Capitulo 1: Gestion de contrasenas
La contrasena es la primera linea de defensa de su cuenta. Una contrasena debil o comprometida puede dar acceso a datos municipales sensibles.
Requisitos de contrasena
El sistema exige contrasenas que cumplan:
- Minimo 12 caracteres (recomendado 16+)
- Al menos una letra mayuscula
- Al menos una letra minuscula
- Al menos un numero
- Al menos un caracter especial (!@#$%^&*)
- No puede contener su nombre, apellidos o TIP
- No puede ser igual a las ultimas 12 contrasenas usadas
- No puede estar en la lista de contrasenas comprometidas conocidas
Buenas practicas
- Use frases de contrasena en lugar de palabras (ej: 'MiPerro#Tiene4Patas!')
- No reutilice contrasenas de otros servicios
- No comparta su contrasena con nadie, ni siquiera superiores
- No la apunte en post-its ni lugares visibles
- Use un gestor de contrasenas si lo necesita
- Cambiela inmediatamente si sospecha que esta comprometida
Caducidad de contrasenas
Las contrasenas caducan cada 90 dias. El sistema le avisara 7 dias antes. Al caducar, debera cambiarla obligatoriamente para acceder.
Capitulo 2: Autenticacion en dos pasos (2FA)
El sistema requiere autenticacion en dos factores para mayor seguridad. Ademas de su contrasena, necesitara un segundo factor:
Metodos disponibles
- Aplicacion autenticadora: Google Authenticator, Microsoft Authenticator, Authy. Genera codigos de 6 digitos cada 30 segundos.
- SMS: Recibe codigo por mensaje de texto (menos seguro, no recomendado)
- Llave de seguridad: Dispositivo USB/NFC tipo YubiKey (mas seguro)
Configurar 2FA
- Mi perfil > Seguridad > Configurar 2FA
- Seleccione el metodo preferido
- Si elige app autenticadora: escanee el codigo QR
- Introduzca el codigo generado para verificar
- Guarde los codigos de recuperacion en lugar seguro
Proteccion del puesto de trabajo
Su puesto de trabajo (ordenador, tablet, movil) debe estar protegido para evitar accesos no autorizados.
Bloqueo de pantalla
- Active el bloqueo automatico tras 5 minutos de inactividad
- Bloquee manualmente al ausentarse (Windows+L en PC)
- No deje la sesion abierta y desatendida
- Cierre sesion al terminar la jornada
Dispositivos moviles
- Use PIN de al menos 6 digitos o biometria
- Active el cifrado del dispositivo
- No instale apps de fuentes desconocidas
- Mantenga el sistema operativo actualizado
- Active la localizacion remota por si lo pierde
- Si pierde el dispositivo, notifiquelo inmediatamente
Uso en lugares publicos
- No acceda al sistema desde redes WiFi publicas
- Use VPN si necesita acceder desde fuera
- Evite que miren su pantalla (shoulder surfing)
- No deje documentos impresos abandonados
Phishing y ingenieria social
Los ataques de phishing intentan enganarle para que revele sus credenciales o instale malware.
Como identificar phishing
- Remitente sospechoso o que imita direcciones legitimas
- Urgencia excesiva ('Su cuenta sera bloqueada')
- Enlaces que no coinciden con el texto mostrado
- Errores gramaticales u ortograficos
- Solicitud de contrasenas o datos personales
- Adjuntos inesperados o sospechosos
Que hacer ante sospecha
- No haga clic en ningun enlace
- No descargue ni abra adjuntos
- No responda al mensaje
- Verifique por otro canal si es legitimo
- Reporte el intento a informatica/seguridad
- Elimine el mensaje
Ingenieria social telefonica
Nunca proporcione su contrasena por telefono, aunque el interlocutor diga ser de informatica o un superior. El personal de soporte nunca le pedira su contrasena. Si recibe una llamada sospechosa, cuelgue y llame usted al numero oficial de soporte.
Incidentes de seguridad
Debe reportar inmediatamente cualquier incidente de seguridad detectado.
Que reportar
- Sospecha de que su cuenta ha sido comprometida
- Accesos no reconocidos (revise su historial de sesiones)
- Perdida o robo de dispositivos con acceso al sistema
- Correos de phishing recibidos
- Comportamiento inusual del sistema
- Cualquier brecha de datos detectada
Como reportar
- Inmediatamente: Comuniquelo a su superior y al responsable de seguridad
- Si es urgente (cuenta comprometida): Llame al telefono de emergencias de seguridad
- Documente todo: Que ha ocurrido, cuando, que ha hecho
- No intente 'arreglarlo' usted mismo
- Colabore con la investigacion posterior
Consecuencias de negligencia
El incumplimiento de las normas de seguridad puede suponer:
- Responsabilidad disciplinaria
- Responsabilidad civil por danos causados
- Responsabilidad penal si hay revelacion de secretos o acceso indebido
Los logs de auditoria registran todas las acciones. No es posible actuar de forma anonima.
Historial de sesiones
El sistema registra todas sus sesiones para que pueda detectar accesos no autorizados.
Consultar historial
Mi perfil > Seguridad > Historial de sesiones. Vera:
- Fecha y hora de cada acceso
- Direccion IP desde la que accedio
- Navegador y sistema operativo
- Ubicacion aproximada
- Duracion de la sesion
Detectar accesos sospechosos
Revise su historial periodicamente. Sospeche si ve:
- Accesos a horas inusuales (madrugada)
- Accesos desde IPs o ubicaciones desconocidas
- Accesos desde dispositivos que no reconoce
- Multiples sesiones simultaneas
Si detecta algo sospechoso, cambie su contrasena inmediatamente y reportelo.
Cerrar sesiones activas
Puede cerrar remotamente cualquier sesion activa desde Mi perfil > Seguridad > Cerrar otras sesiones. Util si olvido cerrar sesion en otro dispositivo.
Historial de cambios
- Version inicial de la guia de seguridad
- Requisitos y buenas practicas de contrasenas
- Configuracion de autenticacion 2FA
- Proteccion del puesto de trabajo
- Prevencion de phishing
- Reporte de incidentes