Saltar al contenido

Autorizacion de gestion de tramites

Gestión de accesos Itil

Esta política describe los tipos de identidades electrónicas en uso para sistemas y aplicaciones; los criterios para crear identidades y cuentas; cómo deben autenticarse las identidades; cómo deben gestionarse las autorizaciones; y cómo deben desproveerse las cuentas y los privilegios.

Esta política se centra en los requisitos para sistemas y aplicaciones. Aunque es importante considerar el cifrado o la protección con contraseña de archivos o documentos individuales, especialmente si los archivos pueden enviarse electrónicamente o almacenarse en un dispositivo portátil, la intención de la política no es establecer requisitos para dichos archivos o documentos individuales.

Cuentas de usuario: Están asociadas de forma exclusiva a una persona concreta. Estas cuentas pueden existir en un repositorio central al que los sistemas pueden federarse para consumir la información de identidad y autenticación o pueden crearse localmente en un sistema o dispositivo donde la federación no es práctica o posible. El uso de la cuenta creada centralmente con autenticación federada es siempre el método preferido.

Definición de autorización

La autorización es la base por la que se delega la autoridad para completar las distintas etapas de una transacción. Estas etapas incluyen los procesos de Registro (iniciar, enviar, procesar), Aprobación (pre-aprobación, revisión posterior a la entrada) y Conciliación. Los principales aspectos de la autorización son:

Todas las transacciones y actividades deben ser llevadas a cabo y aprobadas por los empleados que actúan dentro de su rango de conocimientos y del ámbito de control adecuado. Las prácticas de autorización adecuadas sirven como enfoque proactivo para evitar que se produzcan transacciones no válidas.

La autoridad documentada crea una expectativa de responsabilidad y rendición de cuentas. La autoridad para llevar a cabo una acción determinada puede venir en documentos impresos o en la autoridad generada por el sistema (ejemplo: sistema de acceso ASTRA)

Ejemplo de política de autorización

Los protocolos de gestión de acceso y autenticación ayudan a proteger los sistemas de la UM y los datos institucionales sensibles. Esta norma se aplica a los procesos y procedimientos a lo largo del ciclo de vida de las cuentas y el acceso a los usuarios y al sistema.

La gestión de la identidad y el acceso (IAM) como disciplina es un elemento fundamental del programa de garantía de la información de la UM y con el que más interactúan los usuarios del campus. IAM establece procedimientos para verificar la identidad y la elegibilidad de los individuos que buscan acceder y utilizar los recursos de tecnología de la información de la universidad.

Esta norma establece el marco para el aprovisionamiento y el desprovisionamiento de acceso por parte del personal y los miembros de la plantilla a los sistemas y aplicaciones de la UM que crean, procesan, mantienen, transmiten o almacenan datos institucionales sensibles. Su objetivo es proteger los datos institucionales confidenciales de la universidad frente a riesgos o infracciones debidos a prácticas inadecuadas de gestión del acceso y la autenticación, así como capturar la información necesaria para las pistas de auditoría relacionadas con el cumplimiento. Una gestión de acceso bien estructurada hace que el personal de la universidad tenga acceso a los servicios adecuados en el momento oportuno en función de sus responsabilidades laborales actuales, lo que supone un impulso a la productividad general.

Funciones y responsabilidades de la gestión del acceso

(5) Este Procedimiento se aplica a las personas responsables de la gestión de las cuentas de usuario o del acceso a los activos y sistemas de información de la Universidad, incluyendo las cuentas departamentales (Propietario de Negocio o Custodio) y las cuentas gestionadas centralmente (ITS).

(9) Cuenta de administrador:  Una cuenta de usuario con acceso a uno o más sistemas que proporciona al usuario privilegios a nivel de sistema, incluido el acceso a los entornos de prueba de aceptación de usuarios, desarrollo y producción.

– Es responsable de la protección de su cuenta individual y de su contraseña, no debe compartir su contraseña con nadie ni permitir que otros utilicen su cuenta de acuerdo con la Política de Uso Adecuado de TI.

– Cambiarán inmediatamente la contraseña de la cuenta y notificarán al Propietario de la Empresa o al Custodio del sistema de información pertinente si creen que una cuenta de administrador ha sido divulgada o utilizada indebidamente por un usuario no autorizado.

(22) Los proveedores de servicios de terceros deben cumplir con el Procedimiento de Gestión de Acceso de Usuarios y garantizar que el acceso de los usuarios a los sistemas de información y a los datos se conceda únicamente a las personas que hayan sido autorizadas por el correspondiente Propietario de Negocio o Custodio.