M INISTERIO DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES … · Auto Firma admite la firma mediante DNIe...

MINISTERIO

DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES

1

Anexo III - Dominio de Desarrollo

Norma de Autenticación y Firma. Gestión de permisos y roles.

La seguridad que debe presidir cualquier actuación administrativa que se lleve a cabo por medios

electrónicos, ya sea en actuaciones internas e interadministrativas o en las que conllevan una relación

directa con el ciudadano, exige aplicar un conjunto de medidas que garanticen la adecuada protección de la

información y aseguren que cada una de las dimensiones implicadas de la seguridad de la información

(confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad y no repudio) quedan adecuadamente

protegidas.

Este apartado se centra en los mecanismos de identificación y firma electrónica desde distintas perspectivas

(identificación y firma del personal, sistémica o como institución, o de los terceros), así como en la gestión

de autorizaciones (permisos y roles); elementos básicos de salvaguarda del principio de confidencialidad de

la información.

1. Conceptos generales.

Se entiende por identificación la acreditación de la identidad del interviniente en un proceso.

La identificación es uno de los elementos sobre el que se asienta el principio de Confidencialidad de la

Información o Control de Acceso, por el que se ha de garantizar que la información sea únicamente conocida

por aquellas personas (o entidades) que tienen permiso para ello; para lo que se requiere que posean: (a)

un medio de identificación o acreditación ante los distintos sistemas o servicios y (b) la oportuna

autorización y configuración de sus permisos de acceso.

Por su parte, la firma electrónica comporta, además de la identificación del firmante, la acreditación

fehaciente de su voluntad o consentimiento para realizar el acto. Es, por tanto, garantía de autenticidad y

no repudio.

La ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

(art. 9, 10 y 11) identifica los sistemas de firma a utilizar en las Administraciones Públicas, determinando

que se utilizará firma electrónica reconocida o cualificada y avanzada basada en certificados electrónicos

cualificados de firma electrónica, ya sean de persona física o jurídica.

Se denomina firma electrónica avanzada (art 3.2 de la Ley 59/2003, de 19 de diciembre, de Firma

Electrónica) aquella que permite identificar al firmante, detectar cualquier cambio posterior de los datos

firmados y vincular al firmante y los datos firmados de manera única. Esto se consigue a través de la firma

mediante un certificado electrónico (basado en clave criptográfica) emitido por una Autoridad de

Certificación de confianza.

Por su parte, el art. 3.3 de la Ley 59/2003 define la firma electrónica reconocida como la única que tiene

el mismo valor legal que la manuscrita para lo que incorpora, además de los requisitos de la firma

electrónica avanzada, la exigencia de que debe ser realizada mediante un Certificado Reconocido. La

relación de certificados reconocidos por la Administración Pública se publica en la sede electrónica del

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s

CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67

DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es

FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F

MINISTERIO


2

Ministerio al que queda adscrito el Departamento de Industria, actualmente:

https://sedeaplicaciones.minetur.gob.es/Prestadores/.

2. Identificación y firma del personal del CSIC

2.1 Medios de identificación

Los medios de identificación a utilizar para el acceso a los servicios corporativos internos del

CSIC son:

• Clave concertada (usuario/contraseña)

• Certificado electrónico reconocido y admitido por la plataforma @Firma. Entre los

certificados admitidos por @Firma que se encuentran: el eDNI, los certificados de

empleado público y de Clase 2CA emitidos por la FNMT (Fábrica Nacional de Moneda

y Timbre).

El CSIC proporciona a su personal interno la opción de obtener un certificado de empleado público a

través de la Intranet Corporativa. Estos certificados cumplen los requisitos de firma electrónica avanzada y

reconocida.

De acuerdo al Plan de Transformación Digital del CSIC, antes de finalizar el año 2020 todos los sistemas de

información corporativos que hayan sido desarrollados en el CSIC deberán permitir el acceso mediante

Certificado Electrónico.

2.1.1 Identificación mediante clave concertada

El personal del CSIC, el personal de sus centros mixtos o aquel vinculado contractualmente o

por otra vía con la institución que requiera utilizar alguno de los servicios TIC corporativos

del CSIC puede disponer de una cuenta de acceso basada en usuario y contraseña cuando se

cumplan los siguientes requisitos:

1) La persona debe haber sido registrada en el directorio de personal de GEP (Sistema

de Gestión de Entidades y Personas del CSIC) y haber realizado su Primer Acceso en la

Intranet.

El personal propio se encuentra automáticamente actualizado en dicho directorio desde el día

siguiente a su alta en el sistema de gestión de personal de la Institución (GESPER).

Por su parte, en el caso del personal NO CSIC (centro mixto o externos), es la Gerencia o unidad

gestora del Instituto, Centro o Unidad (ICU) correspondiente la encargada de realizar el alta del

registro en GEP; siendo asimismo responsable y garante de la veracidad de la información que

incorpora a dicho sistema, así como de mantener actualizadas las bajas o modificaciones, ya que de

ello depende la correcta gestión de los permisos y autorizaciones de acceso a los distintos sistemas

o recursos.

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


3

2) El registro dado de alta en GEP debe encontrarse en la situación de “activo” o “en

trámite”.

El personal en situación de baja, dejará de tener acceso a los sistemas y recursos TIC con las

excepciones que para determinados servicios y plazos determinen las instrucciones dictadas

por la Secretaría General.

El apartado 5.3.1. de este Anexo, denominado “Consideraciones adicionales sobre las credenciales para el

acceso a los sistemas y a los datos basado en Claves Concertadas” contiene los criterios aplicables para la

creación de las credenciales.

2.1.2. Identificación mediante certificado electrónico

Además del uso de clave concertada, en el CSIC se podrá utilizar certificado electrónico

reconocido para acceder a los servicios TIC, estando previsto que se haya realizado el

despliegue total de esta opción en 2020. Los certificados reconocidos serán los que admita, en cada

momento, la plataforma de firma e identificación de la Administración Pública; actualmente @Firma.

Por otra parte, el CSIC proporciona a su personal funcionario, laboral fijo y doctores contratados por más

de 3 años la posibilidad de obtener a través de Intranet (sección de Trámites > Trámites TIC > Servicios

TIC) un Certificado de Empleado Público AP, sin necesidad de personarse en las oficinas habilitadas para

este fin por la FNMT (Fábrica Nacional de Moneda y Timbre). Las instrucciones para realizar el trámite se

encuentran en la sección indicada de Intranet.

2.2. Medios para la firma electrónica de documentos

Existen distintos medios para llevar a cabo la firma electrónica de documentos que, a su vez, aportan un

distinto nivel de seguridad jurídica.

El CSIC ha adoptado como instrumentos de firma electrónica de uso necesario para las distintas gestiones

administrativas los servicios comunes AUTOFIRMA, PORTAFIRMAS y la solución integral de firma

electrónica FIRE. Estos servicios son proporcionados con carácter general a toda la Administración Pública

por la Secretaría General de Administración Electrónica del Ministerio de Hacienda y Función Pública.

2.2.1. AutoFirma

AutoFirma es una aplicación de escritorio que permite la firma de ficheros, a priori en varios formatos,

aunque se recomienda el uso de PDF. Permite exclusivamente la firma a nivel individual, y no incorpora la

posibilidad de envío de solicitudes de firma a otras personas.

AutoFirma admite la firma mediante DNIe o mediante certificado electrónico, y puede ser utilizada tanto

en un equipo de sobremesa como en un dispositivo móvil.

2.2.2. Portafirmas de la AGE

Esta aplicación es una herramienta de firma para flujos de trabajo organizativos accesible vía web, que

requiere permisos de acceso a Red SARA. Entre sus características se encuentran:

• Remitir documentos a la firma secuencial o conjunta (o visto bueno) de uno o varios firmantes.

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


4

• Descarga de los documentos firmados y obtención de resguardos o justificantes que incluyen un

Código Seguro de Verificación –CSV-, para su visualización y posible impresión en papel.

• Válido en equipos de sobremesa o en dispositivos móviles.

La sección “Servicios TIC -> Gestión Electrónica” de la Intranet corporativa contiene instrucciones para su

instalación y uso.

3. Identificación del CSIC como institución. Identificación en portales y servicios electrónicos.

Las actuaciones administrativas automatizadas

Uno de los aspectos clave en materia de seguridad informática está relacionado con la existencia de

garantías que aseguren que el sitio o portal web que se visita (o el acto administrativo que a través del

mismo se efectúa) corresponda fehacientemente a la persona física o jurídica que aparentemente es el

titular del sitio web. Para ello, la Administración Pública dispone de una legislación mediante la que regula la

forma e instrumentos para la identificación electrónica de sus distintos órganos frente a los ciudadanos, así

como para la acreditación de su identidad en actos o procedimientos administrativos automatizados.

3.1. Identificación de la Sede Electrónica del CSIC

La sede electrónica del CSIC (https://sede.csic.gob.es) es el sitio Web oficial del CSIC a través

del que todos los trámites y procedimientos administrativos prestados por el Organismo a

personas físicas y jurídicas deben estar accesibles; esto incluye tanto los proporcionados desde

los servicios centrales del CSIC como los de sus centros e institutos.

Para asegurar que cualquier procedimiento electrónico ofrecido por un ICU con carácter “no

interno” es accesible desde la Sede Electrónica del CSIC, la Gerencia del ICU o, en su

defecto, sus servicios TIC deberán informar al respecto a la Secretaría General Adjunta de

Informática (SGAI) que se encargará de analizar y posibilitar el acceso o enlace al mismo a

través de la Sede Electrónica del CSIC.

Como medida de confianza para los usuarios de la Sede del CSIC y según requiere la legislación reguladora

de las Sedes Electrónicas, el CSIC acredita su identidad en dicho sitio web mediante un Certificado de Sede

Electrónica.

3.2. Identificación de los sitios web del CSIC

Los sitios web del CSIC, tanto los corporativos, como los propios de cada uno de sus ICU, grupos de

investigación, servicios científico-técnicos, unidades administrativas u otros colectivos del CSIC; así como

los de personas, proyectos de investigación, gestión de eventos o cualquier otra finalidad deberán contar,

al menos, con el correspondiente certificado de autenticación de sitio web (certificado de

servidor SSL), que permitirá aportar mecanismos de autenticación, cifrado y confidencialidad

de las comunicaciones.

Con el fin de poder dar cumplimiento a las medidas de seguridad señaladas, los responsables de los sitios

web podrán solicitar y obtener un certificado de autenticación de sitio web (certificado de servidor SSL de

carácter genérico u otras variantes, cuando se requiera), a través de la plataforma de la Autoridad de

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


5

Certificación disponible al efecto (Digicert en la actualidad, en virtud del acuerdo con RedIRIS). La solicitud

se deberá canalizar a través de los responsables TIC de cada ICU o personal equivalente autorizado para la

solicitud de certificados. Aquellos ICU que carezcan de soporte TIC podrán formular esta solicitud

directamente a la SGAI.

Las Unidades que requieran poner en marcha un sitio web podrán realizar una solicitud del dominio, de

acuerdo con la Política de Dominios vigente, y/o de alojamiento en la plataforma de hosting de la SGAI. Las

peticiones se han de formalizar a través del formulario disponible en la Intranet a tal efecto.

La aceptación de una solicitud de un dominio conllevará, de cara a la Unidad solicitante, los siguientes

derechos:

• la gestión y costes de obtención del correspondiente dominio de internet será asumida por la

SGA);

• la renovación y pago del coste anual asociado será acometido por la SGAI;

• se dispondrá de acceso gratuito al servicio de alojamiento (hosting) proporcionado por la SGAI,

siempre que el sitio web cumpla con los requisitos técnicos exigidos para dicho servicio de

alojamiento.

Todos los sitios web del CSIC deberán respetar la Política de Dominios de la institución, publicada en la

Intranet, y el resto de la normativa de aplicación.

Un sitio Web será dado de baja del servicio de alojamiento o se procederá a la baja del dominio cuando se

produzca alguna de las siguientes causas:

• que se efectúe una petición de baja o no renovación por parte del responsable del sitio web o

solicitante del dominio;

• que se verifique su inactividad y se obtenga confirmación al respecto por parte de los responsables

del sitio o dominio o, en caso de no encontrarse activos, de los responsables del ICU o unidad de

la Organización Central (ORGC). En el supuesto de no obtener respuesta, la SGAI podrá proceder

de oficio.

Un sitio Web puede quedar en cuarentena si se detecta algún problema o amenaza de seguridad o

incumplimiento de las normas o políticas de seguridad.

3.3. Identificación y firma en actuaciones administrativas automatizadas.

Con el avance de las TIC, muchas actuaciones administrativas que anteriormente requerían la intervención

y firma de personas han pasado a ser íntegramente efectuadas por medios electrónicos, sin participación de

persona alguna.

Para dar garantías de la identidad del órgano que realiza dicha actuación y, de manera subyacente, de la

legalidad y validez del acto y documentación que se genera, la Administración ha desarrollado

normativamente el concepto de actuación administrativa automatizada, regulando los mecanismos de

identificación a utilizar para el pleno valor legal de dichas acciones.

El artículo 41 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público entiende por

actuación administrativa automatizada cualquier acto o actuación realizada íntegramente a través de medios

electrónicos en el marco de un procedimiento administrativo y en el que no intervenga de forma directa un

empleado público.

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


6

Todas aquellas actuaciones administrativas automatizadas que deban ser firmadas por el

CSIC como órgano tramitador requerirán, de acuerdo al artículo 42 de dicha norma el

empleo de alguno de los siguientes sistemas:

a) Un sello Electrónico (art. 40 de la Ley 40/2015)

b) Un CSV o Código Seguro de Verificación que permita la comprobación de la

integridad de los documentos accediendo a la sede electrónica correspondiente (art.

18 de la ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los

Servicios Públicos).

Los documentos con CSV contienen, además del código que lo identifica, la dirección electrónica de la sede

o sitio Web en el que se puede verificar la integridad del documento. El CSIC dispone en su Sede

Electrónica de un espacio para la validación de los documentos cuyo CSV haya sido generado mediante las

herramientas informáticas corporativas del CSIC. (https://sede.csic.gob.es/validador-de-documentos).

3.4. Identificación mediante sistemas que realizan intercambios automatizados de información

Los sistemas de información que se empleen para la interconexión con otros sistemas, o para

el intercambio y consumo de información, tanto en un ámbito interno como externo a través

de servicios web o bien mediante otros mecanismos de finalidad análoga, deberán contar

igualmente con sistemas de identificación y firma que aseguren su correcta identidad y,

adicionalmente, la confidencialidad e integridad de la información intercambiada.

Para ello, se adoptarán los mecanismos que garanticen que los procesos se realizan con las adecuadas

garantías de confidencialidad, autenticación, integridad y trazabilidad. En este sentido, los sistemas deberán

emplear, según requiera cada caso particular, certificados de servidor SSL, certificados de Sello Electrónico,

códigos seguros de verificación, o una combinación de los anteriores, así como otros que puedan

determinarse como necesarios.

3.5. Sistemas que emplean sellado de tiempo

Aquellas actuaciones administrativas o trámites de diversa naturaleza en los que resulta de

especial relevancia conocer el momento exacto en el que la acción ha tenido lugar, al menos

con indicación precisa de la fecha y hora-minuto-segundo, deberán emplear sistemas de

sellado de tiempo que garanticen el instante exacto en el que han sido llevados a cabo.

Para ello, se deberá recurrir a los servicios de sellado de tiempo TS@ que ofrece el Ministerio de Hacienda

como parte de los servicios comunes que se encuentran a disposición de los organismos que lo requieran.

Aquellos sistemas, aplicaciones y servidores de diferente naturaleza y propósito que hagan uso de los

servicios de sellado de tiempo TS@ deberán estar autenticados necesariamente por un certificado digital

SSL. Estos requisitos podrán verse modificados en un futuro, aparte de por requisitos propios de la

normativa de seguridad del CSIC, por los requisitos impuestos por el prestador del citado servicio TS@ de

sellado de tiempo.

4. Identificación y firma de terceros.

Dentro de la categoría de “terceros” se diferencian en este apartado dos grupos o colectivos diferentes:

• Interesados (personas físicas o jurídicas) que realizan trámites proporcionados por el CSIC a través

de sitios web.

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


7

• Personas físicas o jurídicas externas con contrato con el CSC (o con convenio o acuerdo

jurídicamente válido) que deben acceder a servidores o sistemas de la institución para realizar una

actividad o trabajo determinado: proveedores de servicio, etc.

4.1. Interesados

El CSIC como Administración Pública necesariamente ha de aceptar la utilización, por parte

de los interesados, de mecanismos de identificación y de firma electrónica en su relación con

la institución, para lo que ha de proporcionar los medios de acreditación que se precisen. Este

precepto ha de ser cumplido tanto por los servicios que corporativamente proporcionan de

manera centralizada como los proporcionados por centros e institutos.

En función de la naturaleza del trámite y del nivel de seguridad requerido por la tipología de los datos e

información intercambiada se podrán utilizar, sin perjuicio de otros que en el futuro puedan aparecer, los

siguientes:

• eDNI y Certificados de identificación y firma electrónica reconocidos. En lugar visible se indicarán

los certificados admitidos por el trámite en cuestión.

• Sistema Cl@veFirma, en alguna de sus variantes (Cl@ve PIN, Cl@ve Permanente)

• Sistemas de identificación y firma basados en el intercambio de claves concertadas

Para simplificar el desarrollo de los procesos de identificación y firma en dichos sistemas, se recomienda

utilizar el servicio común Cl@ve.

Cl@ve es un servicio común de la Administración Pública para la identificación, autenticación y firma

electrónica que evita a las Administraciones Públicas tener que implementar y gestionar sus propios

sistemas de identificación y firma, al tiempo que facilita a los ciudadanos su identificación ante cualquier

órgano o procedimiento de la Administración mediante las mismas claves concertadas (usuario más

contraseña), sin tener que recordar claves diferentes para acceder a los distintos servicios. Permite también

el uso del eDNI y certificados electrónicos.

La plataforma permite que las aplicaciones de administración electrónica puedan definir el nivel de

aseguramiento en la calidad de la autenticación que desean.

La SGAI desarrollará los servicios web cliente para determinadas tecnologías, que quedarán a disposición

de los ICU, y proporcionará la información técnica para la integración de los desarrollos con Cl@ve.

4.2. Personas físicas o jurídicas externas con contrato

Las personas físicas o jurídicas externas al CSIC con contrato, convenio o acuerdo legalmente

válido que precisen acceder a los servidores o sistemas del CSIC desde fuera de la red

(habitualmente proveedores de servicios técnicos), lo harán bajo estrictas medidas de

seguridad, con el menor número de permisos posibles y mediante VPN u otro mecanismo,

alternativo o complementario, que garantice el control de sus accesos.

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


8

5. Gestión de Roles y Permisos. Cuentas de usuario, credenciales y permisos de acceso

5.1. Cuentas de usuario

El acceso a los recursos o servicios corporativos TIC de acceso restringido del CSIC requiere disponer de

una cuenta que se genera automáticamente tras el alta de la persona en el Sistema de Gestión y Entidades

GEP y que se activa mediante su primer acceso a la Intranet. Dicha cuenta es única y válida para todos los

servicios corporativos a los que se tenga acceso, siendo asimismo únicas las credenciales de identificación.

Los servicios y aplicaciones que se ofrecen desde Intranet requieren de un único acto de acreditación por

sesión, al utilizarse un sistema de autenticación única (Single Sign On) que habilita al usuario para acceder a

varios sistemas con una sola instancia de identificación.

El acceso a los servicios restringidos propios de los ICU se realizará mediante las condiciones técnicas

definidas y gestionada directamente por la unidad TIC del ICU, a quien se deberá solicitar tanto la cuenta

como los permisos de acceso a los correspondientes servicios y sistemas.

Cada ICU deberá definir la política de identificación y autorización a utilizar en su caso, que

deberá ser difundida entre su personal y, en caso de ser posible, publicada en su Intranet o

sistema equivalente. Si así es solicitado, también podrá ser publicada en la Intranet general

del CSIC.

5.2. Roles y Permisos de acceso

Las posibilidades de acceso a las utilidades o módulos de los sistemas de información, recursos TIC u otros

servicios depende del rol que ostente el usuario frente a éstos.

Se entiende por rol o perfil una colección de permisos definida para todo el sistema que se puede asignar a

los usuarios sobre la base de su función en la institución y que delimita las operaciones que podrán realizar

en los sistemas de información o aplicaciones. Con carácter general, el rol ha de ser acorde a las

competencias funcionales y orgánicas de cada persona autorizada. Ejemplos serían: el rol de Gerencia,

Dirección, administración del sistema, evaluador, etc.

Asimismo, se entiende por permiso la posibilidad de ejecutar determinadas operaciones: alta de registros,

edición, consulta, acceso a determinadas opciones de menú, etc.

Se adoptará, en todo caso, una política limitativa de asignación de privilegios (roles y

permisos), que serán los mínimos necesarios para la ejecución de las funciones

encomendadas.

En el CSIC, los datos gestionados y tratados por cualquier Sistema de Información han de

tener asignado un responsable de la información, que será el encargado de conceder, alterar o

anular la autorización de acceso al mismo por parte de los usuarios. La figura y cometidos del

“responsable de la información” se encuentra desarrollada en la Instrucción de 9 de julio de 2015, de la

Secretaría General del CSIC, por la que se regula la estructura organizativa de la seguridad de la

información en la Agencia Estatal CSIC, a la que se accede desde la Intranet Corporativa.

La solicitud de acceso y roles a una aplicación corporativa se debe realizar mediante el formulario

correspondiente de la Intranet del CSIC: Intranet > Servicios Generales > Servicios TIC > Peticiones de

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


9

Servicio. El Centro de Atención a Usuarios (CAU) de la ORGC podrá atender las consultas o peticiones

que le sean formuladas para los sistemas y servicios corporativos. En los ICU, corresponde a la Gerencia o

unidad responsable de los servicios TIC determinar las herramientas y procedimientos de petición de

acceso a aplicaciones o servicios. Dichos procedimientos deberán ser debidamente publicados o

comunicados a los usuarios.

Por otra parte, y con carácter general, cuando una persona deja o cambia de cargo, unidad o

función, suelen variar sus roles de acceso a los sistemas. En estos supuestos, es obligación del

responsable jerárquico correspondiente hacer llegar dichos cambios a la unidad TIC para que

se proceda a la rectificación de los permisos. Cada ICU deberá determinar y hacer público

entre su personal el procedimiento a aplicar.

El paso a la situación de baja de los usuarios en el CSIC implica la eliminación efectiva de los

derechos de acceso a los sistemas y a los recursos informáticos que tuviera asignados. Esta

norma se aplicará tanto para los servicios corporativos como a los específicos de los ICU, sin

perjuicio de las instrucciones que la Secretaría General pudiera dictar sobre condiciones

excepcionales de acceso temporal a ciertos servicios, como pueden ser el correo electrónico

o la consulta de nómina por parte del personal de baja. Las normas que regulen estas

situaciones especiales serán publicadas en el espacio de Normativa TIC de la Intranet del

CSIC.

5.3. Responsabilidad de custodia y seguridad de las credenciales y medios de acceso a sistemas informáticos

Cada persona es responsable de la adecuada custodia y privacidad de sus credenciales o

medios de acceso, que no deben revelar, entregar, mantener a la vista o al alcance de

terceros, bajo ningún concepto.

La cesión de las credenciales es una grave brecha de seguridad (suplantación de identidad, ataques de spam,

virus, etc.), por lo que se ha de tener especial cuidado en su custodia y en no facilitar la identificación bajo

ningún concepto. Se ha de tener presente que ninguna unidad del CSIC solicitará la identificación a un

usuario por ningún medio electrónico; así pues, cuando se recibe una demanda por cualquier vía (desde un

medio electrónico, telefónico o postal) de las credenciales, se ha de entender como un phishing o engaño.

Asimismo, tampoco se podrán ceder las credenciales a compañeros u otras personas.

5.3.1 Consideraciones adicionales sobre las credenciales para el acceso a los sistemas y a los datos basado

en Claves Concertadas

En aquellos casos en los que se utilice como sistema de identificación un usuario y una contraseña, el

código de usuario deberá ser único para cada persona, intransferible e independiente del equipo desde el

que se realice el acceso. En casos puntuales, por razones técnicas, operativas o de seguridad que lo

justifiquen, podrá limitarse el acceso con determinadas credenciales desde equipos específicos o conectados

a tomas de red concretas.

Las credenciales basadas en identificador de usuario y contraseña serán estrictamente personales y

confidenciales y deberán ser custodiadas por su propietario. No se escribirán en papel, etiquetas adhesivas

ni en cualquier otro soporte que pueda ser visto o accedido fácilmente por terceras personas.

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


10

Las credenciales de acceso no se deberán compartir con otros usuarios, ni siquiera con

personal técnico que, en ningún caso, deberá solicitarlas. Cuando el personal informático requiera

realizar algún tipo de intervención en el equipo de trabajo de un usuario utilizará sus propias credenciales

cuando sea posible, o pedirá al usuario que introduzca las suyas propias manteniendo la privacidad de las

mismas.

Se prestará una especial atención a la adecuada custodia y vigilancia de las contraseñas que

protegen los accesos a información sensible o confidencial, las cuales deberán ser modificadas

con la periodicidad que se estipule en cada momento.

Para evitar el uso inadecuado de credenciales es necesario seguir ciertas normas, que se detallan a

continuación, en lo que se refiere a la creación, modificación y control de las contraseñas.

5.3.2. Creación y modificación de credenciales seguras

Con el fin de dificultar que usuarios sin autorización accedan a información para la que no tienen permiso,

las contraseñas han de ser robustas y difícilmente vulnerables. Para ello, se deben seguir ciertas reglas en la

creación de las contraseñas cuyo cumplimiento será verificado, siempre que sea posible, por el propio

sistema que gestione la creación y modificación de credenciales.

Estas reglas podrán variar de una aplicación o sistema a otro y, por lo general, se encontrarán encuadradas

bajo una o varias de las siguientes características:

a) Deben tener una longitud mínima determinada, normalmente 8 caracteres.

b) Deberán estar formadas por una combinación de caracteres alfanuméricos que incluyan una o

varias de las siguientes características en su formación:

o Letras mayúsculas

o Letras minúsculas

o Números

o Caracteres especiales (*, &, %, /, @, #, +, etc.)

c) Deben tener alguna propiedad determinada o responder a un formato concreto en su estructura.

En la actualidad se encuentra implantado en la Organización Central (ORGC), tanto para el acceso a la

Intranet como para la validación en el Dominio corporativo, un sistema de verificación del cumplimiento de

un conjunto de reglas para la creación y modificación de las credenciales de acceso al equipo de trabajo.

Adicionalmente a las reglas de validación que imponga el sistema o aplicación que gestione la creación y

modificación de contraseñas en cada caso, el Grupo Técnico de Seguridad de la Información elaborará una

Guía con pautas y recomendaciones a seguir para favorecer su robustez, seguridad y facilidad de

memorización, así como diversas estrategias para evitar la utilización de una misma contraseña para el

acceso a todos los sitios y recursos.

Los sistemas de gestión de contraseñas podrán imponer una validez temporal máxima, siendo necesario

modificarla antes de que expire. En el caso de que se produjese la expiración, el usuario afectado deberá

ponerse en contacto con el CAU en el caso de la ORGC, o con el personal TIC de su ICU.

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


11

Además de la modificación periódica obligatoria, podrá imponerse, según las capacidades técnicas

disponibles al efecto en cada ICU en particular, la obligatoriedad de que la nueva contraseña no sea igual a

ninguna de las últimas (N) contraseñas utilizadas.

Los sistemas de gestión de contraseñas podrán incorporar mecanismos de bloqueo automático de

contraseñas en el caso de que se produzca un determinado número de reintentos fallidos consecutivos,

para evitar que puedan prosperar los intentos de ataque por fuerza bruta.

Adicionalmente, se cambiará de forma inmediata la contraseña si se tienen sospechas de que su

confidencialidad ha podido ser comprometida o si, por algún motivo excepcional y sobradamente

justificado, se ha comunicado a una tercera persona.

En el caso de que exista sospecha de que las credenciales de un usuario para el acceso a los sistemas

corporativos han podido ser comprometidas se podrá bloquear la cuenta del usuario.

Si el usuario olvida la contraseña o se le ha bloqueado el acceso, bien por lo señalado en el párrafo anterior

o bien tras un número determinado de errores consecutivos, se deberá solicitar la creación de una nueva

contraseña. Si la aplicación dispone de un sistema de creación de contraseñas, se usará este método. En

otro caso, deberá contactar con el personal TIC correspondiente. En estos supuestos, habitualmente se

asignará una contraseña provisional que el usuario deberá cambiar necesariamente al realizar el primer

acceso.

5.3.3. Control de la seguridad de las credenciales

La unidad de seguridad TIC del CSIC podrá testear periódicamente la fortaleza de las contraseñas o

implantar mecanismos para detectar aquellas que puedan ser más vulnerables o para asegurar que son

creadas siguiendo unos patrones de robustez mínimos adecuados. En el caso de la ORGC este control se

realizará desde la SGAI. En el caso de los ICU, la tarea podrá recaer en el responsable de los servicios TIC

o personal TIC dependiente.

Cuando se detecte un problema con una contraseña, el propietario será informado

inmediatamente de ello debiendo sustituirla de inmediato por una nueva que disponga de las

necesarias garantías de fortaleza.

En el supuesto de que un usuario tuviese acceso a las credenciales de otro, bajo ningún

concepto deberá hacer uso de dichas credenciales suplantando su identidad, incluso aunque

disponga de la autorización de su titular.

Si un usuario tiene sospechas de que sus credenciales están siendo utilizadas por otra persona, debe

comunicar la incidencia de seguridad de manera inmediata a la SGAI o unidad TIC del ICU. Se recuerda que

la suplantación de identidad es un delito penal.

Ante una posible llamada, correo electrónico u otro medio procedente de cualquier remitente solicitando

las credenciales (nombre de usuario y/o contraseña) se actuará del siguiente modo:

a) no se facilitarán los datos solicitados

b) no se responderá

c) se comunicará el hecho a la SGAI de manera inmediata ([email protected])

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




MINISTERIO


12

Por su parte, ninguna persona o unidad perteneciente al CSIC deberá solicitar las credenciales de acceso a

los recursos por lo que, recíprocamente, ningún usuario podrá recibir una petición para que las facilite.

Si los servicios TIC detectan un uso fraudulento de credenciales, deberán informar inmediatamente a su

propietario y, según la gravedad de la acción, podrán suspender temporalmente el acceso a los recursos de

la cuenta afectada hasta que se subsane el problema. Tras el aviso, el usuario deberá proceder al cambio de

contraseña de forma inmediata y realizar, si fuera necesario, otras acciones indicadas por los servicios TIC

en función de las particularidades de cada caso concreto, siempre velando por la seguridad global de la red

y los recursos internos, sin perjuicio de la necesaria salvaguarda en todo momento de los derechos del

usuario.

Cód

igo

segu

ro d

e V

erifi

caci

ón :

GE

N-c

b41-

6eb6

-394

d-c5

be-2

2dd-

9c51

-847

0-1e

67 |

Pue

de v

erifi

car

la in

tegr

idad

de

este

doc

umen

to e

n la

sig

uien

te d

irecc

ión

: http

s://p

orta

firm

as.r

edsa

ra.e

s




M INISTERIO DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES … · Auto Firma admite la firma mediante DNIe...

Documents

Transcript of M INISTERIO DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES … · Auto Firma admite la firma mediante DNIe...