POLÍTICA DE CONTROL DE ACCESO
Política de Control de acceso
1Objetivo
El objetivo de esta política es establecer los principios y procedimientos para garantizar un acceso seguro y controlado a los sistemas de información y plataformas corporativas de la organización.
2Alcance
Esta política se aplica a todos los empleados, contratistas y terceros que acceden a los sistemas de información y plataformas corporativas de la organización.
3Controles Cubiertos
La presente política cubre los siguientes controles ISO 27002-2022
5.15 Control de acceso
5.16 Gestión de la identidad
5.17 Información de autentificación
5.18 Derechos de acceso
5.15 Control de acceso
5.16 Gestión de la identidad
5.17 Información de autentificación
5.18 Derechos de acceso
4Responsabilidades
Jefatura de Área: Responsable de solicitar acceso a las plataformas corporativas.
Área de RRHH: Responsable de solicitar y validar la información personal de los nuevos colaboradores para garantizar su identidad y antecedentes antes de otorgar acceso a las plataformas.
Equipo de Seguridad de la Información: Responsable de establecer y mantener la presente política.
Usuarios: Responsables de utilizar los sistemas de información y plataformas corporativas de manera segura y de acuerdo con las políticas y procedimientos establecidos.
Área de RRHH: Responsable de solicitar y validar la información personal de los nuevos colaboradores para garantizar su identidad y antecedentes antes de otorgar acceso a las plataformas.
Equipo de Seguridad de la Información: Responsable de establecer y mantener la presente política.
Usuarios: Responsables de utilizar los sistemas de información y plataformas corporativas de manera segura y de acuerdo con las políticas y procedimientos establecidos.
5Política
El acceso a los sistemas de información y plataformas corporativas se basará en el principio de "necesidad de saber" y el principio de "menor privilegio".
La jefatura de área será la responsable de solicitar acceso a la plataforma TTLock, correo electrónico, nube y otras plataformas corporativas, de acuerdo con el Proceso de Onboarding establecido.
El área de RRHH será responsable de solicitar y validar la información personal de los nuevos colaboradores antes de su contratación, para garantizar su identidad y antecedentes antes de otorgarles acceso a las plataformas.
El acceso de visitas se realizará de acuerdo con el Protocolo de Visitas establecido en el siguiente link: https://mail.google.com/mail/u/0/#chat/dm/9zLsqkAAAAE
La creación de cuentas e identidades de clientes en las plataformas se realizará de acuerdo con el procedimiento de configuración de nuevos clientes, se encuentra en el siguiente link: [Active][v2] Procedimiento para Levantar un Nuevo Cliente
Los accesos, credenciales e información de autenticación se entregarán por correo electrónico o por el canal formal indicado en el contrato de servicios a un cliente. Se establecerán roles y perfiles de acceso que definan los privilegios de acceso de cada usuario.
Se implementarán controles técnicos, como contraseñas seguras, cifrado de datos, para proteger los sistemas de información y plataformas corporativas.
Se realizarán revisiones periódicas de los accesos y privilegios de los usuarios para garantizar que sigan siendo necesarios y apropiados.
Cuando se detecten cuentas con accesos o privilegios no adecuados a esta política se procederá a su corrección o bien a la aplicación del Protocolo de Eliminación de Cuentas de Usuarios.
Se mantendrá un registro de auditoría de los accesos y actividades de los usuarios para fines de seguridad y cumplimiento.
La jefatura de área será la responsable de solicitar acceso a la plataforma TTLock, correo electrónico, nube y otras plataformas corporativas, de acuerdo con el Proceso de Onboarding establecido.
El área de RRHH será responsable de solicitar y validar la información personal de los nuevos colaboradores antes de su contratación, para garantizar su identidad y antecedentes antes de otorgarles acceso a las plataformas.
El acceso de visitas se realizará de acuerdo con el Protocolo de Visitas establecido en el siguiente link: https://mail.google.com/mail/u/0/#chat/dm/9zLsqkAAAAE
La creación de cuentas e identidades de clientes en las plataformas se realizará de acuerdo con el procedimiento de configuración de nuevos clientes, se encuentra en el siguiente link: [Active][v2] Procedimiento para Levantar un Nuevo Cliente
Los accesos, credenciales e información de autenticación se entregarán por correo electrónico o por el canal formal indicado en el contrato de servicios a un cliente. Se establecerán roles y perfiles de acceso que definan los privilegios de acceso de cada usuario.
Se implementarán controles técnicos, como contraseñas seguras, cifrado de datos, para proteger los sistemas de información y plataformas corporativas.
Se realizarán revisiones periódicas de los accesos y privilegios de los usuarios para garantizar que sigan siendo necesarios y apropiados.
Cuando se detecten cuentas con accesos o privilegios no adecuados a esta política se procederá a su corrección o bien a la aplicación del Protocolo de Eliminación de Cuentas de Usuarios.
Se mantendrá un registro de auditoría de los accesos y actividades de los usuarios para fines de seguridad y cumplimiento.
6Vigencia de la Política
Esta política tiene una vigencia de 1 año a partir de su última aprobación, después de este periodo debe ser revisada y actualizada periódicamente para asegurar su adecuación a las necesidades de la organización y a los cambios en la normativa aplicable.
7Revisiones
Una de las tareas que deberán ser ejecutadas por el Comité de Seguridad de la Información de Gauss Control, es la reevaluación de las políticas de la seguridad de la información. Esto deberá realizarse por lo menos una vez cada dos años o ante cualquier cambio significativo de tecnología, personal o evento que amerite su reevaluación para asegurar su continuidad, idoneidad, eficiencia y efectividad.