Informe Seguridad Fisica Y Del Entorno

OBJETIVOS

Prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información de la organización.

Proteger el equipo y la información crítica de la organización, ubicándolo en áreas protegidas y resguardadas por un perímetro de seguridad definido, con medidas de seguridad y controles de acceso apropiados. Asimismo, contemplar la protección del mismo en su traslado y permanencia fuera de las áreas protegidas, por motivos de mantenimiento u otros.

Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del equipamiento informático que alberga la información de organización.

Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales.

Proporcionar protección proporcional a los riesgos identificados.

INTRODUCCION

La seguridad física es la condición que se alcanza en las instalaciones cuando se aplica un conjunto de medidas de protección eficaces para la prevención de posibles accesos a información clasificada por parte de personas no autorizadas, así como para proporcionar las evidencias necesarias cuando se produzca un acceso o un intento de acceso.

La seguridad deberá ser concebida de forma global, mediante una combinación de medidas físicas complementarias que garanticen un grado de protección suficiente, coordinando su aplicación con el resto de medidas de seguridad: seguridad en el personal, seguridad de la información y seguridad en los sistemas de información y comunicaciones.

Las medidas de seguridad física aplicables a cada caso serán concebidas para:

Impedir la entrada por parte de intrusos, tanto si emplean métodos subrepticios como si utilizan otros que impliquen el uso de la fuerza.

Disuadir, impedir o detectar acciones llevadas a cabo por personal desleal.

Permitir la limitación del personal en su acceso a información clasificada de acuerdo con el principio de la necesidad de conocer.

Detectar posibles brechas o violaciones de seguridad y ejercer las pertinentes acciones de corrección sobre éstas con la mayor brevedad posible.

SEGURIDAD FÍSICA Y DEL ENTORNO

SEGÚN ISO 27002

¿QUÉ ES LA SEGURIDAD FÍSICA?

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Según la ISO 27002, contempla la siguiente estructura:

1. Áreas seguras.

1.1. Perímetro de seguridad física.

1.2 Controles físicos de entrada.

1.3 Seguridad de oficinas, despachos y recursos.

1.4 Protección contra amenazas externas y del entorno.*

1.5 El trabajo en áreas seguras.

1.6 Áreas aisladas de carga y descarga.

2. Seguridad de los equipos.

2.1 Instalación y protección de equipos

2.2 Suministro eléctrico

2.3 Seguridad del cableado.

2.4 Mantenimiento de equipos.

2.5 Seguridad de equipos fuera de los locales de la organización.

2.6 Seguridad en la reutilización o eliminación de equipos.

3. Controles Generales

3.1 Políticas de pantallas y mesas limpias

3.2 Salidas de Equipo o Información

1. AREAS SEGURAS

Los recursos para el tratamiento de información crítica o sensible para la organización deberían ubicarse en áreas seguras protegidas por un perímetro de seguridad definido, con barreras de seguridad y controles de entrada apropiados. Se debería dar protección física contra accesos no autorizados, daños e interferencias.

Dicha protección debería ser proporcional a los riesgos identificados.

1.1 PERÍMETRO DE SEGURIDAD FÍSICA

El Organismo utilizará perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información. Un perímetro de seguridad está delimitado por una barrera, por ejemplo una pared, una puerta de acceso controlado por dispositivo de autenticación o un escritorio u oficina de recepción atendidos por personas.

El emplazamiento y la fortaleza de cada barrera estarán definidas por el Responsable del Área Informática con el asesoramiento del Responsable de Seguridad de la Información, de acuerdo a la evaluación de riesgos efectuada.

Ejemplos:

Ubicar el departamento IT dentro de áreas de construcción, físicamente solidas con mecanismos de control, vallas, alarmas y cerraduras.

Un área de recepción atendida por personal o control de acceso físico.

Incluir barrera física (impermeabilizar) desde el piso hasta el techo, para cualquier contaminación.

1.2 CONTROLES FÍSICOS DE ENTRADA.

Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que garanticen el acceso únicamente al personal autorizado.

Ejemplos:

Las visitas a las áreas seguras se deberían supervisar, a menos que el acceso haya sido aprobado previamente, y se debe registrar la fecha y momento de entrada y salida.

Los visitantes sólo tendrán acceso para propósitos específicos y autorizados, proporcionándoles instrucciones sobre los requisitos de seguridad del área y los procedimientos de emergencia.

Se debería controlar y restringir sólo al personal autorizado el acceso a la información sensible y a

...