9.1 ÁREAS SEGURAS
Objetivo: evitar el acceso físico no autorizado, el daño o la interferencia a las instalaciones y a la información de la organización.Los servicios de procesamiento de información sensible o crítica deberían estar ubicados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada adecuados. Dichas áreas deberían estar protegidas físicamente contra acceso no autorizado, daño e interferencia.
La protección suministrada debería estar acorde con los riesgos identificados.
9.1.1 Perímetro de seguridad física
Control
Se deberían utilizar perímetros de seguridad (barreras tales como paredes, puertas de acceso controladas con tarjeta o mostradores de recepción atendidos) para proteger las áreas que contienen información y servicios de procesamiento de información.Guía de implementación
Se deberían considerar e implementar las siguientes directrices para los perímetros de
seguridad física:
a) se recomienda definir claramente los perímetros de seguridad y la ubicación y la
fortaleza de cada perímetro deberían depender de los requisitos de seguridad de los
activos dentro del perímetro, así como de los resultados de la evaluación de riesgos;
b) los perímetros de una edificación o un lugar que contenga servicios de procesamiento
de información deberían ser robustos físicamente (es decir, no deberían existir brechas
en el perímetro o áreas donde fácilmente pueda ocurrir una intrusión); las paredes
externas del sitio deberían tener una construcción sólida y todas las puertas externas
deberían tener protección adecuada contra el acceso no autorizado con mecanismos de
control tales como barras, alarmas, relojes, etc., las puertas y ventanas deberían estar
cerradas con llave cuando no están atendidas y se debería tener presente la protección
externa para las ventanas, particularmente a nivel del suelo;
c) se debería establecer un área de recepción con personal u otros medios para controlar
el acceso físico al lugar o edificación; el acceso a los sitios y edificaciones debería estar
restringido únicamente al personal autorizado;
d) cuando sea viable, se deberían construir barreras físicas para evitar el acceso físico no
autorizado y la contaminación ambiental;
e) todas las puertas de incendio en el perímetro de seguridad deberían tener alarma,
monitorearse y someterse a prueba junto con las paredes para establecer el grado
requerido de resistencia, según las normas regionales, nacionales e internacionales;
éstas deberían funcionar de manera segura de acuerdo con el código local de
incendios;
f) es recomendable la instalación de sistemas adecuados de detección de intrusos según
normas nacionales, regionales o internacionales y someterlos a pruebas regularmente
para verificar todas las puertas externas y ventanas accesibles; las áreas desocupadas
siempre deberían tener alarmas, también se debería tener cubrimiento de otras áreas,
por ejemplo los recintos de computadores o de comunicaciones;
g) los servicios de procesamiento de información dirigidos por la organización deberían
estar físicamente separados de aquellos dirigidos por terceras partes.
Información adicional
La protección física se puede lograr creando una o más barreras físicas alrededor de las
instalaciones y los servicios de procesamiento de información de la organización. El empleo de barreras múltiples proporciona protección adicional, cuando la falla de una sola barrera no implica que la seguridad se vea comprometida inmediatamente.
Un área segura puede ser una oficina que se pueda asegurar o varios recintos rodeados por continuas barreras de seguridad física internas. Pueden ser necesarias las barreras y los perímetros adicionales para controlar el acceso físico entre áreas con requisitos de seguridad diferentes dentro del perímetro de seguridad.
Se debería considerar especialmente la seguridad del acceso físico a las edificaciones en
donde se encuentran varias organizaciones.
9.1.2 Controles de acceso físico
Control
Las áreas seguras deberían estar protegidas con controles de acceso apropiados paraasegurar que sólo se permite el acceso a personal autorizado.
Guía de implementación
Se deberían tener en cuenta las siguientes directrices:
a) se deberían registrar la fecha y la hora de entrada y salida de visitantes y todos los
visitantes deberían estar supervisados, a menos que su acceso haya sido aprobado
previamente; sólo se les debería dar acceso para propósitos específicos y autorizados y
dicho acceso se debería emitir con instrucciones sobre los requisitos de seguridad del
área y sobre los procedimientos de emergencia;
b) se debería controlar el acceso a áreas en donde se procesa o almacena información
sensible y restringir el acceso únicamente a personas autorizadas; se deberían utilizar
controles de autenticación como las tarjetas de control de acceso más el número de
identificación personal (PIN) para autorizar y validar el acceso, se recomienda mantener
de forma segura una prueba de auditoría de todos los accesos;
c) se debería exigir a todos los empleados, contratistas y usuarios de terceras partes la
utilización de alguna forma de identificación visible y se debería notificar
inmediatamente al personal de seguridad si se encuentran visitantes sin acompañante y
cualquiera que no use identificación visible;
d) al personal del servicio de soporte de terceras partes se le debería dar acceso
restringido a las áreas seguras o a los servicios de procesamiento de información
sensible únicamente cuando sea necesario; éste acceso se debería autorizar y
monitorear;
e) los derechos de acceso a áreas seguras se deberían revisar y actualizar con regularidad
y revocados cuando sea necesario (véase el numeral 8.3.3).
9.1.3 Seguridad de oficinas, recintos e instalaciones
Control
Se debería diseñar y aplicar la seguridad física para oficinas, recintos e instalaciones.Guía de implementación
Se recomienda tener en cuenta las siguientes directrices para la seguridad de oficinas, recintos y servicios:
a) tener presente los reglamentos y las normas pertinentes a la seguridad y la salud;
b) las instalaciones claves se deberían ubicar de modo que se evite el acceso al público;
c) cuando sea viable, las edificaciones deberían ser discretas y no tener indicaciones
sobre su propósito, sin señales obvias, fuera o dentro de ellas, que identifiquen la
presencia de actividades de procesamiento de información;
d) los directorios y los listados telefónicos internos que indican las ubicaciones de los
servicios de procesamiento de información sensible no deberían ser de fácil acceso al
público.
9.1.4 Protección contra amenazas externas y ambientales
Control
Se deberían diseñar y aplicar protecciones físicas contra daño por incendio, inundación,terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial.
Guía de implementación
Se deben tener en cuenta todas las amenazas para la seguridad que presentan las
instalaciones circundantes, por ejemplo, un incendio en la edificación contigua, fuga de agua por un techo o en los pisos por debajo del nivel del suelo o una explosión en la calle.
Se recomienda tener en mente las siguientes directrices para evitar daño debido a incendio,
inundación, terremoto, explosión, malestar social, y otras formas de desastre natural o artificial:
a) los materiales combustibles o peligrosos se deberían almacenar a una distancia
prudente del área de seguridad. Los suministros a granel tales como los materiales de
oficina, no se deberían almacenar en un área segura;
b) los equipos de repuesto y los medios de soporte de seguridad se deberían ubicar a una
distancia prudente para evitar daño debido a algún desastre que afecte a las
instalaciones principales;
c) se debería suministrar equipo apropiado contra incendios y ubicarlo adecuadamente.
9.1.5 Trabajo en áreas seguras
Control
Se deberían diseñar y aplicar la protección física y las directrices para trabajar en áreasseguras.
Guía de implementación
Se deberían considerar las siguientes directrices:
a) el personal sólo debería conocer la existencia de un área segura o las actividades
dentro de ella en función de la necesidad con base conocida;
b) se debería evitar el trabajo no supervisado en áreas seguras tanto por razones de
seguridad como para evitar las oportunidades de actividades maliciosas;
c) las áreas seguras vacías deberían tener bloqueo físico y se deberían revisar
periódicamente;
d) no se debería permitir equipo de grabación fotográfica, de video, de audio ni otro equipo
de grabación como cámaras en dispositivos móviles, a menos que esté autorizado.
Las disposiciones para el trabajo en áreas seguras incluyen controles para los empleados,
contratistas y usuarios de terceras partes que laboran en el área segura, así como otras
actividades de tercera parte que tengan lugar.
9.1.6 Áreas de carga, despacho y acceso público
Control
Los puntos de acceso tales como las áreas de carga y despacho y otros puntos por dondepueda ingresar personal no autorizado a las instalaciones se deberían controlar y, si es posible, aislar de los servicios de procesamiento de información para evitar el acceso no autorizado.
Guía de implementación
Se recomienda considerar las siguientes directrices
a) se debería restringir el acceso al área de despacho y carga desde el exterior de la
edificación a personal identificado y autorizado;
b) el área de despacho y carga se debería designar de forma tal que los suministros se
puedan descargar sin que el personal de despacho tenga acceso a otras partes de la
edificación;
c) las puertas externas del área de despacho y entrega deberían estar aseguradas
mientras las puertas internas estén abiertas;
d) el material que llega se debería inspeccionar para determinar posibles amenazas (véase
el numeral 9.2.1d) antes de moverlo desde el área de despacho y carga hasta el punto
de uso;
e) el material que llega se debería registrar de acuerdo con los procedimientos de gestión
de activos (véase el numeral 7.1.1) a su entrada al lugar;
f) los envíos entrantes y salientes se deberían separar físicamente, cuando sea posible.
9.2 SEGURIDAD DE LOS EQUIPOS
Objetivo: evitar pérdida, daño, robo o puesta en peligro de los activos, y la interrupción de lasactividades de la organización.
Los equipos deberían estar protegidos contra amenazas físicas y ambientales.
La protección del equipo (incluyendo el utilizado por fuera, y el retiro de la propiedad) es
necesaria para reducir el riesgo de acceso no autorizado a la información y para proteger
contra pérdida o daño. También se debería considerar la ubicación y la eliminación de los
equipos. Es posible que se requieran controles especiales para la protección contra amenazas físicas y para salvaguardar los servicios de soporte tales como energía eléctrica e infraestructura de cableado.
9.2.1 Ubicación y protección de los equipos
Control
Los equipos deberían estar ubicados o protegidos para reducir el riesgo debido a amenazas o peligros del entorno, y las oportunidades de acceso no autorizado.Guía de implementación
Se recomienda considerar las siguientes directrices para la protección de los equipos:
a) Los equipos se deberían ubicar de modo tal que se minimice el acceso innecesario a las
áreas de trabajo;
b) los servicios de procesamiento de información que manejan datos sensibles, deberían
estar ubicados de forma tal que se reduzca el riesgo de visualización de la información
por personas no autorizadas durante su uso, y los sitios de almacenamiento se
deberían asegurar para evitar el acceso no autorizado;
c) los elementos que requieran protección especial deberían estar aislados para reducir el
nivel general de protección requerida de los demás elementos;
d) se recomienda adoptar controles para minimizar el riesgo de amenazas físicas
potenciales, por ejemplo robo, incendio, explosión, humo, agua (o falla en el suministro
de agua), polvo, vibración, efectos químicos, interferencia con el suministro eléctrico,
interferencia en las comunicaciones, radiación electromagnética y vandalismo;
e) se deberían establecer directrices para comer, beber y fumar en las cercanías de los
servicios de procesamiento de información;
f) es conveniente monitorear las condiciones ambientales, como temperatura y humedad,
para determinar las condiciones que podrían afectar adversamente el funcionamiento de
los servicios de procesamiento de información;
g) se debería aplicar protección contra rayos a todas las edificaciones y adaptar filtros
protectores a las fuentes de energía entrantes y a las líneas de comunicación;
h) es recomendable considerar la utilización de métodos especiales de protección para
equipos en ambientes industriales, tales como membranas para los teclados;
i) Los equipos de procesamiento de información sensible deberían estar protegidos para
minimizar el riesgo de fuga de información debido a filtración.
9.2.2 Servicios de suministro
Control
Los equipos deberían estar protegidos contra fallas en el suministro de energía y otrasanomalías causadas por fallas en los servicios de suministro.
Guía de implementación
Todos los servicios de suministro, tales como electricidad, agua, alcantarillado, calefacción /
ventilación y aire acondicionado deberían ser adecuados para los sistemas a los que dan apoyo. Los servicios de suministro se deberían inspeccionar regularmente y someter a las
pruebas apropiadas para garantizar su funcionamiento adecuado y reducir cualquier riesgo
debido a su mal funcionamiento o falla. Se recomienda proporcionar un suministro eléctrico
acorde con las especificaciones del fabricante del equipo.
Se recomienda el suministro de energía sin interrupción (UPS) para dar soporte al cierre
ordenado o al funcionamiento continuo de equipos que soportan operaciones críticas para el negocio. Los planes de contingencia deberían incluir la acción que se ha de tomar en caso de falla de la UPS. Se recomienda pensar en una planta de energía alterna, si se requiere la continuidad del procesamiento en caso de fallas energéticas prolongadas. Debería estar disponible un suministro adecuado de combustible para garantizar que el generador pueda funcionar por un periodo prolongado. El equipo de UPS y los generadores se deberían revisar con regularidad para asegurarse de que tienen la capacidad adecuada y someterse a prueba según las recomendaciones del fabricante. Además, se debe estudiar el uso de fuentes múltiples de energía o, si el lugar es grande, una subestación de energía independiente.
Los interruptores de emergencia para apagar la energía deberían estar cerca de las salidas de emergencia en los recintos de los equipos para facilitar el corte rápido de energía en caso de emergencia. Se recomienda tener iluminación de emergencia en caso de falla del suministro principal.
El suministro de agua debería ser estable y adecuado para alimentar el aire acondicionado, el equipo de humidificación y los sistemas de extinción de incendios (cuando se utilizan). El
funcionamiento inadecuado en el sistema de suministro de agua puede dañar el equipo o evitar la acción eficaz de la extinción de incendios. Se debería valorar e instalar, si se requiere, un sistema de alarma para detectar el funcionamiento inadecuado en los servicios de soporte.
El equipo de telecomunicaciones se debería conectar al proveedor del servicio mediante al
menos dos rutas diferentes para evitar que la falla en una ruta de conexión elimine los servicios de voz. Estos servicios deberían ser adecuados para satisfacer los requisitos legales locales para comunicaciones de emergencia.
Información adicional
Las opciones para lograr la continuidad del suministro de energía incluyen fuentes de
alimentación múltiples para evitar un solo punto de falla en el suministro de energía.
9.2.3 Seguridad del cableado
Control
El cableado de energía eléctrica y de telecomunicaciones que transporta datos o presta soporte a los servicios de información deberían estar protegidos contra interceptaciones o daños.Guía de implementación
Se recomienda tener en cuenta las siguientes directrices para la seguridad del cableado:
a) las líneas de energía y de telecomunicaciones en los servicios de procesamiento de
información deberían ser subterráneas, cuando sea posible, o tener protección alterna
adecuada;
b) el cableado de la red debería estar protegido contra interceptación no autorizada o
daño, por ejemplo utilizando conductos o evitando rutas a través de áreas públicas;
c) los cables de energía deberían estar separados de los cables de comunicaciones para
evitar interferencia;
d) se deberían utilizar rótulos de equipo y de cables claramente identificables para
minimizar los errores en el manejo, tales como conexiones accidentales de cables
erróneos a la red;
e) es recomendable emplear un plano del cableado para reducir la posibilidad de errores;
f) para sistemas críticos o sensibles considerar controles adicionales incluyendo:
1) instalación de conductos blindados y recintos o cajas bloqueadas en los puntos
de inspección y terminación;
2) uso de medios alternos de enrutamiento y / o transmisión que suministren
seguridad adecuada;
3) uso de cableado de fibra óptica;
4) uso de cubiertas(blindaje) electromagnéticas para proteger los cables;
5) inicio de reconocimientos técnicos e inspecciones físicas en busca de
dispositivos no autorizados conectados al cableado;
6) acceso controlado a los módulos de cableado (patch panel) y a cuartos de
cableado.
9.2.4 Mantenimiento de los equipos
Control
Los equipos deberían recibir mantenimiento adecuado para asegurar su continua disponibilidad e integridad.Guía de implementación
Se recomienda considerar las siguientes directrices para el mantenimiento de los equipos:
a) el mantenimiento de los equipos debería estar acorde con las especificaciones y los
intervalos de servicio recomendados por el proveedor;
b) sólo personal de mantenimiento autorizado debería realizar las reparaciones y el
servicio de los equipos;
c) se recomienda conservar registros de todas las fallas reales o sospechadas y de todo el
mantenimiento preventivo y correctivo;
d) es recomendable implementar controles apropiados cuando se programa el
mantenimiento para los equipos, teniendo en cuenta si el mantenimiento lo realiza el
personal dentro o fuera de la organización; cuando sea necesario, la información
sensible se debería retirar del entorno del equipo o el personal de mantenimiento
debería ser suficientemente revisado;
e) se deberían cumplir todos los requisitos impuestos por las pólizas de seguros.
9.2.5 Seguridad de los equipos fuera de las instalaciones
Control
Se debería suministrar seguridad para los equipos fuera de las instalaciones teniendo encuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organización.
Guía de implementación
Independientemente del propietario , la dirección debería autorizar el uso del equipo de
procesamiento de información fuera de las instalaciones de la organización.
Se recomienda tener en cuenta las siguientes directrices para la protección del equipo por fuera
de las instalaciones:
a) el equipo y los medios llevados fuera de las instalaciones no se deberían dejar solos en
sitios públicos, los computadores portátiles se deberían llevar como equipaje de mano y
camuflado, cuando sea posible, durante los viajes;
b) se deberían observar en todo momento las instrucciones del fabricante para la
protección del equipo, por ejemplo, protección contra la exposición a campos
electromagnéticos fuertes;
c) se recomienda determinar controles para el trabajo que se realiza en casa mediante una
evaluación de riesgos y controles adecuados que se aplican de forma idónea, por
ejemplo gabinetes de archivos con seguro, política de escritorio despejado, controles de
acceso a los computadores y comunicaciones seguras con la oficina (véase la norma
ISO/IEC 18028, Seguridad de la red);
d) se debería establecer el cubrimiento adecuado del seguro para proteger el equipo fuera
de las instalaciones.
considerablemente entre los lugares y se deberían tener en cuenta para determinar los
controles más apropiados.
Información adicional
El almacenamiento de información y el equipo de procesamiento incluyen todas las formas de
computadores personales, organizadores, teléfonos móviles, tarjetas electrónicas, papel u otras
formas que se conservan para el trabajo en el domicilio o que se transportan lejos del sitio
normal de trabajo.
Información adicional sobre otros aspectos de la protección de equipo móvil se puede encontrar
en el numeral 11.7.1.
9.2.6 Seguridad en la reutilización o eliminación de los equipos
Control
Se deberían verificar todos los elementos del equipo que contengan medios dealmacenamiento para asegurar que se haya eliminado cualquier software licenciado y datos
sensibles o asegurar que se hayan sobrescrito de forma segura, antes de la eliminación.
Guía de implementación
Los dispositivos que contienen información sensible se deberían destruir físicamente o su
información se debería destruir, borrar o sobrescribir usando técnicas que permitan que la
información original no se pueda recuperar, en lugar de utilizar las funciones de borrado o
formateado estándar.
Información adicional
Los dispositivos deteriorados que contengan datos sensibles pueden requerir una evaluación de riesgos para determinar si los elementos se deberían destruir físicamente en lugar de enviarlos a reparación o desecharlos.
La información se puede poner en peligro con la eliminación descuidada o la reutilización del equipo (véase el numeral 10.7.2).
9.2.7 Retiro de activos
Control
Ningún equipo, información ni software se deberían retirar sin autorización previa.Guía de implementación
Se recomienda tener presentes las siguientes directrices:
a) ni los equipos, ni la información, tampoco el software se deberían retirar sin autorización
previa;
b) los empleados, contratistas y usuarios de terceras partes que tengan autoridad para
permitir retirar activos deberían estar claramente identificados;
c) se recomienda establecer límites de tiempo para el retiro de equipos y verificar el
cumplimiento en el momento de devolución;
d) cuando sea necesario y adecuado, se debería registrar que el equipo ha sido retirado y
se debe registrar cuando fue devuelto..
Información adicional
Los controles al azar, realizados para determinar el retiro no autorizado de propiedad, también
se pueden usar para detectar dispositivos de grabación no autorizados, armas, etc., y evitar su ingreso. Tales controles al azar se deberían llevar a cabo según la legislación y los reglamentos pertinentes. Las personas deberían saber si se realizan controles al azar y éstos se deberían ejecutar con la autorización adecuada para los requisitos legales y reglamentarios.
No hay comentarios.:
Publicar un comentario