Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Página 1 de 10
Página 2 de 10
1. OBJETIVO
Establecer una gestión de acceso lógico adecuada sobre los aplicativos informáticos de la Agencia de
Cooperación Internacional, en adelante APCI.
2. ALCANCE
El presente documento es de aplicabilidad para el personal interno y externo de la APCI. Aplica a todos los
eventos de seguridad de información que puedan causar un potencial daño a la APCI.
3. DOCUMENTOS DE REFERENCIA
Norma Técnica Peruana ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad.
Sistemas de Gestión de Seguridad de la Información. Requisitos
4. RESPONSABILIDADES
Roles Responsabilidades
Especialista en - Es la persona de la Unidad del Sistema de Información asignada a realizar la
Infraestructura y gestión de cuentas de acceso de usuarios a los aplicativos informáticos de la
Comunicaciones USI organización.
- Es el owner o propietarios de los aplicativos informáticos, quien es el
Propietario de
responsable de autorizar los accesos a ser ejecutados por la Unidad de
información
Sistemas de Información
- Asegurar la adecuada gestión de los eventos con relación a la seguridad de la
información.
Oficial de Seguridad
- Proponer soluciones ante un evento de seguridad de información reportado.
de la Información
- Velar por el cumplimiento de los proyectos planificados.
- Informar al Comité de Gobierno Digital respecto a los incidentes graves que
hayan sido reportados.
5. SIGLAS Y DEFINICIONES
5.1. SIGLAS
5.2. DEFINICIONES
Página 3 de 10
6. DIAGARAMA DE FLUJO
Página 4 de 10
Página 5 de 10
Página 6 de 10
7.
Página 7 de 10
actualización.
Página 8 de 10
Comunicaciones de accesos
USI La eliminación de accesos se realizará a través del módulo
de seguridad de cada aplicativo informático, cuando se
solicite por un traslado o a través del formato firmado,
7.3.3 Especialista en Confirmar Luego de realizar la eliminación de accesos solicitada, el
Infraestructura y eliminación personal de la USI deberá notificar vía correo electrónico la
Comunicaciones de acceso eliminación exitosa al propietario de información del
USI aplicativo informático.
7.4 Bloqueo de emergencia de accesos
7.4.1 Usuario o tercero Solicitud de Este procedimiento se ejecuta cuando se recibe una solicitud
bloqueo de bloqueo de emergencia de accesos sobre un usuario, con
el fin de evitar que se produzca una situación excepcional,
como la generación de fraude, incumplimiento de las
políticas, comportamiento inadecuado, utilización de recursos
del APCI para fines personales o de terceros, ajenos a la
función del personal o cualquier circunstancia que pudiera
ocasionar perjuicio económico o para la imagen del
organismo.
Página 9 de 10
1. Recertificación de accesos
2. Segregación de accesos
7.5.2 Oficial de Extraer y El Oficial de Seguridad de la Información (OSI) en conjunto
Seguridad de la enviar de de los encargados de la USI deberán extraer el listado de
Información usuarios accesos de usuarios de forma que sea legible para cada
propietario de información.
1. Para la ejecución de la recertificación se deberá contar
con el listado de usuarios, el cual deberá contar por lo
menos, con la siguiente información:
- Usuario
- Nombre del personal
- Perfil asignado a cada usuario
- Programas, transacciones o menús asignados a
cada perfil
- Descripción de cada programa, transacción o menú
2. Para la ejecución de la revisión de segregación de
funciones se deberá contar con el listado de usuarios
por cada regla de segregación de funciones establecida
por el propietario.
Luego de contar con el listado de usuarios, se enviará vía
correo electrónico a cada propietario de información del
aplicativo informático para su revisión.
7.5.3 Propietario de la Ejecutar la Una vez recibida la información sobre los accesos del
Información revisión aplicativo informático bajo revisión, el Propietario de la
Información o persona designada deberá revisar e indicar vía
correo electrónico al oficial de seguridad de la información, el
listado de accesos autorizados y no autorizados.
1. Si la revisión corresponde a la recertificación, el
propietario o persona designada deberá considerar
observar como no autorizado por lo menos a los
accesos de los siguientes usuarios:
- Accesos a usuarios inactivos en el aplicativo
informático, es decir, que lleven un período
significativo sin conectarse.
- Accesos a usuarios cesados
- Accesos a usuarios genéricos sin justificación
- Accesos a usuarios por defecto activos sin
justificación
- Accesos a usuarios administradores sin justificación
2. Si la revisión corresponde a una revisión de segregación
de funciones, el propietario o persona designada deberá
considerar observar todos los accesos y perfiles con
conflictos de acuerdo a las reglas establecidas. Además,
sobre cada conflicto identificado que no será retirado
Código SGSI-USI-PE-05
Página 10 de 10
8. REGISTROS
Tiempo de
Código Nombre de Registro Responsable del Control
Conservación
Solicitud de acceso a aplicativos
F01-SGSI-USI-PE-05 Gestor de Infraestructura 12 meses
informáticos
9. CONTROL DE CAMBIOS
Fecha de Tipo de Responsable de la
Versión Acción Descripción del Cambio Distribuido a Aprobado por
Acción Cambio Acción
Oficial de Seguridad de Todo el personal Comité de
1.0 C 22/11/2019 Creación Creación del documento
la Información de la APCI Gobierno Digital
Oficial de Seguridad de Todo el personal Comité de
1.1 M 15/05/2019 Modificación Modificación del documento
la Información de la APCI Gobierno Digital