ISO 27001 – Anexo A.11: Seguridad física y ambiental

¿Cuál es el objetivo del Anexo A.11.1?

El Anexo A.11.1 trata sobre garantizar áreas físicas y ambientales seguras. El objetivo de este control del Anexo A es evitar el acceso físico no autorizado, daños e interferencias a la información de la organización y a las instalaciones de procesamiento de información.

Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001.

A.11.1.1 Perímetro de Seguridad Física

Esto describe los perímetros y límites de seguridad que tienen áreas que contienen información sensible o crítica y cualquier instalación de procesamiento de información, como computadoras, portátiles, etc. Un perímetro de seguridad físico se define como "cualquier límite de transición entre dos áreas con diferentes requisitos de protección de seguridad".

Esto podría ser bastante específico, como por ejemplo; En el límite exterior del sitio y abarcando espacios interiores y exteriores; Entre el exterior de un edificio y su interior; Entre un pasillo y una oficina o entre el exterior de un armario de almacenamiento y su interior. También podría expresarse simplemente como la sede con su dirección y los límites de alcance a su alrededor.

Ejemplos de los tipos de propiedad y locales que la organización deberá considerar en términos de seguridad física podrían incluir:

• Los centros de datos que albergan activos de información;
• Oficina central;
• Trabajadores que tienden a trabajar desde casa; y
• Trabajadores que viajan y, por lo tanto, utilizan hoteles, instalaciones de clientes, etc. Con la creciente subcontratación, por ejemplo, para centros de datos y el uso de oficinas alquiladas, también es importante hacer referencia a estos controles con la política de proveedores en A15.1 y las numerosas otras políticas que afectan a los hogares/móviles/ Los teletrabajadores también. Esto también encaja y se relaciona con su Alcance en 4.3.

En términos simples, la organización debe establecer áreas seguras que protejan la información valiosa y los activos de información a los que sólo pueden acceder las personas autorizadas. Esto también está relacionado con la evaluación de riesgos y el apetito por el riesgo de una organización de acuerdo con las acciones 6.1 para abordar los riesgos y oportunidades.

Como ejemplo básico, solo los empleados de esa organización deben acceder a las oficinas que contienen información valiosa, o con permiso otorgado a otros, por ejemplo, visitantes y personal de limpieza/recursos de mantenimiento de instalaciones externos que hayan sido aprobados de acuerdo con la política del proveedor.

A.11.1.2 Controles de entrada física

Las áreas seguras deben estar protegidas por controles de entrada adecuados para garantizar que solo se permita el acceso al personal autorizado. Como ejemplo realmente básico, sólo podrán acceder a la oficina aquellos empleados a los que se les haya proporcionado el código de acceso a la alarma y recibido una clave. Las organizaciones más reacias al riesgo o aquellas con información más sensible en peligro podrían profundizar mucho más con políticas que incluyan también soluciones biométricas y de escaneo.

Los controles de entrada deberán seleccionarse e implementarse en función de la naturaleza y ubicación del área que se está protegiendo y de la capacidad de implementar dichos controles si, por ejemplo, la ubicación no es propiedad de la organización. Los procesos para otorgar acceso a través de los controles de entrada deben ser sólidos, probados y monitoreados y es posible que también deban registrarse y auditarse.

También será especialmente importante el control de visitantes y se deberán considerar los procesos relacionados con el mismo. Se debe prestar especial atención a la concesión de acceso a áreas en las que se procesa o almacena información confidencial o clasificada. Mientras que las áreas que contienen equipos clave de infraestructura de TI en particular deben protegerse en mayor medida y el acceso debe limitarse solo a aquellos que realmente necesitan estar allí. El auditor esperará comprobar que se establezcan controles apropiados y que se prueben y supervisen periódicamente.

A.11.1.3 Protección de oficinas, habitaciones e instalaciones

La seguridad de oficinas, salas e instalaciones puede parecer fácil y obvia, pero vale la pena considerarla y revisarla periódicamente quién debe tener acceso, cuándo y cómo. Algunas de las cosas que a menudo se pasan por alto son; ¿Quién puede ver o incluso oír el interior de la oficina desde fuera y qué hacer al respecto?; ¿Se actualiza el acceso cuando el personal se va o se transfiere, por lo que ya no necesita acceso a esta sala en particular? ¿Es necesario acompañar a los visitantes en esta zona? ¿Es así?; ¿Y el personal está atento a desafiar y denunciar a personas que no reconocen?

Para las salas que se comparten con otros (por ejemplo, si se trata de una sala de reuniones de oficina alquilada), las políticas también incluirían la protección o eliminación de activos valiosos cuando no estén ocupados por la organización, desde computadoras portátiles hasta información publicada en pizarras, rotafolios, etc. .

El auditor externo inspeccionará los controles de seguridad de las oficinas, salas e instalaciones y verificará que exista evidencia de una implementación, operación y revisión adecuada de los controles basados ​​en riesgos de manera periódica.

A.11.1.4 Protección contra amenazas externas y ambientales

Este control describe cómo se previene la protección física contra desastres naturales, ataques maliciosos o accidentes.

Las amenazas ambientales pueden ocurrir naturalmente (por ejemplo, inundaciones, tornados, rayos, etc.) o provocadas por el hombre (por ejemplo, fugas de agua de las instalaciones, disturbios civiles, etc.). Es necesario tener en cuenta dichas amenazas e identificar, evaluar y tratar adecuadamente los riesgos. Algunas amenazas (por ejemplo, una llanura aluvial) pueden ser inevitables sin costos o inconvenientes considerables; sin embargo, eso no significa que no se puedan tomar medidas. Es posible que se requiera asesoramiento especializado para algunos aspectos de la gestión ambiental y se debe considerar si es necesario.

Comprender su ubicación y lo que hay en las inmediaciones es fundamental para identificar riesgos potenciales. El auditor buscará evidencia de que se ha pensado en identificar amenazas y vulnerabilidades potenciales (tanto naturales como provocadas por el hombre) y que los riesgos ambientales se han evaluado y tratado o tolerado en consecuencia.

A.11.1.5 Trabajar en áreas seguras

Una vez que se hayan identificado e implementado controles de acceso para áreas seguras, es importante que se complementen con controles de procedimiento relacionados con los riesgos que pueden ocurrir dentro del área segura. Por ejemplo, es posible que sea necesario:

Un conocimiento restringido de la ubicación y función de las áreas seguras;
Restricciones al uso de equipos de grabación dentro de áreas seguras;
Restricción del trabajo sin supervisión dentro de áreas seguras siempre que sea posible;
Monitoreo y registro de entrada y salida.
Después de inspeccionar los controles de acceso al área segura, el auditor verificará que estén respaldados, cuando sea necesario, con políticas y procedimientos apropiados y que se mantenga evidencia de su gestión.

A.11.1.6 Áreas de entrega y carga

Los puntos de acceso, como las áreas de entrega y carga y otros puntos donde personas no autorizadas podrían ingresar a las instalaciones, deberán controlarse y, si es posible, aislarse de las instalaciones de procesamiento de información para evitar el acceso no autorizado. Es posible que los lugares de trabajo digitales o exclusivamente en la nube no necesiten una política o control en torno a las áreas de entrega y carga; en ese caso, lo tomarían en cuenta y lo excluirían específicamente de la Declaración de Aplicabilidad (SOA).

Para algunas organizaciones, las áreas de entrega/carga no están disponibles o no están controladas por la organización (por ejemplo, una oficina compartida). Sin embargo, cuando la organización puede controlar o influir en estas áreas, es importante que se identifiquen y evalúen los riesgos y, por lo tanto, se implementen los controles adecuados. Ejemplos de estos controles pueden incluir; Ubicación alejada del edificio de oficinas principal; Vigilancia adicional; Monitoreo y grabación de CCTV; Y procedimientos para evitar que el acceso externo e interno estén abiertos al mismo tiempo.

El auditor inspeccionará la protección de entrega y carga para garantizar que existan controles apropiados relacionados con el control de los materiales entrantes (por ejemplo, entregas) y el control de los materiales salientes (por ejemplo, para la prevención de fugas de información). Sin embargo, el nivel de seguridad en torno a la entrega y la carga en relación con los niveles de riesgo evaluados que buscará el auditor dependerá de la disponibilidad y propiedad de dichas instalaciones.

¿Cuál es el objetivo del Anexo A.11.2?

El Anexo A.11.2 trata sobre Equipo. El objetivo de este control del Anexo A es evitar pérdidas, daños, robo o compromiso de activos e interrupción de las operaciones de la organización.

A.11.2.1 Ubicación y protección del equipo

Los equipos deben ubicarse y protegerse para reducir los riesgos derivados de amenazas y peligros ambientales y contra el acceso no autorizado. La ubicación del equipo estará determinada por una serie de factores que incluyen el tamaño y la naturaleza del equipo, su uso propuesto y los requisitos ambientales y de accesibilidad. Los responsables de la ubicación de los equipos deben realizar una evaluación de riesgos y aplicar lo siguiente siempre que sea posible de acuerdo con los niveles de riesgo:

• Las instalaciones de procesamiento de información (computadoras portátiles, de escritorio, etc.) que manejan datos confidenciales deben ubicarse y restringirse el ángulo de visión para reducir el riesgo de que personas no autorizadas vean la información durante su uso.
• Las instalaciones de almacenamiento están aseguradas para evitar el acceso no autorizado con llaves en manos de poseedores de llaves autorizados.
• Los alimentos y bebidas deben mantenerse alejados de los equipos TIC.
• Los enrutadores inalámbricos, las impresoras compartidas, etc. deben ubicarse de manera que permitan un fácil acceso cuando sea necesario y no distraigan a nadie del trabajo ni dejen información en la impresora que no debería estar allí.
• Las instalaciones de procesamiento de información, como las computadoras portátiles, están ubicadas de manera que se almacenen de forma segura cuando no estén en uso y se pueda acceder a ellas fácilmente cuando sea necesario.
• Los trabajadores a domicilio también deben considerar cuidadosamente la ubicación y posición de los equipos para evitar riesgos similares a los que enfrentan los trabajadores en las oficinas, así como el uso o acceso involuntario por parte de familiares y amigos.

A.11.2.2 Servicios públicos de soporte

Los equipos deben protegerse de cortes de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte. Por ejemplo, se deben evaluar y considerar los riesgos relacionados con suministros de energía defectuosos o defectuosos. Esto podría incluir; Fuentes de alimentación duales desde diferentes subestaciones; Instalaciones de generación de energía de respaldo; Pruebas periódicas de suministro y gestión de energía. En el caso de las telecomunicaciones, a fin de mantener la capacidad de continuar, las consideraciones podrían incluir: Enrutamiento dual o múltiple; Equilibrio de carga y redundancia en equipos de conmutación; Monitoreo y alertas de capacidad de ancho de banda.

Muchos de los riesgos estarán relacionados con la “disponibilidad” de los sistemas de procesamiento de información y, por lo tanto, los controles deben respaldar los requisitos comerciales de disponibilidad en línea con cualquier planificación de continuidad del negocio y evaluaciones de impacto realizadas para este propósito. El auditor buscará evidencia de que los controles se hayan probado periódicamente para garantizar que funcionan correctamente a los niveles deseados (generadores de respaldo, etc.).

A.11.2.3 Seguridad del cableado

Los cables de energía y telecomunicaciones que transportan datos o respaldan servicios de información deben protegerse contra intercepciones, interferencias o daños. Si los cables de alimentación y de red no están ubicados y protegidos adecuadamente, es posible que un atacante pueda interceptar o interrumpir las comunicaciones o cortar el suministro de energía.

Siempre que sea posible, los cables de red y de alimentación deben estar subterráneos o protegidos y separados de otro modo para protegerlos contra interferencias. Dependiendo de la sensibilidad o clasificación de los datos, puede ser necesario separar los cables de comunicaciones para diferentes niveles y, además, inspeccionar los puntos de terminación en busca de dispositivos no autorizados. El auditor inspeccionará visualmente los cables y, si son relevantes para el nivel de clasificación/riesgo, solicitará evidencia de inspección visual.

A.11.2.4 Mantenimiento del equipo

El equipo debe recibir un mantenimiento correcto para garantizar su disponibilidad e integridad continuas. Los requisitos de mantenimiento rutinario, preventivo y reactivo de los equipos variarán según el tipo, la naturaleza, el entorno y el propósito del equipo y cualquier acuerdo contractual con fabricantes y proveedores externos. Es necesario realizar el mantenimiento del equipo con la frecuencia adecuada para garantizar que siga funcionando eficazmente y reducir el riesgo de falla.

Es una buena idea mantener cronogramas de mantenimiento como evidencia para el auditor si su equipo necesita servicio o tiene reparaciones (esto se puede vincular claramente al inventario de activos de información A8.1.1 si lo desea). Los registros de este mantenimiento deben incluir quién realizó el mantenimiento, qué se hizo y quién autorizó el mantenimiento. El auditor verificará estos registros para verificar que los cronogramas sean adecuados y proporcionados, y que las actividades hayan sido autorizadas y realizadas de manera adecuada.

A.11.2.5 Eliminación de Activos

Los equipos, la información o el software que se llevan fuera del sitio también necesitan gestión. Esto podría controlarse con algún tipo de proceso de registro de salida o, más simplemente, asociarse a un empleado como parte de su función y gestionarse de acuerdo con sus términos y condiciones de empleo (el Anexo A 7, que debería abordar la seguridad de la información, por supuesto).

En el mundo del trabajo cada vez más móvil, algunos activos, como los dispositivos móviles, pueden retirarse de forma rutinaria de las instalaciones de la organización para facilitar el trabajo móvil o desde casa. Cuando los activos no están diseñados para ser removidos rutinariamente del sitio o si son de naturaleza sensible, altamente clasificada, valiosa o frágil, entonces se deben implementar procesos para solicitar y autorizar la remoción y verificar la devolución de los activos.

Se debe considerar la posibilidad de limitar el período de tiempo durante el cual se permite retirar los activos y esto debe basarse en el riesgo. El auditor comprobará que estas evaluaciones de riesgos se hayan llevado a cabo cuando se produzca una retirada no rutinaria de activos y para las políticas que determinen qué es y qué no es rutinario.

A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones

Es necesario aplicar controles de seguridad a los activos externos, teniendo en cuenta los diferentes riesgos que implica trabajar fuera de las instalaciones de la organización. Esta es un área común de vulnerabilidad y, por lo tanto, es importante que se implemente el nivel adecuado de controles y se vincule con otros controles y políticas móviles para los trabajadores a domicilio, etc.

Se deben realizar consideraciones y evaluaciones de riesgos para los activos que se retiran del sitio, ya sea de manera rutinaria o por excepción. Los controles probablemente incluirán una combinación de; Controles técnicos como políticas de control de acceso, gestión de contraseñas, cifrado; También se podrían considerar controles físicos como Kensington Locks; junto con controles de políticas y procesos, como instrucciones de nunca dejar activos desatendidos a la vista del público (por ejemplo, encerrarlos en el maletero del automóvil).

Es particularmente importante revisar las tendencias de los incidentes de seguridad relacionados con los activos fuera del sitio. El auditor esperará ver evidencia de que se está llevando a cabo esta evaluación de riesgos y de los controles proporcionados seleccionados de acuerdo con los niveles de riesgo evaluados. También esperarán ver pruebas de cumplimiento de las políticas.

A.11.2.7 Eliminación segura o reutilización del equipo

Todos los elementos del equipo, incluidos los medios de almacenamiento, deben verificarse para garantizar que todos los datos confidenciales y el software con licencia se hayan eliminado o sobrescrito de forma segura antes de su eliminación o reutilización. Esta es otra área de vulnerabilidad común donde muchos incidentes han surgido debido a prácticas deficientes de eliminación o reutilización.

Si se desechan equipos que contienen información confidencial, es fundamental que los dispositivos y componentes que contienen datos se destruyan físicamente o se borren de forma segura utilizando herramientas y tecnologías adecuadas. Si el equipo se va a reutilizar, es importante que todos los datos anteriores y el software potencialmente instalado se "borren" de forma segura y que el dispositivo vuelva a un estado "limpio" conocido. Dependiendo del nivel de sensibilidad de los datos contenidos en el equipo que se está destruyendo, puede ser necesario garantizar la destrucción física y esto debe hacerse mediante un proceso que pueda auditarse completamente.

A menudo se utilizan empresas de terceros para la eliminación y, si este es el caso, es esencial garantizar que se proporcione el nivel adecuado de "certificado de destrucción"; los clientes poderosos pueden esperar ver esto también si ha estado en posesión de datos valiosos del cliente y parte de su contrato con ellos especifica la destrucción segura.

Para este control, el auditor verificará que existan tecnologías, políticas y procesos apropiados y que la evidencia de destrucción o borrado seguro se haya llevado a cabo correctamente cuando sea necesario (vinculado con el desmantelamiento en su inventario de activos de información cuando sea relevante también). .

A.11.2.8 Equipo de usuario desatendido

Al igual que con la seguridad de las oficinas, los usuarios deben asegurarse de que cualquier equipo desatendido tenga la protección adecuada, incluso si se trata de una contraseña y una pantalla de bloqueo para la seguridad de la información básica. Es de sentido común proteger el equipo cuando se deja desatendido; sin embargo, esto dependerá de los niveles de confianza depositados en el lugar donde se deja el dispositivo (por ejemplo, habitaciones de hotel, salas de conferencias, etc.). También es necesario considerar las premisas organizativas si existe un riesgo, por ejemplo, un alto volumen de tráfico de visitantes, escritorios compartidos con personal que cambia con frecuencia con diferentes roles.

Si el equipo se deja durante la noche donde los empleados de limpieza y otros contratistas pueden tener acceso fuera del horario normal de oficina, es importante considerar los riesgos de robo y manipulación y aplicar controles sensatos y adecuados. Se deben implementar políticas, procesos y programas de concientización para garantizar que los usuarios sean conscientes de sus responsabilidades al dejar equipos desatendidos, ya sea dentro de la organización o fuera de ella si son móviles.

El auditor verificará que existan niveles de control que sean apropiados para los niveles de riesgo y que haya evidencia de verificación de cumplimiento (por ejemplo, las inspecciones ambulantes después del horario laboral o durante las pausas para el almuerzo son una opción popular para las auditorías in situ).

A.11.2.9 Política de limpieza de escritorio y pantalla

En general, se deben adoptar procedimientos operativos para papeles y medios de almacenamiento extraíbles y una política de pantalla clara para las instalaciones de procesamiento de información, a menos que todos los demás controles y riesgos signifiquen que no son necesarios. Las políticas de escritorio y pantalla despejados se consideran buenas prácticas y son relativamente sencillas de implementar; sin embargo, en algunos entornos operativos en los que el tiempo es urgente, pueden no ser prácticas.

En este caso, se pueden implementar otros controles diseñados para gestionar los riesgos. Por ejemplo, si una oficina tiene un alto nivel de control de acceso físico con muy poco tráfico de visitantes y contratistas externos, dichos controles pueden considerarse innecesarios; sin embargo, el riesgo de “amenaza interna” puede seguir siendo relevante y alcanzar niveles inaceptables. En última instancia, como ocurre con todas las consideraciones de seguridad, las decisiones relacionadas con la implementación o no de políticas de escritorio y pantalla despejados deben basarse en una evaluación de riesgos.

El auditor observará cómo se tomaron y revisaron con la frecuencia adecuada las decisiones de implementar o no políticas de escritorio y pantalla despejados. Si dichas políticas existen, buscarán evidencia de pruebas de cumplimiento y de informes y gestión de cualquier infracción.