Normativa de control d'accés als sistemes d'informació
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
El control d’accés als sistemes d’informació és un aspecte crític per assolir aquestes finalitats i es fa necessari establir els àmbits de responsabilitat dels administradors dels sistemes TIC de la Universitat, així com també dels usuaris d’aquests sistemes d’informació.
Per tot això, el Consell de Govern acorda aprovar la Normativa de control d’accés als sistemes d’informació, que consta com a annex.
ANNEX
NORMATIVA DE CONTROL D’ACCÉS ALS SISTEMES D’INFORMACIÓ
La Política de seguretat de la informació de la Universitat preveu un desplegament normatiu per implementar les mesures de seguretat necessàries per assegurar la disponibilitat, l’autenticitat, la integritat, la traçabilitat i la confidencialitat dels sistemes d’informació.
Aquesta normativa desplega la Política de seguretat de la informació de la Universitat pel que fa al control d’accés a aquests sistemes d’informació establint els àmbits de responsabilitat dels administradors dels sistemes TIC de la Universitat, així com també dels usuaris d’aquests sistemes d’informació.
Article 1. Control d’accés lògic
1. Principis de control d’accés
Els principis que determinen el control d’accés als sistemes d’informació són els següents:
- L’accés als sistemes d’informació requereix sempre l’autenticació.
- El control d’accés als sistemes d’informació es gestiona a través de l’administrador de la seguretat del sistema d’informació corresponent.
- Els usuaris han d’autenticar-se sempre com usuaris no privilegiats del sistema; excepcionalment, i només amb finalitats d’administració, determinats usuaris poden autenticar-se com a administradors. Aquesta autenticació com a administradors s’ha de sol·licitar a l’administrador de seguretat del sistema i, una vegada concedida, tindrà una vigència temporal.
- Els usuaris i els administradors han de fer un ús responsable en tot moment de la informació dels sistemes d’informació accedits, garantint el nivell de confidencialitat adequat garantint el nivell de confidencialitat adequat.
- Les contrasenyes assignades als comptes d’usuari i d’administrador han de complir els requeriments que s’estableixen en aquesta normativa.
2. Registre i revisió del control d’accés
Regles generals:
- L’administrador de la seguretat del sistema realitza una revisió periòdica dels drets d’accés assignats als usuaris, com a mínim, una vegada a l’any.
- Els drets d’accés privilegiats s’han de revisar amb una periodicitat major. Aquesta tasca, l’ha de realitzar també l’administrador de seguretat del sistema.
- A més, s’ha de realitzar una actualització dels permisos d’accés corresponents a un usuari sempre que hagi experimentat modificació significativa de les responsabilitats, la posició o el rol a la Universitat.
El control d’accés a fitxers amb dades privades inclou, a més, un registre d’accessos que ha de complir els requeriments següents:
- Si conté dades sensibles ha d’emmagatzemar, com a mínim, la següent informació de cada intent d’accés:
- La identificació de l’usuari.
- La data i l'hora en què s’ha realitzat l’intent d’accés.
- L’acció realitzada sobre el fitxer.
- Les activitats realitzades amb èxit i també els intents fallits.
- El període de conservació és de (2) dos anys.
- S’ha de mantenir sota mesures de seguretat que garanteixin que aquest registre de logs d’accés no ha estat alterat ni manipulat des de la seva generació.
- L’administrador de seguretat del sistema s’encarrega de revisar, una vegada al trimestre, la informació de control registrada per cercar patrons anormals.
3. Drets d’accés
S'han d'establir procediments formals per controlar l'assignació dels permisos d'accés a cada sistema d'informació incloent totes les etapes del cicle de vida d'accés dels usuaris, des del registre inicial dels nous usuaris fins a la seva baixa quan ja no sigui necessari el seu accés als sistemes d'informació.
Pel que fa a la gestió de drets d'accés, es limitaran els privilegis de cada usuari al mínim necessari per complir les seves obligacions: els usuaris només accediran a la informació requerida necessària per exercir les funcions i responsabilitats assignades dins les funcions pròpies del lloc de treball que ocupen.
En referència a la capacitat d'autoritzar: l’administrador de seguretat del sistema definirà exclusivament el personal amb competència per poder autoritzar peticions, com, per exemple, el responsable del departament corresponent, que podrà concedir, alterar o anul·lar l'autorització als recursos mantenint informat a l’administrador de seguretat del sistema.
La modificació de privilegis s’ha de sol·licitar a través del gestor de peticions de la Universitat (CAU) i l’haurà d’autoritzar el responsable del recurs.
A. Identificadors
Cada una de les cadenes de caràcters utilitzades per identificar el nom d’un usuari a la xarxa de la Universitat constitueix un identificador.
Regles generals:
- Tots els identificadors personals han d'estar normalitzats, per possibilitar la identificació unívoca i personalitzada dels usuaris. L'identificador ha de permetre saber a qui correspon i quins drets té assignats.
- La creació d'un identificador d'usuari ha d'estar autoritzada pel seu superior jeràrquic.
- No es permet l'ús d'identificadors de grup o genèrics, excepte quan sigui estrictament necessari i sempre per raons operacionals internes dels sistemes. Aquesta circumstància ha d'estar degudament justificada i aprovada formalment, aplicant els controls de seguretat necessaris. En referència a aquests controls, han de permetre establir una traçabilitat de quin usuari concret de la Universitat ha accedit i utilitzat l’identificador genèric. Aquests s’han de registrar juntament amb un responsable associat per permetre la seva traçabilitat en cas d'incident de seguretat.
- Els identificadors d'usuaris genèrics i els identificadors per defecte han d’estar sempre inhabilitats.
- Els identificadors no han de donar indicis de nivell de privilegi associat.
- Sempre que sigui possible, s'han d'establir llistes de control d'accés als recursos d'informació de manera que cada usuari ha de tenir accés només a la informació que necessiti per desenvolupar les tasques corresponents al seu perfil dins la Universitat. Al seu torn, els identificadors d’usuaris nominals de la UPF han de tenir assignada una data de validesa. S’ha d’informar a l’usuari de la data de caducitat de la contrasenya amb un mínim de quinze dies d'antelació. Abans de la data de caducitat, s’informarà a l’usuari demanant el canvi per tal d’evitar que caduqui. En cas que no es faci el canvi s’inhabilitarà l’usuari.
- Pel que fa als usuaris genèrics d’operació dels sistemes, no caduquen per qüestions de disponibilitat dels serveis.
- S'han d'aplicar controls d'accés a tots els nivells de l'arquitectura i topologia dels sistemes d'informació. Això inclou: xarxes, plataformes o sistemes operatius, bases de dades i aplicacions. Els atributs de cada un d'ells han de reflectir alguna forma d'identificació i autenticació, autorització d'accés, verificació de recursos d'informació i registre i monitorització de les activitats.
- Els usuaris són responsables de totes les activitats realitzades amb els seus identificadors, contrasenyes i dispositius d'accés. Per tant, no han de permetre que altres persones els utilitzin o els coneguin.
B. Gestió de drets d’accés
- L'administració dels drets d'accés quedarà restringida a un nombre limitat de persones autoritzades. Només el personal autoritzat pot concedir, alterar o anul·lar l'accés autoritzat, segons els criteris establerts per l’administrador de seguretat del sistema.
- L'accés i/o la utilització dels sistemes quedaran restringits als identificadors autoritzats.
- S'ha de disposar d'una relació actualitzada d'usuaris amb accés autoritzat al sistema d'informació, amb procediments d'identificació i autenticació per aquest accés.
- S'han d'establir mecanismes per evitar que un usuari pugui accedir a dades o recursos amb drets diferents dels autoritzats.
- Les contrasenyes han de caducar amb la periodicitat estipulada que és, com a mínim, anual.
B.1 Entrega de contrasenyes
- Les contrasenyes generades automàticament pels sistemes es consideren provisionals, d’un sol ús, i seran comunicades a l’usuari directament, sense intermediaris. L’usuari ha de fer el canvi durant el primer inici de sessió.
- L'usuari ha de confirmar la recepció dels permisos d'accés, i que coneix i accepta les obligacions que implica la seva tinença, en particular el deure de custòdia diligent, protecció de la confidencialitat i informació immediata en cas que es detecti que pot coneguda per altres persones. Aquesta confirmació es pot fer mitjançant l’acceptació d’un document de responsabilitats o d’avís legal la primera vegada que accedeix al sistema.
B.2 Inhabilitació i suspensió de credencials
- Els comptes s’han de desactivar quan l'usuari deixi de tenir vinculació amb la Universitat, deixi de tenir assignada la funció per a la qual necessitava el compte o quan la persona que el va autoritzar revoqui l’autorització. L'identificador però, es mantindrà indefinidament i desactivat per evitar que un altre usuari pugui tenir aquest mateix identificador i atendre així les necessitats de traçabilitat dels registres d'activitat.
- S’han de desactivar els identificadors quan l'entitat (persona, equip o procés) que s'autentiquen acaben la seva relació amb el sistema.
- Els identificadors es desactivaran després d'un període de no utilització que es definirà en els procediments corresponents.
C. Gestió de perfils d’accés i privilegis
Tasques mínimes obligatòries que ha de realitzar l’administrador de seguretat del sistema en referència a la gestió de perfils d’accés i privilegis:
- Identificar perfils d'accés d'usuari normalitzats per a llocs de treball comuns i les responsabilitats derivades, així com els seus privilegis associats en base a les necessitats d'ús.
- Revisar trimestralment i eliminar del sistema usuaris i comptes redundants, posant especial èmfasi en aquells usuaris amb privilegis especials. S’han de revisar i reassignar drets d'accés quan es produeixin canvis en les funcions dels usuaris. S’ha de disposar d'un registre dels canvis realitzats en els comptes de privilegis per a la seva revisió periòdica.
- Proporcionar inicialment i de forma segura als usuaris una contrasenya provisional la qual es vegin obligats a canviar immediatament, verificant prèviament la identitat de l'usuari abans d'assignar-li una contrasenya.
- Modificar per defecte les contrasenyes proporcionades en sistemes o programari de tercers.
- En base al registre d’accessos, detectar activitats inusuals, com podrien ser intents d'accés reiterats erronis a una ubicació sense permisos.
El responsable de cada unitat administrativa ha de comunicar immediatament a l’administrador de seguretat del sistema qualsevol canvi de rol o ubicació d’una persona dins la Universitatper modificar els drets d'accés de què disposava.
4. Control d’accés local
Es considera accés local quan s’accedeix als sistemes d’informació des dels ordinadors o dispositius mòbils (estacions de treball de la Universitat) i dins de les pròpies instal·lacions de l'organització.
- S’ha d’evitar la revelació de qualsevol tipus d’informació tecnològica del sistema abans que l’usuari hagi validat les seves credencials. La informació revelada a qui intenta accedir ha de ser la mínima imprescindible (els diàlegs d'accés proporcionaran només la informació indispensable).
- El nombre d'intents d'accés han de ser limitats. Un cop sobrepassat el límit, el compte d'usuari ha de quedar bloquejat durant un període de temps.
- S’han de registrar els accessos amb èxit i els erronis.
- El sistema ha d'informar l'usuari de les seves obligacions immediatament després d'obtenir l'accés la primera vegada que accedeix amb les credencials.
- S'han de configurar els comptes d'usuari de manera que caduquin.
- S’ha d’imposar un temps màxim per tancar sessions inactives (cinc minuts com a màxim) en els equips dels usuaris. Es tracta d’un bloqueig de l’equip, no es tanca cap sessió d’aplicació.
- Cal comunicar qualsevol incidència o incident amb la major rapidesa que sigui possible d’acord amb el procediment de gestió d'incidents de la seguretat de la informació.
5. Control d’accés remot
Es considera accés remot quan s’accedeix als sistemes d’informació des de fora de les pròpies instal·lacions de l'organització, a través de xarxes de tercers.
A més de les pautes incloses en l'apartat de control d'accés local, s'han de tenir en compte les consideracions següents:
- S'ha de garantir la seguretat del sistema quan accedeixin remotament usuaris o altres entitats, la qual cosa implica protegir tant l'accés en si mateix com el canal d'accés remot. Per tant, cal disposar d’usuari i contrasenya per tal de connectar-se remotament i el canal ha d’utilitzar un protocol de comunicació segur.
- Per a accessos remots és necessària una autorització prèvia d’un superior jeràrquic.
- Cal tenir regles específiques respecte de què es pot fer i què no es pot fer des d'un accés remot, fins i tot dins del que es considera autoritzat, s'han de tractar amb especial atenció els processos d'identificació i autenticació per prevenir la suplantació d'identitat d’un usuari autoritzat. S'ha de prefixar què és el que està permès fer remotament en funció del perfil de l'usuari.
- En els dos escenaris, s'ha de considerar instal·lar un programari de prevenció de pèrdues de dades que detecta possibles incompliments de dades o transmissions d’exfiltració de dades i les impedeix, conegut també com funció DLP (Data Loss Prevention).
- Sempre que sigui possible s’establirà una xarxa privada virtual, VPN.
- En tots els casos s'han d'activar els registres d'activitat de la VPN i analitzar regularment que es compleix la normativa.
- Els dispositius mòbils com ara portàtils, tauletes i similars, han d'estar vigilats i sota control de l’usuari per evitar pèrdues o furts que comprometin la informació que tinguin emmagatzemada o que es pugui extreure. S’han de transportar de manera segura, evitant proporcionar informació sobre el contingut i utilitzant, si s'escau, maletins de seguretat que evitin l’accés no autoritzat. En els desplaçaments amb avió, aquest tipus d'equipament no s’ha de facturar i hade viatjar sempre amb l'usuari.
- El treball en llocs públics s'ha de fer amb la major cautela i precaució, evitant que persones no autoritzades vegin o escoltin informació interna de l'organització.
- Els navegadors utilitzats per a l'accés via web han d'estar permanentment actualitzats a la seva última versió, almenys pel que fa a actualitzacions de seguretat, així com correctament configurats.
- Un cop finalitzada la sessió web, és obligatòria la desconnexió del servidor mitjançant un procés que elimini la possibilitat de reutilització de la sessió tancada.
- Cal desactivar les característiques de recordar contrasenyes al navegador.
- S’ha d’activar l'opció d'esborrat automàtic en el tancament de navegador de la informació sensible registrada: històric de navegació, descàrregues, formularis, memòria cau, galetes, contrasenyes, sessions autenticades, i similars.
- Excepte autorització expressa, està prohibida la instal·lació de la funcionalitat ”add-on” per al navegador.
- L'emmagatzematge de la informació en suports electrònics (CD, DVD, memòries USB, i similars) s'ha de caracteritzar per no ser accessible per a usuaris no autoritzats.
- Els USB amb informació confidencial han d’estar autoritzats i xifrats i han de necessitar codi d’accés per tal de visualitzar la informació.
- No s’han de desactivar les configuracions de seguretat habilitades en els dispositius mòbils (ordinadors portàtils, mòbils, tauletes, i similars) i s’ha de comprovar que es mantenen actualitzades.
- No s’han de descarregar ni instal·lar continguts no autoritzats en els equips.
Article 2. Ús de contrasenyes per part dels usuaris
Les contrasenyes d’accés als serveis han de garantir la seguretat de la informació i, per aquest motiu, han de ser robustes, difícilment vulnerables.
Les contrasenyes han de seguir els requeriments definits per aquesta normativa a més dels criteris següents:
- No han d'estar basades en dades pròpies que una altra persona pugui endevinar o obtenir fàcilment (codi d'usuari, nom, cognoms, data de naixement, número de telèfon, número de NIF, noms de fills , pares, parella, mascota, i en general qualsevol dada biogràfica de l'usuari). Tampoc no haurien de ser paraules incloses en diccionaris o noms de personatges famosos.
- Han de ser fàcils de recordar. Es fa necessari, per tant, trobar una solució de compromís entre la robustesa de la contrasenya i la facilitat per recordar-la o memoritzar-la.
- No s’han d’anotar en paper.
- El seu emmagatzematge als sistemes d’informació ha de ser inintel·ligible.
- No s’han d’incloure en correus electrònics o en altres mitjans de comunicació electrònica juntament amb l'identificador, ni han de ser comunicades per telèfon.
- S’han de mantenir en secret. Aquest és un tret essencial de les contrasenyes. No s’han de compartir, lliurar ni comunicar a ningú. Si s’ha de fer de forma excepcional per una necessitat imperiosa, l'usuari haurà de procedir a canviar-la de forma immediata.
- Hauran de ser més robustes i s’hauran de canviar més sovint, com més sensible, confidencial o protegida sigui la informació amb la qual es treballa.
Cap usuari està autoritzat a accedir als serveis interns de l'organització utilitzant el nom d'usuari i la contrasenya d'altres usuaris. Aquesta pràctica compromet la confidencialitat de la informació, i per descomptat, l'autenticitat de qui hi accedeix.
Es regulen en annex requeriments addicionals que han de complir les contrasenyes d'accés als serveis TIC.
Article 3. Gestió d’inicis de sessió
Es descriuen a continuació els aspectes que s'han de tenir en compte de cara a minimitzar el nombre d'accessos no autoritzats als sistemes.
- Fins que no s'hagi completat amb èxit el procés d'autenticació, no s'haurà de mostrar cap tipus d'informació relativa al sistema (tal com identificadors de sistema o versions de programari instal·lat), que puguin ajudar a identificar-lo, així com qualsevol altre tipus de informació que pugui facilitar l’accés no autoritzat.
- Un cop s'hagi accedit correctament al sistema, s’ha de mostrar un missatge que adverteixi que l'ús de sistema només està permès a usuaris autoritzats.
Respecte al procés de validació d'entrada (utilització d’usuari i contrasenya), els sistemes han de complir els punts següents:
- La validació de la informació d'entrada es realitzarà únicament quan s'hagin completat totes les dades d'entrada. Si passa alguna condició d'error, el sistema no ha d'indicar en cap cas la part de la dada que és incorrecta (per exemple, mai ha d'indicar si el que s'ha introduït de forma incorrecta és el nom d'usuari o la contrasenya).
- Es limitarà el nombre d'intents d'accés a aplicacions que s’autentiquen.
- Si s’arriba al nombre màxim d'intents d'accés fallits (tres), el sistema es bloqueja durant quinzeminuts la primera vegada. La segona vegada que es compleixen els tresintents fallits es bloqueja trentaminuts, la tercera, seixantaminuts i, a partir de la quarta, es bloqueja l’usuari.
- S'han d'utilitzar protocols de comunicació que permetin l'enviament de les credencials d'usuari de forma xifrada per evitar que siguin capturades en algun punt intermedi de la comunicació.
- S’han d'habilitar sistemes de doble factor d’autenticació per verificar l’autenticitat de l’usuari.
Article 4. Control d’accés a la xarxa
- S'ha d'establir un control d'accés a la xarxa de la Universitat, tant a la d’usuaris interns com a la d’externs de la Universitat, implantant mesures de seguretat i procediments d'autorització d'accés.
- S'ha d'establir autenticació d'usuaris en els accessos remots a través de tècniques criptogràfiques, "tokens", protocols de pregunta/resposta, línies dedicades privades, verificació d'origen de connexió, o similars.
- Els serveis de xarxa, ports de configuració i diagnòstic remot han d’estar protegits.
- S'han d’implementar controls de connexió a la xarxa (filtres, regles, i similars), d'encaminament i d'identificació de l'equipament a la xarxa.
Article 5. Monitorització dels accessos
S'han de realitzar tasques periòdiques de monitorització dels sistemes per tal de detectar accessos no autoritzats i desviacions, registrant esdeveniments que subministrin evidències en cas de produir-se incidents relatius a la seguretat a través dels registres següents que han de tenir, com a mínim, el contingut que s’indica:
- Registre d’esdeveniments:
- Intents d’accés erronis.
- Bloquejos de compte.
- Debilitat de contrasenyes.
- Normalització d’identificadors.
- Comptes inactius i inhabilitats.
- Últims accessos a comptes.
- Registre d’ús dels sistemes:
- Accessos no autoritzats.
- Ús de privilegis.
- Alertes de sistema.
Els rellotges dels sistemes d’informació compresos en l'àmbit d’aplicació de la present normativa han d’estar sincronitzats per garantir l’exactitud dels registres de temps.
Annex. Requeriments addicionals de les contrasenyes d'accés als serveis TIC
1. Drets dels usuaris
1.Tots els usuaris de les TIC de la Universitat tenen dret a disposar de credencials (codi d’usuari i contrasenya) d’accés als serveis que utilitzin.
2. Aquestes credencials són personalitzades, llevat de casos excepcionals on sigui tècnicament inviable.
2. Deures dels usuaris
1. És responsabilitat dels usuaris tenir cura de les seves contrasenyes de manera que no puguin ser conegudes ni utilitzades per altres persones.
2. És responsabilitat dels usuaris canviar la seva contrasenya quan el Servei d’Informàtica els hi entrega per primera vegada i l’han fet servir per accedir al servei concret.
3. Els usuaris han de canviar les seves contrasenyes periòdicament; una vegada a l’any com a mínim.
4. Per tal de millorar-ne la seguretat, els usuaris han de triar contrasenyes que incloguin lletres i números. Aquestes contrasenyes han de tenir una llargada mínima i podran tenir mesures de seguretat addicionals en funció de l’anàlisi de riscos que el Servei d’Informàtica hagi efectuat sobre el servei concret al qual s’apliqui la contrasenya.
5. Les contrasenyes no poden ser escrites ni enviades via correu electrònic sense xifrar. Si és necessari emmagatzemar les contrasenyes en un registre, aquest ha de ser xifrat i amb l’accés controlat només a les persones autoritzades.
6. Els usuaris no han d’utilitzar en l’àmbit professional les mateixes contrasenyes que es fan servir a nivell particular.
7. El Servei d'Informàtica mai demana la contrasenya als usuari, siguin o no administradors, atès que es disposen de les eines per canviar-la sense necessitat de conèixer la contrasenya vigent.
8. En cas d’oblit de la contrasenya, o bloqueig per acumulació d’intents fallits d’accés al sistema, es sol·licitarà la reinicialització de la contrasenya mitjançant la notificació a través de l’eina de ticketing de l’incident a l’Administrador de Seguretat del Sistema, prèvia verificació de la identitat de l’usuari sol·licitant. La contrasenya es reinicialitzarà obligant al canvi en el primer accés.
3. Obligacions de la Universitat
1. La Universitat ha d’oferir als usuaris mecanismes que permetin el canvi de contrasenya sense que hagi de ser coneguda per terceres persones.
2. Quan el personal del Servei d’Informàtica comuniqui una nova contrasenya a l’usuari en cas d’oblit o de bloqueig, aquesta contrasenya ha de ser de caire temporal i l’usuari l’ha de canviar en el primer ús.
3. L’emmagatzematge de les contrasenyes dels usuaris s’ha de fer de manera encriptada facilitant-ne l’accés únicament per a funcions de validació de les connexions.
4. El disseny dels serveis TIC de la Universitat s’ha de fer de tal manera que es minimitzi el número de contrasenyes que els usuaris hagin de recordar. Hi ha d’haver credencials diferents només en aquells casos en què sigui aconsellable per motius de seguretat o en què sigui tècnicament inevitable.
5. El Servei d’Informàtica ha d’habilitar mecanismes automàtics de bloqueig dels comptes dels usuaris en cas que hi hagi indicis d’utilització fraudulenta o intents d’usos no permesos (incloent els intents repetits de connexió amb contrasenyes aleatòries).
6. El Servei d’Informàtica ha de proporcionar informació sobre els criteris de qualitat de les contrasenyes (llargada mínima, freqüència de canvi, criteris de no reutilització de contrasenyes antigues, entre altres) per a cada servei TIC que posi a disposició dels usuaris, així com els mecanismes previstos per modificar-les o restablir-les.
7. El Servei d’Informàtica ha d’habilitar mecanismes per assegurar el canvi de contrasenya quan la comunica per primera vegada, un cop l’usuari l’ha utilitzada.
8. El Servei d’Informàtica ha d’habilitar mecanismes per assegurar el canvi de les contrasenyes amb una antiguitat superior a un any i per garantir, com a mínim, els següents requeriments:
Han de tenir una longitud mínima de deu caràcters.
Han de contenir obligatòriament almenys un caràcter de cada un dels següents grups: numèric, alfabètic (majúscules i minúscules) i, si el sistema ho permet, caràcters especials (*,+, $, &, #, @, -, !, %, ^, *, ;, (, ), {, }, [, ], <, >, ?, /,_).
Al realitzar el canvi de les contrasenyes no es podran reutilitzar, com a mínim, les cinc últimes contrasenyes.
9. La caducitat de la contrasenya s’avisarà als usuaris amb una antelació de trenta dies laborables.
10. El Servei d’Informàtica ha de canviar o fer que caduqui la contrasenya quan se sospiti que en poden tenir coneixement persones diferents del seu titular.
11. Quan tècnicament sigui possible, s’han d’aplicar mesures que permetin validar la qualitat de la contrasenya abans que el sistema l’accepti.
12. Els codis utilitzats per a tasques automàtiques (execució scripts, transferència de fitxers, i similars), queden exempts del compliment dels requeriments de vigència i canvi de contrasenya.
En aquests casos caldrà aplicar controls addicionals:
- Inhabilitar l’accés a la consola del sistema.
- Definir els mínims privilegis necessaris tant d’accés com d’execució.
- Mantenir un registre dels usuaris, indicant la persona o grup responsable dels mateixos.
- Pels entorns on l’usuari no pugui realitzar el canvi de forma automàtica, el responsable d’aquests haurà de sol·licitar un canvi de contrasenya de forma periòdica mitjançant els canals establerts.
13. Les contrasenyes s’han de comunicar de manera segura als usuaris. No es poden fer servir missatges de correu electrònic sense xifrar. Son mètodes vàlids per a la comunicació: entrega personal, correu electrònic xifrat, correu postal o missatgeria, SMS al mòbil personal, correu intern precintat o software de generació i entrega automàtica de contrasenyes.
14. S’ha d’habilitar un sistema de protecció de pantalla amb contrasenya que s’activi després de cinc minuts màxim d’inactivitat. Aquest temps es pot incrementar per necessitats docents fins als trenta minuts.
15. Qualsevol incident de seguretat relacionat amb la gestió de les contrasenyes s’ha de comunicar en la major brevetat possible al Responsable de Seguretat i/o a l’Administrador de Seguretat del Sistema.
4. Les contrasenyes als sistemes d’informació
1. El nom d’usuari i la contrasenya s’han de transmetre xifrades per la xarxa.
2. Quan s’introdueixi la contrasenya en els sistemes, mai no ha d’aparèixer de manera visible o llegible a la pantalla.
3. No està permès incloure contrasenyes sense xifrar dins del codi d’aplicacions o scripts. Com a alternativa, es pot emmagatzemar aquestes contrasenyes en fitxers amb accés restringit només als usuaris amb privilegis d’execució.
4. Els comptes amb privilegis d’administració hauran de regir-se per les mateixes directrius en l’establiment de contrasenyes que s’indiquen anteriorment per a usuaris i amb sistemes de doble factor d’autenticació.