Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• SF.1-1: están identificadas las áreas que requieren control de acceso físico.
• SF.1-2: están implementados los controles de acceso físico a las instalaciones de los centros de procesamiento de datos.
• SF.1-3: se gestionan (evalúan, autorizan y registran) las autorizaciones de acceso al centro de procesamiento de datos.

Nivel 2

• SF.1-4: están establecidos perímetros de seguridad en el centro de procesamiento de datos y las áreas seguras.
• SF.1-5: están implementados controles de acceso físico para otras áreas definidas como seguras.
• SF.1-6: se gestionan (evalúan, autorizan y registran) las autorizaciones de acceso a las áreas definidas como seguras.
• SF.1-7: se lleva un registro de accesos físicos al centro de procesamiento de datos y áreas seguras.

Nivel 3

• SF.1-8: existe una política de control de acceso físico formalmente aprobada.
• SF.1-9: se revisan de forma reactiva los registros de acceso a las diferentes áreas.
• SF.1-10: las aplicaciones que manejan información sensible requieren reautenticación periódica, especialmente cuando se accede desde ubicaciones de alto riesgo.

Nivel 4

• SF.1-11: está establecido un procedimiento de revisión periódica de los accesos al centro de procesamiento de datos y a las áreas seguras.
• SF.1-12: se realizan actividades de control interno para verificar el cumplimiento de los procedimientos establecidos.
• SF.1-13: se aplican controles de tiempo de conexión y condiciones de acceso desde ubicaciones públicas o externas a la organización.

Aclaraciones sobre arquitectura y estructura
Los activos críticos de información deben estar alojados en centros de datos cuya estructura y la del edificio que la contiene sea suficientemente robusta para soportar los eventos climáticos habituales en Uruguay, como ser lluvias, tormentas eléctricas, vientos fuertes. Los materiales de dicha estructura no pueden ser inflamables ni livianos. El centro de procesamiento de datos no podrá estar localizado en un sitio expuesto a inundaciones. Tampoco puede estar ubicado en zona donde el acceso se pueda ver afectado por condiciones naturales o humanas.

El sistema estructural del edificio debe ser de acero o de hormigón. Como mínimo, la estructura del edificio debe estar diseñada para soportar cargas de viento de acuerdo con los códigos de construcción aplicables para la ubicación en cuestión y de conformidad con las disposiciones de las estructuras designadas como instalaciones esenciales (por ejemplo, construcción de Clasificación III del Código Internacional de la Construcción).
Los materiales de pisos, puertas y mamposterías tampoco podrán ser inflamables. Se recomienda además el uso de piso técnico elevado. Se debe contar con un mantenimiento adecuado de la estructura que impida la filtración de humedades hacia el interior de la misma.

Las instalaciones eléctricas deben estar protegidas de forma tal que evite el contacto no deseado con humanos. Es deseable que la sala de energía esté separada de la sala de cómputo. Todo esto se complementa con el sistema de Video Vigilancia que debe existir y debe poder registrar toda actividad dentro del recinto.

Aclaraciones sobre acceso físico
Se debe contar con sistema autónomo de control de acceso, con lectores de tarjetas magnéticas, identificación por Radiofrecuencia (RFID) o sistemas biométricos. Estos sistemas deben ser administrados remotamente y deben mantener información histórica de accesos al centro de procesamiento de datos.

El acceso al Centro de procesamiento de datos deberá estar asegurado y ser restringido. Para ello es requisito que los muros exteriores al recinto no tengan ventanas y se cuente con seguridad perimetral. Además, debe contar con sistemas cerrados de TV.

Los activos del centro de procesamiento de datos deben estar protegidos con barreras físicas para prevenir daños, ya sea con o sin intención. Para esto se sugiere el uso de racks con puertas y cerraduras.

Política de control de acceso físico y procedimientos
Se debe contar con una política de control de acceso físico e implementar todos los procedimientos que se entiendan necesarios para su implementación.

Registro de accesos físicos
Se debe contar con un registro de visitantes, indicando entre otros datos, el motivo de la visita. 
Los registros de accesos físicos al centro de procesamiento de datos y áreas relacionadas o seguras deben revisarse en forma periódica y el procedimiento de revisión debe estar documentado.

En los casos donde el centro de procesamiento de datos sea en la nube, todos los controles deberán estar cubiertos por el proveedor, debiendo presentar certificaciones o constancias que avalen esto.

Perímetros 
Si bien es necesaria la definición de perímetros, seguramente existan casos en donde no sea del todo posible evitar que los usuarios ingresen a recintos donde existe equipamiento crítico conectado, por ejemplo, a la red de la Institución y con acceso o conexión a los sistemas de historias clínicas, dado que posiblemente ese equipamiento se encuentre relacionado al tratamiento de los usuarios o a las consultas médicas.

Política de control de acceso físico
En la política de control de acceso físico, se debe contemplar el control de acceso al equipamiento médico.

Dispositivos médicos móviles
Es recomendable contar con un recinto, con control de acceso, donde se pueda almacenar los dispositivos médicos móviles (por ejemplo, bombas de infusión inalámbricas) cuando no estén siendo utilizados.

• Política de control de acceso físico.
• Procedimientos de control de acceso físico incluyendo la gestión de autorizaciones.
• Listado de áreas seguras y personas autorizadas a acceder.
• Registros de accesos físicos en áreas seguras para el período auditado.
• Políticas y procedimientos de seguridad necesarios que incluyan manejo de equipos sin supervisión.
• Procedimiento de revisión de accesos físicos al centro de procesamiento de datos y áreas seguras.
• Registros de actividades de control interno de los procedimientos.