¿Cómo protegerse de las amenazas gracias la norma ISO27001?

ISO27001

La seguridad física es una parte muy importante dentro de la protección de la información, ya que incluso el control técnico mejor diseñado, implantado y mantenido puede ser de poca ayuda si en un evento afecta físicamente al medio ambiente o a los bienes sobre los que esos controles funcionan.

Los procedimientos de esta técnica y las copias de seguridad son de poca ayuda si alguien o algo provocan daños en los medios de comunicación o hardware en los que se lleva a cabo la operación, o si no puede llegar a la ubicación de las copias de seguridad para recuperarlo.

Y, para realizar cosas un poco más complicadas, existen diferentes eventos físicos que tienen una mínima probabilidad de ocurrir, pero que puede causar mucho daño, y aquellos que tienen poca o ninguna influencia.

Afortunadamente, la norma ISO-27001 nos ofrece una serie de recomendaciones sobre lo que debe tener en cuenta para que la seguridad física sea mucho más fiable. Durante este artículo vamos a ver como punto A.11.1.4 “Control- Protección contra amenazas externas y ambientales”.

Por las amenazas externas y ambientales, dentro de la norma ISO 27001 existe el apartado A.11.1.4 que se refiere a los eventos que son causados por la naturaleza y las acciones que realiza el hombre, ya sea de forma intencionada o accidental, se realiza por personas que no se encuentran bajo la responsabilidad de una empresa, influencia o control. Para dar ejemplos de amenazas se puede consultar el catálogo de amenazas y vulnerabilidades.

Las características hacen referencia a la identificación de dichas amenazas de una forma algo más compleja, ya que depende sobre todo de la información que se encuentra fuera de la empresa. Para ayudar a reunir la información necesaria, la organización puede recurrir a la norma ISO 31000 “Gestión de riesgos: Principios y directrices” o a la norma ISO 27005 “Tecnología de la información: Técnicas de seguridad” el Anexo C cómo guía para determinar los asuntos externos para el Sistema de Gestión de Seguridad de la Información.

Sin embargo, independientemente de la especificidad de los problemas externos, existen algunas buenas prácticas que se pueden utilizar de forma general, hay sitios en los que se puede endurecer contra los accidentes y los desastres ambientales, además de los obstáculos que se pueden colocar para desalentar o retrasar los agentes potenciales.

Además del hardware y el software, las medidas de construcción pueden incorporarse ya que reducen mucho la probabilidad de compromiso, como puede ser:

• Ubicación: al conocer la historia previa de una zona, una empresa puede evitar aquellos sujetos a eventos naturales como terremotos, inundaciones y huracanes, además de las actividades que pueden suponer acciones penales y vandalismo. Si no existen otras opciones, al menos se pueden preparar las instalaciones para hacer frente a este tipo de situaciones.
• Paredes: paredes reforzadas y tratamientos para protegerlos contra los agentes externos como puede ser el fuego, el agua y los productos químicos que pueden ayudar a minimizar o retrasar los efectos de los agentes activos de una empresa.
• Entradas: las ventanas y las puertas representan un dilema, ya que tienen que establecer un refuerzo contra el acceso no autorizado, así como facilitar la salida de las personas en caso de emergencia. Para otros puntos de entrada no tan obvios, se deben considerar todas las medidas de seguridad necesarias para prevenir que las personas o los animales se cuelen en el lugar mediante cables o tuberías.
• Servicios externos: ninguna empresa es autónoma, por lo que siempre van a depender de servicios externos, como la energía, las comunicaciones, el transporte público y los accidentes y desastres. Una empresa tiene que considerar las necesidades que tenga en los lugares accesibles por diferentes rutas o proveedores.

La prevención del delito mediante un diseño ambiental se utiliza para planificar la seguridad centrada en el diseño, la colocación y la forma con la que cuente el edifico para incrementar la seguridad y al igual que las normas ISO, se puede utilizar en prácticamente cualquier tipo de edificio o escenario, bien sea nuevo o existente. Y aunque sus principios pueden variar de un lugar a otro, existen tres aspectos comunes que siempre podemos encontrar:

• La vigilancia natural: ver y ser visto es un factor clave para la mitigación de amenazas y obstrucciones de jardinería que puede causar puntos de vulnerabilidad. Mientras se piensa en los alrededores del sitio, tratar de asegurarse de que exista una visión clara por parte de la gente, para que las actividades que amenazan sea mucho más fácil de detectar.
• Control de acceso natural: se debe utilizar un paisaje natural para dirigir el flujo de tráfico. Las entradas flanqueadas por colinas bajas ofrecen mucha más protección que los que se encuentran en zonas llanas. Una sola entrada es mucho mejor que una múltiple. Las líneas coloreadas señalizan rutas son otras alternativas para los usuarios de forma natural a encontrar un camino y salir, además de incrementar las oportunidades que se detecten y desalienten los comportamientos sospechosos.
• Refuerzo territorial: aunque los espacios pueden ser acogedores, deben encontrarse bien definidos y poseen límites muy claros. De esta forma usted puede cambiar la forma de utilizar las áreas, mediante reglas inconscientes que ayudan a prevenir el comportamiento indeseable. Los cambios más sutiles en el diseño y en la señalización son claros ejemplos de refuerzo territorial.

Los incidentes son siempre una cuestión de cuando sucederán. Por la tendencias de los negocios reales, controles técnicos y los administrativos pueden captar más la atención de los profesionales de la seguridad, pero nunca pueden olvidar que estos controles dependen de los activos físicos que tienen que ser protegidos, esto se puede realizar gracias a la norma ISO27001.

Software ISO 27001

El Software ISOTools Excellence para el Sistema de Gestión de Seguridad de la Información ISO 27001 se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.