SC-PR010 Versión: 1

SISTEMAS Vigencia: 13-08-2013

POLÍTICAS ADMINISTRACIÓN DE Página 1 de 16

USUARIOS

T A B L A DE C O N T E N I D O

1. Introducción 3
2. Políticas de Administración de Usuarios 4
2.1. Aspectos Generales 5
3. Guía de generación de contraseñas 5
3.1. Guías generales para la construcción de contraseñas robustas 5
3.2. Estándares de protección de contraseñas 6
3.3. Consideraciones para tomar en cuenta 6
4. Aplicación 7
5. Definiciones 7
5.1. Definición de Caracteres Alfanuméricos 7
6. Procedimiento para Alta/Baja/Modificación de Usuarios 7
6.1. Alta de un Usuario 7
6.1.1. Forma 7
6.1.2. Contenido 8
6.1.3. Personas habilitadas para la solicitud de altas de usuarios 8
6.1.4. Documentación a presentar 8
6.1.5. Presentación 8
6.1.6. Registro 8
6.1.7. Aviso al Usuario: 8
6.2. Nombre De Un Usuario 8
6.2.1. Pautas y Características: 9
6.3. Modificación De Una Cuenta/Perfil Existente 9
6.3.1. Por cambio de funciones 9
6.4. Baja De Un Usuario 9
6.4.1. Por Desvinculación 9
7. Procedimiento para monitoreo de Sistemas 10
7.1. Forma 10
7.1.1. Contenido 10
7.1.2. Personas habilitadas para la ejecución de monitoreo de equipos 10
7.1.3. Documentación a presentar 10
7.1.4. Presentación 10
7.1.5. Registro 10
7.1.6. Aviso al Usuario 11
 SC-PR010 | Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 2 de 16
USUARIOS

8. Anexos 12
8.1. Formulario Solicitud Alta / Baja / Modificación de Usuarios 12
8.2. Instructivo para Completar Solicitud de Alta/ Baja / Modificación de Usuario 13
8.3. Formulario de Evaluación de Equipos 14
 <**
SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 3 de 16
USUARIOS

INTRODUCCIÓN

Las contraseñas son un aspecto fundamental de la seguridad de los recursos informáticos, es la

primera línea de protección para el usuario. Una contraseña mal elegida o no protegida puede resultar
un agujero de seguridad para toda la organización. Por ello, todos los usuarios del Grupo G4S son
responsables de velar por la seguridad de las contraseñas seleccionadas por ellos mismos para el uso
de los distintos servicios informáticos y equipos pertenecientes al Grupo G4S.

La seguridad provista por una contraseña depende de que la misma se mantenga siempre en secreto,
todas las directrices suministradas por esta política tienen por objetivo mantener esta característica
fundamental en las contraseñas de los recursos del G4S.

El objetivo fundamental de esta política es establecer un estándar para la creación de contraseñas

fuertes, la protección de dichas contraseñas, y el cambio frecuente de las mismas.

El ámbito de esta política incluye a todos aquellos usuarios de los servicios y recursos informáticos del
Grupo G4S que tienen o son responsables de una cuenta de usuario (o cualquier otro tipo de acceso
que requiera una contraseña) en cualquiera de los sistemas del Grupo G4S.
 5¿
SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 4 de 16
USUARIOS

1. OBJETIVO

Garantizar la seguridad de la información mediante la concientización al usuario sobre el uso

adecuado de mecanismos de control.

2. ALCANCE

Todo el personal del grupo G4S.

3. RESPONSABILIDADES

Responsable de Sistemas

• Difundir información necesaria para el uso adecuado de los equipos informáticos a su

cargo
• Vigilar que estén aplicadas las políticas de cambios de contraseñas.
• Controlar las políticas del dominio que se estén aplicando.
• Realizar altas y bajas de los usuarios en cuanto se refiera a equipos informáticos.

Responsables Jefes de áreas y Gerentes

• Vigilar el cumplimiento y apegarse a lo descrito en el presente procedimiento.

4. TÉRMINO Y DEFINICIONES

ALTA DE UN USUARIO: La alta se refiere al ingreso d un usuario el cual se le realiza la

configuración del equipo y se lo entrega indicando las políticas del manual de usuario.

CONTRASEÑAS O CLAVE: Es una forma de autentificación para controlar el acceso hacia

algún recurso utilizando información secreta.

BAJA DE UN USUARIO: Es cuando el usuario se desvincula de la empresa.

5. DESCRIPCIÓN DE ACTIVIDADES

1. POLÍTICAS DE ADMINISTRACIÓN DE USUARIOS

A continuación se presentan las políticas de administración de usuarios que se deberán cumplir

dentro del Grupo G4S, con respecto al manejo de los perfiles de usuario, como las contraseñas
para controlar el acceso a los sistemas y recursos informáticos.
 SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLÍTICAS ADMINISTRACIÓN DE Página 5 de 16
USUARIOS

1.1. Aspectos Generales

1. Todas las contraseñas de los sistemas de información (cuentas de aplicación), se cambian con
una periodicidad Semestral.

2. Todas las contraseñas de inicio de sesión para los usuarios (cuentas de sistema operativo), se
cambian con una periodicidad de 45 días.

3. Las contraseñas no pueden ser comunicadas a otras personas ya que son intransferibles y
personales.

4. Las contraseñas por defecto asociadas a los sistemas o aplicaciones son cambiadas antes de
poner estos sistemas en producción. También se desactivarán aquellas cuentas "por defecto"
que no sean imprescindibles.

5. Todas las contraseñas que se manejen dentro del Grupo G4S, ya sea a nivel de usuario o a
nivel de administración de sistemas se conforman con base a los lineamientos descritos en la
guía de generación de contraseñas.

2. Guía de generación de Contraseñas

1.2. Guías generales para la construcción de contraseñas robustas

Para la definición de contraseñas a usar por parte de los usuarios del Grupo G4S debe considerar
las siguientes características:

1. Utilizar letras mayúsculas (por ejemplo: A-Z)

2. Utilizar letras minúsculas (por ejemplo: a-z)
3. Utilizar dígitos (por ejemplo: 0-9)
4. Utilizar caracteres de puntuación, así como símbolos especiales, por ejemplo:
!@#$% &*()_+|~=V{}[]:";'<>?,./
A

5. El establecimiento de una contraseña tiene una combinación de por lo menos 3 de las 4

opciones anteriores con un tamaño mínimo de 8 caracteres.
6. La contraseña no es una palabra del diccionario de algún lenguaje, dialecto, jerga, etc.
7. No está basada en información personal, nombres de familiares, etc.
8. Las contraseñas no se almacenan en un equipo de cómputo. Se trata de crear contraseñas que
puedan ser recordadas fácilmente. Una forma de hacer esto es crear una contraseña basado
en el nombre de una canción, una afirmación o una frase. Tómese la siguiente como ejemplo:
Optimo$
9. No utilice terminología técnica conocida. Por ejemplo: "admin".
10. No habilite la opción de "recordar claves/contraseñas" en los programas que utiliza.
 SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 6 de 16
USUARIOS

1.3. Estándares de protección de contraseñas

1. No utilizar la misma contraseña para distintas cuentas de los sistemas y equipos de G4S, así
como para otros accesos a la red o aplicaciones proporcionados.

2. No compartir las contraseñas de acceso con otros usuarios de los sistemas de G4S,
incluyendo asistentes administrativos o secretarias o personal informático, por ningún motivo el
personal informático puede solicitar las contraseñas de su cuenta.

3. Todas las contraseñas de los sistemas de aplicación y sistemas operativos son de carácter
confidencial, personal e intransferible.

4. Si algún usuario requiere una contraseña, se debe referir a este documento y ponerse en
contacto con el Departamento de Sistemas de G4S.

5. No utilizar las funciones de recordar las contraseñas que poseen algunas aplicaciones (por
ejemplo: Fedora, OutLook, Netscape, Messenger, etc.).

6. No escribir las contraseñas en ningún documento (por ejemplo: posttips) que se encuentre
en su lugar de trabajo.

7. No almacenar las contraseñas en ninguna computadora (incluyendo agendas personales o

dispositivos similares) sin cifrar la información.

8. Si alguna cuenta o contraseña que haga uso de los recursos informáticos del Grupo G4S
está bajo sospecha de haber sido comprometida, hay reportarlo al Departamento de Sistemas
para que éste inicie un proceso de verificación y análisis, adicionalmente el usuario debe
cambiar todas las contraseñas utilizadas en cada uno de los sistemas y equipos del Grupo
G4S.

9. Durante las auditorias de seguridad que realice el Grupo G4S se verificará la robustez de las
contraseñas de los usuarios, en caso de que éstas lleguen a ser comprometidas a través de las
técnicas de auditoría, la contraseña de la cuenta de usuario se cambiará.

1.4. Consideraciones para tomar en cuenta

1. No revelar las contraseñas a ninguna persona por ningún medio de comunicación

electrónico (correo electrónico, teléfono, etc.) o directamente.

2. No revelar las contraseñas a los jefes.

3. No hablar de las contraseñas frente de otras personas.

4. No hacer alusión al formato de una contraseña.

 SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLÍTICAS ADMINISTRACIÓN DE Página 7 de 16
USUARIOS

5. No revelar una contraseña dentro de cuestionarios o formas de seguridad, ni en ningún

documento similar.

6. No compartir las contraseñas con miembros de la familia, ni con compañeros de trabajo.

2. APLICACIÓN

Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios
establecidos en las políticas de seguridad.

3. DEFINICIONES

3.1. Definición de Caracteres Alfanuméricos

Son caracteres combinados entre números y letras que pueden o no definir frases o palabras.

4. PROCEDIMIENTO PARA ALTA/BAJA/MODIFICACIÓN DE USUARIOS

3.2. Alta de un Usuario

El alta de una cuenta se realizará mediante los siguientes pasos:

3.2.1. Forma

El jefe inmediato solicita dicha acción al Departamento de Sistemas a través del formulario
físico o digital (Anexo 8.1 - Formulario Solicitud Alta/Baja/Modificación de Usuarios).

1) Usuario Nuevo
La solicitud de creación de un usuario debe provenir del jefe del departamento
correspondiente y se debe detallar el perfil de usuario a ser asignado. Los datos
necesarios para la creación deben ajustarse a los requerimientos del administrador de
cada aplicación o sistema. Luego de validar esta información, la asignación debe ser
inmediata. En caso de no ser empleado de la empresa la solicitud debe provenir del
responsable directo en validar y autorizar el acceso de estos usuarios
Luego de validar esta información, el cambio debe ser inmediato.

2) Usuario Antiguo (cambio de posición o puesto)

La solicitud de actualización o cambio de permisos de un usuario debe provenir del o los

jefes de los departamentos involucrados en el cambio, y se debe detallar el perfil de
 SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 8 de 16
USUARIOS

usuario a ser asignado. Los datos necesarios para el cambio de perfil deben ajustarse a los
requerimientos del administrador de cada aplicación o sistema. En caso de no ser
empleado de la empresa la solicitud debe provenir del responsable directo en validar y
autorizar el acceso de estos usuarios
Luego de validar esta información, el cambio debe ser inmediato.

3.2.2. Contenido

- Nombre y apellido del usuario.

- Departamento en el que prestará servicios.
- Sistemas, perfiles o accesos requeridos.

3.2.3. Personas habilitadas para la solicitud de altas de usuarios

La solicitud de alta de usuarios, únicamente podrá ser efectuada por el Departamento de

Sistemas del Grupo G4S

3.2.4. Documentación a presentar

Dicha nota/memorándum, se acompaña de un formulario de "Solicitud de alta de Usuario".

(Anexo 8.1 - Formulario Solicitud Alta/Baja/Modificación de Usuarios), que completará y firmará
cada usuario en particular, con la aprobación de la autoridad que corresponda.

3.2.5. Presentación

Luego de completado, el formulario se presenta al Departamento de Sistemas, para su

aprobación.

3.2.6. Registro

Toda vez que se adicione un usuario, se registra el cambio en los archivos administrativos.

3.2.7. Aviso al Usuario:

Por último, se provee al nuevo usuario la información necesaria para comenzar a utilizar su
cuenta. Dicha información se refiere al nombre de usuario y a la contraseña del recurso
solicitado. De esta forma se concreta la finalización del proceso de alta.

3.3 NOMBRE DE UN USUARIO

Este nombre es asignado por el Departamento de Sistemas, quien lo comunicará directamente

al usuario. Este nombre será la "identificación" del usuario y se digitará en el ingreso al sistema
operativo y demás aplicaciones habilitadas.
3$ SISTEMAS
POLITICAS ADMINISTRACION DE
USUARIOS
SC-PR010
Vigencia:
Versión: 1
13-08-2013

Página 9 de 16

6.2.1. Pautas y Características:

Tendrá una longitud mínima de ocho y una longitud máxima de dieciséis caracteres.

Como norma se utilizará la inicial del nombre y el apellido del usuario (Ej. Juan Pérez será
jperez; en el caso de apellidos muy extensos, podrá utilizarse parte del apellido).

También se podría utilizar el nombre y el apellido del usuario unidos por un punto (Ej. Juan
Pérez será juan.perez).

Para los apellidos compuestos se tendrán en cuenta siempre el primer nombre y el primer
apellido. Puede suceder que ya exista un usuario con la misma identidad, por lo que se
utilizarán las iniciales del primero y segundo nombre para no repetir el ID del usuario.

3.3. Modificación De Una Cuenta/Perfil Existente

La modificación de una cuenta se realizará de manera similar a un alta tomada en cuenta:

Forma, Contenido, personal habilitado, documentación a presentar, presentación, registro,
aviso a usuario.

3.4. Por cambio de funciones

En los casos en los que un usuario cambie de función, o pase a depender de otra área o
sección del Grupo G4S, se modifica el perfil con el que contaba hasta el momento.

3.5. Baja De Un Usuario

3.5.1. Por Desvinculación

Cuando un empleado se desvincule del Grupo G4S, la baja de su cuenta se efectuará mediante
los siguientes pasos:

La Autoridad que tenga a su cargo al usuario que se desvincula, completará el formulario de

"Solicitud de baja de usuario" (Anexo 8.1 - Formulario Solicitud Alta/Baja/Modificación de
Usuarios) con la información detallada a continuación, lo firmará y lo remitirá al Departamento
de Sistemas.

Información a completar en el formulario:

• Datos del usuario.
• Tipo de baja.
• Fecha de baja: Si es "Baja Programada" o "Baja Inmediata" según corresponda. En
caso de tratarse de una baja programada, se indicará asimismo la fecha prevista de
baja.
<**
SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 10 de 16
USUARIOS

Es importante que lo descrito anteriormente se realice en un plazo máximo de 24 horas al

momento de decidirse o recibirse la comunicación indicando la desvinculación del usuario.

NOTA: Todos los días 30 de cada mes, el Área de Talento Humano, deberá enviar al
Departamento de Sistemas, un listado actualizado de los agentes y personal que ingresen al
Grupo G4S o se desvinculen del mismo, a fin de comparar con las altas y bajas de usuarios
que se efectivizan en el Departamento de Sistemas.

4. Procedimiento para monitoreo de Sistemas

La revisión del equipo se la lleva a cabo, bajo los siguientes parámetros:

4.1. Forma

El jefe inmediato solicita al Departamento de Sistemas a través del formulario físico o digital.

4.1.1. Contenido

- Nombre y apellido del usuario.

- Departamento en el que prestará servicios.
- Cargo que desempeña.

4.1.2. Personas habilitadas para la ejecución de monitoreo de equipos

El monitoreo de equipos, únicamente podrá ser efectuado por el encargado del Departamento
de Sistemas asignado a dichos equipos.

4.1.3. Documentación a presentar

Dicha nota/memorándum, se acompañará del formulario descrito en el Anexo 8.3 - Formulario

de Evaluación de Equipos, que completará y firmará cada usuario en particular, con la
aprobación de la autoridad que corresponda.

4.1.4. Presentación

Luego de completado, el formulario será presentado al Departamento de Sistemas, para su

control.

4.1.5. Registro

Cada vez que se adicione un control, se lo registrará en los archivos administrativos.

 SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 11 de 16
USUARIOS

4.1.6. Aviso al Usuario

En caso de encontrar novedades en el equipo, será comunicado al usuario y la persona

responsable para tomar los correctivos necesarios. De esta forma se concreta la finalización del
proceso de monitoreo.
 <**
SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 12 de 16
USUARIOS

6. ANEXOS
8.1. Formulario Solicitud Alta / Baja / Modificación de Usuarios

Departamento de Sistemas

Solicitud de Alta / Baja / Modificación de UsuanV

Fecha: / /2 f~3~"} NtOL Memo

| 4[Jro. Ref._

Empresa / Sucursal:

Apellido y
Nombre:

Sector / 7
V )
Oficina:

Piso /
Ala:

Interno /
Teléfono

Acceso a red (inicio sesión a Windows) Si [ No O 10

Acceso a Internet: • •
Correo electrónico:
• rjr)
Recursos compartidos:

ACCESO A SISTEMA 14
(Marcar con una cruz lo que sé pide/
SISTEMA EJECUCIÓN MODIFICA SOLO
LECTURA
ADAM
MERCOSOFT
EVOLUTION
SPYRAL

FIRMA / ACLARACIÓN
15
JEFE DEL SECTOR : _ FIRM
SOLICITANTE:
 5$
SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 13 de 16
USUARIOS

8.2. Instructivo para Completar Solicitud de Alta/ Baja / Modificación de Usuario

1. Hacer un círculo a la opción que corresponda.

2. Alta: Cuando se solicita el ingreso al sistema de una nueva persona
3. Baja: Solo se utiliza cuando la persona se desvincula del Grupo G4S.
4. Modificación: Cuando la persona dispone de un usuario de red/correo, pero necesita cambiar su
perfil en cuanto a ingresos a sistemas específicos, servicios, etc.
5. Debe completarse con la fecha de presentación del trámite. Es un dato indispensable para su
correcta administración.
6. Este número de memorándum solo debe ser completado por el Departamento de Sistemas.
7. Este número de Ref. Interna solo debe ser completado por el Departamento de Sistemas.
8. Detallar el nombre de la empresa y sucursal.
9. Escribir apellido y nombres completos.
10. Especificar el nombre del área a la cual pertenece el usuario.
11. Especificar el número piso/ala a la cual pertenece el usuario.
12. Especificar el/los números de internos donde ubicar al usuario.
13. Si la persona utiliza un usuario genérico (compartido con otras personas) debe señalarse el "no".
Pero si entrara a la PC con su nombre, es decir iniciara sesión con su usuario, debe señalar con
una cruz en "si".
14. Si la persona no utiliza internet debe señalarse el "no". Pero si lo hiciese, debe señalar con una
cruz en "si".
15. Solo puede señalar en "si", si el usuario tiene acceso a red con su propio nombre.
16. Si la persona utilizara su propia cuenta de correo electrónico debe señalarse el "si". De modo
contrario, sino la desea utilizar, debe señalar con una cruz en "no".
17. Si el usuario necesitase para desarrollar su trabajo cotidiano, algún recurso compartido (un espacio
en un servidor de informática), debe señalarse el "sí" y debe especificar abajo a qué recurso
(nombre de carpeta) necesita acceder. Si no lo necesita debe marcar el "no".
18. Si el usuario necesita tener acceso a algún sistema específico (Adam, Mercosoft, etc.) debe
marcarse con una cruz en el casillero correspondiente. Debe llenarse teniendo en cuenta lo
siguiente:
19. Ejecución: Permite acceder a todas la opciones estándar del sistema.
20. Modifica: Este permiso depende del sistema al que se refiere.
21. Solo Lectura: Le permite al usuario solo la consulta en el sistema.
22. Si no necesita utilizar ningún sistema, no se debe completar el cuadro.
23. El Jefe o director el área debe firmar y aclarar su firma para aprobar la solicitud del usuario
24. El usuario solicitante debe firmar el formulario.
 SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 14 de 16
USUARIOS

8.3. Formulario de Evaluación de Equipos

Formulario de Evaluación de Equipos

(1) Fecha:
(2) Realizado por:
Departamento:

(3) (4)
Usuario Auditado Sistemas
Nombre: Nombre:
Cargo: Cargo:
Departamento: Departamento:

Descripción SI No Observaciones

Inicio avanzado de Windows

Bloqueo de dispositivos de almacenamiento

masivo

Impresora Local

Bloqueo del administrador de tareas

Impresora de red

Acceso a internet

Políticas de contraseña

Políticas de almacenamiento.

Unidad de red

Correo electrónico
 SC-PR010 Versión: 1

(*5 SISTEMAS
POLITICAS ADMINISTRACION DE
USUARIOS
Vigencia: 13-08-2013

Página 15 de 16

Antivirus y/o actualización

Ofimática

Contraseña de antivirus

Protector de pantalla protegido por

contraseña
Activación de protector de pantalla después
de 5 minutos de inactividad
Acceso a configuración de red

Bloqueo de compartición de archivos

Bloqueo de agregar/quitar programas.

Bloqueo de recursos compartidos locales

como la unidad C, Windows.
Actualizaciones de fabricantes

Habilitación / Desahibilitacion de puertos

Servicios Adicionales

(6)
Usuario: Auditado:

Auditor:
 SC-PR010 Versión: 1
SISTEMAS Vigencia: 13-08-2013
POLITICAS ADMINISTRACION DE Página 16 de 16
USUARIOS

(1) Escribir la fecha en la que se lleva a cabo el monitoreo.

(2) Datos de la persona que lleva a cabo el monitoreo.
Nombre y departamento
(3) Datos de la persona responsable del equipo monitoreado:
Nombre.
Cargo.
Departamento.
(4) Datos de la persona que audita el equipo monitoreado:
Nombre.
Cargo.
Departamento.
(5) En esta matriz, tomar en cuenta que:
SI: Se debe colocar una X en la celda correspondiente si el usuario tiene activada la opción.
NO: Se debe colocar una X en la celda correspondiente si el usuario tiene desactivada la opción.
OBSERVACIONES: Se debe colocar una breve descripción en la celda correspondiente en caso de
encontrarse alguna novedad.
(6) Firmas de Responsabilidad
1. Firma del Responsable del Equipo Monitoreado en su celda correspondiente.
2. Firma del Responsable de Mantenimiento.
3. Firma del Responsable Auditor de Sistemas.

ELABORADO POR: REVISADO POR: APR DO POR:

Javier Toapanfta Roberto Varas Fernando tSantacruz
Firma Firma •irma:

DIRECTOR DE REPRESENTANTE DE LA
GERENTE GENERAL
SISTEMAS DIRECCIÓN