¿Cómo podemos poner en práctica la protección física de un equipo según la norma ISO 27001?
ISO 27001
La mayoría de las organizaciones de hoy en día cuentan con controles para protegerse de software maliciosos, para evitar que los trabajadores tengan acceso a lugares maliciosos o para cifrar la información cuando es enviado o recibido mediante un correo electrónico. La forma más sencilla de tener todo esto controlado es con la implementación del Sistema de Gestión de Seguridad de la Información basado en el estándar internacional ISO 27001. Sin embargo, a menudo se encuentran empresas que descuidan la protección física de los equipos, tal vez debido a que muchas organizaciones piensan que los problemas de seguridad se manejan si compran un buen antivirus o cualquier otra solución que ofrezca un buen software.
En lo referente a la protección física de los equipos, debemos diferencias entre dos tipos de medidas: las que afectan de forma directa al equipo y la que afectan de forma indirecta a los equipos.
Puede que le resulte de interés la lectura de este post Norma ISO 27001 2013: Seguridad física para proteger las áreas seguras.
Durante el artículo se van a ofrecer algunas sugerencias y mejorar las prácticas sobre las medidas que afectan de forma indirecta a los equipos, lo que ayudará a su empresa a ser más seguro mediante la protección de la seguridad de la información de su organización. Para poder ofrecer dichos consejos nos ayudaremos del Anexo A de la norma ISO 27001 2013, que se centra en la seguridad física del equipo, al implementar el Sistema de Gestión de Seguridad de la Información.
Los servicios públicos de apoyo
Parece obvio que el equipo tiene que estar conectado a una toma de corriente, y en muchos casos existe una UPS o un generador que proporcione energía en el caso de que falle el principal proveedor de energía. A menudo nos encontramos con empresas que nunca han probado su suministro de energía alternativa y no conoce el tiempo que puede trabajar con esta energía alternativa. Por lo tanto, no sólo es importante para establecer una alternativa, sino que también es importante para definir el plan de mantenimiento y definir las tareas que debe llevar a cabo. Es muy recomendable que se genere un informe con todos los resultados.
También se encuentran empresas que trabajan en un centro común y tiene un generador que es administrado por un tercero. No debería ser un problema, ya que puede solicitar a su proveedor un servicio de mantenimiento y pruebas.
Cableado de seguridad
En este caso parece obvio que las tecnologías actuales no sean posibles sin cables, y es muy común que nadie se moleste en ordenar el cableado de forma estructurada. Pero, para evitar errores:
- Los cables no deben estar sueltos o sin etiquetar.
- Deben ser recogidos y canalizados mediante formas preparadas para tender el cable.
- Bastidores de armarios, paneles eléctricos o cualquier otro material para proteger y canalizar los cables que deben ser utilizados y deben ser bloqueados.
Claro escritorio y la política de pantalla transparente
En general, todos los usuarios de hoy en día son conscientes y saben que no deben escribir su contraseña en una nota adhesiva y pegarla en la pantalla de su ordenador, o en el escritorio. Sin embargo, este problema no se puede descuidar, ni se debe pensar que los usuarios sean conscientes de que las medidas que deben llevar a cabo en el escritorio de su ordenador. Por lo tanto, se deben establecer una serie de políticas que recuerden que los usuarios no deben dejar ninguna información sensible en cualquier zona, como establece el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
El software no es la solución para todo
Estamos seguro de que conocer que el software no es una solución para todo lo que se encuentra relacionado con la seguridad de la información de su negocio, por lo que deberá tener implementado el Sistema de Gestión de Seguridad de la Información bajo la norma ISO 27001, deberá proteger su equipo de ataques malintencionados de los hackers de diferentes maneras. El punto de inflexión es que existen muchas amenazas que se encuentran relacionadas con la seguridad física y porque los atacantes saben que el equipo es un punto débil de muchas organización. Por lo tanto, debe aprender a aplicar las medidas necesarias para que su equipo no sea atacado.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.