SF 2 Implementar controles ambientales en los centros de datos y áreas relacionadas. | Agesic

Pasar al contenido principal

SF 2 Implementar controles ambientales en los centros de datos y áreas relacionadas.

Objetivo	Garantizar la continuidad de las operaciones y reducir los efectos causados por desastres humanos o naturales a través de la implementación de controles ambientales en los centros de datos y áreas relacionadas (por ejemplo, recinto donde se almacenan los respaldos).
Alcance	Cualquier organización
Referencia ISO 27001	A.11.1.4, A.11.2.1, A.11.2.3
Guía de implementación	Política de seguridad del equipamiento Debe definirse una política de seguridad del equipamiento. Dicha política puede contener, entre otros, los siguientes puntos: medidas de protección y ubicación del equipamiento crítico de la organización, controles para la protección de amenazas físicas y/o ambientales, mecanismos de monitoreo de condiciones ambientales, medidas para el manejo del equipamiento fuera de las instalaciones de la organización, etc. Controles ambientales Se puede tomar como base el apartado del decreto 92/014: “Arquitectura y Estructura”: “Debe prever protección contra los principales eventos físicos, intencionales o accidentales, naturales o artificiales, que podrían causar una falla en el mismo. Es requerido control de acceso físico, muros exteriores sin ventana, seguridad perimetral, CCTV y protección contra incendio.” Aclaraciones sobre los controles ambientales Se debe contar con sistema de detección y extinción de incendios. Éste debe contar con mantenimiento periódico que asegure su correcto funcionamiento. En caso de incendio, ya sea dentro o fuera del centro de datos, el fuego no debe traspasar la barrera física del centro de datos por el mayor tiempo posible. El sistema de climatización debe implementarse con varias unidades de aire acondicionado cuya capacidad de refrigeración combinada mantenga constantes la temperatura y la humedad relativa a las condiciones de diseño del espacio crítico, incluso en caso de fallo de al menos una unidad de aire acondicionado. Los activos de centro de datos están diseñados para funcionar en un ambiente controlado de temperatura y humedad. Dadas las condiciones climáticas de Uruguay y sumado a que el equipamiento disipa importantes cantidades de calor, es necesario contar con sistemas de aire acondicionado para mantener la temperatura controlada en las condiciones de diseño. Del mismo modo, la humedad del ambiente también deberá mantenerse dentro de valores controlados.
Administración Central	Debe cumplir con lo establecido en el decreto 92/014.
Instituciones de salud	El control ambiental de los recintos donde se cuenta con equipamiento informático y/o equipamiento médico debe planificarse considerando el ambiente específico del área salud. Existe equipamiento que debe ser protegido, por ejemplo, contra emisiones electromagnéticas. A su vez todo equipo que se utilice para procesar o almacenar información debe protegerse del equipamiento médico que pueda afectarlo y provocar, por ejemplo, fallos o indisponibilidad de los sistemas.
Guía de evidencia para auditoría	Habilitación de bomberos. Contratos con proveedores (alarmas, aire acondicionado, etc.). Protección ambiental (alarma, extintores, sistemas de extinción, aire acondicionado, etc.). Ubicación de la sala de cómputo y la sala de energía.
Normativa asociada	Decreto 92/014

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay