Saltar al contenido principal

ISO 27001 ¿Cómo gestionar la seguridad del entorno de la información?

Inicio / ISO 27001 ¿Cómo gestionar la seguridad del entorno de la información?

Norma ISO 27001

ISO 27001 es la herramienta perfecta para aquellas organizaciones preocupadas por la seguridad de la información que manejan. Una parte importante de la seguridad radica en el control de accesos y otras amenazas físicas a las que se pueda enfrentar la entidad.

La primera barrera que se encuentra una persona al acceder a algún tipo de información siempre es el acceso físico. Si dicho acceso cuenta con la protección adecuada, consecuentemente la información que contenga en su interior estará salvaguardada de riesgos potenciales. Por este motivo es importante plantearse cómo gestionar el entorno de la información o lo que llamaremos áreas seguras.

btn_27

Entorno de la información o áreas seguras

Estas áreas seguras son los lugares donde se conserva la información más crítica de una organización. Suelen estar protegidas por un perímetro de seguridad y por los controles de acceso oportunos.

Estos sistemas de protección son un apoyo para la tarea de ISO-27001 y siempre serán proporcionales al nivel crítico de la información a la que están protegiendo o a los riesgos señalados para los activos.

En lo relativo al perímetro de seguridad, está implantado para impedir el acceso a las personas no autorizadas a ello, para ello cuenta con determinados controles físicos que impiden el acceso en las zonas de entrada como pueden ser alarmas, sistemas de vigilancia 24 horas, barreras arquitectónicas…

Cualquier entrada que se produzca a estos lugares deberá quedar registrada con la fecha y hora en la que sucedieron. Las visitas solo tendrán acceso a la información que están autorizados, pueden ir acompañados durante la visita de algún responsable y llevar una identificación visible.

De cualquier modo, los accesos a áreas seguras deberán ser revisados y actualizados con periodicidad y han de constar unas normas de trabajo en ellas que sean de obligado cumplimiento para todo el que acceda.

Por otro lado, la organización no puede dejar los recursos más críticos de la información en sitios de paso generalizado, deberán estar alejados de estos lugares y sin ninguna indicación de externa sobre la información que contienen o manejan.

Otros aspectos que contribuyen a la seguridad de la información son los controles contra inundaciones, fuegos, malestar social… Si algo de esto ocurriese, la organización deberá contar con copias de seguridad ubicadas en una zona distinta a la que se encuentran las originales para evitar pérdidas importantes de información.

Cualquier material que entre a la organización debe ser registrado y revisado para salvaguardarla de cualquier amenaza, y muy importante es que un punto de acceso público este aislado y distante del lugar en el que se encuentra y se maneja recursos con información crítica.

Una PYME, independientemente de su tamaño o sector está preparada para implantar ISO27001 y trabajar bajo un SGSI que garantice la seguridad de la información de la misma. En ellas, el perímetro de seguridad lo pueden delimitar la ubicación de los activos más importantes y se pueden adoptar medidas de restricción de acceso tales como implantar barreras físicas a la entrada, asegurar puertas y ventanas, identificar a todo aquel que entre a la organización…

Resumiendo, para impedir accesos indeseables y daños a la información que una entidad maneja es necesario:

  • Garantizar que el acceso a las áreas seguras solo es posible para personas autorizadas.
  • Especificar un perímetro de seguridad, emplazar controles de acceso a una instalación y establecer medidas contra incendios e inundaciones.
  • Controlar y registrar visitas.
  • En despachos y oficinas, la información crítica deberá estar alejada de las zonas de acceso público, faxes y fotocopiadoras estarán retirados del área de seguridad y se instalarán alarmas de detección de intrusos.
  • Las áreas seguras estarán cerradas y vigiladas, y el trabajo y las actividades realizadas en ellas solo estará en conocimiento del personal necesario.
  • Todo material que entre a la organización será inspeccionado y registrado antes de introducirlo en la organización.

Software para Sistemas de Gestión de Seguridad de la Información

La Plataforma Tecnológica ISOTools está suficientemente capacitada para automatizar el Sistema de Gestión de Seguridad de la Información que plantea ISO 27001, incluyendo todos los requisitos que hacen evitar cualquier acceso indeseado o deterioro que amenace la información que una entidad maneja.

cta_27

¿Desea saber más?

Entradas relacionadas

Volver arriba