MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
1
Anexo III - Dominio de Desarrollo
Norma de Autenticación y Firma. Gestión de permisos y roles.
La seguridad que debe presidir cualquier actuación administrativa que se lleve a cabo por medios
electrónicos, ya sea en actuaciones internas e interadministrativas o en las que conllevan una relación
directa con el ciudadano, exige aplicar un conjunto de medidas que garanticen la adecuada protección de la
información y aseguren que cada una de las dimensiones implicadas de la seguridad de la información
(confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad y no repudio) quedan adecuadamente
protegidas.
Este apartado se centra en los mecanismos de identificación y firma electrónica desde distintas perspectivas
(identificación y firma del personal, sistémica o como institución, o de los terceros), así como en la gestión
de autorizaciones (permisos y roles); elementos básicos de salvaguarda del principio de confidencialidad de
la información.
1. Conceptos generales.
Se entiende por identificación la acreditación de la identidad del interviniente en un proceso.
La identificación es uno de los elementos sobre el que se asienta el principio de Confidencialidad de la
Información o Control de Acceso, por el que se ha de garantizar que la información sea únicamente conocida
por aquellas personas (o entidades) que tienen permiso para ello; para lo que se requiere que posean: (a)
un medio de identificación o acreditación ante los distintos sistemas o servicios y (b) la oportuna
autorización y configuración de sus permisos de acceso.
Por su parte, la firma electrónica comporta, además de la identificación del firmante, la acreditación
fehaciente de su voluntad o consentimiento para realizar el acto. Es, por tanto, garantía de autenticidad y
no repudio.
La ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
(art. 9, 10 y 11) identifica los sistemas de firma a utilizar en las Administraciones Públicas, determinando
que se utilizará firma electrónica reconocida o cualificada y avanzada basada en certificados electrónicos
cualificados de firma electrónica, ya sean de persona física o jurídica.
Se denomina firma electrónica avanzada (art 3.2 de la Ley 59/2003, de 19 de diciembre, de Firma
Electrónica) aquella que permite identificar al firmante, detectar cualquier cambio posterior de los datos
firmados y vincular al firmante y los datos firmados de manera única. Esto se consigue a través de la firma
mediante un certificado electrónico (basado en clave criptográfica) emitido por una Autoridad de
Certificación de confianza.
Por su parte, el art. 3.3 de la Ley 59/2003 define la firma electrónica reconocida como la única que tiene
el mismo valor legal que la manuscrita para lo que incorpora, además de los requisitos de la firma
electrónica avanzada, la exigencia de que debe ser realizada mediante un Certificado Reconocido. La
relación de certificados reconocidos por la Administración Pública se publica en la sede electrónica del
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
2
Ministerio al que queda adscrito el Departamento de Industria, actualmente:
https://sedeaplicaciones.minetur.gob.es/Prestadores/.
2. Identificación y firma del personal del CSIC
2.1 Medios de identificación
Los medios de identificación a utilizar para el acceso a los servicios corporativos internos del
CSIC son:
• Clave concertada (usuario/contraseña)
• Certificado electrónico reconocido y admitido por la plataforma @Firma. Entre los
certificados admitidos por @Firma que se encuentran: el eDNI, los certificados de
empleado público y de Clase 2CA emitidos por la FNMT (Fábrica Nacional de Moneda
y Timbre).
El CSIC proporciona a su personal interno la opción de obtener un certificado de empleado público a
través de la Intranet Corporativa. Estos certificados cumplen los requisitos de firma electrónica avanzada y
reconocida.
De acuerdo al Plan de Transformación Digital del CSIC, antes de finalizar el año 2020 todos los sistemas de
información corporativos que hayan sido desarrollados en el CSIC deberán permitir el acceso mediante
Certificado Electrónico.
2.1.1 Identificación mediante clave concertada
El personal del CSIC, el personal de sus centros mixtos o aquel vinculado contractualmente o
por otra vía con la institución que requiera utilizar alguno de los servicios TIC corporativos
del CSIC puede disponer de una cuenta de acceso basada en usuario y contraseña cuando se
cumplan los siguientes requisitos:
1) La persona debe haber sido registrada en el directorio de personal de GEP (Sistema
de Gestión de Entidades y Personas del CSIC) y haber realizado su Primer Acceso en la
Intranet.
El personal propio se encuentra automáticamente actualizado en dicho directorio desde el día
siguiente a su alta en el sistema de gestión de personal de la Institución (GESPER).
Por su parte, en el caso del personal NO CSIC (centro mixto o externos), es la Gerencia o unidad
gestora del Instituto, Centro o Unidad (ICU) correspondiente la encargada de realizar el alta del
registro en GEP; siendo asimismo responsable y garante de la veracidad de la información que
incorpora a dicho sistema, así como de mantener actualizadas las bajas o modificaciones, ya que de
ello depende la correcta gestión de los permisos y autorizaciones de acceso a los distintos sistemas
o recursos.
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
3
2) El registro dado de alta en GEP debe encontrarse en la situación de “activo” o “en
trámite”.
El personal en situación de baja, dejará de tener acceso a los sistemas y recursos TIC con las
excepciones que para determinados servicios y plazos determinen las instrucciones dictadas
por la Secretaría General.
El apartado 5.3.1. de este Anexo, denominado “Consideraciones adicionales sobre las credenciales para el
acceso a los sistemas y a los datos basado en Claves Concertadas” contiene los criterios aplicables para la
creación de las credenciales.
2.1.2. Identificación mediante certificado electrónico
Además del uso de clave concertada, en el CSIC se podrá utilizar certificado electrónico
reconocido para acceder a los servicios TIC, estando previsto que se haya realizado el
despliegue total de esta opción en 2020. Los certificados reconocidos serán los que admita, en cada
momento, la plataforma de firma e identificación de la Administración Pública; actualmente @Firma.
Por otra parte, el CSIC proporciona a su personal funcionario, laboral fijo y doctores contratados por más
de 3 años la posibilidad de obtener a través de Intranet (sección de Trámites > Trámites TIC > Servicios
TIC) un Certificado de Empleado Público AP, sin necesidad de personarse en las oficinas habilitadas para
este fin por la FNMT (Fábrica Nacional de Moneda y Timbre). Las instrucciones para realizar el trámite se
encuentran en la sección indicada de Intranet.
2.2. Medios para la firma electrónica de documentos
Existen distintos medios para llevar a cabo la firma electrónica de documentos que, a su vez, aportan un
distinto nivel de seguridad jurídica.
El CSIC ha adoptado como instrumentos de firma electrónica de uso necesario para las distintas gestiones
administrativas los servicios comunes AUTOFIRMA, PORTAFIRMAS y la solución integral de firma
electrónica FIRE. Estos servicios son proporcionados con carácter general a toda la Administración Pública
por la Secretaría General de Administración Electrónica del Ministerio de Hacienda y Función Pública.
2.2.1. AutoFirma
AutoFirma es una aplicación de escritorio que permite la firma de ficheros, a priori en varios formatos,
aunque se recomienda el uso de PDF. Permite exclusivamente la firma a nivel individual, y no incorpora la
posibilidad de envío de solicitudes de firma a otras personas.
AutoFirma admite la firma mediante DNIe o mediante certificado electrónico, y puede ser utilizada tanto
en un equipo de sobremesa como en un dispositivo móvil.
2.2.2. Portafirmas de la AGE
Esta aplicación es una herramienta de firma para flujos de trabajo organizativos accesible vía web, que
requiere permisos de acceso a Red SARA. Entre sus características se encuentran:
• Remitir documentos a la firma secuencial o conjunta (o visto bueno) de uno o varios firmantes.
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
4
• Descarga de los documentos firmados y obtención de resguardos o justificantes que incluyen un
Código Seguro de Verificación –CSV-, para su visualización y posible impresión en papel.
• Válido en equipos de sobremesa o en dispositivos móviles.
La sección “Servicios TIC -> Gestión Electrónica” de la Intranet corporativa contiene instrucciones para su
instalación y uso.
3. Identificación del CSIC como institución. Identificación en portales y servicios electrónicos.
Las actuaciones administrativas automatizadas
Uno de los aspectos clave en materia de seguridad informática está relacionado con la existencia de
garantías que aseguren que el sitio o portal web que se visita (o el acto administrativo que a través del
mismo se efectúa) corresponda fehacientemente a la persona física o jurídica que aparentemente es el
titular del sitio web. Para ello, la Administración Pública dispone de una legislación mediante la que regula la
forma e instrumentos para la identificación electrónica de sus distintos órganos frente a los ciudadanos, así
como para la acreditación de su identidad en actos o procedimientos administrativos automatizados.
3.1. Identificación de la Sede Electrónica del CSIC
La sede electrónica del CSIC (https://sede.csic.gob.es) es el sitio Web oficial del CSIC a través
del que todos los trámites y procedimientos administrativos prestados por el Organismo a
personas físicas y jurídicas deben estar accesibles; esto incluye tanto los proporcionados desde
los servicios centrales del CSIC como los de sus centros e institutos.
Para asegurar que cualquier procedimiento electrónico ofrecido por un ICU con carácter “no
interno” es accesible desde la Sede Electrónica del CSIC, la Gerencia del ICU o, en su
defecto, sus servicios TIC deberán informar al respecto a la Secretaría General Adjunta de
Informática (SGAI) que se encargará de analizar y posibilitar el acceso o enlace al mismo a
través de la Sede Electrónica del CSIC.
Como medida de confianza para los usuarios de la Sede del CSIC y según requiere la legislación reguladora
de las Sedes Electrónicas, el CSIC acredita su identidad en dicho sitio web mediante un Certificado de Sede
Electrónica.
3.2. Identificación de los sitios web del CSIC
Los sitios web del CSIC, tanto los corporativos, como los propios de cada uno de sus ICU, grupos de
investigación, servicios científico-técnicos, unidades administrativas u otros colectivos del CSIC; así como
los de personas, proyectos de investigación, gestión de eventos o cualquier otra finalidad deberán contar,
al menos, con el correspondiente certificado de autenticación de sitio web (certificado de
servidor SSL), que permitirá aportar mecanismos de autenticación, cifrado y confidencialidad
de las comunicaciones.
Con el fin de poder dar cumplimiento a las medidas de seguridad señaladas, los responsables de los sitios
web podrán solicitar y obtener un certificado de autenticación de sitio web (certificado de servidor SSL de
carácter genérico u otras variantes, cuando se requiera), a través de la plataforma de la Autoridad de
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
5
Certificación disponible al efecto (Digicert en la actualidad, en virtud del acuerdo con RedIRIS). La solicitud
se deberá canalizar a través de los responsables TIC de cada ICU o personal equivalente autorizado para la
solicitud de certificados. Aquellos ICU que carezcan de soporte TIC podrán formular esta solicitud
directamente a la SGAI.
Las Unidades que requieran poner en marcha un sitio web podrán realizar una solicitud del dominio, de
acuerdo con la Política de Dominios vigente, y/o de alojamiento en la plataforma de hosting de la SGAI. Las
peticiones se han de formalizar a través del formulario disponible en la Intranet a tal efecto.
La aceptación de una solicitud de un dominio conllevará, de cara a la Unidad solicitante, los siguientes
derechos:
• la gestión y costes de obtención del correspondiente dominio de internet será asumida por la
SGA);
• la renovación y pago del coste anual asociado será acometido por la SGAI;
• se dispondrá de acceso gratuito al servicio de alojamiento (hosting) proporcionado por la SGAI,
siempre que el sitio web cumpla con los requisitos técnicos exigidos para dicho servicio de
alojamiento.
Todos los sitios web del CSIC deberán respetar la Política de Dominios de la institución, publicada en la
Intranet, y el resto de la normativa de aplicación.
Un sitio Web será dado de baja del servicio de alojamiento o se procederá a la baja del dominio cuando se
produzca alguna de las siguientes causas:
• que se efectúe una petición de baja o no renovación por parte del responsable del sitio web o
solicitante del dominio;
• que se verifique su inactividad y se obtenga confirmación al respecto por parte de los responsables
del sitio o dominio o, en caso de no encontrarse activos, de los responsables del ICU o unidad de
la Organización Central (ORGC). En el supuesto de no obtener respuesta, la SGAI podrá proceder
de oficio.
Un sitio Web puede quedar en cuarentena si se detecta algún problema o amenaza de seguridad o
incumplimiento de las normas o políticas de seguridad.
3.3. Identificación y firma en actuaciones administrativas automatizadas.
Con el avance de las TIC, muchas actuaciones administrativas que anteriormente requerían la intervención
y firma de personas han pasado a ser íntegramente efectuadas por medios electrónicos, sin participación de
persona alguna.
Para dar garantías de la identidad del órgano que realiza dicha actuación y, de manera subyacente, de la
legalidad y validez del acto y documentación que se genera, la Administración ha desarrollado
normativamente el concepto de actuación administrativa automatizada, regulando los mecanismos de
identificación a utilizar para el pleno valor legal de dichas acciones.
El artículo 41 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público entiende por
actuación administrativa automatizada cualquier acto o actuación realizada íntegramente a través de medios
electrónicos en el marco de un procedimiento administrativo y en el que no intervenga de forma directa un
empleado público.
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
6
Todas aquellas actuaciones administrativas automatizadas que deban ser firmadas por el
CSIC como órgano tramitador requerirán, de acuerdo al artículo 42 de dicha norma el
empleo de alguno de los siguientes sistemas:
a) Un sello Electrónico (art. 40 de la Ley 40/2015)
b) Un CSV o Código Seguro de Verificación que permita la comprobación de la
integridad de los documentos accediendo a la sede electrónica correspondiente (art.
18 de la ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
Servicios Públicos).
Los documentos con CSV contienen, además del código que lo identifica, la dirección electrónica de la sede
o sitio Web en el que se puede verificar la integridad del documento. El CSIC dispone en su Sede
Electrónica de un espacio para la validación de los documentos cuyo CSV haya sido generado mediante las
herramientas informáticas corporativas del CSIC. (https://sede.csic.gob.es/validador-de-documentos).
3.4. Identificación mediante sistemas que realizan intercambios automatizados de información
Los sistemas de información que se empleen para la interconexión con otros sistemas, o para
el intercambio y consumo de información, tanto en un ámbito interno como externo a través
de servicios web o bien mediante otros mecanismos de finalidad análoga, deberán contar
igualmente con sistemas de identificación y firma que aseguren su correcta identidad y,
adicionalmente, la confidencialidad e integridad de la información intercambiada.
Para ello, se adoptarán los mecanismos que garanticen que los procesos se realizan con las adecuadas
garantías de confidencialidad, autenticación, integridad y trazabilidad. En este sentido, los sistemas deberán
emplear, según requiera cada caso particular, certificados de servidor SSL, certificados de Sello Electrónico,
códigos seguros de verificación, o una combinación de los anteriores, así como otros que puedan
determinarse como necesarios.
3.5. Sistemas que emplean sellado de tiempo
Aquellas actuaciones administrativas o trámites de diversa naturaleza en los que resulta de
especial relevancia conocer el momento exacto en el que la acción ha tenido lugar, al menos
con indicación precisa de la fecha y hora-minuto-segundo, deberán emplear sistemas de
sellado de tiempo que garanticen el instante exacto en el que han sido llevados a cabo.
Para ello, se deberá recurrir a los servicios de sellado de tiempo TS@ que ofrece el Ministerio de Hacienda
como parte de los servicios comunes que se encuentran a disposición de los organismos que lo requieran.
Aquellos sistemas, aplicaciones y servidores de diferente naturaleza y propósito que hagan uso de los
servicios de sellado de tiempo TS@ deberán estar autenticados necesariamente por un certificado digital
SSL. Estos requisitos podrán verse modificados en un futuro, aparte de por requisitos propios de la
normativa de seguridad del CSIC, por los requisitos impuestos por el prestador del citado servicio TS@ de
sellado de tiempo.
4. Identificación y firma de terceros.
Dentro de la categoría de “terceros” se diferencian en este apartado dos grupos o colectivos diferentes:
• Interesados (personas físicas o jurídicas) que realizan trámites proporcionados por el CSIC a través
de sitios web.
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
7
• Personas físicas o jurídicas externas con contrato con el CSC (o con convenio o acuerdo
jurídicamente válido) que deben acceder a servidores o sistemas de la institución para realizar una
actividad o trabajo determinado: proveedores de servicio, etc.
4.1. Interesados
El CSIC como Administración Pública necesariamente ha de aceptar la utilización, por parte
de los interesados, de mecanismos de identificación y de firma electrónica en su relación con
la institución, para lo que ha de proporcionar los medios de acreditación que se precisen. Este
precepto ha de ser cumplido tanto por los servicios que corporativamente proporcionan de
manera centralizada como los proporcionados por centros e institutos.
En función de la naturaleza del trámite y del nivel de seguridad requerido por la tipología de los datos e
información intercambiada se podrán utilizar, sin perjuicio de otros que en el futuro puedan aparecer, los
siguientes:
• eDNI y Certificados de identificación y firma electrónica reconocidos. En lugar visible se indicarán
los certificados admitidos por el trámite en cuestión.
• Sistema Cl@veFirma, en alguna de sus variantes (Cl@ve PIN, Cl@ve Permanente)
• Sistemas de identificación y firma basados en el intercambio de claves concertadas
Para simplificar el desarrollo de los procesos de identificación y firma en dichos sistemas, se recomienda
utilizar el servicio común Cl@ve.
Cl@ve es un servicio común de la Administración Pública para la identificación, autenticación y firma
electrónica que evita a las Administraciones Públicas tener que implementar y gestionar sus propios
sistemas de identificación y firma, al tiempo que facilita a los ciudadanos su identificación ante cualquier
órgano o procedimiento de la Administración mediante las mismas claves concertadas (usuario más
contraseña), sin tener que recordar claves diferentes para acceder a los distintos servicios. Permite también
el uso del eDNI y certificados electrónicos.
La plataforma permite que las aplicaciones de administración electrónica puedan definir el nivel de
aseguramiento en la calidad de la autenticación que desean.
La SGAI desarrollará los servicios web cliente para determinadas tecnologías, que quedarán a disposición
de los ICU, y proporcionará la información técnica para la integración de los desarrollos con Cl@ve.
4.2. Personas físicas o jurídicas externas con contrato
Las personas físicas o jurídicas externas al CSIC con contrato, convenio o acuerdo legalmente
válido que precisen acceder a los servidores o sistemas del CSIC desde fuera de la red
(habitualmente proveedores de servicios técnicos), lo harán bajo estrictas medidas de
seguridad, con el menor número de permisos posibles y mediante VPN u otro mecanismo,
alternativo o complementario, que garantice el control de sus accesos.
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
8
5. Gestión de Roles y Permisos. Cuentas de usuario, credenciales y permisos de acceso
5.1. Cuentas de usuario
El acceso a los recursos o servicios corporativos TIC de acceso restringido del CSIC requiere disponer de
una cuenta que se genera automáticamente tras el alta de la persona en el Sistema de Gestión y Entidades
GEP y que se activa mediante su primer acceso a la Intranet. Dicha cuenta es única y válida para todos los
servicios corporativos a los que se tenga acceso, siendo asimismo únicas las credenciales de identificación.
Los servicios y aplicaciones que se ofrecen desde Intranet requieren de un único acto de acreditación por
sesión, al utilizarse un sistema de autenticación única (Single Sign On) que habilita al usuario para acceder a
varios sistemas con una sola instancia de identificación.
El acceso a los servicios restringidos propios de los ICU se realizará mediante las condiciones técnicas
definidas y gestionada directamente por la unidad TIC del ICU, a quien se deberá solicitar tanto la cuenta
como los permisos de acceso a los correspondientes servicios y sistemas.
Cada ICU deberá definir la política de identificación y autorización a utilizar en su caso, que
deberá ser difundida entre su personal y, en caso de ser posible, publicada en su Intranet o
sistema equivalente. Si así es solicitado, también podrá ser publicada en la Intranet general
del CSIC.
5.2. Roles y Permisos de acceso
Las posibilidades de acceso a las utilidades o módulos de los sistemas de información, recursos TIC u otros
servicios depende del rol que ostente el usuario frente a éstos.
Se entiende por rol o perfil una colección de permisos definida para todo el sistema que se puede asignar a
los usuarios sobre la base de su función en la institución y que delimita las operaciones que podrán realizar
en los sistemas de información o aplicaciones. Con carácter general, el rol ha de ser acorde a las
competencias funcionales y orgánicas de cada persona autorizada. Ejemplos serían: el rol de Gerencia,
Dirección, administración del sistema, evaluador, etc.
Asimismo, se entiende por permiso la posibilidad de ejecutar determinadas operaciones: alta de registros,
edición, consulta, acceso a determinadas opciones de menú, etc.
Se adoptará, en todo caso, una política limitativa de asignación de privilegios (roles y
permisos), que serán los mínimos necesarios para la ejecución de las funciones
encomendadas.
En el CSIC, los datos gestionados y tratados por cualquier Sistema de Información han de
tener asignado un responsable de la información, que será el encargado de conceder, alterar o
anular la autorización de acceso al mismo por parte de los usuarios. La figura y cometidos del
“responsable de la información” se encuentra desarrollada en la Instrucción de 9 de julio de 2015, de la
Secretaría General del CSIC, por la que se regula la estructura organizativa de la seguridad de la
información en la Agencia Estatal CSIC, a la que se accede desde la Intranet Corporativa.
La solicitud de acceso y roles a una aplicación corporativa se debe realizar mediante el formulario
correspondiente de la Intranet del CSIC: Intranet > Servicios Generales > Servicios TIC > Peticiones de
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
9
Servicio. El Centro de Atención a Usuarios (CAU) de la ORGC podrá atender las consultas o peticiones
que le sean formuladas para los sistemas y servicios corporativos. En los ICU, corresponde a la Gerencia o
unidad responsable de los servicios TIC determinar las herramientas y procedimientos de petición de
acceso a aplicaciones o servicios. Dichos procedimientos deberán ser debidamente publicados o
comunicados a los usuarios.
Por otra parte, y con carácter general, cuando una persona deja o cambia de cargo, unidad o
función, suelen variar sus roles de acceso a los sistemas. En estos supuestos, es obligación del
responsable jerárquico correspondiente hacer llegar dichos cambios a la unidad TIC para que
se proceda a la rectificación de los permisos. Cada ICU deberá determinar y hacer público
entre su personal el procedimiento a aplicar.
El paso a la situación de baja de los usuarios en el CSIC implica la eliminación efectiva de los
derechos de acceso a los sistemas y a los recursos informáticos que tuviera asignados. Esta
norma se aplicará tanto para los servicios corporativos como a los específicos de los ICU, sin
perjuicio de las instrucciones que la Secretaría General pudiera dictar sobre condiciones
excepcionales de acceso temporal a ciertos servicios, como pueden ser el correo electrónico
o la consulta de nómina por parte del personal de baja. Las normas que regulen estas
situaciones especiales serán publicadas en el espacio de Normativa TIC de la Intranet del
CSIC.
5.3. Responsabilidad de custodia y seguridad de las credenciales y medios de acceso a sistemas informáticos
Cada persona es responsable de la adecuada custodia y privacidad de sus credenciales o
medios de acceso, que no deben revelar, entregar, mantener a la vista o al alcance de
terceros, bajo ningún concepto.
La cesión de las credenciales es una grave brecha de seguridad (suplantación de identidad, ataques de spam,
virus, etc.), por lo que se ha de tener especial cuidado en su custodia y en no facilitar la identificación bajo
ningún concepto. Se ha de tener presente que ninguna unidad del CSIC solicitará la identificación a un
usuario por ningún medio electrónico; así pues, cuando se recibe una demanda por cualquier vía (desde un
medio electrónico, telefónico o postal) de las credenciales, se ha de entender como un phishing o engaño.
Asimismo, tampoco se podrán ceder las credenciales a compañeros u otras personas.
5.3.1 Consideraciones adicionales sobre las credenciales para el acceso a los sistemas y a los datos basado
en Claves Concertadas
En aquellos casos en los que se utilice como sistema de identificación un usuario y una contraseña, el
código de usuario deberá ser único para cada persona, intransferible e independiente del equipo desde el
que se realice el acceso. En casos puntuales, por razones técnicas, operativas o de seguridad que lo
justifiquen, podrá limitarse el acceso con determinadas credenciales desde equipos específicos o conectados
a tomas de red concretas.
Las credenciales basadas en identificador de usuario y contraseña serán estrictamente personales y
confidenciales y deberán ser custodiadas por su propietario. No se escribirán en papel, etiquetas adhesivas
ni en cualquier otro soporte que pueda ser visto o accedido fácilmente por terceras personas.
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
10
Las credenciales de acceso no se deberán compartir con otros usuarios, ni siquiera con
personal técnico que, en ningún caso, deberá solicitarlas. Cuando el personal informático requiera
realizar algún tipo de intervención en el equipo de trabajo de un usuario utilizará sus propias credenciales
cuando sea posible, o pedirá al usuario que introduzca las suyas propias manteniendo la privacidad de las
mismas.
Se prestará una especial atención a la adecuada custodia y vigilancia de las contraseñas que
protegen los accesos a información sensible o confidencial, las cuales deberán ser modificadas
con la periodicidad que se estipule en cada momento.
Para evitar el uso inadecuado de credenciales es necesario seguir ciertas normas, que se detallan a
continuación, en lo que se refiere a la creación, modificación y control de las contraseñas.
5.3.2. Creación y modificación de credenciales seguras
Con el fin de dificultar que usuarios sin autorización accedan a información para la que no tienen permiso,
las contraseñas han de ser robustas y difícilmente vulnerables. Para ello, se deben seguir ciertas reglas en la
creación de las contraseñas cuyo cumplimiento será verificado, siempre que sea posible, por el propio
sistema que gestione la creación y modificación de credenciales.
Estas reglas podrán variar de una aplicación o sistema a otro y, por lo general, se encontrarán encuadradas
bajo una o varias de las siguientes características:
a) Deben tener una longitud mínima determinada, normalmente 8 caracteres.
b) Deberán estar formadas por una combinación de caracteres alfanuméricos que incluyan una o
varias de las siguientes características en su formación:
o Letras mayúsculas
o Letras minúsculas
o Números
o Caracteres especiales (*, &, %, /, @, #, +, etc.)
c) Deben tener alguna propiedad determinada o responder a un formato concreto en su estructura.
En la actualidad se encuentra implantado en la Organización Central (ORGC), tanto para el acceso a la
Intranet como para la validación en el Dominio corporativo, un sistema de verificación del cumplimiento de
un conjunto de reglas para la creación y modificación de las credenciales de acceso al equipo de trabajo.
Adicionalmente a las reglas de validación que imponga el sistema o aplicación que gestione la creación y
modificación de contraseñas en cada caso, el Grupo Técnico de Seguridad de la Información elaborará una
Guía con pautas y recomendaciones a seguir para favorecer su robustez, seguridad y facilidad de
memorización, así como diversas estrategias para evitar la utilización de una misma contraseña para el
acceso a todos los sitios y recursos.
Los sistemas de gestión de contraseñas podrán imponer una validez temporal máxima, siendo necesario
modificarla antes de que expire. En el caso de que se produjese la expiración, el usuario afectado deberá
ponerse en contacto con el CAU en el caso de la ORGC, o con el personal TIC de su ICU.
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
11
Además de la modificación periódica obligatoria, podrá imponerse, según las capacidades técnicas
disponibles al efecto en cada ICU en particular, la obligatoriedad de que la nueva contraseña no sea igual a
ninguna de las últimas (N) contraseñas utilizadas.
Los sistemas de gestión de contraseñas podrán incorporar mecanismos de bloqueo automático de
contraseñas en el caso de que se produzca un determinado número de reintentos fallidos consecutivos,
para evitar que puedan prosperar los intentos de ataque por fuerza bruta.
Adicionalmente, se cambiará de forma inmediata la contraseña si se tienen sospechas de que su
confidencialidad ha podido ser comprometida o si, por algún motivo excepcional y sobradamente
justificado, se ha comunicado a una tercera persona.
En el caso de que exista sospecha de que las credenciales de un usuario para el acceso a los sistemas
corporativos han podido ser comprometidas se podrá bloquear la cuenta del usuario.
Si el usuario olvida la contraseña o se le ha bloqueado el acceso, bien por lo señalado en el párrafo anterior
o bien tras un número determinado de errores consecutivos, se deberá solicitar la creación de una nueva
contraseña. Si la aplicación dispone de un sistema de creación de contraseñas, se usará este método. En
otro caso, deberá contactar con el personal TIC correspondiente. En estos supuestos, habitualmente se
asignará una contraseña provisional que el usuario deberá cambiar necesariamente al realizar el primer
acceso.
5.3.3. Control de la seguridad de las credenciales
La unidad de seguridad TIC del CSIC podrá testear periódicamente la fortaleza de las contraseñas o
implantar mecanismos para detectar aquellas que puedan ser más vulnerables o para asegurar que son
creadas siguiendo unos patrones de robustez mínimos adecuados. En el caso de la ORGC este control se
realizará desde la SGAI. En el caso de los ICU, la tarea podrá recaer en el responsable de los servicios TIC
o personal TIC dependiente.
Cuando se detecte un problema con una contraseña, el propietario será informado
inmediatamente de ello debiendo sustituirla de inmediato por una nueva que disponga de las
necesarias garantías de fortaleza.
En el supuesto de que un usuario tuviese acceso a las credenciales de otro, bajo ningún
concepto deberá hacer uso de dichas credenciales suplantando su identidad, incluso aunque
disponga de la autorización de su titular.
Si un usuario tiene sospechas de que sus credenciales están siendo utilizadas por otra persona, debe
comunicar la incidencia de seguridad de manera inmediata a la SGAI o unidad TIC del ICU. Se recuerda que
la suplantación de identidad es un delito penal.
Ante una posible llamada, correo electrónico u otro medio procedente de cualquier remitente solicitando
las credenciales (nombre de usuario y/o contraseña) se actuará del siguiente modo:
a) no se facilitarán los datos solicitados
b) no se responderá
c) se comunicará el hecho a la SGAI de manera inmediata ([email protected])
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
MINISTERIO
DE CIENCIA, INNOVACIÓN Y UNIVERSIDADES
12
Por su parte, ninguna persona o unidad perteneciente al CSIC deberá solicitar las credenciales de acceso a
los recursos por lo que, recíprocamente, ningún usuario podrá recibir una petición para que las facilite.
Si los servicios TIC detectan un uso fraudulento de credenciales, deberán informar inmediatamente a su
propietario y, según la gravedad de la acción, podrán suspender temporalmente el acceso a los recursos de
la cuenta afectada hasta que se subsane el problema. Tras el aviso, el usuario deberá proceder al cambio de
contraseña de forma inmediata y realizar, si fuera necesario, otras acciones indicadas por los servicios TIC
en función de las particularidades de cada caso concreto, siempre velando por la seguridad global de la red
y los recursos internos, sin perjuicio de la necesaria salvaguarda en todo momento de los derechos del
usuario.
Cód
igo
segu
ro d
e V
erifi
caci
ón :
GE
N-c
b41-
6eb6
-394
d-c5
be-2
2dd-
9c51
-847
0-1e
67 |
Pue
de v
erifi
car
la in
tegr
idad
de
este
doc
umen
to e
n la
sig
uien
te d
irecc
ión
: http
s://p
orta
firm
as.r
edsa
ra.e
s
CSV : GEN-cb41-6eb6-394d-c5be-22dd-9c51-8470-1e67
DIRECCIÓN DE VALIDACIÓN : https://portafirmas.redsara.es
FIRMANTE(1) : CLARA CALA RIVERO | FECHA : 22/05/2019 13:05 | NOTAS : F
Top Related