Instituto Tecnológico de las Américas (ITLA)

Nombre / Matrícula:

Materia: Aspectos Legales de la Ciberseguridad

Docente: Joel Odalis Morrobel Ovalle

Temas: Instructivo para el cumplimento de los requerimientos

Leer, analizar el Instructivo para la implementación del reglamento de SCI y realizar un
resumen de este.
El propósito General de este instructivo que claro en su 2do tema título “Objeto”, en este
se nos plantea lo siguiente:
Establecer los requerimientos técnicos y procedimientos operativos que facilitarán el
cumplimiento por parte las Entidades de Intermediación Financiera, los administradores y
demás participantes del Sistema de Pagos y Liquidación de Valores de la República
Dominicana (SIPARD), y las entidades de apoyo y servicios conexos que estén
interconectadas con las entidades de intermediación financiera y con el SIPARD, de las
disposiciones contenidas en el Reglamento de Seguridad Cibernética y de la Información.
Este instructivo complementa los requerimientos establecidos en el Reglamento de
Seguridad Cibernética y de la Información.
Se detalla la base legal que se debe para el cumplimento de los reglamentos de
cibernética y de la información.
A. Ley No. 183-02 Monetaria y Financiera de fecha 21 de noviembre de 2002 y sus
modificaciones;
B. Decreto 230-18 de fecha 19 de junio de 2018 que establece y regula la Estrategia
Nacional de Ciberseguridad 2018-2021;
C. Quinta Resolución dictada por la Junta Monetaria el 18 de diciembre del 2003, que
aprueba la versión definitiva del Reglamento de Sanciones;
D. Quinta Resolución dictada por la Junta Monetaria el 2 de abril del 2009 que
aprueba el Reglamento Sobre Riesgo Operacional;
E. Tercera Resolución dictada por la Junta Monetaria el 24 de enero del 2019 que
autoriza la publicación de la Propuesta de Modificación Integral al Reglamento de
Auditores Externos;
F. Primera Resolución dictada por la Junta Monetaria el 2 de julio del 2015 que
aprueba el Reglamento sobre Gobierno Corporativo;
G. Tercera Resolución dictada por la Junta Monetaria el 16 de marzo del 2017 que
aprueba el Reglamento sobre Lineamientos para la Gestión Integral de Riesgos; y,
H. Segunda Resolución dictada por la Junta Monetaria el 1 de noviembre de 2018 que
autoriza la publicación del Reglamento de Seguridad Cibernética y de la
Información.
Encontramos algunas definiciones bastante interesantes:
A. Aplicaciones de Negocio: Conjunto de programas informáticos utilizados por los
colaboradores de una entidad para realizar diversas funciones principales del
negocio. Estas aplicaciones comerciales se utilizan para aumentar y medir la
productividad, asi como la ejecución de otras funciones comerciales con precisión.
 B. Hipervisor: Componente de virtualización que administra los sistemas operativos
invitados en un host y controla el flujo de instrucciones entre estos sistemas y el
hardware fisico.

C. Indicadores de Compromiso (IOC): Evidencia forense generada por posibles

intrusiones en un sistema host o red cuyo propósito principal es apoyar la
detección de intentos de intrusión u otras actividades maliciosas y proporcionar
inteligencia de amenazas accionable que se pueda compartir dentro de la
comunidad para mejorar las capacidades de respuesta a incidentes y las
estrategias de remediación.

D. Información Personal Identificable (PII): Cualquier información sobre un individuo

mantenida por una entidad que puedan utilizarse para distinguir o rastrear la
identidad de un individuo, tales como nombre, número de identidad nacional,
fecha y lugar de nacimiento, registros biométricos, asi como cualquier otra
información vinculada o vinculable como registros médicos, educativos, financieros
y laborales.

E. Marco de trabajo: descripción estructurada de un tema especifico, que incluye una

declaración detallada de los problemas a resolver y las metas a alcanzar.

F. Metodología: Conjunto de métodos que se siguen en una investigación cientifica o

en una exposición doctrinal.

G. Lineamiento: Instrucción o conjunto de instrucciones que ha de seguirse en la

ejecución de algo.

H. Política: Orientaciones o directrices que rigen la actuación de una persona o

entidad en un asunto o campo determinado.
i) Procedimiento: Método de ejecutar algunas cosas.
I. Programa: Serie ordenada de operaciones necesarias para llevar a cabo un
proyecto.

J. Proxy: Un dispositivo o aplicación intermediaria utilizado para proveer servicios de

comunicación entre un cliente y un servidor.

K. Token: Elemento que un usuario posee y controla (por lo general un módulo

criptográfico o una contraseña) que se utiliza para autenticar una identidad.
También se nos presentan el desglose de los diferentes requerimiento de seguridad
algunos destacables son:
Sobre el Marco de Trabajo para el Programa de Seguridad Cibernética y de la
Información
Las entidades en el ámbito de aplicación de este instructivo, podrán adoptar, de manera
enunciativa, pero no limitativa uno o varios de los siguientes marcos de trabajo conforme
a sus requerimientos y necesidades, dicha adopción no considera necesariamente la
implementación de todos los controles o elementos del marco o combinación de marcos
utilizados, dicha adopción se plasma en los criterios y dominios generales del marco o
comunicación de marcos adoptados:

a. ISO/IEC 27001;
b. NIST (National Institute of Standards and Technology) Cybersecurity
Framework;
c. CIS (Center for Internet Security);
d. ISF (Information Security Forum);
e. PCI-DSS (Payment Card Industry); y.
f. SWIFT-CSC (Customer Security Control) Framework.
NOTA: El Oficial de Seguridad Cibernética y de la Información deberá seleccionar y
presentar el o los marcos de trabajo iniciales al Comité Funcional de Seguridad Cibernética
y de la Información, para su revisión y aprobación previo al desarrollo del Programa de
Seguridad Cibernética y de la Información por parte de la entidad.
En caso de que la entidad no haya considerado la adopción de algún marco en el
programa presentado a sus órganos de gobierno, el Oficial de Seguridad Cibernética y de
la Información, deberá presentar el mismo para su revisión y aprobación, así como
cualquier actualización que pudiese ser requerida en el programa presentado.
Gestión del Riesgo Tecnológico
Las politicas y procedimientos para la gestión del riesgo tecnológico, en lo que compete a
la Seguridad Cibernética y de la Información, deberán ser revisadas por lo menos una vez
al año o cuando surjan cambios internos o extemos regulatorios que asi lo ameriten, dicha
revisión será presentada al Comité Funcional de Seguridad Cibernética y de la
Información. Dicho comité, elevará a los órganos competentes de riesgos y/o consejo los
cambios considerados necesarios para su aprobación.
NOTA: Las áreas especializadas de Seguridad Cibernética y de la Información deberán
informar y recomendar actualizaciones requeridas al área de riesgos de la entidad, los
riesgos vinculados a la Seguridad Cibernética identificados en la matriz de riesgos, con la
intención de que dichos registros se mantengan actualizados, y se pueda realizar
continuamente un proceso adecuado de gestión de los mismos.
Metodologias para la Gestión del Riesgo Tecnológico
Las entidades en el ámbito de aplicación de este instructivo, podrán adoptar, en adición a
los citados más abajo, otros marcos de trabajo para la gestión de los riesgos tecnológicos
o bien, podrán desarrollar internamente su propio marco tomando como base marcos
reconocidos internacionalmente. Dentro de los marcos de trabajo para la gestión de
riesgos, están, de manera enunciativa pero no limitativa:
a) NIST SP 800-37
b) ISO/IEC 27005
c) ISF/IRAM22

Arquitectura de Seguridad Cibernética y de la Información

La Arquitectura de Seguridad Cibernética y de la Información de la entidad deberá
contemplar de manera enunciativa pero no limitativa los siguientes aspectos:
A. Objetivos que relacionen el desarrollo y uso de la arquitectura de seguridad con los
requerimientos del negocio, definiendo los beneficios asociados para la
organización y la alineación con la arquitectura empresarial de la entidad;

B. Alineación con marcos de trabajo de arquitectura de TI reconocidos

internacionalmente (Ej.: SABSA. TOGAF, Zachman, entre otros) o el desarrollo de
un marco de trabajo propio que combine aspectos de marcos reconocidos, asi
como buenas prácticas de seguridad cibernética y de la información. Esta
alineación no requiere la adopción completa de los marcos mencionados, su
objetivo es permitir a la entidad tener referencias para el desarrollo de una
arquitectura de TI adecuada, que permita el correcto funcionamiento de su
infraestructura tecnológica;

C. Principios de arquitectura de seguridad a ser aplicados en el desarrollo e

implementación de controles de seguridad mínimos, tales como:
I. Seguro por diseño (requerimientos de seguridad de una aplicación o
sistema comercial como parte de sus requerimientos generales, para
protegerse a sí mismo y a la información que procesa, y para resistir los
ataques);
II. Defensa profunda (uso de múltiples capas de distintos tipos de
protección para evitar la dependencia de un tipo o método de control de
seguridad);
 III. Seguro por defecto (configuración de opciones preseleccionadas para
limitar el nivel de vulnerabilidad inherente y poner a disposición solo los
servicios y funciones necesarios);
IV. Menor privilegio" (concesión de los privilegios mínimos de acceso a los
sistemas de la información y a los usuarios); Denegación por defecto
(acceso denegado a la información y los sistemas de forma
predeterminada para evitar el acceso no autorizado);
V. vi. Mecanismo de seguridad" (en el caso de una falla del sistema, la
información no es accesible para personas no autorizadas, pero
permanece disponible para personas autorizadas y no puede ser
manipulada o modificada);
VI. vii. Despliegue seguro!! (para proporcionar herramientas y orientación
complementarias a los administradores y usuarios de sistemas y asegurar
procesos sencillos de configuración, así como actualizaciones de software
rapidas y simples): y.

VII. viii. Usabilidad y manejabilidad (los controles de seguridad no deben

obstruir la labor de los usuarios al momento de interactuar con los
sistemas y aplicaciones de la entidad).

D. Principios de privacidad de la información a ser aplicados en el desarrollo e

implementación de controles de privacidad:
I. Privacidad desde el diseño" (mecanismos de obtención de consentimiento
de los propietarios de la información para el procesamiento de la data en
custodia); y.
II. Privacidad por defecto (mecanismos de procesamiento de la data y gestión
de la privacidad).
E. Establecimiento del modelo de desarrollo de la arquitectura, ya sea progresivo (Ej.:
por proyecto) o inmediato (Ej.: como parte de un programa de transformación
institucional);
Las entidades en el ámbito de aplicación de este instructivo deben desarrollar un
esquema de gestión de activos de información que contemple los siguientes aspectos:
a) Clasificación de Activos de Información:
i. La entidad deberá definir y comunicar a sus colaboradores los esquemas de
clasificación de la información, de acuerdo al nivel de confidencialidad y
sensibilidad de la información que gestionan; y.
ii. Se deberán establecer, usando los mecanismos correspondientes
(encabezados, pies de página, firmas digitales, sellos fisicos o digitales,
 entre otros), las etiquetas que identifiquen la clasificación de cada uno de
los activos de información, el proceso de etiquetado de la información fisica
o digital podrá ser realizado según las politicas internas de cada entidad.
siempre que la misma garantice un control adecuado de los activos de
información, gestionados por la entidad.
b) Gestión de Documentos:
iii. Los procedimientos de gestión de documentos fisicos y digitales deberán
incluir las etapas de creación, clasificación, almacenamiento, adquisición,
modificación y destrucción de documentos, los mecanismos de control para
la protección de la información acorde a su nivel de sensibilidad y
confidencialidad y los periodos de retención de los mismos;
iv. Dicho procedimiento deberá especificar las responsabilidades de los
colaboradores y proveedores de servicios en torno a la gestión documental:
v. Los mecanismos de control definidos deberán estar alineados con los
requisitos operacionales, legales y regulatorios aplicables a la entidad.

c) Información Sensible en Formato Físico:

i. Identificar los tipos particulares de información sensible en formato fisico que
manejan, independiente de su origen;
ii. Dicha información sensible en formato fisico deberá ser incluida en el catálogo con la
clasificación de activos de información. Incluye, pero no está limitado a información
sobre clientes, empleados, información de procesos internos e información sobre
proveedores o contratistas;
iii. Tomar las medidas de lugar para evitar que la información sensible y confidencial en
formato fisico salga de las instalaciones sin autorización de los órganos
correspondientes;
iv. La entidad deberá tomar medidas apropiadas para asegurar que la información
sensible en formato fisico que se encuentre en tránsito entre localidades o
destinatarios autorizados esté provista de la protección física necesaria para la
prevención de accesos no autorizados: y, Tomar las medidas de lugar para archivar o
eliminar información confidencial obsoleta, en consonancia con las políticas de
retención de datos de la entidad.
Registro de Activos de Información:
i. La entidad deberá contar con un repositorio digital para la gestión de activos de
información, que contenga el catálogo de activos de información permanentemente
actualizado. Dicho repositorio deberá incluir las siguientes informaciones, de manera
enunciativa pero no limitativa:
 a) Tipo de activo de información; b. Nivel de información clasificada
gestionada por el activo (Ej.: confidencial, pública, interna, restringida);
b) Nivel de sensibilidad de la información clasificada (Ej.: sensible, no
sensible);
c) Fecha de reclasificación (en caso que aplique); y.
d) Identificación del propietario de la información.
Aplicaciones del Negocio
Las entidades en el ámbito de aplicación de este instructivo deberán implementar
controles de seguridad para las aplicaciones del negocio, contemplando los aspectos
siguientes:
a) Protección de las aplicaciones:
i. Protección de las conexiones desde y hacia las aplicaciones tomando en
consideración la depuración de los datos de entrada, los controles para
validar el origen y destino de las conexiones, cifrado de datos (en los casos
de manejo de información critica o confidencial para la entidad), así como
las credenciales usadas para la identificación y autenticación de los
usuarios;

ii. Prevención del inicio de conexiones hacia redes no autorizadas, incluyendo

Internet, mediante configuración de servidores, creación de reglas en los
firewalls, uso de servidores tipo proxy o cualquier otro mecanismo; y.

iii. Protección de los datos sensitivos sobre el funcionamiento de las

aplicaciones (Ej.: mensajes de respuesta, mensajes de error y comentarios
de los desarrolladores).
b) Protección de las aplicaciones basadas en navegación:
i. Habilitación de mecanismos de restricción de permisos y ocultamiento de
ubicaciones, de los archivos de configuración u otros que contengan
información sensitiva de seguridad de las aplicaciones basadas en
navegación (web-based);

ii. Habilitación de mecanismos para protección del contenido de las

aplicaciones basadas en navegación, contemplando separación de los
entornos de almacenamiento de los archivos del sistema operativo y de
las aplicaciones, restricción de acceso a los archivos, uso de métodos
seguros para realizar actualizaciones y revisión de la validez de los enlaces
de los componentes de las aplicaciones; y,
 iii. Utilización de protocolos de cifrado de datos (Ej.: TLS, IPSec, SSH, entre
otros) para la transmisión de datos sensibles entre el navegador y el
servidor a fin de evitar su captura.
Gestión de Sistemas de Información
La entidad deberá procurar que sus sistemas informáticos e infraestructura tecnológica
estén protegidos contra amenazas a la seguridad cibernética y de la información,
configurando adecuadamente los controles de seguridad cibernética y de la información
integrados por defecto a los mismos, y considerando de manera enunciativa pero no
limitativa lo siguiente:
a) Diseños que tomen en cuenta los principios de arquitectura de seguridad
definidos en el presente instructivo y los requerimientos del negocio:
b) Compatibilidad con otros sistemas de información, redes e instalaciones de
telecomunicaciones utilizados por la organización, a fin de asegurar el
establecimiento de controles de seguridad integrados;
c) Gestión centralizada de sistemas a través de centros de operaciones de red, de
sistemas y de seguridad o mecanismos equivalentes;
d) Gestión adecuada de las cargas actuales y proyectadas de los componentes de la
red;
e) Gestión adecuada de las actualizaciones de seguridad, incluyendo listas de control
de acceso, firmas, y reglas de firewall; y,

f) Diseño adecuado de la red, contemplando segregación de sistemas de

información mediante el uso de dominios de seguridad como DMZ" y VLAN,
aislamiento de tipos particulares de tráfico de red (Ej.: tráfico de Volpo de redes
de almacenamiento local), restricción de puntos de entrada a la red, denegación
de acceso a la red a dispositivos no registrados en la misma mediante la
incorporación de mecanismos, diseño de esquemas de firewalls para evitar su
omisión y priorización del tráfico de red para reducir la latencia en el uso de
servicios criticos.
Configuración de Servidores Físicos y Virtuales
Las entidades en el ámbito de aplicación de este instructivo deberán contar con una
politica de configuración de servidores fisicos y virtuales, la cual definirá de manera
enunciativa pero no limitativa, en los casos que aplique para cada tipo de servidor, los
siguientes aspectos:
a) Marco de configuraciones de linea base o de ajustes predeterminados para
servidores fisicos y virtuales, incluyendo los hipervisores, y contemplando lo
siguiente:
i. Estandarización de las configuraciones del firmware en servidores
fisicos:
 ii. Estandarización y mantenimiento de las imágenes de
instalación/configuración de los sistemas operativos, incluyendo
parámetros adecuados de seguridad.
b) Restricción de acceso para evitar uso de utilidades y de consolas de configuración de
sistemas sin previa autorización:
c) Restricción de acceso a un número limitado de usuarios con cuentas privilegiadas. El
acceso al Sistema Básico de Entrada y Salida (BIOS, por sus siglas en inglés) de cada
servidor deberá estar protegido mediante contraseña u otro mecanismo seguro de
control de acceso; y
d) Renombramiento de las cuentas locales generadas por defecto por los sistemas
operativos instalados en los servidores fisicos y virtuales, para proteger estos
sistemas de accesos no autorizados.
Sistemas de Almacenamiento de Red
Las entidades deberán contar con una política de gestión de los sistemas de
almacenamiento en la red, que contemple, de manera enunciativa pero no limitativa, los
siguientes aspectos:
a) Mecanismos de protección de la información almacenada conforme a la
clasificación de activos de información definida por la entidad, incluyendo una
descripción de los tipos de archivo que pueden ser colocados en cada servidor
de almacenamiento en red; y.
b) Lista actualizada de servidores de aplicaciones y su relación con servidores de
almacenamiento en red, asi como configuraciones de seguridad y políticas
aplicadas a los mismos, incluyendo la lista de aplicaciones críticas necesaria
para su documentación en el plan de recuperación ante desastres.

Gestión de Copias de Resguardo y su Retención

Las entidades en el ámbito de aplicación de este instructivo deberán contar con una
politica de gestión de copias de resguardo y su retención, la cual deberá incluir, de manera
enunciativa pero no limitativa, los si s siguientes aspectos:
a) Procedimientos documentados para el resguardo y recuperación de la información
cubriendo los requerimientos del negocio, métodos, herramientas y tiempos de
realización;
 b) Registros o equivalentes que detallen la información resguardada, la fecha y la
hora, así como la fecha de expiración, el tipo de medio utilizado y su ubicación
física;
c) Esquemas de etiquetado de copias de seguridad de los datos tanto fisicas come
digitales, para su correcta identificación:
d) Controles para la prevención de la sobre escritura accidental; y.
e) Entornos de resguardo seguros, de acceso restringido, contemplando el
almacenamiento de las copias de resguardo en formato fisico conforme a los
métodos indicados por los fabricantes de los medios de respaldo.
NOTA: En lo referente a lo establecido en el artículo 26, literal ii, sobre el tiempo de
retención de las pistas de auditoría de por lo menos 180 dias, dichas pistas de auditoria
son referidas a los eventos vinculados a la seguridad cibernética y de la información.
Sobre los Informes de Cumplimiento de Autoevaluación
Las entidades en el ámbito de aplicación de este instructivo deberán cumplir con un
procedimiento de autoevaluación del cumplimiento del Reglamento de Seguridad.

Tomar dos Requerimientos identificados en la práctica anterior y desarrollarlo ejemplo

"Programa de Ciberseguridad / Estructura organizativa"

Requerimientos Selecionados:
1- Gestión de activos de la información
2- Seguridad Física y del Entorno

Gestión de activos de la información

una tarea de las gerencias de seguridad o de gestión de la información que involucra el
diseño, establecimiento e implementación de un proceso que permita la identificación,
valoración, clasificación y tratamiento de los activos de información más importantes del
negocio.
Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una
organización valora y por lo tanto debe proteger”.

Se puede considerar como un activo de información a:

  Los datos creados o utilizados por un proceso de la organización en medio digital,
en papel o en otros medios.
 El hardware y el software utilizado para el procesamiento, transporte o
almacenamiento de información.
 Los servicios utilizados para la transmisión, recepción y control de la información.
 Las herramientas o utilidades para el desarrollo y soporte de los sistemas de
información.
 Personas que manejen datos, o un conocimiento específico muy importante para
la organización (Por ejemplo: secretos industriales, manejo de información crítica,
know how).

Bajo esta gestión se persigue dar cumplimiento a cuatro puntos claves:

Inventario de Activos: Todos los activos deben estar claramente identificados y se debe
elaborar y mantener un inventario de todos los activos de información importantes de la
organización.
Propiedad de los Activos: Todos los activos de información deben ser “propiedad” de una
parte designada de la Organización. En este sentido el propietario del activo definirá y
garantizará los controles para la adecuada protección del activo.
Directrices de Clasificación de Activos: La información debe clasificarse en términos de su
valor, de los requisitos legales, de su sensibilidad y la importancia para la organización.
Tratamiento de Activos: A la información debe dársele un manejo adecuado. Se debe
establecer con base en las mejores prácticas de seguridad, que controles mínimos deben
ser aplicados a los activos para su adecuado manejo, dependiendo del nivel de
clasificación en el cual hayan sido catalogados.

Actualmente el reto de los responsables de la seguridad de la información en las

organizaciones es resolver el "cómo" de la gestión de activos, lo cual involucra el inicio de
un proyecto con las siguientes fases mínimas, en resumen:
Adicional a estas fases se requiere implementar en paralelo un proceso de sensibilización
y cultura de la gestión de activos, para que esta gestión haga parte de las actividades del
día a día de los procesos de la organización. El proyecto debe dejar como resultado
mínimo el inventario, valoración, clasificación y definición del tratamiento de los activos
de información de los procesos.

Es importante que este proceso se optimice y se automatice a través del uso de

herramientas que como NovaSec MS permitan acceder y administrar fácilmente la gestión
de activos. Si posee actualmente herramientas de software para administración de riesgos
o de ITGRC podrían tener opciones que permiten automatizar parcial o totalmente esta
gestión.

Nota: NovaSec MS una solución de software de manejo y gestión de riesgos GRC que

gestiona de manera integral la estrategia, los riesgos, el gobierno, el cumplimiento, la
seguridad de la información, la ciberseguridad y la continuidad del negocio.

Seguridad Física y del Entorno

En relación a la seguridad haremos referencia a las barreras físicas y mecanismos de
control en el entorno de un sistema informático, para proteger el hardware de amenazas
físicas. La seguridad física contrasta con la seguridad lógica.

 Áreas seguras:
El objetivo de las áreas seguras evita a los accesos no autorizados como también daños e
interferencias contra la Información de la organización.
 Perímetro de seguridad física:
Se debe de dar la seguridad a las áreas que contengan información única y a los recursos
de procesamiento de información.

La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser
utilizadas para proteger físicamente los recursos y la información de la organización. Los
recursos incluyen el personal, el sitio donde ellos laboran, los datos, equipos y los medios
con los cuales los empleados interactúan, en general los activos asociados al
mantenimiento y procesamiento de la información, como por ejemplo activos de
información, activos de software y activos físicos.

Se entiende por área donde se procesa la información los siguientes:

o Centros de Procesamiento normales o de emergencia.
o Áreas con servidores, ya sean de procesamiento o dispositivos de comunicación.
o Áreas donde se encuentren concentrados dispositivos de información.
o Áreas donde se almacenen y guarden elementos de respaldo datos (CD, Discos
Duros, Cintas etc.)

 Controles físicos de entrada:

Las áreas de seguridad deberían estar protegidas por controles de entrada que aseguren
el permiso de acceso sólo a las personas que están autorizadas.
o Las visitas a las áreas seguras se deberían supervisar, a menos que el acceso haya
sido aprobado previamente, y se debe registrar la fecha y momento de entrada y
salida.

o Se debería controlar y restringir sólo al personal autorizado el acceso a la

información sensible y a los recursos de su tratamiento. Se deberían usar
controles de autenticación, por ejemplo, tarjetas con número de identificación
personal (PIN), para autorizar y validar el acceso. Se debería mantener un rastro
auditable de todos los accesos, con las debidas medidas de seguridad.

o Se debe garantizar el acceso restringido al personal de apoyo de terceros, hacia

áreas de seguridad o a los recursos de procesamiento de información sensibles,
solo cuando este sea requerido. Este acceso debe ser autorizado y monitoreado.
  Seguridad de oficinas, despachos y recursos:
Obligatoriamente la seguridad física en oficinas, despachos y recursos deben de ser
asignadas y a la vez usadas.
o Se debería tomar en cuenta las regulaciones y estándares de salud y seguridad.
o Se deben instalar equipos con clave deben para evitar el acceso del público.
o Los directorios y las guías telefónicas internas identificando locaciones de
los recursos de información sensible no deben ser fácilmente accesibles por el
público.

 Protección contra amenazas externas y ambientales:

Hace referencia a la protección contra distintos tipo de desastres naturales o humanos

que se dan a lo largo de los años como son terremotos, inundaciones, explosión, la
protección contra el fuego, el malestar civil, tsunami, entre otros.
Por lo cual lo más adecuado para tratar de evitar estos incidentes seria:
o Los materiales inflamables como el combustible o materiales peligrosos deberían
ser almacenadas en un lugar alejado de las áreas seguras.
o Los equipos contra incendios deben ser ubicados en lugares adecuados.
o Los equipos y medio de respaldo deben estar en un área segura ubicados
adecuadamente para evitar que se dañen en un eventual desastre.