Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Arquitectura y estructura de los centros de datos

Con relación a lo que sería la definición del perímetro de seguridad física, según se indica en el decreto 92/014, Arquitectura y Estructura:
“El sistema estructural del edificio debe ser de acero o de hormigón. Como mínimo, la estructura del edificio debe estar diseñada para soportar cargas de viento de acuerdo con los códigos de construcción aplicables para la ubicación en cuestión y de conformidad con las disposiciones de las estructuras designadas como instalaciones esenciales (por ejemplo, construcción de Clasificación III del Código Internacional de la Construcción). 
Debe prever protección contra los principales eventos físicos, intencionales o accidentales, naturales o artificiales, que podrían causar una falla en el mismo. 
Es requerido control de acceso físico, muros exteriores sin ventana, seguridad perimetral, CCTV y protección contra incendio”. 

Aclaraciones sobre arquitectura y estructura

Los activos críticos de información deben estar alojados en centros de datos cuya estructura y la del edificio que la contiene sea suficientemente robusta para soportar los eventos climáticos habituales en Uruguay, como ser lluvias, tormentas eléctricas, vientos fuertes. Los materiales de dicha estructura no pueden ser inflamables ni livianos. El centro de datos no podrá estar localizado en un sitio expuesto a inundaciones. Tampoco puede estar ubicado en zona donde el acceso se pueda ver afectado por condiciones naturales o humanas. 
El sistema estructural del edificio debe ser de acero o de hormigón. Como mínimo, la estructura del edificio debe estar diseñada para soportar cargas de viento de acuerdo con los códigos de construcción aplicables para la ubicación en cuestión y de conformidad con las disposiciones de las estructuras designadas como instalaciones esenciales (por ejemplo, construcción de Clasificación III del Código Internacional de la Construcción).
Los materiales de pisos, puertas y mamposterías tampoco podrán ser inflamables. Se recomienda además el uso de piso técnico elevado. Se debe contar con un mantenimiento adecuado de la estructura que impida la filtración de humedades hacia el interior de la misma.

Las instalaciones eléctricas deben estar protegidas de forma tal que evite el contacto no deseado con humanos. Es deseable que la sala de energía esté separada de la sala de cómputo. Todo esto se complementa con el sistema de Video Vigilancia que debe existir y debe poder registrar toda actividad dentro del recinto.

Acceso físico

Con relación al control de acceso físico, en el decreto 92/014, Arquitectura y Estructura, se menciona aspectos de control de acceso:
“Es requerido control de acceso físico, muros exteriores sin ventana, seguridad perimetral, CCTV y protección contra incendio”.

Se debe definir una política y procedimiento de control de acceso físico que incluya su gestión de autorizaciones. 

Aclaraciones sobre acceso físico

Tal como se establece en las aclaraciones al decreto 92/014, se debe contar con sistema autónomo de control de acceso, con lectores de tarjetas magnéticas, identificación por Radiofrecuencia (RFID) o sistemas biométricos. Estos sistemas deben ser administrados remotamente y deben mantener información histórica de accesos al centro de datos. 
El acceso al Centro de Datos deberá estar asegurado y ser restringido. Para ello es requisito que los muros exteriores al recinto no tengan ventanas y se cuente con seguridad perimetral. Además, debe contar con sistemas cerrados de TV.
Los activos del centro de datos deben estar protegidos con barreras físicas para prevenir daños, ya sea con o sin intención. Para esto se sugiere el uso de racks con puertas y cerraduras.

Política de control de acceso físico y procedimientos

Se debe contar con una política de control de acceso físico e implementar todos los procedimientos que se entiendan necesarios para su implementación.

Registro de accesos físicos

Se debe contar con un registro de visitantes, indicando entre otros datos, el motivo de la visita. 
Los registros de accesos físicos al centro de datos y áreas relacionadas o seguras deben revisarse en forma periódica y el procedimiento de revisión debe estar documentado.

Seguridad del equipamiento de los centros de datos y equipamiento médico
Es importante considerar especialmente la seguridad física del equipamiento, no solamente de los centros de datos y áreas relacionadas, sino también en las áreas de atención médica donde pueden existir equipos que, por razones de atención al usuario, puedan quedar expuestos y desatendidos. Por lo tanto, es necesario que se cuente con medidas de mitigación para estas situaciones como una política de pantalla y escritorios limpios que, entre otros temas, procure que cada vez que un equipo queda desatendido, por ejemplo, sea bloqueado.

Perímetros 

Si bien es necesaria la definición de perímetros, seguramente existan casos en donde no sea del todo posible evitar que los usuarios ingresen a recintos donde existe equipamiento crítico conectado, por ejemplo, a la red de la Institución y con acceso o conexión a los sistemas de historias clínicas, dado que posiblemente ese equipamiento se encuentre relacionado al tratamiento de los usuarios o a las consultas médicas.

Política de control de acceso físico

En la política de control de acceso físico, se debe contemplar el control de acceso al equipamiento médico.

Dispositivos médicos móviles

Es recomendable contar con un recinto, con control de acceso, donde se pueda almacenar los dispositivos médicos móviles (por ejemplo, bombas de infusión inalámbricas) cuando no estén siendo utilizados.

• Política de control de acceso físico. 
• Procedimientos de control de acceso físico incluyendo la gestión de autorizaciones.
• Listado de áreas seguras y personas autorizadas a acceder.
• Registros de accesos físicos en áreas seguras para el período auditado.