informar
de ello al Responsable de

o En caso de tener asignado un
equipo de telefona mvil o una
tarjeta de conexin de datos en
movilidad, el Grupo de
Dispositivos Mviles del
<<ORGANISMO>>, mediante su
procedimiento interno, retirar
tales equipos.

pertinentes, el Grupo de
SIN CLASIFICAR


Adicionalmente, se informar al
personal externo que debe de
acudir al CAU para retirar su
equipo del dominio.

o El CAU reclamar al personal
externo la devolucin del material
informtico facilitado por
el<<ORGANISMO>>.

Una vez realizadas las acciones
pertinentes, el CAU remitir un correo
<<ORGANISMO>>, informndole
sobre la finalizacin del trabajo
solicitado.

cumplimentar los campos
correspondientes en la Solicitud de
Alta/Baja de Telefona Fija.

Dispositivos Mviles informar
mediante correo electrnico al
Recursos IT del
<<ORGANISMO>> la
finalizacin del trabajo solicitado.
Para ello cumplimentar los
campos correspondientes en la
Solicitud de Alta/Baja de
Telefona Mvil o Datos en
Movilidad.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>>, informar al rea de Seguridad del <<ORGANISMO>>
<<sealar direccin de email>> la fecha de baja del personal externo, al objeto de, a partir de tal fecha, se le revoque el permiso de
acceso fsico a las instalaciones.

En el da en el que el personal externo cause baja en el <<ORGANISMO>>, el Responsable de Asignacin de Recursos IT del
<<ORGANISMO>> se pondr en contacto con el externo para retirarle la tarjeta de acceso.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> remitir a la unidad competente
15
, por valija interna, las tarjetas
de acceso del personal externo dado de baja en el <<ORGANISMO>>.

15
En ocasiones ser la Oficiala Mayor.
SIN CLASIFICAR



El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> dar de baja al externo en la <<Aplicacin de Gestin de
Accesos del Organismo>>.

Una vez confirmada la baja del personal externo en los sistemas del <<ORGANISMO>>, y verificado que se le ha retirado el equipo, el
telfono y la tarjeta de acceso, el Responsable de Asignacin de Recursos IT del <<ORGANISMO>> enviar la confirmacin de la
baja completa al jefe de rea del <<ORGANISMO>> a la que el externo perteneca.

SIN CLASIFICAR


7.1.5 INCORPORACIN DE NUEVO EMPLEADO PBLICO
21. Seguidamente se describe un ejemplo del proceso de alta de un nuevo empleado
pblico en el <<ORGANISMO>>
16.

16
Este proceso suele ofrecer mltiples variantes, dependiendo de la tipologa del Organismo de que se
trate. El Organismo en cuestin deber adaptarlo a sus especiales circunstancias administrativas.

SIN CLASIFICAR


Incorporacin de NUEVO EMPLEADO PBLICO

El nuevo empleado pblico solicitar acceso temporal al <<ORGANISMO>>, facilitando su DNI en el Control de Acceso.

El nuevo empleado pblico acceder al <<ORGANISMO>> y se dirigir a la Secretara del <<ORGANISMO>> <<sealar ubicacin
fsica, telefnica y electrnica>>, donde comunicar su incorporacin como empleado pblico del <<ORGANISMO>>.

Desde la Secretara del <<ORGANISMO>>, se informar de la incorporacin de un nuevo empleado pblico al Responsable de
Asignacin de Recursos IT del <<ORGANISMO>>, quin deber dirigirse a la Secretara del <<ORGANISMO>> para acompaar
fsicamente al nuevo empleado pblico.

El nuevo empleado pblico esperar al Responsable de Asignacin de Recursos IT del <<ORGANISMO>> al que acompaar al
Departamento de RRHH. Del <<ORGANISMO>> <<sealar ubicacin fsica, telefnica y electrnica>>. Una vez en RRHH, se
iniciarn los trmites de gestin del alta del nuevo empleado pblico.

En RRHH el nuevo empleado pblico cumplimentar, en general, los siguientes documentos:

o Toma de Posesin.
o Cumplimiento de funciones.
o Documento de incompatibilidades.
o Justificante de la toma de posesin.

Todos los documentos entregados sern cumplimentados por el nuevo empleado pblico, que los entregar a RRHH. Excepcionalmente,
el empleado pblico guardar el justificante de la toma de posesin que posteriormente deber ser firmado y sellado por el cargo personal
competente del <<ORGANISMO>> en el momento de su presentacin al rea correspondiente y entregado a RRHH para que se realice
una copia del mismo.

Por lo general, a continuacin el Responsable de Asignacin de Recursos IT del <<ORGANISMO>> acompaar al nuevo empleado
pblico al departamento de Habilitacin General del <<ORGANISMO>> <<sealar ubicacin fsica, telefnica y electrnica>>, donde
SIN CLASIFICAR


cumplimentar los formularios de gestin de las nminas.

En Habilitacin General, por lo general, se le suministrarn varios formularios para cumplimentar, entre ellos:

o El formulario de datos a cumplimentar en las altas en nmina.
o El formulario de datos del pagador - Retenciones sobre rendimientos de trabajo. Modelo 145.

El nuevo empleado pblico devolver ambos formularios, una vez cumplimentados.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> y el nuevo empleado pblico debern dirigirse a la Secretara del
<<ORGANISMO>> <<sealar ubicacin fsica, telefnica y electrnica>> y solicitar el formulario autenticado de solicitud de la
credencial de acceso al <<ORGANISMO>> <<Impreso Solicitud Acreditacin Personal empleado pblico>>.
El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> acompaar al nuevo empleado pblico al rea de Seguridad del
<<ORGANISMO>> <<sealar ubicacin fsica, telefnica y electrnica>> donde solicitar al personal responsable la tarjeta de acceso.
En el rea de Seguridad, el nuevo empleado pblico deber de entregar el formulario <<Impreso Solicitud Acreditacin Personal
empleado pblico>> cumplimentado, firmado y autenticado. Se le realizar una fotografa para ser incluida en la tarjeta de acceso y se le
entregarn dos impresos, uno con las <<Normas de Uso de la Tarjeta>> que deber firmar y devolver, y una <<Nota Informativa sobre
las Capacidades de la Tarjeta>>, para su conocimiento.

o El rea de Seguridad proporcionar una tarjeta provisional, activada con una duracin mxima de <<x>> meses.
o Una vez que la tarjeta definitiva est disponible, la unidad competente
17
comunicar al empleado pblico que pase a recoger su
tarjeta definitiva.

El Responsable de Asignacin de Recursos IT del <<ORGANISMO>>, junto con el nuevo empleado pblico, se dirigirn al rea del
<<ORGANISMO>> en la que el nuevo empleado pblico debe incorporarse y se le presentar al Jefe de rea o al Jefe de Servicio que
corresponda.

17
Puede tratarse de la Oficiala Mayor.
SIN CLASIFICAR


El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> deber obtener los datos del usuario as como el nmero de
tarjeta del nuevo empleado pblico para ser dado de alta, en su caso, en la <<Aplicacin de Control Horario del Organismo>>.

SIN CLASIFICAR


7.1.6 INCORPORACIN DE NUEVO PERSONAL EXTERNO
COLABORADOR
22. Seguidamente se describe un ejemplo del proceso de alta de un nuevo personal
externo colaborador del <<ORGANISMO>>
18.

18
Este proceso suele ofrecer mltiples variantes, dependiendo de la tipologa del Organismo de que se
trate. El Organismo en cuestin deber adaptarlo a sus especiales circunstancias administrativas.

SIN CLASIFICAR


Incorporacin de NUEVO PERSONAL EXTERNO COLABORADOR

En el momento en el que el Jefe de rea o Jefe de Servicio conoce la fecha y los datos del personal externo que se va a incorporar en el
<<ORGANISMO>>, informar al Responsable de Asignacin de Recursos IT del <<ORGANISMO>>.
El nuevo personal externo solicitar acceso temporal al <<ORGANISMO>> facilitando el DNI en el Control de Acceso.
El nuevo personal externo deber dirigirse a la Secretara del <<ORGANISMO>> <<sealar ubicacin fsica, telefnica y electrnica>>
y solicitar el formulario Impreso Solicitud Acreditacin Personal Colaborador, para obtener la credencial de acceso al
<<ORGANISMO>>. Dicho formulario estar debidamente autenticado.
Desde la Secretara del <<ORGANISMO>>, se informar al Responsable de Asignacin de Recursos IT del <<ORGANISMO>> de la
incorporacin de nuevo personal externo.
El Responsable de Asignacin de Recursos IT del <<ORGANISMO>> deber dirigirse a la Secretara del <<ORGANISMO>> para
acompaar al nuevo personal externo, para la tramitacin de la credencial de acceso al <<ORGANISMO>>.
El nuevo personal externo y el Responsable de Asignacin de Recursos IT del <<ORGANISMO>> se dirigirn al rea de Seguridad del
<<ORGANISMO>> <<sealar ubicacin fsica, telefnica y electrnica>> donde deber dirigirse al personal responsable junto con el
Impreso Solicitud Acreditacin Personal Colaborador cumplimentado.
En el rea de Seguridad, el nuevo personal externo deber de entregar el <<Impreso Solicitud Acreditacin Personal Colaborador>>,
completado, firmado y sellado. Se le realizar una fotografa para ser incluida en la tarjeta y se le entregar un impreso con las
<<Normas de Uso de la Tarjeta>> que la tendr que firmar y entregar y se le proporcionar otra copia del mismo para su conocimiento.
El rea de Seguridad proporcionar al nuevo usuario una tarjeta activada con una duracin mxima de seis meses.
El Responsable de Asignacin de Recursos IT del <<ORGANISMO>>, deber registrar la fecha de caducidad de la tarjeta del nuevo
colaborador externo para incluirlo dentro de la ficha del usuario en la <<Aplicacin de Gestin de Accesos del Organismo>> para
realizar un seguimiento de la caducidad de las tarjetas de acceso.

SIN CLASIFICAR


7.2. GESTIN DE PRIVILEGIOS
7.2.1 INTRODUCCIN
23. Los privilegios de acceso de los usuarios a los Sistemas de Informacin del
<<ORGANISMO>> deben ser gestionados y controlados adecuadamente para evitar
accesos o usos no autorizados de la informacin y de los sistemas que la soportan. Por ello,
se realizarn revisiones peridicas de los privilegios asignados, que posibiliten la adopcin
de las medidas correctivas, en su caso.
24. A falta de realizacin de los procesos descritos en el epgrafe anterior, y con carcter
general, el acceso a los Recursos y Sistemas de Informacin del <<ORGANISMO>> est
totalmente prohibido.
25. Todos los accesos deben estar basados en la necesidad de saber. Slo se permitir el acceso
a los recursos cuando exista una necesidad legtima para el desarrollo de las actividades
profesionales del usuario. Por otro lado, los permisos otorgados a cada usuario debern ser
los mnimos para el desarrollo de sus funciones.
7.2.2 GESTIN DE PRIVILEGIOS
26. La asignacin, modificacin o revocacin de privilegios en los Sistemas de Informacin
del <<ORGANISMO>> ser solicitada por los responsables del departamento o rea a la
que pertenezca el destinatario de dichos privilegios.
27. Se mantendr una Inventario para Control de Accesos, en la que se identifiquen los
usuarios y los privilegios autorizados y denegados.
28. Existirn privilegios asociados a:
Cada usuario.
Cada perfil, tales como:
o Administrador
o Operador
o Usuario Externo
o Usuario Interno
o Usuario Temporal
o Etc.
Cada recurso, tales como:
o Bases de datos.
o Aplicaciones.
o Etc.
Cada permiso, tales como:
o Lectura.
o Escritura.
o Control total.
o Etc.

SIN CLASIFICAR


29. El Departamento de Sistemas del <<ORGANISMO>> ser responsable de registrar,
mantener y custodiar los permisos otorgados a los usuarios
19.

30. Los sistemas deben estar diseados o configurados de tal forma que slo se acceda a las
funciones permitidas.
31. Los soportes y documentos que contengan datos de carcter personal sern accesibles
nicamente por el personal autorizado en el correspondiente Documento de Seguridad,
conforme a lo dispuesto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de Desarrollo de la LOPD.
32. Por tanto, ser necesario crear y mantener un Inventario de Privilegios de Acceso, que
contendr informacin relativa a cada usuario y sus privilegios de acceso concedidos, para
cada uno de os Sistemas de Informacin en los que hubiere sido segregada la Seguridad IT.
33. La informacin se crear al dar de alta a un usuario por primera vez en alguno de los
sistemas afectados, y deber mantenerse actualizada, registrndose todas aquellas
modificaciones que se produzcan en los privilegios de acceso hasta el momento en que el
usuario haya causado baja en todos los sistemas incluidos en el alcance.
34. En el epgrafe 11 del presente Procedimiento se incluye un modelo para el inventariado de
privilegios de acceso.
7.2.3 REVISIN DE PRIVILEGIOS
35. Al menos, cada <<sealar periodicidad>>, se realizar una revisin de los privilegios de
acceso de todos los usuarios.
36. Cuando se trate de privilegios especiales (administrador, root, etc.), tal revisin de
privilegios se deber realizar, al menos, cada <<sealar periodicidad>>, y, en cualquier
caso, siempre que existan:
Alta de nuevos usuarios
Baja de usuarios
37. Adems, los privilegios de acceso de usuarios, tanto internos como externos, deben ser
revisados siempre que existan cambios en las funciones o responsabilidades.
38. Para ambos tipos de usuarios se tendrn en cuenta, al menos, las siguientes cuestiones:
Necesidad de nuevos permisos.
Cancelacin de antiguos permisos.
Segregacin de funciones.
Devolucin de activos y modificacin o cancelacin de permisos de accesos fsicos.
Modificacin de contraseas de acceso.
Notificacin al personal implicado de su baja o cambio.
Necesidad de retencin de registros.

19
Funciones encomendadas a las figuras del Responsable del Sistema / Administrador de Seguridad del Sistema,
segn los casos. Ver Gua CCN-STIC 801. Responsabilidades en el ENS.
SIN CLASIFICAR


7.2.4 CANCELACIN DE PRIVILEGIOS
39. Todos los privilegios de accesos de usuarios tanto internos como externos deben ser
cancelados en el momento de la finalizacin de su contrato o prestacin de sus servicios en
el <<ORGANISMO>>.
40. Existirn flujos de comunicacin que aseguren que este Procedimiento se realiza
correctamente, tal y como hemos visto en el epgrafe anterior de este Procedimiento.

8. CONTROL DE ACCESO
8.1 IDENTIFICADORES
41. Reglas generales:
Todos los identificadores personales del <<ORGANISMO>> deben estar
normalizados, para posibilitar la identificacin biunvoca y fiel de los usuarios.
La creacin de un identificador de usuario debe estar autorizada por su superior
jerrquico, de acuerdo con las normas internas y procedimentales del
<<ORGANISMO>>
20
, tal y como hemos sealado en el epgrafe anterior de este
documento.
No se permitir el uso de identificadores de grupo, salvo cuando sea estrictamente
necesario y por razones operacionales. Esta circunstancia deber estar debidamente
justificada y aprobada formalmente, aplicando los controles de seguridad precisos.
Los identificadores de usuarios annimos y los identificadores por defecto estarn
siempre deshabilitados.
Los identificadores no deben dar indicios de nivel de privilegio asociado.
Siempre que sea posible:
o Se deben establecer listas de control de acceso a los recursos de informacin.
o Los identificadores deben tener asignada una fecha de validez, tras la cual se
deshabilitarn.

8.2 SERVICIO DE IDENTIDAD DIGITAL
42. Dentro de la <<U/OC>> del <<ORGANISMO>> se configurar un Servicio de Identidad
Digital (SID), encargado de la gestin de las credenciales digitales de los usuarios de los
Sistemas de Informacin del <<ORGANISMO>>
21.

Se deben aplicar controles de acceso en todos los niveles de la arquitectura y
topologa de los Sistemas de Informacin del <<ORGANISMO>>. Esto incluye:
redes, plataformas o sistemas operativos, bases de datos y aplicaciones. Los atributos

20
Vase Gua CCN-STIC 821. Normativa de Seguridad y Procedimiento PR10 Procedimiento de Gestin de
Usuarios y Contraseas, en esta misma Gua.
21
Este Servicio de Identidad Digital puede encuadrase dentro de la estructura del Departamento de Sistemas,
Responsable del Sistema o del CAU.
SIN CLASIFICAR


de cada uno de ellos deben reflejar alguna forma de identificacin y autenticacin,
autorizacin de acceso, verificacin de recursos de informacin y registro y
monitorizacin de las actividades.
Los usuarios son responsables de todas las actividades realizadas con sus
identificadores, contraseas y dispositivos de acceso. Por lo tanto, no deben permitir
que otras personas los utilicen y conozcan.

8.3 PRINCIPIOS DE CONTROL DE ACCESO
44. Los principios que determinan el control de acceso a los Sistemas de Informacin del
<<ORGANISMO>> son las siguientes:
El acceso a los Sistemas de Informacin del <<ORGANISMO>> requerir siempre
de autenticacin.
El control de acceso a los Sistemas de Informacin del <<ORGANISMO>> se
gestionar a travs de los Servicios de Identidad Digital descritos en el apartado
anterior.
Los usuarios debern siempre autenticarse como usuarios no privilegiados del
sistema, excepcionalmente y slo con fines de administracin podrn autenticarse
como administradores del mismo.
Los usuarios debern en todo momento hacer un uso responsable de la informacin y
los sistemas de informacin accedidos, garantizando el nivel de seguridad adecuado
de acuerdo a las directrices marcadas en la Normativa General de Utilizacin de los
Recursos y Sistemas de Informacin del <<ORGANISMO>>
22,
de aplicacin a todos
los usuarios.
Todas las contraseas asignadas a las cuentas de usuario debern respetar la poltica
de contraseas detallada en el apartado anterior
23.

8.4 REVISIN DEL CONTROL DE ACCESO
Cada <<sealar periodicidad>> se realizar una revisin peridica de los derechos de
acceso asignados a los usuarios.
Los derechos de acceso privilegiados debern revisarse con una periodicidad menor.
Esta periodicidad ser de <<sealar periodicidad>.
Adems de lo anterior, deber realizarse una revisin de los permisos de acceso
correspondientes a un usuario siempre que hubiere sufrido modificacin significativa
de sus responsabilidades, posicin o rol en el <<ORGANISMO>>.

22
Vase Gua CCN-STIC 821. Normativa de Seguridad. En concreto, Norma NG00: Normativa General de
Utilizacin de los Recursos y Sistemas de Informacin del <<ORGANISMO>>.
23
Vase Gua CCN-STIC 821. Normativa de Seguridad. En concreto, Norma Particular NP40 Creacin y Uso
de Contraseas.
SIN CLASIFICAR



9. AUTENTICACIN DE USUARIOS
9.1 AUTENTICACIN MEDIANTE CONTRASEAS
Alta y baja de contraseas
46. Las gestiones asociadas a la creacin o eliminacin de contraseas son responsabilidad de
los administradores de los Servicios de Identidad Digital del <<ORGANISMO>> y deber
aplicarse lo contemplado en el epgrafe anterior de este Procedimiento.
Sustitucin de contraseas
47. El cambio de contraseas podr obedecer a:
Cumplimiento del periodo de rotacin establecido para la contrasea.
Cambio de contrasea decidido por el usuario o el Departamento de Sistemas del
<<ORGANISMO>>.
Cambio de contrasea por olvido, prdida o sospecha de haber sido comprometida la
seguridad de la anterior.
Cambio de una contrasea por defecto.
48. El responsable de iniciar un procedimiento de cambio de contrasea podr ser el dueo de
la cuenta cuya contrasea ha de cambiarse, o el Departamento de Sistemas (Responsable
del Sistema) del <<ORGANISMO>>, y constar de los siguientes pasos:

Por decisin del usuario: El usuario dispone de
contrasea vlida para
acceder al servicio:

Si el Servicio de Identidad
Digital (SID) dispone de
autoservicio de
credenciales de
autenticacin, se seguir el
procedimiento especfico
del SID para gestionar el
cambio de contrasea.

Si el Servicio de Identidad
Digital (SID) no dispone
de autoservicio de
credenciales de
autenticacin, contactar
con el administrador del
sistema de informacin
para que haga uso de sus
privilegios de
administracin y realice el
cambio de contrasea por
una contrasea provisional,
de un solo uso, que el
usuario deber sustituir en
el inicio de la siguiente
sesin.
SIN CLASIFICAR



Si el usuario no dispone de
contrasea vlida para
acceder al servicio:

Contactar con el
administrador del sistema
de informacin para que
haga uso de sus privilegios
de administracin y realice
el cambio de contrasea
por una contrasea
provisional, de un solo uso,
que el usuario deber
sustituir en el inicio de la
siguiente sesin.

Por decisin del
Departamento de
Sistemas (Responsable
del Sistema).
El administrador del
sistema de informacin,
haciendo uso de sus
privilegios de
administracin, realizar el
cambio de contrasea por
una contrasea por una
contrasea provisional, de
un solo uso, que el usuario
deber sustituir en el inicio
de la siguiente sesin.

Directiva de contraseas
49. Todos los usuarios, independientemente del sistema de informacin para el que se definan
o sean vlidas, son responsables de sus contraseas de acceso a servicios y de los accesos
que se produzcan haciendo uso de dichas contraseas.
50. En este sentido, se recomienda a los usuarios observar las siguientes indicaciones en
cuanto a la custodia de sus contraseas
24:

No compartir sus contraseas con otros usuarios.
No anotar sus contraseas ni introducirlas si alguien est observando.
No enviar contraseas por medios electrnicos o almacenarlas en ficheros de
ordenador sin cifrar.
51. El usuario deber custodiar sus contraseas de forma efectiva siguiendo las directrices
indicadas en la Normativa General de Utilizacin de los Recursos y Sistemas de
Informacin del <<ORGANISMO>>
25,
de aplicacin a todos los usuarios.

24
Vase Gua CCN-STIC 821. En concreto, Norma Particular NP40 Creacin y Uso de Contraseas.
25
Puede encontrarse un modelo en la Gua CCN-STIC 821. En concreto, Norma General NG00 Normativa
General de Utilizacin de los Recursos y Sistemas de Informacin del <<ORGANISMO>>.
SIN CLASIFICAR


52. Los servicios de Identidad Digital del <<ORGANISMO>>, siempre que sea posible,
debern emplear herramientas de control que garanticen el cumplimiento de la Directiva de
Contraseas.
53. Todas las contraseas asignadas a las cuentas activas en los sistemas de informacin del
<<ORGANISMO>> debern observar las restricciones que se detallan en la siguiente
tabla.
Parmetro Valor
26

Periodo mximo de rotacin

<<x>> das para cuentas de usuario.
<<y>> das para cuentas de administracin de
sistemas.

Caducidad de contraseas

Automtica, al finalizar el periodo mximo de
rotacin, excepto para contraseas de
administracin de sistemas.

Reutilizacin de contraseas Ninguna de las <<z>> ltimas

Intervalo mnimo entre cambios <<d>> das

Longitud mnima 8 caracteres.

Requisitos de complejidad

No contener en parte o en su totalidad el
nombre de usuario.
Estar compuesta por al menos 3 de entre los
siguientes 4 conjuntos de caracteres:
o Caracteres alfanumricos en maysculas.
o Caracteres alfanumricos en minsculas.
o Caracteres numricos.
o Smbolos/caracteres especiales.

Semntica de contraseas

Se debern evitar las contraseas basadas en:
Repeticin de caracteres.
Palabras del diccionario.
Secuencias simples de letras, nmeros o
secuencias de teclado.
Informacin fcilmente asociable al usuario
como nombres de familiares o mascotas,
nmeros de telfono, matrculas, fechas o en
general informacin biogrfica del usuario.

Cautelas generales Mantenerlas en secreto. Las contraseas no
deben compartirse con nadie.
Preferiblemente, las contraseas iniciales deben

26
Vase Gua CCN-STIC 821. Normativa de Seguridad. En concreto, Norma Particular NP40 Creacin y Uso
de Contraseas.
SIN CLASIFICAR


ser entregadas en mano o a travs de algn
medio que no permita su acceso por personas
no autorizadas. En el caso de enviarlas por
medios telemticos (correo electrnico, SMS,
etc.) o en un soporte, se enviarn separadas del
identificador.
Las contraseas iniciales deben ser generadas
automticamente y se cambiarn en el primer
acceso a los sistemas.
Los ficheros de contraseas se deben almacenar
con algn mtodo de proteccin que garantice
su confidencialidad e integridad (p. e. cifrado).
Los sistemas, no deben mostrar las contraseas
en claro por pantalla.
Todas las contraseas por defecto de los
sistemas o aplicaciones deben ser cambiadas o
desactivadas cuando no sean necesarias.
La autenticacin en los sistemas debe ser
individual, no estando permitida la
autenticacin por grupo. Cuando sea necesario
por razones operacionales, deber estar
justificado y aprobado formalmente, aplicando
los controles de seguridad compensatorios
necesarios.
El nmero de intentos de accesos sin xito
consecutivos debe estar limitado, tras el cual,
se bloquearn los sistemas.
Los salvapantallas deben tener activada la
proteccin por contrasea, bloquendose tras
un periodo de inactividad.
Cuando se considere necesario en servicios
crticos, se contar con medidas adicionales a
las establecidas en este Procedimiento.
No deben ser incluidas en correos electrnicos
o en otros medios de comunicacin electrnica
ni comunicadas por telfono.
No se deben escribir o almacenar contraseas
en texto claro o en formas fcilmente
reversibles.
Se debe evitar la caracterstica Recordar
Contrasea existente en algunas aplicaciones
y formularios.
Deben existir mecanismos de expiracin y
caducidad de contraseas para obligar a los
usuarios al cambio de la misma.
Todas las contraseas con privilegios
especiales (administrador, root, etc.) deben
cambiarse, al menos, <<sealar
SIN CLASIFICAR


periodicidad>>.
Todas las cuentas de usuario (acceso a sistema
operativo, correo, servicios web, etc.) deben
cambiarse, al menos, <<sealar
periodicidad>>.
Adicionalmente, debern modificarse siempre
que se sospeche que est comprometida a
travs de los procedimientos establecidos.

9.2 AUTENTICACIN PERSONAL MEDIANTE CERTIFICADO DIGITAL
54. Normas generales27:
Cada certificado digital debe identificar inequvocamente a un solo usuario, y slo
deber ser utilizado por l.
El certificado digital debe haber sido emitido por un Prestador de Servicios de
Certificacin vlido y de confianza.
Cada certificado debe tener asignado un periodo de de vida, tras el cual su uso se
considerar ineficaz a todos los efectos, y deber procederse a su renovacin.
En el supuesto de prdida, robo o indicios de uso indebido por terceros, el certificado
deber ser revocado a la mayor brevedad posible.
En autenticaciones basadas en certificado digital, su validez e identidad del usuario
deber ser verificada contra una infraestructura de PKI.

9.3 GESTIN DE INICIOS DE SESIN
55. Se describen seguidamente los aspectos que deben tenerse en cuenta de cara a minimizar el
nmero de accesos no autorizados a los sistemas.
Hasta que no se haya completado con xito el proceso de autenticacin, no se deber
mostrar ningn tipo de informacin relativa al sistema (tal como identificadores del
sistema o versiones de software instalado), que puedan ayudar a identificarlo, as
como cualquier otro tipo de informacin que pueda facilitar su acceso no autorizado.
Una vez se haya accedido correctamente al sistema, se deber mostrar un mensaje
que advierta que el uso del sistema slo est permitido a usuarios autorizados. Un
ejemplo de tal mensaje podra ser el siguiente:

AVI SO A LOS USUARI OS DEL SI STEMA:

El uso de este sistema slo est permitido a los usuarios autorizados.
El acceso no autorizado est terminantemente prohibido y podr ser objeto de
acciones disciplinarias, sin perjuicio de las restantes acciones de naturaleza

27
Sin perjuicio de contemplar lo regulado en la Resolucin de 19 de julio de 2011, de la Secretara de Estado
para la Funcin Pblica, por la que se aprueba la Norma Tcnica de Interoperabilidad de Poltica de Firma
Electrnica y de certificados de la Administracin.
SIN CLASIFICAR


legal a las que hubiere lugar.
Toda la actividad de este sistema se registra y es revisada peridicamente por
el personal designado por la direccin del <<ORGANISMO>>.
Cualquier usuario que acceda al sistema lo hace declarando conocer y
aceptar ntegramente estas reglas y la Normativa General de Utilizacin de
los Recursos y Sistemas de Informacin del <<ORGANISMO>>, accesibles
en <<URL>> y <<localizacin fsica>>.

Respecto del proceso de validacin de entrada, los sistemas debern tener en cuenta
los siguientes extremos:
o La validacin de la informacin de entrada se realizar nicamente cuando se
hayan completado todos los datos de entrada. Si ocurre alguna condicin de
error, el sistema no deber indicar en ningn caso la parte del dato que es
incorrecta. (Por ejemplo, nunca deber indicar si lo que se ha introducido de
forma incorrecta es el nombre de usuario, o la contrasea, etc.).
o Se limitar a <<nmero de intentos>> el nmero de intentos de acceso.
o Si se alcanza el nmero mximo de intentos de acceso fallidos, se deber
bloquear la cuenta de usuario, al menos durante <<tiempo de bloqueo>>
28.

o Una vez completado con xito el proceso de autenticacin en el sistema, deber
mostrarse la informacin de la ltima entrada satisfactoria.
o Siempre que sea posible, debern utilizarse protocolos de comunicacin que
permitan el envo de las credenciales de usuario de forma cifrada para evitar
que sean capturadas en algn punto intermedio de la comunicacin.

9.4 CONTROL DE ACCESO A BASES DE DATOS Y APLICACIONES

El acceso a las aplicaciones y bases de datos debe ser independiente del acceso al
sistema operativo.
Se debe tener en cuenta el aislamiento de sistemas sensibles.

9.5 CONTROL DE ACCESO A LA RED
Se debe establecer un control de acceso a la red, tanto interna como externamente,
implantando medidas de seguridad y procedimientos de autorizacin de acceso.
Se debe establecer autenticacin de usuarios en los accesos remotos a travs de
tcnicas criptogrficas, tokens, protocolos de pregunta/respuesta, lneas dedicadas
privadas, verificacin de origen de conexin, etc.
Se protegern los servicios de red, puertos de configuracin y diagnstico remoto.
Cuando no sean necesarios estarn deshabilitados.
La red debe estar segmentada segn su criticidad.

28
Puede expresarse en minutos, horas, das o de forma permanente.
SIN CLASIFICAR


Se debe contar con controles de conexin a la red (filtros, reglas, etc.), de
enrutamiento y de identificacin del equipamiento en la red.

9.6 MONITORIZACIN DE LOS ACCESOS
56. Se deben realizar labores peridicas de monitorizacin de los sistemas con el fin de
detectar accesos no autorizados y desviaciones, registrando eventos que suministren
evidencias en caso de producirse incidentes relativos a la seguridad.
57. A tal efecto, se tendrn en cuenta:
Registro de eventos:
o Intentos de acceso fallidos.
o Bloqueos de cuenta.
o Debilidad de contraseas.
o Normalizacin de identificadores.
o Cuentas inactivas y deshabilitadas.
o ltimos accesos a cuentas.
o Etc.
Registro de uso de los sistemas:
o Accesos no autorizados.
o Uso de Privilegios.
o Alertas de sistema.
o Etc.
58. Debe existir sincronizacin de relojes para exactitud de los registros de tiempo.

10. REGISTROS E INDICADORES
10.1. TABLA DE REGISTROS
(Ejemplos de uso)

Identificador Nombre Frecuencia Archivo Genera Custodia

Procedimiento
de que se trate
Altas
personal
interno

N/A

Gestor de
incidencias

Direccin
Departamento
Sistemas
Departamento
Sistemas

Procedimiento
de que se trate
Bajas
personal
interno

N/A

Gestor de
incidencias

Direccin
Departamento
Sistemas
Departamento
Sistemas
Procedimiento
de que se trate
Altas
personal
N/A

Gestor de
incidencias
Responsable
de proyecto
Departamento
Sistemas
SIN CLASIFICAR


externo

Procedimiento
de que se trate
Bajas
personal
externo

N/A

Gestor de
incidencias

Responsable
de proyecto

Departamento
Sistemas
Procedimiento
de que se trate
Revisin
Permisos
de acceso
usuarios

6 meses

Gestor
documental

Departamento
Sistemas
Departamento
Sistemas
Procedimiento
de que se trate
Revisin
permisos
de acceso
usuarios
admin

3 meses

Gestor
documental

Departamento
Sistemas
Departamento
Sistemas

10.2. TABLA DE INDICADORES

Identificador Rango Freq Mtrica Objetivo Descripcin
XXXX % 1 / A

Porcentaje
de
operaciones
sobre bajas
de
usuarios con
una
variacin
del
tiempo
superior a
un da

0%

Se
comprobar
que
una vez
abierta la
peticin, se
dio de baja
al usuario
en todos los
servicios
corporativos
en menos de
24 horas

10.3 REGISTRO DE SUCESOS
59. Los sistemas de informacin qu procesen, transmitan o almacenen informacin deben
generar un registro de los accesos lgicos producidos, siempre que tcnicamente sea
posible, y bajo las siguientes caractersticas:
Este registro recoger los sucesos en orden cronolgico, posibilitando la
reconstruccin, revisin y examen de la secuencia de actividades relacionadas con un
determinado evento.
El registro de sucesos ser siempre obligatorio en todos los sistemas que contengan
informacin confidencial, as como en aquellos que conforman el permetro de
SIN CLASIFICAR


seguridad como los cortafuegos, con el objeto de aportar las pruebas necesarias para
el seguimiento de los mismos, en el caso de accesos no autorizados.
El registro de accesos lgicos y su auditoria deben proporcionar trazabilidad sobre
los accesos al sistema, actividades de administracin y otros eventos crticos.
Tipo de actividades a registrar:
o I. Actividad sospechosa.
o II. Intentos de acceso no autorizado.
o III. Excepciones y otro tipo de actividad inusual.
o IV. Conexiones establecidas con xito.
o V. Intentos de conexin denegados y rechazados.
o VI. Inicios de sesin vlidos y errneos.
o VII. Mensajes de error y alertas
o VIII. Tiempos de conexin elevados.
o IX. Uso concurrente de identificadores de usuario duplicados.
o X. Acceso remoto de proveedores para tareas de mantenimiento y diagnostico.
o XI. Actividad del cortafuegos.
o XII. Actividad del administrador.
o XIII. Inicio y apagado del sistema. Vlido o fallido.
o XIV. Acceso fallido a ficheros u objetos.
o XV. Cambios en la poltica de seguridad. Logrados y fallidos.
o XVI. Cambios en los ficheros del sistema o en el registro.
o XVII. Copias de seguridad y restauracin de las mismas.
o XVIII. Actividad del antivirus.
o XIX. En general, todas las actividades de administracin de seguridad.
Para facilitar la monitorizacin y la investigacin de sucesos, los registros de
conexiones y otros eventos relativos a la seguridad sern almacenados durante, al
menos, <<sealar periodicidad>> (excepto los sujetos a la LOPD, que se custodiarn
por el periodo sealado en dicha ley).
Dichos registros contendrn, como mnimo, la siguiente informacin:
o I. Identificador del Usuario.
o II. Actividad del usuario.
o III. Fecha / hora del inicio y fin de sesin.
o IV. Identificacin del inicio y fin de sesin remota.
o V. Identificacin de la identidad del terminal y/o su localizacin (si es posible).
o VI. Causa del evento de conexin (ej. acceso prohibido)
SIN CLASIFICAR


El responsable del rea o departamento correspondiente, o la persona que designe a
tal fin, revisaran el contenido de los registros de sucesos con una periodicidad
mnima de <<sealar periodicidad>>.
El acceso a los registros estar restringido al responsable del rea o departamento
correspondiente y a las personas designadas por este. Se evitara el acceso de
personas no autorizadas que puedan ver, alterar o eliminar registros.
Los registros debern ser protegidos y custodiados adecuadamente puesto que podrn
usarse en el seguimiento y obtencin de pruebas de eventos o incidentes.
Se usarn herramientas o utilidades que faciliten la revisin de los registros de
sucesos. Todas las redes y sistemas operativos dependientes de cada rea o
departamento, debern contar con medios para monitorizarlos y generar alarmas o
alertas.
Los responsables de cada rea o departamento debern ser informados cuando los
registros de sucesos muestren evidencias de problemas en la seguridad de los
sistemas monitorizados.
Todos los equipos que cuenten con un reloj interno estarn sincronizados entre s
para garantizar la precisin de los sucesos registrados y permitir la correlacin de los
diferentes eventos.
Los registros de sucesos sern almacenados siguiendo lo establecido en la
planificacin que establezca cada rea o departamento sobre los sistemas
monitorizados de su responsabilidad, y protegidos segn el nivel de clasificacin de
la informacin tratada.
En el caso de los servidores de ficheros los registros de sucesos sern almacenados
durante, al menos, <<sealar periodicidad, por ejemplo: 1 mes>>. En aquellos
equipos que contengan informacin sensible los registros de sucesos sern
almacenados durante un periodo no inferior a <<sealar periodicidad, por ejemplo: 1
ao>>. No obstante, el periodo mnimo de almacenamiento podr aumentar cuando
as lo exija la legislacin vigente.
La rotacin de los registros de sucesos se realizar en base a los criterios propuestos
por la propia aplicacin/producto/herramienta y en el tamao de los ficheros de
registro de sucesos. Como norma, los registros de sucesos sern rotados con una
periodicidad <<sealar periodicidad, por ejemplo: mensual>> siempre que los
anteriores condicionantes lo permitan.
Los ficheros de registro de sucesos estarn protegidos fsica y lgicamente para
prevenir su acceso no autorizado.
Los sistemas de registro de sucesos no deben ser configurados para sobrescribir
registros antes de su rotacin y archivado.
Si la rotacin automtica de los ficheros de registro de sucesos no es posible, el
sistema deber avisar cuando los ficheros de registro de sucesos se encuentren en el
lmite de su almacenamiento y no sea posible registrar sucesos adicionales. Los
ficheros de registro de sucesos debern ser archivados antes del restablecimiento o
borrado derivado de su rotacin.

SIN CLASIFICAR


11. SOPORTE Y MODELOS
11.1. SOPORTE
60. El soporte necesario para la implantacin de este procedimiento se realiza en base a los
siguientes elementos:
Gestor de incidencias.
Servicio de directorio del dominio del <<ORGANISMO>>.
Dispositivo de generacin de tneles VPN-SSL.
Inventario de privilegios de acceso.

11.2. MODELOS
61. A continuacin se detalla el modelo para el inventariado de privilegios de acceso de los
usuarios del <<ORGANISMO>>.

Nombre
Usuario

Cd.
Usuario

Sistema
o
Servidor

Fecha
de
Alta

Permisos
de
Acceso

Vigente

Fecha de
Caducidad

Fecha
de
Baja

SIN CLASIFICAR


ANEXO I:

MODELO DE SOLICITUD DE ALTA/BAJA DE RECURSOS IT

<<ORGANISMO>>
Solicitud de Alta/Baja de Recursos IT

[Informacin que deber cumplimentar el Responsable de Asignacin de Recursos IT
del <<ORGANISMO>>] para remitir al CAU <<sealar direccin de email>>

1. Datos del usuario
Apellidos y Nombre (*) DNI, NIE o Pasaporte (*)
Telfono de contacto Empresa (*) (Slo personal externo)
Proyecto Perfil (*)
Ubicacin fsica
Fecha de incorporacin Necesita correo electrnico? (*)

2. Tipo de usuario (*)
Empleado pblico del <<ORGANISMO>>
Personal externo

3. Solicitante (*)
Apellidos y Nombre Cargo
Fecha de solicitud Telfono + email

4. Motivo de la solicitud (*)
Alta en los Sistemas Asignar equipo
Baja en los Sistemas Retirar equipo

5. Equipo procedente de
<<U/OC>> del
<<ORGANISMO>>
Equipo propio

6. Software que se solicita instalar en el equipo
Software de Base
Otros (especificar)

7. Permisos adicionales requeridos (especificar)

Datos procedentes del CAU del <<ORGANISMO>>

8. Informacin del usuario
Usuario de dominio Direccin de correo electrnico
Contrasea (de un solo uso, en su caso)
SIN CLASIFICAR



9. Fecha de alta o baja en los sistemas

Para equipos del <<ORGANISMO>> Para equipos ajenos
10. Fecha en la que se ha
proporcionado/retirado el equipo
11. Fecha en la que se ha
incluido/excluido del dominio

12. Comentarios

(*) Estos campo son obligatorios

SIN CLASIFICAR


ANEXO II:

MODELO DE SOLICITUD ALTA/BAJA DE TELEFONA FIJA

<<ORGANISMO>>
Solicitud de Alta/Baja de Telefona Fija

del <<ORGANISMO>>] para remitir al Grupo de Telefona Fija del
<<ORGANISMO>> <<sealar direccin de email>>

1. Datos del usuario para el que se solicita telfono fijo (*)
Apellidos y Nombre Ubicacin fsica

2. Tipo de solicitud (*)
Alta
Baja

3. Solicitante (*)

4. Comentarios

Datos procedentes del Grupo de Telefona Fija del <<ORGANISMO>>

5. Telfono Fijo (*)
Nmero externo Extensin

6. Comentarios


SIN CLASIFICAR


ANEXO III:

MODELO DE SOLICITUD ALTA/BAJA DE TELEFONA MVIL Y/O DATOS EN
MOVILIDAD

<<ORGANISMO>>
Solicitud de Alta/Baja de Telefona Mvil o Datos en Movilidad

del <<ORGANISMO>>] para remitir al Grupo de Dispositivos Mviles del
<<ORGANISMO>> <<sealar direccin de email>>

1. Datos del usuario para el que se solicita telfono mvil y/o datos en movilidad (*)
Apellidos y Nombre Ubicacin fsica

2. Tipo de solicitud (*)
Telfono mvil.
Tarjeta de Datos en Movilidad.

3. Solicitante (*)

4. Motivo de la solicitud (*)
Alta
Baja

5. Comentarios

Datos procedentes del Grupo de Dispositivos Mviles del <<ORGANISMO>>

6. Telfono Mvil (*)
Tarjeta de Datos en Movilidad

7. Comentarios


Procedimientos de Seguridad

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Procedimientos de Seguridad

Uploaded by

Copyright:

Available Formats

SIN CLASIFICAR

CCN-STIC-822 Procedimientos de Seguridad en el ENS. Anexo I.

You might also like