Norma ISO 27001 2013: Seguridad física para proteger las áreas seguras
Norma ISO 27001 2013
La información y los activos que se encuentran en medio de la nada necesitan un techo, paredes y condiciones de funcionamiento adecuadas. Un software tiene puertas traseras, al igual que cualquier edificio y estas deben ser controladas del mismo modo. Muchas funciones de seguridad de TI se basan en viejos principios físicos de seguridad. En cuanto a ella, sin los controles adecuados de seguridad física, nuestros activos de información se encuentran en riesgo por lo que la norma ISO 27001 2013.
¿Cuáles son las zonas seguras?
Las áreas seguras son sitios en los que se maneja información sensible o valiosos equipos informáticos refugio y el personal para conseguir los objetivos de negocio. En el contexto de la seguridad física, el término “sitio” significa edificios, habitaciones u oficinas que albergan todos los servicios e instalaciones.
La función principal de la seguridad física es proteger los activos de información de amenazas físicas: el acceso no autorizado, las indisponibilidades y los perjuicios causados por la acción humana, además de eventos ambientales perjudiciales.
Los bienes materiales son, los medios de comunicación del curso, de hardware y de información. Los activos de información menos tangibles son las palabras habladas y de los datos que se muestran.
Elementos del contexto físico
Los lugares, los edificios, los espacios públicos, las áreas de trabajo y las áreas de seguridad que no se encuentran en medio de la nada o en algún lugar en el aire. Se encuentran ubicados en un lugar adecuado para las personas. Tres elementos deben ser tomados en cuenta como un contexto físico de decidir por la protección adecuada:
Perímetro y fronteras: tenemos hasta cuatro líneas de defensa a tener en cuenta:
- Primero: lugar o edificio
- Segundo: el piso del edificio
- Tercero: la sala del piso
- Cuatro: la caja en la que se encuentran los activos de información.
Gates: es evidente que hay una necesidad de entrar y salir del entorno físico. La puertas y ventanas son de primera idea de, pero la mayoría de gente pasa por alto los conductos de cables, entradas de aire o puntos de venta, etc. No te puedes olvidar de los caminos y de las puertas de acceso y la salida, ya sean normales o de emergencia, siendo requerido por la norma ISO 27001 2013.
Entorno: esto se refiere a las áreas de pasillos, caminos, carreteras, espacios verdes o de estacionamiento que se encuentra alrededor de los perímetros.
Medidas de seguridad
El medio físico, y especialmente en las zonas de seguridad, tienen que cumplir con las expectativas de seguridad. Esto sucede porque se proporciona un nivel adecuado de la fuerza según la definición de las actividades de gestión de riesgos de cada uno de los elementos.
El primer requisito es obvio, la fuerza del perímetro debe adaptarse al contenido de Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 2013.
En segundo lugar se deben tener en cuenta las seis caras de los tres últimos perímetros que deben tener la misma fuerza. Se utilizan muy poco para tener paredes sólidas si se puede entrar en la habitación mediante un falso techo.
El activo más sensible debe ser puesto dentro del perímetro más fuerte, que está protegido por otro y así sucesivamente.
El concepto de zonificación se describe en las diferentes categorías de habitaciones en función de lo que contienen y la forma en la que se encuentra la relación con los otros.
Cuando se trata de trabajar en un área segura, usted puede ser requerido para controlar:
- La presencia: se debe proteger de forma volumétrica.
- Lo que se hace en el interior de la habitación
En el Anexo A el apartado A11.5 se restringe la utilización de áreas seguras. Sólo se deben dedicar a la manipulación de la información confidencial y valiosa de hosting de TI y de las instalaciones. No tienen que servir como lugares de almacenamiento de papel, equipos u otros dispositivos de mantenimiento. Su ubicación nunca debe ser desvelada a los extraños.
Para algunas partes de las instalaciones no se debería ni realizar fotografías. Cuando son zonas de entrega y de carga, sólo se deben asegurar de que no dan acceso directo a las áreas seguras.
No subestime la seguridad física
La protección del entorno físico, y de las zonas seguras, sigue el mismo enfoque que se utiliza para la información digital: se debe definir el contexto, la evaluación de los riesgos y la implementación de los controles de seguridad más adecuados. Las actividades de control de acceso y la vigilancia siguen las mismas reglas que para la información digital.
Cuando se habla de la seguridad física, eso no es suficiente aunque también es necesario asegurase de que el equipo hace frente a las amenazas ambientales, pero esto ya sería otro tema.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.