POLÍTICA DE CONTROL DE ACCESOS

POLÍTICA DE CONTROL DE ACCESOS

Organización: TTPSEC SPA
Versión: 1.0
Fecha: 1 de junio de 2025

1. Propósito

Establecer los principios, lineamientos y controles necesarios para garantizar que el acceso a los activos de información de TTPSEC SPA sea autorizado, legítimo y controlado, con el fin de proteger la confidencialidad, integridad y disponibilidad de la información.

2. Alcance

Esta política aplica a todos los empleados, consultores, socios, contratistas y terceros autorizados que tengan acceso a sistemas, redes, datos, plataformas cloud, entornos colaborativos y cualquier recurso tecnológico de TTPSEC SPA, tanto en modalidad remota como en visitas a instalaciones de clientes.

3. Principios Generales

• Principio del menor privilegio: Todo acceso debe limitarse estrictamente a lo necesario para cumplir con las funciones asignadas.

• Necesidad de conocer: Solo se otorgará acceso a la información que un usuario requiera explícitamente para su trabajo.

• Autenticación robusta: Se implementará autenticación multifactor (MFA) en todos los accesos a recursos críticos y/o remotos.

• Acceso temporal: Los accesos temporales o de emergencia deben estar justificados, documentados y ser revocados al finalizar su necesidad.

• Segregación de funciones: Se establecerán controles para prevenir conflictos de interés o accesos indebidos por concentración de privilegios.
  
  

4. Clasificación de Usuarios y Roles

Los perfiles de acceso serán definidos de acuerdo con los roles establecidos en el SGSI. Cada nuevo ingreso será evaluado según su cargo, funciones y nivel de criticidad.

Tipos de cuentas:

• Cuentas personales (nominales)

• Cuentas de servicio (para funciones técnicas automatizadas)

• Cuentas administrativas (privilegios elevados con auditoría reforzada)
  
  

5. Gestión de Credenciales

• Las contraseñas deben cumplir con requisitos mínimos de complejidad (largo mínimo, caracteres especiales, no reutilización).

• Está prohibido compartir credenciales de acceso.

• El uso de gestores de contraseñas autorizados es recomendado.

• Las credenciales deben cambiarse regularmente y ante eventos de riesgo.
  
  

6. Provisión y Desprovisión de Accesos

• El acceso a los sistemas será solicitado mediante procedimientos formales.

• Toda provisión y desprovisión debe registrarse.

• Ante la desvinculación de un colaborador, todos los accesos serán revocados inmediatamente.
  
  

7. Revisión y Auditoría de Accesos

• Se realizará una revisión semestral de los privilegios asignados.

• Las cuentas inactivas serán deshabilitadas tras 30 días sin uso.

• Se mantendrán registros de acceso y auditorías para entornos sensibles.
  
  

8. Responsabilidades

• Gerente General: Aprueba esta política y su actualización.
  
  

• Líder de Seguridad IT/OT: Supervisa la implementación técnica y revisa la eficacia de los controles de acceso.
  
  

• Consultores Senior: Verifican el cumplimiento de controles de acceso en auditorías y proyectos.
  
  

• Todos los usuarios: Deben cumplir con esta política y reportar accesos indebidos o sospechosos.
  
  

9. Cumplimiento y Sanciones

El incumplimiento de esta política será tratado conforme al régimen disciplinario de TTPSEC SPA y puede derivar en la revocación de accesos, sanciones contractuales o acciones legales.

10. Control de Cambios

Versión: 1.0
Fecha: 01/06/2025
Cambio: Versión inicial
Aprobado por: Gerencia General