El documento habla sobre las medidas de seguridad física y del entorno que se deben implementar para proteger los recursos de información y tecnología de una organización. Menciona la importancia de proteger las áreas que contienen equipos e información sensible, controlar el acceso físico, proteger los equipos contra amenazas como incendios o fallas eléctricas, y mantener una adecuada seguridad de los equipos móviles y al eliminar equipos. También recomienda documentos y estándares de seguridad física.
2. Responde a la necesidad de
proteger las áreas, el equipo y
controles generales
3. Evitar el acceso físico no
autorizado, daños o
intromisiones en las
instalaciones y a la información
de la organización.
4. Los servicios de
procesamiento de
información sensible
deberían ubicarse en
áreas seguras y
protegidas en un
perímetro de
seguridad definido
por barreras y
controles de entrada
adecuados. Debe
estar protegidas
físicamente contra
accesos no
autorizados, daños e
interferencias.
5. Los perímetros de seguridad
(como paredes, tarjetas de
control de entrada a puertas o un
puesto manual de recepción)
deberían utilizarse para proteger
las áreas que contengan
información y recursos para su
procesamiento.
Ejemplo de
política de
seguridad física
en español de
SISTESEG
Guía en inglés
sobre medidas de
seguridad física
6. Las áreas de seguridad
deberían estar
protegidas por
controles de entrada
adecuados que
garanticen el acceso
únicamente al personal
autorizado.
CONTROL: SOLUCIÓN:
APC
INTECO
Documento técnico en inglés de
APC sobre control de acceso
físico a infraestructuras críticas
Guía de INTECO y Anova sobre el
uso de video vigilancia en distintos
entornos, la legislación aplicable y
sus implicaciones en materia de
protección de datos personales.
7. CONTROL: SOLUCIÓN:
Se debería
asignar y aplicar
la seguridad física
para oficinas,
despachos y
recursos.
CNI
OFICINA NACIONAL DE SEGURIDAD
NS/03: Seguridad física de instalaciones de
almacenamiento de información clasificada
en la administración pública española.
Publicada por la Autoridad Delegada para la
Seguridad de la Información Clasificada de
España.
OR-ASIP-01-01.02: Orientaciones para el plan
de protección de una zona de acceso restringido.
Oficina Nacional de Seguridad de España.
OR-ASIP-01-02.02: Orientaciones para la
constitución de zonas de acceso restringido.
Oficina Nacional de Seguridad de España.
8. Se debería designar y aplicar
medidas de protección física
contra incendio, inundación,
terremoto, explosión,
malestar civil y otras formas
de desastre natural o
humano
9. :
Documento técnico en inglés de APC sobre protección
contra incendios en infraestructuras críticas.
Diversos documentos técnicos de APC en inglés y
español sobre refrigeración de CPDs.
The Uptime Institute es una organización que publica
estándares y mantiene un esquema de certificación
para la mejora del grado de disponibilidad de centros
de proceso de datos, basado en 4 niveles (Tier I, Tier
II, Tier III y Tier IV).
10. CONTROL:
Se debería diseñar y aplicar protección
física y pautas para trabajar en las áreas
seguras.
11. CONTROL:
Se deberían controlar las áreas de
carga y descarga con objeto de evitar
accesos no autorizados y, si es
posible, aislarlas de los recursos para
el tratamiento de la información.
12. Evitar la pérdida, daño,
robo o puesta en peligro de
los activos y interrupción de
las actividades de la
organización.
13. .
Deberían protegerse los equipos contra las amenazas
físicas y ambientales. La protección del equipo es
necesaria para reducir el riesgo de acceso no autorizado a
la información y su protección contra pérdida o robo.
Así mismo, se debería considerar la ubicación y eliminación
de los equipos.
Se podrían requerir controles especiales para la protección
contra amenazas físicas y para salvaguardar servicios de
apoyo como energía eléctrica e infraestructura del
cableado
14. .
El equipo debería situarse y
protegerse para reducir el riesgo
de materialización de las
amenazas del entorno, así como
las oportunidades de acceso no
autorizado
15. Documentos técnicos de APC en inglés y español sobre arquitectura de CPDs.
Documentos técnicos de APC en inglés sobre monitorización y control de CPDs
The Uptime Institute es una organización que publica estándares y mantiene un
esquema de certificación para la mejora del grado de disponibilidad de centros de
proceso de datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV).
Estándar de la Telecommunications Industry Association en inglés que establece
requisitos para las infraestructuras de comunicaciones en centros de proceso de datos.
NFPA 75 es el estándar de la National Fire Protection Association para la protección de equipos
TI: construcción de edificios, protección anti-incendios, sistemas de extinción, sistemas eléctricos,
refrigeración, etc. Versiones en inglés y en español.
NFPA 76 es el estándar de la National Fire Protection Association para la protección contra
incendios de instalaciones de telecomunicaciones. Versiones en inglés y en español.
Larga lista de estándares relacionados con la seguridad contra el fuego de la National Fire
Protection Association. Versiones en inglés y en español.
SOLUCIÓN:
16. Guía en inglés de la empresa Anixter sobre infraestructuras de centros
de proceso de datos.
Se deberían proteger los
equipos contra fallos en el
suministro de energía u otras
anomalías eléctricas en los
equipos de apoyo.
:
17. Documento técnico de APC con explicaciones sobre tipos de SAI (sistemas de
alimentación ininterrumpida)
Documentos técnicos de APC sobre alimentación eléctrica, SAIs, eficiencia,
distintos tipos de cálculos, etc.
Documento técnico de T2APP sobre problemas de suministro eléctrico,
soluciones, cálculo de la carga, tipos de SAI (sistemas de alimentación
ininterrumpida), mantenimiento de un SAI, etc.
SOLUCIÓN:
18. Se debería proteger el
cableado de energía y de
telecomunicaciones que
transporten datos o soporten
servicios de información
contra posibles
interceptaciones o daños.
:
19. Guía técnica en inglés de la empresa Anixter que resume el contenido de
diferentes estándares de cableado de redes.
Guía técnica en inglés de la empresa Anixter de instalación de cableado
de redes.
Guía técnica en inglés de la empresa Anixter de cableado de redes en
plantas industriales.
Estándar de la Telecommunications Industry Association en inglés que
establece requisitos para las infraestructuras de comunicaciones en
centros de proceso de datos.
SOLUCIÓN:
21. Documento técnico de APC en español sobre mantenimiento preventivo de
CPDs
Herramienta para la limpieza de Windows. Protección en privacidad online
and aporta rapidez y seguridad en los ordenadores
Herramienta para la limpieza de Windows eliminado todo tipo de archivos
temporales como cachés de juegos, historiales, cookies, dumps de memoria,
archivos abiertos recientemente. Dispone de funcionalidades extras como un
administrador de procesos, un lector de hashes, información detallada sobre el
hardware y un gestor de programas de inicio, útil para eliminar programas
innecesarios que se cargan con Windows consumiendo recursos.
SOLUCIÓN:
22. Se debería aplicar seguridad a los
equipos que se encuentran fuera de
los locales de la organización
considerando los diversos riesgos a
los que están expuestos.
:
23. Guía de Inteco para proteger y usar de forma segura el teléfono móvil
Consideraciones sobre Kensington lock para equipos portátiles
Consejos de seguridad para portátiles de la Oficina de Seguridad del
Internauta.
Consejos de Symantec para la protección contra el robo de portátiles.
SOLUCIÓN:
24. Debería revisarse cualquier
elemento del equipo que
contenga dispositivos de
almacenamiento con el fin de
garantizar que cualquier dato
sensible y software con licencia
se haya eliminado o sobrescrito
con seguridad antes de la
eliminación
:
25. Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita- auto arrancable
que permite hacer un borrado seguro del disco duro completo de un equipo
(operación que no sería posible si se inicia el equipo con el sistema operativo
instalado en ese mismo disco).
Herramienta open source de borrado seguro
Herramienta gratuita de borrado seguro.
SOLUCIÓN:
26. Los productos de estas listas reunen los requisitos especificos de la NSA para
la desinfección, destrucción o eliminización de dispositivos que contengan
información sensible o clasificada.
La guía número 88 de la serie NIST SP800 ayuda a las organizaciones en la
implementación de un programa de sanitización de medios con las técnicas
adecuadas y aplicables y los controles para la desinfección y eliminación teniendo
en cuenta la clasificación de seguridad de la confidencialidad del sistema
asociado.
Guía sobre almacenamiento y borrado seguro de información: aborda cuestiones
como por qué se debe controlar la información en la empresa, cómo se almacena
dicha información en los dispositivos de almacenamiento más comunes, en qué
consiste la recuperación en caso de pérdida y qué debe hacerse si se quiere eliminar
de modo permanente la información. Disponible la guía completa en castellano e
inglés y la reseña de la misma en catalán, euskera, gallego y valenciano.
27. No deberían sacarse equipos,
información o software fuera
del local sin una autorización