Funcionamiento del SGSI

(sesión 9)
Gestión de Seguridad de la información
Semestre 2023-II
Logro de la sesión

El estudiante conocerá los requisitos de la norma

en relación a operación, evaluación del desempeño
y mejora del SGSI.

2
Anexo “A”
Controles
 Anexo “A”
Sección 7
Controles Físicos
A.7 Controles Físicos
7.1 Seguridad Física y Perimetral
Establecer perímetros de seguridad para proteger áreas que contienen
información y activos asociados.
● Ubicación y resistencia de perímetros alineados con requisitos y
riesgos
● Seguridad de puertas y paredes (vallas, alarmas, cerraduras, etc.)

● Área de recepción

● Barreras físicas para evitar acceso no autorizado y contaminación

● Alarmas y sensores
A.7 Controles Físicos
7.2 Controles de Ingreso (Entrada
Física)
Las áreas seguras deben ser protegidas
con controles de entrada y puntos de
acceso apropiados.
a. Restringir horarios y monitorear a visitantes
b. Controles de acceso (ej. Fuerte autenticación
para áreas con información sensible)
c. Registro de ingreso
d. Uso de identificación visible
e. Acceso de terceros debe ser autorizado
f. Revisión periódica de derechos de acceso
Ejemplo de Controles en Data Center: https://www.youtube.com/watch?v=QRJPYx9ddQQ
A.7 Controles Físicos
7.2 Controles de Ingreso (Entrada Física)
Las áreas de entrega y de carga y otros puntos donde las personas no
autorizadas puedan acceder a las instalaciones deberían controlarse, y si es
posible, aislarlos de instalaciones de procesamiento de la información para
evitar el acceso no autorizado.
a. Acceso restringido a área de entrega y carga. Personal autorizado e identificado
b. Diseño de áreas de entrega para impedir acceso a otras zonas del edificio
c. Inspeccionar material entrante (ej. Explosivos, químicos, matpel.)
d. Registro de ingreso de materiales
e. Separar ambientes de recepción del ambiente de despacho
f. Verificar que el material entrante no haya sido manipulado indebidamente
A.7 Controles físicos
7.3 Asegurar las oficinas, salas e instalaciones
Debería diseñarse y aplicarse la seguridad física para oficinas, despachos e
instalaciones.
Considerar lo siguiente:
a. las instalaciones claves deberían situarse de manera de evitar el acceso público;
b. cuando corresponda, los edificios deberían ser discretos, cuando sea posible, sin dar
muestras obvias, fuera o dentro del edificio, que identifiquen la presencia de las
actividades de procesamiento de la información;
c. las instalaciones deberían estar configuradas para evitar que la información
confidencial o las actividades sean visibles y audibles desde el exterior. Cuando
corresponda, debería considerarse el blindaje electromagnético.
A.7 Controles físicos
7.4 Monitoreo de la Seguridad Física
Las instalaciones deben ser monitoreadas continuamente para detectar accesos no
autorizados.
Considerar:
● Personal de vigilancia
● Cámaras de seguridad (repositorio, respaldo, etc.)
● Sensores de movimiento, etc.
A.7 Controles físicos
7.5 Protección contra las amenazas físicas y medioambientales
Debería diseñarse y aplicarse protección física contra desastres naturales, ataques
maliciosos o accidentes.
Debería obtenerse asesoramiento especializado sobre cómo evitar los daños causados
por incendios, inundaciones, terremotos, explosiones, disturbios civiles y otras
formas de desastres naturales o artificiales.
● Estructura físicamente segura / antisísmica

● Paredes y puertas de material ignífugo / no almacenar materiales inflamables

● Detectores de incendio / Sistemas de supresión de incendios
● Detectores de aniego
A.7 Controles físicos
7.6 Trabajar en zonas seguras
Deberían diseñarse y aplicarse procedimientos para trabajar en áreas seguras
Considerar lo siguiente:
a. el personal sólo debería conocer la existencia de un área segura, o de sus
actividades, si lo necesitara para su trabajo;
b. debería evitarse el trabajo no supervisado en áreas seguras
c. las áreas seguras desocupadas deberían cerrarse y controlarse
d. no debería permitirse la presencia de equipos de fotografía, video, audio u
otras formas de registro, salvo autorización expresa.
A.7 Controles físicos
7.7 Escritorio y pantalla despejados
Debería adoptarse una política de escritorio limpio para papeles y medios de
almacenamiento removibles y una política de pantalla limpia para las instalaciones de
procesamiento de información.
Tener en cuenta la clasificación de la información, requisitos legales y contractuales, los
aspectos culturales y de riesgo de la organización.
Considerar:
a. la información sensible o crítica, en cualquier medio de almacenamiento, debería
asegurarse bajo llave
b. Bloqueo de pantalla de computadores cuando están desatendidos
A.7 Controles físicos
7.7 Escritorio y pantalla despejados (…cont.)
c. Prevenir el uso no autorizado de fotocopiadoras y otras tecnologías de reproducción
(ej. escáneres, cámaras digitales). Considerar el uso de clave para impresión.
d. documentación conteniendo información clasificada o sensible debería retirarse de
las impresoras inmediatamente.
A.7 Controles físicos
7.8 Ubicación y protección de los equipos
El equipamiento debería ubicarse o protegerse para reducir los riesgos ocasionados
por amenazas y peligros ambientales, y oportunidades de acceso no autorizado.
Considerar lo siguiente:
a. el equipamiento debería situarse de manera de minimizar el acceso innecesario a
las áreas de trabajo;
b. En caso de manejo de datos sensibles colocar los equipos para reducir el riesgo de
que la información sea vista por personas no autorizadas durante su uso (posición
de monitores, filtros, etc.).
A.7 Controles físicos
7.8 Ubicación y protección de los equipos (…cont.)
c. las instalaciones de almacenamiento deberían asegurarse para evitar el acceso no
autorizado;
d. los elementos que requieran protección especial deberían aislarse para reducir el
nivel general de protección requerida;
e. controles para prevenir: hurto, fuego, explosivos, humo, inundaciones, polvo,
vibraciones, efectos químicos, interferencias en el suministro eléctrico, interferencia
de las comunicaciones, radiación electromagnética, y vandalismo;
f. Restricciones para beber, comer y fumar
A.7 Controles físicos
7.8 Ubicación y protección de los equipos (…cont.)
g. Control de temperatura y humedad
h. pararrayos sobre todos los edificios y filtros de protección contra rayos a todas las
líneas entrantes de energía y de comunicaciones;
i. protección especial, para el equipamiento ubicado en entornos industriales;
j. proteger el equipamiento que procese información sensible para reducir riesgo de
fuga de información debido a la emanación electromagnética.
A.7 Controles físicos
7.9 Seguridad de los equipos fuera de las instalaciones
Deberían aplicarse medidas de seguridad a los activos fuera de las instalaciones de la
organización, teniendo en cuenta los diferentes riesgos de trabajar fuera de las mismas.
● El uso de cualquier equipamiento que almacene o procese información fuera de
las instalaciones de la organización, debería autorizarse por la Dirección. Esto se
aplica a los equipamientos de la organización y al equipamiento de propiedad privada
utilizado en nombre de la organización.
Considerar lo siguiente:
a. los equipos y medios no deberían dejarse desatendidos en sitios públicos;

b. Verificar cumplimiento de especificaciones del fabricante (campo electromágnético

intenso, temperatura, humedad, etc.)
A.7 Controles físicos
7.9 Seguridad de los equipos fuera de las instalaciones (…cont.)
c. Evaluación de riesgos para implementar controles sobre trabajo fuera de las
instalaciones.
d. mantener un registro que defina la cadena de custodia para el equipamiento fuera de
las instalaciones, (incluyendo como mínimo: organización y responsable)
Notas:
● Los riesgos (ej. Daño, hurto o espionaje), pueden variar considerablemente entre las
locaciones.
● El equipamiento de almacenamiento y procesamiento de la información comprende
todo tipo de PCs, teléfonos móviles, tarjetas inteligentes, documentos u otros
A.7 Controles físicos
7.10 Medios de almacenamiento
● Consideraciones generales:
a. si ya no son necesarios, deberían hacerse irrecuperables;
b. Autorización y registro de medios retirados de la organización;

c. almacenarlos de acuerdo con las especificaciones del fabricante;

d. utilizar criptografía en caso de datos confidenciales y con integridad sensible.

e. Vida útil: transferir datos a medios nuevos para evitar degradación;

f. Almacenar varias copias de datos valiosos en medios independientes;
A.7 Controles físicos
7.10 Medios de almacenamiento (…cont.)
● Procedimientos para eliminación segura de los medios con información confidencial.
a) almacenamiento y eliminación segura. Ej. incineración o trituración, o el borrado
de datos (ej. Degausser, borrado con datos aleatorios);
b) procedimientos para identificar medios requieren eliminación segura;

c) en caso de emplear servicios de empresas especializadas, tener cuidado en su

selección (controles y experiencia adecuados)
d) Registro de activos eliminados

e) Efecto de agregación

f) Evaluar destrucción vs. reparación de medios dañados con información

A.7 Controles físicos
7.10 Medios de almacenamiento
● Transporte, considerar:
a. transportista o mensajeros confiables;
b. lista de mensajeros autorizados;
c. procedimientos para verificar la identificación de los mensajeros;
d. Embalaje para evitar daños (físicos, factores ambientales, campo
electromagnético)
e. Mantener registro de medios, protección, mensajero, receptor
Si la información confidencial no está cifrada, considerar controles físicos.
A.7 Controles físicos
7.11 Servicios de apoyo
Debería protegerse el equipamiento contra posibles fallas en el suministro de energía y
otras interrupciones causados por fallas en los servicios de apoyo.
Los elementos de soporte (por ejemplo, la electricidad, las telecomunicaciones, el agua
potable, el gas, el alcantarillado, la ventilación y el aire acondicionado) deberían:
a. cumplir con las especificaciones del fabricante y con los requisitos legales locales;
b. Evaluar su capacidad para cumplir con el crecimiento del negocio y las interacciones
con otros elementos de soporte;
c. ser inspeccionados y probados regularmente para asegurar su buen funcionamiento;
A.7 Controles físicos
7.11 Servicios de apoyo
d. si es necesario, implementar alarmas para detectar fallos de funcionamiento;
e. si es necesario, tener múltiples canales con diversos enrutamientos físicos.
● proporcionar alumbrado y comunicaciones de emergencia.
● Los interruptores y las válvulas de emergencia para cortar el suministro de energía,
agua, gas u otros servicios públicos deberían ubicarse cerca de las salidas de
emergencia o de las salas de máquinas, con adecuada señalización y protección
● redundancia para redes mediante múltiples rutas de más de un proveedor de
servicios públicos.
A.7 Controles físicos
7.12 Seguridad del cableado
El cableado de energía y de telecomunicaciones que transporta datos o servicios de
información de soporte debería protegerse contra interceptación, interferencia o daños.
Considerar lo siguiente:
a. las líneas de energía y telecomunicaciones en instalaciones de procesamiento de la
información deberían ser subterráneas, siempre que sea posible, o sujetas a una
adecuada protección alternativa;
b. los cables de energía deberían separarse de los cables de comunicaciones para evitar
interferencias;
A.7 Controles físicos
7.12 Seguridad del cableado
c. entre los controles adicionales a considerar para los sistemas sensibles o críticos se
incluyen:
i. instalación de conductos blindados y recintos o cajas con cerradura en los puntos
terminales y de inspección;
ii. uso de escudos electromagnéticos para proteger los cables;

iii. iniciar barridos técnicos e inspecciones físicas contra dispositivos no autorizados

conectados a los cables;
iv. acceso controlado a los paneles de conexión (patcheras) y a las salas de cable.
A.7 Controles físicos
7.13 Mantenimiento de los equipos
El equipamiento debería mantenerse adecuadamente para asegurar su continua
disponibilidad e integridad.
Considerar lo siguiente:
a. el equipamiento debería mantenerse de acuerdo a las recomendaciones del proveedor;
b. sólo el personal de mantenimiento debidamente autorizado debería realizar reparaciones
y el mantenimiento a los equipos;
c. deberían mantenerse registros de todos los fallos, así como de todo el mantenimiento
preventivo y correctivo;
d. deberían implantarse controles apropiados cuando el equipamiento sea dispuesto para
mantenimiento (confidencialidad de la información).
A.7 Controles físicos
7.13 Mantenimiento de los equipos
e. debería cumplirse con todos los requisitos impuestos por pólizas de seguros;
f. antes de poner el equipamiento nuevamente en funcionamiento, debería ser
inspeccionado para asegurar que el equipamiento no ha sido manipulado y no tiene un
mal funcionamiento.
A.7 Controles físicos
7.14 Eliminación segura o reutilización de los equipos
Todo aquel equipamiento que contenga medios de almacenamiento debería revisarse para
asegurar que todos los datos sensibles y software licenciado se hayan removido o se haya
sobrescrito con seguridad antes de su disposición final o reutilización.
● Los equipamientos deberían revisarse para asegurar que los medios de almacenamiento
estén contenidos antes de su eliminación o reutilización.
● Los dispositivos de almacenamiento con información sensible o con derechos de autor
deberían destruirse físicamente o la información debería destruirse, suprimirse o
sobrescribirse usando técnicas para hacer que la información original no sea recuperable,
en lugar de utilizar las funciones de borrado o formateado rápido.
A.7 Controles físicos
7.14 Eliminación segura o reutilización de los equipos
Además del borrado seguro del disco, todo el cifrado del disco reduce el riesgo de
divulgación de información confidencial cuando los equipamientos son eliminados o
redistribuidos, siempre que:
a. el proceso de cifrado sea lo suficientemente fuerte y cubra todo el disco (incluyendo el
espacio no asignado, los archivos de intercambio, etc.);
b. las claves del cifrado son lo suficientemente largas como para resistir los ataques de
fuerza bruta;
c. las claves del cifrado se mantienen confidenciales (por ejemplo, nunca son almacenadas
en el mismo disco).