Procedimiento para el

UNIVERSIDAD Control de Acceso a Areas

VERACRUZANA Restringidas
SGSI-SFA-P-012

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

INDICE

1. DESCRIPCION
OBJETIVO ...
ALCANCE ...
DEFINICIONES.

lI. POLÍTICAS DE OPERACION .............eeon0ccononecnnnnarrenn e 3

I. RESPONSABILIDADES ..ceccccocococacocconononoconorononoerecraceneareoono
oeeccc D D e 3
IV. PROCEDIMIENTO
DESARROLLO .
DIAGRAMA... .6
V. REFERENCIAS oecccorccocacocococoronccocorceneno
oee eeO N DI C T eee eee eeec DTT T 7

VI. FORMATOS ..eeracacacocoooororoocacensencacececocacroncareeneneeceece

ecec re e e e ee eee e DC 7

PAGINA

:
 Procedimiento para el
UNIVERSIDAD Control de Acceso a Areas
dad Veracruza VERACRUZANA Restringidas
SGSI-SFA-P-012

. DESCRIPCIÓN

OBJETIVO
El presente procedimiento tiene como objeto establecer las medidas de acceso a todo usuario a las áreas
designadas como restringidas en la Universidad Veracruzana (UV), teniendo como objetivos específicos:

". Preservar los activos de información institucionales;

". Normar el registro de acceso a las áreas restringidas; y
= Establecer las medidas de seguridad para el acceso a áreas restringidas.

ALCANCE

Este documento es aplicable a los responsables de los activos de información y/o titulares de las entidades
académicas y dependencias en donde se encuentra identificada un espacio como área restringida.

DEFINICIONES.

Activo de Elemento que contiene o manipula información de valor para la institución o que
información es necesario para mantener la continuidad de las operaciones de la Universidad
Veracruzana, pueden ser tangibles o intangibles.
Área restringida Espacio donde se resguarda activos de información y/o de resguardo de
información. Ver Anexo | Relación de Áreas Restringidas.
Identificación oficial Documento oficial con fotografia que identifica a un usuario de manera personal
o como miembro de la UV, empresa, organización o institución.
Incidente de Evento no deseado o inesperado que comprometa la seguridad de la información.
seguridad
Personal pre- Personal UV que por las funciones que desempeña, tiene autorización de acceso
autorizado a las áreas restringidas designado por el responsable del área.
Responsable de área Titular de la entidad académica o dependencia en dónde se encuentra una área
restringida restringida.
Responsable Personal adscrito a la Dirección General de Tecnología de Información encargado
operativo de acompañar a los usuarios durante la permanencia en el área restringida de
Tecnología de Información.
Usuario Toda persona interna o externa a la Universidad Veracruzana que hace uso de la
infraestructura física, información y/o de los recursos de TIC de la Universidad.
 Procedimiento para el
UNIVERSIDAD Control de Acceso a Áreas
VERACRUZANA Restringidas
SGSI-SFA-P-012

* La revision del procedimiento de acceso a áreas restringidas, se llevará a cabo cuando ocurran cambios
significativos que pongan en riesgo los activos de información de la Institución.
* — El titular de la entidad academica/dependencia que no es responsable del área restringida a ingresar, enviará
una relación de personal al Responsable del Área Restringida donde requiera que acceda su personal,
justificando las funciones de acceso a la misma.
* - El usuario que accese a un área restringida deberá registrar su entrada y salida en la bitácora de acceso
SGSI-SFA-F018.
* Si el área restringida tiene activos de información bajo resguardo de titulares de varias entidades
académicas o dependencias, el responable de autorizar el acceso a estos espacios podrá ser otorgada por
cualquiera de ellos.
e Cuando el área restringida sea un espacio donde labore personal de forma permanente, éste estará exento
de requisitar el formato de Bitácora de acceso SGSI-SFA-F018.
* Todo usuario que requiera acceder a un área restringida, realizar la entrega y/o recepción de equipo de
cómputo, equipo de telecomunicaciones, medios de almacenamiento, herramientas, materiales y
actividades relacionadas con mantenimiento, configuraciones, instalaciones, revisiones o servicios deberá
sujetarse a lo establecido en el presente procedimiento.
* Todaárearestringida deberá contar con el listado del personal pre autorizado y la declarativa de privacidad
correspondiente.
* Todaárea restringida deberá contar con:
a) Letreros de señalización;
b) Directorio de personal autorizado;
c) Equipamiento auxiliar en óptimas condiciones; y
d) Formato de Bitácora de Acceso SGSI-SFA-F018
* Todo usuario que detecte riesgos en equipos de cómputo y/o comunicaciones, fugas de agua, fallas
eléctricas, humedad extrema, conatos de incendio u otros, deberá reportar de forma inmediata al vigilante
o su jefe inmediato superior.
e La toma de fotografias y/o grabación de vídeos y audios dentro del área restringida, solo será con la
autorización y/o indicación del responsable del área.
* El usuario que accese al área restringida y que traiga consigo cualquier maleta, mochila y/o bolsa será sujeto
a revisión previo al acceso y al finalizar la visita.
* El usuario deberá portar gafete de autorización de acceso a cualquier área restringida.
* Enel periodo que duren los trabajos o actividades a realizar en las áreas restringidas, el usuario debe dar
estricto cumplimiento a las normas de seguridad y el uso responsable de la infraestructura institucional.

lI. RESPONSABILIDADES

Responsable del área restringida.

* Autorizar el acceso a las áreas restringidas previa solicitud.
* — Registrar en la relación de personal pre autorizado.
* _ Asignar un responsable operativo para supervisar las actividades que realicen los usuarios.
 Procedimiento para el
UNIVERSIDAD Control de Acceso a Áreas
VERACRUZANA Restringidas
SGSI-SFA-P-012

* Asignar un responsable alterno por ausencia.

Responsable operativo.
* - Supervisar las actividades de los usuarios durante la permanencia en el área restringida.
* — Validar los registros de entrada/salida en la bitácora.
* Reportar incidentes de seguridad a su jefe inmediato superior para su atención.

Usuario.
* |dentificar y registrar su acceso al área restringida.
1V. PROCEDIMIENTO

DESARROLLO

d Responsable Descripción de la Actividad

| Requerir acceso a área restringida de UV.
¿Es personal UV?
2 o Si, pasar a la siguiente actividad.
o No, pasar a la actividad 12.
¿Es personal pre-autorizado?
3 o Si, pasar a la siguiente actividad.
o No, pasar a la actividad 12.
4 Colocar gafete y registrar en bitácora de acceso SGSI-SFA-F-018.
Realizar actividades.
Usuario A - "
¿Se generó un incidente de seguridad?
6 o Si, pasar a la siguiente actividad.
o No, pasar a la actividad 8.
7 Notificar al responsable del área restringida del incidente.
¿Es personal pre-autorizado?
8 o Si, pasar a la actividad 10.
o No, pasar a la siguiente actividad.
9 Realizar informe de actividades.
10 Registrar salida en bitácora de acceso SGSI-SFA-F-018.
H Termina procedimiento.
12 Responsable de área — Verificar tipo de solicitud.

Ea
 Procedimiento para el
UNIVERSIDAD Control de Acceso a Areas
VERACRUZANA Restringidas
SGSI-SFA-P-012

restringida ¿Autoriza acceso?

o Si, pasar a la siguiente actividad.
o No, pasar a la actividad 15.
Asignar responsable operativo para acompañar al usuario a realizar
actividades y entregar gafete de visitante. Pasar a la actividad 4.
Avisar al usuario que el acceso no fue autorizado.
o Pasarala actividad I1.

PÁGINA
 opezuone

epmbunnsay Wo¡mmdsau
eny ou 058228 [ enb
ouensn e JBSIKY - G|
aquelu pao1d

apoyuerpasc1d
JeuneL - 1) AJUelISIA ep ajaje6
Jeanue Ásepepume
Jezipes B ouensa B
Jeuedwode eed ongejado

£
5
5
ejgesuodses Jeudisy - pl

SEpIBULISIy o saUNLIOS SEeJe 053DV ep ¡o UO

pripIos
80 0d JeleA -7}
—
059002 sepifusas searp
p 21008q ue € 05200y ap £20028
eples Jensiay 0| Bl0-4%715-1695
S8PEPUIIE
N sepifuusas seaue
p euvojur € 0522y 3 209€
Bl04visisos

ouensn
Jeze9 -6 1 )
eoe _ _ epibunses
, sopepinme B8IP 2 058302
5 v s,_m M…u…qc__…_a.m…z JEZIPEY “G p ejovenq ua Jensidas 1e Ce
¿opezuome-aud ae Aeroe6 1220100 -p ¿opezuone
¡puosied? , -g queueb e7 -g -aud jeuosiag? a -$ jeuosied? p- -7
YWYyuovIa
Tl 0-d-ViS-1S9S
sepisulsay seauy e 0saddy VNVZNUOVYIA
ap [043u0) |9 eaed oyuaupa2o.1d Avdaisy3AINN
 UNIVERSIDAD Procedimiento para el Control de
Acceso a Areas Restringidas
s V ERACRUZANA SGSI-SFA-P-012
Y. REFERENCIAS

Estatuto General de la Universidad Veracruzana, artículo 247, fracción VI, IX,XVIII;

Reglamento para la Seguridad de la Información;
Política de Seguridad de la Información de la Universidad Veracruzana;
Anexo | Áreas restringidas.
VI. FORMATOS
* SGSI-SFA-F-018 Bitácora de acceso a áreas restringidas (http://www.uv.mx/dgti/normatividad-2/).

Histórico de Revisiones
FECHA REVISIÓ,N o CIÓN O PAGINA DESCRIPCIÓN DE LA REVISIÓN
No. DE REVISION
MODIFICACIÓN MODIFICADA O MODIFICACIÓN
| 02-Ago-2016 Página | Control de Se actualiza la tabla de Control de
versiones versiones y se pasa al final del
documento;

Sección | Descripción Se actualiza el apartado de

Alcance y definiciones;
Se agregó la definición de activo
de información;
Se eliminó la definición del
vigilante y plantas de emergencia;

Sección II Políticas de Se actualizan Políticas de

Operación operación;

Sección lII Responsabilidades | Se agrega una responsabilidad más

al responsable del área restringida
de asignar un responsable alterno
en caso de ausencia.

Sección IV Desarrollo Se eliminan las responsabilidades

del vigilante.
Se actualiza el digrama de flujo y
por ende la descripción de
actividades;

Sección V Referencias Se incluye el anexo de áreas

restringidas.

Sección VI Formatos Se elimina el formato SGSI-SFA-F-

017 Solicitud de autorización de
acceso a áreas restringid:
 UNIVERSIDAD Procedimiento para el Control de
Acceso a Areas Restringidas
VERACRUZANA SGSI-SFA-P-012

2 15-Ago-2019 Sección lI Politicas de Cambio de redacción en las

operación políticas de operación, cambiando
de lo plural a lo singuilar, cambio
de palabras en futuro por
presente.

Sección lII Responsabilidades | Cambio de palabras de plurar a

singular

Control de versiones Se actualizá la fecha de versión o

autorización y entrada en vigor,
así como el número de versión

Control de Versiones
FECHA
CÓDIGO : O
VERSIÓN ENTRADA EN VIGOR ,
— VERSIÓN — NIVEL DE CONFIDENCIALIDAD
AUTORIZACIÓN

SGSI-GE-P-002 | 15-Agosto-2019 | I-Septiembre-2019

CREADO POR: AUTORIZADO POR:

Mtro. Juan Ca
Grupo de Traba¡o strategico del SGSI Directora General de Tecn ologia de Informaaon