ISO 27001 Gestión de la seguridad física y del entorno

ISO 27001:2013

ISO 27001 mantiene la seguridad de la información de una organización protegida de accesos inadecuados y otras amenazas a las que se pueda enfrentar.

Ocurre que la primera barrera que una persona se encuentra para acceder a los sistemas de información de una organización es el acceso físico. Si el acceso a una instalación está correctamente protegido también lo estará el acceso a los sistemas de información, por eso es necesario considerar cómo gestionar las áreas seguras.

Áreas seguras

Las áreas seguras deben ser los lugares donde se encuentre localizada la información crítica para la organización, éstas estarán protegidas por un perímetro de seguridad y por los controles de acceso pertinentes.

Estos controles de acceso apoyan la labor de ISO-27001 y serán proporcionales con el nivel crítico de la información que protegen o con los riesgos identificados para los activos.

En cuanto al perímetro de seguridad, debe impedir el acceso al personal no autorizado, implantando una serie de controles físicos que eviten el acceso en las zonas de entrada. Un ejemplo de este tipo de controles podría ser un sistema de vigilancia 24 horas, alarmas, barreras arquitectónicas…

En estas áreas habrá una serie de entradas que deberán ser registradas con fecha y hora a la que se produzcan. Solo tendrán acceso a la información para la que tienen autorización, y si fuera necesario irían acompañados por algún responsable durante su visita, llevando una identificación visible.

Para mayor seguridad, los derechos de acceso a estas áreas se deben revisar y actualizar con determinada periodicidad, han de existir unas normas de trabajo en las mismas de obligado cumplimiento para todo aquel que acceda.

Los recursos de la información más críticos deben estar localizados en zonas que no sean de paso general y sin ningún tipo de indicación externa sobre la información que contiene o que se maneja.

Otros elementos que hace que un área sea segura para salvaguardar la información, son los controles contra inundaciones, fuego, malestar social… Para prevenir la pérdida de información si alguna de estas desgracias ocurriese, se debería contar con copias de seguridad que estén localizadas en una zona distinta a la que están las copias originales.

Cualquier área de carga y descarga de material u otro tipo de punto de acceso público debería estar asilado y distante del lugar donde se encuentran y se manejan recursos con información crítica, así como cualquier material que entre a la organización deberá ser registrado y revisado para protegerla de cualquier amenaza.

Una PYME está preparada para implantar ISO27001, y en ella, el perímetro de seguridad puede estar delimitado por la ubicación de los activos más importantes, y como medidas de restricción al acceso de la información se pueden proponer asegurar puertas y ventanas, informar a todo el mundo de sus funciones, implantar barreras físicas a la entrada, identificar a toda persona que entre a la organización…

En resumen, para evitar accesos no autorizados o daños a la información que una organización maneja es necesario:

• Asegurar que el acceso a las áreas seguras solo está disponible a personas autorizadas.
• Definir un perímetro de seguridad, instalar controles de acceso a una instalación e implantar medidas contra inundaciones e incendios.
• Controlar y registrar cada una de las visitas.
• En oficinas y despachos, la información crítica estará alejada de zonas de acceso público, fotocopiadoras y faxes estarán apartadas del área de seguridad y se instalarán alarmas para detectar intrusos.
• El trabajo en las áreas seguras y sus actividades solo las conocerán el personal necesario, y éstas deberán estar cerradas y vigiladas.
• El material que entre a la organización se deber inspeccionar y registrar antes de introducirlo en la organización.

Software para la Seguridad de la Información

La Plataforma Tecnológica ISOTools tiene la capacidad necesaria para automatizar un Sistema de Gestión de Seguridad de la Información que cuente con los requisitos necesarios para evitar cualquier acceso indeseado o cualquier deterioro o daño que ponga en peligro la información que una organización maneja.