Reglamento de Control de Accesos

REGLAMENTO DE LA DIRECCION DE SISTEMAS “COSSMIL”
REGLAMENTO ESPECÍFICO DEL CONTROL DE

ACCESOS DE LA DIRECCIÓN DE SISTEMAS “COSSMIL”
CAPITULO I
ASPECTOS GENERALES
ARTICULO 1. OBJETO
El presente documento tiene como objeto, determinar los procedimientos a seguir,

para llevar a cabo el control de los accesos y protección de la información
generada en la Institución de manera que esté siempre disponible, íntegra y sólo
se distribuya a las personas autorizadas.
Objetivos específicos:
 Impedir el acceso no autorizado a los sistemas de información, bases de

datos y servicios de información.
 Implementar seguridad en los accesos de usuarios por medio
de técnicas de autenticación y autorización.
 Registrar y revisar eventos y actividades críticas llevadas a cabo por los
usuarios en los sistemas.
 Concientizar a los usuarios respecto de su responsabilidad frente a la
utilización de cuentas de usuario y contraseñas.
ARTICULO 2. ALCANCE
El presente reglamento es de aplicación obligatoria para todo el personal ejecutivo

y operativo de la Corporación del Seguro Social Militar, que tengan relación directa
o indirecta con los Sistemas de Información implementados en la Corporación.
ARTICULO 3. DOCUMENTO BASE PARA LA ELABORACIÓN DEL PRESENTE

REGLAMENTO
a. Normas ISO/IEC 27002. (Seguridad de la Información – Control de

Accesos)
1-8
ARTICULO 4. NOMBRE DE LA UNIDAD FUNCIONAL RESPONSABLE.

Unidad de Base de Datos - Dirección de Sistemas “COSSMIL”
CAPITULO II
DEL CONTROL DE ACCESO
ARTICULO 5. CONTROL DE ACCESO LÓGICO

El control de acceso lógico, se refiere a las medidas de control que permiten la
autenticación de los usuarios autorizados a los servicios de tecnologías de
información de acuerdo con las funciones que desempeñan. Se entiende por
autenticación al procedimiento informático que permite verificar que el usuario de
un servicio es quien dice ser.
ARTICULO 6. EL CONCEPTO DE CONTROL DE ACCESO CONSTA DE TRES

PASOS.
a) Identificación: Se refiere las cosas como nombres de usuario y tarjetas de
identificación, es el medio por el cual un usuario del sistema identifica
quiénes son. Este paso se realiza generalmente al iniciar sesión.
b) Autenticación: Es el segundo paso del proceso de control de acceso.
Contraseñas, reconocimiento de voz, y escáneres biométricos son métodos
comunes de autenticación. El objetivo de la autenticación es para verificar
la identidad del usuario del sistema.
c) Autorización: Se produce después de que un usuario del sistema se
autentica y luego es autorizado a utilizar el sistema. El usuario esta
generalmente sólo autorizado a usar una porción de los recursos del
sistema en función de su papel en la organización.
2-8
CAPITULO III
ADMINISTRACIÓN DE ACCESOS
DE LA CUENTA DE USUARIO PARA EL INGRESO A LA BASE DE DATOS
MEDIANTE LOS SISTEMAS DE INFORMACIÓN
ARTICULO 7. ADMINISTRACIÓN DE ACCESOS, CANCELACIÓN Y

PRIVILEGIOS
DE USUARIOS
Los usuarios tendrán únicamente acceso a los datos / recursos de acuerdo a su

puesto laboral y tareas definidas en su Área de trabajo.
a) El usuario final designado por el Jefe del área, para operar el sistema de
información solicitado, deberá presentar a la Dirección de Sistemas, el
“Formulario de Registro de Usuarios a la Base de Datos” u oficio según sea
la complejidad del acceso a la información.
b) La asignación, revisión, eliminación de la “Cuenta de Usuario y contraseña”,
así como los ajustes de los permisos necesarios para el acceso a la
información mediante los sistemas de información, será realizado por el
responsable de la Base de Datos.
ARTICULO 8. RESPONSABILIDADES DE LOS USUARIOS PARA LA
AUTENTICACIÓN.
Las medidas de control para proteger la cuenta de usuario para el ingreso a los
Sistemas de Información de la institución que se deberán observar son:
a) El usuario final deberá resguardar y no compartir su cuenta de usuario

utilizada para el desempeño de sus funciones, ya que será responsable de
las acciones que se realicen en su nombre.
b) El usuario final será el único responsable del manejo inapropiado de la
"Cuenta de Usuario y Contraseña" que le fueron proporcionados.
3-8
c) El usuario final que sospeche de robo o suplantación de su cuenta de

usuario, deberá solicitar su cambio de contraseña a la Dirección de
Sistemas.
d) El Jefe Inmediato Superior, será responsable de autorizar el o los
Usuario(s) Final(es) que figuran en el “Formulario de Registro de Usuarios a
la Base de Datos” a sola firma de la misma.
e) El Jefe Inmediato Superior deberá solicitar la BAJA del Sistema del Usuario
Final que por alguna razón se desvincule con la Institución o sea cambiado
de Área de trabajo a fin de cuidar la información que genere el Área.
f) El usuario Final deberá cambiar su contraseña al menos cada noventa (90)
días o siempre y cuando el (la) usuario (a) sospeche que la misma ha sido
comprometida.
ARTICULO 9. LA DOCUMENTACION PARA EL REGISTRO
El “Formulario de Registro de Usuarios a la Base de Datos” es el documento que

permite el registro, eliminación y/o modificación de cuentas de usuario, para los
Sistemas de Información.
La autorización, previa autorización del Director de Sistemas, cuenta con lo
siguiente:
a) El “Formulario de Registro de Usuarios a la Base de Datos” contiene la

información referida a la cuenta de usuario requeridas por las Áreas de la
Institución.
b) El uso de la cuenta de usuario, es de responsabilidad exclusiva del usuario
final; de acuerdo a las condiciones descritas en el presente formulario; por
lo que deberá mantener su contraseña en forma reservada.
c) El “Formulario de Registro de Usuarios a la Base de Datos” deberá ser
llenado con letra legible y contar con la(s) firma(s) y sello(s) del Área
solicitante.
ARTICULO 10. CONTROL DE ACCESO MEDIANTE PERFILES DE USUARIO
4-8
Deberán implementarse mecanismos que eviten el acceso no autorizado a otros

recursos; establecimiento de perfiles de usuario.
a) El responsable de la base de datos creará perfiles de usuario que permitan

definir el tipo de acceso a la información de la base de datos, en función a
las tareas que efectúe el funcionario en la utilización de los Sistemas de
Información.
b) El encargado de la base de datos, en base a los perfiles de usuario, creará
la cuenta de usuario, roles (permisos) que permitan el acceso solo a
información que requiere y esté autorizado el usuario final.
ARTICULO 11. CONTROL DE ACCESOS A LA BASE DE DATOS
Por seguridad y control, todas las acciones realizadas por los usuarios finales
mediante los Sistemas de Información son registradas en la base de datos y
sujetas a posterior auditoria.
ARTICULO 12. CONTROL DE ACCESO FÍSICO A SERVIDORES
El Data Center (Centro de datos/Sala de Servidores), es un ambiente físico

destinado para los Servidores, restringido solo para personal autorizado de la
Dirección de Sistemas. Consideraciones:
a) El ingreso a la sala de servidores será autorizado por el Director de

Sistemas.
b) El personal autorizado deberá ser registrado en el sistema biométrico por
huella o contraseña.
c) En cada acceso se guardarán: identificación del usuario, fecha y hora, su
autorización o denegación, guardando la información que permita la
identificación del personal que ingreso a la sala de servidores.
ARTICULO 13. RESPONSABILIDADES PARA EL CONTROL DE ACCESOS A

LA INFORMACIÓN CONTENIDA EN BASE DE DATOS
5-8
Toda información o contenido de la base de datos que sea obtenido mediante los
Sistemas de Información de propiedad de la Institución, pertenece a la
Corporación del Seguro Social Militar (COSSMIL) y su uso son de responsabilidad
únicamente del titular de la cuenta.
CAPITULO IV
DE LAS RESPONSABILIDADES Y LAS SANCIONES
DE LAS RESPONSABILIDADES
ARTICULO 14. RESPONSABILIDADES DE LA INFORMACIÓN

Los funcionarios de la Institución serán responsables de cualquier daño a los
activos de información por actos u omisiones que les sean imputables o por
incumplimiento o inobservancia de obligaciones derivadas de este Reglamento.
ARTICULO 15. Las Autoridades y funcionarios de la corporación que en el

ejercicio de sus funciones realicen tratamiento de información que no sea pública,
deberán:
a) Actuar bajo los más estrictos principios de confidencialidad.
b) Suscribir el compromiso de confidencialidad y salvaguardar la información,
propiedad de la Corporación.
ARTICULO 16. Los funcionarios de la Institución en el desarrollo de sus

actividades, deberán observar lo siguiente:
a) Cumplir y hacer cumplir este Reglamento

b) Promover entre los funcionarios de la Corporación conocimientos y
conciencia de la importancia de las medidas de control de la seguridad de
la información.
c) Adoptar las medidas necesarias y adecuadas para el uso responsable de
los activos de información utilizados en el ejercicio de sus funciones.
6-8
d) Participar en la capacitación y actualización en materia de seguridad de la

información, así como cualquier otra forma de enseñanza que se considere
pertinente.
e) Aplicar en su ámbito de competencia, los acuerdos emitidos en el presente
Reglamento.
DE LAS SANCIONES
ARTICULO 17. SANCIONES

El usuario final que transgreda las medidas de control para la seguridad de la
información establecida en el presente Reglamento, se hará acreedor a la sanción
correspondiente de acuerdo al Reglamento Interno de Personal vigente.
ARTICULO 18. CAUSALES DE SANCIÓN

Constituyen causales de sanción que atentan en contra de la seguridad de la
información las siguientes:
a) Realizar análisis de vulnerabilidades no autorizado que atente contra la

seguridad de los activos de información, así como el uso de aplicaciones no
autorizadas que operen en la red de telecomunicación.
b) Comercializar información propiedad de la Institución; y divulgar información
reservada o confidencial violando los términos establecidos en el
Reglamento de Transparencia, Acceso a la Información y Protección de
Datos Personales.
c) El desconocimiento del presente Reglamento por parte del usuario, no lo
exime de las responsabilidades y sanciones a que se haga acreedor.
d) El usuario final sorprendido utilizando la "Cuenta de Usuario y Contraseña"
de otro usuario, será sancionado de acuerdo a normas vigentes de la
Dirección Sistemas y Responsabilidad por la Función Pública.
7-8
CAPITULO V
DISPOSICIONES FINALES
ARTICULO 19. VIGENCIA
El presente Reglamento de la gestión de la seguridad en redes entrará en vigencia

a partir de su aprobación mediante Resolución de la Junta Superior de Decisiones
“COSSMIL”.
ARTICULO 20. ACTUALIZACIÓN Y MODIFICACIONES
a) El presente Reglamento de la gestión de la seguridad en redes deberá ser

sujeto a revisión y actualización una vez por año si el caso amerita, o
cuando sea necesario ante enmiendas que pudieran suscitarse como
resultado de las experiencias producidas en la propia Corporación.
b) La unidad encargada de su revisión y actualización será la Dirección
Nacional de Planificación en coordinación con la Dirección de Sistemas.
c) Las modificaciones deberán ser aprobadas mediante Resolución Gerencial
y su homologación por la Honorable Junta Superior de Decisiones
“COSSMIL”.
8-8

Reglamento de Control de Accesos

Cargado por

Copyright:

Formatos disponibles

Reglamento de Control de Accesos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Reglamento de Control de Accesos

Cargado por

Copyright:

Formatos disponibles

REGLAMENTO DE LA DIRECCION DE SISTEMAS “COSSMIL”

REGLAMENTO ESPECÍFICO DEL CONTROL DE

El presente documento tiene como objeto, determinar los procedimientos a seguir,

 Impedir el acceso no autorizado a los sistemas de información, bases de

El presente reglamento es de aplicación obligatoria para todo el personal ejecutivo

ARTICULO 3. DOCUMENTO BASE PARA LA ELABORACIÓN DEL PRESENTE

a. Normas ISO/IEC 27002. (Seguridad de la Información – Control de

ARTICULO 4. NOMBRE DE LA UNIDAD FUNCIONAL RESPONSABLE.

ARTICULO 5. CONTROL DE ACCESO LÓGICO

ARTICULO 6. EL CONCEPTO DE CONTROL DE ACCESO CONSTA DE TRES

ARTICULO 7. ADMINISTRACIÓN DE ACCESOS, CANCELACIÓN Y

Los usuarios tendrán únicamente acceso a los datos / recursos de acuerdo a su

ARTICULO 8. RESPONSABILIDADES DE LOS USUARIOS PARA LA

a) El usuario final deberá resguardar y no compartir su cuenta de usuario

c) El usuario final que sospeche de robo o suplantación de su cuenta de

ARTICULO 9. LA DOCUMENTACION PARA EL REGISTRO

El “Formulario de Registro de Usuarios a la Base de Datos” es el documento que

a) El “Formulario de Registro de Usuarios a la Base de Datos” contiene la

ARTICULO 10. CONTROL DE ACCESO MEDIANTE PERFILES DE USUARIO

Deberán implementarse mecanismos que eviten el acceso no autorizado a otros

a) El responsable de la base de datos creará perfiles de usuario que permitan

ARTICULO 11. CONTROL DE ACCESOS A LA BASE DE DATOS

ARTICULO 12. CONTROL DE ACCESO FÍSICO A SERVIDORES

El Data Center (Centro de datos/Sala de Servidores), es un ambiente físico

a) El ingreso a la sala de servidores será autorizado por el Director de

ARTICULO 13. RESPONSABILIDADES PARA EL CONTROL DE ACCESOS A

ARTICULO 14. RESPONSABILIDADES DE LA INFORMACIÓN

ARTICULO 15. Las Autoridades y funcionarios de la corporación que en el

ARTICULO 16. Los funcionarios de la Institución en el desarrollo de sus

a) Cumplir y hacer cumplir este Reglamento

d) Participar en la capacitación y actualización en materia de seguridad de la

ARTICULO 17. SANCIONES

ARTICULO 18. CAUSALES DE SANCIÓN

a) Realizar análisis de vulnerabilidades no autorizado que atente contra la

ARTICULO 19. VIGENCIA

El presente Reglamento de la gestión de la seguridad en redes entrará en vigencia

ARTICULO 20. ACTUALIZACIÓN Y MODIFICACIONES

a) El presente Reglamento de la gestión de la seguridad en redes deberá ser

También podría gustarte