ISO 27001 y los controles de la seguridad de los equipos informáticos

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001 y los controles de la seguridad de los equipos informáticos

ISO 27001 y los controles de la seguridad de los equipos informáticos

ISO 27001 blog sat

ISO 27001

ISO 27001 busca la máxima protección en la información con la que una organización trabaja. La mayor parte de esta información, las organizaciones la tienen almacenada en equipos informáticos, y por tanto, estos requieren atención específica y estar especialmente protegidos de cualquier amenaza externa y de los alrededores más próximos para evitar accesos inadecuados o no autorizados, robos y pérdidas importantes.

Las personas que trabajen manejando información sensible a la que haya que prestarle especial cuidado, deben localizarse en zonas poco transitadas o en áreas seguras para evitar que dicha información sea visualizada por personas no autorizadas.

Normalmente se establecen unos controles para casos en los que elementos como el fuego, el agua, el polvo, el suministro eléctrico o el vandalismo sean amenazas directas a los equipos informáticos. Estos controles vigilan las condiciones ambientales de temperatura y humedad y revisan periódicamente las instalaciones de suministro de agua, electricidad, aire acondicionado o calefacción.

Este punto es esencial debido a que por ejemplo, cualquier mal funcionamiento en el suministro de agua ocasionaría fallos en el sistema de aire acondicionado u ocasionaría un mal funcionamiento en los sistemas de extinción de incendios.

Otro aspecto relevante que hay que revisar es el funcionamiento del Sistema de Alimentación Ininterrumpida y realizar pruebas de entrada en funcionamiento. Se trata de un Sistema que lleva a cabo un apagado ordenado de los equipos y da tiempo a iniciar el funcionamiento de un generador de respaldo.

Tanto el cableado eléctrico de los equipos como el de las telecomunicaciones deben protegerse de intercepciones no autorizadas u otros daños. Es ventajoso mantener separados los cables mencionados para reducir el riesgo de interferencias. Para ello sería aconsejable marcar los cables y así facilitar la identificación y el manejo de los mismos.

En incremento de la seguridad de los equipos, éstos deben estar conectados a un proveedor mediante, al menos, dos rutas distintas y así evitar que solo haya un único punto de fallo.

Respecto al mantenimiento de los equipos informáticos, debe ejecutarse por un personal competente y autorizado para ello exclusivamente, y siguiendo las recomendaciones del proveedor. Cada una de las actuaciones que se lleven a cabo sobre los equipos han de quedar registradas con el máximo detalle posible.

Si se diera el caso en que fuera necesario utilizar un equipo, información, o software fuera de las instalaciones de trabajo, antes de hacerlo se deberá pedir autorización a la alta dirección, además habrá que aplicar los controles de seguridad correspondientes para evitar pérdidas, robos o daños. Toda entrada y salida de material debe quedar debidamente registrada.

Cuando se piensa en reutilizar o eliminar un equipo utilizado en la organización hay que asegurarse que no contiene ningún tupo de información sensible de la misma, que se ha borrado toda y que su recuperación es imposible. Si no se está seguro, como último paso se debe recurrir a la destrucción física del equipo.

En resumen, ISO-27001, se encargará dentro de la organización de proteger su información, y cuando esté almacenada en equipos informáticos se debe:

  • Aislar elementos que requieran protección especial.
  • Valorar los impactos de los posibles desastres que puedan suceder como fugas de agua, incendios…
  • Utilizar un Sistema de Alimentación Ininterrumpida para proteger a los equipos de fallos de energía.
  • Salvar el cableado de energía y telecomunicaciones que porten datos.
  • Conservar papeles y soportes informáticos en armarios o habitaciones cerradas cuando no se utilicen.
  • Hacer uso del bloqueo de pantalla con contraseña para salvaguardar los equipos cuando se encuentren desatendidos.

Estos elementos están reflejados en la norma ISO 27002 sobre Códigos de conducta para los controles de seguridad de la información.

Software para los SGSI

La Plataforma Tecnológica ISOTools incluye estas prácticas de seguridad en los equipos informáticos durante la implantación y automatización del estándar ISO27001 en vistas a construir un Sistema de Seguridad de la Información fiable y eficaz.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…