Escrito por Oscar Andres Schmitz Jueves, 11 de Diciembre de 2008 22:00
Blog - Seguridad | Corporativa
Hoy en día estamos acostumbrados a que se prioricen las inversiones destinadas a la planificación de la seguridad informática, específicamente controles relacionados con antivirus, Internet, uso del correo electrónico, uso de contraseñas seguras, actividades de usuarios sensitivos, entre otros; dejando de lado los temas que a accesos físicos se refieren.
¿El control de accesos físicos es un problema menor?
Según el informe 2320 de TRENDS - IDC, de las 117 empresas encuestadas: el 63.2%, tenían proyectos para el año 2004 relacionados con Seguridad Informática, el 72.6% lo priorizaban en segundo lugar, el 95% el segmento de Finanzas lo priorizaba en primer lugar.
¿Cuánto asignan estas empresas a seguridad física? ¿Cuánto específicamente a accesos físicos?
Los proyectos mencionados tienen como gran objetivo fines tecnológicos, para el control y prevención de temas relacionados con antivirus, correo electrónico, accesos virtuales, acceso a Internet, etc.; pero poco se formula, y muchas veces no se cuenta con un responsable para la implementación de un esquema de seguridad física, en lo que respecta tanto a accesos físicos (que se tratará en detalle luego), como también a conceptos relacionados con seguridad e higiene, amenazas, contingencias o desastres naturales o creados por el hombre.
En estos últimos tiempos hemos vivido situaciones extremas donde ocurrieron sucesos que quebraron los controles instalados, y que desencadenaron en consecuencia la posterior implementación de un conjunto de controles o medidas de seguridad en forma extrema, a fin de que dichos eventos no volvieran a suceder. Como ejemplo espantoso podemos mencionar los sucesos ocurridos el 11/9/2001 en el atentado a las Torres Gemelas (NY) y su consecuente proceso enérgico en lo relacionado a controles de accesos, en particular aeropuertos.
Hablemos de las realidades de nuestra vida cotidiana. Nuestras casas resguardan elementos de valor monetario y sentimental. En algunos casos esos elementos valiosos son colocados en una caja fuerte, o en algún lugar de difícil acceso, a fin de impedir que nadie pueda tomarlos. Todas nuestras puertas y ventanas poseen llave o algún tipo de traba o cerrojo para impedir que personas del exterior puedan acceder al interior de la casa.
Todos los días cuando salimos a trabajar o tenemos que realizar alguna actividad fuera de nuestros hogares, seguramente cerramos la puerta con llave. No deseamos ni permitimos que un extraño pueda ingresar cuando nosotros estamos ausentes.
¿Alguien de nosotros dejaría las puertas abiertas? ¿Alguien de nosotros le dejaría la llave a algún desconocido? En nuestro caso, ¿Dejarían la puerta de la caja fuerte abierta o esos elementos valiosos en un lugar visible para que cualquiera que concurra a nuestra casa los pudieran tomar?
A medida que leamos las próximas líneas, pensemos en la respuesta a estas preguntas, busquemos comprender que no es un tema menor.
¿Qué entendemos por un acceso físico?
Básicamente cuando hablamos de “tipos de accesos”, estos son clasificados en dos categorías con riesgos bien diferenciados. En primer lugar tenemos los accesos físicos, relacionados con permisos a empleados, terceros ó proveedores y clientes, a oficinas, centro de cómputos, depósitos, archivos confidenciales, áreas restringidas, etc. En segundo lugar los accesos virtuales, que se relacionan con accesos lógicos a base de datos, aplicaciones en red, sistemas informáticos en general.
El concepto de área segura se relaciona con accesos físicos, teniendo como objetivo impedir el acceso sin autorización, daños e interferencia a las instalaciones de la empresa y su información.
Las áreas de seguridad serán menos o más seguras, de acuerdo a las actividades que desarrollen y al tipo de activos de información que gestionen, donde la protección que se les dará dependerá de la evolución de riesgos efectuada y la factibilidad de implementación de mecanismos de seguridad en relación a su costo y al beneficio marginal que provean. Podemos clasificarlas de la siguiente manera:
- áreas abiertas: por ejemplo, estacionamientos. Le corresponde un nivel nulo de seguridad.
- áreas públicas: por ejemplo, recepción o entrada general a la empresa. Le corresponde un nivel bajo de seguridad.
- áreas estándares: por ejemplo, oficinas y salas de reunión. Le corresponde un nivel estándar de seguridad.
- áreas restringidas: por ejemplo, áreas técnicas y sala de comunicaciones o cableado. Le corresponde un nivel estándar superior de seguridad.
- áreas seguras: por ejemplo un centro de cómputos, búnker de seguridad y área de pagos o manejo de efectivo. Le corresponde un nivel seguro.
- áreas altamente seguras: por ejemplo, bóvedas. Le corresponde un nivel de alta seguridad.
La protección de estas áreas, se lograrán con perímetros de seguridad física, determinados por barreras físicas pensadas en forma concéntricas a las instalaciones y a los activos de información que correspondan proteger.
El concepto de concéntrico apunta a desarrollar barreras físicas de lo mas general, como ser el acceso a un edificio, pasando por el acceso propio a la oficina y/o sala de oficinas, y llegando hasta la barrera interna menor que será la que depende directamente con la responsabilidad y/o la conducta del individuo, por ejemplo, activación del protector de pantalla de su estación de trabajo, o resguardo de la información que maneja en su propio escritorio.
Al desarrollar estas barreras físicas, se está estableciendo “el control de accesos físicos”, garantizando que solamente se permitirá el ingreso al personal autorizado. La decisión de que persona tiene acceso y en consecuencia a que activos de información, deberá ser un trabajo en conjunto realizado por el responsable de seguridad (IRM - Information Risk Management), los dueños o responsables de dicha información y el gerente correspondiente.
Consideremos algunos puntos a tener en cuenta en este proceso de control en los accesos:
- Los empleados internos de la empresa deberán poseer algún tipo de identificación visible, que permita que tanto el personal de seguridad como los mismos compañeros de trabajo, puedan determinar la presencia de un extraño.
- Los visitantes, (sean proveedores, terceros, clientes, etc.), deberán anunciarse, registrarse en la recepción, la cual le suministrará una tarjeta identificatoria de visita.
- Los visitantes, en todo momento, deberán estar acompañados por un empleado “identificable”.
- Las tareas realizadas por proveedores dentro de áreas seguras no deberán ser efectuadas, a menos que estén acompañados y/o sin supervisión por un empleado “identificable”.
- El acceso de los empleados (autorizados y no autorizados) y de terceros deberá ser registrado en cada uno de los accesos, sea en forma digital o en forma manual mediante libros de accesos. Esto significará la base de información para el control periódico de accesos.
- Se deberá impedir el acceso a áreas seguras de elementos que permitan capturar información confidencial, como ser, equipos fotográficos, cámaras de video, grabadoras de sonido o audio, entre otros.
- El acceso a los activos de información deberá ser asignado de acuerdo a lo que evalúe el dueño de dicha información, el gerente del área y el responsable de seguridad (IRM).
- Las puertas y ventanas deberán encontrarse cerradas cuando no exista personal.
- Instalar sistemas de detección de intrusos (sensor de movimiento, cámaras y alarmas), a fin de proporcionar cobertura en todo momento de las áreas en cuestión. Estos sistemas deberán ser mantenidos y controlados las 24x7 (24hs x 7 días a la semana).
- La asignación de tarjetas de acceso (o el mecanismo de acceso que posea la empresa), en consecuencia los permisos de accesos, deberán ser revisados, controlados y consensuados periódicamente.
- El uso impropio de las tarjetas de accesos no debe ser permitido (robo, pérdida, préstamos a otras personas o no uso de las mismas). Este accionar debe ser reportado y si fuera necesario deberá ser sancionado.
- Todos los empleados de la empresa deberán tomar cursos y recibir la concientización en lo que respecta a seguridad física, y el riesgo e impacto para la empresa en caso de ocurrir algún tipo de incidente.
- Los procedimientos de seguridad con relación a accesos físicos o relacionados con accesos físicos, deberán se controlados y actualizados periódicamente.
¿Qué relación tiene esto conmigo?
Los visitantes de la empresa son su responsabilidad, por ello controlar a las visitas no es un tema ajeno:
- Anuncie las visitas en la recepción.
- Acompañe a los invitados desde la recepción, hasta las salas de reunión, como así a la salida una vez finalizada la visita.
- Asegúrese que los visitantes deben estar acompañados en todo momento por un empleado calificado.
Si encuentra una persona desconocida o en actitud sospechosa, pregúntele si busca a alguien, asegúrese que no pasee por las instalaciones de la empresa. Acompáñelo a recepción, y llame a la persona que está visitando dentro de la empresa. Repórtelo al responsable de seguridad (IRM).
Las tarjetas de acceso identifican a empleados y los permisos de accesos a las distintas áreas seguras de la empresa, son la “llave personal” para acceder a diferentes fuentes de activos de información, por eso:
- Asegúrese de llevar siempre consigo su tarjeta de acceso.
- No la descuide y en ningún momento debe abandonarla, aunque crea que lo hace por poco tiempo.
- No preste nunca su tarjeta. Usted es el único responsable por los accesos que ella otorga.
- En caso de pérdida, reporte este incidente al responsable de seguridad (IRM).
Cuando se ausente de su escritorio, guarde bajo llave la información restringida y confidencial que usted maneja. Usted no sabe quien estará en su escritorio en su ausencia. Evite que la información restringida y confidencial sea de público conocimiento
Si encuentra bolsas o cajas abandonadas en áreas públicas, repórtelo al responsable de seguridad (IRM), podrían contener información confidencial y estar al alcance de extraños a la empresa.
En caso de encontrar algún punto vulnerable que usted crea que pueda ser mejorada la seguridad física implementada, repórtelo inmediatamente. Recuerde que la seguridad nos compete a todos.
Cuando se encuentre en la empresa donde trabaja o la organización donde estudia, piense como si estuviera en su casa… ¿La dejaría en manos de extraños?
Bibliografía: Estándar ISO/IEC 17799:2000 y BS 7799-2:2000
| < Prev | Próximo > |
|---|
 |
 |
 |
 |
Revista Impresa #16
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 3 registrados
Este mes: 12 registrados
Visitas
 | Hoy | 2751 |
 | Ayer | 5873 |
 | Esta semana | 23324 |
 | Ultima semana | 49831 |
 | Este mes | 118962 |
 | Ultimo mes | 238584 |
 | Todos los días | 8350511 |
Hoy: May 18, 2012
Comentarios
Hoy, existen estudios que indican que las violaciones de seguridad, podrían significar que una compañía no sea capaz de hacer negocios durante horas e incluso días, lo que afecta su credibilidad en el mercado. De esta manera este cambio cultural y respeto hacia el resguardo de la información, nos demuestra que prácticamente no existen gerentes comerciales o de informática que desconozcan el tema de los datacenters y el respaldo de la información.
Es por esto, que las empresas proveedoras de seguridad deben tener claro que sus principales objetivos deben ser educar y proveer en los servicios de respaldo, según mejor se adecue a la cultura interna de cada compañía, así como mantener sus procedimientos permanentemente actualizados para cumplir con los nuevos estándares que se van desarrollando. La clave está en lograr un muy buen nivel de seguridad y al mismo tiempo un eficiente nivel de operación.
Asimismo, y en cuanto a los reportes de seguridad, muchas empresas y sectores estatales tienen implementado un proceso para tales eventos pero en la generalidad de los casos queda en un papel escrito al cual se le asigna una importancia menor debido a que puede generar mas gastos o mayores problemas operativos.
Suscripción de noticias RSS para comentarios de esta entrada.