Además de las Normas generales aplicables a todos los servicios y recursos de la US, el usuario debe conocer las normas específicas de acceso local y remoto.
1. Acceso local
Se considera acceso local al realizado desde puestos de trabajo dentro de las propias instalaciones de la organización a través de las redes corporativas de la Universidad (cableada o inalámbrica). De acuerdo con nivel de las dimensiones de seguridad de los SI de la US, aplican las siguientes medidas:
- La configuración de los SI debe prevenir la revelación de información acerca de los servidores o servicios cuando aún no se ha accedido a los mismos.
- La información revelada a quien intenta acceder a los servicios debe ser la mínima imprescindible: los diálogos de acceso proporcionarán solamente la información indispensable.
- Se configurarán debidamente los mensajes de error de las aplicaciones para limitar la información que se ofrece al usuario sobre el servicio prestado.
- Siempre que sea posible, el número de intentos de acceso permitidos a los SI de la US será limitado, bloqueando la oportunidad de acceso una vez efectuados un cierto número de fallos consecutivos.
- Se registrarán los accesos con éxito y los fallidos.
- Siempre que sea posible, se informará al usuario del último acceso efectuado con su identidad.
- Siempre que sea posible el sistema informará al usuario de sus obligaciones inmediatamente después de obtener el acceso.
2. Acceso remoto
Se considera acceso remoto al realizado desde fuera de las propias instalaciones de la organización, a través de redes de terceros.
El acceso desde fuera de las instalaciones de la US conlleva el riesgo de trabajar en entornos de acceso desprotegidos, esto es, sin las barreras de seguridad físicas y lógicas implementadas en las instalaciones de la US. Fuera de este perímetro de seguridad aumentan las vulnerabilidades y la probabilidad de materialización de las amenazas, por lo que se hace necesario adoptar medidas de seguridad adicionales que aseguren la confidencialidad, autenticidad e integridad de la información.
Además de estas medidas de seguridad de acceso local, la US aplica las siguientes medidas:
- Prevención de ataques activos desde el exterior, garantizando que al menos serán detectados y que se activarán los procedimientos previstos en el tratamiento de un incidente de seguridad. Los ataques activos incluyen:
- La alteración de la información en tránsito.
- La inyección de información espuria.
- El secuestro de la sesión por una tercera parte.
- Para asegurar la autenticidad del otro extremo de un canal de comunicación antes de intercambiar información es obligatorio el uso de contraseñas acordes a la Política de Contraseñas de la US.
- Uso de redes privadas virtuales (VPN) teniendo en cuenta las siguientes consideraciones:
- Siempre que sea posible, la autenticación del usuario se realizará en el directorio corporativo de la US mediante mecanismos que no gestionen directamente las contraseñas (sistema de autenticación centralizada Single Sign On o SSO)
- Cerrar siempre la sesión al terminar el trabajo.
- Bloquear siempre la sesión, ante cualquier ausencia temporal, aunque sea por poco espacio de tiempo. [por defecto el administrador del sistema establecerá una política de bloqueo en todos los equipos]
- Uso de algoritmos acreditados por el Centro Criptológico Nacional (en adelante CCN)
Cuando la conexión desde el exterior se realice con equipos portátiles corporativos, el usuario tendrá en cuenta:
- Que dichos equipos son para uso exclusivo del trabajador y sólo serán utilizados para fines profesionales. No deben prestarse a terceros salvo autorización expresa que incluirá, en todo caso, la definición de las condiciones de uso.
- Que es necesario aplicar las medidas de seguridad indicadas en la Arquitectura de Seguridad y, de forma más específica, en la Normativa de uso de portátiles corporativos para utilizar el equipo en el acceso a recursos o sistemas de información de la US o en el tratamiento de la información de la Universidad.
Si la conexión se realiza desde equipos de trabajo personales que no estén bajo la responsabilidad de la US, los usuarios deben considerar que los equipos estén configurados con los requisitos de software necesarios que permiten trabajar en los mismos entornos y versiones que requieren los SI de la US.
En cualquier caso, los equipos desde los que se realiza la conexión remota deben disponer de las siguientes medidas de seguridad, estén o no bajo la responsabilidad del SIC:
- Antivirus instalado y actualizado junto con sus patrones de virus.
- Cortafuegos activado.
- Versión del sistema operativo actualizada con los últimos parches de seguridad.
- Copias de seguridad periódicas de la información contenida en los equipos. Es necesario adoptar las medidas adecuadas para la protección de dichas copias.
Cuando el acceso remoto a los servicios internos de la US se realice vía Web, se aplicarán las siguientes medidas de seguridad:
- Los navegadores utilizados deben estar adecuados a las versiones oficiales que dan cobertura a los sistemas de la US, así como tener los parches de seguridad correspondientes instalados y configurados.
- Una vez finalizada la sesión web, es obligatoria la desconexión con el servidor mediante un proceso que elimine la posibilidad de reutilización de la sesión cerrada.
- Desactivar las características de recordar contraseñas en el navegador.
- Activar la opción de borrado automático al cierre del navegador de la información sensible registrada por el mismo: histórico de navegación, descargas, formularios, caché, cookies, contraseñas, sesiones autenticadas, etc.
- No instalar addons (extensiones) para el navegador que puedan alterar el normal funcionamiento de las aplicaciones.
3. Cumplimiento de las normativas internas
Durante la actividad profesional fuera de las instalaciones de la US se seguirán las políticas, normativas, procedimientos y recomendaciones internas existentes en la US.
Acceso a la normativa vigente completa
Normativa acceso local y remoto a tecnologías de la información de la Universidad de Sevilla.
