Código: KOB-SGSI-POL-002

Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 1 de 12

Politica de control de acceso

DOCUMENTO
CONTROLADO

Sistema de Gestión
de la Seguridad de
la Información

ELABORADO POR: REVISADO POR: APROBADO POR:

Gino Orellana Laura Ccoyo Fernando Garcia

Responsable SGSI Coordinadora de Procesos Gerente de General

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 2 de 12

Nº ÍNDICE PÁG.

1. CONTROL DE CAMBIOS 3
2. OBJETIVO 3
3. ALCANCE 3
4. DOCUMENTOS DE REFERENCIA 3
5. DEFINICIONES BÁSICAS 3
6. RESPONSABILIDADES 3
7. DESCRIPCIÓN DEL DOCUMENTO 4
8. DOCUMENTOS ASOCIADOS 6
9. ANEXOS 6

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 3 de 12

1. Control de Cambios

Nº DETALLE DE LA
REVISADO POR APROBADO POR FECHA
VERSIÓN MODIFICACIÓN

00 Documento original Gino Orellana Jose Carrion 05/02/2021

2. Objetivo

El objetivo del presente documento es definir reglas de acceso para diversos sistemas,
equipos, instalaciones e información en base a los requerimientos del negocio y de
seguridad.

3. Alcance

Este documento se aplica a todo el alcance del Sistema de gestión de seguridad de la

información (SGSI); es decir, a todos los sistemas, equipos, instalaciones e información
utilizados dentro del alcance del SGSI.

4. Documentos de Referencia

• ISO 27001: 2013 Sistema de Gestión de la Seguridad de la Información.

• KOB-SGSI-PO-001 Política del SGSI
• Norma ISO 27001:2013, puntos A.6.2.1, A.6.2.2, A.9.1.1, A.9.1.2, A.9.2.1,
A.9.2.3, A.9.2.5, A.9.2.6, A.9.4.3 y A.11.2.4

5. Definiciones básicas

• SGSI: Sistema de gestión de seguridad de información

• Control de acceso: verificación de si una entidad solicitando acceso a un recurso
tiene los derechos necesarios para hacerlo.
• Responsable de autorización de derechos de acceso: funcionario responsable
administrativo de un Sistema Informático, incluyendo la responsabilidad de asignar
los privilegios de acceso, autorizar modificaciones, etc. Debiera ser un Jefe de
Departamento o Unidad

6. Responsabilidades

• Oficial de Seguridad de información: Responsable del desarrollo de políticas de

seguridad en la organización, la coordinación en la respuesta a incidentes que
afecten a los activos de información institucionales

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 4 de 12

• Jefatura de TI: funcionario que es responsable técnico de un Sistema Informático,

incluyendo la creación de respaldos, la revisión de los niveles de seguridad,
mejoras, etc.
• Responsable de autorización de derechos de acceso: funcionario responsable
administrativo de un Sistema Informático, incluyendo la responsabilidad de asignar
los privilegios de acceso, autorizar modificaciones, etc. Debiera ser un Jefe de
Departamento o Unidad

7. Descripción del documento

7.1 Control de acceso

7.1.1 Control de Acceso Fisico

[Link] Acceso a las instalaciones

Está permitido el acceso a todas las instalaciones de la organización, excepto a

aquellas para las cuales el privilegio debe ser concedido por una persona autorizada
(instalaciones con equipos de comunicación, procesamiento o almacenamiento de
información, etc.). Se prohíbe también el acceso a oficinas sin la debida autorización
de alguno de los funcionarios que la ocupan.

Las zonas de acceso restringido a las que se refiere el párrafo anterior deberán estar
debidamente señaladas, excepto en el caso de las oficinas.

Debe existir una persona (rol o cargo) responsable de autorizar el acceso las
instalaciones de acceso restringido.

Esto incluye el acceso a dependencias externas KOBRANZAS S.A.C, que prestan

servicios de almacenamiento de información, a las cuales se podrá acceder, en
compañía de alguno de los responsables.

[Link] Control de Acceso a Archivadores y documentación

El acceso a la documentación almacenada en archivadores está restringido excepto

que haya sido autorizado por el encargado de la unidad responsable de la
documentación.

7.1.2 Control de Acceso a Sistemas o servicios informaticos

En el acceso a todos los sistemas, servicios e información está prohibido salvo que sea
expresamente permitido (como aquellos descritos en la sección [Link]) a usuarios
individuales o a grupos de usuarios.

[Link] Perfiles de usuario

Cada sistema o servicio deberá contar con documentación que indique los perfiles
de usuario existentes, los cargos que tienen derecho de acceso respecto a cada perfil

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 5 de 12

y las funciones que pueden realizar dichos perfiles en el sistema, de acuerdo con la
Ficha de Documentación de Control de Acceso a Sistemas Informáticos que se
encuentra en el Anexo 1.

La ficha mencionada deberá ser entregada por el Encargado del Sistema Informático
al Oficial de Seguridad de la Información, para ser incorporado como documento
anexo a la presente política (un ejemplo de los datos a ingresar en cada campo se
encuentra disponible en el Anexo 2). En caso de no existir dicha documentación, los
encargados de cada sistema informático deberán generarla en plazos acordados
con el Encargado de Seguridad de la Información, estos plazos no podrán exceder
de un año, luego de la fecha de aprobación de la presente política.
Esto es aplicable para el Sistema de gestión de Seguridad de información del proceso
integral de Cobranzas.

[Link] Uso de los servicios de KOBRANZAS S.A.C

Los funcionarios de KOBRANAS S.A.C que tienen un rol la gestión integral de Cobranzas
pueden, desde el momento de su incorporación a la organización, acceder a los
siguientes sistemas o servicios:

 Navegación Web
 Correo electrónico
 Sistema de Gestión Documental
 Sistema de gestión Cobranzas
 Intranet
 Servicio FTP

Para cualquier otro sistema o servicio dentro de la Institución, el colaborador deberá

ser autorizado de acuerdo con lo establecido en la sección [Link].

Los usuarios no pueden acceder a sistemas o servicios para los cuales no cuentan con
autorización.

[Link] Gestión de privilegios

Debe existir una persona (rol o cargo) responsable de autorizar la concesión o

eliminación de privilegios o derechos de acceso para los sistemas o servicios. La cual
debe ser indicada en la Ficha de Documentación de Control de Acceso a Sistemas
Informáticos que se encuentra en el Anexo 1

Al asignar privilegios, la persona responsable debe tener en cuenta los requerimientos

de negocio y de seguridad para el acceso, como también la clasificación de la
información a la que se accede con esos derechos de acceso. Deberá existir un
registro de aquellos privilegios entregados a funcionarios o terceras partes.

El responsable de la autorización de los derechos de acceso debiera ser el Jefe de

área o Unidad Responsable del sistema, o un Dueño de Proceso identificado, el cual
deberá indicar a los responsables técnicos del sistema (o Encargado de Sistema
Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 6 de 12

Informático) la asignación de los privilegios otorgados al usuario.

Esto es aplicable tanto para los sistemas o servicios internos al proceso integral de
Cobranza.

[Link] Revisión periódica de los derechos de acceso

Los propietarios de cada sistema o servicio deben, según los intervalos definidos en la
Ficha de Documentación de Control de Acceso a Sistemas Informáticos que se
encuentra en el Anexo 1, revisar si los derechos de acceso concedidos se mantienen
de acuerdo con los requerimientos de negocios y de seguridad.

Cada revisión debe ser registrada e informada al Oficial de Seguridad de la

información, quien deberá mantener un registro de dichas actividades.

Esto es aplicable tanto para los sistemas o servicios internos al proceso integral de
Cobranza.

[Link] Cambios de estado

Cuando se produce un cambio o finalización de empleo, el área de Recursos

Humanos debe informar inmediatamente al área de Innovación y tecnología, quién
a su vez informará a los encargados de sistemas o a quien autorizó los privilegios del
funcionario en cuestión.

Cuando se modifican las relaciones contractuales con entidades externas que tienen
acceso a sistemas o servicios, o cuando finaliza el contrato, el encargado del sistema
o servicio debe gestionar de forma inmediata la revocación de los permisos de
acceso.

Las personas autorizadas de asignar los privilegios, en esos casos, deben exigir, cuanto
antes, la modificación o eliminación de los derechos de acceso.

En el caso de aquellos servicios o sistemas utilizados por entidades externas (diferentes

a los proveedores con los que existe un contrato de por medio) como clientes, en que
el responsable de la autorización de derechos de acceso, o el Encargado de Sistema
o servicio, no puedan contar con la información al momento del cambio de estado,
ésta deberá solicitarse al menos como parte de la revisión periódica de derechos de
acceso.

7.1.3 Control de Acceso remoto

En general, KOBRANZA S.A.C no provee acceso a sus Sistemas Internos desde fuera de
su red, exceptuando el caso del correo electrónico, y el acceso otorgado en casos
particulares mediante medios seguros, como Red Privada Virtual (VPN, por sus siglas en
inglés).

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 7 de 12

En el caso de aquellos sistemas o servicios destinados a usuarios externos a la Institución,

éstos se encuentran disponibles a través de Internet. Será responsabilidad de los
Encargados de Dichos Sistemas de información, la aplicación de los medios de
seguridad necesarios para proteger la información almacenada en ellos.

[Link] Acceso remoto a Colaboradores

Aquellos Colaboradores que requieran acceso remoto a los servicios de KOBRANZAS

S.A.C. que sólo se encuentran disponibles en la red Interna, deberán solicitarlo al jefe
de TI, justificando el motivo de la solicitud. El jefe de TI podrá aprobar, rechazar o
solicitar más antecedentes respecto de la solicitud. El acceso puede ser VPN para
funcionarios en general o vía SSH (abreviación de Secure Shell, es un protocolo, y el
programa que lo implementa, que permite acceder a maquinas remotas a través de
una red), en el caso de los funcionarios que ejercen funciones relacionadas con
Tecnologías de Información.

En caso de aprobar la solicitud, será responsabilidad del Administrador de la Red la

generación de las credenciales de acceso, las cuales deberán ser entregadas de
forma presencial al funcionario.

En el caso de los accesos vía VPN, será responsabilidad del área de Soporte de TI la
configuración de la misma en el equipo móvil (laptop, netbook, etc.) que utilizará el
funcionario, así como de informar al usuario de las medidas de seguridad y buenas
prácticas al ingresar a la red interna desde fuera de las instalaciones de la Institución.

Será responsabilidad del oficial de seguridad de información difundir e informar a los

funcionarios que tengan acceso remoto a los sistemas y servicios de la organización,
de las medidas de seguridad que estos deben tener al realizar actividades de trabajo
desde fuera de las dependencias de la Institución. Estas medidas de seguridad
deberán incluir al menos las descritas en el Anexo 3 Seguridad del Trabajo Remoto y
aplican tanto para los sistemas y servicios disponibles a través de Internet, como
aquellos privados a los que se haya otorgado acceso especial (vía VPN o SSH).

Será responsabilidad de los empledos que tengan acceso a los sistemas o servicios de
KOBRANZAS S.A.C, el cumplimiento de las medidas de seguridad indicadas por el
Oficial de seguridad de información.

[Link] Computación móvil

Será responsabilidad de la Jefatura de TI difundir e informar a los Colaboradores que

tengan acceso a equipos móviles de la institución, de las medidas de seguridad que
estos deben tomar al utilizar dichos dispositivos. Estas medidas de seguridad deberán
incluir al menos las descritas en el Anexo 4. Seguridad de los dispositivos móviles.

Será responsabilidad de los Colaboradores que tengan acceso a los dispositivos

móviles, el cumplimiento de las medidas de seguridad indicadas en el Sistema de
gestión de seguridad de información.

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 8 de 12

[Link] Acceso remoto a proveedores

En caso de que terceros (proveedores, consultores, etc.), por motivos de desarrollo,

mantención, soporte o auditoría, tanto de sistemas, servicios, servidores o
infraestructura de red, requieran acceso remoto a servidores de KOBRANZAS S.A.C, el
funcionario de la empresa que tenga a cargo el contrato con el tercero, deberá
solicitarlo mediante la jefatura respectiva al Jefe de TI, quien podrá aprobar, rechazar
o solicitar más antecedentes respecto de la solicitud.

En caso de aprobar la solicitud, será responsabilidad del Administrador de la Red la

generación de las credenciales de acceso, quien las deberá comunicar de forma
presencial al tercero en cuestión, salvo que esto no sea posible, podrán ser
entregadas vía telefónica. El Administrador de Red también será responsable de que
los derechos de acceso asignados sean estrictos y no permitan realizar actividades
más allá que de las requeridas para el desempeño de las funciones requeridas.

Será responsabilidad de quien tenga a cargo el contrato con el tercero involucrado,

informar al jefe de TI, la finalización de este, para la revocación de los derechos de
acceso.

[Link] Control de acceso a recursos tecnológicos

El acceso de administración y gestión de recursos tecnológicos en la organización

estará limitado única y exclusivamente a la Gerencia de innovación y tecnología, así
como sus áreas que la componen

Se limita el acceso a los códigos fuentes de los sistemas de la empresa a la unidad

responsable de la Gerencia de innovación y tecnología, o terceros como parte de
servicios de soporte, supervisados por la misma gerencia responsable.

La presente política, deberá ser revisada y de ser necesario actualizada al menos una
vez cada 2 años, o cuando ocurran cambios que pudieran afectar el enfoque del
sistema de gestión de la Seguridad de la Información en relación con el control de
acceso físico y/o lógico.

8. Documentos Asociados

- KOB-SGSI-RG-016 Gestión del Cambio

- KOB-SGSI-PO-001 Política del SGSI

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 9 de 12

9. Anexos

ANEXO 1
Ficha de Documentación de Control de Acceso a Sistemas Informáticos

FICHA DE ALTA DE USUARIO

NOMBRES COMPLETOS APELLIDO PATERNO APELLIDO MATERNO DNI

PUESTO DE TRABAJO

SEDE / UBICACIÓN (PISO)

USUARIO DE DOMINO A CREAR: Personalizado Genérico

Indicar el nombre de usuario tentativo

CORREO ELECTRÓNICO Personalizado Genérico

Indicar el nombre del correo tentativo:

¿REQUIERE ANEXO? SÍ NO
Indicar idUsuario:
Indicar cliente-cartera:

¿SE DEBEN REDIRECCIONAR CORREOS DE OTRA CUENTA A LA

CUENTA DE ESTE USUARIO? SÍ NO
Indicar el correo origen:

¿REQUIERE TRASPASO DE INFORMACIÓN? SÍ NO

Usuario y/o PC que contiene la Información:

Indicar la información que requiere transpasar:

¿REQUIERE ACCESO A COMPARTIDOS? SÍ NO

Indicar cual(es): Todo lo referente al Sistema de Gestion de Calidad, Procesos

¿REQUIERE CONEXIÓN A IMPRESORAS? SÍ NO

Indicar el piso:

¿REQUIERE ACCESO AL SISTEMA DE GESTIÓN 2.0? SÍ NO

Indicar cual(es):

¿REQUIERE INSTALACIÓN DE OTRO SOFTWARE / SISTEMA

SÍ NO
ADICIONAL?
Indicar cual(es): Office, Bizagi

¿REQUIERE ACCESO A INTERNET? SÍ NO

Indicar páginas: Libre

SOLICITANTE:
Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 10 de 12

ANEXO 2
Ejemplo de llenado de Ficha de Documentación de Control de Acceso a
Sistemas Informáticos

FICHA DE ALTA DE USUARIO

NOMBRES COMPLETOS APELLIDO PATERNO APELLIDO MATERNO DNI

Juan Alberto Gonzales Torres 58784123

PUESTO DE TRABAJO Agente de call

SEDE / UBICACIÓN (PISO) Independencia / 7

USUARIO DE DOMINO A CREAR: Personalizado X Genérico

Indicar el nombre de usuario tentativo JTORRES

CORREO ELECTRÓNICO Personalizado

X Genérico

Indicar el nombre del correo tentativo: JTORRES@[Link]

¿REQUIERE ANEXO? SÍ X
NO
Indicar idUsuario: JTORRES
Indicar cliente-cartera: XYZ

¿SE DEBEN REDIRECCIONAR CORREOS DE OTRA CUENTA A LA

X
CUENTA DE ESTE USUARIO? SÍ NO
Indicar el correo origen:

¿REQUIERE TRASPASO DE INFORMACIÓN? SÍ NO X

Usuario y/o PC que contiene la Información:

Indicar la información que requiere transpasar:

¿REQUIERE ACCESO A COMPARTIDOS? SÍ X

NO
Indicar cual(es): Todo lo referente al Sistema de Gestion de Calidad, Procesos

¿REQUIERE CONEXIÓN A IMPRESORAS? SÍ NO X

Indicar el piso:

¿REQUIERE ACCESO AL SISTEMA DE GESTIÓN 2.0? SÍ X NO

Indicar cual(es):

¿REQUIERE INSTALACIÓN DE OTRO SOFTWARE / SISTEMA

SÍ X NO
ADICIONAL?
Indicar cual(es): Office, Bizagi: Office

¿REQUIERE ACCESO A INTERNET? SÍ NO X

Indicar páginas: Libre

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 11 de 12

Anexo 3
Seguridad del trabajo remoto

El Trabajo Remoto significa que los equipos de información y comunicación se utilizan

para permitir que los Colaboradores realicen su trabajo fuera de la organización, esto
incluye el acceso a herramientas o servicios públicos como el correo electrónico o el
acceso a sistemas mediante accesos especiales como VPN.

Al realizar actividades de trabajo desde fuera de la empresa, se deben tener presente

las siguientes recomendaciones:

 Evitar el acceso no autorizado de personas que viven o trabajan en la ubicación

donde se realiza la actividad de Trabajo Remoto.
 Configuración adecuada de la red local utilizada para conectarse a la Internet.
 Protección de los derechos de propiedad intelectual de la organización, tanto por el
software como por otros contenidos que puedan estar protegidos por derechos de
propiedad intelectual.
 Procurar no realizar actividades prohibidas por las normas o políticas de la institución.

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno
 Código: KOB-SGSI-POL-002
Versión: 00
Politica de control de acceso
Fecha: 05/02/2021
Página: 12 de 12

Anexo 4
Seguridad de los dispositivos moviles

Entre los equipos de computación móvil se incluyen todo tipo de ordenadores

portátiles, teléfonos móviles, tarjetas de memoria y demás equipamiento móvil utilizado
para almacenamiento y procesamiento de datos.

La persona que se lleva equipos de computación móvil fuera de las instalaciones debe
cumplir las siguientes reglas:

 El equipamiento de computación móvil que contiene información importante, sensible

o crítica no debe ser desatendido y, en lo posible, debe quedar resguardado bajo llave
o se deben utilizar trabas especiales para asegurarlo.
 Se debe tener especial cuidado cuando los equipos de computación móvil se
encuentran en vehículos (incluyendo automóviles), espacios públicos, habitaciones de
hotel, salas de reunión, centros de conferencias y demás áreas no protegidas exteriores
a las instalaciones de la organización.
 Cuando se utiliza equipamiento de computación móvil en lugares públicos, el usuario
debe tener la precaución de que los datos no puedan ser leídos por personas no
autorizadas.
 Se debe evitar la conexión de los equipos móviles a redes públicas, ya que la
información transmitida podría ser vista por otros usuarios (incluyendo claves de acceso,
correos electrónicos, etc.)

Documento propiedad de KOBRANZAS S.A.C. prohibido su reproducción total o parcial sin autorización.
El ejemplar impreso es copia NO controlada de la información documentada del SGSI de KOBRANZAS S.A.C.
Documento de Uso Interno