Guía de Implementación del Marco de Ciberseguridad 5.0

SF.2 Implementar controles ambientales en los centros de datos y áreas relacionadas

Requisito SF.2Implementar controles ambientales en los centros de datos y áreas relacionadas
ObjetivoGarantizar la continuidad de las operaciones y reducir los efectos causados por desastres humanos o naturales a través de la implementación de controles ambientales en los centros de datos y áreas relacionadas (por ejemplo, recinto donde se almacenan los respaldos).
Controles

Nivel 1

  • SF.2-1: están identificados los riesgos ambientales que pueden afectar al centro de procesamiento de datos.
  • SF.2-2: existen medidas de control del medio ambiente físico en los centros de procesamiento de datos.

Nivel 2

  • SF.2-3: están instalados sistemas de detección y extinción de incendios con mantenimiento periódico.
  • SF.2-4: se implementan herramientas automatizadas que apoyan el monitoreo de los controles relacionados al medio ambiente físico.
  • SF.2-5: está implementado un sistema de climatización que regula la temperatura y humedad.

Nivel 3

  • SF.2-6: la política de seguridad del equipamiento incluye medidas ambientales.
  • SF.2-7: se cuenta con un procedimiento documentado de monitoreo de los controles ambientales. Incluye el uso de herramientas automatizadas.

Nivel 4

  • SF.2-8: los controles ambientales se revisan periódicamente y se ajustan según las nuevas condiciones climáticas y tecnológicas.
  • SF.2-9: se realizan actividades de control interno para verificar el cumplimiento de la política y procedimientos asociados.
  • SF.2-10: los resultados del monitoreo son utilizados para la realización de las lecciones aprendidas, las mismas son utilizadas para mejorar los procedimientos relacionados.
Guía de implementación

Aclaraciones sobre los controles ambientales
Se debe contar con sistema de detección y extinción de incendios. Éste debe contar con mantenimiento periódico que asegure su correcto funcionamiento. En caso de incendio, el fuego no debe traspasar la barrera física del centro de procesamiento de datos por el mayor tiempo posible.

El sistema de climatización debe implementarse con varias unidades de aire acondicionado cuya capacidad de refrigeración combinada mantenga constantes la temperatura y la humedad relativa a las condiciones de diseño del espacio crítico, incluso en caso de fallo de al menos una unidad de aire acondicionado. 

Los activos de centro de procesamiento de datos están diseñados para funcionar en un ambiente controlado de temperatura y humedad. Dadas las condiciones climáticas de Uruguay y sumado a que el equipamiento disipa importantes cantidades de calor, es necesario contar con sistemas de aire acondicionado para mantener la temperatura controlada en las condiciones de diseño. Del mismo modo, la humedad del ambiente también deberá mantenerse dentro de valores controlados.

En los casos donde el centro de procesamiento de datos sea en la nube, todos los controles deberán estar cubiertos por el proveedor, debiendo presentar certificaciones o constancias que avalen esto.

Instituciones de salud

El control ambiental de los recintos donde se cuenta con equipamiento informático y/o equipamiento médico debe planificarse considerando el ambiente específico del área salud.

Existe equipamiento que debe ser protegido, por ejemplo, contra emisiones electromagnéticas.

A su vez todo equipo que se utilice para procesar o almacenar información debe protegerse del equipamiento médico que pueda afectarlo y provocar, por ejemplo, fallos o indisponibilidad de los sistemas. 

Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Habilitación de bomberos. Contratos con proveedores (alarmas, aire acondicionado, etc.).
  • Protección ambiental (alarma, extintores, sistemas de extinción, aire acondicionado, etc.).
  • Ubicación de la sala de cómputo y la sala de energía.
  • Procedimiento de monitoreo de los controles ambientales.
  • Política de seguridad del equipamiento.
  • Registros de actividades de control interno del procedimiento.
Normativa asociadaNo aplica

Etiquetas