El documento habla sobre la importancia de la seguridad física para proteger los recursos y la información de una organización. Recomienda establecer un perímetro de seguridad física con controles de entrada, ubicar los servicios de procesamiento de información sensible en áreas seguras, y aplicar medidas de protección contra desastres naturales o causados por el hombre. También recomienda proteger los equipos contra amenazas físicas y ambientales para reducir el riesgo de acceso no autorizado a la información.
2. Evitar el acceso físico no
autorizado, daños o intromisiones
en las instalaciones y a la
información de la organización
OBJETIVO:
3. Los servicios de procesamiento de información
sensible deberían ubicarse en áreas seguras y
protegidas en un perímetro de seguridad definido por
barreras y controles de entrada adecuados. Estas
áreas deberían estar protegidas físicamente contra
accesos no autorizados, daños e interferencias.
La protección suministrada debería estar acorde con
los riesgos identificados
7. SE DEBERÍA DESIGNAR Y APLICAR MEDIDAS
DE PROTECCIÓN FÍSICA CONTRA
INCENDIO, INUNDACIÓN, TERREMOTO, EXPL
OSIÓN, MALESTAR CIVIL Y OTRAS FORMAS
DE DESASTRE NATURAL O HUMANO.
9. Control:
Se deberían controlar las áreas de carga y
descarga con objeto de evitar accesos no
autorizados y, si es posible, aislarlas de los
recursos para el tratamiento de la
información.
10. Evitar la pérdida, daño, robo o puesta en peligro de los activos y interrupción de las
actividades de la organización.
Deberían protegerse los equipos contra las amenazas físicas y ambientales. La
protección del equipo es necesaria para reducir el riesgo de acceso no autorizado a
la información y su protección contra pérdida o robo.
Así mismo, se debería considerar la ubicación y eliminación de los equipos.
Se podrían requerir controles especiales para la protección contra amenazas físicas
y para salvaguardar servicios de apoyo como energía eléctrica e infraestructura del
cableado.
OBJETIVO:
PRINCIPIO:
11. Control:
El equipo debería situarse y protegerse para
reducir el riesgo de materialización de las
amenazas del entorno, así como las
oportunidades de acceso no autorizado.
12.
13. Control:
Se debería proteger el cableado de
energía y de telecomunicaciones
que transporten datos o soporten
servicios de información contra
posibles interceptaciones o daños.
15. Control:
Se debería aplicar seguridad a los
equipos que se encuentran fuera de los
locales de la organización considerando
los diversos riesgos a los que están
expuestos
16. Control:
Debería revisarse cualquier elemento del equipo que
contenga dispositivos de almacenamiento con el fin de
garantizar que cualquier dato sensible y software con
licencia se haya eliminado o sobrescrito con seguridad
antes de la eliminación.