De lo lógico a lo físico. Dos dimensiones, un mismo acceso

OpiniónComo sabemos, el entorno de los datos y los procesos que los convierten en información no se limita solo a lo relacionado con la tecnología. Contener y procesar información requiere de nosotros el ejercicio de ampliar nuestra visión y proponernos un viaje imaginario entre el mundo digital y el físico, ya que como ejecutivos de la seguridad entendemos que todo proyecto u operación de TI necesita para su gestión y la de seguridad de la información, un especial cuidado del aspecto físico.

Referente a ello, hay aspectos importantes que debemos conocer respecto del entorno físico de la información y que deben ser aplicados casi como un espejo de nuestras decisiones tomadas acerca de las plataformas tecnológicas y sus componentes… Imaginemos este viaje entre lo digital y lo físico preguntándonos ¿Por qué me preocupo en restringir los accesos a archivos si dejo abierta la puerta del centro de datos? O, ¿si imprimo ese archivo electrónico y lo dejo sobre mi escritorio a la vista de los demás cuando me retiro?

Establecer una visión de protección física por sobre aquello que ya estoy protegiendo digitalmente marca una necesidad de vencer la barrera de lo cultural partiendo de la base de establecer un plan de concientización, con una visión global del entorno de la información, y de definir un plan de capacitación para nuestros líderes de seguridad con la finalidad de que tengan en cuenta los aspectos de seguridad física que además (y por si fuera poco) también tiene un impacto en el cumplimiento regulatorio.

Como respuesta a esta necesidad y como custodios de los activos de información de nuestra organización, es que debemos pensar en un sistema de tratamiento y protección de información que consista en la aplicación de medidas de prevención y contramedidas para asegurar la gestión de los medios que la contengan y los espacios físicos donde se almacene o procese.

Los principales aspectos que se deben tener en cuenta dentro del sistema de tratamiento y protección de información son:

  • Incluir dentro de la clasificación de información aspectos relacionados con los medios de tratamiento de la misma (impresoras, destructoras, faxes, notebooks) y aquella información que se encuentre contenida en cualquier medio físico (CD/DVD, papel, discos extraíbles, memorias USB, cintas de respaldo, etc.).
  • Con base en lo anterior, identificar los espacios físicos donde se trate información confidencial o sensible y, al igual que las salas de sistemas y comunicaciones, etiquetarlos y proteger su entorno como “área restringida” mediante procedimientos o herramientas que aseguren el acceso y monitoreo adecuado.
  • Establecer normas y procedimientos asociados al ciclo de vida de la información contenida en medios físicos, tal como lo hacemos para el formato digital, que permitan identificar responsables, pautas de gestión, hitos de control y métodos de disposición final.
  • Definir normas y procedimientos que contemplen toda la gestión de tarjetas de acceso, así como la instalación, configuración y operación del sistema cerrado de TV y equipos de control de acceso.
  • Proveer de un marco de cumplimiento que abarque no solo a los integrantes de la organización, sino también a terceras partes, incluyendo aspectos relacionados con el comportamiento dentro de áreas restringidas

Un detalle importante es la necesidad de actuar colaborativamente en estos aspectos con otros sectores de la compañía, como las áreas de recursos humanos, seguridad e higiene, intendencia, legal y otras.

Los requerimientos de cumplimiento establecidos por las regulaciones y certificaciones actuales, tales como PCI o leyes de protección de datos, indican que se deben proteger las áreas restringidas de igual forma que con la seguridad lógica determinando niveles de protección en el acceso a las mismas, cuyas características dependerán del área a proteger y del nivel de información que en ella se procese o almacene. Entre las áreas restringidas pueden mencionarse los centros de procesamiento de datos (Data Centers), salas de comunicaciones, salas de embozado de tarjetas de crédito, oficinas de sectores legales o administrativas que traten información confidencial o sensible (historias clínicas, datos bancarios, etc.).

No es necesario establecer niveles complejos de protección, simplemente con determinar dos niveles en los que pueda agruparse en un primer nivel los ambientes en los que se trate información ligada a los objetivos, la operación de la organización y  los compromisos con terceros; en un segundo nivel, los de carácter general de la compañía, cuya pérdida no afecte seriamente la operación normal de la organización. La división es importante pues permitirá “proteger” nuestro presupuesto al enfocarnos solo en aquellos espacios en los que se requiera, de acuerdo al análisis y clasificación de los activos de información y su entorno.

Al igual que en el mundo digital, el nivel de protección de seguridad física a aplicar a un área debe corresponder al de mayor nivel de clasificación de la información que en ella se trate o almacene. En consecuencia, una vez determinados los niveles de protección, se otorgarán los accesos a los empleados y colaboradores teniendo en cuenta la función que los mismos desarrollarán en la organización y los niveles de seguridad de los espacios físicos a los cuales deban acceder. A su vez, se debe contar con herramientas que permitan monitorear y registrar que las definiciones impuestas se cumplan, como los circuitos CCTV y controles de acceso.

Otros aspectos que habrá que tener en cuenta están relacionados con las decisiones estratégicas a tomar ante cambios en edificios o futuras mudanzas, donde es necesario considerar lo siguiente:

  • Evitar la existencia de aberturas (para el caso de Data Centers) o bien que las mismas no estén accesibles a sitios externos, como por ejemplo pasillos públicos en galerías o acceso por veredas fuera de la línea de catastro.
  • Las paredes externas deben ser de construcción sólida. Las puertas que dan al exterior, así como las ventanas, conductos de refrigeración y calefacción deben poseer adecuados mecanismos de control, por ejemplo rejas, alarmas y cerraduras de seguridad.
  • En lo relacionado a aspectos de vigilancia, el ingreso de personas debe ser registrado en bitácoras o mediante tarjetas de proximidad y monitoreado por cámaras de circuito cerrado, además de contar con puntos de control de acuerdo a la distribución de plantas que tenga el edificio.
  • Disponer de dispositivos de control de acceso instalados en las áreas identificadas como restringidas, que sean capaces de identificar y registrar a todas las personas que acceden o salen de estas áreas, así como los horarios en que se efectuaron estas acciones, previendo resguardar los registros por el tiempo mínimo indicado por el marco regulatorio que aplique a la compañía.

Una forma de gestionar eficientemente el sistema de seguridad física es contar con la colaboración de cada gerencia usuaria, a la cual se le puede asignar la administración del control de acceso de su propio sector del edificio y que sea esta la que autorice el acceso a ese sector a quien corresponda. Continuando con las similitudes, ante una modificación en la situación laboral del personal, debe preverse el cambio de permisos sobre la tarjeta de acceso, así como requerir que todo el personal interno o externo la exhiba como forma de identificación y alentar a cuestionar la presencia de desconocidos no escoltados y la no exhibición de una identificación.

Seguridad de la información también representa factores ambientales, ya que la disponibilidad e integridad de esa información depende de las condiciones básicas de temperatura, humedad, higiene y de las medidas preventivas tales como sistemas automáticos de detección/extinción de incendios. Las condiciones ambientales también pueden verse afectadas si no se mantienen bajo control los riesgos asociados al comportamiento de las personas dentro de las áreas restringidas, donde tendrá que ponerse especial énfasis en:

  • No ingresar ni almacenar materiales inflamables o peligrosos. En caso de que se requiera, no olvidar remover los desechos y cajas vacías al finalizar tareas de instalación, por ejemplo.
  • No permitir comidas, bebidas o fumar dentro de los centros de datos o algunas áreas restringidas que así lo requieran.
  • Prohibir el uso de cámaras fotográficas, cámaras de video o equipos móviles provistos con cámaras fotográficas. No permitir el bloqueo de pasillos, elevadores o cualquier otro espacio público de paso y uso común.
  • Evitar el uso de aspiradoras, taladros o artefactos similares en las áreas de almacenamiento de datos, para no contaminar con polvo los discos o cualquier otro elemento mecánico que contenga o procese información.

Para finalizar, y como parte fundamental del aseguramiento de la confidencialidad de la información, también debe contemplarse en el plan de tratamiento de datos los lineamientos para la destrucción de información contenida en soportes impresos o magnéticos (CD, DVD, discos externos, etc.) que permita aplicar una forma de disposición final de la información adecuada basada en los siguientes pasos:

  • Inventario – Enumere en un documento toda la información retenida por la situación, incluyendo datos operacionales sobre la misma.
  • Análisis – Efectúe una revisión de todos los datos en cada grupo de información particular, y prepare un cronograma preliminar de custodia.
  • Destrucción – Identifique y destruya cualquier tipo de información cuyo periodo de custodia haya expirado, o cuando considere que ya no es necesaria. Los métodos y herramientas utilizadas para este fin deben asegurar que la información no pueda ser reconstruida.
  • Mantenimiento – Mantenga este programa, asegure su actualización y supervise la correcta realización de la destrucción de información inactiva.

Si bien esto aplica a la información sin importar su formato, recordemos que cuando debamos determinar qué información debe ser destruida, habrá que tomar en cuenta aquella que tiene un periodo de custodia estipulado por agencias gubernamentales, por motivos legales, impositivos u otros. El periodo de custodia de esta información es determinado dentro de la compañía con base en su importancia o necesidad y teniendo en cuenta los requisitos legales aplicables a la información retenida.

Pensar en seguridad consiste primero en conocer los diferentes procesos a asegurar y su entorno, para luego aplicar la tecnología necesaria de aseguramiento de su calidad de procesamiento basada en la confidencialidad, integridad y disponibilidad de la información que tratan, inclusive en los aspectos físicos, que también deben estar incluidos en sus estrategias de seguridad.

[email protected]

Fabián Descalzo, COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, ISMS Auditor/Lead Auditor ISO/IEC 27001

Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Deloitte & Co., con 28 años de experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la Información. Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas), Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA, certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN), auditor ISO 20000 (LSQA-Latu), IRCA ISMS Auditor / Lead Auditor ISO/IEC 27001 y Lead Auditor ISO/IEC 20000 TÜV Rheinland. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter. Docente del módulo 27001 del curso de “IT Governance, Uso eficiente de Frameworks” y de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del Instituto Tecnológico de Buenos Aires (ITBA); Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.