Controles de Seguridad Física y del Entorno en ISO 27001

Clase 24 de 39Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Clase anteriorSiguiente clase

Resumen

¿Qué papel juega la seguridad física y del entorno en la norma ISO 27001?

La seguridad física y del entorno es fundamental en la implementación de la norma ISO 27001. Este componente garantiza que la infraestructura de una organización esté protegida contra amenazas externas y ambientales, asegurando la continuidad y el resguardo de sus activos críticos. Veamos los aspectos clave a considerar:

¿Cómo se delinea el perímetro de seguridad física?

  • Define las áreas seguras y el perímetro físico de la compañía.
  • Considera la ubicación geográfica: zona peligrosa, tranquila o urbana.
  • Involucra al oficial de seguridad para establecer claras delimitaciones.

¿Cuáles son los controles de entrada y seguridad de oficinas?

  • Implementa mecanismos de control de acceso, como registros biométricos o guardias.
  • Define áreas restringidas, como por ejemplo la tesorería, para limitar el acceso a personal autorizado.
  • Desarrolla procedimientos para la protección de oficinas y despachos.

¿Qué medidas se toman contra amenazas externas?

  • Evalúa riesgos geográficos como inundaciones, terremotos o proximidad a montañas.
  • Implementa controles adecuados para mitigar riesgos asociados a estos entornos.

¿Por qué es importante el mantenimiento y protección de equipos?

El cuidado y protección de equipos es esencial para mantener la continuidad operativa. Aquí, la tecnología se combina con prácticas físicas para asegurar que los dispositivos funcionen correctamente y estén libres de riesgos.

¿Cómo se manejan los equipos en la organización?

  • Emplazamiento y protección: Decide si los equipos serán fijos o portátiles y establece mecanismos de seguridad, como el uso de guayas.
  • Instalaciones de suministro: Considera la redundancia de fuentes de poder para prevenir fallos eléctricos críticos.
  • Mantenimiento de equipos: Asegúrate de que los equipos reciban mantenimiento preventivo regular para alargar su vida útil.

¿Qué ocurre cuando un equipo sale de las instalaciones?

Los equipos que salen de las instalaciones para ser utilizados en otros lugares deben ser manejados con especial atención para prevenir riesgos de seguridad informática.

  • Política para llevar equipos a casa: Considera las redes no seguras a las que se conectará el equipo y los riesgos de malware.
  • Eliminación segura de equipos: Realiza un borrado de alto nivel o elimina discos duros completamente antes de desechar o donar equipos.

¿Por qué educar al personal en seguridad física?

El conocimiento y la práctica diaria de medidas de seguridad por parte del personal son fundamentales para mantener la integridad de los datos y la infraestructura.

¿Qué prácticas deben adoptarse?

  • Equipos desatendidos: Instalar hábitos de bloqueo de equipos cada vez que se deje el escritorio, para evitar accesos no autorizados.
  • Puesto de trabajo despejado y pantalla limpia: Fomentar ambientes de trabajo organizados donde no se dejen documentos sensibles expuestos.
  • Sensibilización frecuente: Realizar campañas educativas para reforzar la importancia de estas prácticas.

¿Qué sucede si un empleado no sigue estas prácticas?

Las brechas de seguridad pueden comprometer la integridad de toda la red corporativa. Por eso, es crucial desarrollar programas de educación y concienciación, y establecer sanciones para el incumplimiento de políticas, protegiendo así no solo los activos, sino también la reputación de la compañía.

¿Cómo se relaciona la seguridad física con aspectos tecnológicos?

La seguridad del entorno físico se vincula estrechamente con la seguridad de los sistemas tecnológicos. La infraestructura física es el primer nivel de defensa y debe ser sólida para resguardar adecuadamente los activos de información.

  • Seguridad del cableado y racks: Mantener el cableado ordenado y normatizado es clave en el área tecnológica.
  • Climatización y mantenimiento: Controlar la temperatura de las zonas de servidores para maximizar su vida útil.

En resumen, asegurarse de que tanto la seguridad física como las prácticas tecnológicas estén alineadas es parte esencial de una implementación eficaz del sistema de gestión de seguridad de la información según la norma ISO 27001.