1 de 16

Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba

SEGURIDAD DE LA INFORMACION


NORMAS ISO 27000

CAPITULO: PROTECCIN FSICA
Y AMBIENTAL


OBJETIVO: Concienciacin de su
importancia e inclusin en un Sistema de
Gestin de Seguridad de la Informacin.
(SGSI)


Fecha: 6 de noviembre de 2009


Autor: Leonardo Ramos


GERENCIA GENERAL DE TECNOLOGIAS DE LA INFORMACION
AGENCIA DE RECAUDACION DE LA PROVINCIA DE BUENOS AIRES
Arba
2 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba

Seguridad de la informacin
Introduccin
La Seguridad de la Informacin tiene como fin la proteccin de la informacin y de los sistemas
de informacin de una amplia variedad de amenazas como por ejemplo: acceso, uso,
divulgacin, interrupcin o destruccin no autorizada. Su proteccin tiene como objeto asegurar
la continuidad del negocio, minimizar los riesgos (combinacin de la probabilidad de ocurrencia
de un evento y sus consecuencias) y maximizar el retorno de la inversin y las oportunidades
del negocio.
La seguridad informtica puede dividirse en tres disciplinas: seguridad fsica, seguridad
ambiental y seguridad lgica, las cuales deben actuar coordinadamente evaluando y tratando
los riesgos para implementar medidas con el fin de minimizar el impacto ante un incidente de
seguridad de la informacin (Indicado por uno o serie de eventos de seguridad de la
informacin no deseados o no esperados que pueden tener una probabilidad significativa de
comprometer las operaciones del negocio y amenazar la seguridad de la informacin).
Si bien los trminos seguridad de la informacin y seguridad informtica tienen distintos
significados, es necesario que converjan con el fin de proteger la Confidencialidad, Integridad y
Disponibilidad de la informacin. Adems, involucran otras propiedades a tener en cuenta
como ser: fiabilidad, no repudio (irrefutable su uso y operacin), ser auditada, responsabilidad
con obligacin de reportar, entre otros, independientemente de la forma que adquiera o los
medios por las cuales se distribuye o almacena la informacin: cintas, papel, audio u otras
alternativas, la informacin siempre debe estar protegida en forma adecuada.
Adems, involucran la implementacin de estrategias que cubran los procesos en donde la
informacin es el activo (aquello que tiene valor para la organizacin) primordial. Estas
estrategias deben tener como punto primordial el establecimiento de polticas, controles de
seguridad, tecnologas, procedimientos y actividades para detectar amenazas que puedan
explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger
y salvaguardar tanto informacin como tambin los sistemas que la almacenan y administran.
Cabe mencionar que la seguridad es un proceso continuo de mejora por lo que las polticas y
controles establecidos para la proteccin de la informacin debern revisarse y adecuarse, de
ser necesario, ante los nuevos riesgos que surjan, a fin de tomar las acciones que permitan
reducirlos y en el mejor de los casos eliminarlos.
Sistema de Gestin de la Seguridad de la
Informacin
Parte del sistema de gestin global, basada en un enfoque hacia los riesgos de un negocio o
servicio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y
mejorar la seguridad de la informacin.

3 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
NORMAS ISO 27000
Introduccin
Las normas ISO 27000 son una serie de estndares publicados por la Organizacin
Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).
El representante de la Argentina en la ISO, es el Instituto Argentino de Normalizacin y
Certificacin (IRAM), en su carcter de Organismo Argentino de Normalizacin cuya finalidad
es establecer normas tcnicas adems de propender el conocimiento y la aplicacin de la
normalizacin como base de la calidad, promoviendo las actividades de certificacin de
productos, y sistemas de la calidad para brindar seguridad al consumidor.
Las normas IRAM son el fruto de consenso tcnico entre los diversos sectores involucrados,
los que a travs de sus representantes han intervenido en los Organismos de estudio de
Normas correspondientes.
La serie 27000 contiene las mejores prcticas recomendadas en Seguridad de la informacin
para desarrollar, implementar y mantener los Sistemas de Gestin de la Seguridad de la
Informacin (SGSI).

ISO/IEC
27000
Esta norma proporciona una visin general de las normas que componen
la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad
de la Informacin, una breve descripcin del proceso Plan-Do-Check-Act y
trminos y definiciones que se emplean en toda la serie 27000.
IRAM-ISO/IEC
27001:2007
Es la norma principal de requisitos del sistema de gestin de seguridad de
la informacin.
Tiene su origen en la BS 7799-2:2002. Es la norma que certifica los
auditores externos para un SGSI de las organizaciones. Fue publicada por
ISO el 15 de Octubre de 2005 y sustituye a la BS 7799-2, y por IRAM en el
ao 2007, habindose establecido unas condiciones de transicin para
aquellas empresas certificadas en esta ltima.
La norma contiene un anexo que resume los objetivos de control y
controles de la norma IRAM-ISO/IEC 27002:2008.
IRAM-ISO/IEC
27002:2008
Es una gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la informacin.
La ISO/IEC 27002 (nueva denominacin a partir del 1 de J ulio 2007 para
ISO 17799:2005, publicada por IRAM en el ao 2008), para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a
pesar de no ser obligatoria la implementacin de todos los controles
enumerados en dicho anexo, la organizacin deber argumentar
slidamente la no aplicabilidad de los controles no implementados.
No es certificable. Contiene 39 objetivos de control y 133 controles,
agrupados en 11 captulos. Como se ha mencionado en su apartado
correspondiente, la norma IRAM-ISO/ISO 27001 contiene un anexo que
resume los controles de IRAM-ISO/IEC 27002
4 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
ISO/IEC
27003
En fase de estudio en IRAM. Contendr una gua de implementacin de
SGSI e informacin acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases.
Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de
documentos publicados por BSI a lo largo de los aos con
recomendaciones y guas de implantacin.
ISO/IEC
En fase de estudio en IRAM. Esta norma proporciona una gua para el
desarrollo y uso de mediciones y medidas para evaluar la efectividad de
un Sistema de Gestin de Seguridad de la Informacin (SGSI) y controles
o grupos de control, segn lo especificado en IRAM-ISO/IEC 27001.
27004
Esta Norma Internacional asume que el punto de partida para el desarrollo
de medidas y mediciones es un entendimiento fehaciente de los riesgos de
seguridad de la informacin que enfrenta una organizacin, y que las
actividades de evaluacin de riesgo de la organizacin, se han realizado
de manera correcta (por ejemplo basadas en la norma ISO/IEC 27005),
como lo requiere la norma IRAM-ISO/IEC 27001. El Programa de Medicin
de la Seguridad de la Informacin, fomentar a la organizacin a proveer
informacin confiable a las partes interesadas relevantes, concernientes a
sus riesgos de seguridad de la informacin, y el estado del SGSI
implementado para manejar esos riesgos.
ISO/IEC
27005
Establece las directrices para la gestin del riesgo en la seguridad de la
informacin. Apoya los conceptos generales especificados en la norma
ISO/IEC 27001, y est diseada para ayudar a la aplicacin satisfactoria
de la seguridad de la informacin basada en un enfoque de gestin de
riesgos. El conocimiento de los conceptos, modelos, procesos y trminos
descritos en la norma IRAM-ISO/IEC 27001 e IRAM-ISO/IEC 27002, es
importante para un completo entendimiento de la norma ISO/IEC
27005:2008 que es aplicable a todo tipo de organizaciones (por ejemplo,
empresas comerciales, agencias gubernamentales, organizaciones sin
fines de lucro) que tienen la intencin de gestionar los riesgos que puedan
comprometer la organizacin de la seguridad de la informacin. Su
publicacin reemplaza las normas ISO/IEC TR 13335-3:1998 y ISO/IEC
TR 13335-4:2000.
Anlisis del riesgo + Evaluacin del riesgo + Tratamiento del riesgo
+ Aceptacin del riesgo + Comunicacin del riesgo + Monitorizacin y
Revisin del riesgo = Gestin del Riesgo.




5 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
IRAM-ISO/IEC 27001:2007
Es la nica norma internacional certificable que define los requisitos para un Sistema de
Gestin de la Seguridad de la Informacin (SGSI). La norma se ha concebido para garantizar la
seleccin de controles de seguridad adecuados y proporcionales a los riesgos identificados,
ello ayuda a proteger los activos de informacin y otorga confianza a cualquiera de las partes
interesadas, sobre todo a los clientes y usuarios. La norma adopta un enfoque basado en
procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un
SGSI de una organizacin.
La norma cubre a todo tipo de organizaciones. Los requisitos establecidos son genricos y la
intencin es que sean aplicables a todas las organizaciones como por ejemplo: Empresas
comerciales, agencias gubernamentales, organizaciones sin nimo de lucro e
independientemente de su tamao (pequea, mediana o gran empresa), tipo y naturaleza.
ESTRUCTURA GENERAL
Introduccin
Generalidades e introduccin al mtodo: Plan (planificar) Do (hacer) Check (verificar) Act
(actuar) - (PDCA). Tambin conocido como ciclo de Deming.
Plan: Disear o revisar Procesos que soportan Servicios de TI.
Do: Implementacin del Plan y gestin de los Procesos.
Check: Medicin de los Procesos y de los Servicios de TI, comparacin con los
Objetivos marcados y generacin de informes.
Act: Planificacin e implementacin de Cambios para la mejora de los Procesos.
CICLO DE DEMING



Campo de aplicacin
Se especifica el objetivo, la aplicacin y el tratamiento de exclusiones.
Referencias normativas
Otras normas que sirven de referencia como IRAM-ISO/IEC 27002:2008
6 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
Trminos y definiciones
Breve descripcin de los trminos ms usados en la norma.
Sistema de Gestin de la Seguridad de la Informacin
Cmo establecer, implementar, monitorizar, revisar, mantener y mejorar el SGSI;
requerimientos de documentacin y su control.













Responsabilidades de la Direccin
En cuanto a compromiso con el SGSI, provisin de recursos y formacin y concienciacin del
personal.
Auditoras internas del SGSI
Cmo realizar las auditoras internas de control.
Revisin del SGSI por la direccin
Cmo gestionar el proceso de revisin constante del SGSI.



7 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba

Mejora de SGSI
Mejora continua, acciones preventivas y correctivas.


Resumen de controles
Anexo A enumera el dominio, los objetivos de control y controles que se encuentran detallados
en la norma ISO/IEC 27002:2005.



8 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
Relacin con los Principios de la OCDE
Correspondencia entre los apartados de la IRAM-ISO/IEC 27001 y los principios de buen
gobierno de la. Organizacin para la Cooperacin y el Desarrollo Econmico (OCDE), es una
organizacin de cooperacin internacional, compuesta por 30 Estados miembros de los pases
ms avanzados y desarrollados del planeta, siendo apodada como club de pases ricos, cuyo
objetivo es coordinar sus polticas econmicas y sociales.
10 Estados con economas emergentes, son miembros adherentes a la declaracin y participan
en el trabajo del comit de inversiones de la OCDE, entre ellos Argentina.
Correspondencia con otras normas
Tabla de correspondencia de puntos con ISO 9001 y 14001.
Bibliografa
Normas y publicaciones de referencia.

IRAM-ISO/IEC 27002:2008
Esta norma establece directrices y principios generales para iniciar, implementar, mantener y
mejorar la gestin de la seguridad de la informacin en una organizacin.
Esta norma contiene 11 captulos de controles de seguridad que comprenden un total de 39
categoras principales y un capitulo introductorio acerca de la evaluacin de riesgos y su
tratamiento.
Los objetivos de control y controles de esta norma, deben ser implementados para satisfacer
los requerimientos identificados a travs de la evaluacin de riesgos (proceso global de anlisis
y valoracin de riesgos). Es conveniente que dicha evaluacin de riesgos identifique,
cuantifique y priorice los riesgos, en funcin de los criterios de aceptacin de riesgos y de los
objetivos de control relevantes para la organizacin. Es conveniente que estas evaluaciones de
riesgos se lleven a cabo de una manera metdica capaz de producir resultados comparables,
medibles y reproducibles.
Los objetivos de control y controles de esta norma, sirven como una gua practica para elaborar
normas de seguridad de la organizacin, y para desarrollar practicas efectivas de la gestin de
la seguridad, brindando asimismo, confianza en las actividades llevadas a cabo entre las
organizaciones. Es probable que puedan requerirse controles adicionales que no estn
incluidos en esta norma.





9 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
ESTRUCTURA GENERAL


Introduccin
Conceptos generales de seguridad de la informacin y SGSI.
Campo de aplicacin
Se especifica el objetivo de la norma.
Trminos y definiciones
Breve descripcin de los trminos ms usados en la norma.
Estructura del estndar
Descripcin de la estructura de la norma.
Evaluacin y tratamiento del riesgo
Indicaciones sobre cmo evaluar y tratar los riesgos de seguridad de la informacin.
Poltica de seguridad
Documento de poltica de seguridad y su gestin.
Aspectos organizativos para la seguridad
Organizacin interna; organizacin externa.
Gestin de activos
Responsabilidad sobre los activos; clasificacin de la informacin.
Seguridad ligada a los recursos humanos
Anterior al empleo; durante el empleo; finalizacin o cambio de empleo.
Proteccin Fsica y Ambiental
reas seguras; seguridad del equipamiento
Gestin de comunicaciones y operaciones
Procedimientos y responsabilidades de operacin; gestin de servicios de terceras partes;
planificacin y aceptacin del sistema; proteccin contra software malicioso; backup; gestin
de seguridad de redes; utilizacin de soportes de informacin; intercambio de informacin y
software; servicios de comercio electrnico; monitorizacin.


10 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba



























Control de accesos
Requisitos de negocio para el control de accesos; gestin de acceso de usuario;
responsabilidades del usuario; control de acceso en red; control de acceso al sistema
operativo; control de acceso a las aplicaciones e informaciones; informtica y conexin mvil.
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Requisitos de seguridad de los sistemas de informacin; procesamiento correcto en
aplicaciones; controles criptogrficos; seguridad de los ficheros del sistema; seguridad en los
procesos de desarrollo y soporte; gestin de vulnerabilidades tcnicas.
Gestin de incidentes de seguridad de la informacin
Comunicacin de eventos y puntos dbiles de seguridad de la informacin; gestin de
incidentes y mejoras de seguridad de la informacin.
Gestin de continuidad del negocio
Aspectos de la seguridad de la informacin en la gestin de continuidad del negocio.
Cumplimiento
Con los requisitos legales; polticas de seguridad y estndares de conformidad y conformidad
tcnica; consideraciones sobre la auditora de sistemas de informacin.
Bibliografa
Normas y publicaciones de referencia:
11 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
Descripcin del Capitulo: Proteccin Fsica y Ambiental
1 (Un) rea de Control

Seguridad Fsica y Ambiental

2 (Dos) Objetivos de control

reas Seguras
Impedir el acceso no autorizado, daos e interferencia en las instalaciones e informacin de la
organizacin.

Seguridad del Equipamiento
Impedir prdidas, daos, robos exposiciones al riesgo de los activos e interrupcin de las
actividades de la organizacin.

13 (Trece) Controles

Permetro de seguridad fsica
Controles de acceso fsico
Seguridad de oficinas, recintos e instalaciones.
Proteccin contra las amenazas externas y del ambiente
Trabajo en reas protegidas
reas de acceso pblico de entrega y de carga
Ubicacin y proteccin de equipamiento
Elementos de soporte (Instalaciones de suministro elctrico, aire acondicionado, etc.).
seguridad del cableado
Mantenimiento de los equipos
Seguridad de los equipos fuera del mbito de la organizacin
Baja segura, o reutilizacin de equipamiento.
Retiro o traslado de bienes.
Objetivos de control y controles
reas seguras

Evitar el acceso fsico no autorizado, daos o interferencia a las instalaciones y a
la informacin de la organizacin.

Se recomienda que las instalaciones de procesamiento de informacin crtica o
sensible estn ubicadas en reas seguras, protegidas en un permetro de
seguridad definido con barreras y controles de accesos fsico apropiados. Se
recomienda que estn fsicamente protegidas de accesos no autorizados, daos e
interferencias.
Es conveniente que la proteccin provista sea proporcional a los riesgos
identificados.

12 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
o de seguridad fsica.

Permetr
Control:
Se recomienda que se utilicen permetros de seguridad (barreras tales como paredes, puertas
de entrada controladas por tarjetas o escritorios de recepcin atendidos por personas) para
informacin e instalaciones del procesamiento de informacin
s de acceso fsico
proteger reas que contengan
Controle
Control:
Se recomienda que las reas seguras se resguarden con controles de acceso adecuados que
rizadas.
miento de oficinas, recintos e instalaciones.
garanticen que solo se permite el acceso a personas auto
Asegura
Control:
Se recomienda que se disee y aplique seguridad fsica para oficinas, recintos e instalaciones.
n contra amenazas externas y del ambiente. Protecci
Control:
Se recomienda que se disee y aplique medios de proteccin contra daos potenciales
causados por fuego, inundacin, terremoto, explosin, disturbios civiles y otras formas de
l hombre.
en reas protegidas.
desastre natural o provocado por e
El trabajo
Control:
Se recomienda que se disee y aplique proteccin fsica y las directrices para el trabajo en
acceso pblico, entrega y carga.
reas protegidas.
reas de
Control:
Se recomienda que se controles los puntos de acceso, como las reas de entrega y carga y
otros puntos donde personas sin autorizacin pueden llegar a entrar a las instalaciones y de se
posible, se aslen de las instalaciones de procesamiento de la informacin para evitar el acceso
dominio 7 Gestin de Activos (ver 7.1.1. Inventario de Activos)
no autorizado.
*Remite al
Control:
Se recomienda que se identifiquen claramente todos los activos y que se realice y mantenga un
ventario de los activos ms importantes. in
13 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba

Seguridad del equipamiento

Impedir prdidas, daos, robos, exposiciones al riesgo de los activos, as como
impedir la interrupcin de las actividades de la organizacin.

Se recomienda que el equipamiento se encuentre fsicamente protegido de las
amenazas fsicas y del ambiente.
Es necesaria la proteccin del equipamiento (incluyendo el que se utiliza en forma
externa, y el retiro de la propiedad) para reducir el riesgo de acceso no autorizado
a la informacin y para prevenir las perdidas o daos. Se recomienda que tambin
se considere la ubicacin y disposicin del equipamiento. Pueden requerirse
controles especiales para protegerse contra amenazas fsicas y para cuidar las
instalaciones de apoyo, tales como el suministro elctrico, y la infraestructura del
cableado.

Ubicacin y Proteccin del equipamiento
Control:
Se recomienda que el equipamiento se ubique y proteja de tal manera que se reduzcan los
riesgos ocasionados por amenazas y peligros ambientales y oportunidades de accesos no
s de Soporte
autorizados.
Elemento
Control:
Se recomienda que el equipamiento se encuentre protegido con respecto a posibles fallas en el
s fallas en los elementos de sopote.
d del cableado.
suministro de energa u otra
Segurida
Control:
Se recomienda que el cableado de energa y de telecomunicaciones que transporten datos o
in estn protegidos contra interceptaciones o daos
iento de equipos.
soporten servicios de informac
Mantenim
Control:
Se recomienda que el equipamiento reciba el correcto mantenimiento para asegurar su
isponibilidad e integridad continuas. d


14 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
d de equipos fuera del mbito de la Organizacin. Segurida
Control:
Se recomienda que se aplique la seguridad al equipamiento que este fuera del mbito de la
organizacin considerando los diferentes riesgos a los que estn expuestos.
Ver 11.7.1 (computacin y comunicacin mviles). Se recomienda que se establezca una
poltica formar y medidas de seguridad adecuada para proteger contra riesgo del uso como por
n final o reutilizacin segura del equipamiento
ejemplo: notebooks, laptos, telfonos mviles, etc.
Disposici
Control:
Se recomienda que se verifiquen todas las partes de los equipos que contengan un medio de
almacenamiento, para asegurar que cualquier dato sensible y licencia de software ha sido
acin de medios). Se recomienda que se eliminen los medios.
bienes
removido o sobrescrito previo a la disposicin.
Ver: 10.7.2. (Elimin
Retiro de
Control:
Se recomienda que el equipamiento, la informacin o el software no se retiren de las
stalaciones sin previa autorizacin.
El h h
quisitos

r
n correctamente
El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento
y la mejora.
in

Ventajas de un SGSI
ec o de certificar un SGSI puede aportar las siguientes ventajas a la organizacin:
Demuestra la garanta independiente de los controles internos y cumple los re
de gestin corporativa y de continuidad de la actividad de la organizacin.
Demuestra que se respetan las leyes y normativas que sean de aplicacin.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostra
a los clientes o usuarios que la seguridad de su informacin es primordial.
Verifica independientemente que los riesgos de la organizacin est
identificados, evaluados y gestionados al tiempo que formaliza los procesos,
procedimientos y documentacin de proteccin de la informacin.
Demuestra el compromiso de la alta gerencia de la organizacin con la seguridad de la
informacin.





15 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
Bibliografa de consulta:


NACIONAL
DPI: (Direccin Provincial de Informtica de la Provincia de Buenos Aires)
EVALUACION DE LA GERENCIA GENERAL DE TECNOL
CENTRO DE COMPUTOS. Corresponde al Expediente N
OGIAS DE LA INFORMACIN - SU CORRESPONDENCIA CON UN
2360-150029/09
delegables:
tica lgica y fsica asociada a todos los recursos de
Organismo.


-Funciones y tareas cuya responsabilidad son in
ADMINISTRACION DE LA SEGURIDAD
Disear, implementar y ejecutar los procedimientos de seguridad inform
comunicaciones, hardware, software de base y software aplicativo del
Administracin de accesos a los diferentes servicios y sistemas
Monitoreo y deteccin de intrusos en los servicios que presta.
MECON (Ministerio de Economa y Finanzas Publicas)-Secretaria de Hacienda- Unidad Informtica).
AL 669/2004
NORMAS DE SEGURIDAD FSICA Y AMBIENTAL
DECISIN ADMINSITRATIVA NACION
SOBRE SEGURIDAD INFORMATICA
ONTI: (Oficina Nacional de Tecnologa de la Informacin)
MODELO DE POLTICA DE SEGURIDAD DE LA INFORM
NACIONAL- ONTI
ACIN PARA ORGANISMOS DE LA ADMINISTRACIN PBLICA
Referencia: Punto 7 al 7.13 Seguridad Fsica y Ambiental
ArCERT (Coordinacin de Emergencias en Redes Teleinformticas)
MANUAL DEL INSTRUCTOR DE SEGURIDAD DE LA INFORMACIN
REDES
N 25326
MANUAL DE SEGURIDAD EN
LEY NACIONAL
HABEAS DATA
INTERNACIONAL
ISACA
CONVERGENT SECURITY RISKS IN PHYSICAL SECURITY SYSTEMS AND IT INFRAESTRUCTURES
COBIT 4.1 Referencias:
Proteccin y Disponibilidad del Recurso de Infraestructura
Garantizar la Seguridad de los Sistemas

16 de 16
Leonardo Ramos
Gerencia General de Tecnologas de la Informacin
Agencia de Recaudacin de la Provincia de Buenos Aires
Arba
Integridad y Disponibilidad)
Datos
eguridad Fsica
5- Administracin de Instalaciones Fsicas
Administrar el Ambiente Fsico (Refiere a la
1-Seleccin y Diseo del Centro de
2- Medidas de S
3- Acceso fsico
4- Proteccin Contra Factores ambientales

NIST
800-53: RECOMMENDED SECURITY CONTROLS FOR FEDERAL INFORMATION SYSTEMS
800-60: GUIDE FOR MAPPING TYPES OF INFORMATION AND INFORMATION SYSTEMS TO SECURITY CATEGORIES
FIPS
199: STANDARDS FOR SECURITY CATEGORIZATION OF FEDERAL INFORMATION AND INFORMATION SYSTEMS
URITY REQUIREMENTS FOR FEDERAL INFORMATION AND INFORMATION SYSTEMS. 200: MINIMUM SEC
SANS INTITUTE
IMPLEMENTING ROBUST PHYSICAL SECURITY
CONVERGENCE OF LOGICAL AND PHYSICAL SECURITY
CTIVE
ASSIVE ENVIRONMENTAL CUES TO ENHANCE PHYSICAL SECURITY
PHYSICAL SECURITY: A BIOMETRIC APPROACH
BUILDING THE IDEAL WEB HOSTING FACILITY: A PHYSICAL SECURITY PERSPE
USING P
COMO
SEGURIDAD FSICA
Aclaracin: El presente documento fue elaborado empleando como fuentes de informacin los siguientes marcos de referencia:
000, 27003, 27004 y 27005
e la Informacin para Organismos de la Administracin Pblica Nacional
rt: Manual de Seguridad en Redes
Agradecimientos:
-Normas IRAM-ISO/IEC: 27001 y 27002
-Normas ISO/IEC: 27
-ISACA: COBIT 4.1
-OCDE: Directrices para la seguridad de Sistemas y Redes de Informacin
-ONTI: Modelo de Poltica de Seguridad d
-ArCe
-DPI
A Damin Romero y Mario Lalli por sus valiosos aportes.