| 25 años generando CONFIANZA
Controles físicos ISO 27002
ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información sucede a la edición del 2013 y proporciona un conjunto de referencia de controles genéricos de seguridad de la información, incluida una guía de implementación. En este texto abordaremos lo atinente al punto 7 – controles físicos.
El apartado 7. Controles físicos ISO 27002
El apartado 7.1 se titula perímetros de seguridad física, allí se indica que estos deben definirse y utilizarse para proteger las áreas que contienen información y otros activos asociados. Todo esto con el propósito de evitar el acceso físico no autorizado, el daño y la interferencia a la información de la organización y otros activos asociados.
Si continuamos leyendo podemos observar el punto 7.2 – Entrada física. El control consiste en garantizar que las áreas seguras estén protegidas por controles de entrada y puntos de acceso apropiados, con el fin de asegurar solo el acceso físico autorizado a la información de la organización y otros activos asociados.
La seguridad de oficinas, salas e instalaciones corresponde al 7.3, que enfatiza la importancia del diseño e implementación de la seguridad física de las oficinas, salas e instalaciones. Solo así se podrá prevenir el acceso físico no autorizado, el daño y la interferencia a la información de la organización y otros activos asociados en las oficinas, salas e instalaciones. Estas medidas estarían incompletas sin comprobaciones pertinentes, por lo que el 7.4 nos insta a la supervisión de la seguridad física. ¿Cómo lograrlo? Con un monitoreo continuo que permita detectar accesos físicos no autorizados. Solo al detectar podemos disuadir.
La protección contra amenazas físicas y ambientales no se deja al azar, pues la norma la contempla en el punto 7.5, en el que puntualiza que se debe diseñar e implementar la protección contra amenazas físicas y ambientales, como desastres naturales y otras amenazas físicas intencionales o no intencionales a la infraestructura.
¿Acceso restringido con posibilidades de que cualquier efecto externo (natural o artificial) no afecte a nuestros activos? ¡Por supuesto! El estándar es muy completo y cubre este tema en el apartado 7.6 – Trabajar en áreas seguras, para proteger la información y otros activos asociados en áreas seguras contra daños e interferencias no autorizadas por parte del personal que trabaja en estas áreas.
También existen elementos simples y cotidianos que pueden ayudarnos a preservar la integridad, disponibilidad y confidencialidad de la información, es la política de escritorio y pantalla despejados (7.7). Por ello deben definirse y aplicarse adecuadamente reglas de escritorio limpio para documentos y medios de almacenamiento extraíbles y reglas de pantalla limpia para las instalaciones de procesamiento de información. El 7.8 – Ubicación y protección del equipo hace referencia a que el equipo debe estar ubicado de forma segura y protegida para reducir los riesgos de amenazas físicas y ambientales, y de accesos y daños no autorizados.
Guía de implementación de controles físicos ISO 27002
ISO/IEC 27002 también ofrece una guía de implementación. En el 7.8, por ejemplo, expondremos cómo nos orienta para que consigamos cumplir con el objetivo:
Se deben considerar las siguientes pautas para proteger el equipo:
- ubicar el equipo para minimizar el acceso innecesario a las áreas de trabajo y para evitar acceso;
- ubicar cuidadosamente las instalaciones de procesamiento de información que manejan datos confidenciales para reducir el riesgo de información que es vista por personas no autorizadas durante su uso;
- adoptar controles para minimizar el riesgo de posibles amenazas físicas y ambientales [por ejemplo, robo, incendio, explosivos, humo, agua (o falla en el suministro de agua), polvo, vibración, efectos químicos, interferencia en el suministro eléctrico, interferencia en las comunicaciones, radiación electromagnética y vandalismo];
- establecer pautas para comer, beber y fumar en la proximidad del procesamiento de la información.
- monitorear las condiciones ambientales, tales como la temperatura y la humedad, en busca de condiciones que puedan afectar negativamente el funcionamiento de las instalaciones de procesamiento de información;
- aplicar protección contra rayos a todos los edificios y colocar filtros de protección contra rayos en todas las entradas líneas eléctricas y de comunicaciones;
- considerando el uso de métodos especiales de protección, tales como membranas de teclado, para equipos en ambientes industriales;
- proteger los equipos que procesan información confidencial para minimizar el riesgo de fuga de información debido a emanación electromagnética;
- separar físicamente las instalaciones de procesamiento de información gestionadas por la organización de aquellas no gestionadas por la organización
La seguridad de los activos fuera de las instalaciones es contemplada en el 7.9, puesto que los activos fuera del sitio deben estar protegidos con el fin de evitar la pérdida, el daño, el robo o el compromiso de los dispositivos externos y la interrupción de las operaciones de la organización.
Los apartados que completan el punto 7 son:
- 10 Medios de almacenamiento.
- 11 Utilidades de apoyo.
- 12 Seguridad del cableado.
- 13 Mantenimiento de equipos.
- 14 Eliminación segura o reutilización de equipos.
Software Seguridad de la Información ISOTools
Para una gestión eficaz de los controles de Seguridad de la Información se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, cuyos controles se detallen en la ISO 27002 y han sido modificados recientemente en 2022.
Todos estos controles de Seguridad de la Información , así como las mejores prácticas para su gestión automatizada se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. Para conocer como hacemos más eficiente la gestión de la Seguridad de la Información en las organizaciones puede inscribirse en la demostración gratuita que celebramos semanalmente, haciendo clic aquí.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...