perfiles contraseñas y roles

Anuncio
Universidad Católica Boliviana “San Pablo”
Centro de Sistemas de Información
ADMINISTRACIÓN DE CONTRASEÑAS DE ACCESO,
PERFILES Y ROLES DE USUARIO
Unidad Académica de La Paz
La Universidad Católica Boliviana “San Pablo” cuenta con varios sistemas de
información que se conectan con una base de datos integrada y a la cual acceden los
usuarios a través de las distintas aplicaciones.
Existen políticas para el control de acceso a los sistemas de información y otras
aplicaciones, en las cuales quedan perfectamente establecidos los niveles de accesos
y funciones de los usuarios, con el propósito de reducir el riesgo que los usuarios
tengan más accesos de los que deberían según sus funciones (alta, baja,
modificación, reportes, consultas, etc.).
Al estar los accesos bien definidos, los perfiles de usuarios que se manejan son
estándar y por lo tanto revisiones periódicas se hacen innecesarias. Sin embargo,
cuando hay cambios de procesos, cambios de personal o asignación de nuevas
contraseñas a todo el personal de la UCB, se revisa que los roles se mantengan como
se han definido en la puesta en producción de cada sistema de información.
A continuación se enuncian las políticas y la forma de definición de roles para los
sistemas de información:
Políticas de seguridad y control de accesos
Para el acceso a los diferentes sistemas es necesario que cada usuario tenga un
nombre de usuario en el Oracle, con roles específicos definidos para cada sistema.
•
•
Cada usuario a su vez debe estar registrado en la tabla de usuarios donde
tiene asignado un rol, que es validado desde el programa donde se le
habilitan los módulos correspondientes a ese rol.
En cada sistema se tienen definidas opciones que, según la estructura
funcional de la unidad, permiten el acceso por niveles a cada sistema.
Control de acceso a la Información
Algunos No usuarios o extraños (personal no autorizado) pueden encontrar alguna
forma mediante la cual logren el acceso al sistema o la base de datos y descubrir
información clasificada o datos no autorizados.
Para contrarrestar este problema se dispone de: Programas de control y de
contraseñas de acceso.
La identificación de un individuo debe ser muy difícil de imitar y copiar. Aunque su
nombre pueda ser único, es fácil que cualquiera que observe a quienes tienen acceso
al sistema lo copie, por lo que no es una clave adecuada.
1
Universidad Católica Boliviana “San Pablo”
Centro de Sistemas de Información
A fin de proteger el proceso de obtención de una llave del sistema, cuando el usuario
realiza la entrada (en inglés LOGIN), solicita una clave de acceso con el nombre del
usuario, la cual consiste de unas cuantas letras elegidas por el usuario.
Un intruso puede intentar descubrirla de dos maneras: una, observando el ingreso de
la clave y otra, utilizando un método de ensayo y error para introducir posibles claves
de acceso y lograr entrar.
Para evitar la posibilidad de que el intruso averigüe la clave, el sistema se cierra
después que un individuo no autorizado falla dos veces al intentar ingresar una clave
de acceso y se registran los intentos en la base de datos. Las claves de acceso no
deben ser muy largas, puesto que son más difíciles de recordar.
Niveles de Acceso. Los programas de control de acceso deberán identificar a los
usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de
acceso. Las distinciones que existen en los niveles de acceso se refieren a la lectura o
modificación en sus diferentes formas.
De acuerdo a ello se tienen los siguientes niveles de acceso a la información:
v Nivel de consulta de la información no restringida o reservada.
v Nivel de mantenimiento de la información no restringida o reservada.
v Nivel de consulta de la información incluyendo la restringida o reservada.
v Nivel de mantenimiento de la información incluyendo la restringida.
a) Nivel de consulta de la información
El privilegio de lectura está disponible para cualquier usuario y sólo se requiere un
conocimiento de la estructura de los datos para lograr el acceso.
La autorización de lectura permite leer pero no modificar la base de datos.
b) Nivel de mantenimiento de la información
El concepto de mantenimiento de la información consiste en:
Ingreso. Permite insertar datos nuevos pero no se modifica los ya existentes.
Actualización. Permite modificar la información pero no la eliminación de datos.
Borrado. Permite la eliminación de datos.
Un usuario puede tener asignados todos, ninguno o una combinación de los tipos de
autorización anteriores. Además de las formas de autorización de acceso de datos
antes mencionados, es posible autorizar al usuario para que modifique el esquema de
la base de datos, pero es preferible que esta función sea de responsabilidad del
Centro de Sistemas de Información.
2
Universidad Católica Boliviana “San Pablo”
Centro de Sistemas de Información
Cada palabra clave debe tener asignado uno de los niveles de acceso a la información
mencionados anteriormente.
La forma fundamental de autoridad es la que se le da al administrador de la base de
datos, que entre otras cosas puede autorizar nuevos usuarios, reestructurar la base de
datos, etc. Esta forma de autorización es análoga a la que se provee a un "super
usuario" o al operador para un sistema operativo.
Roles definidos en el sistema
•
•
Administrador: Acceso total a todos los módulos
Consulta: Acceso a Consultas e Informes
Para el sistema Contable:
•
•
•
Contador General
o Acceso a Datos Base: cuentas, subcuentas (contables, entidades y
personas) y documentos.
o Acceso a Transacciones: Manuales y Cierre Anual (Cierre de cuentas
de Resultado, Actualización de Tipo de cambio y Reporte de Errores).
o Acceso a Consultas e Informes (todos).
Asistentes y Auxiliares contables:
o Acceso a Datos Base: cuentas, subcuentas (entidades) y documentos.
o Acceso a Transacciones: Manuales.
o Acceso
a Consultas e Informes (compras IVA y otros según
requerimiento).
Director Financiero
o Acceso a Datos Base: cuentas, subcuentas (contables, entidades y
personas) y documentos.
o Acceso a Transacciones: Manuales y Cierre Anual (Cierre de cuentas
de Resultado, Actualización de Tipo de cambio y Reporte de Errores.
o Acceso a Consultas e Informes (todos).
Para el Sistema Académico:
•
Secretaria Académica
o Acceso a Datos Base: Personas, Notas, Paralelos.
o Acceso a Transacciones: Ninguna
o Acceso a Consultas y Reportes (Datos personales y académicos del
alumno, kardex, etc. reportes de Alumnos inscritos, Casos especiales y
Reportes de la Programación Académica de todas las Carreras).
•
Decano de Facultad
o Acceso a Datos Base: Personas, Notas, Paralelos, Aulas.
o Acceso a Transacciones: Convalidación de materias, Edición de notas
de las materias de la Facultad.
3
Universidad Católica Boliviana “San Pablo”
Centro de Sistemas de Información
o
Acceso a Consultas y Reportes (Datos personales y académicos del
alumno, kardex, etc. reportes de Alumnos inscritos, Casos especiales y
Reportes de la Programación Académica y Paralelos de la Facultad,
Aulas, Estadísticas).
•
Director de Departamento
o Acceso a Datos Base: Personas, Notas, Paralelos, Aulas.
o Acceso a Transacciones: Convalidación de materias, Notas de otras
Regionales, Edición de notas de las materias del Departamento.
o Acceso a Consultas y Reportes (Datos personales y académicos del
alumno, kardex, etc. reportes de Alumnos inscritos, Casos especiales y
Reportes de la Programación Académica y Paralelos del Departamento,
Aulas, Estadísticas).
•
Secretaria de Departamento
o Acceso a Datos Base: Personas, Notas, Paralelos.
o Acceso a Transacciones: Convalidación de materias, Notas de otras
Regionales, Finalización académica, Edición de notas de las materias
del Departamento.
o Acceso a Consultas y Reportes (Datos personales y académicos del
alumno, kardex, etc. reportes de Alumnos inscritos, Casos especiales y
Reportes de la Programación Académica y Paralelos del
Departamento).
•
Admisiones y Orientación
o Acceso a Datos Base: Personas, Paralelos.
o Acceso a Transacciones: Inscripción de alumnos nuevos, Inserción de
personas y datos.
o Acceso a Consultas y Reportes (Datos personales y académicos del
alumno, kardex, etc. reportes de Alumnos inscritos y Programación
Académica).
Asignación o cambio de contraseñas, perfiles o roles de usuarios
En caso de ser necesaria la asignación de usuario y contraseña a un nuevo empelado
de la UCB, el procedimiento general que debe seguirse es el siguiente:
1. El Director de Recursos Humanos de la Universidad enviará una nota
escrita al Centro de Sistemas de Información indicando los datos del nuevo
usuario y el departamento en el cual se incorpora.
2. La solicitud autorizada será procesada por el Administrador de la Base de
Datos del Centro de Sistemas de Información, tomando en cuenta los
perfiles y roles establecidos en el o los sistemas de información que el
nuevo usuario utilizará.
3. El Administrador de la Base de datos emitirá un documento con las
instrucciones y el nombre de usuario y contraseña del nuevo empleado y se
lo entregará en forma personal.
4. Se concertará una reunión de capacitación entre el encargado de
producción de el o los sistemas de información que el nuevo usuario
utilizará.
4
Universidad Católica Boliviana “San Pablo”
Centro de Sistemas de Información
En el caso de la modificación o baja de usuarios, contraseñas, perfiles de usuario o
roles, el procedimiento será similar al anterior con la particularidad de que la
autorización para cambio de perfiles o roles debe además incluir la firma del
encargado del área; es decir, Secretaría Académica para temas del área académica y
Vicerrectorado Nacional para temas administrativos.
Políticas de Administración de contraseñas
Debido a la posibilidad de accesos no autorizados por divulgación de contraseñas y
riesgos similares, el Centro de Sistemas de Información realizará procesos de cambio
de contraseñas a todos los usuarios de la UCB.
1. Una vez cada semestre, cada usuario deberá cambiar su contraseña de acceso a
las aplicaciones y/o sistemas de información que se conectan a la base de datos.
Un control del Administrador de Base de datos Oracle hará posible que se
comunique al usuario que debe realizar este cambio por la proximidad de la
caducidad de su actual contraseña. En el Sistema Académico existe la opción de
cambiar contraseña y se debe implementar esta opción en los demás sistemas de
información de la UCB.
2. El Centro de Sistemas realizará la reasignación de códigos telefónicos una vez
cada semestre.
3. El password de usuario de dominio debe ser cambiado por el mismo usuario cada
6 meses. Mientras el usuario no cambie la contraseña el sistema se lo recuerda a
partir de 15 días antes que la misma caduque.
5
Descargar