ISO 27001: La seguridad física y del entorno
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 pretende evitar accesos no autorizados, daños e interferencias que puedan afectar a la Seguridad de la Información.
Los recursos que se pueden utilizar para tratar la información sensible para la empresa deben ubicarse en las zonas seguras dentro de un perímetro de seguridad que esté perfectamente definido, con barreras de seguridad y controles de entrada. Se debe proporcionar protección física contra los accesos que no estén autorizados. La protección tiene que ser proporcional a los riesgos identificados.
Los perímetros de seguridad se deben utilizar para proteger las áreas que contengan la información y los recursos de procesamiento de información.
Todas las pautas tienen que estar consideradas e implementadas en el lugar que sea necesario, estableciendo ciertos perímetros de seguridad físicos:
- El perímetro de seguridad tiene que quedar perfectamente definido, en lugar y fuerza, dependiendo de los requisitos de seguridad del activo de formación entre el perímetro y los resultados de la evaluación de riesgos del Sistema de Gestión de Seguridad de la Información.
- El perímetro de un edificio debe contener todos los recursos necesarios para tratar la información ofreciéndole cierta solidez física. Todos los muros externos de la zona deben ser sólidos y todas las puertas exteriores deben ser protegidas contra accesos que no estén autorizados por la organización, por ejemplo, se pueden utilizar mecanismos de control, alarmas, rejas, cierres, etc. las puertas y las ventanas tiene que estar cerradas con llave cuando se encuentren desatendidas.
- Se tiene que realizar la instalación de un área de recepción manual y otros medios de control de acceso físico a las instalaciones. El acceso se puede restringir sólo al personal que esté autorizado.
- Las barreras físicas se pueden extender, si fuera necesario, desde el suelo real al techo real evitando que se realicen entradas no autorizadas.
- Las salidas de emergencia que se encuentran en el perímetro de seguridad deben contar con alarma, ser monitoreadas y probadas con respecto a la resistencia de la pared para que tengan un nivel parecido de resistencia en concordancia con los estándares regionales, nacionales e internacionales.
- Se puede instalar Sistemas de Gestión de Seguridad de la Información adecuado a la detección de intrusos de acuerdo a los estándares regionales, nacionales o internacionales.
- Los recursos del procesamiento de la información manejada por la organización que deben separarse al ser manejadas por terceros.
La protección física se puede conseguir creando barreas físicas alrededor de la organización y utiliza los recursos necesarios para procesar la información. La utilización de muchas barreras no tiene por qué brindar protección adicional, ya que si falla una barrena no significa que la seguridad este inmediatamente comprometida.
Un área de seguridad puede ser una oficina cerrada o muchos espacios que se encuentren rodeados por una barrera continua de seguridad interna. Barrera adicional y los perímetros que controlan un acceso físico, ya que puede resultar necesario que existan entre áreas que tengan requisitos de seguridad diferentes.
Se debe considerar especial la seguridad que se ofrece a un acceso físico, ya que existen edificios donde hay múltiples organizaciones.
Controles físicos de entrada
La norma ISO27001 establece que se deben proteger las diferentes áreas mediante controles de entrada adecuados que se aseguren de que el permiso de acceso solo se ofrece al personal autorizado.
Se tiene que considerar las siguientes pautas:
- Las visitas de las áreas seguras se deben supervisar, menos que el acceso haya sido aprobado de forma previa y se tiene que realizar un registro de la fecha de entrada y salida. Las visitas solo tienen acceso para propósitos muy específicos y se autorizan proporcionalmente generando instrucciones sobre todos los requisitos de seguridad del área y los procedimientos ante emergencias.
- Se puede controlar al personal autorizado el acceso a la información sensible de la organización. Se pueden utilizar diferentes controles de autentificación, por ejemplo, tarjeas personales, etc. Tiene que quedar un registro de entradas y salidas.
- Se pueden exigir a todo el personal de la organización que porte la identificación de forma visible y deben saber que puede ser solicitada a las personas extrañas que no estén acompañadas y a cualquiera que no lleve la identificación visible.
- Se tiene que garantizar el acceso restringido de terceras personas hacia las áreas de seguridad o los recursos de los procesos de información sensible. El acceso debe ser autorizado y monitorizado por la persona responsable.
- Se debe revisar y actualizar de forma regular los derechos de acceso a las áreas de seguridad.
La seguridad física para oficinas, despachos y recursos tiene que ser asignada y aplicada.
Se deben seguir las siguientes pautas:
- Se puede tener en cuenta todas las regulaciones y los estándares de seguridad y salud.
- Hay que instalar equipos con contraseña para evitar accesos no deseados.
- Los edificios deben ser discretos y ofrecer las indicaciones oportunas.
- Los directivos y las guías telefónicas internas no deben ser fácilmente accesibles para el público externo a la organización.
Software para ISO 27001
El Software ISOTools Excellence para ISO-27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.