9. SEGURIDAD FÍSICA Y DEL ENTORNO
9.1 ÁREAS SEGURAS
Objetivo: evitar el acceso físico no autorizado, el daño o
la interferencia a las instalaciones y a la información de la organización.
Los servicios de procesamiento de información sensible o crítica
deberían estar ubicados en áreas seguras, protegidas por perímetros de seguridad
definidos, con barreras de seguridad y controles de entrada adecuados. Dichas
áreas deberían estar protegidas físicamente contra acceso no autorizado, daño e
interferencia.
La protección suministrada debería estar acorde con los
riesgos identificados.
9.1.1 Perímetro de
seguridad física
Control
Se deberían utilizar perímetros de seguridad (barreras tales
como paredes, puertas de acceso controladas con tarjeta o mostradores de
recepción atendidos) para proteger las áreas que contienen información y servicios
de procesamiento de información.
Guía de
implementación
Se deberían considerar e implementar las siguientes directrices
para los perímetros de seguridad física:
a). se recomienda
definir claramente los perímetros de seguridad y la ubicación y la fortaleza de
cada perímetro deberían depender de los requisitos de seguridad de los activos
dentro del perímetro, así como de los resultados de la evaluación de riesgos;
b). los
perímetros de una edificación o un lugar que contenga servicios de
procesamiento de información deberían ser robustos físicamente (es decir, no
deberían existir brechas en el perímetro o áreas donde fácilmente pueda ocurrir
una intrusión); las paredes externas del sitio deberían tener una construcción
sólida y todas las puertas externas deberían tener protección adecuada contra
el acceso no autorizado con mecanismos de control tales como barras, alarmas,
relojes, etc., las puertas y ventanas deberían estar cerradas con llave cuando
no están atendidas y se debería tener presente la protección externa para las
ventanas, particularmente a nivel del suelo;
c). se debería
establecer un área de recepción con personal u otros medios para controlar el
acceso físico al lugar o edificación; el acceso a los sitios y edificaciones
debería estar restringido únicamente al personal autorizado;
d). cuando sea
viable, se deberían construir barreras físicas para evitar el acceso físico no autorizado
y la contaminación ambiental;
e). todas las
puertas de incendio en el perímetro de seguridad deberían tener alarma, monitorearse
y someterse a prueba junto con las paredes para establecer el grado requerido
de resistencia, según las normas regionales, nacionales e internacionales; éstas
deberían funcionar de manera segura de acuerdo con el código local de incendios;
f). es
recomendable la instalación de sistemas adecuados de detección de intrusos
según normas nacionales, regionales o internacionales y someterlos a pruebas
regularmente para verificar todas las puertas externas y ventanas accesibles;
las áreas desocupadas siempre deberían tener alarmas, también se debería tener
cubrimiento de otras áreas, por ejemplo los recintos de computadores o de
comunicaciones;
g). los servicios
de procesamiento de información dirigidos por la organización deberían estar
físicamente separados de aquellos dirigidos por terceras partes.
Información adicional
La protección física se puede lograr creando una o más
barreras físicas alrededor de las instalaciones y los servicios de
procesamiento de información de la organización. El empleo de barreras
múltiples proporciona protección adicional, cuando la falla de una sola barrera
no implica que la seguridad se vea comprometida inmediatamente.
Un área segura puede ser una oficina que se pueda asegurar o
varios recintos rodeados por continuas barreras de seguridad física internas.
Pueden ser necesarias las barreras y los perímetros adicionales para controlar
el acceso físico entre áreas con requisitos de seguridad diferentes dentro del
perímetro de seguridad.
Se debería considerar especialmente la seguridad del acceso
físico a las edificaciones en donde se encuentran varias organizaciones.
9.1.2 Controles de
acceso físico
Control
Las áreas seguras deberían estar protegidas con controles de
acceso apropiados para asegurar que sólo se permite el acceso a personal
autorizado.
Guía de
implementación
Se deberían tener en cuenta las siguientes directrices:
a). se deberían
registrar la fecha y la hora de entrada y salida de visitantes y todos los visitantes
deberían estar supervisados, a menos que su acceso haya sido aprobado previamente;
sólo se les debería dar acceso para propósitos específicos y autorizados y dicho
acceso se debería emitir con instrucciones sobre los requisitos de seguridad
del área y sobre los procedimientos de emergencia;
b). se debería
controlar el acceso a áreas en donde se procesa o almacena información sensible
y restringir el acceso únicamente a personas autorizadas; se deberían utilizar controles
de autenticación como las tarjetas de control de acceso más el número de identificación
personal (PIN) para autorizar y validar el acceso, se recomienda mantener de
forma segura una prueba de auditoría de todos los accesos;
c). se debería
exigir a todos los empleados, contratistas y usuarios de terceras partes la utilización
de alguna forma de identificación visible y se debería notificar inmediatamente
al personal de seguridad si se encuentran visitantes sin acompañante y cualquiera
que no use identificación visible;
d). al personal
del servicio de soporte de terceras partes se le debería dar acceso restringido
a las áreas seguras o a los servicios de procesamiento de información sensible
únicamente cuando sea necesario; éste acceso se debería autorizar y monitorear;
e). los derechos
de acceso a áreas seguras se deberían revisar y actualizar con regularidad y
revocados cuando sea necesario (véase el numeral 8.3.3).
9.1.3 Seguridad de
oficinas, recintos e instalaciones
Control
Se debería diseñar y aplicar la seguridad física para
oficinas, recintos e instalaciones.
Guía de implementación
Se recomienda tener en cuenta las siguientes directrices
para la seguridad de oficinas, recintos y servicios:
a). tener
presente los reglamentos y las normas pertinentes a la seguridad y la salud;
b). las
instalaciones claves se deberían ubicar de modo que se evite el acceso al
público;
c). cuando sea
viable, las edificaciones deberían ser discretas y no tener indicaciones sobre
su propósito, sin señales obvias, fuera o dentro de ellas, que identifiquen la presencia
de actividades de procesamiento de información;
d). los
directorios y los listados telefónicos internos que indican las ubicaciones de
los servicios de procesamiento de información sensible no deberían ser de fácil
acceso al público.
9.1.4 Protección
contra amenazas externas y ambientales
Control
Se deberían diseñar y aplicar protecciones físicas contra
daño por incendio, inundación, terremoto, explosión, manifestaciones sociales y
otras formas de desastre natural o artificial.
Guía de
implementación
Se deben tener en cuenta todas las amenazas para la
seguridad que presentan las instalaciones circundantes, por ejemplo, un
incendio en la edificación contigua, fuga de agua por un techo o en los pisos
por debajo del nivel del suelo o una explosión en la calle.
Se recomienda tener en mente las siguientes directrices para
evitar daño debido a incendio, inundación, terremoto, explosión, malestar
social, y otras formas de desastre natural o artificial:
a). los
materiales combustibles o peligrosos se deberían almacenar a una distancia prudente
del área de seguridad. Los suministros a granel tales como los materiales de oficina,
no se deberían almacenar en un área segura;
b). los equipos
de repuesto y los medios de soporte de seguridad se deberían ubicar a una distancia
prudente para evitar daño debido a algún desastre que afecte a las instalaciones
principales;
c). se debería
suministrar equipo apropiado contra incendios y ubicarlo adecuadamente.
9.1.5 Trabajo en
áreas seguras
Control
Se deberían diseñar y aplicar la protección física y las directrices
para trabajar en áreas seguras.
Guía de
implementación
Se deberían considerar las siguientes directrices:
a). el personal
sólo debería conocer la existencia de un área segura o las actividades dentro
de ella en función de la necesidad con base conocida;
b). se debería
evitar el trabajo no supervisado en áreas seguras tanto por razones de seguridad
como para evitar las oportunidades de actividades maliciosas;
c). las áreas
seguras vacías deberían tener bloqueo físico y se deberían revisar periódicamente;
d). no se debería
permitir equipo de grabación fotográfica, de video, de audio ni otro equipo de
grabación como cámaras en dispositivos móviles, a menos que esté autorizado.
Las disposiciones para el trabajo en áreas seguras incluyen
controles para los empleados, contratistas y usuarios de terceras partes que
laboran en el área segura, así como otras actividades de tercera parte que
tengan lugar.
9.1.6 Áreas de carga,
despacho y acceso público
Control
Los puntos de acceso tales como las áreas de carga y despacho
y otros puntos por donde pueda ingresar personal no autorizado a las
instalaciones se deberían controlar y, si es posible, aislar de los servicios
de procesamiento de información para evitar el acceso no autorizado.
Guía de
implementación
Se recomienda considerar las siguientes directrices
a). se debería
restringir el acceso al área de despacho y carga desde el exterior de la edificación
a personal identificado y autorizado;
b). el área de
despacho y carga se debería designar de forma tal que los suministros se puedan
descargar sin que el personal de despacho tenga acceso a otras partes de la edificación;
c). las puertas
externas del área de despacho y entrega deberían estar aseguradas mientras las
puertas internas estén abiertas;
d). el material
que llega se debería inspeccionar para determinar posibles amenazas (véase el
numeral 9.2.1d) antes de moverlo desde el área de despacho y carga hasta el
punto de uso;
e). el material
que llega se debería registrar de acuerdo con los procedimientos de gestión de
activos (véase el numeral 7.1.1) a su entrada al lugar;
f). los envíos
entrantes y salientes se deberían separar físicamente, cuando sea posible.
9.2 SEGURIDAD DE LOS
EQUIPOS
Objetivo: evitar pérdida, daño, robo o puesta en peligro de
los activos, y la interrupción de las actividades de la organización.
Los equipos deberían estar protegidos contra amenazas
físicas y ambientales.
La protección del equipo (incluyendo el utilizado por fuera,
y el retiro de la propiedad) es necesaria para reducir el riesgo de acceso no
autorizado a la información y para proteger contra pérdida o daño. También se
debería considerar la ubicación y la eliminación de los equipos. Es posible que
se requieran controles especiales para la protección contra amenazas físicas y
para salvaguardar los servicios de soporte tales como energía eléctrica e infraestructura
de cableado.
9.2.1 Ubicación y
protección de los equipos
Control
Los equipos deberían estar ubicados o protegidos para reducir
el riesgo debido a amenazas o peligros del entorno, y las oportunidades de
acceso no autorizado.
Guía de
implementación
Se recomienda considerar las siguientes directrices para la
protección de los equipos:
a). Los equipos
se deberían ubicar de modo tal que se minimice el acceso innecesario a las áreas
de trabajo;
b). los servicios
de procesamiento de información que manejan datos sensibles, deberían estar
ubicados de forma tal que se reduzca el riesgo de visualización de la
información por personas no autorizadas durante su uso, y los sitios de
almacenamiento se deberían asegurar para evitar el acceso no autorizado;
c). los elementos
que requieran protección especial deberían estar aislados para reducir el nivel
general de protección requerida de los demás elementos;
d). se recomienda
adoptar controles para minimizar el riesgo de amenazas físicas potenciales, por
ejemplo robo, incendio, explosión, humo, agua (o falla en el suministro de
agua), polvo, vibración, efectos químicos, interferencia con el suministro
eléctrico, interferencia en las comunicaciones, radiación electromagnética y
vandalismo;
e). se deberían
establecer directrices para comer, beber y fumar en las cercanías de los servicios
de procesamiento de información;
f). es
conveniente monitorear las condiciones ambientales, como temperatura y humedad,
para determinar las condiciones que podrían afectar adversamente el
funcionamiento de los servicios de procesamiento de información;
g). se debería
aplicar protección contra rayos a todas las edificaciones y adaptar filtros protectores
a las fuentes de energía entrantes y a las líneas de comunicación;
h). es
recomendable considerar la utilización de métodos especiales de protección para
equipos en ambientes industriales, tales como membranas para los teclados;
i). Los equipos
de procesamiento de información sensible deberían estar protegidos para minimizar
el riesgo de fuga de información debido a filtración.
9.2.2 Servicios de
suministro
Control
Los equipos deberían estar protegidos contra fallas en el
suministro de energía y otras anomalías causadas por fallas en los servicios de
suministro.
Guía de
implementación
Todos los servicios de suministro, tales como electricidad,
agua, alcantarillado, calefacción / ventilación y aire acondicionado deberían
ser adecuados para los sistemas a los que dan apoyo. Los servicios de
suministro se deberían inspeccionar regularmente y someter a las pruebas
apropiadas para garantizar su funcionamiento adecuado y reducir cualquier
riesgo debido a su mal funcionamiento o falla. Se recomienda proporcionar un
suministro eléctrico acorde con las especificaciones del fabricante del equipo.
Se recomienda el suministro de energía sin interrupción (UPS)
para dar soporte al cierre ordenado o al funcionamiento continuo de equipos que
soportan operaciones críticas para el negocio. Los planes de contingencia
deberían incluir la acción que se ha de tomar en caso de falla de la UPS. Se
recomienda pensar en una planta de energía alterna, si se requiere la continuidad
del procesamiento en caso de fallas energéticas prolongadas. Debería estar disponible
un suministro adecuado de combustible para garantizar que el generador pueda funcionar
por un periodo prolongado. El equipo de UPS y los generadores se deberían
revisar con regularidad para asegurarse de que tienen la capacidad adecuada y
someterse a prueba según las recomendaciones del fabricante. Además, se debe
estudiar el uso de fuentes múltiples de energía o, si el lugar es grande, una
subestación de energía independiente.
Los interruptores de emergencia para apagar la energía deberían
estar cerca de las salidas de emergencia en los recintos de los equipos para
facilitar el corte rápido de energía en caso de emergencia. Se recomienda tener
iluminación de emergencia en caso de falla del suministro principal.
El suministro de agua debería ser estable y adecuado para
alimentar el aire acondicionado, el equipo de humidificación y los sistemas de
extinción de incendios (cuando se utilizan). El funcionamiento inadecuado en el
sistema de suministro de agua puede dañar el equipo o evitar la acción eficaz
de la extinción de incendios. Se debería valorar e instalar, si se requiere, un
sistema de alarma para detectar el funcionamiento inadecuado en los servicios
de soporte.
El equipo de telecomunicaciones se debería conectar al
proveedor del servicio mediante al menos dos rutas diferentes para evitar que
la falla en una ruta de conexión elimine los servicios de voz. Estos servicios
deberían ser adecuados para satisfacer los requisitos legales locales para
comunicaciones de emergencia.
Información adicional
Las opciones para lograr la continuidad del suministro de
energía incluyen fuentes de alimentación múltiples para evitar un solo punto de
falla en el suministro de energía.
9.2.3 Seguridad del
cableado
Control
El cableado de energía eléctrica y de telecomunicaciones que
transporta datos o presta soporte a los servicios de información deberían estar
protegidos contra interceptaciones o daños.
Guía de
implementación
Se recomienda tener en cuenta las siguientes directrices
para la seguridad del cableado:
a). las líneas de
energía y de telecomunicaciones en los servicios de procesamiento de información
deberían ser subterráneas, cuando sea posible, o tener protección alterna adecuada;
b). el cableado
de la red debería estar protegido contra interceptación no autorizada o daño,
por ejemplo utilizando conductos o evitando rutas a través de áreas públicas;
c). los cables de
energía deberían estar separados de los cables de comunicaciones para evitar
interferencia;
d). se deberían
utilizar rótulos de equipo y de cables claramente identificables para minimizar
los errores en el manejo, tales como conexiones accidentales de cables erróneos
a la red;
e). es
recomendable emplear un plano del cableado para reducir la posibilidad de
errores;
f). para sistemas
críticos o sensibles considerar controles adicionales incluyendo:
1). instalación
de conductos blindados y recintos o cajas bloqueadas en los puntos de
inspección y terminación;
2). uso de medios
alternos de enrutamiento y / o transmisión que suministren seguridad adecuada;
3). uso de
cableado de fibra óptica;
4). uso de
cubiertas (blindaje) electromagnéticas para proteger los cables;
5). inicio de
reconocimientos técnicos e inspecciones físicas en busca de dispositivos no
autorizados conectados al cableado;
6). acceso
controlado a los módulos de cableado (patch panel) y a cuartos de cableado.
9.2.4 Mantenimiento
de los equipos
Control
Los equipos deberían recibir mantenimiento adecuado para
asegurar su continua disponibilidad e integridad.
Guía de
implementación
Se recomienda considerar las siguientes directrices para el
mantenimiento de los equipos:
a).el
mantenimiento de los equipos debería estar acorde con las especificaciones y
los intervalos de servicio recomendados por el proveedor;
b). sólo personal
de mantenimiento autorizado debería realizar las reparaciones y el servicio de
los equipos;
c). se recomienda
conservar registros de todas las fallas reales o sospechadas y de todo el mantenimiento
preventivo y correctivo;
d). es
recomendable implementar controles apropiados cuando se programa el mantenimiento
para los equipos, teniendo en cuenta si el mantenimiento lo realiza el personal
dentro o fuera de la organización; cuando sea necesario, la información sensible
se debería retirar del entorno del equipo o el personal de mantenimiento debería
ser suficientemente revisado;
e). se deberían
cumplir todos los requisitos impuestos por las pólizas de seguros.
9.2.5 Seguridad de
los equipos fuera de las instalaciones
Control
Se debería suministrar seguridad para los equipos fuera de
las instalaciones teniendo en cuenta los diferentes riesgos de trabajar fuera
de las instalaciones de la organización.
Guía de
implementación
Independientemente del propietario, la dirección debería
autorizar el uso del equipo de procesamiento de información fuera de las
instalaciones de la organización.
Se recomienda tener en cuenta las siguientes directrices
para la protección del equipo por fuera de las instalaciones:
a). el equipo y
los medios llevados fuera de las instalaciones no se deberían dejar solos en sitios
públicos, los computadores portátiles se deberían llevar como equipaje de mano
y camuflado, cuando sea posible, durante los viajes;
b). se deberían
observar en todo momento las instrucciones del fabricante para la protección
del equipo, por ejemplo, protección contra la exposición a campos electromagnéticos
fuertes;
c). se recomienda
determinar controles para el trabajo que se realiza en casa mediante una evaluación
de riesgos y controles adecuados que se aplican de forma idónea, por ejemplo
gabinetes de archivos con seguro, política de escritorio despejado, controles
de acceso a los computadores y comunicaciones seguras con la oficina (véase la
norma ISO/IEC 18028, Seguridad de la red);
d). se debería
establecer el cubrimiento adecuado del seguro para proteger el equipo fuera de
las instalaciones.
Los riesgos de seguridad, como daño, robo o escuchas no
autorizadas pueden variar considerablemente entre los lugares y se deberían
tener en cuenta para determinar los controles más apropiados.
Información adicional
El almacenamiento de información y el equipo de procesamiento
incluyen todas las formas de computadores personales, organizadores, teléfonos
móviles, tarjetas electrónicas, papel u otras formas que se conservan para el
trabajo en el domicilio o que se transportan lejos del sitio normal de trabajo.
Información adicional sobre otros aspectos de la protección
de equipo móvil se puede encontrar en el numeral 11.7.1.
9.2.6 Seguridad en la
reutilización o eliminación de los equipos
Control
Se deberían verificar todos los elementos del equipo que
contengan medios de almacenamiento para asegurar que se haya eliminado cualquier
software licenciado y datos sensibles o asegurar que se hayan sobrescrito de
forma segura, antes de la eliminación.
Guía de
implementación
Los dispositivos que contienen información sensible se deberían
destruir físicamente o su información se debería destruir, borrar o
sobrescribir usando técnicas que permitan que la información original no se
pueda recuperar, en lugar de utilizar las funciones de borrado o formateado
estándar.
Información adicional
Los dispositivos deteriorados que contengan datos sensibles
pueden requerir una evaluación de riesgos para determinar si los elementos se
deberían destruir físicamente en lugar de enviarlos a reparación o desecharlos.
La información se puede poner en peligro con la eliminación
descuidada o la reutilización del equipo (véase el numeral 10.7.2).
9.2.7 Retiro de
activos
Control
Ningún equipo, información ni software se deberían retirar
sin autorización previa.
Guía de
implementación
Se recomienda tener presentes las siguientes directrices:
a). ni los
equipos, ni la información, tampoco el software se deberían retirar sin
autorización previa;
b). los
empleados, contratistas y usuarios de terceras partes que tengan autoridad para
permitir retirar activos deberían estar claramente identificados;
c). se recomienda
establecer límites de tiempo para el retiro de equipos y verificar el cumplimiento
en el momento de devolución;
d). cuando sea
necesario y adecuado, se debería registrar que el equipo ha sido retirado y se
debe registrar cuando fue devuelto..
Información adicional
Los controles al azar, realizados para determinar el retiro
no autorizado de propiedad, también se pueden usar para detectar dispositivos
de grabación no autorizados, armas, etc., y evitar su ingreso. Tales controles
al azar se deberían llevar a cabo según la legislación y los reglamentos pertinentes.
Las personas deberían saber si se realizan controles al azar y éstos se
deberían ejecutar con la autorización adecuada para los requisitos legales y
reglamentarios.
No hay comentarios:
Publicar un comentario