Año 3 - N°6 | Junio 2007   

- Entrevista

- Las Leyes

- Palabras de Ciso

- Tips para un Ciso

- Punto de Vista

- Hacking bajo la lupa

- Estadísticas

- Productos

- Capacitación

- Toolbox

- Links de Interés

- Lo Sabías?

- Hot Vulnerabilities 

- E-Fraude

- Noticias

- Bolsa de Trabajo

- Agenda & Eventos

- Carta de Lectores

- Libro de Pases

- El Chiste

Palabras de CISO

 

La Importancia de la Seguridad en los Accesos Físicos

Por Oscar Andrés Schmitz

CIO, Meridian Financial

Director de Editorial, Revista CIO Cono Sur

Profesor del IUPFA (Instituto Universitario de la Policía Federal Argentina)

Ingeniero Sistemas de Información (UTN)

MBA (CEMA).

Hoy en día estamos acostumbrados a que se prioricen las inversiones destinadas a la planificación de la seguridad informática, específicamente controles relacionados con antivirus, internet, uso del correo electrónico, uso de contraseñas seguras, actividades de usuarios sensitivos, entre otros; dejando de lado los temas que a accesos físicos se refieren.

 

¿El control de Accesos Físicos es un Problema Menor?

Según el informe 2320 de TRENDS-IDC, de las 117 empresas encuestadas: el 63.2%, tenían proyectos relacionados con Seguridad Informática, el 72.6% lo priorizaban en segundo lugar, el 95% el segmento de Finanzas lo priorizaba en primer lugar. ¿Cuánto asignan estas empresas a Seguridad Física? ¿Cuánto específicamente a Accesos Físicos?

 

Los proyectos mencionados tienen como gran objetivo fines tecnológicos, para el control y prevención de temas relacionados con antivirus, correo electrónico, accesos virtuales, acceso a Internet, etc; pero poco se formula, y muchas veces no se cuenta con un responsable para la implementación de un esquema de seguridad física, en lo que respecta tanto a accesos físicos (que se tratará en detalle luego), como también a conceptos relacionados con seguridad e higiene, amenazas, contingencias o desastres naturales o creados por el hombre.

 

En estos últimos tiempos hemos vivido situaciones extremas donde ocurrieron sucesos que quebraron los controles instalados, y que desencadenaron en consecuencia la posterior implementación de un conjunto de controles o medidas de seguridad en forma extrema, a fin de que dichos eventos no volvieran a suceder. Como ejemplo espantoso podemos mencionar los sucesos ocurridos el 11/9/2001 en el atentado a las Torres Gemelas (NY) y su consecuente proceso enérgico en lo relacionado a controles de accesos, en particular aeropuertos.

 

Hablemos de las realidades de nuestra vida cotidiana. Nuestras casas resguardan elementos de valor monetario y sentimental. En algunos casos esos elementos valiosos son colocados en una caja fuerte, o en algún lugar de difícil acceso, a fin de impedir que nadie pueda tomarlos. Todas nuestras puertas y ventanas poseen llave o algún tipo de traba o cerrojo para impedir que personas del exterior puedan acceder al interior de la casa.

 

Todos los días cuando salimos a trabajar o tenemos que realizar alguna actividad fuera de nuestros hogares, seguramente cerramos la puerta con llave. No deseamos ni permitimos que un extraño pueda ingresar cuando nosotros estamos ausentes. ¿Alguien de nosotros dejaría las puertas abiertas? ¿Alguien de nosotros le dejaría la llave a algún desconocido? En nuestro caso, ¿Dejarían la puerta de la caja fuerte abierta o esos elementos valiosos en un lugar visible para que cualquiera que concurra a nuestra casa los pudiera tomar?

 

A medida que leamos las próximas líneas, pensemos en la respuesta a estas preguntas, busquemos comprender que no es un tema menor.

 

¿Qué entendemos por un Acceso Físico? Básicamente cuando hablamos de “tipos de accesos”, estos son clasificados en dos categorías con riesgos bien diferenciados. En primer lugar tenemos los accesos físicos, relacionados con permisos a empleados, terceros ó proveedores y clientes, a oficinas, centro de cómputos, depósitos, archivos confidenciales, áreas restringidas, etc. En segundo lugar los accesos virtuales, que se relacionan con accesos lógicos a base de datos, aplicaciones en red, sistemas informáticos en general.

 

El concepto de área segura se relaciona con accesos físicos, teniendo como objetivo impedir el acceso sin autorización, daños e interferencia a las instalaciones de la empresa y su información.

 

Las áreas de seguridad serán menos o más seguras, de acuerdo a las actividades que desarrollen y al tipo de activos de información que gestionen, donde la protección que se les dará dependerá de la evolución de riesgos efectuada y la factibilidad de implementación de mecanismos de seguridad en relación a su costo y al beneficio marginal que provean.

 

Podemos clasificarlas de la siguiente manera:

  • Áreas abiertas: por ejemplo, estacionamientos. Le corresponde un nivel nulo de seguridad.

  • Áreas públicas: por ejemplo, recepción o entrada general a la empresa. Le corresponde un nivel bajo de seguridad.

  • Áreas estándares: por ejemplo, oficinas y salas de reunión. Le corresponde un nivel estándar de seguridad.

  • Áreas restringidas: por ejemplo, áreas técnicas y sala de comunicaciones o cableado. Le corresponde un nivel estándar superior de seguridad.

  • Áreas seguras: por ejemplo un centro de cómputos, búnker de seguridad y área de pagos o manejo de efectivo. Le corresponde un nivel seguro.

  • Áreas altamente seguras: por ejemplo, bóvedas. Le corresponde un nivel de alta seguridad.

La protección de estas áreas, se logrará con perímetros de seguridad física, determinados por barreras físicas pensadas en forma concéntricas a las instalaciones y a los activos de información que correspondan proteger.

 

El concepto de concéntrico apunta a desarrollar barreras físicas de lo más general, como ser el acceso a un edificio, pasando por el acceso propio a la oficina y/o sala de oficinas, y llegando hasta la barrera interna menor que será la que depende directamente con la responsabilidad y/o la conducta del individuo, por ejemplo, activación del protector de pantalla de su estación de trabajo, o resguardo de la información que maneja en su propio escritorio.

 

Al desarrollar estas barreras físicas, se está estableciendo “el control de accesos físicos”, garantizando que solamente se permitirá el ingreso al personal autorizado. La decisión de qué persona tiene acceso y, en consecuencia, a qué activos de información, deberá ser un trabajo en conjunto realizado por el responsable de seguridad (IRM  - Information Risk Management), los dueños o responsables de dicha información y el gerente correspondiente.

 

Consideremos algunos puntos a tener en cuenta en este proceso de control en los accesos:

Los empleados internos de la empresa deberán poseer algún tipo de identificación visible, que permita que tanto el personal de seguridad como los mismos compañeros de trabajo, puedan determinar la presencia de un extraño.

 

Los visitantes, (sean proveedores, terceros, clientes, etc), deberán anunciarse, registrarse en la recepción, la cual le suministrará una tarjeta identificatoria de visita. Los visitantes, en todo momento, deberán estar acompañados por un empleado “identificable”.

 

Las tareas realizadas por proveedores dentro de áreas seguras no deberán ser efectuadas, a menos que estén acompañados y/o sin supervisión por un empleado “identificable”.

 

El acceso de los empleados (autorizados y no autorizados) y de terceros deberá ser registrado en cada uno de los accesos, sea en forma digital o en forma manual mediante libros de accesos. Esto significará la base de información para el control periódico de accesos.

 

Se deberá impedir el acceso a áreas seguras de elementos que permitan capturar información confidencial, como ser, equipos fotográficos, cámaras de video, grabadoras de sonido o audio, entre otros.

 

El acceso a los activos de información deberá ser asignado de acuerdo a lo que evalúe el dueño de dicha información, el gerente del área y el responsable de seguridad (IRM).

 

Las puertas y ventanas deberán encontrarse cerradas cuando no exista personal. Se deberán instalar sistemas de detección de intrusos (sensor de movimiento, cámaras y alarmas), a fin de proporcionar cobertura en todo momento de las áreas en cuestión. Estos sistemas deberán ser mantenidos y controlados las 24x7 (24hs x 7 días a la semana).

 

La asignación de tarjetas de acceso (o el mecanismo de acceso que posea la empresa), en consecuencia los permisos de accesos, deberán ser revisados, controlados y consensuados periódicamente.

 

El uso impropio de las tarjetas de accesos no debe ser permitido (robo, pérdida, préstamos a otras personas o no uso de las mismas). Este accionar debe ser reportado y si fuera necesario deberá ser sancionado.

 

Todos los empleados de la empresa deberán tomar cursos y recibir la concientización en lo que respecta a seguridad física, y el riesgo e impacto para la empresa en caso de ocurrir algún tipo de incidente.

 

Los procedimientos de seguridad con relación a accesos físicos o relacionados con accesos físicos, deberán se controlados y actualizados periódicamente.

 

¿Qué relación tiene esto conmigo?

Los visitantes de la empresa son su responsabilidad, por ello controlar a las visitas no es un tema ajeno:

  • Anuncie las visitas en la recepción.

  • Acompañe a los invitados desde la recepción, hasta las salas de reunión, como así a la salida una vez finalizada la visita.

  • Asegúrese de que los visitantes deben estar acompañados en todo momento por un empleado calificado.

Si encuentra una persona desconocida o en actitud sospechosa, pregúntele si busca a alguien, asegúrese de que no pasee por las instalaciones de la empresa. Acompáñelo a recepción, y llame a la persona que está visitando dentro de la empresa. Repórtelo al responsable de seguridad (IRM). Las tarjetas de acceso identifican a empleados y los permisos de accesos a las distintas áreas seguras de la empresa, son la “llave personal” para acceder a diferentes fuentes de activos de información, por eso:

  • Asegúrese de llevar siempre consigo su tarjeta de acceso.

  • No la descuide y en ningún momento debe abandonarla, aunque crea que lo hace por poco tiempo.

  • No preste nunca su tarjeta. Usted es el único responsable por los accesos que ella otorga.

  • En caso de pérdida, reporte este incidente al responsable de seguridad (IRM).

Cuando se ausente de su escritorio, guarde bajo llave la información restringida y confidencial que usted maneja. Usted no sabe quien estará en su escritorio en su ausencia. Evite que la información restringida y confidencial sea de público conocimiento. Si encuentra bolsas o cajas abandonadas en áreas públicas, repórtelo al responsable de seguridad (IRM), podrían contener información confidencial y estar al alcance de extraños a la empresa.

 

En caso de encontrar algún punto vulnerable que usted crea que pueda ser mejorada la seguridad física implementada, repórtelo inmediatamente. Recuerde que la seguridad nos compete a todos.

 

Cuando se encuentre en la empresa donde trabaja o la organización donde estudia, piense como si estuviera en su casa… ¿La dejaría en manos de extraños?

 

Bibliografía: Estándar ISO/IEC 17799:2000 y BS 7799-2:2000

Oscar Andrés Schmitz

CIO, Meridian Financial

Director de Editorial, Revista CIO Cono Sur

Email: oscar_schmitz@yahoo.com.ar

LinkedIn: http://www.linkedin.com/in/oschmitz

 

Copyright © 2007 I-SEC. Todos los derechos reservados

Política de protección de Datos Personales