Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SAFILP-POL-002.v1.0
Contenido
1 de 11
POLÍTICA
SAFILP-POL-002.v1.0
Elaboración 03/09/2022
2 de 11
POLÍTICA
SAFILP-POL-002.v1.0
POLÍTICA DE CONTROL DE ACCESOS
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
1 REFERENCIA DOCUMENTAL
2 GLOSARIO DE TÉRMINOS
3 de 11
F. Proveedor. Es aquella persona física o jurídica que provee o suministra un
determinado bien o servicio a SAFILP.
G. Visitante. Es aquella persona que por alguna causa o motivo accede o
solicita acceso a las instalaciones de SAFILP.
3 OBJETO DE LA POLÍTICA
La presente política tiene por objeto establecer los lineamientos generales para
controlar el acceso físico y lógico (ambientes o instalaciones, áreas de
procesamiento de datos, redes de datos, recursos de la plataforma
tecnológica y los sistemas de información) de la Sociedad Administradora de
Fondos de Inversión La Paz (SAFILP).
4 ALCANCE DE LA POLITICA
5.1 RESPONSABILIDAD
4 de 11
C. Responsable de Seguridad de la Información (RSI). Es el principal
responsable de supervisar el cumplimiento de la presente Política de
Control de Accesos, así también supervisar su implementación.
D. Responsables de Área de Infraestructura y Tecnología (IT). Son los
responsables de gestionar el control de accesos a las áreas seguras, a las
redes de datos, recursos de la plataforma tecnológica y los sistemas de
información de la Sociedad Administradora de Fondos de Inversión La Paz
(SAFILP).
E. Personal del área de Infraestructura y Tecnología (IT). Son responsables por
el registro, acompañamiento al personal externo o proveedores y revisión
de las actividades que realizan en las áreas seguras de SAFILP.
F. Personal de la SAFILP. Es responsabilidad de todo el personal de SAFILP
conocer el contenido de la presente política, adoptar los lineamientos y
directrices establecidos en el presente documento.
5.2 CUMPLIMIENTO
5 de 11
Ante la verificación del incumplimiento de lo estipulado en la Política
regulada en el presente documento, la Máxima Autoridad de SAFILP podrá
tomar las medidas que se considere pertinentes, a efectos de darle el debido
cumplimiento.
Gestionar con un proceso formal los accesos físicos a las áreas seguras que
contemple también la revisión periódica de los mismos. El acceso a áreas
seguras se deberá conceder únicamente por motivos específicos y
autorizados.
6 de 11
6.1 GESTIÓN DE ACCESO FÍSICO
Los accesos de tipo permanente deben ser solicitados por el Gerente y/o el
Subgerente(s); y autorizados y viabilizados por el Responsable de Seguridad de
la Información en base a requisitos establecidos basados en su función dentro
de SAFILP.
7 de 11
4. Las puertas de acceso al Centro de Procesamiento de Datos (CPD),
deberán permanecer siempre cerradas y aseguradas.
8 de 11
Sólo se pueden conceder accesos a externos, previa autorización del gerente
de IT de SAFILP. Las cuentas de acceso a terceros deben tener especificado un
tiempo de expiración, el que debe ser controlado por el Responsable de las
áreas de IT, según corresponda.
9 de 11
5. Cualquier intento de acceso no autorizado a los equipos, carpetas
compartidas, sistemas de información será considerado un incidente grave,
por lo que debe reportarse de inmediato al Responsable de Seguridad de la
Información como un incidente de seguridad
El personal interno de SAFILP debe cumplir las siguientes reglas respecto del uso
de la información de autenticación:
1. Las cuentas de usuario y las contraseñas son individuales e intransferibles.
2. Está prohibido el uso de un nombre de usuario ajeno o facilitar la cuenta
de usuario y su contraseña personal a un tercero.
3. Queda absolutamente prohibido anotar las contraseñas de acceso en
lugares visibles o públicos.
4. Las credenciales (usuario y contraseña) no deben ser incluidos en
aplicaciones donde puedan quedar expuestas (macros de planillas,
documentos o programas de tipo script).
5. La composición de las contraseñas debe tener un mínimo de 8 caracteres,
alfanumérica, robusta, que no se basen en nada que otra persona pueda
adivinar u obtener fácilmente mediante la información relacionada con el
dueño de la cuenta, que no sean vulnerables a ataques de diccionario (es
decir, que no conste de palabras incluidas en los diccionarios).
6. El usuario deberá cambiar la información de autenticación secreta de
acuerdo a la criticidad de cada sistema.
7. Se recomienda no utilizar las mismas contraseñas para fines laborales y
personales.
10 de 11
Los registros de eventos deberían considerar, entre otros, los siguientes:
1. ID de usuarios.
2. Identificación del equipo.
3. Actividades del sistema.
4. Fecha, horas y detalles de los eventos clave, es decir, el inicio y
finalización de la sesión.
5. Los registros de los intentos exitosos y rechazados de acceso al sistema.
6. Las direcciones y protocolos de redes.
11 de 11