A11 Seguridad física y del entorno
A11.1 Áreas seguras
A11.1.1 Perímetro de seguridad física
A11.1.2 Controles físicos de entrada
A11.1.3 Seguridad de oficinas, despachos y recursos
A11.1.4 Protección contra las amenazas externas y ambientales
A11.1.5 El trabajo en áreas seguras
A11.1.6 Áreas de carga y descarga
A11.2 Seguridad de los equipos
A11.2.1 Emplazamiento y protección de equipos
A11.2.2 Instalaciones de suministro
A11.2.3 Seguridad del cableado
A11.2.4 Mantenimiento de los equipos
A11.2.5 Retirada de materiales propiedad de la empresa
A11.2.6 Seguridad de los equipos fuera de las instalaciones
A11.2.7 Reutilización o eliminación segura de equipos
A11.2.8 Equipo de usuario desatendido
A11.2.9 Política de puesto de trabajo despejado y pantalla limpia
A.11.2.7 A lo Mister Robot abrirles un hueco a los discos duros con un taladro, y para ser ecológicos volverlos reloj de pared
waooo no sabia que el disco duro tiene 13 capas de borrado , cada uno de ellos es accesibles ! buen curso
OJO: Se debe recordar que dentro del tema de seguridad el eslabón mas “débil” es el recurso humano, ya que es el mas recurrente a fallas.
no sabia que el steel look se llamaba guaya en centro america ! … genial =)
Objetivos de control y controles de referencia:
A.11 Seguridad física y del entorno
A.11.1 Áreas seguras:
A.11.1.1 Perímetro de seguridad física (Definir zonas de seguridad dentro de la empresa)
A.11.1.2 Controles físicos de entrada (Mecanismos para que el funcionario accede a la compañía, biométrica o vigilante en portería)
A.11.1.3 Seguridad de oficinas, despachos y recursos (Area de tesoreria por ejemplo, solo puedan acceder los funcionarios encargados de ellos pero nadie más porque se maneja dinero o transferencias)
A.11.1.4 Protección contra las amenazas externas y ambientales (Ubicar a empresa en que zona esta, inundaciones, montañas, terremotos, etc evitar posibles amenazas por el entorno)
A.11.1.5 El trabajo en áreas seguras (Riesgos de caídas de funcionarios, accidentes, etc )
A.11.1.6 Áreas de carga y descarga (Si la empresa no tiene área de carga y descarga entonces queda descartado para la compañía)
A.11.2 Seguridad de los equipos
A.11.2.1 Emplazamiento y protección de equipos (Equipos fijos o portátiles con guaya)
A.11.2.2 Instalación de suministro (Tema eléctrico, acueducto, fuentes de poder, etc)
A.11.2.3 Seguridad el cableado (Racks debidamente normalizados, climatización de soan de servidores)
A.11.2.4 Mantenimiento de los equipos (Mantenimiento preventivo de equipos, mantener vida útil del equipo)
A.11.2.5 Retirada de materiales propiedad de la empresa (Quien está autorizado de retirar determinadas cosas de la empresa)
A.11.2.6 Seguridad de los equipos fuera de las instalaciones
A.11.2.7 Reutilización o eliminación segura de equipos (Equipos que van a ser desechado, limpieza segura de alto nivel de la información que está en los equipos antes de desecharlos, en lo posible desecharlos o donarlos sin el disco duro, destrucción del disco duro, se recomienda invitar a auditoría para que vea el proceso de destrucción de los discos duros)
A.11.2.8 Equipos de usuarios desatendido (Seguridad en los equipos , que sean bloqueados cuando el funcionario no esté usando el equipo)
A.11.2.9 Política de puesto de trabajo despejado y pantalla limpia (Funcionario no dejar información o papeles en su puesto de trabajo con información confidencial, destrucción del papel que no se necesita, uso de trituradora de papel para evitar la reconstrucción de información a partir de desechos)
- Seguridad física y del entorno, de las operaciones y del entorno:
A11 Seguridad física y del entorno (se debe definir el perímetro de seguridad de la organización, se deben considerar los escenario en la que la organización este en una zona peligrosa o tranquila)
A11.1 Áreas seguras
A11.1.1 Perímetro de seguridad física
A11.1.2 Controles físicos de entrada (mecanismos para que los funcionarios accedan, puertas, biométricos)
A11.1.3 Seguridad de oficinas, despachos y recursos
A11.1.4 Protección contra las amenazas externas y ambientales (posibilidad de terremotos, inundaciones)
A11.1.5 El trabajo en áreas seguras (saber donde trabajan los funcionarios, saber los riesgos)
A11.1.6 Áreas de carga y descarga
A11.2 Seguridad de los equipos
A11.2.1 Emplazamiento y protección de equipos (equipos portatiles o fijos como desktop)
A11.2.2 Instalaciones de suministro (tema electrico, agua, infraestructura)
A11.2.3 Seguridad del cableado (equipos debidamente normalizados, servidores climatizados)
A11.2.4 Mantenimiento de los equipos
A11.2.5 Retirada de materiales propiedad de la empresa
A11.2.6 Seguridad de los equipos fuera de las instalaciones (considerara casos como cuando el funcionario se lleve un equipo a casa, y en caso de que el equipo sea victima de un malware o virus puede infectar a la red de la organización cuando lo regrese)
A11.2.7 Reutilización o eliminación segura de equipos (equipos desechados, se dona, disco duro desechado si o si)
A11.2.8 Equipo de usuario desatendido
A11.2.9 Política de puesto de trabajo despejado y pantalla limpia
para agregar 2 controles aplicables:
-
A.11.2.9: Política de escritorio limpio, donde se especifique que no se pueden tener contraseñas escritas en una papel y a la vista de otras personas
-
A.11.2.8: Configuración a nivel de políticas de AD en el que un equipo después de 15 o 30 seg de inactividad se bloquee la sesión, adicional a esto todo el tema de concienciación en temas de seguridad de las sesiones.
Saludos. 😃
por favor !! que alguien me diga que cuando hablaron de esto “A11.2.7 Reutilización o eliminación segura de equipos” alguien se acordo de la pelicula de TED 2!
Exelente clase llena de información nueva y muy bien explicada por el profesor.
Guaya
Para aquellos que usan Windows (desconozco si también funciona en Mac o Linux)
Para rápidamente bloquear su computadora, y que cuando requieran usarla, les pida su contraseña, solamente presionen Tecla Windows + L
El anexo A mas que controles lo que define es la clasificación de esos controles. Por lo que he visto hasta ahora.
Por que la norma incluyo temas de seguridad fisica y perimetral en temas de tecnologia?
lloro por dentro cada vez que tengo que romper un disco…
Hola! Este curso me esta ayudando muchísimo, pero deberían actualizar esta clase en particular pues la norma cambio en controles y categorías
Para el punto A.11.2.7 le empresa donde trabajaba hacía 2 cosas:
- Todo aquel equipo que ya estaba depreciado y era elegible para venta a los mismos empleados, a los DD se les hacía un borrado de bajo nivel y se entregaban
- Los equipos depreciados que no se vendían (ignoro porque unos equipos si los vendían y otros no), estos se clasificaban como scraf y se enviaban a una recicladora para su “correcta” destrucción, para esto nosotros nos debíamos de cerciorar de que cada DD estuviera perforado
Para este último punto no estaba muy de acuerdo ya que mucho equipo que se retiraba era equipo que bien se podía donar y reutilizar, pero en fin yo no ponía las reglas, quizá esta acción la tomaban precisamente para asegurarse que el equipo fuera destruido conforme a las normas y que no fuera “botado” simplemente aun basurero/vertedero al final de su vida útil
Interesante el procedimiento de que un guardia de seguridad (o Asset Protection en algunas empresas) estén dando rondines por las áreas de trabajo para verificar (entre otras cosas) que los equipos laptop estén con su respectivo candado y de lo contrario, el usuario sea acreedor a una sanción
Excelente temario y explicación por parte del instructor
La norma de verdad pone muy buenos ecenarios para cumplir con las normas, ya que como varios expertos dicen los mayores problemas con Cyber security es el no seguir las normas mas básicas, como el dejar documentos importante sin atender o pensar que nadie va a tocar tu computadora.
Pero algo que vale la pena mencionar es el soporte que se puede hacer con cámaras para aclara incidentes.
También el uso de un buen VPN ahora que estamos en pandemia para todos los equipos que se encuentran en remoto.
Extrañe el mapa mental …
La ISO22301 trata esto de forma exaustiva, o tambien conocida como continuidad del negocio
6:17 Y ahora con lo de la Pandemia, y el trabajo remoto de emergencia¡¡ ya valimos, (face palm) la cosa se complica con los equipos de la empresa que la gente se llevo a sus casas para trabajar desde ahí. sin la mas mínima protección salvo una vpn para acceder a la Red local de la empresa.
Actualmente ya existe software de borrado seguro de datos que garantizan la NO recuperación de datos de un disco duro, con lo que e equipo puede salir con disco duro y ser reutilizado. Este proceso no daña el equipo y al contrario extiende su vida útil, protegiendo al mismo tiempo a la empresa
En cuanto a la destrucción física, las mejores prácticas avalan la trituración industrial del disco, el Degaussing y la incineración del disco.
Want to see more contributions, questions and answers from the community?