Normas De Seguridad Física Y Ambiental ISO27001

SEGURIDAD

FÍSICA

Y

AMBIENTAL 

Contenido

INTRODUCCIÓN 4

PROBLEMÁTICA 5

OBJETIVOS 8

MARCO TEORICO 9

ÁREAS SEGURAS 9

SEGURIDAD DE LOS EQUIPOS 10

PROPUESTA 11

ÁREAS SEGURAS 11

SEGURIDAD DE LOS EQUIPOS 17

CRITERIOS PERSONALES 20

CONCLUSIONES 21

RECOMENDACIONES 22

BIBLIOGRAFIA 23

INTRODUCCIÓN

Si bien cuando se habla de proteger la información se piensa inmediatamente en controles para el acceso lógico a la misma, debe existir una primera barrera que muchas veces es olvidada o sub-valorada. Esta barrera está compuesta por los procedimientos de seguridad física y ambiental.

Se considera como seguridad física a los procedimientos existentes para controlar el acceso físico al equipamiento informático. Como por ejemplo: cámaras de video en la sala de CPD y puertas de acceso al CPD con cerraduras electrónicas activadas por tarjetas.

Mientras que la seguridad ambiental son los procedimientos existentes para controlar que efectos ambientales no perjudiquen el procesamiento, los equipos informáticos y el personal. Ejemplo: el CPD cuenta con un sistema de supresión de incendios adecuado y el equipamiento central cuenta con protectores de pico de tensión eléctrica.

También se considera como seguridad lógica a los procesamientos existentes para controlar el acceso lógico no autorizado a la información, ya sea que se realice mientras esta se encuentra almacenada o durante la transmisión.

Cabe recalcar que este dominio trata de asegurar los activos físicos a través del control de acceso y la protección contra contingencias externas (medioambientales). Las garantías que cubre este dominio son la disponibilidad, la integridad, y la confidencialidad de la información.

Tomando en cuenta que la infraestructura que sustenta las aplicaciones informáticas que sirven de soporte a la tramitación telemática, así como los soportes de almacenamiento que éstos usan, que residan en sus edificios y en los proveedores de servicio o terceros, deben estar protegidos contra daño físico o hurto utilizando mecanismos de control de acceso físico que aseguren que únicamente el personal autorizado tiene acceso a los mismos.

Con esta finalidad, dicha infraestructura debe estar ubicada en áreas de acceso restringido, con diferentes niveles de seguridad, a las cuales únicamente pueda acceder personal debidamente autorizado. Los accesos a cada uno de los niveles deben ser registrados por mecanismos de control de acceso, quedando disponibles para posteriores auditorías.

Los sistemas y la información que soportan deben estar adecuadamente protegidos frente a amenazas físicas o ambientales, sean éstas intencionadas o accidentales.

PROBLEMÁTICA

En la actualidad el negocio y el desarrollo de actividades de muchas organizaciones dependen de los datos e información registrados en sus sistemas, así como el soporte adecuado de las TIC's para facilitar su almacenamiento, procesamiento y distribución.

La implementación de determinadas medidas de seguridad puede representar un importante esfuerzo económico para una organización. Por ello siempre se debe tener en cuenta que el coste de las medidas adoptadas por la organización ha de ser menor que el valor de los activos a proteger, es decir un análisis costo-beneficio.

A la hora de analizar las posibles consecuencias de la ausencia o de unas medidas deficientes de seguridad informática, el impacto total para una organización puede resultar bastante difícil de evaluar, ya que además de los posibles daños ocasionados a la información almacenada y a los equipos y dispositivos de red, deberíamos tener en cuenta otros importantes perjuicios para la organización:

• Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes

• Pérdidas ocasionadas por la indisponibilidad de diversas aplicaciones y servicios informáticos: coste de oportunidad por no poder utilizar estos recursos.

• Robo de información confidencial y su posible revelación a terceros no autorizados: fórmulas, diseños de productos, estrategias comerciales, programas informáticos...

• Filtración de datos personales de usuarios registrados en el sistema: empleados, clientes, proveedores, contactos comerciales o candidatos de empleo, con las consecuencias que se derivan del incumplimiento de la legislación en materia de protección de datos personales vigentes en toda la Unión Europea y en muchos otros países.

• Posible impacto en la imagen de la empresa ante terceros: pérdida de credibilidad en los mercados, daño a la reputación de la empresa, pérdida de confianza por parte de los clientes y los proveedores.

• Retrasos en los procesos de producción, pérdida de pedidos, impacto en la calidad del servicio, pérdida de oportunidades de negocio.

• Posibles daños a la salud de las personas, con pérdidas de vidas humanas en los casos más graves.

• Pago de indemnizaciones por daños y perjuicios a terceros, teniendo que afrontar además posibles responsabilidades legales y la imposición de sanciones administrativas. Las organizaciones que no adoptan medidas de seguridad adecuadas para proteger sus redes y sistemas informáticos podrían enfrentarse a penas civiles y criminales bajo una serie de leyes existentes y decisiones de tribunales: protección de la privacidad y los datos personales de clientes y empleados.

De hecho es necesario contemplar otros posibles problemas que se podrían derivar del compromiso o toma de control de algunos de los equipos de una organización:

• Utilización de los equipos y redes de una organización para llevar a cabo ataques contra las redes de otras empresas.

• Almacenamiento de contenidos ilegales en los equipos comprometidos, con la posibilidad de instalar un servidor FTP (o similar) sin la autorización del legítimo propietario

...