¿Cuáles son las medidas más habituales de seguridad física de los sistemas de información?
La seguridad física suministra protección ante accesos no autorizados, daños e interferencias a las instalaciones de la organización y a la información.
Los requisitos sobre seguridad física varían considerablemente según las organizaciones y dependen de la escala y de la organización de los sistemas de información. Pero son aplicables a nivel general los conceptos de asegurar áreas, controlar perímetros, controlar las entradas físicas e implantar equipamientos de seguridad.
Las líneas de actuación recomendadas son:
En relación con la adecuación de locales:
· Definir de forma proporcionada las medidas que garanticen la seguridad de las áreas a proteger en relación con los requisitos de seguridad de la información que se almacene o procese.
· Construir barreras físicas del suelo al techo para prevenir entradas no autorizadas o contaminación del entorno. Las ventanas y puertas de las áreas seguras deben estar cerradas y controlarse periódicamente. Las ventanas deben protegerse externamente. Se pueden necesitar barreras adicionales y perimetrales entre áreas con diferentes requisitos de seguridad dentro del perímetro global de seguridad.
· Construir las instalaciones de forma discreta y minimizar las indicaciones sobre su propósito, evitando signos obvios (fuera o dentro del edificio) que identifiquen la presencia de las actividades cuya seguridad se desea. No informar al personal que no esté directamente implicado de las actividades que se hacen dentro de las áreas seguras.
· No identificar en directorios telefónicos y de los vestíbulos de la organización las localizaciones informáticas (excepto las oficinas y áreas de recepción).
· Proteger los locales de amenazas potenciales como fuego, humos, agua, polvo, vibraciones, agentes químicos o radiaciones electromagnéticas. Instalar en el área un equipamiento apropiado de seguridad: control de temperatura y humedad; detectores y alarmas de calor, humos y humedad; sistemas de extinción de incendios; salidas de emergencia; falso suelo para respiración de equipos, cableado equipamiento de extinción de incendios, etc. Considerar el uso de protecciones especiales para equipamientos situados en ambientes particularmente agresivos. Este equipamiento debe revisarse regularmente de acuerdo con las instrucciones de los fabricantes. El personal debe conocer su uso adecuado. Prohibir fumar y comer en salas de tipo centro de proceso de datos.
· Separar las áreas de carga y descarga de material de las áreas a proteger. En caso de que esto no sea posible, se deberán establecer los controles adecuados para impedir accesos no autorizados. Restringir los accesos al área de carga y descarga desde fuera del edificio, al personal autorizado y debidamente identificado.
· Documentar debidamente los procedimientos de emergencia y revisar esta documentación de forma regular.
En relación con la instalación de líneas de telecomunicaciones:
· Considerar medidas para proteger los cables de líneas de datos contra escuchas no autorizadas o contra daños (por ejemplo, evitando rutas a través de áreas públicas o fácilmente accesibles). Instalar las líneas de suministro y telecomunicaciones para servicios de los sistemas de información en instalaciones subterráneas, cuando sea posible, o tener medidas alternativas de protección adecuada. Considerar medidas adicionales para sistemas sensibles o críticos, como:
· Instalación de conductos blindados, salas cerradas, etc.
· Uso de rutas o medios de transmisión alternativos.
En relación con la ubicación de equipamiento, materiales y copias de respaldo:
· Situar en áreas seguras los equipos a proteger donde se minimicen los accesos innecesarios a las áreas de trabajo, distanciadas de las zonas de acceso público y de las zonas con aproximación directa de vehículos públicos. Definir perímetros de seguridad con las correspondientes barreras y controles de entrada. Su protección física debe impedir accesos no autorizados, daños y cualquier otro tipo de interferencias.
· Ubicar los terminales que manejen información y datos sensibles en lugares donde se reduzca el riesgo de que aquellos estén a la vista.
· Almacenar los materiales peligrosos y/o combustibles a una distancia de seguridad del emplazamiento de los ordenadores. Por ejemplo, los suministros informáticos como el papel no se deben almacenar en la sala de ordenadores (hasta que se necesiten). Inspeccionar el material entrante, para evitar amenazas potenciales, antes de llevarlo al punto de uso o almacenamiento.
· Ubicar el equipamiento alternativo y copias de respaldo en sitios diferentes y a una distancia conveniente de seguridad.
En relación con la entrada y salida física de personas y soportes de información:
· Controlar la entrada en exclusiva al personal autorizado a las áreas que se hayan definido como áreas a ser protegidas. Autorizar sólo con propósitos específicos y controlados los accesos a estas áreas, registrando los datos y tiempos de entrada y salida. Obligar a todo el personal que lleve una identificación visible dentro del área segura y que observe e informe de la presencia de personal extraño al área. En éstas se deben prohibir los trabajos no autorizados en solitario para evitar la oportunidad de acción maliciosa. Cerrar la puerta externa del área, cuando la interna esté abierta.
· Restringir el acceso a las áreas seguras del personal de los proveedores o de mantenimiento a los casos en que sea requerido y autorizado. Aun con acceso autorizado deben restringirse sus accesos y controlarse sus actividades (especialmente en zonas de datos sensibles).
· Definir normas y controles relativos a la posible salida/entrada física de soportes de información (impresos, cintas y disquetes, CDs, etc.).
Fuente: Criterios de seguridad, conservación y normalización de las aplicaciones para ejercicio de potestades. Ministerio de Administraciones Públicas
La seguridad física suministra protección ante accesos no autorizados, daños e interferencias a las instalaciones de la organización y a la información.
Los requisitos sobre seguridad física varían considerablemente según las organizaciones y dependen de la escala y de la organización de los sistemas de información. Pero son aplicables a nivel general los conceptos de asegurar áreas, controlar perímetros, controlar las entradas físicas e implantar equipamientos de seguridad.
Las líneas de actuación recomendadas son:
En relación con la adecuación de locales:
· Definir de forma proporcionada las medidas que garanticen la seguridad de las áreas a proteger en relación con los requisitos de seguridad de la información que se almacene o procese.
· Construir barreras físicas del suelo al techo para prevenir entradas no autorizadas o contaminación del entorno. Las ventanas y puertas de las áreas seguras deben estar cerradas y controlarse periódicamente. Las ventanas deben protegerse externamente. Se pueden necesitar barreras adicionales y perimetrales entre áreas con diferentes requisitos de seguridad dentro del perímetro global de seguridad.
· Construir las instalaciones de forma discreta y minimizar las indicaciones sobre su propósito, evitando signos obvios (fuera o dentro del edificio) que identifiquen la presencia de las actividades cuya seguridad se desea. No informar al personal que no esté directamente implicado de las actividades que se hacen dentro de las áreas seguras.
· No identificar en directorios telefónicos y de los vestíbulos de la organización las localizaciones informáticas (excepto las oficinas y áreas de recepción).
· Proteger los locales de amenazas potenciales como fuego, humos, agua, polvo, vibraciones, agentes químicos o radiaciones electromagnéticas. Instalar en el área un equipamiento apropiado de seguridad: control de temperatura y humedad; detectores y alarmas de calor, humos y humedad; sistemas de extinción de incendios; salidas de emergencia; falso suelo para respiración de equipos, cableado equipamiento de extinción de incendios, etc. Considerar el uso de protecciones especiales para equipamientos situados en ambientes particularmente agresivos. Este equipamiento debe revisarse regularmente de acuerdo con las instrucciones de los fabricantes. El personal debe conocer su uso adecuado. Prohibir fumar y comer en salas de tipo centro de proceso de datos.
· Separar las áreas de carga y descarga de material de las áreas a proteger. En caso de que esto no sea posible, se deberán establecer los controles adecuados para impedir accesos no autorizados. Restringir los accesos al área de carga y descarga desde fuera del edificio, al personal autorizado y debidamente identificado.
· Documentar debidamente los procedimientos de emergencia y revisar esta documentación de forma regular.
En relación con la instalación de líneas de telecomunicaciones:
· Considerar medidas para proteger los cables de líneas de datos contra escuchas no autorizadas o contra daños (por ejemplo, evitando rutas a través de áreas públicas o fácilmente accesibles). Instalar las líneas de suministro y telecomunicaciones para servicios de los sistemas de información en instalaciones subterráneas, cuando sea posible, o tener medidas alternativas de protección adecuada. Considerar medidas adicionales para sistemas sensibles o críticos, como:
· Instalación de conductos blindados, salas cerradas, etc.
· Uso de rutas o medios de transmisión alternativos.
En relación con la ubicación de equipamiento, materiales y copias de respaldo:
· Situar en áreas seguras los equipos a proteger donde se minimicen los accesos innecesarios a las áreas de trabajo, distanciadas de las zonas de acceso público y de las zonas con aproximación directa de vehículos públicos. Definir perímetros de seguridad con las correspondientes barreras y controles de entrada. Su protección física debe impedir accesos no autorizados, daños y cualquier otro tipo de interferencias.
· Ubicar los terminales que manejen información y datos sensibles en lugares donde se reduzca el riesgo de que aquellos estén a la vista.
· Almacenar los materiales peligrosos y/o combustibles a una distancia de seguridad del emplazamiento de los ordenadores. Por ejemplo, los suministros informáticos como el papel no se deben almacenar en la sala de ordenadores (hasta que se necesiten). Inspeccionar el material entrante, para evitar amenazas potenciales, antes de llevarlo al punto de uso o almacenamiento.
· Ubicar el equipamiento alternativo y copias de respaldo en sitios diferentes y a una distancia conveniente de seguridad.
En relación con la entrada y salida física de personas y soportes de información:
· Controlar la entrada en exclusiva al personal autorizado a las áreas que se hayan definido como áreas a ser protegidas. Autorizar sólo con propósitos específicos y controlados los accesos a estas áreas, registrando los datos y tiempos de entrada y salida. Obligar a todo el personal que lleve una identificación visible dentro del área segura y que observe e informe de la presencia de personal extraño al área. En éstas se deben prohibir los trabajos no autorizados en solitario para evitar la oportunidad de acción maliciosa. Cerrar la puerta externa del área, cuando la interna esté abierta.
· Restringir el acceso a las áreas seguras del personal de los proveedores o de mantenimiento a los casos en que sea requerido y autorizado. Aun con acceso autorizado deben restringirse sus accesos y controlarse sus actividades (especialmente en zonas de datos sensibles).
· Definir normas y controles relativos a la posible salida/entrada física de soportes de información (impresos, cintas y disquetes, CDs, etc.).
Fuente: Criterios de seguridad, conservación y normalización de las aplicaciones para ejercicio de potestades. Ministerio de Administraciones Públicas
No hay comentarios:
Publicar un comentario