POLÍTICA SEGURIDAD FISICA SISTESEG BOGOTÁ COLOMBIA

Transcripción

1 POLÍTICA SEGURIDAD FISICA BOGOTÁ COLOMBIA

2 Plítica Seguridad Física [BS 7799 Cntrl A.7.1] 1.1 Audiencia Esta plítica aplicará a td el persnal vinculad labralmente cn cntratistas y tercers que tengan acces a ls recurss de infrmación de la rganización. 1.2 Intrducción La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas para prteger físicamente ls recurss y la infrmación de la rganización. Ls recurss incluyen el persnal, el siti dnde ells labran, ls dats, equips y ls medis cn ls cuales ls empleads interactúan, en general ls activs asciads al mantenimient y prcesamient de la infrmación, cm pr ejempl activs de infrmación, activs de sftware y activs físics. Se entiende pr área dnde se prcesa la infrmación ls siguientes: Centrs de Prcesamient nrmales de de emergencia Áreas cn servidres, ya sean de prcesamient dispsitivs de cmunicación Áreas dnde se almacenen frmas cntinuas, membreteadas, facturas sean prpias de prcedentes de clientes de tras de áreas. Áreas dnde se encuentren cncentrads dispsitivs de infrmación Áreas dnde se almacenen y guarden elements de respald dats (CD, Discs Durs, Cintas etc.) Áreas dnde se depsite salidas de impresras fax. 1.3 Definicines Activs de infrmación: Crrespnde a elements tales cm bases de dats, dcumentación, manuales de usuaris, planes de cntinuidad, etc. Activs de sftware: Sn elements tales cm: Aplicacines de sftware, herramientas de desarrll, y utilidades adicinales. Activs físics: Se cnsideran activs físics elements tales cm: Cmputadres, laptps, mdems, impresras, maquinas de fax, Equips de Cmunicacines, PBX, cintas, discs, UPS, muebles etc. 1.4 Objetiv Prevenir el acces físic n autrizad, además de evitar dañs rb a ls activs de la rganización e interrupcines a las actividades del negci de.

3 1.5 Enunciad de la Plítica "Tda área equip infrmátic, debe cumplir cn tdas las plíticas funcinales y prcedimients de seguridad física, cn el fin de evitar el acces pr persnas n autrizadas, dañ e interferencia a ls recurss e infraestructura de infrmación. 1.6 Elements adicinales a la plítica general Aspects de la seguridad física a ser cnsiderads en la definición de las plíticas funcinales: Equips de cntrl del medi ambiente Almacenamient de cintas de respald. Seguridad de las ficinas, salnes y facilidades Reglas sbre el trabaj en áreas seguras Cablead, UPS, impresras y Mdems Seguridad de ls equips Cntrl de ls sistemas de ptencia Múltiples sistemas de alimentación Sistemas de cntrl de ptencia (UPS) Generadres de back up 1.7 Plíticas relacinadas Plítica de Cntrl de Acces Plítica de Cntinuidad del Negci. 1.8 Rles y respnsabilidades Esta plítica es respnsabilidad de ser aprbada pr las directivas de, cn el fin de garantizar la cntinuidad del negci en cas de un event que afecte la peración nrmal de. 1.9 Vilacines a la plítica Vilacines de la plítica de Seguridad Física, pueden resultar en accines de tip disciplinari, que pueden incluir, más n estar limitadas a: Acción de tip disciplinari según ls lineamients establecids pr el Códig Sustantiv del Trabaj, el Reglament Intern de Trabaj, el Códig de Cmprtamient Empresarial, las Cláusulas Especiales que se establezcan cn ls empleads en sus Cntrats Labrales y/ td aquell que según las leyes clmbianas definan cm accines disciplinarias patrnales. Reprimenda frmal Suspensión acces restringid a las áreas de prcesamient de la infrmación Reembls pr algún dañ causad Suspensión sin pag de salari Terminación del cntrat de trabaj relación cmercial (Basads en las dispsicines emitidas pr las leyes clmbianas en materia labral). Demanda civil penal 1.10 Revisión de la plítica Esta plítica debe ser mdificada si existieran cambis en la infraestructura física de, de n haber cambis, se debe realizar su revisión anualmente.

4 1.11 Referencias N/A 1.12 Aspects específics sbre la plítica de Seguridad Física SEGURIDAD EN EL PERIMETRO FISICO (BS Cntrl A 7.1.1) El siti escgid para clcar ls sistemas de infrmación, equips de cmput y cmunicacines, deben estar prtegids pr barreras y cntrles físics, para evitar intrusión física, inundacines, y tr tip de amenazas que afecten su nrmal peración Recmendacines y cntrles adicinales El tamañ del área será determinad pr la cantidad de hardware necesitad para el prcesamient y almacenamient de la infrmación. Ls requerimients de tip ambiental deben ser especificads pr ls diferentes fabricantes de ls equips. Las medidas de seguridad que se deban tmar, dependerán directamente del valr de ls activs de infrmación, su nivel de cnfidencialidad, y ls valres requerids de dispnibilidad. Aspects de la seguridad de la infrmación a ser cnsiderads cuand se implementan estas plíticas sn: El perímetr de seguridad debe ser claramente definid. El siti dnde es ubiquen ls recurss infrmátics debe ser físicamente sólid, y prtegid de access n autrizads factres naturales, usand mecanisms de cntrl, barreras físicas, alarmas, barras metálicas etc. Debe existir un área de recepción que sl permita la entrada de persnal autrizad. Tdas las salidas de emergencia en el perímetr de seguridad deben tener alarmas snras y cierre autmátic. Cmentari intern: Cumplims cn estas cndicines y aquellas dnde se necesite inversión hasta dnde vams a hacer? CONTROL DE ACCESO FISICO A AREAS SEGURAS (BS Cntrl A ) Tds ls sitis en dnde se encuentren sistemas de prcesamient infrmátic de almacenamient, deben ser prtegids de access n autrizads, utilizand tecnlgías de autenticación, mnitre y registr de entradas y salidas. Cmentari intern: Cumplims cn estas cndicines y aquellas dnde se necesite inversión hasta dnde vams a hacer? Se recmienda además tener separads físicamente la peración de tercers cn las prpias, en cas de existir actividades de tercers en, se deben establecer cntrles pr la persna respnsable en del Outsurcing Recmendacines y cntrles Adicinales Debid al psible rb, vandalism y us n autrizad de ls sistemas de infrmación, se debe cnsiderar restringir el acces de persnas a las áreas cnsideradas seguras, según l definid pr. Td sistema de cntrl de acces debe cnsiderar diferentes categrías de persnal:

5 1) Operadres y usuaris que trabajan regularmente en las áreas seguras. 2) Persnal de sprte que requiera acces periódic. 3) Otrs, que requieran acceder muy rara vez. Aspects de la seguridad de la infrmación a ser cnsiderads cuand se implementa la plítica de seguridad física sn: Persnal n autrizad puede llegar a tener acces a las áreas restringidas, causand psibles fallas al sistema. Persnal de, visitantes terceras persnas, que ingresen a un área definida cm segura pr, deberán pseer una identificación a la vista que claramente ls identifique cm tal y estas identificacines serán intransferibles. Se debe además hacer una revisión periódica de identificadres de acces; una frmal realizada cn auditria, al mens una vez al añ, y las diferentes divisines internamente realizarlas cada 3 meses. N deberán existir señales, ni indicacines de ningún tip sbre la ubicación de ls centrs de prcesamient en la rganización. En cas de perdidas de llaves, deberán existir prcedimients que garanticen que las mismas n pdrán ser utilizadas pr extrañs. Equips cm fax, ftcpiadras, impresras deben estar en áreas definidas pr cm seguras, est aplica también para equips de cmunicacines cm Switches, Enrutadres, firewalls, IDS, Cncentradres VPN etc. Las puertas y ventanas deben estar cerradas, en cas de ser el primer pis se deben cnsiderar cntrles adicinales USO DE MAQUINAS FAX O MODEMS (BS Cntrl A 7.1.3) La infrmación sensitiva cnfidencial sl puede ser enviada vía Fax Mdems cuand n existan trs medis que cnfieran una mejr seguridad, ambs el dueñ y el receptr deben autrizar la transmisión de anteman. Esta plítica cnsidera las amenazas asciadas cn el us de maquinas de fax. El riesg prviene principalmente de la relativa inseguridad del medi, dad que infrmación cnfidencial puede ser revelada a persnas n autrizadas USO DE IMPRESORAS (BS Cntrl A 7.1.3) La infrmación clasificada cm altamente cnfidencial n debe ser nunca enviada a una impresra de la red, sin que exista una persna autrizada para cuidarla durante y después de la impresión. La variedad de la infrmación que se envía a las impresras puede alternar entre infrmación pública e infrmación cnfidencial, dad que infrmación cnfidencial puede ser revelada a persnas n autrizadas PRESENCIA DE EXTRAÑOS EN LAS INSTALACIONES (BS Cntrl A 7.1.4)

6 Tds ls empleads deben estar vigilantes a la presencia de persnas extrañas sin identificación visible dentr de las instalacines de y en ese cas reprtar inmediatamente a seguridad. Entre ls cntrles adicinales tenems: Tds ls visitantes extrañs deben ser acmpañads durante su estadía en, debid a la existencia de infrmación cnfidencial hurt. Equips cm videgrabadras, cámaras ftgráficas, grabadras, sniffers, analizadres de dats, (ej: hardware especial) etc, n debe ser permitids su us dentr de las instalacines de a mens que exista una autrización frmal pr el ficial de seguridad persnal de seguridad del edifici AREAS DE DESCARGUE (BS Cntrl A 7.1.5) La carga y descarga de materiales en requerirá de un primer cntrl (inspección rigursa pr seguridad) en recepción y lueg de su respectiva autrización para ingresar, se entregará en el siti respectiv. También debe ser cuidadsamente cntrlad su ingres, y aislad de ls centrs de prcesamient de infrmación. Ls siguientes cntrles deben ser cnsiderads: Td element que ingrese a, debe ser inspeccinad pr la cmpañía de seguridad rigursamente cn el fin de identificar material peligrs y que cincida cn su respetiva autrización de ingres. Las áreas de descargue deben estar debidamente identificadas para evitar el acces a las instalacines pr parte de tercers. Ls materiales que deban entrar a deben ser inspeccinads debidamente en la zna de descargue, para evitar la entrada de elements peligrss a las áreas internas. El material entrante saliente debe ser registrad, cn el fin de mantener el listad de inventari actualizad SEGURIDAD DE LOS EQUIPOS (BS Cntrl A 7.2) En l referente a la ubicación de cmputadres y hardware en general, se debe tener especial cuidad cntra fallas del sistema de cntrl del medi ambiente, y tras amenazas que puedan afectar la nrmal peración del sistema. Aspects de la seguridad de la infrmación a ser cnsiderads cuand se implementan estas plíticas sn: Fallas en el cntrl de la temperatura humedad pueden afectar la peración del negci, así que, se debe tener un estrict mnitre sbre estas variables. Se deben adptar mantener al día, cntrles para minimizar el riesg ptencial de: Rb

7 Fueg Explsivs Hum Tds ls visitantes terceras persnas, que ingresen a las instalacines de deberán pseer una identificación a la vista que claramente ls identifique cm tal. En tds ls centrs de prcesamient, sin excepción, deberán existir detectres de calr y hum, instalads en frma adecuada y en númer suficiente cm para detectar el más mínim indici de incendi. Ls detectres deberán ser prbads de acuerd a las recmendacines del fabricante al mens una vez cada 6 meses (cuant tiemp se recmienda?) y estas pruebas deberán estar previstas en ls prcedimients de mantenimient y de cntrl del Manual de Seguridad Física. Se deben tener extintres de incendis debidamente prbads, y cn capacidad de detener fueg generad pr equip eléctric, papel químics especiales. Tds ls visitantes terceras persnas, que ingresen a un área de prcesamient deberán pseer una identificación a la vista que claramente ls identifique cm tal, y pr ninguna razón se debe tener material explsiv dentr, en siti cercan a áreas definidas cm seguras pr. (Pr ejempl químics especiales, pólvra gases explsivs) En tds ls centrs de prcesamient, sin excepción, deberán existir detectres de calr y hum, instalads en frma adecuada y en númer suficiente cm para detectar el más mínim cnat de incendi. Inundación falta de suministr Las salas de prcesamient de la infrmación deberán estar ubicadas en piss a una altura superir al nivel de la calle a fin de evitar inundacines. Las cañerías de desagüe de dichas salas y ubicadas en el pis, deberán pseer válvulas de retención de líquids en fluj invers a fin de que n sirvan cm bcas de inundación ante sbre-flujs Interferencia Eléctrica y/ Radiación electrmagnética. El cablead de la red debe ser prtegid de interferencias pr ejempl usand canaletas que l prtejan. Ls cables de ptencia deben estar separads de ls de cmunicacines, siguiend las nrmas técnicas. Las áreas en dnde se tenga equips de prcesamient de infrmación, n se permitirá fumar, tmar ningún tip de bebidas cnsumir aliment. El us de elements adicinales de prtección (Cntra Plv radiación) para ls equips infrmátics debe ser cnsiderad en ambientes de tip industrial. Ls equips deben ser prtegids de fallas de ptencia u tras anmalías de tip eléctric. Ls sistemas de abastecimient de ptencia deben cumplir cn las especificacines de ls fabricantes de ls equips. Entre ls cntrles adicinales tenems:

8 El crrect us de UPS (Uninterruptable pwer suply), las cuales se deben prbar según las recmendacines del fabricante, de tal frma que garanticen el suficiente tiemp para realizar las funcines de respald en servidres y aplicacines. El Generadr debe ser regularmente prbad de acuerd a las recmendacines del fabricante, pr l mens una vez al añ. Se deben tener interruptres eléctrics adicinales, lcalizads cerca de las salidas de emergencia, para lgrar un rápid apagad de ls sistemas en cas de una falla cntigencia. Las luces de emergencia deben funcinar en cas de fallas en la ptencia eléctrica INSTALACION Y MANTENIMIENTO DEL CABLEADO (BS Cntrl A 7.2.3) El cablead de la red debe ser instalad y mantenid pr ingeniers calificads cn el fin de garantizar su integridad. Cnectres de pared n utilizads deben ser sellads y su estad debe ser frmalmente ntificad. Aspects de la seguridad de la infrmación a ser cnsiderads cuand se implementan estas plíticas sn: Un dañ malicis a la red puede causar un grave disturbi a ls sistemas de prcesamient y cmunicacines. Una incursión ilegal puede cmprmeter la seguridad de ls dats, nmbres y cntraseñas. Las cnexines de ptencia deben tener su respectiv pl a tierra. El cablead de la red debe ser prtegid de intercepción dañ, pr ejempl usand canaletas que l prtejan. Ls cables de ptencia deben estar separads de acuerd a las nrmas técnicas, de ls de cmunicacines. Para el cas de cnexines muy críticas (Transprte de mucha infrmación aplicacines especiales) se debe cnsiderar el us de fibra óptica. Cnsiderar el us de enlaces redundantes MANTENIMIENTO DE LOS EQUIPOS (BS Cntrl A 7.2.4) Se deberán realizar mantenimients sbre ls equips de acuerd a las recmendacines del fabricante y ser realizads únicamente pr persnal autrizad, cnsiderand el hech que si se tuviera que enviar fuera de las instalacines, se debe tener en cuenta la infrmación sensitiva y ls requerimients de las pólizas de aseguramient EQUIPOS FUERA DE LAS INSTALACIONES (BS Cntrl A 7.2.5) El us de equips de prcesamient de la infrmación sftware, fuera de las instalacines de, debe ser autrizad pr el jefe directr del área dnde el emplead dependa. Est aplica para Cmputadres persnales, Agendas electrónicas, teléfns móviles, etc. Las siguientes recmendacines deben ser cnsideradas:

9 N dejar ls equips desatendids en znas publicas. Ls cmputadres persnales deben evitar su apariencia y ser llevads cm equipaje de man. Las especificacines del fabricante deben ser cnsideradas. El trabaj remt debe estar sujet a cntrles especiales, cnsiderand las recmendacines aplicadas cuand su us es de tip intern. Se debe cnsiderar el us de segurs cntra rb, perdida etc DESTRUCCION DE EQUIPOS Y RE-USO (BS Cntrl A 7.2.6) Ls equips de almacenamient de infrmación deben ser destruids físicamente escrits de manera segura a través del us de herramientas especiales que garanticen y verifiquen que n quede infrmación remanente, evitand además el us de cmands de brrad usads en su peración nrmal POLITICA DE ESCRITORIOS Y PANTALLA LIMPIA (BS Cntrl A 7.3) debe adptar una plítica de escritris limpis para papeles, y medis de infrmación, junt cn una plítica de pantalla limpia, cn el fin de reducir ls riesgs pr pérdida, dañ a la infrmación durante fuera de las hras de trabaj. Ls siguientes cntrles deben ser cnsiderads: Cuand sea aprpiad, papeles y medis de infrmación deben estar asegurads en armaris especiales, especialmente en hras fuera de las nrmales de trabaj. Infrmación cnfidencial y crítica para la rganización debe ser asegurada preferiblemente en armaris resistentes a impact, fueg e inundaciónls cmputadres persnales n se deben dejar dentr de sesión, se recmienda el us de llaves físicas, cntraseñas, y tr tip de cntrles cuand n estén en us. Punts de enví y recepción del crre, Maquinas de fax, deben ser prtegids de acces n autrizad. Las ftcpiadras deben estar prtegidas de us n autrizad.