Saltear al contenido principal
ISO 27001

ISO 27001: Seguridad física como protección de las áreas seguras

ISO 27001

ISO 27001

Tanto la información como los activos que se encuentran en medio de cualquier parte requieren de un habitáculo con unas condiciones determinadas para su funcionamiento. Al igual que un edificio, un software cuenta con puertas traseras que deben de ir acompañadas de un determinado control.

En muchas ocasiones, las funciones de seguridad de TI están basadas en principios físicos de seguridad demasiado obsoletos. Sin unos controles determinados de seguridad física nuestros activos de información pueden estar en peligro o riesgo, de ahí la importancia de la ISO 27001.

 

¿Cuáles son las zonas seguras?

Podemos definir el concepto de “área segura” como aquel sitio en el que se trata la información de carácter sensible o determinados y valiosos equipos informáticos. Dentro del contexto de seguridad física, el concepto “sitio” es concebido como aquel edificio, habitación u oficina que acoge cada uno de los servicios e instalaciones.

La función fundamental de la seguridad física es la de servir de protección a los activos de información frente a las amenazas físicas como el acceso no autorizado, los perjuicios provocados por la acción humana, las indisponibilidades o las inclemencias meteorológicas.

Los bienes materiales pueden entenderse como aquellos medios de comunicación de curso, de hardware y de información. Los activos de información menos tangibles son el lenguaje hablado y los datos derivados del mismo.

 

Elementos del contexto físico

Los elementos del contexto físico a los que nos referimos comprenden todos aquellos lugares, edificios, espacios público, áreas de trabajo y áreas de seguridad que no se encuentran en medio de la nada o en algún tipo de espacio al aire libre. Estos elementos del contexto físico están ubicados en algún lugar adecuado para las personas. Se deben tomar en cuenta tres elementos distintos para poder definir un contexto físico protegido correctamente:

  • Perímetro y fronteras. Encontramos hasta cuatro líneas de defensa a considerar:
    1. Lugar o edificio
    2. El piso del edificio
    3. La sala del piso
    4. La caja en la que se encuentran los activos de información.
  • Puertas. Se hace evidente la necesidad de poder acceder y salir del entorno físico. Las puertas y las ventanas son elementos necesarios a simple vista, pero llegan a quedar como olvidados los conductos de cables, las entradas de aire o los puntos de venta. No debemos olvidar los caminos, las puertas de acceso y salida, tanto las normales como las de emergencia, siendo elementos requeridos por la propia norma ISO 27001.
  • Entorno. En este apartado encontramos las áreas de pasillos, los caminos, las carreteras, los espacios verdes o los espacios de estacionamiento de alrededor de los perímetros.

 

Medidas de seguridad

El medio físico debe de cumplir con unas determinadas expectativas de seguridad, y con especial atención las zonas de seguridad. Estas exigencias se deben a un nivel determinado de fuerza en base a la definición de las actividades de gestión de riesgos de cada uno de los elementos.

Como primer requisito, fundamentalmente por su obviedad, la fuerza del perímetro debe estar adaptada al contenido de Sistema de Gestión de Seguridad de la Información en base a la ISO 27001.

Como segundo requisito debe de considerarse que las seis caras de los tres últimos perímetros deben tener la misma fuerza.

Es recomendable situar al activo más sensible dentro del perímetro más fuerte, el cual estará protegido por otro y así sucesivamente.

El concepto de zonificación se describe en las distintas categorías de habitaciones en relación con lo que contienen y la manera en la que se encuentra la relación con los otros.

Cuando se trata de trabajar en un área segura, usted puede ser requerido para controlar:

  • La presencia. Se debe proteger de forma volumétrica.
  • Lo que se hace en el interior de la habitación.

En el Anexo A, el apartado A11.5 se restringe el uso de áreas seguras. Sólo se deben dedicar a la manipulación de la información confidencial y valiosa de hosting de TI y de las instalaciones. No tienen que servir como lugares de almacenamiento de papel, equipos u otros dispositivos de mantenimiento. Su ubicación nunca debe ser desvelada a los extraños.

 

Software ISO 27001

Para garantizar la automatización, gestión y control de un Sistema de Gestión de Seguridad de la Información de manera eficaz, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de forma completa los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.

¿Desea saber más?

Entradas relacionadas

Volver arriba