Javier Bastarrica Lacalle Auditoria Informática.

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Javier Bastarrica Lacalle Auditoria Informática."

César Calderón Rojo
hace 8 años
Vistas:

1 Javier Bastarrica Lacalle Auditoria Informática.

2 Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles.

3 Código de Buenas Prácticas para SGSI. 9 SEGURIDAD FÍSICA Y AMBIENTAL 9.1 ÁREAS SEGURAS 9.2 EQUIPO DE SEGURIDAD Ubicación y Protección del Equipo Servicios Públicos de Soporte Seguridad del Cableado Mantenimiento del Equipo Seguridad del Equipo Fuera del Local Seguridad en la Eliminación o Reutilización del Equipo Retiro de la Propiedad.

9.2.3 Seguridad del Cableado. 9.2.4 Mantenimiento del Equipo. 9.2.5 Seguridad del Equipo Fuera del Local.

4 Control: Se debiera ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades para accesos no autorizados. A. Ubicación minimiza acceso innecesario a áreas de trabajo. B. Restringir ángulo de visión en equipos con datos confidenciales y acceso a medios de almacenamiento. C. Aislar equipos que requieren protección especial. D. Adoptar controles que minimicen riesgo potencial: robo, fuego, humo, agua, interferencias, suministro eléctrico E. Establecer controles sobre comer, beber y fumar. F. Monitorizar condiciones ambientales: temperatura, humedad G. Establecer protección contra rayos en edificios. H. Uso de métodos de protección en caso de ambiente industrial. I. Proteger el equipo que procesa información confidencial.

Aislar equipos que requieren protección especial. D. Adoptar controles que minimicen riesgo potencial: robo, fuego, humo, agua, interferencias, suministro eléctrico E.

5 Control: Se debiera proteger el equipo de fallos de energía y otras interrupciones causadas por fallos en los servicios públicos de soporte. A. Los servicios (electricidad, agua, desagüe, calefacción, ventilación y aire acondicionado) deben ser adecuados, inspeccionados regularmente y probados para asegurar su funcionamiento y reducir riesgos. B. Usar UPS, Planes de Contingencia para fallos, Generadores de Emergencia (con suministro de Combustible). Revisar regularmente y Seguir recomendaciones del fabricante. C. Colocar interruptores e iluminación de emergencia. D. Suministro de energía estable y adecuado para aire acondicionado, humidificación y sistema contra incendios. E. Equipo de telecomunicaciones conectado al ISP por al menos dos rutas, servicios de voz adecuados para emergencias.

riesgos. B. Usar UPS, Planes de Contingencia para fallos, Generadores de Emergencia (con suministro de Combustible). Revisar regularmente y Seguir recomendaciones del fabricante. C. Colocar interruptores e iluminación de emergencia.

6 Control: el cableado de la energía y las telecomunicaciones que llevan los datos o dan soporte a los servicios de información debieran protegerse contra la intercepción o daño. A. Si es posible las líneas de telecomunicaciones deben estar protegidas (subterráneas, etc.). B. Cableado de red protegido contra intercepciones no autorizadas, utilizar tubo y evitar paso por zonas publicas. C. Cables de energías separados de comunicaciones (interferencias). D. Utilizar marcadores en cables y equipos. E. Lista de empalmes documentados. F. Para sistemas sensibles: tubo blindado, cajas con llave, fibra óptica, apantallamiento, acceso controlado, inspecciones

Cableado de red protegido contra intercepciones no autorizadas, utilizar tubo y evitar paso por zonas publicas. C.

7 Control: Se debiera mantener correctamente el equipo para asegurar su continua disponibilidad e integridad. A. Mantenimiento de acuerdo con especificaciones del proveedor. B. Solo el personal de mantenimiento autorizado puede hacerlo. C. Mantener registros de fallos sospechados y reales y de medidas preventivas y correctivas. D. Implementar controles apropiados teniendo en cuenta si es por personal local o fuera de la organización. Revisar la información confidencial y verificar al personal. E. Cumplir requerimientos de pólizas de seguro.

Mantener registros de fallos sospechados y reales y de medidas preventivas y correctivas. D.

8 Control: Se debiera aplicar seguridad al equipo fuera del local teniendo en cuenta los diferentes riesgos de trabajar fuera del local de la organización. A. Todo equipo sacado del local nunca debe ser desatendido en lugar publico. Durante viajes los portátiles como equipaje de mano y de forma disimulada. B. Observar instrucciones del fabricante en materia de protección del equipo. C. Determinar controles para trabajo en casa mediante evaluación de riesgo y controles (archivos cifrados, política de escritorio vacío, controles de acceso a equipos, comunicación segura ). D. Contar con un seguro adecuado de protección. *Tener en cuenta que los riegos pueden variar entre locales.

Observar instrucciones del fabricante en materia de protección del equipo. C.

9 Control: Se debieran comprobar los componentes del equipo que contiene los medios de almacenamiento para asegurar que se haya retirado o sobrescrito cualquier dato confidencial o licencia de software antes de su eliminación. A. Todo dispositivo con información confidencial debe ser físicamente destruido o destruir, borrar o sobrescribir la información de forma que sea imposible obtener el original. B. Lo anterior requiere de una evaluación del riesgo para saber si es necesario destruir físicamente o no, además de si se envían a reparar.

Todo dispositivo con información confidencial debe ser físicamente destruido o destruir, borrar o sobrescribir la información de forma

10 Control: El equipo, información o software no debiera retirarse sin autorización previa. A. No retirar sin autorización previa. B. Los usuarios empleados, contratistas y terceras personas autorizadas para la retirada de activos deben estar claramente identificadas. C. Establecer limite de tiempo de retirada del equipo y realizar comprobaciones a su devolución. D. Cuando sea necesario y apropiado registrar el equipo como retirado y registrar también su retorno. E. Realizar chequeos inesperados de acuerdo siempre con la legislación y regulaciones relevantes.

Establecer limite de tiempo de retirada del equipo y realizar comprobaciones a su devolución. D.

Documentos relacionados

Ministerio de Economía y Producción Secretaría de Hacienda. Normas de Seguridad Física y Ambiental.

Ministerio de Economía y Producción Secretaría de Hacienda. Normas de Seguridad Física y Ambiental. Normas de Seguridad Física y Ambiental. Las normas para Seguridad física y ambiental brindan el marco para evitar accesos no autorizados, daños e interferencias en la información de la organización Estas