La seguridad física y ambiental en ISO/IEC 27002:2022

Independientemente de las buenas prácticas establecidas en las normas ISO, y específicamente en las que se engloban los Sistemas Gestión de Seguridad de la Información, de la Continuidad de Negocio, los Análisis de Riesgo, BIAS, y Calidad, entre otras; el sentido común ha llevado a las organizaciones a diseñar, implementar y mantener medidas y sistemas de seguridad física y ambiental, mucho antes de la presencia de las Normas que de alguna manera definen recomendaciones para enmarcar las operaciones de las organizaciones de manera general.

La necesidad de implementar de una manera unificada las acciones de prevención, control y contingencia, y continuidad de negocio, en materia de seguridad de la información, las normas que se generaron y se han hecho de uso común, han establecido buenas prácticas en lo que concierne a la seguridad física y ambiental.

La dinámica en cuanto a las amenazas e incidentes ocurridos en los últimos años, en la manera como se han producido los ataques a los sistemas o infraestructura, donde se han determinado ataques internos favorecidos por medidas de seguridad física insuficientes o poco eficaces, así como eventos naturales o industriales, han incidido en las acciones tomadas para proteger las edificaciones, instalaciones de CPD, a las áreas de utilización por parte de la organización como lo son las oficinas, áreas controladas, y de servicios esenciales, con el objetivo de poder controlar los accesos a los recursos de procesamiento y tratamiento de la información, no solo lógicamente, sino también físicamente a las áreas donde se encuentran.

Se han diseñado, instalado, controlado, y mantenidos sistemas de protección física como lo son Circuito Cerrado de Televisión, Control de Acceso, Incendio: Detección, Alarma y Extinción de Incendio, Alarma contra intrusiones; así como también medidas de protección ambiental, como lo son sistemas de detección de contaminación y limpieza de los ambientes interiores de las localidades, sistemas de protección contra inundaciones, exceso de niveles de humedad y temperatura en ambientes que deben ser acondicionados y controlados, así como protección contra descargas eléctricas.

En las nuevas versiones de la Normas ISO/IEC 27001:2022 (Pendiente de Publicar oficialmente) e ISO/IEC 27002:2022, se han dispuesto, de una manera más específica las recomendaciones, basadas en buenas prácticas, sobre las medidas de protección en las materias de Seguridad Física y Ambiental, dirigidas a las instalaciones físicas de las organizaciones y sus contenidos, especialmente los lugares utilizados por los empleados y terceros relacionados y las instalaciones de las plataformas de Tratamiento de Datos (TIC).

La versión de la norma ISO/IEC 27002-2022, ha sido publicada con una reorganización de los controles que ya veníamos manejando a través de 14 dominios y 114 controles, y esta nueva versión, ha sido presentada con cuatro dominios (Controles Organizacionales, Controles de Personas, Controles Físicos, y Controles Tecnológicos) con una totalidad de 93 Controles (reagrupando algunos controles) y 11 nuevos controles. Estas nuevas categorizaciones nos indican los cuatro enfoques que se deben establecer dentro de los SGSI. En esta oportunidad trataremos el Dominio de Controles de Seguridad Física.

La norma amplía con mayores detalles las recomendaciones de protección de las áreas donde se trata la información y de las áreas relacionadas, colocando en el Dominio de Controles Físicos, los controles relativos a la protecciones físicas de las instalaciones y el equipamiento como se detalla a continuación:

7.1. Perímetros de seguridad física

7.2. Entrada física

7.3. Aseguramiento de oficinas, salas e instalaciones

7.4. Monitorización de seguridad física (Control Nuevo)

7.5. Protección contra amenazas físicas y ambientales

7.6. Trabajando en áreas seguras

7.7. Escritorio limpio y pantalla despejada

7.8. Ubicación y protección del equipamiento

7.9. Seguridad de los activos fuera de las instalaciones

7.10. Medios de almacenamiento

7.11. Servicios de soporte

7.12. Seguridad del cableado

7.13. Mantenimiento del equipamiento

7.14. Eliminación o reutilización segura del equipamiento

 

Como responsables de la seguridad de la información, debemos considerar los siguientes aspectos en cuanto a seguridad física y ambiental:

La Edificación: Estructuras, accesos (peatonales y de vehículos), puertas y ventanas, áreas comunes, servicios públicos: electricidad, gas, agua potable, no potable, y de lluvias,

Las instalaciones y servicios de equipamiento: Cuadros eléctricos, cableado, sistemas de climatización y ventilación, fuentes alterna de suministro eléctrico, iluminación: interna, de emergencia, externa y perimetral.

Instalaciones de cableado: Telefonía y redes, cuartos de comunicaciones, conducciones de servicio: canalización de tuberías (Agua potable y no potable, cableado eléctrico y de redes.

Las áreas internas (CPDs, Oficinas, Salas de reuniones, servicios).

Sistemas de seguridad electrónica: Circuito Cerrado de Televisión, Control de Acceso,  Incendio: detección, alarma y extinción de incendio (Portátil, Bocas de Incendio Equipadas, Extinción Automática, Extinción con gases), Alarma: Detectores: de movimiento, sísmicos, roturas de cristales, humedad, temperatura, monóxido de carbono, sirenas, botones de emergencia, Comunicaciones con Centrales de Recepción de Alarmas.

Sistemas de Seguridad Física: Estructuras constructivas, paredes, puertas, ventanas, rejas, cerraduras, tipos de vidrios de protección.

Sistema de Vigilantes de Seguridad: Presencia permanente, recorridos de áreas internas y externas, entrenamiento en los diferentes sistemas de seguridad, soporte en casos de emergencias.

Sistemas de protección y prevención de amenazas físicas y ambientales: Previsiones constructivas para casos de inundaciones naturales o técnicas, tormentas y descargas eléctricas (pararrayos), borrascas: viento, nieve, granizo; movimientos telúricos y sismos; eventos sociales: criminalidad, manifestaciones, huelgas, saqueos, insurrección civil y militar, guerras, ataques por terrorismo y grupos paramilitares y de guerrillas.

Todos estos sistemas, deben ser adaptados en cada una de las organizaciones, dada su ubicación, loa resultados de los análisis de riesgos, y de impactos en el negocio y las limitaciones financieras y operativas.

Por otra parte estas medias de protección y seguridad deben tener una monitorización, revisión y mantenimiento continua (7.13) y deben ser proyectadas a los procesos, actividades, y equipamiento descritos en los Controles 7.6 al 7.14.

Proyectar, implementar, mantener y reforzar los sistemas de seguridad física y ambiental nos permitirán mantener robustos, eficaces y eficientes nuestros Sistemas de Gestión de Seguridad de la Información y de Continuidad de Negocio.

En Áudea Seguridad de la Información, disponemos de profesionales con la preparación y experiencia, en las últimas tecnologías y buenas prácticas para apoyarlos en la gestión de la seguridad de la información.

 

Gonzalo J. Guzmán G.

Senior Consultant GRC