ESTRATEGIAS DE SEGURIDAD FISICA

La seguridad física en Colombia es y ha sido un aspecto muy importante de la forma como las
empresas protegen sus activos económicos. SISTESEG posee una metodología que permite evaluar
que tan efectivos son los controles existentes en la infraestructura de una empresa con el fin de actuar
como factor disuasivo y control, contra eventos que pongan en peligro la disponibilidad,
confidencialidad e integridad de la información.

Es importante considerar que factores como el control de variables ambientales, tecnologías de control
de acceso, y sistemas de CCTV, permiten implementar los controles. Esto controles deben ser el
resultado de  análisis de riesgo,   en donde se determinan las prioridades de cada uno de los
elementos anteriormente mencionados.

SISTESEG además de la utilización de novedosas y efectivas metodologías, cuenta con el apoyo de
empresas internacionalmente reconocidas con el fin de brindar a sus clientes una solución eficiente y
efectiva para mejorar la seguridad de sus más valiosos activos. La seguridad en un proceso, no una
tecnología, ni un producto, un proceso que se apoya en la tecnología para lograr sus objetivos a lo
largo de toda la organización. La seguridad debe ser un enfoque sistémico realizado por profesionales
en la materia, que propongan un serie de actividades, procesos y productos para que todos f
uncionando de manera sincronizada ejerzan un control, factores disuasivos, e información, que en su
conjunto garanticen que la empresa pueda lograr realizando sus negocios de manera oportuna y
productiva.

Estándares utilizados en el estudio:

NFPA 75
EIA/TIA 942

















Figura 1.
Diagrama Centro de Cómputo EIA-TIA 942.

POLITICA DE SEGURIDAD FISICA

DESCARGAR: POLITICA DE SEGURIDAD FISICA ISO 27001

Esta política aplicará  a todo el personal vinculado laboralmente con ISX contratistas y terceros que tengan acceso a los recursos de información de la organización.
Introducción

La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas
para proteger físicamente los recursos y la información de la organización. Los recursos incluyen el
personal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales los empleados
interactúan, en general los activos asociados al mantenimiento y procesamiento de la información,
como por ejemplo activos de información, activos de software y activos  físicos.

Se entiende por área donde se procesa la  información los siguientes:

Centros de Procesamiento normales o de  de emergencia
Áreas con servidores, ya  sean de procesamiento o dispositivos de comunicación
Áreas donde se almacenen formas continuas, membreteadas, facturas sean propias de ISX o
procedentes de clientes o de otras de áreas.
Áreas donde se encuentren concentrados dispositivos de información
Áreas donde se almacenen y guarden elementos de respaldo datos (CD, Discos Duros, Cintas
etc.)
Áreas donde se deposite salidas de impresoras o fax.

DEFINICIONES

Activos de información: Corresponde a elementos tales como bases de datos, documentación, manuales de usuarios, planes de continuidad, etc.

Activos de software: Son elementos tales como: Aplicaciones de software, herramientas de desarrollo, y utilidades
adicionales.

Activos físicos: Se consideran activos físicos elementos tales como: Computadores, laptops, modems, impresoras,
maquinas de fax, Equipos de Comunicaciones, PBX, cintas, discos, UPS, muebles etc.

OBJETIVO

Prevenir el  acceso físico no autorizado,  además de  evitar daños o robo a los activos de la
organización e interrupciones a las actividades del negocio de ADVANCED SECURITY

POLITICA

"Toda área o equipo informático, debe cumplir con todas las políticas funcionales y procedimientos  de
seguridad física, con el fin de evitar el acceso por personas no autorizadas, daño e interferencia a los
recursos e infraestructura de información”.

Elementos adicionales a la política general

Aspectos de la seguridad física  a ser considerados en la definición de las políticas funcionales:

Equipos de control del medio ambiente
Almacenamiento de cintas de respaldo.
Seguridad de las oficinas, salones y facilidades
Reglas sobre el trabajo en áreas seguras
Cableado, UPS, impresoras y  Modems
Seguridad de los equipos
Control de los sistemas de potencia
Múltiples sistemas de alimentación
Sistemas  de control de  potencia (UPS)
Generadores de back up

POLITICAS RELACIONADAS

Política de Control de Acceso

Política de Continuidad del Negocio.

ROLES Y RESPONSABILIDADES

Esta política es responsabilidad de ser aprobada por  las directivas de ISX, con el fin de garantizar la continuidad del negocio  en caso de un evento que afecte la operación normal de ISX.

VIOLACIONES A LA POLÍTICA

Violaciones de la política de Seguridad Física,  pueden resultar en acciones de tipo disciplinario, que
pueden incluir, más no estar limitadas a:

  • Acción de tipo disciplinario según los lineamientos establecidos por el Código Sustantivo del
    Trabajo, el Reglamento Interno de Trabajo, el Código de Comportamiento Empresarial ISX, las
    Cláusulas Especiales que se establezcan con los empleados en sus Contratos Laborales y/o
    todo aquello que según las leyes colombianas definan como acciones disciplinarias
    patronales.  
  • Reprimenda formal
  • Suspensión o acceso restringido a las áreas de procesamiento de la información
  • Reembolso por algún daño causado
  • Suspensión sin pago de salario
  • Terminación del contrato de trabajo o relación comercial (Basados en las disposiciones
    emitidas por las leyes colombianas en materia laboral).
  • Demanda civil o penal


SEGURIDAD EN EL PERIMETRO FISICO   

El sitio escogido para colocar los sistemas de información, equipos de computo y comunicaciones,
deben estar protegidos por barreras y controles físicos, para evitar  intrusión física,  inundaciones, y
otro tipo de amenazas que afecten su normal operación.

RECOMENDACIONES

El tamaño del área será determinado por la cantidad de hardware necesitado para el procesamiento y
almacenamiento de la información. Los requerimientos de tipo ambiental deben ser especificados por
los diferentes fabricantes de los equipos. Las medidas de seguridad que se deban tomar, dependerán
directamente del valor de los activos de información, su nivel de confidencialidad, y los valores
requeridos de disponibilidad.

Aspectos de la seguridad de la información a ser considerados cuando se implementan  estas
políticas son:

  • El perímetro de seguridad debe ser claramente definido.
  • El sitio donde es ubiquen los recursos informáticos debe ser físicamente sólido, y protegido de
    accesos no autorizados factores naturales, usando mecanismos de control, barreras físicas,  
    alarmas, barras metálicas etc.
  • Debe existir un área de recepción que solo permita la entrada de personal autorizado.
  • Todas las salidas de emergencia en el perímetro de seguridad deben tener alarmas sonoras  y
    cierre automático.
  • Comentario interno: Cumplimos con estas condiciones y aquellas donde se necesite inversión
    hasta donde vamos a hacer?


CONTROL DE ACCESO FISICO A AREAS SEGURAS

Todos los sitios en donde se encuentren sistemas de procesamiento informático o de
almacenamiento,  deben ser protegidos de accesos no autorizados, utilizando tecnologías de
autenticación, monitoreo y registro de entradas y salidas.