Objetivo | Proteger el equipamiento, tanto dentro como fuera de los centros de datos, mediante la definición de controles, políticas y procedimientos de operación segura y acceso controlado. |
Controles | Nivel 1 - SF.4-1: todos los dispositivos con información sensible disponen de barreras físicas que impiden su extracción o manipulación no autorizada (cerraduras, tapas de seguridad, sensores de apertura, etc.).
- SF.4-2: al recibir equipos nuevos se inspeccionan, y documenta el estado de los sellos o empaques de fábrica, registrando cualquier indicio de apertura o daño.
Nivel 2 - SF.4-3: se deshabilitan los puertos no utilizados (USB, serie, módulos de expansión, etc.) en los dispositivos del centro de procesamiento de datos.
- SF.4-4: se instalan sellos o cintas de seguridad con código único en los puntos de acceso al interior de los chasis, de manera que cualquier manipulación quede registrada.
- SF.4-5: los dispositivos de usuario final están configurados para bloquear automáticamente la sesión tras un máximo de 15 minutos, o menos, de inactividad.
- SF.4-6: se implementa el cierre automático de sesión después de 30 minutos sin actividad, o menos, en los dispositivos de usuario final.
Nivel 3 - SF.4-7: esta formalmente definida una política de seguridad del equipamiento que establece lineamientos para la protección física, manejo cuando esté los equipos estén sin supervisión, entre otros puntos.
- SF.4-8: existe un procedimiento documentado de respuesta a eventos de manipulación detectada, que incluye la investigación inicial y evaluación de posibles compromisos de integridad.
- SF.4-9: existe un procedimiento documentado para la seguridad del equipamiento, que describa las configuraciones preventivas y las acciones de respuesta ante incidentes o situaciones de riesgo, incluyendo escenarios como la detección de equipos sin supervisión.
Nivel 4 - SF.4-10: se cuenta con un proceso de control interno para verificar el cumplimiento de los procedimientos de seguridad del equipamiento y documentar hallazgos.
- SF.4-11: se realiza una revisión periódica de los procedimientos y de las medidas de seguridad implementadas en el equipamiento, incorporando ajustes derivados de incidentes, no conformidades y oportunidades de mejora.
|
Guía de implementación | Acceso a equipos desatendidos Se debe informar a todos los usuarios acerca de las políticas y procedimientos de seguridad necesarios para el manejo adecuado de equipos desatendidos. Esto incluye la obligación de finalizar sesiones activas al concluir sus tareas, utilizando mecanismos de bloqueo eficientes, tales como el uso de contraseñas. Además, se deben configurar para realizar el bloqueo de sesión automática en caso de inactividad. Esto se complementa con la ocultación de información visible en la pantalla mediante un protector de pantalla, el cual se activa tras 15 minutos de inactividad y cierre de sesión automático después de 30 minutos sin actividad. Por último, se implementan controles de tiempo de conexión, incluyendo intervalos de tiempo predeterminados y la necesidad de reautenticación periódica para aplicaciones que manejen datos sensibles, utilizadas desde ubicaciones de alto riesgo, como áreas públicas o externas fuera del control de seguridad de la organización. Política de seguridad del equipamiento Debe definirse una política de seguridad del equipamiento. Dicha política puede contener, entre otros, los siguientes puntos: medidas de protección y ubicación del equipamiento crítico de la organización, controles para la protección de amenazas físicas y/o ambientales, mecanismos de monitoreo de condiciones ambientales, medidas para el manejo del equipamiento fuera de las instalaciones de la organización, etc. |
Instituciones de salud | Seguridad del equipamiento de los centros de datos y equipamiento médico Es importante considerar especialmente la seguridad física del equipamiento, no solamente de los centros de datos y áreas relacionadas, sino también en las áreas de atención médica donde pueden existir equipos que, por razones de atención al usuario, puedan quedar expuestos y desatendidos. Por lo tanto, es necesario que se cuente con medidas de mitigación para estas situaciones como una política de pantalla y escritorios limpios que, entre otros temas, procure que cada vez que un equipo queda desatendido, por ejemplo, sea bloqueado. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría | - Registro de deshabilitación de puertos no utilizados (USB, serie, módulos de expansión) en los dispositivos del centro de procesamiento de datos (checklists, informes técnicos o fotografías).
- Inventario de dispositivos sensibles con detalle de barreras físicas implementadas (cerraduras, tapas de seguridad, sensores de apertura).
- Actas o registros de recepción de equipos nuevos, inspección de sellos/empaques y reporte de cualquier anomalía.
- Configuraciones de bloqueo automático de sesión y cierre automático por inactividad en dispositivos de usuario final (políticas, capturas de pantalla, evidencia técnica).
- Política de seguridad del equipamiento formalmente aprobada y difundida.
- Procedimiento documentado de respuesta ante eventos de manipulación detectados.
- Registros de revisiones y auditorías internas sobre cumplimiento de los procedimientos de seguridad del equipamiento.
|
Normativa asociada | No aplica |