17 Abr Control 7.13: Mantenimiento de equipos y su impacto en la seguridad de la información
El mantenimiento de equipos es un elemento fundamental dentro de la seguridad de la información, especialmente en lo que respecta a los controles físicos. El control 7.13 se centra en garantizar que los dispositivos y sistemas críticos se mantengan en condiciones adecuadas, evitando fallos que puedan afectar al funcionamiento normal de la organización.
Finalidad del control 7.13
El objetivo principal de este control es prevenir incidentes derivados de un mantenimiento físico deficiente. Cuando los equipos no se revisan ni se cuidan correctamente, pueden producirse pérdidas de información, deterioro de activos, interrupciones del servicio o incluso situaciones que comprometan la seguridad de la organización.
Este control se aplica exclusivamente al mantenimiento físico de los equipos, por lo que no incluye aspectos relacionados con el software o el firmware. Cada organización debe identificar qué dispositivos son relevantes en función del impacto que su mal funcionamiento podría tener sobre la seguridad de la información.
Equipos incluidos en el control
Los equipos que requieren mantenimiento son aquellos que pueden verse afectados por factores externos como la temperatura, la humedad, el polvo o el desgaste natural con el paso del tiempo. También deben considerarse aquellos expuestos a riesgos físicos o posibles actos vandálicos.
En este contexto, se incluyen servidores, sistemas de alimentación ininterrumpida, generadores eléctricos, dispositivos de red, sistemas de climatización, detectores de incendios, alarmas, sistemas de videovigilancia y mecanismos de control de acceso. Todos estos elementos desempeñan un papel importante en la protección de la información y en la continuidad de las operaciones.
Importancia del mantenimiento adecuado
Un mantenimiento inadecuado puede tener consecuencias graves para la organización. Por ejemplo, si un generador de emergencia no ha sido revisado correctamente, podría fallar en el momento en que se necesite, dejando sin servicio a sistemas críticos durante un periodo prolongado.
Para evitar este tipo de situaciones, es necesario seguir tanto las recomendaciones de los fabricantes como las políticas internas de la organización. Además, el personal encargado debe contar con instrucciones claras y con acceso a la documentación necesaria.
En el caso de equipos críticos, como los sistemas de alimentación ininterrumpida, es fundamental realizar revisiones periódicas que incluyan la comprobación del estado físico, la limpieza para evitar acumulaciones de polvo, la revisión de baterías y la realización de pruebas de funcionamiento. También resulta imprescindible mantener registros de todas las intervenciones realizadas, ya que esto permite hacer un seguimiento adecuado y detectar posibles problemas a tiempo.
El mantenimiento preventivo contribuye a identificar fallos antes de que se conviertan en incidentes graves, lo que ayuda a garantizar la continuidad del servicio y a reducir riesgos.
Aplicabilidad del control
La aplicación de este control depende del análisis de riesgos realizado por la organización. No todos los equipos requieren el mismo nivel de mantenimiento, por lo que es importante determinar cuáles son críticos para la seguridad de la información.
En aquellos casos en los que el mantenimiento se delega en proveedores externos, la responsabilidad sigue siendo de la organización. Por ello, es necesario establecer acuerdos claros, definir niveles de servicio adecuados y supervisar que las tareas se realicen correctamente.
Auditoría del control 7.13
Durante una auditoría, se evalúa si el control ha sido implementado de forma adecuada. Para ello, se revisa si la organización ha identificado correctamente los equipos relevantes, si dispone de un inventario actualizado y si existen responsables asignados para el mantenimiento.
También se analiza la existencia de procedimientos definidos y si las tareas se están llevando a cabo según lo establecido. En este sentido, los registros e informes de mantenimiento son fundamentales como evidencia.
Además, se comprueba si los nuevos equipos se integran en los planes de mantenimiento y si el control cumple tanto con los requisitos del estándar como con las necesidades de la organización.
Aplicación en empresas de desarrollo de software
En una empresa de desarrollo de software, la importancia del mantenimiento de equipos varía según el modelo de infraestructura utilizado, aunque en todos los casos sigue siendo un factor clave para garantizar la continuidad del servicio.
En entornos basados en soluciones SaaS, la infraestructura principal suele estar gestionada por proveedores externos. En este caso, la organización no realiza directamente el mantenimiento físico de los equipos, pero sí debe asegurarse de que el proveedor cumple con estándares adecuados. Esto implica revisar contratos, acuerdos de nivel de servicio y certificaciones. Aun así, la empresa sigue siendo responsable del mantenimiento de sus propios equipos internos, como los ordenadores de los empleados o las redes locales.
Por otro lado, en entornos on-premise, donde la organización gestiona su propia infraestructura, el mantenimiento físico adquiere una mayor relevancia. Es necesario establecer planes periódicos para revisar servidores, sistemas de alimentación, dispositivos de red y sistemas de climatización. Una falta de mantenimiento en estos entornos puede provocar caídas del sistema, pérdida de datos o interrupciones del servicio.
Aplicación en pequeñas empresas
En las pequeñas empresas, el mantenimiento de equipos suele ser más sencillo, pero sigue siendo esencial para evitar problemas que afecten a la actividad diaria. Debido a la limitación de recursos, es habitual que no exista un equipo técnico especializado, por lo que las tareas de mantenimiento deben ser prácticas y bien organizadas.
Acciones como mantener los equipos limpios, evitar el sobrecalentamiento, revisar cables y conexiones o sustituir dispositivos deteriorados pueden marcar una gran diferencia. Asimismo, cuando el mantenimiento se externaliza, es importante asegurarse de que el proveedor cumple con sus obligaciones.
Mantener un inventario actualizado y un registro básico de las revisiones realizadas ayuda a prevenir fallos y facilita la gestión de los equipos.
Conclusión
El control 7.13 es una pieza clave dentro de la seguridad de la información, ya que garantiza que los equipos físicos se mantengan en condiciones óptimas. Un mantenimiento adecuado no solo previene fallos, sino que también contribuye a la continuidad del negocio y a la reducción de riesgos.
Independientemente del tamaño de la organización o del tipo de infraestructura utilizada, aplicar este control de manera efectiva permite asegurar que los sistemas funcionen correctamente y que la información esté protegida frente a posibles incidentes.