Resolución de Secretaría General
N°0S'\
-2015-0EFA/SG
Lima,
3 O SET. 2015
VISTOS: El InformeW
11 0-2015-0EFNOPP, el Informe No 380-2015-0EFNOAJ; y,CONSIDERANDO:
Que, la Ley
W
27658 - Ley Marco de Modernización de la Gestión del Estado, tiene como finalidad fundamental la obtención de mayores niveles de eficiencia del aparato estatal, de manera que se logre una mejor atención a la ciudadanía, priorizando y optimizando el uso de los recursos públicos;Que, de acuerdo con lo dispuesto por el Artículo 16° y el Literal h) del Artículo 1
yo
del Reglamento de Organización y Funciones del Organismo de Evaluación y Fiscalización Ambiental - OEFA, aprobado mediante Decreto Supremo N° 022-2009-MINAM, la Secretaría General es la máxima autoridad administrativa del OEFA y, tiene entre sus funciones, expedir directivas sobre asuntos administrativos para el adecuado funcionamiento de las unidades orgánicas que se encuentren bajo su supervisión;Que, de los documentos de vistos se desprende que las Normas para la administración de las cuentas de usuarios y contraseñas para el acceso a las plataformas informáticas y sistemas de información del Organismo de Evaluación y Fiscalización Ambiental - OEFA permitirá establecer normas y procedimientos N específicos que regulen la administración de las cuentas de usuarios y contraseñas
~~
~
~
~ .r.,~.
para el acceso a las plataformas informáticas y sistemas de información, y con ello ; lA \:•. lograr una eficiente administración y control del acceso a las plataformas informáticas~ ~u
orcA~
y sistemas de información con los que cuenta el OEFA;&
!'
<S-o ~"
~ FP..,
_:...--' Que, contando con la opinión favorable de la Oficina de Planeamiento y
Presupuesto y la Oficina de Asesoría Jurídica, resulta necesario emitir el acto de administración que apruebe la Directiva que establezca las Normas para la . administración de las cuentas de usuarios y contraseñas para el acceso a las ,,, ~-, plataformas informáticas y sistemas de información del Organismo de Evaluación y
""r ,, T \.:.. ~ Fiscalización Ambiental- OEFA ,
. ••• ,¡, ...
• 1
\~:·,:~
,
, ,::>"
.
Con el visado de la Oficina~~ Tecnologías .de la .'~formación, la Oficina _....:,. . .,. de Planeamrento y Presupuesto, y de la Ofrcrna de Asesorra Jurrdrca;De conformidad con lo dispuesto en los Literales d) y h) del Artículo 1
yo
Reglamento de Organización y Funciones del Organismo de Evaluacióny
Fiscalización Ambiental - OEFA, aprobado mediante Decreto Supremo No 022-2009-MINAM;
SE RESUELVE:
Artículo 1°.-Aprobar la Directiva No008.2015-0EFAISG "Normas para la
administración de las cuentas de usuarios
y
contraseñas para el acceso a las plataformas informáticas y sistemas de información del Organismo de Evaluación y_ Fiscalización Ambiental - OEFA", la misma que forma parte integrante de la presente ¡..C\ÓN Y l'ln •,
R
1
· •
~~.:~ "C~ eso UCIOn. /& A
f
~
~ . J~ fo~~IA ~ Artículo 2°.- Disponer la publicación de la presente Resolución
y
la\ · A
J
Directiva aprobada en su Artículo 1 o en el Portal Web Institucional del Organismo de <Y0~0
EFA-~~ Evaluación y Fiscalización Ambiental- OEFA (www.oefa.gob.pe}.Artículo 3°.- Déjese sin efecto cualquier disposición interna que se
oponga a lo señalado en la presente Resolución.
DIRECTIVA No 008-2015-0EFA/SG
NORMAS PARA LA ADMINISTRACIÓN DE LAS CUENTAS DE USUARIOS Y
CONTRASEÑAS PARA EL ACCESO A LAS PLATAFORMAS INFORMÁTICAS Y
SISTEMAS DE INFORMACIÓN DEL ORGANISMO DE EVALUACIÓN
Y
FISCALIZACIÓN AMBIENTAL- OEFA
l. OBJETIVO
Establecer normas y procedimientos específicos que regulen la administración de las
cuentas de usuarios y contraseñas para el acceso a las plataformas informáticas y
sistemas de información del Organismo de Evaluación y Fiscalización Ambiental
-OEFA.
11. FINALIDAD
Lograr una eficiente administración y control del acceso a las plataformas informáticas
y sistemas de información con los que cuenta el OEFA.
111. ALCANCE
..
-....
-,' \
\ \ IV.3.1 Las disposiciones establecidas en la presente directiva son de obligatorio
cumplimiento para todos los funcionarios y servidores que se les haya
autorizado o que se les autorice contar con una cuenta de usuario y contraseña
para el acceso a las plataformas informáticas y sistemas de información para el
cumplimiento de sus funciones, independientemente de su régimen laboral o
relación contractual con el OEF A.
3.2 Se encuentran obligados a su cumplimiento todas las áreas que componen el
OEF A, de acuerdo con los lineamientos establecidos en la presente Directiva.
BASE LEGAL
4.1 Ley No 30057 - Ley del Servicio Civil.
4.2
4.3
4.4
4.5
Decreto Legislativo W 1013 - Ley de Creación, Organización y Funciones del
Ministerio del Ambiente.
Decreto Supremo W 022-2009-MINAM, que aprueba el Reglamento de
Organización y Funciones del Organismo de Evaluación y Fiscalización
Ambiental-OEFA.
Decreto Supremo W 040-2014-PCM, que aprueba el Reglamento General de la
Ley No 30057, Ley del Servicio Civil.
Resolución de Consejo Directivo No 015-2012-0EFA-CD, que aprueba la
Directiva No 001-2012-0EFA-CD "Directiva que promueve mayor transparencia
respecto de la información que administra el Organismo de Evaluación y
4.6 Resolución Ministerial W 129-2012-PCM, Aprueban el uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la Información. Requisitos" en todas las entidades integrantes del Sistema Nacional de Informática.
4.7 Resolución Ministerial N° 246-2007-PCM, Aprueban uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información.
Código de buenas prácticas para la gestión de la seguridad de la información.
2a. Edición" en todas las entidades integrantes del Sistema Nacional de Informática
4.8 Resolución de Secretaría General W 010-2009-0EFA/SG, que aprueba la Directiva W 001-2009-0EFA-SG/OTI- "Normas y procedimientos para el uso de los recursos informáticos del Organismo de Evaluación y Fiscalización Ambiental- OEFA".
Las referidas normas incluyen sus respectivas disposiciones ampliatorias,
modificatorias y conexas, de ser el caso.
V. VIGENCIA
La presente Directiva es de carácter permanente y entrará en vigencia al día siguiente de su aprobación.
VI. DEFINICIONES
6.1
6.2
Aplicativo Informático: Herramienta informática que permite a los usuarios realizar uno o diversos tipos de tareas complejas para la solución de problemas específicos o efectuar el adecuado control de la información.
Contraseña: Combinación de caracteres alfanuméricos o signos utilizados para
tener acceso a un sistema de información, equipo de cómputo, punto de red,
entre otros.
6.3 Cuenta de usuario: Identificación proporcionada a un usuario que le permite tener acceso a una plataforma informática, sistema de información, equipo de cómputo, punto de red, entre otros. La cuenta se encuentra relacionada a un nombre de usuario y una contraseña de acceso.
6.4 Perfil: Privilegios de acceso que tienen un grupo de usuarios que ejercen un
mismo rol en una plataforma informática o en un sistema de información.
Plataforma informática: Infraestructura de redes, comunicaciones y demás elementos de tecnologías de la información implementados por el OEFA para brindar servicios y soporte en el ejercicio de las funciones institucionales,
destinados al uso del personal según los roles y responsabilidades asignados.
· · VIl.
\ \ r·rT ,. \ \
·
r
_¡6.6 Propietario de la información: Responsable de la unidad orgánica o área que
debe seleccionar los perfiles o funciones dentro de los sistemas de información,
que autorizará al personal que debe tener permisos para el acceso a la
información.
6.7 Sistema de Información: Aplicativo informático desarrollado o adquirido por el
OEF A para el apoyo y soporte en el ejercicio de sus funciones.
6.8 Súper usuario: Usuario que dentro de un sistema de información posee los
más altos privilegios que le permiten realizar actividades sin restricciones, tales
como:
i. Acceso irrestricto para consulta, modificación y eliminación de toda la
información almacenada en los sistemas de información.
ii. Capacidad de modificación de las funciones de seguridad de los sistemas
de información.
iii. Capacidad de otorgamiento de accesos a usuarios de los sistemas de
información.
6.9 Usuario: Toda persona autorizada para el uso de una plataforma informática o
un sistema de información dentro del ámbito del OEFA.
DISPOSICIONES GENERALES
7.1 El usuario es responsable de efectuar el cambio de sus contraseñas cada vez
que considere que esta ha sido conocida o divulgada a terceros (voluntaria o
involuntariamente). Ello resulta independiente del cambio periódico solicitado de
manera automatizada por el propio sistema de información.
7.2 El usuario se encuentra prohibido de compartir su identificación de usuario y
contraseña. El usuario debe resguardar la confidencialidad de su contraseña;
por lo tanto, no debe anotarlas en un lugar visible o de fácil ubicación,
localización o visualización.
7.3 Las acciones efectuadas con la identificación y la contraseña de un
determinado usuario son de su entera responsabilidad.
DISPOSICIONES ESPECÍFICAS
8.1 Control automático de accesos a Plataformas Informáticas y Sistemas de· .... ·
Información
8.1.1 En las plataformas informáticas y/o sistemas de información donde se
procese y/o almacene información confidencial o pública, la Oficina de
Tecnologías de la Información deberá implementar un sistema de control
de accesos automático o adoptar los controles pertinentes con la
finalidad de evitar los riesgos inherentes al acceso no autorizado.
8.1.2 La Oficina de Tecnologías de la Información, como parte del proceso de respaldo de la información, deberá adoptar las medidas necesarias para registrar los eventos relacionados con la seguridad de las plataformas informáticas o sistemas de información con las que cuenta el OEFA; de modo tal, que estos no puedan ser consultados, alterados ·o eliminados sin previa autorización.
8.2 Administración de perfiles
y
cuentas de usuario8.2.1 Toda cuenta de usuario debe tener un perfil asociado a cada sistema de información y una contraseña.
8.2.2 Las cuentas de usuario deben ser otorgadas únicamente a colaboradores del OEFA para el cumplimiento de sus funciones. El propietario de la información es el encargado de autorizar los accesos requeridos.
8.2.3 Se prohíbe el uso de cuentas que permitan el acceso de varios usuarios con una misma identificación. En aquellos casos que sea absolutamente necesario
y
justificando el uso de dichas cuentas, su creación deberá contar con la aprobación del Jefe de la Oficina de Tecnologías de la Información, asignándose un responsable único por cada cuenta.8.3 Asignación y control de contraseñas
8.3.1 Las contraseñas son de carácter reservado y su uso es estrictamente personal.
8.3.2 Los usuarios no deben habilitar en los sistemas de información que lo permitan, la opción de guardar contraseña. Dicha opción permite al usuario ingresar al sistema sin digitar su contraseña.
8.3.3 La Oficina de Tecnologías de la Información deberá utilizar un medio de notificación que garantice la asignación de contraseñas a través de una comunicación personal al usuario. No se deben transmitir las contraseñas verbalmente a través de líneas telefónicas, mensajes de texto, a través de las redes o mediante el uso de cualquier otra forma de comunicación.
8.3.4 Las contraseñas deben estar conformadas por caracteres alfanuméricos
y con una longitud mínima de ocho (8) caracteres. Es recomendable que el usuario, al registrarlas, considere que esta debe ser fácil de recordar
y
cumpla con las siguientes características:
8.3.4.1 No utilizar datos que otra persona pueda conocer u obtener fácilmente mediante información relacionada con la persona, tales como: nombres, números de teléfono, fecha de nacimiento, lugares geográficos, acrónimos conocidos, entre otros.
8.3.4.2 De preferencia deben contener al menos un dígito numérico, al menos un carácter en mayúsculas, un carácter especial y otro en minúscula.
8.3.4.3 En el proceso de cambio de contraseñas, esta no debe ser
igual a las últimas 24 contraseñas utilizadas. 8.3.4.4 La contraseña no debe estar en blanco.
8.3.5 Alguna de las características antes mencionadas podrá ser validada por el sistema de información, de modo tal que su aplicación sea obligatoria.
8.4 Administración de accesos a Plataformas Informáticas y Sistemas de
Información
8.4.1 Las plataformas informáticas y/o sistemas de información deberán
identificar a los usuarios antes de permitir el acceso, mediante la solicitud de los correspondientes nombres de usuario y contraseña. 8.4.2 El usuario sólo podrá acceder a las plataformas informáticas o sistemas
de información a los cuales se encuentre debidamente autorizado, de conformidad con los requerimientos efectuados por los propietarios de la información.
8.4.3 Los intentos de conexión deberán contabilizarse hasta un máximo de tres (3) para proceder al bloqueo del usuario inutilizando su conexión; estos intentos infructuosos deberán ser registrados como eventos de seguridad.
8.4.4 El usuario debe desconectarse al terminar su sesión de trabajo. En caso la tecnología lo permita, el sistema deberá controlar los terminales
inactivos procediendo a su desconexión automática luego de treinta (30)
minutos de permanecer sin actividad.
8.4.5 El acceso a las funciones de administración de las plataformas
informáticas y/o sistemas de información (súper usuarios) deberán estar restringidos únicamente a personal autorizado. En estos casos, en la medida que las herramientas disponibles lo permitan, se debe tener un
control más detallado del acceso a los sistemas de información mediante
dichas cuentas.
Gestión y otorgamiento de accesos a Plataformas Informáticas y Sistemas de Información
8.5.1 Las solicitudes de creación o modificación de cuentas de usuarios deben
ser realizadas por el Propietario de la información, a través de algún
medio de comunicación autorizado, hacia la Oficina de Tecnologías de la
Información.
::.S:: Y;-;~
' /_ -
-
-~'"'i\
t 1 r nc-F' ,\ ~ ·, .... ~ ;__ """l \ -IX.8.5.2 Al finalizar el vínculo laboral o prestación servicios de las personas para las cuales se solicitó los accesos a los sistemas de información, el Propietario de la información debe comunicar a la Oficina de Tecnologías de la Información lo pertinente para la eliminación de los respectivos accesos.
8.5.3 La Oficina de Tecnologías de la Información procesará la respectiva solicitud otorgando, modificando y/o eliminando los accesos solicitados.
8.6 Auditoría
y
revisión de las solicitudes de acceso a usuariosy
a súper usuarios8.6.1 Los propietarios de la información deberán almacenar cronológicamente todas las solicitudes de acceso a plataformas informáticas o sistemas de información que les hayan sido alcanzadas (autorizadas o denegadas). 8.6.2 La Oficina de Tecnologías de la Información debe verificar la solicitud
antes de la creación de la cuenta de usuario y monitorear las actividades realizadas por los súper usuarios con el objetivo de identificar actividades sospechosas que pudieran evidenciar un uso inadecuado de los privilegios asignados.
8.6.3 Para el caso de las cuentas de los súper usuarios -quienes manejan de forma exclusiva la información concerniente a los hosts, (nombres, configuraciones, contraseñas, etc.)-, deberán dejar por escrito dicha documentación en un sobre lacrado y entregarla al Jefe de la Oficina de Tecnologías de la Información, quien se encargará de almacenarla en una caja fuerte con el fin de salvaguardar estos datos confidenciales,
bajo responsabilidad. La actualización de dicha información deberá seguir el mismo procedimiento.
RESPONSABILIDADES
9.1 La Oficina de Tecnologías de la Información es responsable de velar por el cumplimiento de la presente Directiva.
9.2 Los usuarios son responsables de cumplir con las disposiciones establecidas en la presente Directiva.
DISPOSICIÓN COMPLEMENTARIA FINAL
La presente Directiva no aplica para cuentas de usuarios de aplicativos informáticos de los sistemas administrativos que son administrados por otras entidades de la Administración Pública.
DISPOSICIÓN COMPLEMENTARIA DEROGATORIA
Queda sin efecto cualquier disposición que contravenga lo establecido en la presente Directiva.