ISO 27001: Las medidas necesarias para proteger de forma directa los equipos de su empresa
ISO 27001
En un artículo anterior ya comentamos la protección física de los equipos, el post es el siguiente ¿Cómo podemos poner en práctica la protección física de un equipo según la norma ISO 27001?, en el que dijimos que la norma ISO 27001 ofrece una buena solución para proteger la seguridad de la información en la organización, además dijimos que es necesario configurar una serie de controles de seguridad física para proteger el equipo. Se discutieron todas las medidas de seguridad que se deben utilizar para proteger de forma indirecta los equipos de su organización.
En el artículo de hoy queremos que conozcáis las medidas que se pueden utilizar para proteger de forma directa los equipos de su empresa. Al igual que en el anterior se quiere seguir la estructura del Anexo A de la norma ISO 27001 y la sugerencia de las mejores prácticas que aparecen en la norma ISO 27002.
Emplazamiento y la protección del equipo
El equipo tiene que estar situado en un lugar seguro para cumplir con las condiciones para su correcto funcionamiento. Por lo tanto, es muy importante que se configuren los sensores de humedad y temperatura, además de controlar todas las condiciones con el fin de permitir que el equipo funcione de forma correcta. Cuando se habla de condiciones de trabajo, debemos recordar que el equipo se encuentra preparado para trabajar bajo ciertas condiciones y muchos ordenadores se encuentran preparados para que se apaguen de forma automática en el momento en el que no se encuentran cumplimiento con su cometido. Ellos hacen que esto evite daños en el equipo, que en consecuencia, supone la interrupción de su negocio.
También es importante que el equipo se encuentre ubicado en un lugar seguro para poder minimizar los accesos incontrolados, y se pueden utilizar distintas áreas de trabajo, protegiéndolos con control de acceso físico. Y, también es importante que la información de manejo de datos sensibles se realice con cuidado.
Por otro lado, para mantener un medio ambiente adecuado, además cuenta con las buenas prácticas que establece la norma ISO 27001 como no comer, beber o fumar cerca del equipo.
El mantenimiento del equipo
Este es otro punto que las organizaciones olvidan, que tiene el potencial de mejora significativa. Dado que todo el equipo cuenta con un ciclo de vida, por lo que se deben realizar revisiones periódicas para comprobar su estado. En este caso, las organizaciones suelen contratar un servicio de mantenimiento para el equipo, sobre todo si la organización no cuenta con un departamento de TI propio que tengan los conocimientos necesarios. En cualquier caso, se debe establecer un plan de revisión, al menos de forma anual. El estado de los equipos de la empresa debe encontrase verificado, se genera un informe que indica que el equipo se encuentra revisado.
La eliminación de los activos
El equipo no debe abandonar las instalaciones de la empresa sin permiso. A pesar de que puede parecer muy obvio, muy a menudo se da el caso de que un trabajador se lleva el ordenador portátil a su casa, cuando esto no ha sido aprobado de forma oficial. Y, esto es fundamental, ya que se debe establecer un control de los equipos que salen de las instalaciones de la organización mediante la definición sobre cuál es el motivo, quién es la persona que se encuentra a cargo del equipo, cuanto tiempo va a estar fuera, etc. no debe olvidar que este equipo es propiedad de la organización y que la organización tiene derecho de conocer todos los detalles de lo que sucede fuera de sus instalaciones.
Si la organización es muy pequeña y por regla general se trabaja con el equipo fuera de la oficina, el CEO deberá escribir una carta con reglas claras sobre la toma de equipos fuera de la organización.
La seguridad de los equipos y activos fuera del establecimiento
Cuando el equipo se encuentre fuera de las instalaciones, no sólo es importante establecer que su contenido se encuentra encriptado, los trabajadores utilizan los equipos de las instalación y deben garantizar su seguridad física en todo momento, con especial atención en los lugares públicos, y deben tener cuidado de no dejar que se dañe. Estas mismas medidas se aplican si el empleado trabaja desde su casa.
La eliminación segura o la reutilización de los equipos
Como saben, todo el equipo tiene un ciclo de vida, después de los cual es necesario deshacerse de él. Tenga cuidado con este punto, debe recordar que la información de su empresa se almacena en los ordenadores y que puede permanecer allí, incluso si usted cree que lo ha quitado. Por lo que se deben evitar posibles fugas de información en los ordenadores que se reutilizan o son eliminados, se debe eliminar de forma segura toda la información que contiene, además de destruir de forma física el disco duro que contiene información.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.
