Gestión de Usuarios
1 Objeto
Este procedimiento tiene por objeto definir la sistemática llevada a cabo en la Organización para la gestión de las altas, bajas y/o modificaciones de los usuarios que tengan acceso a los sistemas de información y datos de Sincrolab.
2 Alcance
Este procedimiento es de aplicación a todos los usuarios, tanto internos como externos, que tengan acceso a los sistemas de información de Sincrolab.
3 Definiciones
N/A
4 Responsabilidades
| Tarea | Responsabilidades | |||||
|---|---|---|---|---|---|---|
| R | A | S | C | I | ||
|
Dar de alta, baja y/o modificaciones a los usuarios en los sistemas de información de la Organización
|
||||||
|
Implementar los privilegios de los usuarios en los sistemas de información de la Organización
|
||||||
5 Desarrollo
La Organización dispone de un sistema de seguridad informática que permite identificar y autenticar correctamente a los usuarios de los sistemas de información, de forma que se garantiza que únicamente accederá a la información de la entidad el personal autorizado al efecto.
Asimismo, se establece un mecanismo que permite la identificación de forma inequívoca y personalizada de todo aquel usuario que intenta acceder al sistema de información y la verificación de que está autorizado.
La identificación es llevada a cabo a través de un sistema concreto y único para cada uno de los usuarios que acceden a la información (nombre de usuarios, identificación de empleado, nombre del departamento, etc.…)
Cuando el sistema de autenticación se basa en la existencia de contraseñas, la entidad tiene establecido un procedimiento de asignación, distribución y almacenamiento de contraseñas que garantiza su confidencialidad e integridad.
5.1 Alta de Usuarios
Únicamente el responsable de Sistemas, y/o persona a la cual se le hayan delegado estas funciones tienen competencias para dar de alta los identificadores de usuarios y asociarlos a los perfiles definidos por los diferentes niveles de acceso a las aplicaciones y a las categorías de datos.
Los responsables directos de los usuarios que se tengan que dar de alta al sistema o a las aplicaciones, lo tendrán que notificar al Departamento de Sistemas.
Será la Dirección de la Organización quien tenga la última decisión sobre los derechos de acceso de los usuarios.
Una vez realizada el alta, el Departamento de Sistemas se lo comunicará al nuevo usuario y al responsable que autorizó la solicitud, indicando los datos de este, así como el identificador de usuario asignado.
Para el primer acceso del usuario al sistema, el Responsable de Sistemas le deberá comunicar, de forma confidencial, su identificador y su contraseña de acceso inicial, según las indicaciones en la norma sobre gestión de contraseñas.
Las altas de los nuevos usuarios se gestionan a través de correo electrónico, siendo un correo una solicitud de alta asociada a un nuevo usuario.
Se distingue 2 tipos de usuarios:
Internos: propios de la Compañía.
Externos: proveedores de servicios.
El responsable de realizar la solicitud de alta de nuevo usuario interno es del Departamento de RRHH, siendo el Responsable del Departamento afectado el responsable de realizar la solicitud de alta de nuevo usuario externo.
Previo a la entrada de un nuevo usuario, tanto si es interno como externo, y como parte de su proceso de incorporación, el Responsable de Sistemas realiza el alta del usuario.
Esta alta de nuevo usuario interno se realiza sobre:
Servidores: acceso y permisos a los recursos y carpetas de red que proceda.
Microsoft O365: aplicativos online, escritorio, Sharepoint / OneDrive
Equipos: fijo o portátil, teléfono móvil, etc.
Dicha solicitud de alta se realiza a través de correo electrónico o por mensajería instantánea (Teams).
El responsable de Sistemas es el responsable de la recepción de todas las solicitudes de alta de nuevos usuarios, tanto internos como externos. Dicha comunicación le llega a través de un correo electrónico. Una vez recibida la comunicación, el Departamento de Sistemas procede a dar de alta al usuario según la solicitud recibida.
A los usuarios externos de proveedores de servicio, que tengan acceso a datos tanto de la propia Compañía como de sus clientes, se incluye, en sus propios contratos de prestación de servicio, las correspondientes cláusulas de confidencialidad.
Las conexiones externas estarán controladas por el responsable de Sistemas, no permitiéndose ningún tipo de software no aprobado por él para realizar dichas conexiones.
El acceso a los ordenadores personales, en las instalaciones de la Organización, desde el exterior está absolutamente prohibido salvo que quede expresamente reflejado en un contrato con el cliente. En dicho contrato se fijarán las medidas de seguridad a cumplir y dónde podrá acceder.
El responsable de Sistemas mantendrá una relación de usuarios actualizada con acceso autorizado al sistema de información e identificando las categorías de datos tratados.
5.2 Baja de Usuarios
Al igual que para las solicitudes de alta, las bajas de los usuarios se gestionan a través de correo electrónico o mensajería instantánea.
Los responsables de realizar estas solicitudes de baja son, según sea el caso, el Departamento de RRHH o el Responsable del Departamento afectado.
Para la baja del correo se procede a bloquear al usuario y se introduce una respuesta automática indicando al remitente la dirección donde puede dirigirse.
Para la baja de los servidores, se procede a la baja el mismo día de la solicitud de baja.
La baja de los usuarios externos se hará de forma inmediata, a la finalización de la prestación del servicio.
La baja de las conexiones habilitadas a los clientes se realizará en función de la finalización del proyecto o de lo acordado en el contrato.
5.3 Control de Usuarios
El Departamento de Sistemas mantendrá una relación actualizada de todos los usuarios con acceso autorizado al sistema de información e identificando la categoría de datos.
6 Anexos
N/A
7 Formatos
N/A
8 Registros
N/A
9 Documentos Relacionados
N/A
10 Referencias Normativas
- ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.