sábado, marzo 13, 2010

ISO 27001 e ISO 27002: Dominio 9 - Seguridad Física

Continuando con los Dominios de la ISO 27002 (Numeral 9) o Anexo A de la ISO 27001 (Anexo A9), hoy vamos a revisar la Seguridad Física. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen dos objetivos de control:

9.1 Áreas Seguras

Evitar el acceso físico no autorizado, el daño o la interferencia a las instalaciones y a la información de la organización.

Los servicios de procesamiento de información sensible o crítica deberían estar ubicados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada adecuados, Dichas áreas deberían estar protegidas físicamente contra acceso no autorizado, daño e interferencia.

La protección suministrada debería estar acorde con los riesgos identificados.

9.2 Seguridad de los Equipos

Evitar pérdida, daño, robo o puesta en peligro de los activos, y la interrupción de las actividades de la organización.


Los equipos deberían estar protegidos contra amenazas físicas y ambientales.

La protección del equipo (incluyendo el utilizado por fuera) es necesaria para reducir el riesgo de acceso no autorizado a la información y para proteger contra pérdida o daño. También se debería considerar la ubicación y la eliminación de los equipos. Es posible que se requieran controles especiales para la protección contra amenazas físicas y para salvaguardar los servicios de soporte tales como energía eléctrica e infraestructura de cableado

Sintetizando, esto es lo que busca este Dominio:
Se deben definir normas para prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información de la Organización.

Se deben aplicar controles para el manejo preventivo de factores ambientales que puedan causar daños en el correcto funcionamiento de los equipos de información que almacenan la información de la Organización.

Detallando lo que busca la Norma:
Todos los centros de almacenamiento de información de la Organización o instalaciones que estén involucradas con los activos de información deben cumplir con las normas de seguridad física y ambiental, para garantizar que la información manejada en éstas permanezca siempre protegida de accesos físicos por parte de personal no autorizado o por factores ambientales que no se puedan controlar.

La información manejada por funcionarios (internos y externos) de la Organización en sus instalaciones, durante las labores habituales de trabajo, debe estar protegida.

Se debe proporcionar una protección a los activos de información proporcional a los riesgos identificados.

Se debe evitar la pérdida, daño, robo o puesta en peligro de los activos y la interrupción de las actividades de la Organización.

Las normas sobre seguridad física deben contener los controles de acceso a personal no autorizado en las instalaciones y centros de procesamiento de información de la Organización, para garantizar la seguridad de los activos de información. Es importante involucrar a personal especializado en seguridad física y utilizar herramientas tecnológicas que ayuden en la implementación de las medidas de seguridad establecidas.

El propósito fundamental de este Dominio de las la ISO 27002 ó Anexo A de la ISO 27001 es lograr que tanto las instalaciones donde esta ubicada la Organización, y su infraestructura técnica esten tan protegidas como lo sugiera el análisis de riesgos que se haga a la misma. Si el análisis sugiere la instalación de un Data Center Tier 2, instalar este y no un data Center Tier 1; y así con cada uno de los riesgos que se identifiquen de seguridad física. Y aqui ya tocamos un punto supremamente sensible de un SGSI: el Análisis de riesgos, del cual estare hablando mas detalladamente en una próxima entrada.

No hay comentarios.: