ISO 27001: Las claves para controlar la seguridad de los equipos
ISO 27001
La norma ISO 27001 establece una serie de requisitos para evitar daños, pérdidas o comprometer la seguridad de los activos, además de la interrupción de las actividades de la empresa.
El equipo debe estar protegido físicamente de las amenazas. Se debe considerar la instalación y la disponibilidad. Se deben requerir ciertos controles especiales para evitar riesgos en los accesos no autorizados y proteger el Sistema de Gestión de Seguridad de la Información.
El equipo se debe proteger para evitar el riesgo de amenazas del entorno, además de las oportunidades de que se produzcan accesos no autorizados.
Tenemos que considerar las diferentes pautas para conseguir la protección de equipos:
- Los equipos que se deben situar en la minimización de los accesos innecesarios en todas las áreas de trabajo.
- Los equipos de tratamiento de información manejan datos muy sensibles, por lo que se deben instalar software que reduzcan el riesgo de que personas no autorizadas vean los procesos durante su utilización.
- Los elementos que necesiten una especial protección se deben utilizar para reducir el nivel de protección requerido.
- Los controles se deben adoptar para disminuir al máximo los riegos producidos por las amenazas de robo, incendio, explosivos, humo, agua, polvo, efectos químicos, interferencias en el suministro eléctrico, vibraciones, vandalismo y radiaciones electromagnéticas.
- La empresa tiene que incluir en su política de seguridad cuestiones referidas a la prohibición de fumar, beber y comer cerca de los equipos que traten la información.
- Se deben vigilar todas las condiciones ambientales que puedan afectar de forma negativa en el funcionamiento de quipos de tratamiento de información.
- La protección contra la luz también es un factor muy importante, que se debe aplicar a todos los edificios.
- El equipo que proceso toda la información sensible tiene que estar muy protegido contra todas las amenazas que causen pérdida de información.
Suministro eléctrico
Se deben proteger todos los equipos que procesen información sensible contra fallos de energía.
Las instalaciones de apoyo, como pueden ser la electricidad, el suministro de agua, la calefacción y el aire acondicionado tiene que ser adecuada para el Sistema de Gestión de Seguridad de la Información. Los equipos de apoyo se tienen que inspeccionar de forma regular y probarlas de forma apropiada para asegurar que funcione de forma apropiada y se reduce cualquier riesgo que haya sido causado por un mal funcionamiento. El suministro eléctrico adecuado tiene que estar provisto según lo conforme a las especificaciones del fabricante del equipo.
Se pretende instalar un Sistema de Alimentación Ininterrumpida para obtener un cierre ordenado o un funcionamiento continuo de los equipos que realizan operaciones críticas para el negocio. Se deben cubrir todos los planes de contingencia que se deben adoptar en caso de que falle el Sistema de Alimentación Ininterrumpido. Si el proceso tiene que continuar, en caso de que se produzca algún fallo en la energía, se tiene que instalar un generador de respaldo.
Dicho generador se debe probar de forma regular de acuerdo a las recomendaciones del fabricante. Se tiene que disponer de una reserva suficiente de combustible para asegurar que funcione el generador durante el periodo de tiempo que se encuentre paralizado.
Los equipos de Sistema de Alimentación Ininterrumpida y los generadores se deben revisar cada cierto tiempo, con lo que se asegura que tienen suficiente capacidad. Se puede considerar para la utilización de muchas fuentes de poder.
Se deben instalar interruptores de emergencia cerca de las puertas de emergencia en todas las salas en las que se encuentren los equipos con lo que se facilita una desconexión rápida en caso de que se produzca una emergencia. Por si falla la energía se debe disponer de un alumbrado de emergencia.
El suministro de agua tiene que ser estable y adecuado a la hora de suministrar aire acondicionado, equipos de humidificación y sistemas contra incendios. Los problemas de suministro de agua pueden generar daños en los equipos y hacer que dichos sistemas contra incendios no funcionen de forma correcta. El sistema de alarma para detectar todos los problemas de funcionamiento en las instalaciones tiene que ser evaluado e instalado, si es requerido, por profesionales.
Los equipos de telecomunicación tiene que estar conectados al proveedor mediante dos rutas diferentes previniendo así que si falla una se pueda contar con la otra. Este servicio tiene que ser adecuado para satisfacer los requisitos legales con los que comunicar las emergencias que se produzcan en la organización.
Todas las opciones con las que conseguir que se lleve a cabo la continuidad en el suministro de energía incluye la alimentación múltiple evitando así que exista un único punto en el que se puede producir el fallo.
Se deben proteger las interceptaciones o los daños en el cableado que transporta información sensible.
La norma ISO-27001 establece que se deben considerar todas estas pautas para establecer la seguridad del cableado:
- Las líneas de energía y las telecomunicaciones en todas las zonas de tratamiento de información, se deben enterrar (siempre que sea posible).
- La red de cableado se debe proteger contra intercepciones no autorizadas o daños.
- Se deben separa los cables de energía de los de comunicaciones para evitar interferencias.
- Cables claramente identificados y marcas de equipos tienen que utilizarse con el fin de minimizar errores.
- Generar un listado de parches que tienen que ser utilizados con el fin de reducir la posibilidad de errores.
- Se deben tener en consideración las medidas adicionales para sistemas sensibles.
Software para SGSI
El Software ISOTools Excellence cuenta con diferentes aplicaciones que trabajan para que la Seguridad de la Información con las que cuentan las organizaciones no pierda ninguna de sus propiedades más importantes, como puede ser la integridad, la confidencialidad, etc. Además, permite implementar, mantener y mejorar el SSI basado en la norma ISO27001.