POLÍTICA

SAFILP-POL-002.v1.0

POLÍTICA DE CONTROL DE ACCESOS

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN

SOCIEDAD ADMINISTRADORA DE FONDOS DE INVERSIÓN LA PAZ

LA PAZ - BOLIVIA
2022
 POLÍTICA
SAFILP-POL-002.v1.0

POLÍTICA DE CONTROL DE ACCESOS

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Contenido

1 REFERENCIA DOCUMENTAL ....................................................................................................................... 3

2 GLOSARIO DE TÉRMINOS ........................................................................................................................... 3
3 OBJETO DE LA POLÍTICA ............................................................................................................................. 4
4 ALCANCE DE LA POLITICA .......................................................................................................................... 4
5 RESPONSABILIDAD Y CUMPLIMIENTO DE LA POLÍTICA ............................................................................. 4
6 DECLARACIÓN DE LA POLÍTICA DE CONTROL DE ACCESOS ....................................................................... 6
6.1 GESTIÓN DE ACCESO FÍSICO.............................................................................................................. 7
6.1.1 SISTEMA DE CONTROL DE ACCESO FÍSICO ........................................................................................ 7
6.1.2 REVISIÓN DE ACCESO AL CENTRO DE DATOS ..................................................................................... 8
6.1.3 MEDIDAS DE SEGURIDAD INTERNA ................................................................................................. 8
6.2 GESTIÓN DE ACCESO LÓGICO ........................................................................................................... 8
6.2.1 SISTEMA DE CONTROL DE ACCESO LÓGICO ....................................................................................... 9
6.2.2 USO DE INFORMACIÓN DE AUTENTICACIÓN SECRETA ..................................................................... 10
6.2.3 REGISTRO DE E VENTOS ............................................................................................................... 10

1 de 11
 POLÍTICA
SAFILP-POL-002.v1.0

POLÍTICA DE CONTROL DE ACCESOS

Acción Responsable Fecha Firma y sello Observaciones

Elaboración 03/09/2022

2 de 11
 POLÍTICA
SAFILP-POL-002.v1.0
POLÍTICA DE CONTROL DE ACCESOS
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

1 REFERENCIA DOCUMENTAL

A. Norma ISO/IEC 27001:2013. Especifica los requerimientos necesarios para

implantar y gestionar un SGSI. Esta norma es certificable.
B. Norma ISO/IEC 27002:2013. Define un conjunto de buenas prácticas para la
implantación del SGSI, a través de 14 dominios, 35 objetivos de control y 114
controles.
C. SAFILP-POL-001. Política General de Seguridad de la Información.

2 GLOSARIO DE TÉRMINOS

A. Acceso. Se refiere a la identificación, autenticación y autorización de un

usuario a los sistemas, recursos y áreas de la Sociedad Administradora de
Fondos de Inversión La Paz (SAFILP).
B. Acceso físico. Se refiere el acceso físico a las áreas o instalaciones en
general de un sitio de SAFILP.
C. Acceso lógico. Se refiere, el acceso lógico es un acceso en red, por ejemplo:
acceder a archivos, navegar en el servidor, enviar un correo electrónico o
transferir archivos. La mayoría de los accesos lógicos se relacionan con algún
tipo de información.
D. Personal. Es aquella persona que tiene una relación laboral con SAFILP
directa o a través de un tercero, bajo cualquier tipo de vinculación Planta,
consultor, pasante, etc.
E. Supervisor del contrato. Es aquella persona designada por SAFILP,
encargada del seguimiento, control y vigilancia de la ejecución del contrato
con proveedores.

3 de 11
 F. Proveedor. Es aquella persona física o jurídica que provee o suministra un
determinado bien o servicio a SAFILP.
G. Visitante. Es aquella persona que por alguna causa o motivo accede o
solicita acceso a las instalaciones de SAFILP.

3 OBJETO DE LA POLÍTICA

La presente política tiene por objeto establecer los lineamientos generales para
controlar el acceso físico y lógico (ambientes o instalaciones, áreas de
procesamiento de datos, redes de datos, recursos de la plataforma
tecnológica y los sistemas de información) de la Sociedad Administradora de
Fondos de Inversión La Paz (SAFILP).

4 ALCANCE DE LA POLITICA

Esta política aplica a todo el personal interno, externo, proveedores y visitantes

que tiene acceso físico o lógico a los ambientes o instalaciones, áreas de
procesamiento de datos, redes de datos, recursos de la plataforma
tecnológica y sistemas de información de la Sociedad Administradora de
Fondos de Inversión La Paz (SAFILP).

5 RESPONSABILIDAD Y CUMPLIMIENTO DE LA POLÍTICA

5.1 RESPONSABILIDAD

A. Gerente General. La gerencia es la encargada de aprobar la presente

Política de Control de Accesos, así también es responsable de la
autorización de sus modificaciones.
B. Comité de Seguridad de la Información. Es el ente encargado de revisar y
proponer a la dirección la aprobación, el contenido, las funciones en
materia de seguridad, la estructura, el seguimiento y mejora de la presente
Política de Control de Accesos.

4 de 11
 C. Responsable de Seguridad de la Información (RSI). Es el principal
responsable de supervisar el cumplimiento de la presente Política de
Control de Accesos, así también supervisar su implementación.
D. Responsables de Área de Infraestructura y Tecnología (IT). Son los
responsables de gestionar el control de accesos a las áreas seguras, a las
redes de datos, recursos de la plataforma tecnológica y los sistemas de
información de la Sociedad Administradora de Fondos de Inversión La Paz
(SAFILP).
E. Personal del área de Infraestructura y Tecnología (IT). Son responsables por
el registro, acompañamiento al personal externo o proveedores y revisión
de las actividades que realizan en las áreas seguras de SAFILP.
F. Personal de la SAFILP. Es responsabilidad de todo el personal de SAFILP
conocer el contenido de la presente política, adoptar los lineamientos y
directrices establecidos en el presente documento.

5.2 CUMPLIMIENTO

La presente Política de Control de Accesos entra en vigencia una vez sea

oficializada por el Gerente General de la Sociedad Administradora de Fondos
de Inversión La Paz (SAFILP).

Los Responsables de Área son los encargados de poner en conocimiento la

misma al personal bajo su cargo.

En caso de nuevo personal contratado por SAFILP, posterior a la fecha en la

que entre en vigencia esta política, se debe entregar una copia del presente
documento y tomar la respectiva declaración de toma de conocimiento y
aceptación de la misma.

Todo empleado que identifique un incumplimiento a las pautas establecidas

previamente deberá reportar mediante los medios establecidos al
Responsable de Seguridad de la Información como un evento o incidente
relacionado al control de acceso físico o lógico, proceso que seguirá de
acuerdo a lo establecido en el Procedimiento de Gestión de Incidentes.

5 de 11
 Ante la verificación del incumplimiento de lo estipulado en la Política
regulada en el presente documento, la Máxima Autoridad de SAFILP podrá
tomar las medidas que se considere pertinentes, a efectos de darle el debido
cumplimiento.

6 DECLARACIÓN DE LA POLÍTICA DE CONTROL DE ACCESOS

La Sociedad Administradora de Fondos de Inversión La Paz (SAFILP)debe:

Gestionar con un proceso formal los accesos físicos a las áreas seguras que
contemple también la revisión periódica de los mismos. El acceso a áreas
seguras se deberá conceder únicamente por motivos específicos y
autorizados.

Gestionar con un proceso formal los accesos lógicos a los recursos de la

plataforma tecnológica, redes o servicios y a los sistemas de información, que
contemple también la revisión periódica de los usuarios y privilegios otorgados
que permita reducir los riesgos de accesos no autorizados a los sistemas y/o
recursos tecnológicos de SAFILP.

Desarrollar e implementar un procedimiento de entrega de credenciales

(usuarios y contraseñas) al personal interno y externo que tendrán acceso a los
recursos de la plataforma tecnológica, redes o servicios y a los sistemas de
información.

Desarrollar e implementar un mecanismo de auditoria para el registro de

eventos y control de acceso a los servicios de red, a los recursos de la
plataforma tecnológica y a los sistemas de información.

El Responsable de Seguridad de la Información debe tener acceso a los

sistemas y a los registros de actividad, con el objetivo de colaborar en el control
y efectuar recomendaciones de mejora.

6 de 11
6.1 GESTIÓN DE ACCESO FÍSICO

Los accesos de tipo permanente deben ser solicitados por el Gerente y/o el
Subgerente(s); y autorizados y viabilizados por el Responsable de Seguridad de
la Información en base a requisitos establecidos basados en su función dentro
de SAFILP.

Los accesos de tipo temporal, por ejemplo, para el caso de proveedores

externos, deben ser solicitados al responsable de seguridad de la información
y autorizados por el Jefe de seguridad de la información y se debe proveer al
menos la siguiente información: nombre, apellido, documento de identidad,
empresa, fecha de inicio de acceso temporal, fecha fin de acceso temporal,
motivo.

Los visitantes temporales que requieran acceso a áreas seguras o centros de

datos deberán permanecer acompañados de personal con permisos de
acceso y portar una identificación visible. En el caso del centro de datos, se
debe registrar la visita en una bitácora de ingresos a éste que deberá contener
al menos la siguiente información: fecha, nombre, apellido, cédula de
identidad, empresa, motivo de ingreso, fecha y hora de entrada, fecha y hora
de salida, nombre y apellido del empleado que lo acompaña.

6.1.1 SISTEMA DE CONTROL DE ACCESO FÍSICO

El acceso al Centro de Procesamiento de Datos (CPD) se debe cumplir con los

siguientes lineamientos:

1. El acceso al centro de procesamiento de datos debe realizarse mediante

un sistema autónomo de control de acceso, con lectores de tarjetas
magnéticas y/o sistemas biométricos.
2. El sistema de control de acceso debe ser administrado remotamente y
debe mantener información histórica de accesos al centro de datos.
3. Se debe contar con un sistema cerrado de control de acceso, sistema de
intrusión y el sistema de vigilancia.

7 de 11
 4. Las puertas de acceso al Centro de Procesamiento de Datos (CPD),
deberán permanecer siempre cerradas y aseguradas.

6.1.2 REVISIÓN DE ACCESO

Se debe establecer un procedimiento formal de revisión periódica de los

accesos otorgados que contemple la información del sistema de control de
acceso, el registro de ingresos al centro de datos, el personal con acceso
permanente y con acceso temporal. Esta revisión podrá generar acciones
correctivas al respecto.

6.1.3 MEDIDAS DE SEGURIDAD INTERNA

Se debe evitar el ingreso al centro de datos con material combustible, líquidos,

productos volátiles, y todo producto o sustancia que pudiera ocasionar una
reacción química perjudicial para la infraestructura del centro de datos.

Los pasillos de circulación interna deben mantenerse despejados de todo

objeto.

6.2 GESTIÓN DE ACCESO LÓGICO

El Gerente de Área es el único autorizado para solicitar el acceso a los servicios

de red, a los recursos de la plataforma tecnológica y a los sistemas de
información; así mismo debe especificar los privilegios de acceso al cual debe
estar vinculado el usuario, a través de los diferentes mecanismos habilitados
(Sistema, Formularios, Correo electrónico, etc.).

Las autorizaciones de acceso deben habilitar el acceso a la información

mínima necesaria para el cumplimiento de las tareas asignadas.

La autorización de acceso a activos de información para proveedores u

organizaciones externas requiere de acuerdos específicos aprobados por la
Gerencia o por quien ésta designe.

8 de 11
 Sólo se pueden conceder accesos a externos, previa autorización del gerente
de IT de SAFILP. Las cuentas de acceso a terceros deben tener especificado un
tiempo de expiración, el que debe ser controlado por el Responsable de las
áreas de IT, según corresponda.

En relación con el acceso de los usuarios privilegiados se deberá mantener un

registro de los privilegios asignados en cada sistema o red.

No se podrá otorgar derechos de acceso sin haberse completado el proceso

de autorización.

Debe evitarse el uso de códigos de usuarios o contraseñas embebidas, o

cualquier otro mecanismo que permita el acceso omitiendo, evadiendo o
saltando las reglas de seguridad establecidas por SAFILP.

6.2.1 SISTEMA DE CONTROL DE ACCESO LÓGICO

La Sociedad Administradora de Fondos de Inversión La Paz (SAFILP) a través de

la Gerencia y/o Responsable de Seguridad de la información debe:

1. Determinar los mecanismos de autorización de acceso a los activos de

información
2. Implementar uno o más procedimientos formalmente definidos para
gestionar y controlar los accesos lógicos en SAFILP que contemple al menos
la solicitud, aprobación, revocación y notificación de las solicitudes de
autorización de acceso.
3. Implementar uno o más procedimientos formalmente definidos para la
revisión de los derechos de acceso lógicos. El resultado de la revisión debe
ser documentado e informado al responsable de seguridad de la
información, a las jefaturas y a los propietarios de los activos y deben ser
tomadas las medidas correctivas de inmediato informando cualquier
inconsistencia como un incidente de seguridad
4. Definir la periodicidad de las revisiones de acceso lógico.

9 de 11
 5. Cualquier intento de acceso no autorizado a los equipos, carpetas
compartidas, sistemas de información será considerado un incidente grave,
por lo que debe reportarse de inmediato al Responsable de Seguridad de la
Información como un incidente de seguridad

6.2.2 USO DE INFORMACIÓN DE AUTENTICACIÓN SECRETA

El personal interno de SAFILP debe cumplir las siguientes reglas respecto del uso
de la información de autenticación:
1. Las cuentas de usuario y las contraseñas son individuales e intransferibles.
2. Está prohibido el uso de un nombre de usuario ajeno o facilitar la cuenta
de usuario y su contraseña personal a un tercero.
3. Queda absolutamente prohibido anotar las contraseñas de acceso en
lugares visibles o públicos.
4. Las credenciales (usuario y contraseña) no deben ser incluidos en
aplicaciones donde puedan quedar expuestas (macros de planillas,
documentos o programas de tipo script).
5. La composición de las contraseñas debe tener un mínimo de 8 caracteres,
alfanumérica, robusta, que no se basen en nada que otra persona pueda
adivinar u obtener fácilmente mediante la información relacionada con el
dueño de la cuenta, que no sean vulnerables a ataques de diccionario (es
decir, que no conste de palabras incluidas en los diccionarios).
6. El usuario deberá cambiar la información de autenticación secreta de
acuerdo a la criticidad de cada sistema.
7. Se recomienda no utilizar las mismas contraseñas para fines laborales y
personales.

6.2.3 REGISTRO DE EVENTOS

Se deben registrar, respaldar y proteger la información de los eventos

mensualmente y revisar periódicamente (al menos una vez cada 3 meses), las
actividades del administrador y operadores de las distintas plataformas
tecnológicas.

10 de 11
Los registros de eventos deberían considerar, entre otros, los siguientes:

1. ID de usuarios.
2. Identificación del equipo.
3. Actividades del sistema.
4. Fecha, horas y detalles de los eventos clave, es decir, el inicio y
finalización de la sesión.
5. Los registros de los intentos exitosos y rechazados de acceso al sistema.
6. Las direcciones y protocolos de redes.

11 de 11