Política de contraseñas

Procedimiento administrativo 7.102

Propósito

La finalidad de este procedimiento es:

  • reducir el riesgo de exposición de información confidencial garantizando la seguridad de las contraseñas, y
  • mantener un alto nivel de confianza en una contraseña como medio para identificar a un usuario individual.

Las contraseñas son la capa más importante de protección de la información confidencial. La información almacenada electrónicamente corre un riesgo importante porque puede ser accesible desde una gran variedad de lugares y puede copiarse rápida y silenciosamente. Las contraseñas identifican a un empleado y le dan acceso a la información. Una contraseña insegura aumenta enormemente el riesgo de acceso no autorizado a información confidencial. Debido a este riesgo, todos los usuarios de los sistemas electrónicos seguros de los empleados en Elgin Community College (ECC) son responsables de elegir contraseñas seguras y mantenerlas salvaguardadas en todo momento.

Ámbito de aplicación y definiciones

Esta política se aplica a cualquier usuario que acceda electrónicamente a información no pública propiedad de ECC o almacenada por ECC. Un usuario es cualquier administrador, facultad, personal, empleado, contratista, consultor, auditor, pasante, estudiante asistente o socio. Un sistema electrónico seguro para empleados es cualquier sistema que no sea público, que contenga información confidencial o cuyo uso deba restringirse o supervisarse.

Requisitos de complejidad de las contraseñas

Estos requisitos se aplican siempre que sea técnicamente posible. La persona es responsable en última instancia de elegir una contraseña que cumpla los requisitos y de seguir cumpliéndolos, aunque el sistema no los aplique electrónicamente.

  • Las contraseñas deben cambiarse cada 180 días
  • Una contraseña utilizada anteriormente no puede reutilizarse posteriormente.
  • Las contraseñas deben tener 12 caracteres o más.
  • Las contraseñas deben contener los 4 tipos de caracteres siguientes:
    • Letras mayúsculas (por ejemplo, N)
    • Letras minúsculas (por ejemplo, b)
    • Dígitos (por ejemplo, del 0 al 9)
    • Symbols (e.g. # ; ! < & *)

Las contraseñas no deben basarse en información personal del usuario o de sus amigos, familiares o mascotas. (por ejemplo, nombre, cumpleaños, dirección, número de teléfono, número de la seguridad social). 

Requisitos de protección mediante contraseña

  • Las contraseñas deben ser conocidas por el propietario individual, y no por otras personas. Ningún usuario debe hablar, escribir o transmitir su contraseña a otra persona, incluidos administradores, superiores, compañeros de trabajo, amigos y familiares, bajo ninguna circunstancia.
  • Si un usuario no tiene acceso a un sistema o a la información necesaria para su trabajo, debe ser autorizado y se le debe conceder acceso específicamente a él.
  • El personal del servicio de asistencia puede tener que solucionar problemas que sólo se producen con el ID y la contraseña de un usuario específico. En estos casos, el usuario debe estar presente para escribir la contraseña y supervisar el uso del ID. En última instancia, el usuario es responsable de cualquier acción realizada con ese ID.
  • Si un usuario sabe o sospecha que su contraseña ha sido comprometida, debe notificarlo inmediatamente al Departamento de Operaciones de Red y cambiar la contraseña de inmediato.
  • Las contraseñas no deben transmitirse sin cifrar a través de Internet, por ejemplo por correo electrónico.
  • Ningún usuario debe conservar un registro escrito no seguro de sus contraseñas, ya sea en papel o en un archivo electrónico. Si resulta necesario conservar un registro de una contraseña, debe guardarse en un archivador cerrado con llave, o en un archivo cifrado si está en formato electrónico.
  • No utilice la función "Recordar contraseña" de las aplicaciones.
  • Las contraseñas de un usuario en los sistemas del Colegio no deben ser idénticas o similares a las contraseñas utilizadas en sistemas ajenos al Colegio, como servicios en línea, foros web, banca en línea o suscripciones a boletines informativos.
  • El Departamento de Operaciones de Red puede intentar descifrar o adivinar las contraseñas de los usuarios como parte de su proceso continuo de auditoría de vulnerabilidades de seguridad. Si se descifra o adivina una contraseña durante una de estas auditorías, se pedirá al usuario que cambie su contraseña inmediatamente.

Esta política se revisó por última vez el 31/08/2023.

Imprimir página