Áreas seguras
- Se deberían definir y utilizar perímetros de seguridad para la protección de las áreas que contienen información y las instalaciones de procesamiento de información sensible o crítica.
- Las áreas seguras deberían estar protegidas mediante controles de entrada adecuados para garantizar que solo el personal autorizado dispone de permiso de acceso.
- Se debería diseñar y aplicar un sistema de seguridad física a las oficinas, salas e instalaciones de la organización.
- Se debería diseñar y aplicar una protección física contra desastres naturales, ataques maliciosos o accidentes.
- Se deberían diseñar y aplicar procedimientos para el desarrollo de trabajos y actividades en áreas seguras.
- Se deberían controlar puntos de acceso a la organización como las áreas de entrega y carga/descarga (entre otros) para evitar el ingreso de personas no autorizadas a las dependencias aislando estos puntos, en la medida de lo posible, de las instalaciones de procesamiento de información.
Seguridad de los equipos
- Los equipos se deberían emplazar y proteger para reducir los riesgos de las amenazas y peligros ambientales y de oportunidades de acceso no autorizado.
- Los equipos deberían estar protegidos contra cortes de luz y otras interrupciones provocadas por fallas en los suministros básicos de apoyo.
- Los cables eléctricos y de telecomunicaciones que transportan datos o apoyan a los servicios de información se deberían proteger contra la intercepción, interferencia o posibles daños.
- Mantenimiento de los equipos: Los equipos deberían mantenerse adecuamente con el objeto de garantizar su disponibilidad e integridad continuas.
- Los equipos, la información o el software no se deberían retirar del sitio sin previa autorización.
- Se debería aplicar la seguridad a los activos requeridos para actividades fuera de las dependencias de la organización y en consideración de los distintos riesgos.
- Se deberían verificar todos los equipos que contengan medios de almacenamiento para garantizar que cualquier tipo de datos sensibles y software con licencia se hayan extraído o se hayan sobrescrito de manera segura antes de su eliminación o reutilización.
- Los usuarios se deberían asegurar de que los equipos no supervisados cuentan con la protección adecuada.
- Se debería adoptar una política de puesto de trabajo despejado para documentación en papel y para medios de almacenamiento extraíbles y una política de monitores sin información para las instalaciones de procesamiento de información.