[ NOMBRE Y LOGO DE LA EMPRESA] Dia de efectividad: Política Núm.

Revisión más reciente: Page 1 of 4

Departamento: [Ej. Information Technology] Aplica a: Todo el personal

Asunto: Política de Acceso a Instalaciones Físicas

Revisado y Aprobado por:

[Nombre de la Persona] [Nombre de la Persona]

[Nombre del Departamento] [Nombre Oficial Operaciones u Otro]

Objetivo

El propósito de esta política es establecer reglas de manejo, control, acceso y remoción de acceso físico
a las instalaciones de EMPRESA .
La gerencia, el personal de soporte técnico, los administradores del sistema y el personal de seguridad
son responsables de los requisitos de acceso a las instalaciones. El manejo y el control del acceso físico a
las instalaciones es extremadamente importante para la seguridad en EMPRESA y ayuda a mantener la
información y la seguridad de los empleados.

Directrices generales sobre el acceso a Instalaciones Físicas

El acceso físico a las instalaciones deberá documentarse y manejarse. Todas las instalaciones deben
estar protegidas en relación con la criticidad o importancia de la función o propósito del área manejada.
Las solicitudes de acceso deberán provenir del administrador correspondiente en el área donde residen
los datos, sistemas, equipo, inventario, y otros. El acceso a las instalaciones se otorgará únicamente al
personal cuyas responsabilidades laborales requieran acceso a ese departamento y se utilizarán
sistemas electrónicos de control de acceso para gestionar el acceso a las instalaciones, departamentos y
espacios controlados.
El proceso para otorgar acceso con tarjeta y/o clave reside en el [Insertar departamento
correspondiente] de EMPRESA . Revisarán periódicamente los derechos de acceso de la tarjeta y/o llave
y eliminarán el acceso de las personas que ya no requieran acceso. Los derechos de acceso se basarán
en el rol o función de un empleado (personal, visitante, contratista, etc.) en la organización.
1. Responsabilidades de la Gerencia
El [Insertar departamento apropiado] o su designado se asegurará de que:
• Las áreas estén protegidas por entradas y controles apropiados para el personal autorizado.
• Los procedimientos controlan y validan el acceso de los empleados a las instalaciones con el
uso de personal de seguridad, identification badges o tarjetas inteligentes.
• Existen procedimientos que establecen controles a las visitas, incluyendo registros de firma
para la entrada y salida de EMPRESA , y el uso de insignias.
 [ NOMBRE Y LOGO DE LA EMPRESA] Dia de efectividad: Política Núm.:

Revisión más reciente: Page 2 of 4

Asunto: Política de Acceso a Instalaciones Físicas

• Las políticas especifican la revisión por parte de la gerencia de la lista de personas con acceso
físico a las instalaciones que contienen información confidencial (ya sea en papel o en formato
electrónico).
• Se mantiene un inventario completo de activos críticos y la propiedad está definida y
documentada.
• Los registros de acceso a la tarjeta y los registros de visitantes de las instalaciones se
mantienen para revisión periódica en función de la criticidad de la información que se protege y
la necesidad de seguridad.

Acceso con llave y sistemas de tarjetas

La siguiente política se aplica a todas las tarjetas y llaves de acceso a las instalaciones:
• Las tarjetas y/o llaves de acceso de los empleados no deben compartirse ni prestarse a otros.
• Las tarjetas y/o llaves de acceso no deberán tener información de identificación que no sea una
dirección de correo del remitente y todas las tarjetas/llaves que ya no sean necesarias deben devolverse
a EMPRESA [Insertar el departamento apropiado].
• Las tarjetas o llaves perdidas o robadas se deben informar de inmediato a EMPRESA a través del
[Insertar el departamento correspondiente] por escrito.
• EMPRESA [Insertar el departamento correspondiente] eliminará los derechos de acceso a la tarjeta
y/o clave de las personas que cambien de rol o se separen de su relación con EMPRESA .
• El [Insertar función apropiada] o su designado revisa regularmente los registros de acceso y los
registros de visitantes de la instalación y es responsable de investigar cualquier evento o incidente
inusual relacionado con el acceso físico a la instalación.

Acceso de visitantes e invitados

La siguiente política y procedimiento se aplican a la identificación y autorización de visitantes e invitados
de EMPRESA :
• Cualquier instalación o departamento de EMPRESA que permita el acceso a los visitantes deberá
realizar un seguimiento del acceso de los visitantes con un registro de entrada y salida.
• Se utilizará un registro de visitantes para mantener un registro de auditoría físico de la actividad de los
visitantes en las instalaciones, así como en las salas de computación y los centros de datos donde se
almacena o transmite información confidencial.
• El registro de visitantes deberá documentar el nombre del visitante, la empresa representada y el
empleado que autoriza el acceso físico en el registro.
• El registro de visitantes se conservará durante un mínimo de tres meses, a menos que esté restricto
por una regla, regulación, estatuto o control de auditoría en EMPRESA .
• Se identificará a los visitantes y se les otorgará una identificación que venza y que distinga
visiblemente a los visitantes del personal en el lugar.
 [ NOMBRE Y LOGO DE LA EMPRESA] Dia de efectividad: Política Núm.:

Revisión más reciente: Page 3 of 4

Asunto: Política de Acceso a Instalaciones Físicas

• Los visitantes deberán entregar la identificación antes de salir de las instalaciones o en la fecha de
vencimiento.
• Los visitantes deben estar autorizados antes de ingresar y acompañados en todo momento dentro de
las áreas donde se procesa o mantiene información confidencial.
• Los visitantes deben ser escoltados en las áreas de las instalaciones con acceso controlado por llave o
tarjeta.

Acceso a áreas confidenciales

La siguiente política y procedimiento se refiere al acceso a áreas confidenciales en EMPRESA :
• Todas las áreas que contengan información confidencial estarán restringidas físicamente.
• Todas las personas en estas áreas deben usar una identificación donde la imagen como la información
sean claramente visibles para el personal en EMPRESA .
• El acceso a áreas de TI, como centros de datos, salas de computación, cuartos de equipo de telefonías,
network routers, hubs, salas de sistemas de correo de voz y áreas similares que contienen recursos de TI,
estará restricto y su acceso dependerá de las credenciales del empleado.
• Se restringirá el acceso físico a los registros que contengan información confidencial y a las áreas de
almacenamiento de dichos registros y datos que estén bajo llave.
• Los recursos de TI confidenciales ubicados en áreas no seguras deben protegerse para evitar la
manipulación física, el daño, el robo o el acceso físico no autorizado a la información confidencial.
• Los controles apropiados de entrada a las instalaciones deberán limitar y monitorear el acceso físico a
los sistemas de información.
• Las cámaras de video y/o los mecanismos de control de acceso deben monitorear el acceso físico
individual a las áreas sensibles y estos datos deben almacenarse durante al menos tres meses, a menos
que lo restrinja una regla, regulación, estatuto o ley.
El personal de [Insertar departamento apropiado] deberá:
• Implementar controles donde los accesos a la red por parte de empleados e invitados este
explícitamente configurado y autorizado según la función del trabajo individual.
• Asegúrese de que los visitantes estén escoltados en todo momento en áreas con información
confidencial.
• Recibir autorización previa antes de desechar, reubicar o transferir hardware, software o datos a
cualquier instalación fuera de las instalaciones designadas.
• Revocar todos los accesos a las instalaciones inmediatamente, según cambios en las funciones y tareas
de los empleados, finalización de trabajos de contratistas y terminación de empleo, y recolectar llaves,
tarjetas de acceso y/o cualquier otro activo utilizado para ingresar a las instalaciones de EMPRESA .
 [ NOMBRE Y LOGO DE LA EMPRESA] Dia de efectividad: Política Núm.:

Revisión más reciente: Page 4 of 4

Asunto: Política de Acceso a Instalaciones Físicas

Requisitos del Contratista

Los contratistas externos deberán cumplir con las leyes y reglamentos aplicables con respecto a la
seguridad mientras trabajen en instalaciones de EMPRESA . Para el personal no clasificado, un
empleado de EMPRESA debidamente autorizado acompañará al individuo al área donde se realizará el
mantenimiento y garantizará que se sigan los procedimientos de seguridad apropiados.

• Cualquier acceso al sistema, iniciación o terminación deberá ser realizado por la escolta.
• El personal de mantenimiento no debe tener acceso visual o electrónico a ninguna información
sensible o confidencial contenida en el sistema al que está dando servicio.
• Los dispositivos que muestren información confidencial en forma leíble deben colocarse de forma que
evite que personas no autorizadas lean la información.

Cumplimiento
Los miembros del personal que se encuentren en violación de la política pueden estar sujetos a medidas
disciplinarias, que pueden incluir el despido.