Seguridad Física y Ambiental

Anexo 11 - ISO 27001

Video Tutoriales
HTML Rules

Capítulo del curso de seguridad informática dedicado a la seguridad física y lógica


Explicación orientativa

El objetivo es minimizar los riesgos de daños e interferencias a la información y a las operaciones de la organización.

El establecimiento de perímetros de seguridad y áreas protegidas facilita la implementación de controles de protección de las instalaciones de procesamiento de información crítica o sensible de la organización, contra accesos físicos no autorizados.

El control de los factores ambientales de origen interno y/o externo permite garantizar el correcto funcionamiento de los equipos de procesamiento y minimizar las interrupciones de servicio.

La información almacenada en los sistemas de procesamiento y la documentación contenida en diferentes medios de almacenamiento, son susceptibles de ser recuperadas mientras no están siendo utilizados. Es por ello que el transporte y la disposición final presentan riesgos que deben ser evaluados, especialmente en casos en los que el equipamiento perteneciente a la organización estén físicamente fuera del mismo (housing) o en equipamiento ajeno que albergue sistemas y/o preste servicios de procesamiento de información (hosting/cloud).

Los medios de procesamiento de información crítica o confidencial deberían ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados.
Los medios de procesamiento deberían estar físicamente protegidos del acceso no autorizado, daño e interferencia.

El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos (recuerde: los estándares se refieren a asegurar la información, no sólo las TI).

Algunas organizaciones usan tarjetas de identificación de colores para indicar las áreas accesibles por los visitantes (p. ej., azul para la 1ª planta, verde para la 3ª, etc.; ahora, si ve a alguien con una identificación verde en la 4º planta, reténgalo).

Se debería asegurar la retirada de todos los pases de empleado y de visita cuando se vayan. Haga que los sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso. Use pases de visita que se vuelvan opacos o muestren de alguna manera que ya no son válidos a las x horas de haberse emitido.

Así mismo, se debería considerar la ubicación y eliminación de los equipos. Se podrían requerir controles especiales para la protección contra amenazas físicas y para salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado. 

Haga que los vigilantes de seguridad o personal relevante impida a cualquiera (empleados, visitas, personas de soporte TI, mensajeros, personal de mudanzas, etc.) sacar equipos informáticos de las instalaciones sin autorización escrita.

11.1 Áreas seguras

El objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la información de la organización y las instalaciones de procesamiento de la información.

Una falta de control de los accesos físicos permite la materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...)

- Eventos naturales (climáticos, sísmicos, volcánicos, meteorológicos, inundaciones, ...)

- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...)

- Compromiso de información (espionaje en proximidad, robo de equipos o documentos, divulgación, recuperación desde medios reciclados o deshechados, manipulación de hardware, manipulación de software, ...)

11.1.1 Perímetro de seguridad física: Se deberían definir y utilizar perímetros de seguridad para la protección de las áreas que contienen información y las instalaciones de procesamiento de información sensible o crítica.

11.1.2 Controles físicos de entrada: Las áreas seguras deberían estar protegidas mediante controles de entrada adecuados para garantizar que solo el personal autorizado dispone de permiso de acceso.

11.1.3 Seguridad de oficinas, despachos y recursos: Se debería diseñar y aplicar un sistema de seguridad física a las oficinas, salas e instalaciones de la organización.

11.1.4 Protección contra las amenazas externas y ambientales: Se debería diseñar y aplicar una protección física contra desastres naturales, ataques maliciosos o accidentes.

11.1.5 El trabajo en áreas seguras: Se deberían diseñar y aplicar procedimientos para el desarrollo de trabajos y actividades en áreas seguras.

11.1.6 Áreas de acceso público, carga y descarga: Se deberían controlar puntos de acceso a la organización como las áreas de entrega y carga/descarga (entre otros) para evitar el ingreso de personas no autorizadas a las dependencias aislando estos puntos, en la medida de lo posible, de las instalaciones de procesamiento de información.

Informes de inspecciones periódicas de seguridad física de instalaciones, incluyendo actualización regular del estado de medidas correctivas identificadas en inspecciones previas que aún estén pendientes.

SISTESEG: Ejemplo de política de seguridad física en español de SISTESEG.


APC: Documento técnico en inglés de APC sobre control de acceso físico a infraestructuras críticas.


Oficina Nacional de Seguridad de España: OR-ASIP-01-02.02: Orientaciones para la constitución de zonas de acceso restringido.


APC: Documento técnico en inglés de APC sobre protección contra incendios en infraestructuras críticas.


APC: Diversos documentos técnicos de APC en inglés y español sobre refrigeración de CPDs.


Uptime Institute: The Uptime Institute es una organización que publica estándares y mantiene un esquema de certificación para la mejora del grado de disponiblidad de centros de proceso de datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV).


Asistente DNI: Área de guía básica desde la que se podrá descargar los programas o drivers precisos para poder operar con el DNI electrónico (España).


UNE-EN 50518: Norma para la instalación y mantenimiento de centros de supervisión y recepción de alarmas.



11.2 Seguridad de los equipos

El objetivo es evitar la pérdida, los daños, el robo o el compromiso de activos y la interrupción a las operaciones de la organización.

Una falta de control de la seguridad de los equipos permite la materialización de potenciales amenazas, entre otras posibles, como:

- Compromiso de información (espionaje en proximidad, robo de equipos o documentos, divulgación, recuperación desde medios reciclados o deshechados, manipulación de hardware, manipulación de software, ...)

- Fallos técnicos (exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (suplantación de identidad, exposición de la disponibilidad del personal, ...)

11.2.1 Emplazamiento y protección de equipos: Los equipos se deberían emplazar y proteger para reducir los riesgos de las amenazas y peligros ambientales y de oportunidades de acceso no autorizado.

11.2.2 Instalaciones de suministro: Los equipos deberían estar protegidos contra cortes de luz y otras interrupciones provocadas por fallas en los suministros básicos de apoyo.

11.2.3 Seguridad del cableado: Los cables eléctricos y de telecomunicaciones que transportan datos o apoyan a los servicios de información se deberían proteger contra la intercepción, interferencia o posibles daños.

11.2.4 Mantenimiento de los equipos: Los equipos deberían mantenerse adecuadamente con el objeto de garantizar su disponibilidad e integridad continuas.

11.2.5 Salida de activos fuera de las dependencias de la empresa: Los equipos, la información o el software no se deberían retirar del sitio sin previa autorización.

11.2.6 Seguridad de los equipos y activos fuera de las instalaciones: Se debería aplicar la seguridad a los activos requeridos para actividades fuera de las dependencias de la organización y en consideración de los distintos riesgos.

11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento: Se deberían verificar todos los equipos que contengan medios de almacenamiento para garantizar que cualquier tipo de datos sensibles y software con licencia se hayan extraído o se hayan sobrescrito de manera segura antes de su eliminación o reutilización.

11.2.8 Equipo informático de usuario desatendido: Los usuarios se deberían asegurar de que los equipos no supervisados cuentan con la protección adecuada.

11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla: Se debería adoptar una política de puesto de trabajo despejado para documentación en papel y para medios de almacenamiento extraíbles y una política de monitores sin información para las instalaciones de procesamiento de información.

Número de chequeos (a personas a la salida y a existencias en stock) realizados en el último mes y porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes informáticos u otras cuestiones de seguridad.

Informes de inspecciones periódicas a los equipos, incluyendo actividades para la revisión de rendimiento, capacidad, eventos de seguridad y limpieza de los diversos componentes (aplicaciones, almacenamiento, CPU, memoria, red, etc).

APC: Documentos técnicos de APC en inglés y español sobre arquitectura de CPDs.


APC: Documentos técnicos de APC en inglés sobre monitorización y control de CPDs.


TIA: Estándar de la Telecommunications Industry Association en inglés que establece requisitos para las infraestructuras de comunicaciones en centros de proceso de datos.


NFPA: NFPA 75 es el estándar de la National Fire Protection Association para la protección de equipos TI: construcción de edificios, protección anti-incendios, sistemas de extinción, sistemas eléctricos, refrigeración, etc. Versiones en inglés y en español.


NFPA: NFPA 76 es el estándar de la National Fire Protection Association para la protección contra incendios de instalaciones de telecomunicaciones. Versiones en inglés y en español.


NFPA: Larga lista de estándares relacionados con la seguridad contra el fuego de la National Fire Protection Association. Versiones en inglés y en español.


APC: Documentos técnicos de APC sobre alimentación eléctrica, SAIs, eficiencia, distintos tipos de cálculos, etc.


T2APP: Documento técnico de T2APP sobre problemas de suministro eléctrico, soluciones, cálculo de la carga, tipos de SAI (sistemas de alimentación ininterrumpida), mantenimiento de un SAI, etc.


Ccleaner: >Herramienta para la limpieza de Windows. Protección en privacidad online que aporta rapidez y seguridad en los ordenadores.


System Ninja: Herramienta para la limpieza de Windows eliminando todo tipo de archivos temporales como cachés de juegos, historiales, cookies, dumps de memoria, archivos abiertos recientemente. Dispone de funcionalidades extras como un administrador de procesos, un lector de hashes, información detallada sobre el hardware y un gestor de programas de inicio, útil para eliminar programas innecesarios que se cargan con Windows consumiendo recursos.


Slim Drivers: Herramienta para la actualización de los controladores de los equipos con el análisis en tiempo real y la tecnología de nube.


Filehippo: Herramienta para la comprobación y descarga de las nuevas versiones del software instalado en los equipos.


Kensington_Security_Slot: Consideraciones sobre Kensington lock para equipos portátiles.


Symantec: Consejos de Symantec para la protección contra el robo de portátiles.


DBAN: Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita- autoarrancable que permite hacer un borrado seguro del disco duro completo de un equipo (operación que no sería posible si se inicia el equipo con el sistema operativo instalado en ese mismo disco).


Eraser: Herramienta open source de borrado seguro.


Hardwipe: Herramienta gratuita de borrado seguro.


Guía NIST SP800-88: La guía número 88 de la serie NIST SP800 ayuda a las organizaciones en la implementación de un programa de sanitización de medios con las técnicas adecuadas y aplicables y los controles para la desinfección y eliminación teniendo en cuenta la clasificación de seguridad de la confidencialidad del sistema asociado.

ISO/IEC TS 30104: Los mecanismos de seguridad física son empleados por módulos criptográficos donde se desea la protección de los parámetros de seguridad sensibles de los módulos. ISO / IEC TS 30104: 2015 aborda cómo se puede establecer la garantía de seguridad para productos donde el riesgo del entorno de seguridad requiere el apoyo de tales mecanismos.


© 2005 Aviso Legal - Términos de uso información iso27000.es