Procedimiento de Control de Acceso Físico a Salas Críticas

📋 Información General

Documento: Procedimiento de Control de Acceso Físico a Salas Críticas
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Personal de Seguridad, Facilities, Empleados, Visitantes

🎯 Propósito

Establecer los procedimientos para controlar, monitorear y auditar el acceso físico a salas críticas de DivisionCero, garantizando que solo personal autorizado pueda ingresar a áreas sensibles que contienen infraestructura crítica, equipos de procesamiento de datos y sistemas de información.

🏢 Alcance

Este procedimiento aplica a:

• Salas de servidores y centros de datos
• Salas de telecomunicaciones y networking
• Cuartos de equipos críticos (UPS, generadores, HVAC)
• Oficinas ejecutivas y áreas de alta seguridad
• Espacios de almacenamiento de medios confidenciales
• Laboratorios de desarrollo y testing
• Salas de reuniones para información confidencial

📚 Definiciones

• Sala Crítica: Área que contiene infraestructura vital para operaciones del negocio
• Acceso Autorizado: Permiso explícito documentado para ingresar a áreas restringidas
• Escolta de Seguridad: Acompañamiento obligatorio para visitantes en áreas sensibles
• Badge de Acceso: Tarjeta de identificación con tecnología de proximidad o biométrica
• Tailgating: Ingreso no autorizado siguiendo a persona con acceso legítimo
• Mantrap: Sistema de dos puertas que previene acceso no autorizado

🛡️ Política

Principios de Acceso Físico

• Necesidad de Conocer: Acceso basado en funciones específicas del trabajo
• Menor Privilegio: Mínimo acceso necesario para desempeñar funciones
• Segregación de Funciones: Separación de responsabilidades críticas
• Monitoreo Continuo: Supervisión 24/7 de áreas críticas
• Trazabilidad Completa: Registro detallado de todos los accesos

Clasificación de Zonas de Seguridad

Zona Roja (Máxima Restricción)

• Ubicaciones: Data center principal, sala de servidores core
• Requisitos: Autorización nivel C-Suite + biometría + escolta
• Monitoreo: CCTV 24/7 + detección de intrusión + alarmas silenciosas

Zona Amarilla (Alta Restricción)

• Ubicaciones: Salas de telecomunicaciones, backup sites, laboratorios
• Requisitos: Autorización gerencial + badge + registro de ingreso
• Monitoreo: CCTV durante horario laboral + sensores de movimiento

Zona Verde (Restricción Moderada)

• Ubicaciones: Oficinas administrativas, salas de reuniones ejecutivas
• Requisitos: Badge de empleado + justificación de acceso
• Monitoreo: Registro de accesos + cámaras en puntos de entrada

🔐 Procedimientos de Acceso

Para Empleados Permanentes

1. Solicitud de Acceso

   • Completar formulario de solicitud de acceso físico
   • Justificación detallada de necesidad de negocio
   • Aprobación del supervisor directo
   • Validación del Oficial de Seguridad

2. Provisión de Credenciales

   • Emisión de badge con nivel de acceso apropiado
   • Registro biométrico para zonas críticas
   • Capacitación en procedimientos de seguridad física
   • Firma de acuerdo de cumplimiento

3. Proceso de Ingreso

   • Presentación de badge en lector de acceso
   • Verificación biométrica si es requerida
   • Esperar confirmación visual o auditiva de autorización
   • Cerrar completamente la puerta tras el ingreso

Para Visitantes y Contratistas

1. Pre-registro

   • Solicitud mínimo 24 horas antes de la visita
   • Verificación de antecedentes para acceso crítico
   • Designación de empleado responsable como escolta
   • Aprobación del área a visitar

2. Proceso de Ingreso

   • Registro en recepción con identificación válida
   • Emisión de badge temporal con restricciones
   • Asignación de escolta para zonas críticas
   • Briefing de seguridad y reglas de acceso

3. Durante la Visita

   • Escolta permanente en zonas amarillas y rojas
   • Prohibición de fotografías sin autorización expresa
   • Restricción de dispositivos electrónicos personales
   • Supervisión continua de actividades

4. Proceso de Salida

   • Devolución de badge y materiales temporales
   • Verificación de no retención de información confidencial
   • Registro de hora de salida y firma de conformidad
   • Reporte de cualquier incidente durante la visita

Para Acceso de Emergencia

1. Activación de Protocolo

   • Declaración formal de emergencia por autoridad competente
   • Notificación inmediata al Oficial de Seguridad
   • Activación de procedimientos de contingencia
   • Override temporal de restricciones según necesidad

2. Acceso Temporal

   • Uso de códigos maestros o llaves físicas de emergencia
   • Escolta obligatoria de personal de seguridad
   • Registro detallado de todas las actividades realizadas
   • Documentación post-evento de justificaciones

👥 Roles y Responsabilidades

• Oficial de Seguridad: Gestionar programa de acceso físico y investigar incidentes
• Gerente de Facilities: Mantener infraestructura de control de acceso
• Supervisores: Aprobar solicitudes de acceso de su personal
• Personal de Seguridad: Monitorear accesos y responder a alarmas
• Empleados: Cumplir procedimientos y reportar intentos de acceso no autorizado
• Recepcionistas: Gestionar proceso de registro de visitantes

🔍 Monitoreo y Auditoría

Sistemas de Monitoreo

• CCTV: Cobertura 24/7 en todas las zonas críticas
• Sistemas de Acceso: Logs detallados de todos los intentos de acceso
• Detección de Intrusión: Sensores de movimiento y apertura de puertas
• Análisis de Comportamiento: Detección de patrones anómalos de acceso

Auditorías Regulares

• Revisión Mensual: Análisis de logs de acceso y identificación de anomalías
• Auditoría Trimestral: Verificación de cumplimiento de procedimientos
• Pruebas de Penetración Física: Evaluación anual de controles de seguridad
• Revisión de Accesos: Validación semestral de permisos activos

Indicadores de Monitoreo

• Intentos de acceso no autorizado por período
• Tiempo promedio de respuesta a alarmas de seguridad
• Porcentaje de cumplimiento en procedimientos de escolta
• Número de incidentes de tailgating detectados

🚨 Respuesta a Incidentes

Tipos de Incidentes

• Acceso No Autorizado: Ingreso sin permisos válidos
• Tailgating: Seguimiento no autorizado de persona con acceso
• Forzamiento de Puertas: Intento de acceso físico violento
• Badge Perdido/Robado: Compromiso de credenciales de acceso

Procedimiento de Respuesta

1. Detección: Identificación inmediata del incidente
2. Contención: Aislamiento del área y neutralización de amenaza
3. Investigación: Análisis forense de logs y evidencias de video
4. Remediación: Implementación de medidas correctivas
5. Seguimiento: Monitoreo post-incidente y lecciones aprendidas

📊 Cumplimiento y Medición

Métricas Clave

• Efectividad de Controles: 99.5% de detección de accesos no autorizados
• Tiempo de Respuesta: Máximo 2 minutos para alertas críticas
• Cumplimiento de Procedimientos: 100% de visitantes con escolta en zonas críticas
• Disponibilidad del Sistema: 99.9% de operatividad de sistemas de acceso

Revisiones Regulares

• Evaluación mensual de la efectividad de controles
• Actualización trimestral de procedimientos según cambios organizacionales
• Certificación anual de cumplimiento con estándares de seguridad
• Benchmarking con mejores prácticas de la industria

🚨 Incumplimiento

Sanciones por Violación

• Empleados: Medidas disciplinarias progresivas hasta terminación
• Visitantes: Prohibición permanente de acceso a instalaciones
• Contratistas: Rescisión de contrato y demandas por daños
• Proveedores: Evaluación de continuidad de relación comercial

Escalamiento de Incidentes

• Notificación inmediata a Oficial de Seguridad
• Reporte dentro de 2 horas a CISO y gerencia
• Documentación completa dentro de 24 horas
• Seguimiento semanal hasta resolución completa

📖 Referencias

• ISO 27001:2022 - Control A.7.1 Áreas Seguras
• NIST SP 800-116 - Guidelines for Physical Access Control Systems
• Política de Seguridad Física y Ambiental del Data Center
• Procedimiento de Gestión de Incidentes de Seguridad
• Manual de Operación de Sistemas de CCTV

📝 Control de Versiones

Última modificación: 25 de agosto de 2025