![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2024\/02\/ciberviernes-300x165.jpg\")
![\"\"](\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2020\/03\/buenas-practicas2-300x225.jpg\")
<\/p>\n<\/p>\n
Puede escuchar el contenido del art\u00edculo<\/a> en la voz de una herramienta de Inteligencia Artificial. Duraci\u00f3n aproximada: 11 minutos.<\/p>\n Con mucha raz\u00f3n, a partir de las debilidades que genera el capital humano en el manejo de las TIC, se ha dicho que los controles de seguridad f\u00edsica no son \u201ctan eficientes\u201d. Sin embargo a pesar de este inconveniente no puede pasarse por alto el hecho de que constituye una capa adicional en la seguridad de la informaci\u00f3n que puede ubicarse como un control dentro de la llamada defensa en profundidad.<\/p>\n Una muestra de la necesidad de los controles de seguridad f\u00edsica, es que los expertos de los comit\u00e9s de la ISO los incluyen como aspectos vitales para el desarrollo de las buenas pr\u00e1cticas en el manejo seguro de las TIC.<\/p>\n <\/p>\n El tema de la seguridad f\u00edsica presenta catorce controles, expuestos en la cl\u00e1usula 7 de la norma ISO 27002 de 2022. Los controles son los siguientes:<\/p>\n 1. Seguridad f\u00edsica perimetral.<\/p>\n 2. Entrada f\u00edsica.<\/p>\n 3. Seguridad de locales e instalaciones.<\/p>\n 4. Monitoreo de la seguridad f\u00edsica.<\/p>\n 5. Protecci\u00f3n contra amenazas f\u00edsicas y ambientales.<\/p>\n 6. Trabajo en \u00e1reas seguras.<\/p>\n 7. Pantalla y escritorio limpios.<\/p>\n 8. Emplazamiento y protecci\u00f3n de equipos.<\/p>\n 9. Seguridad de los activos que salen al exterior de las instalaciones de la organizaci\u00f3n.<\/p>\n 10. Medios de almacenamiento (referido al ciclo de adquisici\u00f3n, uso, transportaci\u00f3n y desecho de los medios)<\/p>\n 11. Mecanismo de soporte (facilidades para el procesamiento de la informaci\u00f3n protegido de fallas y rupturas del flujo normal de esta).<\/p>\n 12. Seguridad del cableado.<\/p>\n 13. Equipo de mantenimiento.<\/p>\n 14. Desecho seguro o reutilizaci\u00f3n del equipamiento.<\/p>\n Por razones l\u00f3gicas de espacio no podr\u00e1 realizarse un an\u00e1lisis de todos los controles, por lo que se ha decidido mostrar los que son m\u00e1s cercanos a la actividad del capital humano en la instituci\u00f3n.<\/p>\n El primer aspecto se refiere a la seguridad f\u00edsica perimetral y esto difiere del \u201cper\u00edmetro\u201d de la red. El control est\u00e1 enfocado en el espacio f\u00edsico que ocupa la organizaci\u00f3n y sus dependencias.<\/p>\n Recordar que el per\u00edmetro de la red no solo lo marca el equipamiento dentro del campus universitario, tambi\u00e9n se incluyen en el, todos los activos que se conectas desde diversos puntos, que pueden ser distantes desde el punto de vista geogr\u00e1fico. Esto incluye a los dispositivos m\u00f3viles, en especial los tel\u00e9fonos.<\/p>\n Es habitual que las personas consideren la seguridad f\u00edsica como un problema del cuerpo de protecci\u00f3n, cuando en realidad todos deben formar parte del mecanismo.<\/p>\n El acceso del personal ajeno a la organizaci\u00f3n a las dependencias de esta y a los activos, multiplica los riesgos de manera exponencial, ya que si este problema no est\u00e1 considerado en las amenazas y se ha formado al capital humano en un modo de actuaci\u00f3n ante este tipo de incidente, entonces se carece de mecanismos para hacerle frente lo que conduce a improvisaciones. Esto hace m\u00e1s dif\u00edcil el enfrentamiento a incidentes probables por esta causa.<\/p>\n Los aspectos 5 y 7 son de una incidencia muy alta en nuestro entorno. El primero de ellos: Protecci\u00f3n contra amenazas f\u00edsicas y ambientales, el segundo Pantalla y escritorio limpios. Este \u00faltimo es un aspecto que las personas no toman en consideraci\u00f3n e incluso consideran exagerado.<\/p>\n El control 5 de la norma ISO 27002 atiende la necesidad de protecci\u00f3n en el \u00e1mbito f\u00edsico y ambiental por la incidencia de factores naturales. En la norma se expresa y puede traducirse aproximadamente como la necesidad de la Protecci\u00f3n contra amenazas f\u00edsicas y ambientales, como desastres naturales y otros y que debe atenderse la necesidad de dise\u00f1ar e implementar mecanismos para enfrentar amenazas f\u00edsicas no intencionales a la infraestructura.<\/p>\n En la propia norma ISO 27002:2022 el control se orienta a:<\/p>\n Evaluaciones de riesgos para identificar las posibles consecuencias de las amenazas f\u00edsicas y ambientales debe realizarse antes de comenzar las operaciones cr\u00edticas en un sitio f\u00edsico y a intervalos regulares. Se deben implementar las salvaguardas necesarias y se deben monitorear los cambios en las amenazas.<\/p>\n Incluso se orienta a los especialistas en ciberseguridad para establecer v\u00edas para la obtenci\u00f3n asesoramiento sobre c\u00f3mo gestionar los riesgos derivados de las amenazas f\u00edsicas y ambientales como incendios, inundaciones, terremotos, explosiones, disturbios civiles, desechos t\u00f3xicos, emisiones ambientales y otros formas de desastres naturales o desastres causados por seres humanos de forma que puedan hacer extensivo este conocimiento al capital humano de la instituci\u00f3n, cuesti\u00f3n esta, que se considera tiene como una de las v\u00edas mas efectivas los planes de prevenci\u00f3n.<\/p>\n En las entidades se pueden considerar los conceptos de prevenci\u00f3n del delito e incluir junto a esto el dise\u00f1o de controles ambientales como forma para asegurar su entorno y reducir las amenazas urbanas y preservar los contenedores de almacenamiento seguro de la informaci\u00f3n ante desastres que incluyen incendios, terremotos, inundaci\u00f3n o explosiones.<\/p>\n Un ejemplo a atender pudiera ser un sismo de gran intensidad, esto implica la previsi\u00f3n de las acciones coordinadas y determinadas de antemano en el plan de prevenci\u00f3n, donde se muestran un conjunto de factores sobre la ubicaci\u00f3n del personal, del transporte, servicios de primeros auxilios y las alternativas en caso de afectaci\u00f3n, etc. Esto enfocado en el momento anterior al sismo, mientras ocurre y despu\u00e9s del mismo y atendiendo a la posibilidad de r\u00e9plicas.<\/p>\n Pudiera pensarse qu\u00e9 tiene esto que ver con la seguridad de la informaci\u00f3n y la respuesta es sencilla: Para mantener la continuidad de los procesos de la instituci\u00f3n despu\u00e9s de una sismo, es necesario tener asegurada la informaci\u00f3n que sustenta dichos procesos.<\/p>\n Por ello debe atenderse la protecci\u00f3n de los contenedores de informaci\u00f3n como el primer paso para lograr la continuidad de los procesos luego de un incidente, aspecto este ubicado en el tema organizacional y que muestra nuevamente las interconexiones dentro de la norma ISO 27002.<\/p>\n Pero tambi\u00e9n debe mantenerse la observancia del entorno para personas que por diversas razones deseen causar da\u00f1o a la informaci\u00f3n, sean ajenos a la instituci\u00f3n o no. En tal sentido, los mecanismos de control de acceso f\u00edsico y l\u00f3gico (relacionados con el tema organizacional) son esenciales.<\/p>\n El control 7, relacionado con pantallas y escritorios limpios es un elemento vital para el an\u00e1lisis, a pasar de la poca comprensi\u00f3n y oposici\u00f3n de los usuarios de las TIC al problema.<\/p>\n Un escritorio colorido con una imagen y abigarrado de accesos directos o de archivos ubicados para hacer m\u00e1s f\u00e1cil su ejecuci\u00f3n permite que ocurran dos cosas:<\/p>\n 1. Se hace dif\u00edcil detectar la eliminaci\u00f3n de un archivo.<\/p>\n 2. Facilita la labor a un intruso para acceder a una informaci\u00f3n.<\/p>\n Esto sin contar el hecho de que la imagen de pantalla y los archivos que se guardan en el escritorio gravitan sobre el rendimiento del sistema operativo al sobrecargarlo.<\/p>\n Es importante recordar un elemento que est\u00e1, de cierta manera, asociado: la necesidad de bloquear el activo cuando quede desatendido para evitar el acceso de intrusos.<\/p>\n Esto debe hacerse a pesar de que est\u00e9 configurado para que ocurra autom\u00e1ticamente. As\u00ed se evita que, aunque sea por un breve lapso de tiempo, un intruso pueda acceder a los datos.<\/p>\n La norma ISO 27002 de 2022 es clara en su prop\u00f3sito: la reducci\u00f3n de riesgo de intrusi\u00f3n, unido a posible la p\u00e9rdida o da\u00f1o de la informaci\u00f3n por el acceso f\u00e1cil que brinda el escritorio, m\u00e1s si la informaci\u00f3n de que se trata es importante.<\/p>\n No es apropiado terminar el tema de la seguridad f\u00edsica sin reflexionar en torno al control 12 referido a la seguridad en el cableado.<\/p>\n Es conveniente valorar dos aspectos:<\/p>\n 1. Un cortocircuito puede afectar el equipamiento e inutilizarlo.<\/p>\n 2. Un corte en un cable de red paraliza el acceso a determinado activo y tiene consecuencias en el rendimiento de la instituci\u00f3n.<\/p>\n El control se refiere directamente a los cables que llevan energ\u00eda el\u00e9ctrica para mantener activos los sistemas, pero adem\u00e1s incluye a los cables de datos que deben protegerse contra la interceptaci\u00f3n, interferencia o da\u00f1o.<\/p>\n De ah\u00ed que el prop\u00f3sito de la existencia de este control sea buscar a toda costa evitar la p\u00e9rdida, el da\u00f1o, el robo o el compromiso de la informaci\u00f3n y los activos asociados. Tambi\u00e9n es vital la protecci\u00f3n para evitar la interrupci\u00f3n de las operaciones de la instituci\u00f3n como consecuencia de afectaciones en el cableado de alimentaci\u00f3n y comunicaciones.<\/p>\n Por solo poner ejemplos la norma establece la importancia de establecer un control preventivo y vigilancia de los sistemas de cableado para evitar interrupciones en los procesos de la instituci\u00f3n. Adem\u00e1s es vital la vigilancia sobre los paneles de control de comunicaciones y registros el\u00e9ctricos. Se propone incluso en la norma 27002:2022 el uso de blindaje electromagn\u00e9tico para la protecci\u00f3n de los cables y se menciona la instalaci\u00f3n de conductos blindados y salas o cajas cerradas con llave y alarmas en puntos terminales. Se deben se pueden buscar dispositivos no autorizados conectados al cableado.<\/p>\n Este problema no es ajeno a la instituci\u00f3n donde en muchas dependencias se pueden encontrar cables el\u00e9ctricos y\/o de datos en el piso o en amasijo de la parte trasera de los ordenadores, expuestos a da\u00f1os que pueden incidir en la salud de los equipos, el acceso a ellos y por ende de la informaci\u00f3n almacenada.<\/p>\n Es importante recordar que la separaci\u00f3n f\u00edsica de las redes el\u00e9ctricas y de infocomunicaciones no es un capricho. Esta establecido por las normas internacionales y en normas jur\u00eddicas de nuestro pa\u00eds para la seguridad de la informaci\u00f3n (res. 128\/2019 y decreto 360\/2019) porque el tendido contiguo de ambos puede provocar interferencias en las comunicaciones como consecuencia de la existencia de fuerzas electromagn\u00e9ticas concurrentes por m\u00faltiples cuestiones.<\/p>\n As\u00ed, est\u00e1n abiertas las puertas al an\u00e1lisis de los controles del tema de las buenas pr\u00e1cticas vista desde lo tecnol\u00f3gico.<\/p>\n Puede escuchar el contenido del art\u00edculo en la voz de una herramienta de Inteligencia Artificial. Duraci\u00f3n aproximada: 11 minutos. Con mucha raz\u00f3n, a partir de las debilidades que genera el capital humano en el manejo de las TIC, se ha … Sigue leyendo Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"