Ester Chicano Tejada - Gestión de servicios en el sistema informático. IFCT0109

2 Servicios públicos de soporte: el equipo debe protegerse de posibles fallos de alimentación y otras interrupciones causadas por fallos de suministro. Por ejemplo, colocar sistemas de alimentación interrumpida (SAI) para mantener la electricidad cuando haya fallos en el suministro.

3 Seguridad del cableado: el cableado debe estar protegido de los daños que pueda sufrir. Por ejemplo, los cables de alimentación deben estar separados de los cables de comunicaciones para evitar interferencias.

4 Mantenimiento de los equipos: los equipos deben mantenerse correctamente para asegurar su continua disponibilidad e integridad. Por ejemplo, solo el personal de mantenimiento autorizado debe realizar las reparaciones y dar servicio al equipo.

5 Seguridad de los equipos fuera de las instalaciones: deben aplicarse medidas específicas de seguridad en aquellos equipos que se utilicen fuera de las instalaciones, teniendo en cuenta los riesgos que conlleva. Por ejemplo, debería tenerse contratado un seguro adecuado para proteger al equipo fuera de las instalaciones (por si hay robos, daños, etc.).

6 Seguridad de la reutilización o retirada de los equipos: antes de determinar la finalización de su uso, la información de los equipos debe pasar unos controles para asegurarse de que esta ha sido borrada o sobrescrita sin posibilidad de recuperación.

7 Retirada de propiedades de la organización: el equipo, información, software o cualquier otro activo propiedad de la información no se debe retirar sin autorización previa.

Nota

Las principales amenazas que se prevén en la seguridad física son: los desastres naturales, los incendios accidentales, las amenazas ocasionadas por el hombre y los sabotajes internos y externos deliberados.

Actividades

8. Las medidas de seguridad para proteger a los equipos son fundamentales para prevenir riesgos de daño o accesos no autorizados. Ponga ejemplos (aparte de los mencionados en el apartado) de medidas de seguridad que usted aplicaría para el mantenimiento de los equipos.

Aplicación práctica

Usted, como responsable de seguridad de su empresa, está diseñando las distintas medidas que deben aplicarse en las áreas seguras. ¿Qué finalidad tienen estas medidas? Proponga tres medidas para mantener la seguridad en estas áreas.

SOLUCIÓN

Las medidas de seguridad de las áreas seguras tienen como objetivo evitar el acceso físico no autorizado y los daños o intromisiones en las instalaciones y a la información de la organización.

Tres posibles medidas para mantener esta seguridad podrían ser el mantenimiento de un perímetro de seguridad, el establecimiento de controles de entrada y el aislamiento de las zonas de carga y entrega respecto a las áreas seguras.

La información es un activo muy valioso en cualquier organización y más en un mundo globalizado en el que esta puede circular por los cinco continentes en cuestión de segundos.

La norma ISO/IEC 27002 es una guía de buenas prácticas en la que se incluye una serie de medidas y controles de seguridad que las organizaciones deben tener en cuenta para que se elaboren, implanten y difundan (evaluación de riesgos, seguridad en los recursos humanos, gestión de los activos, etc.). Es necesario establecer un nivel adecuado de seguridad física tanto en las áreas seguras de una organización como en los equipos que forman parte de ella.

Además de tener en cuenta las recomendaciones de la normativa ISO/IEC 27002, una organización debe saber cómo poder integrar las tecnologías de la información en todos sus procesos. Para ello está la Biblioteca de Infraestructura de Tecnologías de Información (ITIL), un conjunto de buenas prácticas que tiene como objetivo ayudar a alcanzar una buena gestión de los servicios de las tecnologías de la información.

Aparte de una correcta integración de las tecnologías de la información en los procesos de una organización, hay que ser especialmente meticuloso con los datos de carácter personal que se puedan tratar, ya que la protección de los datos personales es un derecho fundamental que tienen las personas, reflejado en la Constitución española. La norma que protege este derecho es la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, que detalla todos los derechos que tienen los individuos sobre sus datos personales y qué tipo de tratamiento y protección deben recibir según su grado de intimidad.

Ejercicios de repaso y autoevaluación

1. Indique qué normativa ISO se corresponde con las siguientes definiciones:

1 Estándar para la seguridad de la información (también se considera una guía de buenas prácticas) en la que se incluyen los distintos objetivos de control y controles recomendados para mantener un nivel de seguridad de la información óptimo.

2 Manual de buenas prácticas que incluye fundamentalmente el vocabulario que se va a utilizar en las normas incluidas en toda la serie para una mayor comprensión de las mismas.

3 Manual de buenas prácticas en el que se incluyen los requisitos necesarios de los sistemas de gestión de seguridad de la información.

2. ¿Cuál de las siguientes secciones no forma parte de la norma ISO/IEC 27002?

1 Política de seguridad.

2 Gestión de archivos.

3 Seguridad física y del entorno.

4 Política de privacidad.

3. Relacione las siguientes definiciones con los conceptos que se describen a continuación:

1 Evento o serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.

2 Cualquier sistema, servicio o infraestructura de procesamiento de la información.

3 Preservación de la confidencialidad, integración y disponibilidad de la información. También puede involucrar otras propiedades como la autenticidad, responsabilidad, no repudiación y confiabilidad.

1 Seguridad de la información.

2 Incidente de la seguridad de la información.

3 Medios de procesamiento de la información.

4. ¿Qué diferencias fundamentales hay entre análisis del riesgo, evaluación del riesgo y tratamiento del riesgo? Descríbalas.

5. Complete la siguiente fase:

El objetivo del apartado de gestión de __________ de la norma ISO/27002 es conseguir y mantener una protección adecuada de los activos de la organización (la información es considerada un activo __________ de esta). Para ello, es necesario realizar un __________ de todos los activos de la organización.

6. El ciclo de vida del servicio está compuesto por una serie de fases. ¿Cuántas fases son y qué nombre tienen? Menciónelas por orden.

7. Indique a qué fase del ciclo de vida del servicio corresponde la siguiente definición: “Fase en la que se define el servicio que se va a prestar, la tipología de clientes a la que se va a destinar y en qué mercados se va a prestar”.

8. ¿Cuál de las siguientes casuísticas no se rige por la Ley de Protección de Datos de Carácter Personal (LOPD)?