INSTITUTO COSTARRICENSE DE ELECTRICIDAD

GERENCIA GENERAL Versión 1.1

informe de Seguridad del IDC del ICE Página 1 de 6
Solicitud de Elaborado por: Aprobado por: Rige a partir de:
Cambio No: Consorcio ITSInfocom Gerencia General 2011-01-03

ICE
Adquisición de Hardware y
Software para iDC
Informe de Seguridad del IDC del
ICE
Código de Proyecto: PRY_CNGS_02

Versión Numero: 1.1

Autor: Consorcio ITSInfocom

Fecha: 2011-01-03
 INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.1
Gerencia General

Adquisición de Hardware y Software para iDC Página 2 de 6

Informe de Seguridad del IDC del ICE

Tabla de Contenidos
0. Información del Documento .................................................................................................................................................... 3
1. Introducción............................................................................................................................................................................. 4
1.1. Objetivo del Informe........................................................................................................................................................ 4
1.2. Responsabilidades.......................................................................................................................................................... 4
1.3. Revisión.......................................................................................................................................................................... 4
1.4. Referencias..................................................................................................................................................................... 4
2. Informe de Seguridad Física................................................................................................................................................... 5

© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
 INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.1
Gerencia General

Adquisición de Hardware y Software para iDC Página 3 de 6

Informe de Seguridad del IDC del ICE

0. Información del Documento

Las siguientes personas colaboraron en la elaboración del documento:

Colaborador Rol o Área Funcional Firma Fecha

Pablo BALLARIN USIETO Consultor ITS 2011-01-03

Información del documento:

Fecha de creación:* 2011-01-03

Nombre del archivo:* 673740490.odt
Última vez guardado:* 03/03/11
Última vez impreso:*
*se cambia con la opción de actualizar campos.

UBICACIÓN ELECTRÓNICA DEL DOCUMENTO

DIRECCIÓN: Runbook://folder/673740490.odt
RESPONSABLE: Micaela Vera Fernández

Historia de revisión del documento:

Fecha de Área
Revisado por Descripción general de cambios
Revisión funcional
2011-01-03 Pablo BALLARÍN USIETO Consorcio Versión inicial
ITS
03/03/01 Pablo BALLARÍN USIETO Consorcio Cambios establecidos tras la reunión con el ICE del 3/3/11
ITS (ejecución del Plan de Pruebas):
* Se cambia “funcionario” por “oficial de seguridad”
* Se añade como requerimiento de capacitación “operación de
plataformas de seguridad electrónica”
* El “curso básico de seguridad privada” es un requisito más

© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
 INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.1
Gerencia General

Adquisición de Hardware y Software para iDC Página 4 de 6

Informe de Seguridad del IDC del ICE

1. Introducción
El siguiente informe se enmarca dentro de la consultoría de seguridad del proyecto “Adquisición de Hardware y Software
para iDC”. En él se define la manera en que se han establecido las políticas relativas a la seguridad física.

1.1. Objetivo del Informe

Detallar como se establecen los mecanismos de
• acceso físico
• identificación de usuarios
• seguridad perimetral
• procedimientos en cuanto a acciones proactivas y reactivas en caso de violación de alguno de los puntos
anteriores

1.2. Responsabilidades
Responsable de Seguridad
Revisar el siguiente informe relativo a la seguridad física

1.3. Revisión
El siguiente informe deberá ser revisado anualmente por el Responsable de Seguridad, y cada vez que ocurran
cambios significativos que necesiten un reajuste.

1.4. Referencias
• Manual de Seguridad (MN_Seguridad)

© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
 INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.1
Gerencia General

Adquisición de Hardware y Software para iDC Página 5 de 6

Informe de Seguridad del IDC del ICE

2. Informe de Seguridad Física

Para garantizar la seguridad en el IDC, el ICE establece, documenta, implanta, mantiene y mejora continuamente un Sistema de
Gestión de Seguridad de la Información (SGSI) dentro del contexto de todas las actividades y riesgos de negocio y de acuerdo
con los requisitos de las normas de referencia ISO 27001 e ISO 27002 para asegurar la conformidad de sus productos y
servicios y la información tratada para los mismos. Es en el Manual de Seguridad (MN_Seguridad) donde se define el marco de
toda la gestión del SGSI y las pautas de mejora continua.

El IDC del ICE es un centro en fase de certificación TIER III que alberga información propia y de clientes, además de todo
el conjunto de elementos que son necesarios para sustentarlo, como son el hardware (servidores, elementos de
comunicaciones, PCs,..), software (OS, Aplicaciones), infraestructuras (gabinetes, climatización, grupos electrógenos,..) y
personas. El registro Análisis de Riesgos (R_AnalisisGestionRiesgos) detalla y evalúa el conjunto de los activos del IDC
que deben ser protegidos para garantizar la seguridad de la información.

Se ha definido una topología de seguridad física cuyo objetivo es defender las instalaciones frente a accesos externos no
permitidos y ataques, y de garantizar la seguridad física de las instalaciones en el interior. Esa topología establece tres
sectores de seguridad en forma de anillos, cada cual con un nivel de seguridad específico. El control de los accesos será
ejercido desde la caseta de seguridad situada en la entrada, y valdrá para toda persona, ya sea empleado, visitante, cliente
o proveedor. Esta caseta de vigilancia estará gestionada por dos vigilantes de seguridad, y contará con casilleros con llave
donde se deben depositar cámaras, móviles, y dispositivos electrónicos para almacenar información (memorias USB y
discos duros portátiles), PCs para la gestión del acceso, y una esclusa donde se llevará a cabo la detección de metales. Se
ha previsto en una segunda fase la adquisición de un túnel de radioscopia para la caseta de seguridad, que asegure la
detección automática de explosivos.

La Política de Control de Accesos definida en el Manual de Políticas (MN_Politicas) establece la línea base de los controles
de acceso físico al IDC. En él se define que existirá un único acceso para personas, y que estará constituido por una
caseta de seguridad, en la que los funcionarios de seguridad controlarán y registrarán toda entrada y salida de personas.
Por otra parte, los siguientes documentos establecen las pautas mediante las cuales se regulan los accesos al IDC para los
clientes, proveedores y empleados:
• el Protocolo de Seguridad Física para Clientes (Protocolo_SeguridadFisicaClientes),
• el Protocolos de Seguridad Física para Proveedores (Protocolo_SeguridadFisicaProveedores),
• la Instrucción de Trabajo de Acceso a Empleados (IT09_AccesoEmpleados)
• la Instrucción de Trabajo de Tramitación de Visitas Técnicas (IT07_TramitacionVisitasTecnicas).

Estos documentos describen, entre otras cosas:

• quién tiene derecho a entrar
• cómo se realizan las peticiones de acceso
• quién autoriza las visitas
• cuáles son las acciones de los funcionarios en el momento de la llegada de las personas a la caseta de seguridad
• cómo se realizan los acompañamientos a clientes y proveedores
• las responsabilidades de empleados, clientes y proveedores

Las responsabilidades de los funcionarios están descritas en el Procedimiento de Seguridad Física del IDC
(PR_SeguridadFisica-ICE_IDC). Además, la Guía de Roles (GU_Roles) incluye el perfil de los funcionarios, los
conocimientos que deben tener, y la formación necesaria para poder realizar las acciones necesarias en cuanto a la
violación de alguna de las políticas de seguridad.

Teniendo en cuenta que lo primordial es la conservación de la vida humana (se trata del primer punto de la Política de
protección de la información y los activos), el oficial de seguridad deberá ante todo tener una condición psicoemocional
estable, para lo cual será necesario que haya pasado los controles psicológicos necesarios, así como el requisito del curso
básico de seguridad privada. La capacitación que se pide es variada, e incluye lo siguiente:
• técnicas de patrullaje
• técnicas de vigilancia perimetral
• técnicas de tiro
• técnicas en prevención de asaltos
• manejo de esposas

© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.
 INSTITUTO COSTARRICENSE DE ELECTRIDAD Versión: 1.1
Gerencia General

Adquisición de Hardware y Software para iDC Página 6 de 6

Informe de Seguridad del IDC del ICE

• cuidado del arma y su limpieza
• operación de plataformas de seguridad electrónica
Con los conocimientos adquiridos en estas áreas, los oficiales de seguridad deben ser capaces de mantener la seguridad
en caso de violación del perímetro físico del IDC, o suplantación de identidad.

© Documento normativo propiedad del ICE, prohibida su reproducción total o parcial sin autorización.