Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fecha: 15/05/2021
Elaborado por: Jonathan Jair Ortiz Muñoz
Firma:
Cargo: Oficial de Seguridad de la Información
Fecha: 15/05/2021
Revisado por: Orlando Vásquez Rubio Firma:
ÍNDICE
Este documento se aplica a todo el alcance del Sistema de Gestión de Seguridad de la Información (SGSI);
es decir, a todos los sistemas, equipos, instalaciones e información utilizados dentro del alcance del SGSI.
Los usuarios de este documento son todos los trabajadores de la Agencia Peruana de Cooperación
Internacional (APCI).
2. DOCUMENTOS DE REFERENCIA
● Norma Técnica Peruana ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad.
Sistemas de Gestión de Seguridad de la Información. Requisitos, capítulos A.9.1.1., A.9.1.2.,
A.9.2.1., A.9.2.2., A.9.2.3., A.9.2.4., A.9.2.5., A.9.2.6., A.9.3.1., A.9.4.1. y A.9.4.3.
● Política General de Seguridad de la Información de la APCI, aprobada con RDE N°
080-2020/APCI-DE.
3. POLÍTICA ESPECÍFICA
El principio básico es que el acceso a todos los sistemas, redes, servicios e información está prohibido salvo
que sea expresamente permitido a usuarios individuales o a grupos de usuarios. Debe existir un
procedimiento de registro de usuarios para cada sistema y servicio.
Está permitido el acceso a todos los sectores físicos de la APCI, excepto a aquellos para las cuales el
privilegio debe ser concedido por una persona autorizada.
Esta Política determina gestionar los accesos a la información. Se debería controlar el acceso a la
información y los procesos del negocio sobre la base de los requisitos de seguridad.
Todo trabajador de la APCI o tercero para el desempeño de sus funciones, se compromete a lo siguiente:
● Es responsabilidad del área de Infraestructura establecer y gestionar los controles para el acceso
físico y digital.
● El área de Infraestructura debe asegurar que las redes inalámbricas de la institución cuenten con
métodos de autenticación robustos que evite accesos no autorizados.
● El área de Infraestructura debe verificar periódicamente los controles de acceso para los usuarios
provistos por terceras partes, con el fin de revisar que dichos usuarios tengan acceso permitido
únicamente a aquellos recursos de red y servicios de la plataforma tecnológica para los que fueron
autorizados.
● Los trabajadores, antes de contar con acceso lógico por primera vez a la red de datos de la APCI,
deben contar con el formato de solicitud de creación de cuentas de usuario debidamente autorizado.
● El área de Infraestructura, establecerá y controlará los privilegios para el control de acceso lógico de
cada usuario o grupo de usuarios a las redes de datos, los recursos tecnológicos y los sistemas de
información de la institución. Así mismo, velará porque los colaboradores y el personal provisto por
terceras partes tengan acceso únicamente a la información necesaria para el desarrollo de sus
labores y la asignación de los derechos de acceso esté regulada por procedimientos establecidos
para tal fin.
● Los usuarios de los recursos tecnológicos y los sistemas de información de la APCI, realizarán un
uso adecuado y responsable de dichos recursos y sistemas, salvaguardando la información a la
cual les es permitido el acceso.
● El área de Infraestructura, velará porque los recursos de la plataforma tecnológica y los servicios de
red de la institución sean operados y administrados en condiciones controladas y de seguridad, que
Código SGSI-USI-PO-04
En caso de no cumplir con la presente Política Específica de Gestión de Accesos, los lineamientos de
seguridad de la información u otros directivas o procedimientos de seguridad de la información, se reportará
el evento al Oficial de Seguridad de Información para que tome conocimiento y disponga las acciones
correspondientes, de considerarlo necesario. De esta forma, la autoridad competente de la APCI, tomará las
medidas disciplinarias necesarias, las cuales están sujetas a la normativa vigente de la APCI.
● La solicitud de una cuenta de usuario privilegiado debe ser autorizada formalmente por el Oficial de
Seguridad de la Información y acompañada de una justificación de necesidad de uso. Debe cumplir
con lo establecido en el procedimiento para altas, bajas y modificaciones de usuarios con acceso
privilegiado.
● Las cuentas de usuario privilegiado sólo deben ser otorgadas al personal de nivel técnico apropiado
y únicamente para el cumplimiento de sus funciones.
● Los accesos realizados con cuentas de usuario privilegiados deben ser registrados y controlados
periódicamente. Una cuenta de usuario privilegiado sólo podrá ser utilizada en la actividad de
administración o configuración del sistema para la cual se requieren dichos privilegios.
● No podrá ser utilizada en actividades rutinarias para la que exista un perfil de menores privilegios
que lo permita.
● Las cuentas de usuario privilegiado tipo ADMIN, ROOT o similares, definidas por defecto, en
sistemas y componentes, no pueden ser usadas. Siempre que sea posible las mismas deben ser
eliminadas o deshabilitadas, además de modificadas sus contraseñas por omisión. Se debe contar
con un mecanismo de recuperación de acceso privilegiado, dicho mecanismo debe mantener las
garantías de reserva.
● El acceso privilegiado debe realizarse desde dispositivos debidamente fortalecidos para tal fin.
● El organismo debe contar con procedimientos formalmente definidos que cubran los siguientes
puntos:
- Altas, bajas y modificaciones de usuarios y derechos de acceso lógico.
- Altas, bajas y modificaciones de usuarios con acceso privilegiado (gestión y autorización).
- Autorizaciones de acceso lógico.
- Revisión de los derechos de acceso lógico
● Identificar los privilegios asociados a cada producto del sistema, por ejemplo, sistema operativo,
sistema de administración de bases de datos y aplicaciones, y las categorías de personal a las
cuales deben asignarse los productos software.
● Asignar los privilegios a individuos sobre la base de la necesidad de uso y evento por evento, por
ejemplo, el requerimiento mínimo para su rol funcional.
● Mantener un proceso de autorización y un registro de todos los privilegios asignados.
● Los privilegios no deben ser otorgados hasta que se haya el proceso formal de autorización.
● El periodo de vigencia para el mantenimiento de los privilegios es de 90 días luego del cual los
mismos serán revocados o ratificados de acuerdo a la aprobación del Oficial de Seguridad de la
Información.
● Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a
los usuarios.
Los propietarios de información serán los encargados de aprobar la asignación de privilegios a los usuarios,
lo cual será supervisado por el especialista de Seguridad Informática.
● Revisar los derechos de acceso de los usuarios a intervalos regulares (mayor a 6 meses).
Código SGSI-USI-PO-04
4. AUDITORÍA
● El Oficial de Seguridad de la Información de la APCI se encargará de realizar la revisión de este
control trimestralmente.
● Específicamente se revisará el registro con los privilegios de acceso a los datos personales.
5. REGISTROS
Tiempo de
Responsable del
Código Nombre de Registro Conservació
Control
n
Altas, bajas y modificaciones de usuarios con perfil
F01-SGSI-USI-PO- 03 Gestor de Infraestructura 12 meses
general
Altas, bajas y modificaciones de usuarios con
F01-SGSI-USI-PO- 04 Gestor de Infraestructura 12 meses
acceso privilegiado
Código SGSI-USI-PO-04
6. CONTROL DE CAMBIOS
Fecha
Versió Tipo de Descripción del Responsable de
Acción de Distribuido a Aprobado por
n Cambio Cambio la Acción
Acción
12/11/201 Oficial de Seguridad Todo el personal Comité del
1.0 C Creación Creación del documento
9 de la Información de la APCI Gobierno Digital
22/04/202 Modificació Oficial de Seguridad Todo el personal Comité del
1.1 M Modificación del documento
0 n de la Información de la APCI Gobierno Digital