POLÍTICA DE ADMINISTRACIÓN DE CONTRASEÑAS
ENERO 2024
Las contraseñas son un aspecto muy importante de la Seguridad de la Información. Una contraseña débil puede dar lugar a accesos no autorizados y/o explotación de recursos de la empresa. En Byte IT todos los colabores, directivos, contratistas y proveedores con acceso a sistemas de la empresa, son responsables de tomar las medidas adecuadas para seleccionar y proteger sus contraseñas, como se indica a continuación:
ARTÍCULO 1. OBJETIVO
El objetivo de la administración de contraseñas es establecer un estándar de creación, protección y cambios de contraseñas seguras en el uso de aplicativos, servidores, bases datos y dispositivos al alcance de cualquier departamento.
ARTÍCULO 2. ALCANCE
Está política incluye a todo el personal que tiene o responsable de una cuenta o cuenta con cualquier forma de acceso que requiere una contraseña; aplica para las contraseñas de aplicativos, servidores de, dispositivos de red, bases de datos y dispositivos internos.
ARTÍCULO 3. CREACIÓN
Todas las contraseñas de nivel de usuario y de sistema deberán ser de al menos nueve caracteres y contar con las siguientes normas:
Tener al menos una letra minúscula (a-z) excepto ñ
Tener al menos una letra mayúscula (A-Z) excepto Ñ
Tener al menos un número (0-9)
Tener al menos un caracter especial (-,_,.,+,!,¡)
Los usuarios no deben usar la misma contraseña para acceso a cuentas de la empresa que para otro tipo de accesos no relacionados con la empresa (por ejemplo, cuentas de Correo personal, Redes Sociales, etc.).
Siempre que sea posible, los usuarios no deben usar la misma contraseña para diferentes necesidades de acceso de la empresa.
ARTÍCULO 4. ALMACENAJE
Para las contraseñas creadas para el uso de más de un colaborador, el colaborador deberá iniciar sesión dentro del CRM de Byte IT y registrar la contraseña dentro del apartado de “Contraseñas de equipo”, el cúal cuenta con encriptación y bitácora de registro, actualización y consulta, sabiendo así cuando la contraseña fue generada, actualizada y/o consultada y porqué usuario.
ARTÍCULO 5. ACTUALIZACIÓN
Todas las contraseñas de nivel de sistema (por ejemplo, usuario root, admin, administrador, cuentas de administrador de aplicaciones, etc.) debe de ser cambiadas al menos cada trimestre.
Todas las contraseñas de nivel de usuario (por ejemplo: de Correo Electrónico, Navegación Web, Computadoras de Escritorio, etc.) deben cambiarse al menos cada seis meses. El intervalo de cambio recomendado es cada cuatro meses.
ARTÍCULO 6. BLOQUEO
Todas las cuentas en cualquier nivel de usuario contarán un con bloqueo automático tras cinco intentos consecutivos y podrán ser desbloqueados tras la validación solicitada por el cliente o en su defecto una validación de dos factores en el proceso interno.
El Comité de Calidad y Seguridad o sus delegados pueden realizar Crackeos o tratar de adivinar contraseñas de forma periódica o aleatoria. Si una contraseña es adivinada o Crackeada durante una de estas exploraciones, se le solicitará al usuario que la cambie para estar en conformidad con los lineamientos de construcción de contraseñas.
ARTÍCULO 7. PROTECCIÓN
Las contraseñas no deben de compartirse con nadie.
Todas las contraseñas deben ser tratadas como sensibles, como información confidencial de la empresa.
Las contraseñas no se deben adjuntar en mensajes de correo electrónico u otras formas de comunicación electrónica.
Las contraseñas no deben ser reveladas por teléfono a nadie.
No se debe revelar contraseñas en cuestionarios o formularios de seguridad o de ningún tipo.
No se debe dejar pistas del formato de una contraseña (por ejemplo, "nombre de mi familia”)
No compartir contraseñas de la empresa con nadie, incluyendo asistentes, administrativos, secretarias, directivos, dueños, socios, compañeros de trabajo durante las vacaciones, amigos o miembros de la familia.
No escribir ni guardar contraseñas en post-its o papel en cualquier lugar de su oficina.
No guardar las contraseñas en archivos en su computadora o dispositivos móviles (teléfonos, tablets) sin cifrado.
No utilizar la función "Recordar contraseña" de aplicaciones (por ejemplo, navegadores web) .
Cualquier usuario que sospeche que su contraseña puede haber sido comprometida debe reportar el incidente inmediatamente y cambiar todas sus contraseñas a la brevedad.
ARTÍCULO 8. DESARROLLO DE APLICACIONES
Los desarrolladores de aplicaciones deben garantizar que sus programas contienen las siguientes medidas de seguridad:
Las Aplicaciones deben admitir autenticación de usuarios individuales no de grupos.
Las aplicaciones no deben almacenar las contraseñas en texto claro o ni en algún formato fácilmente reversible.
Las aplicaciones no deben transmitir contraseñas en texto claro por la red.
Las Aplicaciones deben proveer de algún tipo de gestión por roles, de tal manera que un usuario pueda hacerse cargo de las funciones de otro sin necesidad de conocer la contraseña del otro.
ARTÍCULO 9. CUMPLIMIENTO DE LA POLÍTICA
El Comité de Calidad y Seguridad verificará el cumplimiento de esta política a través de diversos métodos, incluyendo, pero no limitado a, informes de la herramientas de negocio, auditorías internas y externas, así como la retroalimentación al dueño de la política.
ARTÍCULO 10. EXCEPCIONES
Cualquier excepción a la norma debe ser aprobada por el Comité de Calidad y Seguridad con antelación.
ARTÍCULO 8. INCUMPLIMIENTO
Un colaborador que se haya encontrado que ha violado esta política puede estar sujeto a medidas disciplinarias, hasta e incluyendo la terminación del contrato.