Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 1 de 10

Procedimiento de Altas, Bajas y

Modificaciones de Usuarios
 Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 2 de 10

1. OBJETIVO
Establecer una gestión de acceso lógico adecuada sobre los aplicativos informáticos de la Agencia de
Cooperación Internacional, en adelante APCI.

2. ALCANCE
El presente documento es de aplicabilidad para el personal interno y externo de la APCI. Aplica a todos los
eventos de seguridad de información que puedan causar un potencial daño a la APCI.

3. DOCUMENTOS DE REFERENCIA
 Norma Técnica Peruana ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad.
Sistemas de Gestión de Seguridad de la Información. Requisitos

4. RESPONSABILIDADES

Roles Responsabilidades
Especialista en - Es la persona de la Unidad del Sistema de Información asignada a realizar la
Infraestructura y gestión de cuentas de acceso de usuarios a los aplicativos informáticos de la
Comunicaciones USI organización.
- Es el owner o propietarios de los aplicativos informáticos, quien es el
Propietario de
responsable de autorizar los accesos a ser ejecutados por la Unidad de
información
Sistemas de Información
- Asegurar la adecuada gestión de los eventos con relación a la seguridad de la
información.
Oficial de Seguridad
- Proponer soluciones ante un evento de seguridad de información reportado.
de la Información
- Velar por el cumplimiento de los proyectos planificados.
- Informar al Comité de Gobierno Digital respecto a los incidentes graves que
hayan sido reportados.

5. SIGLAS Y DEFINICIONES
5.1. SIGLAS

USI Oficina de Tecnologías de la Información

OSI Oficial de Seguridad de la Información
SGSI Sistema de Gestión de la Seguridad de la Información
SI Seguridad de la Información

5.2. DEFINICIONES

Acceso a nivel de red o aplicativos informáticos, para lo cual se requiere de un

Acceso lógico
usuario y contraseña que será creado bajo el presente procedimiento.
Organización o persona distinta a la APCI y sus empleados, que mantiene
Tercero
alguna relación laboral, comercial, contractual, regulatoria y/o legal con la APCI.
 Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 3 de 10

6. DIAGARAMA DE FLUJO

6.1. CREACIÓN DE USUARIOS SOBRE LOS APLICATIVOS INFORMÁTICOS

6.2. MODIFICACIÓN DE ACCESO DE USUARIO

 Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 4 de 10

6.3. ELIMINACIÓN DE ACCESOS DE USUARIO

 Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 5 de 10

6.4. BLOQUEO DE EMERGENCIA DE ACCESO

 Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 6 de 10

6.5. REVISIÓN DE ACCESOS

7.

DESCRIPCIÓN DE LAS ACTIVIDADES

Nro. Responsable Actividad Descripción
7.1 Creación de usuarios sobre los aplicativos informáticos
7.1.1 Propietario de Solicitar Si el nuevo usuario requiere de acceso a uno o más
información acceso de aplicativos informáticos, el propietario de información deberá
nuevo realizar la solicitud de acceso haciendo uso del formato de
usuario Solicitud de acceso a aplicativos informáticos (F01-SGSI-
USI-PE-05).

El formato deberá ser completado por el propietario de

información del aplicativo informático y firmado en señal de
conformidad sobre el alcance de los accesos solicitados.
Posteriormente, formato firmado deberá ser enviado al
personal de la Unidad de Sistemas de Información (USI).

La USI envirará dicho formato al Oficial de Seguridad de la

Información (OSI), para su respectiva validación de conflictos
de accesos en los aplicativos informáticos. En caso existiera
un conflicto de segregación de accesos será comunicado al
propietario de información que lo solicitó para su
 Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 7 de 10

actualización.

Cuando todo se encuentre conforme el OSI brindará su

conformidad mediante una firma en el formato de solicitud
para que finalmente se creen los accesos.
7.1.2 Especialista en Ejecutar la Con la autorización debida del personal de la USI y el OSI
Infraestructura y creación del procederá a crear el nuevo usuario sobre el módulo de
Comunicaciones nuevo seguridad del aplicativo informático requerido. En caso
USI usuario aplique, si la nueva cuenta de usuario es distinta a la del AD,
se deberá generar automáticamente una contraseña por un
algoritmo aleatorio que sigue la política de complejidad de
contraseñas.
7.1.3 Especialista en Confirmar Luego de realizar la creación de usuario, el personal de la
Infraestructura y creación de USI deberá notificar vía correo electrónico la creación exitosa
Comunicaciones cuenta al personal del área solicitante y al propietario de información
USI del aplicativo informático.
7.2 Modificación de accesos de usuarios
7.2.1 Propietario de Solicitar Al igual que el procedimiento de solicitud de nuevo acceso a
información modificación uno o más aplicativos informáticos, el procedimiento de
de acceso modificación se deberá realizar haciendo uso del formato de
Solicitud de acceso a aplicativos informáticos (F01-SGSI-
USI-PE-05).

El formato deberá ser completado por el propietario de

información que requiere el acceso y firmado en señal de
conformidad sobre el alcance de las modificaciones de
accesos requeridas. Posteriormente, el formato firmado
deberá ser enviado al personal de la USI para su atención.

La USI envirará dicho formato al Oficial de Seguridad de la

Información (OSI), para su respectiva validación de conflictos
de accesos en los aplicativos informáticos. En caso existiera
un conflicto de segregación de accesos será comunicado al
propietario de información que lo solicitó para su
actualización.

Cuando todo se encuentre conforme el OSI brindará su

conformidad mediante una firma en el formato de solicitud
para que finalmente se modifiquen los accesos.
7.2.2 Especialista en Ejecución Con la autorización del personal de la USI y OSI se
Infraestructura y de la procederá a modificar los accesos del usuario a través del
Comunicaciones modificación módulo de seguridad del aplicativo informático requerido.
USI de accesos
7.2.3 Especialista en Confirmar Luego de realizar la modificación solicitada, el personal de la
Infraestructura y modificación USI deberá notificar vía correo electrónico la modificación
Comunicaciones de acceso exitosa al personal solicitante y al propietario de información
USI del aplicativo informático.
7.3 Eliminación de accesos de usuario
7.3.1 Responsable de Solicitar Al finalizar un vínculo laboral o prestación de servicios, el
Mesa de Partes eliminación propietario de información solicitará la baja a través del
de acceso formato de Solicitud de acceso a aplicativos informáticos
(F01-SGSI-USI-PE-05), colocando su firma como señal de
conformidad para luego ser enviado al personal de la USI
para su atención.
7.3.2 Especialista en Ejecutar la Al inicio de la jornada laboral, el personal de la USI deberá
Infraestructura y eliminación ejecutar las eliminaciones de accesos requeridas.
 Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 8 de 10

Comunicaciones de accesos
USI La eliminación de accesos se realizará a través del módulo
de seguridad de cada aplicativo informático, cuando se
solicite por un traslado o a través del formato firmado,
7.3.3 Especialista en Confirmar Luego de realizar la eliminación de accesos solicitada, el
Infraestructura y eliminación personal de la USI deberá notificar vía correo electrónico la
Comunicaciones de acceso eliminación exitosa al propietario de información del
USI aplicativo informático.
7.4 Bloqueo de emergencia de accesos
7.4.1 Usuario o tercero Solicitud de Este procedimiento se ejecuta cuando se recibe una solicitud
bloqueo de bloqueo de emergencia de accesos sobre un usuario, con
el fin de evitar que se produzca una situación excepcional,
como la generación de fraude, incumplimiento de las
políticas, comportamiento inadecuado, utilización de recursos
del APCI para fines personales o de terceros, ajenos a la
función del personal o cualquier circunstancia que pudiera
ocasionar perjuicio económico o para la imagen del
organismo.

La autorización para ejecutar este procedimiento solamente

corresponde al siguiente personal:
- Oficial de Seguridad de la Información
- Unidad de Recursos Humanos
- Jefatura a cargo del usuario involucrado
- Propietarios de información de los aplicativos
informáticos o sus alternativos

Cuando algún usuario o tercero detecte que se está haciendo

o se puede hacer un uso indebido de los aplicativos
informáticos que pudiese ocasionar perjuicio a la APCI,
deberá comunicarlo al personal de USI o al Oficial de
Seguridad de la Información con carácter de urgencia.
7.4.2 Especialista en Atender Las peticiones de este tipo serán prioritarias por el riesgo que
Infraestructura y bloqueo suponen por lo tanto, el personal de la USI deberá solicitar la
Comunicaciones autorización del propietario del aplicativo informático sobre el
USI cual se requiere realizar el bloqueo y/o a al responsable a
cargo del usuario (Jefe), a menos que la solicitud provenga
de alguna de las personas autorizadas.

En caso de obtener una negativa se procederá a registrar la

incidencia con el detalle de la atención.
7.4.3 Especialista en Ejecutar Luego de contar con la debida autorización, el personal de
Infraestructura y bloqueo USI procederá a ejecutar el bloqueo de los accesos del
Comunicaciones usuario y esto se realizará mediante la deshabilitación de la
USI cuenta del AD del usuario y/o de la cuenta del propio
aplicativo informático involucrado.

Adicionalmente, se procederá a limitar la capacidad de los

buzones del correo electrónico del usuario a 1kb, para evitar
el envío o recepción de información.
7.4.4 Especialista en Confirmar Después de deshabilitar la cuenta se formaliza el registro de
Infraestructura y resultado de la incidencia de seguridad y se comunica el resultado del
Comunicaciones bloqueo bloqueo al responsable del usuario involucrado, al Oficial de
USI Seguridad de la Información y al propietario del aplicativo
informático involucrado en caso aplique. Como siguientes
pasos se deberá atender el caso de acuerdo a la gestión de
 Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 9 de 10

incidentes de seguridad implementado.

7.5 Revisión de accesos
7.5.1 Oficial de Notificar Este procedimiento se ejecutará de forma anual para cada
Seguridad de la revisión aplicativo informático dentro del alcance del sistema de
Información gestión de seguridad de la información.

El Oficial de Seguridad de la Información deberá establecer

un cronograma de revisión y notificar a cada propietario de
información sobre el requerimiento de revisión. Existirán los
siguientes 2 tipos de revisiones de acceso:

1. Recertificación de accesos
2. Segregación de accesos
7.5.2 Oficial de Extraer y El Oficial de Seguridad de la Información (OSI) en conjunto
Seguridad de la enviar de de los encargados de la USI deberán extraer el listado de
Información usuarios accesos de usuarios de forma que sea legible para cada
propietario de información.
1. Para la ejecución de la recertificación se deberá contar
con el listado de usuarios, el cual deberá contar por lo
menos, con la siguiente información:
- Usuario
- Nombre del personal
- Perfil asignado a cada usuario
- Programas, transacciones o menús asignados a
cada perfil
- Descripción de cada programa, transacción o menú
2. Para la ejecución de la revisión de segregación de
funciones se deberá contar con el listado de usuarios
por cada regla de segregación de funciones establecida
por el propietario.
Luego de contar con el listado de usuarios, se enviará vía
correo electrónico a cada propietario de información del
aplicativo informático para su revisión.
7.5.3 Propietario de la Ejecutar la Una vez recibida la información sobre los accesos del
Información revisión aplicativo informático bajo revisión, el Propietario de la
Información o persona designada deberá revisar e indicar vía
correo electrónico al oficial de seguridad de la información, el
listado de accesos autorizados y no autorizados.
1. Si la revisión corresponde a la recertificación, el
propietario o persona designada deberá considerar
observar como no autorizado por lo menos a los
accesos de los siguientes usuarios:
- Accesos a usuarios inactivos en el aplicativo
informático, es decir, que lleven un período
significativo sin conectarse.
- Accesos a usuarios cesados
- Accesos a usuarios genéricos sin justificación
- Accesos a usuarios por defecto activos sin
justificación
- Accesos a usuarios administradores sin justificación
2. Si la revisión corresponde a una revisión de segregación
de funciones, el propietario o persona designada deberá
considerar observar todos los accesos y perfiles con
conflictos de acuerdo a las reglas establecidas. Además,
sobre cada conflicto identificado que no será retirado
 Código SGSI-USI-PE-05

Procedimiento de Altas, Bajas y Versión 1.1

Modificaciones de Usuarios Fecha 15/05/2021

Página 10 de 10

deberá informar el control mitigante establecido.

7.5.4 Oficial de Atender de Una vez recibida la información de accesos de cada
Seguridad de la accesos no propietario, el Oficial de Seguridad de la Información
Información autorizados procederá a registrar como incidente de seguridad de la
información, los casos de accesos no autorizados con el
listado enviado por cada aplicativo informático como detalle
del caso.
Finalmente, la eliminación de accesos es atendida como
parte del procedimiento de gestión de incidentes, el cual a su
vez, deberá ejecutar el procedimiento “7.3 Eliminación de
accesos de usuarios” del presente documento.

8. REGISTROS
Tiempo de
Código Nombre de Registro Responsable del Control
Conservación
Solicitud de acceso a aplicativos
F01-SGSI-USI-PE-05 Gestor de Infraestructura 12 meses
informáticos

9. CONTROL DE CAMBIOS
Fecha de Tipo de Responsable de la
Versión Acción Descripción del Cambio Distribuido a Aprobado por
Acción Cambio Acción
Oficial de Seguridad de Todo el personal Comité de
1.0 C 22/11/2019 Creación Creación del documento
la Información de la APCI Gobierno Digital
Oficial de Seguridad de Todo el personal Comité de
1.1 M 15/05/2019 Modificación Modificación del documento
la Información de la APCI Gobierno Digital

C=Creación, M=Modificación, D=Distribución, A=Aprobación