Fiscalía General de la Nación

Objetivo

El objetivo de la presente política es establecer los lineamientos para la creación, distribución, almacenamiento y destrucción de las contraseñas dentro de la Fiscalía General de la Nación, con el propósito de proteger la información confidencial y los activos de información de accesos no autorizados.

Alcance

Esta política aplica a todo el funcionariado de la Fiscalía General de la Nación, incluyendo a contratistas y terceros. Asimismo, es aplicable a todos los servicios y sistemas de información bajo la responsabilidad de la institución.

Responsabilidades

Responsable de seguridad de la información debe velar por el cumplimiento de la presente política, así como de establecer los mecanismos adecuados para su revisión.

Director de tecnología de la información es responsable de la implementación y el mantenimiento de esta política.

Jerarcas de la Organización son responsables de proveer y mantener las condiciones necesarias para el cumplimiento de esta política.

Funcionarios son responsables a cumplir con lo establecido en la presente política.

Descripción

Para ello, es necesario el cumplimiento de las siguientes directivas:

Creación de una nueva contraseña:

• Las cuentas de cada usuario deben ser nominadas e intransferibles.
• Se debe imponer una contraseña para cada cuenta de usuario.
• No se permite utilizar usuarios genéricos, salvo a determinados funcionarios que por sus tareas lo requieran, siendo autorizados por el Responsable de Seguridad de la Información.
• Se debe imponer el cambio de contraseña al momento de inicio de sesión por primera vez y/o luego de ser asignada por un administrador de sistema.

Las contraseñas deben cumplir con los siguientes requisitos:

• Una longitud de al menos 10 caracteres.
• Estar formada por caracteres alfabéticos mayúsculas, minúsculas, caracteres numéricos y símbolos.
• No deben basarse en palabras completas ni en información de fácil acceso sobre el usuario como nombres o fechas importantes.
• Evitar utilizar las mismas contraseñas para sistemas o servicios distintos.

Actualización:

• Las contraseñas deben cambiarse cada 90 días.
• De encontrarse comprometidas o afectadas deberán cambiarse inmediatamente, incluso si no se cumplen los 90 días anteriormente mencionados.
• Se debe evitar la reutilización de contraseñas anteriores.

Almacenamiento y transmisión:

• Las contraseñas deben transmitirse a los usuarios de forma segura. Evitar enviarlas en texto plano.
• Las contraseñas deben ser almacenadas de manera segura, nunca de forma impresa. Pueden utilizarse gestores de contraseñas aprobados y encriptados para su almacenamiento.
• La información de autenticación es secreta; las contraseñas no deben compartirse con otras personas.
• Luego de 6 intentos de inicio de sesión fallidos, se bloquea automáticamente la cuenta.

Almacenamiento seguro de contraseñas:

• Las contraseñas en dispositivos físicos que no son utilizados y contienen información, se encuentran resguardados en una bóveda segura bajo llave, con acceso restringido únicamente al director del Departamento de TI.
• No se lleva a cabo el formateo de la información alojada en dichos dispositivos, asegurando así la integridad de los datos sensibles.

Procedimientos de Recuperación y Restablecimiento de Contraseñas:

• Se deben establecer y documentar procedimientos formales para la recuperación y restablecimiento de contraseñas.
• Estos procedimientos deben estar definidos y con un cronograma de implementación en un plazo no mayor a 30 días posteriores a la entrada en vigencia de esta política.
• El Departamento de TI será responsable de mantener estos procedimientos actualizados.

Cumplimiento

Se destaca que el incumplimiento de la presente política aumenta la exposición de la información y el riesgo de tener un incidente de seguridad de la información. Ante la verificación de un incumplimiento la Dirección General podrá tomar las medidas que se considere pertinentes, conforme al debido proceso