Política de control de acceso - PYME

Esta Política de control de acceso (P04S) proporciona un marco integral para que las pequeñas y medianas empresas (PYMES) gestionen y aseguren el acceso a los sistemas de información, datos e instalaciones físicas de la organización. Como política adaptada a PYMES, designa responsabilidades a roles simplificados como el Director General y el Responsable de TI/proveedor externo de TI, reflejando la realidad de que muchas PYMES no cuentan con equipos dedicados de seguridad de TI como Director de Seguridad de la Información (CISO) o Centro de operaciones de seguridad (SOC). De forma importante, esta política se mantiene plenamente alineada y conforme con normas reconocidas internacionalmente, en particular ISO/IEC 27001:2022, a la vez que permite una implantación práctica para organizaciones sin recursos internos complejos. La política describe de forma detallada los procedimientos para conceder, modificar y revocar el acceso, abordando cada etapa del ciclo de vida del usuario. Cubre a todos los usuarios, empleados, contratistas, personal temporal y proveedores terceros de servicios de TI, y se aplica a dispositivos emitidos por la empresa o Trae tu propio dispositivo (BYOD), sistemas en la nube y en las instalaciones, así como a instalaciones físicas como oficinas y salas de servidores seguras. Al incorporar el principio de mínimo privilegio en toda la política, el acceso se concede únicamente según la necesidad del negocio, minimizando de forma exhaustiva el riesgo de acceso no autorizado o uso excesivo de activos sensibles. En el centro de la política se encuentran roles y responsabilidades claros y accionables: el Director General supervisa la aprobación de la política, la asignación de recursos y la gestión de excepciones; el Responsable de TI (o un proveedor externo de confianza) implementa el aprovisionamiento de accesos y el desaprovisionamiento de accesos, mantiene un registro de control de acceso auditable, configura el control de acceso basado en roles (RBAC) y la autenticación multifactor, y realiza la revisión de registros de acceso. Los responsables de departamento autorizan el acceso para sus equipos y solicitan actualizaciones ante cambios de rol, mientras que los empleados deben cumplir los protocolos de acceso seguro y uso. La política activa revisiones de acceso regulares, con una cadencia mínima de revalidación anual, y exige documentación automatizada y manual de los cambios de acceso y las auditorías. Se incorporan procedimientos sólidos de tratamiento de riesgos, gestión de incumplimientos y monitorización del cumplimiento. Las desviaciones del proceso estándar, como el acceso temporal tras la desvinculación, solo se permiten con aprobación de la Alta dirección y documentación completa. Se establecen consecuencias disciplinarias claras por incumplimiento, que van desde reentrenamiento específico hasta la terminación del contrato o escalado legal/regulatorio. La política también responde con rapidez a desencadenantes como cambios tecnológicos, cambios organizativos o incidentes de seguridad, exigiendo revisiones actualizadas y controles revisados. Por último, esta política está diseñada para integrarse sin fricciones con políticas críticas relacionadas para PYMES, como la Política de uso aceptable, la Política de gestión de cambios, la Política de incorporación y cese, las políticas de protección de datos y privacidad de los datos, y la Política de respuesta a incidentes (P30). Su ciclo de revisión anual y la formación obligatoria del personal garantizan que siga siendo eficaz y aplicable ante la evolución de las necesidades del negocio y de cumplimiento, permitiendo a las PYMES mantener entornos de control de acceso sólidos, prácticos y preparados para auditoría.