Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenido
11 Seguridad física y medioambiental .......................................................................................... 1
11.1 Áreas seguras .................................................................................................................... 1
11.1.1 Perímetro de seguridad física .................................................................................... 1
11.1.2 Controles de entrada física ........................................................................................ 5
11.1.3 Seguridad en oficinas, salas e instalaciones ............................................................... 7
11.1.4 Protección contra las amenazas externas y el medio ambiente ................................ 8
11.1.5 Trabajar en áreas seguras .......................................................................................... 8
11.1.6 Áreas de entrega y de carga ....................................................................................... 9
11.2 Equipos ............................................................................................................................ 11
11.2.1 Selección del lugar y protección del equipo............................................................. 11
11.2.2 Utilidades ................................................................................................................. 13
11.2.3 Seguridad del cableado ............................................................................................ 14
11.2.4 Mantenimiento de los equipos ................................................................................ 16
11.2.5 Eliminación de activos .............................................................................................. 17
11.2.6 Seguridad de equipos y activos fuera de las dependencias de la organización....... 18
11.2.7 Reutilización y enajenación segura de equipos ....................................................... 21
11.2.8 Equipo de usuario sin supervisión ............................................................................ 23
11.2.9 Política de escritorio limpia y pantalla limpia .......................................................... 24
Conviene que los perímetros de seguridad se definan y se utilizan para proteger tanto las áreas
que
2
Conviene que las siguientes directrices sean consideradas e implementadas, cuando sea
apropiado, para los
a) conviene que los perímetros de seguridad estén claramente definidos y que la ubicación y la
b) conviene que los perímetros de un edificio o de un lugar que contenga las instalaciones de
ni puntos donde podría ocurrir fácilmente una invasión); las paredes externas del sitio deben
ser
construcción robusta y todas las puertas exteriores están adecuadamente protegidos contra el
acceso
no autorizado por medio de mecanismos de control, por ejemplo, barras, alarmas, cerraduras
etc.; las puertas y ventanas se bloquean cuando no están monitoreadas, y que una protección
externa para las ventanas sea considerada, principalmente para las que estén situadas en el
piso
3
suelo;
c) conviene que se haya implantado un área de recepción, u otro medio para controlar el
acceso
físico al lugar o al edificio; el acceso a los locales o edificios sólo debe restringirse al personal
autorizado;
d) conviene que se construyan barreras físicas, donde sea aplicable, para impedir el acceso
físico no
monitoreadas y probadas junto con las paredes, para establecer el nivel de resistencia
f) conviene que los sistemas adecuados de detección de intrusos, de acuerdo con las normas
regionales,
nacional e internacional para ser instalado y probado a intervalos regulares, y cubrir todos
puertas externas y ventanas accesibles; las áreas no ocupadas están protegidas por las alarmas
tiempo todo; también se da protección a otras áreas, por ejemplo, salas de ordenadores o
4
salas de comunicaciones;
Informaciones adicionales
Se puede obtener protección física creando una o más barreras físicas alrededor de las
instalaciones y de los
una protección adicional, ya que en este caso la falla de una de las barreras no significa que la
Un área segura puede ser una oficina cerrada o un conjunto de habitaciones rodeado por una
barrera
el control del acceso físico, cuando existen áreas con diferentes requisitos de seguridad dentro
del marco
perímetro de seguridad.
Conviene que se toman precauciones especiales para la seguridad del acceso físico en el caso
de
5
Conviene que la aplicación de controles físicos, especialmente para las áreas seguras sean
adaptadas
Conviene que las áreas seguras estén protegidas por controles de entrada adecuados para
asegurar
a) conviene que la fecha y la hora de entrada y salida de visitantes se registren, y todos los
visitantes
emitidas con instrucciones sobre los requisitos de seguridad del área y los procedimientos de
b) conviene que el acceso a las zonas en las que se procese o almacene información sensible
6
c) conviene que una pista de auditoría electrónica o un libro de registro físico de todos los
accesos
d) conviene que se exija que todos los funcionarios, proveedores y partes externas, y todos los
los visitantes, tengan alguna forma visible de identificación, y que ellos avisen inmediatamente
al
e) a las partes externas que realicen servicios de apoyo, es conveniente conceder acceso
restringido
f) conviene que los derechos de acceso a áreas seguras se revisen y se actualizan a intervalos
Conviene que se tengan en cuenta las siguientes directrices para proteger las oficinas, las salas
y
instalaciones:
a) conviene que las instalaciones clave se encuentren de manera que se evite el acceso del
público;
b) cuando sea aplicable, conviene que los edificios sean discretos con la menor indicación
posible de la
su finalidad, sin letreros evidentes, fuera o dentro del edificio, que identifiquen la presencia de
c) conviene que las instalaciones estén diseñadas para evitar que la información confidencial o
las
las actividades sean visibles y puedan ser oídas desde el exterior. Protección electromagnética
Conviene que se proyecten y aplican protección física contra desastres naturales, ataques
maliciosos
o accidentes.
Conviene que las orientaciones de expertos sean obtenidas sobre cómo evitar daños
provenientes de fuego,
por la naturaleza.
sólo si es necesario;
equipos de grabación, tales como cámaras en dispositivos móviles, a menos que se autorice.
Las normas para el trabajo en áreas seguras incluyen el control de los empleados, proveedores
y partes
de trabajo externo en tales áreas a cubrir todas las actividades en estas áreas.
Conviene que puntos de acceso, tales como áreas de entrega y de carga y otros puntos en los
que
a) conviene que el acceso a una zona de entrega y carga desde el exterior del edificio quede
b) conviene que las áreas de entrega y carga sean proyectadas de tal manera que sea
es posible cargar y descargar suministros sin que los entregadores tengan acceso a otras
c) conviene que las puertas externas de un área de entrega y carga estén protegidas
e) conviene que los materiales entregados se registren de acuerdo con los procedimientos de
f) conviene que los envíos entregados se segreguen físicamente de los envíos que salen,
g) conviene que los materiales entregados sean inspeccionados para evidenciar un cambio
indebido. caso
11
seguridad.
11.2 Equipos
Objetivo: Impedir pérdidas, daños, hurto o robo, o compromiso de activos e interrupción de
las operaciones
operaciones de la organización.
Conviene que los equipos sean colocados en el lugar o protegidos para reducir los riesgos de
amenazas y peligros del medio ambiente, así como las oportunidades de acceso no autorizado.
Conviene que se tengan en cuenta las siguientes directrices para proteger los equipos:
a) conviene que los equipos se pongan en el lugar con el fin de minimizar el acceso
se colocan cuidadosamente para reducir el riesgo de que la información sea vista por
c) conviene que las instalaciones de almacenamiento estén protegidas de forma segura para
evitar el acceso
no autorizado;
d) conviene que los elementos que requieren protección especial estén protegidos para
reducir el nivel general de
protección necesaria;
e) conviene que se adopten controles para minimizar el riesgo de amenazas físicas potenciales
y
ambientales, tales como el robo, el fuego, los explosivos, el humo, el agua (o la falta de
suministro de agua),
información;
13
h) que es conveniente que todos los edificios están equipados con protección contra rayos y
todas las líneas de entrada
j) conviene que los equipos que procesan información sensible se protejan con el fin de
11.2.2 Utilidades
control
Conviene que los equipos estén protegidos contra la falta de energía eléctrica y otras
interrupciones
a) se ajusten a las especificaciones del fabricante del equipo y con los requisitos
legales de la localidad;
14
(switches) y válvulas para el corte de energía, agua, gas u otras utilidades, se encuentren cerca
Informaciones adicionales
de un proveedor de servicios.
Conviene que se tengan en cuenta las siguientes directrices para la seguridad del cableado:
a) conviene que las líneas de energía y de telecomunicaciones que entran en las instalaciones
de
procesamiento de la información sean subterráneas (o queden por debajo del piso) siempre
que
b) conviene que los cables de alimentación se separen de los cables de comunicaciones, para
evitar
interferencia;
c) para sistemas sensibles o críticos, conviene que los siguientes controles adicionales, sean
considerado:
puntos terminales;
Conviene que los equipos tengan un mantenimiento correcto para asegurar su disponibilidad y
integridad permanente.
Conviene que se tengan en cuenta las siguientes directrices para el mantenimiento de los
equipamiento:
b) conviene que el mantenimiento y las reparaciones de los equipos sólo sean realizados por
personal de
mantenimiento autorizado;
mantenimiento del equipo, dependiendo del mantenimiento por el personal local o por
17
e) que debe cumplirse todos los requisitos de mantenimiento establecidos en las políticas de
seguros;
inspeccionado para garantizar que el equipo no ha sido alterado indebidamente y que no está
en
mal funcionamiento.
Conviene que equipos, información o software no sean retirados del sitio sin autorización
anterior.
b) conviene que se establezcan límites de tiempo para la retirada de los equipos del lugar, y
se controle la devolución;
d) conviene que la identidad, atribución y función de cualquier persona que manipule o utilice
los activos
información o software.
Informaciones adicionales
de equipos de grabación no autorizados, armas, etc., e impedir su entrada y salida del local.
Conviene que tales inspecciones aleatorias se realicen de acuerdo con la legislación y las
normas aplicables.
Conviene que las personas sean advertidas de la realización de las inspecciones, y ellas sólo
puedan ser hechas con
Conviene que se toman medidas de seguridad para activos que operen fuera del local,
llevando en
, cuenta los diferentes riesgos derivados del hecho de trabajar fuera de las dependencias de la
organización.
de las dependencias de la organización sea autorizado por la gerencia. Esto se aplica a los
propios
Conviene que las siguientes directrices se adopten para la protección de equipos usados fuera
de las
dependencias de la organización:
b) conviene que se observen en todo momento las instrucciones del fabricante para la
protección del medio
c) conviene que los controles para las localidades fuera de las dependencias de la organización,
como
20
trabajo en casa y localidades remotas y temporales, sean determinados por una evaluación de
riesgos, y se deben aplicar controles adecuados para cada caso, por ejemplo, archivos
personas o partes externas, conviene que se mantenga un registro para definir la cadena de
custodia
del equipo, incluyendo al menos los nombres y las organizaciones de los que son responsables
por el equipo.
Los riesgos de seguridad, por ejemplo, de daños, hurto o espionaje, pueden variar
considerablemente
de un lugar a otro, y conviene que se tengan en cuenta para determinar los controles más
apropiado.
Informaciones adicionales
tipos, utilizados en el trabajo en casa, o que se retiran del lugar normal de trabajo.
Información adicional sobre otros aspectos de la protección de dispositivos móviles puede ser
encontradas en 6.2.
Conviene que todos los equipos que contengan medios de almacenamiento de datos sean
examinados antes de su disposición para asegurar que los datos sensibles y software con
licencia
hayan sido removidos o sobre-grabados con seguridad, antes del descarte o de su uso.
Conviene que los equipos sean inspeccionados para verificar si los medios están o no
almacenados,
por medio de técnicas que hacen que la información original sea irrecuperable, en lugar de
Informaciones adicionales
La información puede verse comprometida por un descarte hecho sin la debida atención o por
la
considerando que:
b) las claves criptográficas son de un tamaño considerable para resistir un ataque de fuerza
bruta;
23
c) las claves criptográficas se guardan de forma confidencial (por ejemplo, nunca almacenadas
en
el mismo disco).
Las técnicas para sobrescribir de forma segura los medios almacenados, difieren en función de
la tecnología
para almacenar los medios. Conviene que las herramientas utilizadas para sobrescribir se
analizan
Conviene que los usuarios aseguren que los equipos no monitoreados tengan protección
adecuada.
Conviene que todos los usuarios sean conscientes de los requisitos de seguridad de la
información y
a) cerrar las sesiones activas, a menos que puedan protegerse mediante un mecanismo
c) proteger los ordenadores o dispositivos móviles contra el uso no autorizado mediante tecla
de
bloqueo u otro control equivalente, por ejemplo, contraseña de acceso, cuando no esté en
uso.
Conviene que se adopte una política de mesa limpia de papeles y medios de almacenamiento
Conviene que una política de mesa limpia y pantalla protegida tenga en cuenta la clasificación
de la
a) conviene que las informaciones del negocio sensibles o críticas, por ejemplo, en papel o en
medios
autenticación similar cuando sin supervisión y protegida por tecla de bloqueo, contraseñas u
otros
d) conviene que los documentos que contengan información sensible o clasificada se retiren
de
impresoras inmediatamente.
Informaciones adicionales
Una política de escritorio limpia y una pantalla protegida reduce el riesgo de acceso no
autorizado, pérdida y daño
26
información durante y fuera del horario normal de trabajo. Cofres y otras formas de recursos
de
Considerar el uso de impresoras con función de código PIN, permitiendo de tal forma que los
los solicitantes sean los únicos que pueden tomar sus impresiones, y sólo cuando estén cerca
a las impresoras.
MARCO DE EXCEL
5.- Política
De Seguridad
6.- Aspectos
Organizativos
de la SI
10.- Comunic.
y Operaciones
11.- Control
De acceso
12.- Adquisición,
Desarrollo y
Mantenimiento
De los SI
27
13.- Gestión de
Incidentes deSI
14.- Continuidad
Del negocio
15.- Cumplimiento
9 ANTIGUO 11
11 ANTIGUO 9
10 ANTIGUO 12 Y 13