[BRIGGS EQUIPMENT Briggs Equipment S.A. de C.V. PR-IT-001 V.1.0.Procedimiento de revisiones periédicas al perimetro de [eee seguridad fsica Contenido |. Objetivo.. I Alcance. lil, Documentos relacionados..... IV. Roles y responsabilidades del documento. V. Definiciones. VI. Normatividad, legislacién y marcos normativos aplicables a la seguridad de la, informacién. 7 Vil. Determinacién de las Greas seguras de Briggs Equipment. see T Vill. Lineamientos para revisiones periddicas al perimetro de seguridad fisica, oficinas e instalaciones.4 IX, Diagrama del procedimiento de revisiones periddicas al perimetro de seguridad fisica. -s X. Descripcién de actividades de! procedimiento... 3 Xi. Revision y actualizacién. 7 XIL Comunicacién y difusién. 7 Xl, Sanciones. y XIV. Distribucién... 7 XV. Control de Cambios. sevannnsesenee - vennsssene ee XVL._ Anexos =a) a. Tabla de dreas seguras y revisoresProcedimiento de revisiones periédicas al perimetro de seguridad fisica | Objetivo. Establecer lineamientos y actividades para ‘dentiicar y poner en practica revisiones peridicas ol perimetro de seguridad fiica de Briggs Equipment y lograr una adecuada proteccién de las éreas que contienen informacion sensible actives asocladlos aa misma I. Alcance. EI procedimiento es aplicable a todas las areas de la organizacién donde se encuentre resquardada informacién sensible. ll. Documentos relacionados. + PLIT-001 Politica de Seguridad de la Informacién. + PR:T-002 Procedimiento de acceso a éreas seguras, + PRHI-019 Procedimiento de Gestién de Incidentes de Seguridad de la Informacién, + Bitacora revision a perimetro de seguridad fisica. IV. Roles y responsabilidades del documento. Roles 7 Responsabilidades ’ + Revisar periddicamente el procedimiento para determinar Gerente de 11 que se aplique al interior de la organizacién, asi como, proponer mejoras al mismo. Actualzar de ser necesatio el presente procedimiento Difundir el presente procedimiento al personal responsable de su ejecucién dentro de la organizacién por los medios oficiales designados * Gecuter y cumplir con los fineamientos y respectivas Personal designado.a actividades del presente documento. ‘aseguriiad fsica —« Proponer mejoras para la conecta ejecucién de las Actividades en el presente documento. Administrador de T V. Definiciones. * Activo de informacién: Cuaiquier informacién 0 elemento relacionado con el tratamiento de ésta (sistemas, equipamientos, edificios, personas) que tenga valor para la organizacién. + Area segura: sitio especifico donde se maneja informacién sensible o equipamiento informatico valioso con los cuales alcanzar los objetivos de la organizacién. + CCTV: por sus siglas Circuito Cerrado de Televisién, sistema de vigiiancia por medio de video para fines de control de actividades, supervision de areas, personal y controles de seguridad. + Ciberseguridad: Proteccién de dispositivos méviles, servicios, redes y sistemas electr6nicos; asi como la proteccién de datos contra robo o dano. + Informacién sensible: Definida por su propietario, cuya revelacién, alteracién, Perdida o destruccién/puede producir dahos importantes a la organizacién propietaria de la misméProcedimiento de revisiones periédicas al perimetro de seguridad fisica + Instalaciones manejadas por terceros: Areas definidas para proveedores o personal extemo en el inmueble de la organizacién en donde desarrollaran sus servicios y manejo de sus activos, * MDF (Main Distribution Frame): Por sus siglas en ingles se define como el “Marco de Distribucién Principal” Es un gabinete o estructura especialmente disefiado para la distribucién y conexién de sefiales para conectar equipos de redes y telecomunicaciones. + Perimetro de seguridad fisica: Area y/o espacios de procesamiento de informacién € infraestructura tecnoldgica critica, estableciéndose controles de seguridad en su entomo, ‘+ Propietario de informacién: Persona responsable de Ia integridad, confidencialidad y disponitbilidad de Ia informacién. VI. Normatividad, legislacién y marcos normativos aplicables ala seguridad de la informacion. La normatividad aplicable en materia de seguridad de la informacién es la siguiente: * Ley Federal de Proteccién de Datos Personales en Posesion de los Particulares (LFPDPPP} + Reglamento de Ia Ley Federal de Proteccién de Datos Personales en Posesién de los Parliculares (RLFPOPPP). * Norma Internacional ISO/IEC 27000:2018 — la intormacién. ‘+ Norma internacional ISO/IEC 27001:2013 - Estandar para la seguridad de la informacion. Dominio A.11 Segutidad fisica del entorno, "Control A.11.1.1 Perimetro de seguridad fisica. + Control A.11.1.3 Seguridad de oficinas, despachos ¢ instalaciones. ‘+ Marco de ciberseguridad de la NIST V 1.1 © Gesfién de identidad, autenticacién y control de acceso PRAC-2. © Monittoreo Continuo de la Seguridad DE.CM-2. ién general y vocabulario de seguridad de Vil. Determinacién de las areas seguras de Briggs Equipment. Se considera como érea segura al espacio fkico donde se cimacena o procesa informacién confidencial y debe ser restingido su acceso por parte de Ia organizacion Briggs Equipment Los mecanismos para proteger el perimetro de seguridad fisica de los centros de datos donde se encuentren los servicios administrades contratados, la organizacién Briggs Equipment, deberd asegurar que los procesos y cpniroles de seguridad indicades en el presente procedimiento sean aplicados, asi comp los requerimientos de ciberseguridad ‘aplicables a la seguridad fisica de la organizaciéProcedimiento de revisiones periédicas al perimetro de ‘seguridad fisica VII Lineamientos para revisiones periddicas al perimetro de seguridad fisica, oficinas e instalaciones. * Se deben definir los perimetros de seguridad y Ia fortaleza de los controles de cada uno de éstos dependerd de los requerimientos de seguridad de los actives dentro de dicho perimetro y de los resultados de la evaluacién de riesgos. * El perimetro de seguridad debe ser fisicamente confiable (por ejemplo no deben existir huecos en los perimetros o Greas donde pudiera ocurir una entrada no autorizada); el techo, las paredes y el piso exterior deben tener una constuccién sdlida y todas las puertas externas deben ser apropiadas para proteger contra accesos no autorizados utilizando mecanismos de control (por ejemplo barras, alarmas, candados); las puertas y ventanas deben permanecer cerradas cuando nadie las esta ufiizando o se esté presente y se debe considerar la proteccién externa para ventanas especialmente en el primer nivel del perimetro, * Se debe contar con una recepcién con personal para controlar el acceso fisico al sitio 0 edificio; se debe restringir el acceso al perimetro sélo al personal autorizado. * Se deben implementar barreras fisicas como: bardas externas reforzadas, alambrada de proteccién y puerta principal robusta y barreras fisicas propias del parque industrial, + Se deben instalar sistemas de deteccién como CCTV, y estos deben ser revisados regularmente para verificar todas las Greas sensibles. Las dreas que no se encuentren en uso deben estar aseguradas al menos bajo llave. + Elcentro de datos o cuarto de comunicaciones administradas por la organizacion deben estar fisicamente separadas de aquellos instalaciones manejadas por terceros. + Debe procurarse ubicar instalaciones clave en lugares donde se evite el transito o acceso al publico. * Cuando sea aplicable, las areas sensibles deben ser discretos y no dar indicaciones de su propésito, con ausencia de sefales obvias, dentro 0 fuera de las mismas, que identifiquen la presencia de actividades de procesamiento de informacién sensible. * Se debe procurar que las instalaciones no permitan que la informacién confidencial las actividades sean visibles desdg el exterior. * Los directorios y listas de teléfofés internos que identifiquen la ubicacién de instalaciones de manejo de infommacién confidencial no deben ser accesibles para cualquier persona no autorizadeProcedimiento de revisiones periédicas al perimetro de seguridad fisica IX. Diagrama del procedimiento. ona duefia dela informacion Procedimiento de revisiones periddicas al perimetro de seguridad fisica ‘erente de] Personal de seguridad] X. Descripcion de actividades del procedimiento Persona No. Actividad Descripcién responsable Se establecen las areas y/o espacios con sus fequerimientos de seguridad dependiendo el Uso € infraestructura tecnolégica los cuales Propietario de alojard, a informacién Definicién de 1 perimetros de seguridad fisica Continda con actividad 2 Validar que el techo, paredes y piso exterior sean sdlides evitando huecos 0 espacios innecesarios, las puertas externas sean ‘apropiadas para proteger contra accesos no Aseguramiento autorizados con mecanismos de control Be ieee (bares. oloimas. "candedor ‘cerecuras atonal de Perimetrosde —electrénicas): puertas_ = y_—_-ventanas eS seguridad tisica permanezcan cemadas yy —_considerar proteccién extema adicional si es requerido. 2Se identifica alguna desviacion? Sk continva con actividad 11 NO: continda con actividad 3, Asegurar que el acceso y salida fisica del sitio Recepclon Por cuente con personal designado y que exisian Personal de 3 Reson liposvor electronicos Como” blometicos, “segura ura inteligento 1 ec030, ek ica Gesinadou Cerradurinfelgente,fojela de acceso. etc. Tie a8e identifica alguna desviacién?Adecuar barreras fisicas Validacién de sistema de cc Separacién de Greas criticas de procesamiento de informacién Aislamiento de instalaciones clave Restriccién en sefialamientos de instalaciones de procesamiento Ge informacion critica Restricciones a informacion confidencial, Visible o detectable desde el exterior Restriccién de directotios con manejo de informacion confidencial s6lo a personal autorizado seguridad fisica Sk continua con actividad 11 NO: confina con actividad 4, a8e identifica alguna desviacion? St: continva con actividad 11 NO: continua con actividad 5. Verificar que el sistema de circuito cerrado de television este en activo y vigile puertas y ventanas sobre todo los perimetros criticos de seguridad, las éreas que no se encuentren en Uso estar aseguradas bajo llave. ae identifica alguna desviacion? SI: continga con actividad 11 NO: continéa con actividad 6. Verificar fisicamente la separacién de sitios donde Briggs procesa informacién sensible de aaquellas Greas 0 espacios gestionados por terceros, 28e identifica alguna desviacién? Sk: continga con actividad 11 NO: continda con actividad 7, Revisar que las dreas clave estén en zonas 0 lugares especiticos donde se evite el facil y comin acceso al publico. 2Se identifica alguna desviacién? Sk: continda con la actividad 11, NO: continua con la actividad 8. Revisar el no tener sefalamientos, mensajes 0 pictogratia tuera y dentro de los edificios que indiquen la presencia de informacion o activos tecnolégicos eriticos 25¢ identifica alguna desviacion? Sk confinva con actividad 11. NO: continéa con actividad 9. Verificar que la seftal inalémbrica de la compaiiia no pueda ser visible 0 detectable desde el exterior de la organizacién. 2Se identifica alguna desviacion? ‘Sk continda con la actividad 11 NO: continua con la actividad 10, Verificar que los directorios 0 teléfonos que indican la bicacién de instalaciones 0 reas con manejo de informacién confidencial se encuentren restringidos a personal autorizado. aSe identifica alguna desviacién? St Continéa con actividad 11 NO: FIN DE PROCEDIMIENTO Procedimiento de revisiones periédicas al perimeto de Fi eee Personal de seguridad fisica Personal de seguridad fisica Personal de seguridad fisica Personal de seguridad fisical Personal de seguridad fisica Personal de seguridad fisica Personal de seguridad fisicaProcedimiento de revisiones periédicas al perimetro de seguridad fisica Toda incidencia u omisién identificeda al realizar la ejecucién de revisiones periddicas al Personal de perimetro de seguridad fisica del presente seguridad procedimiento tendién que ser registradas y ‘Fisica / notificadas al Gerente de Tl, a través del Gerente de Tl proceso de gestion de incidentes. Notificacién de 11 incidentes de seguridad fisica Xl. Revision y actualizacién. £1 Gerente de Tl, en conjunto con el responsable de la seguridad fisica el cual sera Gesignado por el director regional de cada ubicacién de Briggs Equipment, deberdn revisor or lo menos una vez al ao (12 meses} 0 cuando ocutran cambios significatives en la organizacién, la adecuacién y suficiencia del presente procedimiento y en caso de ser necesario el Administrador de Tl efectuaré las adecuaciones y cambios precisos a la misma. Cualquier cambio al presente procedimiento debe ser formalmente documentado en la seccién “Control de cambios XII. Comunicacién y difusién. El Administrador de TI se encargaré de que el presente procedimiento sea comunicado hacia los responsables de su ejecucién, segun sea apropiado, mediante los medios de comunicacién formales establecidos por Briggs Equipment. Se entiende como medios de comunicacién los siguientes: comunicados formales, correo electrénico corporativo, intranet institucional o cualquier otro medio. XII. Sanciones. Cualquier infraccién al presente procedimiento serd sujeto a las medidas disciplinarias Cotrespondientes segun lo establecido en el "Cédigo de ética y conducta” de Briggs Equipment, XIV. Distribucién. Documento disponible para el personal responsable/He la seguridad de la informacion y seguridad fisica de la organizacién Briggs Equipmer XV. Control de Cambios ‘CONTROL DE CAMBIOSProcedimiento de revisiones periédicas al perimetro de seguridad fisica 2 VERSION | FECHA RESPONSABLE BGR. 1.0 [07-octubre-2021 | Javier Emilio Alvarez Flores \ Emision V reve? Kio Martha Tamez Agfancro Rocha Gerente de Recursos Humanos a. Tabla de areas seguras y revisores. Nota: a continuacién, se muestra el formato de areas seguras de forma enunciativa mas no limitativa, la intormacién detallada y més actual con revisores se lleva en el archivo llamado “areas criticas” ubicado en repesitorio electrénico de Briggs Equipment gestionado por personal de la gerencia de Tl