ESTRATEGIAS DE SEGURIDAD FISICA
La seguridad física en Colombia es y ha sido un aspecto muy importante de la forma como las
empresas protegen sus activos económicos. SISTESEG posee una metodología que permite evaluar
que tan efectivos son los controles existentes en la infraestructura de una empresa con el fin de actuar
como factor disuasivo y control, contra eventos que pongan en peligro la disponibilidad,
confidencialidad e integridad de la información.
Es importante considerar que factores como el control de variables ambientales, tecnologías de control
de acceso, y sistemas de CCTV, permiten implementar los controles. Esto controles deben ser el
resultado de análisis de riesgo, en donde se determinan las prioridades de cada uno de los
elementos anteriormente mencionados.
SISTESEG además de la utilización de novedosas y efectivas metodologías, cuenta con el apoyo de
empresas internacionalmente reconocidas con el fin de brindar a sus clientes una solución eficiente y
efectiva para mejorar la seguridad de sus más valiosos activos. La seguridad en un proceso, no una
tecnología, ni un producto, un proceso que se apoya en la tecnología para lograr sus objetivos a lo
largo de toda la organización. La seguridad debe ser un enfoque sistémico realizado por profesionales
en la materia, que propongan un serie de actividades, procesos y productos para que todos f
uncionando de manera sincronizada ejerzan un control, factores disuasivos, e información, que en su
conjunto garanticen que la empresa pueda lograr realizando sus negocios de manera oportuna y
productiva.
Estándares utilizados en el estudio:
Figura 1. Diagrama Centro de Cómputo EIA-TIA 942.
POLITICA DE SEGURIDAD FISICA
Esta política aplicará a todo el personal vinculado laboralmente con ISX contratistas y terceros quetengan acceso a los recursos de información de la organización.
Introducción
La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas
para proteger físicamente los recursos y la información de la organización. Los recursos incluyen el
personal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales los empleados
interactúan, en general los activos asociados al mantenimiento y procesamiento de la información,
como por ejemplo activos de información, activos de software y activos físicos.
Se entiende por área donde se procesa la información los siguientes:
DEFINICIONES
Activos de información: Corresponde a elementos tales como bases de datos, documentación, manuales de usuarios, planes de continuidad, etc.
Activos de software: Son elementos tales como: Aplicaciones de software, herramientas de desarrollo, y utilidades
adicionales.
Activos físicos: Se consideran activos físicos elementos tales como: Computadores, laptops, modems, impresoras,
maquinas de fax, Equipos de Comunicaciones, PBX, cintas, discos, UPS, muebles etc.
OBJETIVO
Prevenir el acceso físico no autorizado, además de evitar daños o robo a los activos de la
organización e interrupciones a las actividades del negocio de ADVANCED SECURITY
POLITICA
"Toda área o equipo informático, debe cumplir con todas las políticas funcionales y procedimientos de
seguridad física, con el fin de evitar el acceso por personas no autorizadas, daño e interferencia a los
recursos e infraestructura de información”.
Elementos adicionales a la política general
Aspectos de la seguridad física a ser considerados en la definición de las políticas funcionales:
POLITICAS RELACIONADAS
Política de Control de Acceso
Política de Continuidad del Negocio.
ROLES Y RESPONSABILIDADES
Esta política es responsabilidad de ser aprobada por las directivas de ISX, con el fin de garantizar la continuidad del negocio en caso de un evento que afecte la operación normal de ISX.
VIOLACIONES A LA POLÍTICA
Violaciones de la política de Seguridad Física, pueden resultar en acciones de tipo disciplinario, que
pueden incluir, más no estar limitadas a:
SEGURIDAD EN EL PERIMETRO FISICO
El sitio escogido para colocar los sistemas de información, equipos de computo y comunicaciones,
deben estar protegidos por barreras y controles físicos, para evitar intrusión física, inundaciones, y
otro tipo de amenazas que afecten su normal operación.
RECOMENDACIONES
El tamaño del área será determinado por la cantidad de hardware necesitado para el procesamiento y
almacenamiento de la información. Los requerimientos de tipo ambiental deben ser especificados por
los diferentes fabricantes de los equipos. Las medidas de seguridad que se deban tomar, dependerán
directamente del valor de los activos de información, su nivel de confidencialidad, y los valores
requeridos de disponibilidad.
Aspectos de la seguridad de la información a ser considerados cuando se implementan estas
políticas son:
CONTROL DE ACCESO FISICO A AREAS SEGURAS
Todos los sitios en donde se encuentren sistemas de procesamiento informático o de
almacenamiento, deben ser protegidos de accesos no autorizados, utilizando tecnologías de
autenticación, monitoreo y registro de entradas y salidas.
La seguridad física en Colombia es y ha sido un aspecto muy importante de la forma como las
empresas protegen sus activos económicos. SISTESEG posee una metodología que permite evaluar
que tan efectivos son los controles existentes en la infraestructura de una empresa con el fin de actuar
como factor disuasivo y control, contra eventos que pongan en peligro la disponibilidad,
confidencialidad e integridad de la información.
Es importante considerar que factores como el control de variables ambientales, tecnologías de control
de acceso, y sistemas de CCTV, permiten implementar los controles. Esto controles deben ser el
resultado de análisis de riesgo, en donde se determinan las prioridades de cada uno de los
elementos anteriormente mencionados.
SISTESEG además de la utilización de novedosas y efectivas metodologías, cuenta con el apoyo de
empresas internacionalmente reconocidas con el fin de brindar a sus clientes una solución eficiente y
efectiva para mejorar la seguridad de sus más valiosos activos. La seguridad en un proceso, no una
tecnología, ni un producto, un proceso que se apoya en la tecnología para lograr sus objetivos a lo
largo de toda la organización. La seguridad debe ser un enfoque sistémico realizado por profesionales
en la materia, que propongan un serie de actividades, procesos y productos para que todos f
uncionando de manera sincronizada ejerzan un control, factores disuasivos, e información, que en su
conjunto garanticen que la empresa pueda lograr realizando sus negocios de manera oportuna y
productiva.
Estándares utilizados en el estudio:
 | NFPA 75 | |
| EIA/TIA 942 |
Figura 1. Diagrama Centro de Cómputo EIA-TIA 942.
POLITICA DE SEGURIDAD FISICA
| DESCARGAR: POLITICA DE SEGURIDAD FISICA ISO 27001 |
Esta política aplicará a todo el personal vinculado laboralmente con ISX contratistas y terceros que
Introducción
La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas
para proteger físicamente los recursos y la información de la organización. Los recursos incluyen el
personal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales los empleados
interactúan, en general los activos asociados al mantenimiento y procesamiento de la información,
como por ejemplo activos de información, activos de software y activos físicos.
Se entiende por área donde se procesa la información los siguientes:
| Centros de Procesamiento normales o de de emergencia | |
| Áreas con servidores, ya sean de procesamiento o dispositivos de comunicación | |
| Áreas donde se almacenen formas continuas, membreteadas, facturas sean propias de ISX o | |
| procedentes de clientes o de otras de áreas. | ||
| Áreas donde se encuentren concentrados dispositivos de información | |
| Áreas donde se almacenen y guarden elementos de respaldo datos (CD, Discos Duros, Cintas | |
| etc.) | ||
| Áreas donde se deposite salidas de impresoras o fax. |
DEFINICIONES
Activos de información: Corresponde a elementos tales como bases de datos, documentación,
Activos de software: Son elementos tales como: Aplicaciones de software, herramientas de desarrollo, y utilidades
adicionales.
Activos físicos: Se consideran activos físicos elementos tales como: Computadores, laptops, modems, impresoras,
maquinas de fax, Equipos de Comunicaciones, PBX, cintas, discos, UPS, muebles etc.
OBJETIVO
Prevenir el acceso físico no autorizado, además de evitar daños o robo a los activos de la
organización e interrupciones a las actividades del negocio de ADVANCED SECURITY
POLITICA
"Toda área o equipo informático, debe cumplir con todas las políticas funcionales y procedimientos de
seguridad física, con el fin de evitar el acceso por personas no autorizadas, daño e interferencia a los
recursos e infraestructura de información”.
Elementos adicionales a la política general
Aspectos de la seguridad física a ser considerados en la definición de las políticas funcionales:
 | Equipos de control del medio ambiente | |
| Almacenamiento de cintas de respaldo. | |
| Seguridad de las oficinas, salones y facilidades | |
| Reglas sobre el trabajo en áreas seguras | |
| Cableado, UPS, impresoras y Modems | |
| Seguridad de los equipos | |
| Control de los sistemas de potencia | |
| Múltiples sistemas de alimentación | |
| Sistemas de control de potencia (UPS) | |
| Generadores de back up |
POLITICAS RELACIONADAS
Política de Control de Acceso
Política de Continuidad del Negocio.
ROLES Y RESPONSABILIDADES
Esta política es responsabilidad de ser aprobada por las directivas de ISX, con el fin de garantizar la
VIOLACIONES A LA POLÍTICA
Violaciones de la política de Seguridad Física, pueden resultar en acciones de tipo disciplinario, que
pueden incluir, más no estar limitadas a:
- Acción de tipo disciplinario según los lineamientos establecidos por el Código Sustantivo del
Trabajo, el Reglamento Interno de Trabajo, el Código de Comportamiento Empresarial ISX, las
Cláusulas Especiales que se establezcan con los empleados en sus Contratos Laborales y/o
todo aquello que según las leyes colombianas definan como acciones disciplinarias
patronales. - Reprimenda formal
- Suspensión o acceso restringido a las áreas de procesamiento de la información
- Reembolso por algún daño causado
- Suspensión sin pago de salario
- Terminación del contrato de trabajo o relación comercial (Basados en las disposiciones
emitidas por las leyes colombianas en materia laboral). - Demanda civil o penal
SEGURIDAD EN EL PERIMETRO FISICO
El sitio escogido para colocar los sistemas de información, equipos de computo y comunicaciones,
deben estar protegidos por barreras y controles físicos, para evitar intrusión física, inundaciones, y
otro tipo de amenazas que afecten su normal operación.
RECOMENDACIONES
El tamaño del área será determinado por la cantidad de hardware necesitado para el procesamiento y
almacenamiento de la información. Los requerimientos de tipo ambiental deben ser especificados por
los diferentes fabricantes de los equipos. Las medidas de seguridad que se deban tomar, dependerán
directamente del valor de los activos de información, su nivel de confidencialidad, y los valores
requeridos de disponibilidad.
Aspectos de la seguridad de la información a ser considerados cuando se implementan estas
políticas son:
- El perímetro de seguridad debe ser claramente definido.
- El sitio donde es ubiquen los recursos informáticos debe ser físicamente sólido, y protegido de
accesos no autorizados factores naturales, usando mecanismos de control, barreras físicas,
alarmas, barras metálicas etc. - Debe existir un área de recepción que solo permita la entrada de personal autorizado.
- Todas las salidas de emergencia en el perímetro de seguridad deben tener alarmas sonoras y
cierre automático. - Comentario interno: Cumplimos con estas condiciones y aquellas donde se necesite inversión
hasta donde vamos a hacer?
CONTROL DE ACCESO FISICO A AREAS SEGURAS
Todos los sitios en donde se encuentren sistemas de procesamiento informático o de
almacenamiento, deben ser protegidos de accesos no autorizados, utilizando tecnologías de
autenticación, monitoreo y registro de entradas y salidas.
 |  |  |  |
 |
| |
 |
| |
 |
| |
 |
| |
 |
| |
 |
| |
 |
| |
 |