Universidad Católica Boliviana “San Pablo” Centro de Sistemas de Información ADMINISTRACIÓN DE CONTRASEÑAS DE ACCESO, PERFILES Y ROLES DE USUARIO Unidad Académica de La Paz La Universidad Católica Boliviana “San Pablo” cuenta con varios sistemas de información que se conectan con una base de datos integrada y a la cual acceden los usuarios a través de las distintas aplicaciones. Existen políticas para el control de acceso a los sistemas de información y otras aplicaciones, en las cuales quedan perfectamente establecidos los niveles de accesos y funciones de los usuarios, con el propósito de reducir el riesgo que los usuarios tengan más accesos de los que deberían según sus funciones (alta, baja, modificación, reportes, consultas, etc.). Al estar los accesos bien definidos, los perfiles de usuarios que se manejan son estándar y por lo tanto revisiones periódicas se hacen innecesarias. Sin embargo, cuando hay cambios de procesos, cambios de personal o asignación de nuevas contraseñas a todo el personal de la UCB, se revisa que los roles se mantengan como se han definido en la puesta en producción de cada sistema de información. A continuación se enuncian las políticas y la forma de definición de roles para los sistemas de información: Políticas de seguridad y control de accesos Para el acceso a los diferentes sistemas es necesario que cada usuario tenga un nombre de usuario en el Oracle, con roles específicos definidos para cada sistema. • • Cada usuario a su vez debe estar registrado en la tabla de usuarios donde tiene asignado un rol, que es validado desde el programa donde se le habilitan los módulos correspondientes a ese rol. En cada sistema se tienen definidas opciones que, según la estructura funcional de la unidad, permiten el acceso por niveles a cada sistema. Control de acceso a la Información Algunos No usuarios o extraños (personal no autorizado) pueden encontrar alguna forma mediante la cual logren el acceso al sistema o la base de datos y descubrir información clasificada o datos no autorizados. Para contrarrestar este problema se dispone de: Programas de control y de contraseñas de acceso. La identificación de un individuo debe ser muy difícil de imitar y copiar. Aunque su nombre pueda ser único, es fácil que cualquiera que observe a quienes tienen acceso al sistema lo copie, por lo que no es una clave adecuada. 1 Universidad Católica Boliviana “San Pablo” Centro de Sistemas de Información A fin de proteger el proceso de obtención de una llave del sistema, cuando el usuario realiza la entrada (en inglés LOGIN), solicita una clave de acceso con el nombre del usuario, la cual consiste de unas cuantas letras elegidas por el usuario. Un intruso puede intentar descubrirla de dos maneras: una, observando el ingreso de la clave y otra, utilizando un método de ensayo y error para introducir posibles claves de acceso y lograr entrar. Para evitar la posibilidad de que el intruso averigüe la clave, el sistema se cierra después que un individuo no autorizado falla dos veces al intentar ingresar una clave de acceso y se registran los intentos en la base de datos. Las claves de acceso no deben ser muy largas, puesto que son más difíciles de recordar. Niveles de Acceso. Los programas de control de acceso deberán identificar a los usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que existen en los niveles de acceso se refieren a la lectura o modificación en sus diferentes formas. De acuerdo a ello se tienen los siguientes niveles de acceso a la información: v Nivel de consulta de la información no restringida o reservada. v Nivel de mantenimiento de la información no restringida o reservada. v Nivel de consulta de la información incluyendo la restringida o reservada. v Nivel de mantenimiento de la información incluyendo la restringida. a) Nivel de consulta de la información El privilegio de lectura está disponible para cualquier usuario y sólo se requiere un conocimiento de la estructura de los datos para lograr el acceso. La autorización de lectura permite leer pero no modificar la base de datos. b) Nivel de mantenimiento de la información El concepto de mantenimiento de la información consiste en: Ingreso. Permite insertar datos nuevos pero no se modifica los ya existentes. Actualización. Permite modificar la información pero no la eliminación de datos. Borrado. Permite la eliminación de datos. Un usuario puede tener asignados todos, ninguno o una combinación de los tipos de autorización anteriores. Además de las formas de autorización de acceso de datos antes mencionados, es posible autorizar al usuario para que modifique el esquema de la base de datos, pero es preferible que esta función sea de responsabilidad del Centro de Sistemas de Información. 2 Universidad Católica Boliviana “San Pablo” Centro de Sistemas de Información Cada palabra clave debe tener asignado uno de los niveles de acceso a la información mencionados anteriormente. La forma fundamental de autoridad es la que se le da al administrador de la base de datos, que entre otras cosas puede autorizar nuevos usuarios, reestructurar la base de datos, etc. Esta forma de autorización es análoga a la que se provee a un "super usuario" o al operador para un sistema operativo. Roles definidos en el sistema • • Administrador: Acceso total a todos los módulos Consulta: Acceso a Consultas e Informes Para el sistema Contable: • • • Contador General o Acceso a Datos Base: cuentas, subcuentas (contables, entidades y personas) y documentos. o Acceso a Transacciones: Manuales y Cierre Anual (Cierre de cuentas de Resultado, Actualización de Tipo de cambio y Reporte de Errores). o Acceso a Consultas e Informes (todos). Asistentes y Auxiliares contables: o Acceso a Datos Base: cuentas, subcuentas (entidades) y documentos. o Acceso a Transacciones: Manuales. o Acceso a Consultas e Informes (compras IVA y otros según requerimiento). Director Financiero o Acceso a Datos Base: cuentas, subcuentas (contables, entidades y personas) y documentos. o Acceso a Transacciones: Manuales y Cierre Anual (Cierre de cuentas de Resultado, Actualización de Tipo de cambio y Reporte de Errores. o Acceso a Consultas e Informes (todos). Para el Sistema Académico: • Secretaria Académica o Acceso a Datos Base: Personas, Notas, Paralelos. o Acceso a Transacciones: Ninguna o Acceso a Consultas y Reportes (Datos personales y académicos del alumno, kardex, etc. reportes de Alumnos inscritos, Casos especiales y Reportes de la Programación Académica de todas las Carreras). • Decano de Facultad o Acceso a Datos Base: Personas, Notas, Paralelos, Aulas. o Acceso a Transacciones: Convalidación de materias, Edición de notas de las materias de la Facultad. 3 Universidad Católica Boliviana “San Pablo” Centro de Sistemas de Información o Acceso a Consultas y Reportes (Datos personales y académicos del alumno, kardex, etc. reportes de Alumnos inscritos, Casos especiales y Reportes de la Programación Académica y Paralelos de la Facultad, Aulas, Estadísticas). • Director de Departamento o Acceso a Datos Base: Personas, Notas, Paralelos, Aulas. o Acceso a Transacciones: Convalidación de materias, Notas de otras Regionales, Edición de notas de las materias del Departamento. o Acceso a Consultas y Reportes (Datos personales y académicos del alumno, kardex, etc. reportes de Alumnos inscritos, Casos especiales y Reportes de la Programación Académica y Paralelos del Departamento, Aulas, Estadísticas). • Secretaria de Departamento o Acceso a Datos Base: Personas, Notas, Paralelos. o Acceso a Transacciones: Convalidación de materias, Notas de otras Regionales, Finalización académica, Edición de notas de las materias del Departamento. o Acceso a Consultas y Reportes (Datos personales y académicos del alumno, kardex, etc. reportes de Alumnos inscritos, Casos especiales y Reportes de la Programación Académica y Paralelos del Departamento). • Admisiones y Orientación o Acceso a Datos Base: Personas, Paralelos. o Acceso a Transacciones: Inscripción de alumnos nuevos, Inserción de personas y datos. o Acceso a Consultas y Reportes (Datos personales y académicos del alumno, kardex, etc. reportes de Alumnos inscritos y Programación Académica). Asignación o cambio de contraseñas, perfiles o roles de usuarios En caso de ser necesaria la asignación de usuario y contraseña a un nuevo empelado de la UCB, el procedimiento general que debe seguirse es el siguiente: 1. El Director de Recursos Humanos de la Universidad enviará una nota escrita al Centro de Sistemas de Información indicando los datos del nuevo usuario y el departamento en el cual se incorpora. 2. La solicitud autorizada será procesada por el Administrador de la Base de Datos del Centro de Sistemas de Información, tomando en cuenta los perfiles y roles establecidos en el o los sistemas de información que el nuevo usuario utilizará. 3. El Administrador de la Base de datos emitirá un documento con las instrucciones y el nombre de usuario y contraseña del nuevo empleado y se lo entregará en forma personal. 4. Se concertará una reunión de capacitación entre el encargado de producción de el o los sistemas de información que el nuevo usuario utilizará. 4 Universidad Católica Boliviana “San Pablo” Centro de Sistemas de Información En el caso de la modificación o baja de usuarios, contraseñas, perfiles de usuario o roles, el procedimiento será similar al anterior con la particularidad de que la autorización para cambio de perfiles o roles debe además incluir la firma del encargado del área; es decir, Secretaría Académica para temas del área académica y Vicerrectorado Nacional para temas administrativos. Políticas de Administración de contraseñas Debido a la posibilidad de accesos no autorizados por divulgación de contraseñas y riesgos similares, el Centro de Sistemas de Información realizará procesos de cambio de contraseñas a todos los usuarios de la UCB. 1. Una vez cada semestre, cada usuario deberá cambiar su contraseña de acceso a las aplicaciones y/o sistemas de información que se conectan a la base de datos. Un control del Administrador de Base de datos Oracle hará posible que se comunique al usuario que debe realizar este cambio por la proximidad de la caducidad de su actual contraseña. En el Sistema Académico existe la opción de cambiar contraseña y se debe implementar esta opción en los demás sistemas de información de la UCB. 2. El Centro de Sistemas realizará la reasignación de códigos telefónicos una vez cada semestre. 3. El password de usuario de dominio debe ser cambiado por el mismo usuario cada 6 meses. Mientras el usuario no cambie la contraseña el sistema se lo recuerda a partir de 15 días antes que la misma caduque. 5