CXO Community | Tecnologa y Seguridad de la Informacin

La importancia de la seguridad en los accesos f&#237-sicos

Autor Oscar Andres Schmitz domingo, 28 de octubre de 2007 Modificado el lunes, 11 de febrero de 2008

Hoy en da estamos acostumbrados a que se prioricen las inversiones destinadas a la planificacin de la seguridad informtica, especficamente controles relacionados con antivirus, Internet, uso del correo electrnico, uso de contraseas seguras, actividades de usuarios sensitivos, entre otros; dejando de lado los temas que a accesos fsicos se refieren.

El control de accesos fsicos es un problema menor? Segn el informe 2320 de TRENDS - IDC, de las 117 empresas encuestadas: el 63.2%, tenan proyectos para el ao 2004 relacionados con Seguridad Informtica, el 72.6% lo priorizaban en segundo lugar, el 95% el segmento de Finanzas lo priorizaba en primer lugar. Cunto asignan estas empresas a seguridad fsica? Cunto especficamente a accesos fsicos? Los proyectos mencionados tienen como gran objetivo fines tecnolgicos, para el control y prevencin de temas relacionados con antivirus, correo electrnico, accesos virtuales, acceso a Internet, etc.; pero poco se formula, y muchas veces no se cuenta con un responsable para la implementacin de un esquema de seguridad fsica, en lo que respecta tanto a accesos fsicos (que se tratar en detalle luego), como tambin a conceptos relacionados con seguridad e higiene, amenazas, contingencias o desastres naturales o creados por el hombre. En estos ltimos tiempos hemos vivido situaciones extremas donde ocurrieron sucesos que quebraron los controles instalados, y que desencadenaron en consecuencia la posterior implementacin de un conjunto de controles o medidas de seguridad en forma extrema, a fin de que dichos eventos no volvieran a suceder. Como ejemplo espantoso podemos mencionar los sucesos ocurridos el 11/9/2001 en el atentado a las Torres Gemelas (NY) y su consecuente proceso enrgico en lo relacionado a controles de accesos, en particular aeropuertos. Hablemos de las realidades de nuestra vida cotidiana. Nuestras casas resguardan elementos de valor monetario y sentimental. En algunos casos esos elementos valiosos son colocados en una caja fuerte, o en algn lugar de difcil acceso, a fin de impedir que nadie pueda tomarlos. Todas nuestras puertas y ventanas poseen llave o algn tipo de traba o cerrojo para impedir que personas del exterior puedan acceder al interior de la casa. Todos los das cuando salimos a trabajar o tenemos que realizar alguna actividad fuera de nuestros hogares, seguramente cerramos la puerta con llave. No deseamos ni permitimos que un extrao pueda ingresar cuando nosotros estamos ausentes. Alguien de nosotros dejara las puertas abiertas? Alguien de nosotros le dejara la llave a algn desconocido? En nuestro caso, Dejaran la puerta de la caja fuerte abierta o esos elementos valiosos en un lugar visible para que cualquiera que concurra a nuestra casa los pudieran tomar? A medida que leamos las prximas lneas, pensemos en la respuesta a estas preguntas, busquemos comprender que no es un tema menor.

Qu entendemos por un acceso fsico? Bsicamente cuando hablamos de “tipos de accesos”, estos son clasificados en dos categoras con riesgos bien diferenciados. En primer lugar tenemos los accesos fsicos, relacionados con permisos a empleados, terceros proveedores y clientes, a oficinas, centro de cmputos, depsitos, archivos confidenciales, reas restringidas, etc. En segundo lugar los accesos virtuales, que se relacionan con accesos lgicos a base de datos, aplicaciones en red, sistemas informticos en general. El concepto de rea segura se relaciona con accesos fsicos, teniendo como objetivo impedir el acceso sin autorizacin, daos e interferencia a las instalaciones de la empresa y su informacin. Las reas de seguridad sern menos o ms seguras, de acuerdo a las actividades que desarrollen y al tipo de activos de informacin que gestionen, donde la proteccin que se les dar depender de la evolucin de riesgos efectuada y la factibilidad de implementacin de mecanismos de seguridad en relacin a su costo y al beneficio marginal que provean.
http://cxo-community.com.ar Potenciado por Joomla! Generado: 20 November, 2008, 22:25

CXO Community | Tecnologa y Seguridad de la Informacin

Podemos clasificarlas de la siguiente manera: - reas abiertas: por ejemplo, estacionamientos. Le corresponde un nivel nulo de seguridad. - reas pblicas: por ejemplo, recepcin o entrada general a la empresa. Le corresponde un nivel bajo de seguridad. - reas estndares: por ejemplo, oficinas y salas de reunin. Le corresponde un nivel estndar de seguridad. - reas restringidas: por ejemplo, reas tcnicas y sala de comunicaciones o cableado. Le corresponde un nivel estndar superior de seguridad. - reas seguras: por ejemplo un centro de cmputos, bnker de seguridad y rea de pagos o manejo de efectivo. Le corresponde un nivel seguro. - reas altamente seguras: por ejemplo, bvedas. Le corresponde un nivel de alta seguridad. La proteccin de estas reas, se lograrn con permetros de seguridad fsica, determinados por barreras fsicas pensadas en forma concntricas a las instalaciones y a los activos de informacin que correspondan proteger. El concepto de concntrico apunta a desarrollar barreras fsicas de lo mas general, como ser el acceso a un edificio, pasando por el acceso propio a la oficina y/o sala de oficinas, y llegando hasta la barrera interna menor que ser la que depende directamente con la responsabilidad y/o la conducta del individuo, por ejemplo, activacin del protector de pantalla de su estacin de trabajo, o resguardo de la informacin que maneja en su propio escritorio. Al desarrollar estas barreras fsicas, se est estableciendo “el control de accesos fsicos”, garantizando que solamente se permitir el ingreso al personal autorizado. La decisin de que persona tiene acceso y en consecuencia a que activos de informacin, deber ser un trabajo en conjunto realizado por el responsable de seguridad (IRM - Information Risk Management), los dueos o responsables de dicha informacin y el gerente correspondiente. Consideremos algunos puntos a tener en cuenta en este proceso de control en los accesos: - Los empleados internos de la empresa debern poseer algn tipo de identificacin visible, que permita que tanto el personal de seguridad como los mismos compaeros de trabajo, puedan determinar la presencia de un extrao. - Los visitantes, (sean proveedores, terceros, clientes, etc.), debern anunciarse, registrarse en la recepcin, la cual le suministrar una tarjeta identificatoria de visita. - Los visitantes, en todo momento, debern estar acompaados por un empleado “identificable”. - Las tareas realizadas por proveedores dentro de reas seguras no debern ser efectuadas, a menos que estn acompaados y/o sin supervisin por un empleado “identificable”. - El acceso de los empleados (autorizados y no autorizados) y de terceros deber ser registrado en cada uno de los accesos, sea en forma digital o en forma manual mediante libros de accesos. Esto significar la base de informacin para el control peridico de accesos. - Se deber impedir el acceso a reas seguras de elementos que permitan capturar informacin confidencial, como ser, equipos fotogrficos, cmaras de video, grabadoras de sonido o audio, entre otros. - El acceso a los activos de informacin deber ser asignado de acuerdo a lo que evale el dueo de dicha informacin, el gerente del rea y el responsable de seguridad (IRM). - Las puertas y ventanas debern encontrarse cerradas cuando no exista personal. - Instalar sistemas de deteccin de intrusos (sensor de movimiento, cmaras y alarmas), a fin de proporcionar cobertura en todo momento de las reas en cuestin. Estos sistemas debern ser mantenidos y controlados las 24x7 (24hs x 7 das a la semana). - La asignacin de tarjetas de acceso (o el mecanismo de acceso que posea la empresa), en consecuencia los permisos de accesos, debern ser revisados, controlados y consensuados peridicamente. - El uso impropio de las tarjetas de accesos no debe ser permitido (robo, prdida, prstamos a otras personas o no uso de las mismas). Este accionar debe ser reportado y si fuera necesario deber ser sancionado. - Todos los empleados de la empresa debern tomar cursos y recibir la concientizacin en lo que respecta a seguridad
http://cxo-community.com.ar Potenciado por Joomla! Generado: 20 November, 2008, 22:25

CXO Community | Tecnologa y Seguridad de la Informacin

fsica, y el riesgo e impacto para la empresa en caso de ocurrir algn tipo de incidente. - Los procedimientos de seguridad con relacin a accesos fsicos o relacionados con accesos fsicos, debern se controlados y actualizados peridicamente.

Qu relacin tiene esto conmigo? Los visitantes de la empresa son su responsabilidad, por ello controlar a las visitas no es un tema ajeno: - Anuncie las visitas en la recepcin. - Acompae a los invitados desde la recepcin, hasta las salas de reunin, como as a la salida una vez finalizada la visita. - Asegrese que los visitantes deben estar acompaados en todo momento por un empleado calificado. Si encuentra una persona desconocida o en actitud sospechosa, pregntele si busca a alguien, asegrese que no pasee por las instalaciones de la empresa. Acompelo a recepcin, y llame a la persona que est visitando dentro de la empresa. Reprtelo al responsable de seguridad (IRM). Las tarjetas de acceso identifican a empleados y los permisos de accesos a las distintas reas seguras de la empresa, son la “llave personal” para acceder a diferentes fuentes de activos de informacin, por eso: - Asegrese de llevar siempre consigo su tarjeta de acceso. - No la descuide y en ningn momento debe abandonarla, aunque crea que lo hace por poco tiempo. - No preste nunca su tarjeta. Usted es el nico responsable por los accesos que ella otorga. - En caso de prdida, reporte este incidente al responsable de seguridad (IRM). Cuando se ausente de su escritorio, guarde bajo llave la informacin restringida y confidencial que usted maneja. Usted no sabe quien estar en su escritorio en su ausencia. Evite que la informacin restringida y confidencial sea de pblico conocimiento Si encuentra bolsas o cajas abandonadas en reas pblicas, reprtelo al responsable de seguridad (IRM), podran contener informacin confidencial y estar al alcance de extraos a la empresa. En caso de encontrar algn punto vulnerable que usted crea que pueda ser mejorada la seguridad fsica implementada, reprtelo inmediatamente. Recuerde que la seguridad nos compete a todos. Cuando se encuentre en la empresa donde trabaja o la organizacin donde estudia, piense como si estuviera en su casa… La dejara en manos de extraos?

Bibliografa: Estndar ISO/IEC 17799:2000 y BS 7799-2:2000

http://cxo-community.com.ar

Potenciado por Joomla!

Generado: 20 November, 2008, 22:25