Además de las normas generales aplicables a todos los servicios y recursos de la US, a cada local se le aplican unas medidas de seguridad de control de acceso que dependen de sus características. Con el fin de establecer unas medidas homologables, a cada local se le asigna una de las siguientes categorías:
- Centro de Proceso de Dato (en adelante CPD): sala de equipamiento TI en la que se ubican los Sistemas de Información de la US. Requiere unas características técnicas particulares, infraestructura específica, medidas concretas de seguridad y mantenimiento continuo para su correcto funcionamiento.
- Cuarto Técnico de Telecomunicaciones: local donde se ubican los racks de telecomunicaciones del edificio y/o la central telefónica del edificio o Campus.
- Sala de operación: sala, normalmente anejas al CPs, donde se desarrollan tareas de operación de los mismos.
- Almacén: local donde se guarda material informático y de telecomunicaciones y/o copias de seguridad.
- Otros espacios TI: el resto de los espacios de trabajo que no se encuadran en las categorías anteriores como aulas TI, laboratorios, salas de videoconferencia, seminarios, salas de servidores, etc.
- Despachos: espacios en los que desarrolla su trabajo el personal de la US y que están dotados de las infraestructuras TI requeridas por el puesto de trabajo.
El inventario de áreas de acceso restringido, con su clasificación, se relaciona en el Anexo II de esta normativa, en el que ser incluirá la persona encargada del del control y registro de accesos. Estas personas se encargan de la identificación en primera instancia del personal autorizado. Ante cualquier duda sobre la identidad de las personas que soliciten acceso, se requerirá su autenticación a los servicios de seguridad.
En general, el trabajo en el interior de estos se regirá por la normativa básica de buenas prácticas.
1. Acceso a Centros de Proceso de Datos
Todos los CPDs disponen de un sistema informatizado de registro y control de acceso basado en lectores de tarjeta de proximidad. El acceso se realiza utilizando una tarjeta corporativa proporcionada por la US y, dependiendo del CPD, tecleando adicionalmente un PIN. En cada acceso queda registrado de forma automática la tarjeta, la fecha y hora en la que se produce el acceso. Sólo puede acceder a los CPDs el personal autorizado por el responsable de explotación del área restringida.
1.1. Perfiles de acceso:
- Acceso permanente: personal que realiza tareas habituales en las salas de operación y en los CPDs, y que dispone de tarjeta de acceso propia, asignada a su nombre, la cual es personal e intransferible. Aunque el acceso sea permanente, si el sistema de control de acceso lo permite, podrían existir limitaciones horarias en función del grupo al que pertenezcan. Los grupos de personas con acceso permanente son los siguientes:
- Personal de sistemas: explotación, comunicaciones y atención a usuarios.
- Limpieza: personal de limpieza destinado al edificio.
- Seguridad: vigilantes de Campus y Responsable de Seguridad del Campus.
- Personal responsable de evacuación en caso de emergencia.
- Personal de Mantenimiento de la US.
- Acceso temporal: personal interno o externo de la US que debe realizar tareas ocasionales durante un periodo de tiempo definido, y a los que se debe proveer de autorización temporal, ya sea asignando el permiso sobre su tarjeta corporativa, o en caso de no disponer de tarjeta, proporcionándole una tarjeta de cortesía a la que se asigna el permiso de acceso correspondiente y cuyo uso debe quedar registrado. Esta tarjeta podrá ser de uso diario, en cuyo caso se recogerá al inicio de la jornada de trabajo y se devolverá al finalizar, o bien permanente si es una tarjeta para un centro que dispone de instalaciones TI. En este caso el centro será el responsable de registrar los usos de la tarjeta. Una persona con acceso permanente indicará a la persona con acceso temporal la ubicación del rack, equipo o sistema sobre el que ha de actuar.
- Visitas: personal interno o externo de la US que realiza tareas puntuales sin supervisión, visitas supervisadas o visitas guiadas a las instalaciones.
- Visitas sin supervisión: personal que ha de acceder para realizar tareas puntuales y que no es necesario que estén acompañados mientras realizan sus tareas, por ejemplo, reparación de averías, instalaciones de cableado y de equipos, etc. Una persona con acceso permanente indicará al visitante la ubicación del rack, equipo o sistema sobre el que ha de actuar. Una vez finalizado el trabajo, lo notificará a la persona que le ha acompañado en el acceso y a la persona para la que ha realizado el trabajo, para registrar el fin de la visita.
- Visitas supervisadas: personal que ha de acceder puntualmente y han de estar acompañados en todo momento. Si se trata de visitas de replanteo de instalaciones, transportistas, etc. el acceso al área restringida se realizará acompañado de una persona que dispone de acceso permanente, quien le acompañará hasta el rack, equipo o sistema sobre el que ha de actuar, y permanecerá acompañado en todo momento hasta la finalización de la visita.
- Visitas guiadas a las instalaciones: se rigen por el protocolo elaborado por el Servicio de Prevención de Riesgos Laborales de la Universidad de Sevilla (en adelante SEPRUS) que recoge el documento “Recepción de Grupos de Visitantes en Instalaciones de la Universidad de Sevilla”. Dada la naturaleza de estas instalaciones cada Centro podrá disponer de consideraciones particulares que deberán ser consultadas al solicitar la visita.
El procedimiento de solicitud y asignación de permisos de acceso, así como el protocolo detallado de acceso al CPD estará descrito en la normativa particular de cada instalación. El SIC dispone de una normativa propia, aprobada y disponible dentro del marco del Proceso de Gestión de la Continuidad.
En todo caso, el personal ajeno a la US que tenga que realizar cualquier tipo de trabajo en sus instalaciones, deberá ajustarse a la normativa publicada por el SEPRUS en cuanto a subcontratación de servicios externos, debiendo estar dado de alta en el Portal GESPREM (coordinación de actividades empresariales en la US) para poder realizar los trabajos en cualquier instalación objeto de este documento.
2. Acceso a Cuartos Técnicos de Telecomunicaciones
Los cuartos técnicos están siempre cerrados bajo llave o con cerradura electrónica. Sólo puede acceder a los cuartos técnicos el personal autorizado por la persona responsable. En caso de que el cuarto técnico disponga de cerradura electrónica, el procedimiento de acceso será el mismo que para los CPDs.
Los armarios de comunicaciones que estén ubicados en pasillos o en espacios de uso compartido (no exclusivos de comunicaciones) permanecerán siempre cerrados con llave.
3. Acceso a Salas de Operación
El acceso a las salas de operación se realizará en las mismas condiciones que a los CPDs, a excepción del personal externo que no dispone de tarjeta de la US y debe acceder a esta sala con DNI + PIN. Se podrán disponer video-porteros para facilitar el acceso a personal ajeno, por ejemplo, para entrega de material, para solicitud de tarjeta de cortesía, etc. La entrega de paquetes no quedará registrada.
Las visitas guiadas a las salas de operación se rigen por el mismo protocolo que los CPDs.
Cuando una persona con acceso autorizado a un CPD acceda por una sala de operación, se entiende autorizada a esta última con los permisos de acceso al CPD.
4. Acceso a otros espacios TI
Los espacios TI de trabajo que no se encuadran en las categorías anteriores como aulas TI, laboratorios, seminarios, salas de servidores, salas de videoconferencia, etc. deben considerarse sensibles desde el punto de vista de la seguridad porque disponen de equipos con software y, en muchos casos, acceso a los Sistemas de Información de la US.
Deben seguirse los siguientes principios mínimos de seguridad:
- Permanecerán cerrados cuando no haya nadie trabajando en ellos.
- Fuera del horario de trabajo sólo accederán a ellos personal autorizado de limpieza y seguridad.
5. Acceso a despachos
En general, los despachos del personal de la US están dotados de las infraestructuras TI requeridas por el puesto de trabajo. Cada miembro de la Comunidad Universitaria será responsable del acceso restringido a su despacho y velará por la seguridad de los equipos e información de este. Tiene autorización de acceso a los despachos el personal de servicios de limpieza y de seguridad.
En particular, los despachos del personal que trabaja directamente con las TI deben considerarse especialmente sensibles desde el punto de vista de la seguridad por diversas razones:
- Guardan información sobre estructura y funcionalidad de distintos sistemas de información.
- Pueden disponer de equipos con software y permisos de acceso privilegiado a sistemas de información críticos.
- En algunos casos son lugares que dan acceso a otros de idéntica o similar naturaleza.
En todos los casos deben seguirse los siguientes principios mínimos de seguridad:
- Permanecerán cerrados cuando no haya nadie trabajando en ellos.
- Fuera del horario de trabajo sólo accederán a ellos personal autorizado de limpieza y seguridad.
- En caso de ausencia, el puesto de trabajo estará bloqueado y el monitor presentará la pantalla de bloqueo.
- Se seguirá una política de escritorios limpios cuando deba abandonarse el lugar de trabajo, aunque sea de manera temporal. Se guardará bajo llave en cajones y armarios toda información que pueda considerarse sensible.
Acceso a la normativa vigente completa
Normativa de acceso físico a espacios con tecnología de la Universidad de Sevilla.