Estoy buscando estándares específicos reales que se apliquen al control de acceso físico para el espacio de oficina de Seguridad de la Información. En pocas palabras, nuestro administrador del edificio quiere un concepto de oficina abierta, y para discutir esto, mi jefe quiere algunos estándares específicos. Debemos cumplir con los requisitos de NIST y PCI, pero también modelamos nuestra política corporativa de COBIT.
Es probable que desee echar un vistazo a los estándares ISO 27001.
Aquí hay un par de páginas web que se centran específicamente en los aspectos físicos de las oficinas para la seguridad:
Busque los siguientes términos en Google para encontrar muchos otros:
iso27001 seguridad física de oficinas
No hay un estándar fijo, pero hay muchas prácticas recomendadas ("mejores"). El principio básico de ISO 27001 o marcos similares, incluido COBIT, es que su organización implementa, supervisa y mejora su política organizativa. Si su jefe puede establecer una política de seguridad y él o ella declara que las oficinas abiertas no son adecuadas para el espacio de trabajo del equipo de seguridad de la información, eso podría ser suficiente. Este es el camino más corto desde 'aquí' hasta 'allí'.
En realidad, esto dependerá del perfil de riesgo de su organización y de la naturaleza del trabajo de su equipo. He trabajado en algunos equipos donde un plan de oficina abierta estaba absolutamente fuera de discusión, y otros donde no solo no era un problema, sino casi un requisito para que ese equipo funcionara en la organización. YMWV.
Lea otras preguntas en las etiquetas physical physical-access standards