Gestión de Cuentas de Usuarios
Constituye un elemento fundamental dentro de la Política de Seguridad de la organización, ya que de ella dependerá el correcto funcionamiento de otras medidas y directrices de seguridad como el control de acceso lógico a los recursos o el registro de la actividad de los usuarios.
Se debe contemplar en la cuenta de usuario:
- Proceso de solicitud
- Creación
- Configuraciones
- Seguimiento
- Cancelación
Se debe definir:
- Quién puede ejercer la creación de cuenta de usuario
- Qué usuario tendrá privilegios administrativos (constituye una autoridad dentro del sistema)
o Determinar hasta qué punto este usuario con privilegio puede acceder a carpetas o ficheros de otros usuarios, monitorizar el uso de red y de los equipos.
o Instalar o desinstalar aplicaciones
o Cambiar configuraciones de los equipos
o Etc.
Es recomendable que cada usuario con privilegio tenga una cuenta con menos privilegios para su trabajo cotidiano, recurriendo a la cuenta como administrador sólo para las tareas que así lo requieran. La organización deberá tener un registro actualizado de los usuarios con este privilegio.
Los responsables de Seguridad de la Información deberán proceder a cancelar o cambiar las contraseñas de las cuentas incluidas por defecto del sistema informático, así como la desactivación de todas las cuentas de usuarios genéricas (como la de los usuarios anónimos).
Revisiones periódicas sobre la administración de las cuentas, los grupos asignados y los permisos de acceso establecidos, contemplando actividades como las que se enumeran a continuación:
- Revalidación anual de usuarios y grupos dentro del sistema
- Asignación de permisos y privilegios teniendo en cuenta las necesidades operativas de cada usuario en función de su puesto de trabajo.
- Modificaciones de permisos derivadas de cambios en la asignación de funciones de un empleado, procediendo al registro de dichas modificaciones.
- Detección de actividades no autorizadas, como podrían ser las conexiones a horas extrañas o desde equipos que no se habían contemplado inicialmente.
- Detección y bloqueo de cuentas inactivas, entendiendo como tales aquellas que no hayan sido utilizadas en los últimos meses.
- Bajas del sistema por desvinculación del personal, procediendo a la revocación de permisos y cancelación inmediata de las cuentas afectadas.
También se debería definir dentro de las Políticas de Seguridad cuáles son las directrices por la organización en relación con la eliminación de los datos y ficheros de ámbito personal de aquellos usuarios que hayan causado baja en el sistema, previa grabación de éstos para que puedan ser entregados a los interesados.