ISO 27001 2013

Toda aquella información y activos que se localizan en mitad de la nada requieren de un techo, paredes y condiciones de funcionamiento adecuadas. Un software posee puertas traseras, del mismo modo que cualquier edificio y estas deben ser controladas igualmente. Muchas de las funciones de seguridad de la Tecnología de la Información están basadas en principios físicos de seguridad ya obsoletos. En cuanto a la norma que regula y vigila por la seguridad, independientemente de los riesgos de seguridad física que puedan atentar contra nuestros activos, encontramos a la ISO 27001 2013.

¿Cuáles son las zonas seguras?

Podemos definir como área segura aquel sitio donde se maneja información sensible o valiosos equipos informáticos, es decir, refugios con los que alcanzar los objetivos de la organización. Dentro del contexto de la seguridad física, debemos entender el concepto “sitio” como edificio, habitación u oficina donde se albergan cada uno de los servicios o instalaciones.

CTA 27001 BOTON EBOOK

La función o tarea principal de la seguridad física es la de proteger los activos de información de las posibles amenazas físicas que pudieren tener lugar, como es el acceso de personal no autorizado, las indisponibilidades y los perjuicios causados por la acción humana, además de posibles eventos ambientales perjudiciales.

Los bienes materiales son aquellos medios de comunicación del curso, de hardware y de información.  Los activos de información menos tangibles son el conjunto de información transmitida de forma oral y los datos que se muestran.

Elementos del contexto físico

Todos aquellos lugares, edificios, espacios públicos, áreas de trabajo y áreas de seguridad que no se encuentran en medio de la nada están establecidas en un lugar adecuado para el conjunto de la sociedad. Para decidir acerca de cuál es la protección más adecuada debemos tener en cuenta tres elementos clave acerca del contexto físico:

• Perímetro y fronteras. Tenemos hasta cuatro líneas de defensa a tener en cuenta. Primero, el lugar o el edificio; en segundo lugar, el piso del edificio; en tercer lugar, la sala del piso; y, en cuarto lugar, la caja en la que se encuentran los activos de información.
• Salidas. Es obvia la necesidad de entrar y salir del entorno físico. Las puertas y las ventanas son evidencias de primera línea, pero la mayor parte pasa por alto los conductos de cables, las entradas de aire, los puntos de venta, etc. No podemos olvidar las rutas y las puertas de entrada o salida, tanto si son normales o de emergencia, siendo este uno de los requisitos de la ISO 27001 2013.
• Entorno. En este apartado hacemos referencia a las áreas de pasillos, caminos, carreteras, espacios verdes o estacionamiento que situadas alrededor de los perímetros.

Medidas de seguridad

El medio físico, y especialmente en las zonas de seguridad, tienen que cumplir con las expectativas de seguridad. Esto sucede porque se proporciona un nivel adecuado de la fuerza según la definición de las actividades de gestión de riesgos de cada uno de los elementos.

En primer lugar es necesario que el perímetro debe de adaptarse al contenido del Sistema de Gestión de Seguridad de la Información según la ISO 27001 2013. Como segundo requisito deben de tenerse en cuenta las seis caras de los tres últimos perímetros, los cuales deben de tener la misma fuerza. Estos se utilizan muy poco para tener paredes solidas si se puede acceder a la habitación a través de un falso techo.

El activo más sensible debe ser colocado dentro del perímetro más fuerte, el cual debe de estar protegido, y así sucesivamente.

El concepto de zonificación se describe en las distintas categorías de habitaciones en función de lo que contienen y la forma en la que se encuentra en relación con los otros.

Cuando se trata de trabajar en un área segura, cualquiera de los trabajadores que componen el personal pueden ser requeridos para controlar:

• La presencia. Se debe proteger de forma volumétrica.
• La actividad. Lo que se lleva a cabo en el interior de la habitación.

En el Anexo A, en su apartado A11.5, se restringe el uso de áreas seguras. Este tipo de áreas solo deben de dedicarse a la manipulación de la información confidencial y valiosa de hosting de Tecnologías de la Información y de las instalaciones. No deben de servir como lugares de almacenamiento de documentos, equipos u otros dispositivos de mantenimiento. Su ubicación nunca debe ser relevada a extraños o personal ajeno a la organización.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 para los Sistemas de Gestión de Seguridad de la Información se encuentra compuesto por distintas aplicaciones que, al unirlas, operan para que la información que manejan las organizaciones no pierdan ninguna de sus propiedades más importantes. Facilita el cumplimiento de las distintas fases del ciclo de mejora continua.

CTA 27001 TIRA EBOOK