Controles de la ISO/IEC 27001:2022 (III). Controles físicos
Controles físicos
La norma ISO/IEC 27001, dedicada a la seguridad de la información por excelencia, incluye en su última actualización una reordenación de los controles. En anteriores entradas de este blog hemos tratado los organizacionales y las referentes a las personas. En esta ocasión nos centraremos en los controles físicos, que guardan relación directa con el espacio donde se desarrolla el trabajo y su protección.
-
Perímetros de seguridad físicos
Los perímetros de seguridad se definirán y utilizarán para proteger las áreas que contienen información única y otros documentos asociados. También evitan el acceso a persona no autorizado.
-
Entrada física
La entrada debe estar bien señalizada y protegida mediante controles de acceso rigurosos. Si la afluencia de público es elevada debemos facilitar varios puntos de acceso, así nos aseguramos de un mejor control del flujo de personas.
-
Seguridad en oficinas, salas e instalaciones
Se diseñará e implementará la seguridad física de las oficinas, salas e instalaciones. Debemos tener en cuenta qué material puede ser susceptible de ser de malas prácticas, tales como manipulación o daño. Pondremos especial hincapié en ellas a la hora de establecer nuestro plan de seguridad.
-
Supervisión de la seguridad física
Los locales deberán ser monitoreados continuamente para detectar daños físicos no autorizados. El trabajador tiene el derecho a sentirse seguro en su lugar de trabajo.
-
Protección contra amenazas físicas y ambientales
La protección contra amenazas físicas y ambientales contará con un plan específico para llevar a cabo. Los desastres naturales y otras amenazas físicas, intencionales o no intencionales, pueden dañar la infraestructura de nuestro negocio y causarnos grandes pérdidas.
-
Trabajar en áreas seguras
Serán necesarias medidas de seguridad para trabajar en áreas profesionales. Toda la estructura física donde se desarrolla la actividad laboral influye directamente en la seguridad, la salud y el bienestar de los trabajadores. Podremos evitar numerosos problemas relacionados con accidentes si prestamos especial atención a este punto.
-
Escritorio despejado y pantalla despejada
Se debe mantener el área de trabajo limpia y despejada. Tanto los documentos físicos, como los soportados en medios de almacenamiento extraíble, deben estar protegidos y controlados. En cuanto a la pantalla se refiere, se le aplicaría las mismas normas, procesamiento de información adecuado a la empresa, limpieza y seguridad.
-
Ubicación y protección del equipo
El concepto de equipo de trabajo es muy amplio, abarca desde máquinas, herramientas, dispositivos, y un largo etc... Dicho equipo debe ser dispuesto de forma segura y protegida. También tendrán en cuenta a los trabajadores con discapacidad para facilitar su desarrollo dentro de la organización.
-
Seguridad de la información fuera de las instalaciones
Se protegerá la información fuera del área física de trabajo. No se podrá utilizar información relacionada con el ámbito laboral fuera de las instalaciones de trabajo, a no ser que sea necesario y en tal caso debe contar con autorización previa.
-
Control de medios de almacenamiento
Los medios de almacenamiento deben gestionarse a lo largo de su ciclo de vida, desde su adquisición, durante su uso y transporte, y finalmente en la eliminación de los mismos. Seguiremos las pautas del esquema de clasificación y los requisitos de manipulación de la organización.
-
Suministros de apoyo
Las instalaciones de procesamiento de información deben estar protegidas contra cortes de energía, y otras interrupciones causadas por fallos en los servicios públicos de apoyo. En tal caso, la organización debe responder con un plan específico de actuación en estos casos.
-
Seguridad del cableado
Los cables que transporten energía, datos o servicios de información de soporte deberán estar protegidos contra interrupciones, interferencias o daños. Esto afecta tanto a la seguridad documental de la empresa como a la de sus trabajadores, ya que un cortocircuito puede llevarnos a graves problemas de salud si alguien de personal se ve afectado por el mismo.
-
Mantenimiento de equipos
El equipo se mantendrá correctamente para garantizar la disponibilidad, integridad y confidencialidad de la información. En este caso debemos llevar a cabo un protocolo de buen uso para con la herramienta.
-
Eliminación segura o reutilización de equipos
Los elementos del equipo que contengan medios de almacenamiento se verificarán para garantizar que todos los datos confidenciales, y el software con licencia, se hayan eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.
Plataforma tecnológica para ISO/IEC 27001
Es fundamental contar con un sistema de gestión bien organizado, planificado y documentado para cumplir con todos los requisitos de la norma. En este sentido, la plataforma de gestión ISOTools puede ser de gran ayuda, ya que permite gestionar todos los procesos y tareas relacionados con la ISO 27001.
Con ISOTools, se puede crear un repositorio de documentos en el que se almacenan todos los documentos relacionados con el sistema de gestión, que se encuentran disponibles en cualquier momento. Además, esta plataforma cuenta con la posibilidad de asignar roles y permisos específicos a los usuarios, lo que permite que las acciones se realicen de manera más eficiente y sin errores. En resumen, ISOTools es una herramienta útil que puede ayudar a las empresas a cumplir con los requisitos de la norma ISO/IEC 27001 de manera más eficiente y efectiva.