Gestión de Contraseñas y Permisos
1 Objeto
Este procedimiento tiene por objeto definir la sistemática llevada a cabo en la Organización para la gestión de las contraseñas y los permisos.
2 Alcance
Este procedimiento es de aplicación a todos los usuarios, tanto internos como externos, que tengan acceso a datos de la Organización.
3 Definiciones
N/A
4 Responsabilidades
| Tarea | Responsabilidades | |||||
|---|---|---|---|---|---|---|
| R | A | S | C | I | ||
|
Revisar y actualizar de la política de contraseñas y permisos de la Organización
|
||||||
|
Implementar técnicamente la política de contraseñas y permisos de la Organización
|
||||||
|
Verificar el cumplimiento de la política de contraseñas y permisos de la Organización
|
||||||
|
Establecer sus contraseñas según la política de contraseñas
|
||||||
5 Desarrollo
5.1 Sistema de gestión de contraseñas
Se utiliza el sistema Passbolt como servicio de generación y almacenamiento de contraseñas en todas las cuentas y servicios que tengan relación con la actividad laboral.
En caso de existir sospecha o evidencia de que una contraseña haya podido ser vulnerada, esta debe ser cambiada a la mayor brevedad posible.
El servicio Passbolt está alojado en https://passbolt.sincrolab.com
5.1.1 Contraseñas internas
Todas las contraseñas que pertenezcan a servicios o empleados de la compañía deben ser autogeneradas por la herramienta y almacenadas en la misma, y en ningún otro lugar (físico o lógico).
Todas las contraseñas deben cumplir los siguientes requisitos:
- Longitud mínima: 18 caracteres
- Debe incluir letras mayúsculas y minúsculas
- A la hora de generar la contraseña, se deben incluir:
- Letras
- Mayúsculas: A-Z
- Minúsculas: a-z
- Números
- Dígitos: 0-9
- Caracteres especiales
-
- Caracteres especiales comunes
- Símbolos: # $ % & @ ^ ~
- Delimitadores o caracteres estructurales
- Paréntesis y llaves: { [ ( | ) ] }
- Separadores: . , : ;
- Caracteres de comillas o apóstrofes
- Citas: ' " \ `
- Caracteres de barra y subrayado
- Barras y guiones: / \ _ -
- Otros símbolos
- Matemáticos: > < * + ! ? =
Las contraseñas internas deben rotarse al menos una vez al año.
5.1.2 Contraseñas de clientes
En el caso de tener contraseñas de servicios de clientes debido a necesidades de la actividad laboral, estas también deben ser almacenadas en la herramienta Passbolt.
El encargado de obtener, custodiar y almacenar las contraseñas del cliente, así como de su eliminación una vez finalizado el proyecto, será el director de dicho proyecto, con posibilidad de delegación en el personal técnico del equipo del proyecto.
Estas contraseñas serán eliminadas en un plazo de entre 20 y 30 días tras el cierre del proyecto.
5.2 Perfiles y Permisos
Los perfiles de los usuarios, así como los accesos a las diferentes aplicaciones, el software instalado, los parches de seguridad, el Sistema Antivirus y el Hardware que poseen es controlado y gestionado por el Responsable de Sistemas de la Organización, y está documentado mediante:
- Registro de Perfilado Funcional.
- Registro de Perfilado Tecnológico.
5.3 Cuentas de servicio genéricas/compartidas
No está permitida la existencia de cuentas de servicio genéricas o compartidas. Cada usuario debe contar con credenciales individuales para garantizar la trazabilidad y responsabilidad de las acciones realizadas.
6 Anexos
N/A
7 Formatos
N/A
8 Registros
N/A
9 Documentos Relacionados
N/A
10 Referencias Normativas
- ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.