Política de Seguridad Física

El acceso físico a las instalaciones de [ORGANIZACION] deberá controlarse a través de: sistemas de control de acceso con tarjeta/credencial en todos los puntos de entrada, procedimientos de registro de entrada/salida de visitantes con requisitos de escolta para áreas no públicas, y vigilancia CCTV en entradas, salidas y áreas sensibles con grabaciones retenidas durante al menos [PERSONALIZAR: 30/90] días.

Las áreas sensibles (centros de datos, salas de servidores, closets de red, oficinas ejecutivas) deberán tener restricciones de acceso adicionales con acceso limitado al personal específicamente autorizado.

Las tarjetas/credenciales de acceso deberán desactivarse dentro de [PERSONALIZAR: 24 horas] de la separación del personal y recopilarse durante el proceso de desvinculación.

Los registros de acceso físico deberán revisarse al menos [PERSONALIZAR: mensual/trimestralmente] para identificar anomalías.

Los centros de datos y salas de servidores deberán estar protegidos con: control de acceso físico multifactor (tarjeta + PIN o biométrico), controles ambientales (supresión de incendios, HVAC, detección de agua), suministro de energía ininterrumpible (UPS) y generación de energía de respaldo, gestión de cableado para prevenir desconexiones accidentales y cerraduras en los racks de equipos para servidores que contengan datos Confidenciales o Restringidos.

Se deberá mantener un registro de visitantes para todo acceso no regular a centros de datos y salas de servidores.

No se permitirá comida, bebida ni fumar en centros de datos ni salas de servidores.

Las computadoras portátiles y dispositivos portátiles deberán asegurarse físicamente cuando estén desatendidos (cables de seguridad, cajones/gabinetes con llave u oficinas cerradas).

La eliminación de equipos deberá seguir la Política de Retención y Eliminación de Datos, con los medios de almacenamiento sanitizados o destruidos antes de que el equipo salga del control de [ORGANIZACION].

El equipo retirado de las instalaciones de [ORGANIZACION] (para reparación, eliminación o reasignación) deberá ser autorizado por [PERSONALIZAR: Gestión de Activos de TI/Gerente] y registrado.

Los documentos sensibles no deberán dejarse desatendidos en escritorios ni en áreas comunes. Se deberá observar una política de escritorio limpio al final de cada día laboral.

Las pantallas de las estaciones de trabajo deberán bloquearse cuando el usuario abandone su estación de trabajo, con bloqueo automático de pantalla configurado después de [PERSONALIZAR: 5/10] minutos de inactividad.

Las pizarras y pantallas compartidas en salas de reuniones deberán borrarse después de discusiones que involucren información sensible.