En coordinación con las medidas tecnológicas ISO 27001 en este capítulo se centra en la necesidad de identificar y establecer medidas de control físicas para proteger adecuadamente los activos de información para evitar incidentes que afecten a la integridad física de la información o interferencias no deseadas

Este capítulo establece dos controles referidos a

  • AREAS SEGURAS
  • EQUIPAMIENTO

Citando la norma:

Objetivo 1:
Áreas seguras

Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones de procesamiento de información y la información de la organización

  • 11.1.1 Perímetro de seguridad física
  • 11.1.2 Controles de acceso físico
  • 11.1.3 Seguridad de oficinas, despachos e instalaciones
  • 11.1.4 Protección contra amenazas externas y del ambiente
  • 11.1.5 El trabajo en las áreas seguras
  • 11.1.6 Áreas de entrega y de carga

Objetivo2:
Equipamiento

Prevenir pérdidas, daños, hurtos o comprometer los activos así como la interrupción de las actividades de la organización.

  • 11.2.1 Ubicación y protección del equipamiento
  • 11.2.2 Elementos de soporte
  • 11.2.3 Seguridad en el cableado
  • 11.2.4 Mantenimiento del equipamiento
  • 11.2.5 Retiro de bienes
  • 11.2.6 Seguridad del equipamiento y de los activos fuera de las instalaciones
  • 11.2.7 Seguridad en la reutilización o eliminación de equipos
  • 11.2.8 Equipamiento desatendido por el usuario
  • 11.2.9 Política de escritorio y pantalla limpios

Objetivo 1: Áreas seguras

11.1.1 Perímetro de seguridad física

Control orientado a proveer protección contra la entrada no autorizada.

  • Tanto los perímetros y controles o defensas previstas deben determinarse en un análisis o evaluación de riesgos
  • Seguridad perimetral:
    Los requisitos para la seguridad física deben tener en cuenta los niveles de protección del perímetro de las instalaciones o elementos que contienen la información a proteger
    • Muros
    • Vallas
    • Alarmas
    • Suelos
    • Protección de ventanas
    • Cerraduras
    • Etc.
  • Áreas atendidas:
    las áreas restringidas a personal autorizado deberían contar con un área de recepción atendida o medios de control adecuados para limitar el acceso físico
  • Barreras:
    Si es aplicable deberían considerarse barreras físicas que impidan el acceso no autorizado y protejan el área de agentes ambientales adversos
  • Sistemas Antiincendios:
    contar con sistemas de protección contra el fuego cumpliendo con la legislación vigente
  • Detección de intrusión:
    Se deben considerar sistemas de detección de intrusos (p ej. Alarmas)
  • Segmentación de espacios:
    Deberían separarse físicamente las áreas de proceso de información que van a ser gestionadas por personal externo de las propias de la organización

No se debe subestimar la seguridad física

Asegurar su entorno físico, y especialmente sus áreas seguras, sigue el mismo enfoque que utilizamos para proteger la información digital:

  • 1. definir el contexto,
  • 2. Evaluar los riesgos
  • 3. Implementar los controles de seguridad más adecuados: cuanto mayor sea el valor y el riesgo, mayor será nivel de protección.
  • 4. Enfrentar las amenazas ambiéntale. En seguridad física, no es suficiente con enfrentar riesgos en cuento a la seguridad sino también se necesita asegurar los equipos e instalaciones para enfrentar las amenazas ambientales VER 11.1.4 Protección contra amenazas externas y del ambiente

Veamos como cumplir estos requisitos en la práctica:

CASO PRACTICO:

Veamos un caso práctico de cómo realizar el análisis del entorno físico para la seguridad de la información

Definir el contexto físico

En primer lugar deberíamos identificar los lugares (instalaciones y entorno), los edificios, las áreas públicas y dentro de la empresa, las áreas de trabajo y aquellas áreas seguras a proteger.

Los elementos a tener en cuenta en un contexto físico para poder definir cuál es la protección adecuada que necesitan son:

El perímetro y las fronteras

Aquí podemos tener en cuenta los siguientes elementos de protección:

  • 1.- El emplazamiento de la empresa (vallas o muros) o el edificio (paredes y ventanas)
  • 2.- El suelo del edificio y la antigüedad del edificio
  • 3.- Las estancias o divisiones dentro del edificio
  • 4.- Los armarios, cajas fuertes o elementos más pequeños donde se guardan los activos de información

Vías de acceso

Obviamente para la seguridad hay que tener en cuenta los medios de ingreso a las instalaciones o al entorno físico. En lo primero que pensamos es en las puertas y ventanas, pero no debemos pasa por alto los conductos de cables, las entradas y salidas de aire, etc.

No olvide tener en cuenta todas las formas de acceso, tanto las normales como de "emergencia" que puedan ser requeridas por las normas de seguridad.

Los alrededores.

Esto se refiere a los corredores, caminos, caminos, espacios verdes o áreas de estacionamiento que se encuentran alrededor de los perímetros.

Medidas de seguridad

Una vez identificado el entorno físico, y especialmente las áreas seguras, podemos pensar en cómo cumplir con las expectativas de seguridad para cada elemento del entorno físico.

Para ello deberemos definir los requisitos adecuados de protección según lo definido por un análisis y evaluación de riesgos para cada uno de los elementos del entorno físico.

Medidas de seguridad perimetral

  • Las medidas de protección de un recinto deben adaptarse a las necesidades de seguridad de su contenido
  • Asegúrese de que las medidas de seguridad consideran el recinto en su conjunto, pues de poco sirve establecer medidas de protección muy elevadas para puertas y paredes si olvidamos los techos, suelos y ventanas
  • Establezca niveles sucesivos de protección de forma que los activos más sensibles queden dentro de las áreas más seguras

Categorización de áreas de seguridad

Establezca un criterio de categorías de las estancias según su contenido y organice su ubicación en relación con las demás demarcaciones de forma que pueda establecer criterios como:

  • Medidas de control de presencia y controles de acceso
  • Medidas de protección volumétrica como detectores de presencia o de humo / fuego
  • Medidas de control de presencia y controles de acceso
  • Medidas de control de actividad
  • Cámaras
  • Políticas de uso de las instalaciones (Un lugar de consulta de información privilegiada no puede ser destinado al almacenamiento de equipos o de materiales)
  • Medidas de control de información (no se debe dar información como carteles o indicaciones sobre la ubicación de los lugares donde se encuentra la información sensible o privilegiada)
  • Medidas de control de áreas de carga, Se debe tener en cuenta que las áreas de carga nunca deben tener acceso directo a áreas seguras

Medidas de seguridad para accesos

Las puertas y ventanas deben tener la misma fuerza que el perímetro: una pared fuerte y una puerta o ventana débil (o al revés, como ya se ha visto) tienen poco sentido.

Las normativas para el adecuado control de acceso en puertas dependen del nivel de protección necesario para la información que contienen. Siempre veneremos establecer medidas acordes de todos los elementos de seguridad de acceso a un perímetro

  • Nivel de protección de puertas y accesos (p ej. Puertas de doble acceso para prevenir entradas de personal no autorizado etc.)
  • Nivel de seguridad de paredes, ventanas y suelos
  • Nivel de seguridad en accesos de cables y tomas de aire
  • Nivel de protección de puertas de emergencia

Medidas de seguridad para los alrededores

Todos los espacios alrededor de un recinto podrían ser monitoreados (de acuerdo con el valor o la sensibilidad de la información que contienen) para prevenir, desalentar y detectar cualquier intento de ingresar (o salir) a través de puertas y otras alternativas (ventanas, conductor etc.) El monitoreo de los alrededores generalmente se realiza con cámaras o patrullas.

11.1.2 Controles de acceso físico

Aquellas áreas que se consideran seguras deben estar protegidas por controles de entrada que permitan solo personal autorizado

  • Los visitantes deben autenticarse: se debe registrar su fecha y hora de entrada / salida.
  • Monitorización: La actividad debe ser monitoreada de acuerdo con la evaluación de riesgos.
  • Comunicación: Se debe informar a los trabajadores que acceden sobre los procedimientos de seguridad y emergencia (especialmente en el caso de los centros de datos) y se les debe otorgar acceso para fines específicos.
  • Personal Externo: Si hay personal externo autorizado y realizan el trabajo si ser acompañados por personal propio en una sala de servidores o centro de datos, debemos asegurarnos de que el acceso a otras áreas estén bloqueadas y que todo el cableado esté seguro. Se aconseja realizar una inspección física de las instalaciones al finalizar los trabajos.
  • Identificaciones: Al personal que trabaje en áreas seguras se le debe exigir llevar identificación y cualquier persona que no use la identificación requerida debe ser notificada a los empleados de seguridad.
  • Revisión de permisos: Los derechos de acceso deben revisarse periódicamente y revocarse según corresponda.

11.1.3 Seguridad de oficinas, despachos e instalaciones

En cuanto a las instalaciones deben diseñarse para evitar al máximo posible el riesgo que la información confidencial sea accesible para los visitantes.

Se debe considerar la posibilidad de en uso de técnicas de enmascaramiento (“masking”) de datos referidos a nombres o actividades de clientes.

Supongamos por ejemplo el caso un centro de tratamiento de datos donde muchas líneas telefónicas están abiertas en cualquier momento o situaciones como la formación de usuarios o pruebas de software.

11.1.4 Protección contra amenazas externas y del ambiente

En un mundo de crecientes inestabilidades y amenazas terroristas y de un clima impredecible, se debe considerar, diseñar y aplicar la protección física contra factores externos.

Si bien las leyes vigentes nos obligan a tener planes de protección y emergencias deberíamos ir más allá y si fuera necesario buscar asesoramiento especializado.

También podríamos pensar que las amenazas externas y del medioambiente quedan cubiertos con el desarrollo de “Planes de Continuidad del Negocio” y de “Recuperación ante desastres”, sin embargo convendría considerar en este apartado las medidas de protección contra inundaciones, incendios y terremotos para mitigar sus efectos.

11.1.5 El trabajo en las áreas seguras

Adicionalmente a las medidas de protección física en las áreas seguras deberíamos definir procedimientos de trabajo tales como

  • Prohibición de trabajos sin supervisión por parte de terceros
  • Revisión de las zonas a la finalización de las visitas
  • Prohibición de uso de móviles / cámaras a no ser que estén expresamente autorizados

11.1.6 Áreas de entrega y de carga

Los puntos de carga suelen ser puntos sensibles para la seguridad física por lo que deberíamos tomar en cuenta algunos aspectos de control en nuestra evaluación de riesgos tales como:

  • Horarios definidos de apertura y cierre
  • Control de apertura y cierre de puertas externas e internas
  • Control de personal
  • Realización de inventarios de materiales entregados
  • Revisión de mercancías entregadas para detectar materiales peligrosos
  • Separar entregas entrantes y salientes
  • Necesidad de informar de cualquier incidente a los responsables de seguridad
  • Barreras adicionales de seguridad

Objetivo2: SEGURIDAD DE LOS EQUIPOS

Los daños en los equipos pueden causar interrupciones en la actividad de una organización o vulnerar la confidencialidad de la información causada por robos de activos

Veamos los controles que deberemos revisar en nuestra evaluación de riesgos para la seguridad de la información

11.2.1 Ubicación y protección del equipamiento

Controles para proteger los equipos de daños ambientales y accesos no autorizados

  • Evitar accesos no necesarios
  • Proteger los equipos de áreas sensibles como centros de datos o salas de servidores
  • Controles de protección en lugares de almacenamiento de equipos si estos contienen información
  • Medidas de protección contra daños eléctricos (fuentes de alimentación reguladas, líneas de alimentación separadas y respaldadas etc.)
  • Control medioambiental para cumplir con las especificaciones del fabricante en cuanto a condiciones de humedad, temperatura protección contra polvo o materiales que puedan dañar los equipos
  • Medidas de protección contra radiaciones
  • Deben establecerse pautas para comer, beber y fumar cerca del equipo para evitar daños o simplemente evitar que los empleados estén en contacto con los equipos si no están trabajando en ellos.

11.2.2 Elementos de soporte

Se trata de establecer medidas de control para el suministro necesario para mantener operativas las instalaciones y los equipos

A menudo este capítulo se pasa por alto en pequeñas y medianas empresas pero conviene que tengamos en cuenta controles para garantizarnos según nuestras posibilidades la cobertura ante fallos del suministro eléctrico y las comunicaciones.

Los controles de este apartado van enfocados a:

  • Cumplir con las especificaciones del fabricante de los equipos en cuanto a suministros (electica, gas etc.)
  • Cumplir los requisitos legales
  • Establecer algún proceso de detección de fallos de suministro
  • Mantener si es posibles alternativas a fallos de suministro (sistemas de alimentación ininterrumpida, rutas alternativas en comunicaciones etc.)

En este apartado deberemos ser imaginativos pues no siempre está a nuestro alcance poder duplicar las comunicaciones o los suministros de energía eléctrica o gas etc. A veces pasa por reforzar sistemas como Teletrabajo, soportes CLOUD o convenios con empresas más grandes como clientes importantes de confianza con mayor infraestructura en caso de desastres que no podamos asumir.

11.2.3 Seguridad en el cableado

Controles para protección del cableado de energía y de comunicaciones que afecta a los sistemas de información

Se trata de evitar tanto el posible daño de las infraestructuras como las posibles interferencias que corrompan los datos o el suministro

RECOMENDACIONES

Los cables deben estar bajo tierra hasta el punto de acceso dentro de la instalación, de o alternativamente debería pensarse en otro tipo de protección.

Los cables de potencia deben estar separados de los cables de comunicaciones para evitar interferencias.

Los puntos de acceso del cableado a los equipos o a las salas deben asegurarse según corresponda y los cables deben estar protegidos.

Como medidas adicionales podríamos realizar barridos técnicos de los cables de comunicación para dispositivos no autorizados (bugs y sniffers) conectados al cableado.

El cableado alrededor de las salas de servidores y centros de datos debería estar aislado de forma segura para evitar la conexión de dispositivos no autorizados.

Finalmente deberemos tener en cuenta siempre el acceso restringido y controlado a las sales de paneles de conexión

11.2.4 Mantenimiento del equipamiento

Se trata de controles para garantizar que los equipos se mantienen adecuadamente para garantizar que no se deterioren y estén siempre disponibles.

Para ello deberíamos tener en cuenta

  • Las recomendaciones del fabricante
  • Solo personal autorizado debe mantener equipos críticos y se deben mantener registros.
  • La información sensible debería removerse del equipo cuando sea necesario
  • Cumplir con todos los requisitos de las pólizas de seguros

11.2.5 Retiro de bienes

Cuando se trata de la retirada de un activo de información ya sea equipos, software u otros dispositivos de información deberíamos controlar

  • La identificación y autorización de personal autorizado a retirar equipos o activos fuera de la organización
  • Fijar límites de tiempo
  • Llevar un registro de equipos retirados y de su retorno así como de la identificación de personal.

11.2.6 Seguridad del equipamiento y de los activos fuera de las instalaciones

Mantenga un registro de la custodia de los activos que abandonan la organización y realice evaluaciones de riesgo para instalaciones donde serán utilizados

Vea también: dispositivos móviles y teletrabajo.

11.2.7 Seguridad en la reutilización o eliminación de equipos

Para los equipos que van a ser reutilizados deberíamos garantizar

  • La información que contenían se ha destruido o sobre escribido correctamente antes de su reutilización
  • Garantizar que las información se ha eliminado completamente considerando que los formateos estándar no realizan esta tarea de forma adecuada
  • Los equipos averiados deben estar sujetos a una evaluación de riesgos antes de disponer de ellos para una reparación

11.2.8 Equipamiento desatendido por el usuario

Los usuarios no deben dejar las sesiones abiertas mientras el equipo no este atendido.

Además de los procedimientos de bloqueo de pantalla, la sesión de la aplicación y de la red debe cerrarse cuando las conexiones no se utilizan.

Esto debería aplicarse tanto a los dispositivos móviles como a los equipos fijos.

11.2.9 Política de escritorio y pantalla limpios

Una de las políticas de seguridad más fácilmente reconocidas y que más se incumple en la práctica y que podríamos decir que se aplica a todas las personas en todas las organizaciones.

Las pantallas no deben mostrar información cuando el equipo no esté en uso y los escritorios deben estar libres de papeles cuando no estén en uso o desatendidos.

Dependiendo de la clasificación de los documentos en papel y la cultura de la organización, el papel y los medios extraíbles deben asegurarse según la política cuando no estén en uso.

Las evaluaciones de riesgos deberían considerar el uso de tecnologías que permitan realizar copias de la información tales como: Impresoras, fotocopiadoras, escáneres y cámaras (especialmente en teléfonos)

Las impresoras se pueden configurar de modo que solo el creador pueda acceder a las copias una vez que se haya ingresado un código en la máquina para evitar el acceso no autorizado.