Seguridad en capas: Seguridad Física.

-Buenos días , tengo una sesión con la ingeniera “x” exclamó el agente malicioso mientras la recepcionista estaba concentrada en el teléfono y la computadora.

-Si en un momento lo anuncio exclamó la recepcionista sin despegar la vista del computador.

-Acabo de hablar con ella y me dijo que me estaba esperando.

-Está bien, permítame colocar la clave en la puerta, la oficina de la ingeniera x se encuentra en el segundo piso, mientras ingresaba la clave a vista del agente malicioso.

Aunque parece que lo relatado en el primer párrafo sale de una conversación ficticia, es algo que ocurrió durante una de mis experiencias como consultor de seguridad informática, lo que hace pensar lo descuidado que está el control del acceso físico cuando a la seguridad informática nos referimos.

La seguridad física y del entorno en términos de informática abarca muchas áreas incluyendo algunas que se  muestran en la siguiente imagen: 

Referencia

En este blog nos enfocaremos en los siguientes puntos que nos ayudarán a considerar aspectos importantes en la seguridad de la información:

  1. Acceso a las instalaciones.
  2. Acceso a sitios sensibles.
  3. Diseño del espacio de trabajo.
  4. Plan de contingencias.

Acceso a las instalaciones:

Si bien nos parece lo más normal del mundo ingresar a la organización a la que pertenecemos, es probable que no reparemos en los controles que se debe pasar para acceder a la misma por parte de los visitantes.

Es por ello que se deben establecer medidas o políticas para lograr esto entre las cuales se establecen los siguientes:

  1. Bitácora de invitados: se debe registrar en una bitácora todos los ingresos de los visitantes así como los equipos que estos ingresen a la institución principalmente laptops.
  2. Registrar salida de equipos: Se deben registrar y validar que los equipos autorizados para salir de la institución estén acorde a lo indicado en la solicitud de salida del equipo.
  3. Uso de carnet de visitante: Se debe establecer un carnet de visitante y así mismo retener la identificación del visitante para ser devuelta al momento de culminar su visita.
  4. Entrenar a los colaboradores: Los colaboradores involucrados en el acceso físico a las instalaciones deben ser capacitados para evitar brindar información que pueda comprometer el acceso y el personal de la institución.

Acceso a sitios sensibles:

Dentro de la organización encontraremos que diversas áreas son consideradas sensibles por la información y equipo que se maneja, dentro del departamento de IT una de las principales áreas a proteger es el área de servidores o data center, donde el mínimo incidente puede causar impactos fuertes en el negocio.

  1. Cumplimiento de estándares de diseño: Se debe validar el diseño del cuarto de servidores para proteger los equipos físicos ante posibles amenazas, dentro de estas consideraciones está: prevención de fuga de líquidos, uso de cableado de red adecuado, instalaciones eléctricas, detectores de humo etc.
  2. Establecer controles biométricos: En la actualidad ya no basta solamente con asignar una llave o un código a los sitios privilegiados, en los casos que la organización lo amerita se deben establecer controles biométricos para el acceso a las áreas sensibles.
  3. Revisión de permisos: Si bien esta actividad parece ser obvia, es uno de los principales dolores de cabeza de los administradores de IT, donde no se conoce si los usuarios tienen los permisos que deberían o si por el contrario poseen más privilegios de los requeridos para su rol.

 Diseño del espacio de trabajo:

Quizás al pensar en nuestro espacio de trabajo simplemente creamos que solo se compone de un computador y escritorio, pero para evitar daños al hardware y problemas con el personal  se deben tomar consideraciones para este fin como:

  1. Distribución de personal: Se deben establecer parámetros del número de colaboradores que pueden estar en una oficina sin causar interferencia el uno en el trabajo del otro.
  2. Instalaciones eléctricas y de red adecuadas: Se deben establecer las conexiones eléctricas adecuadas para el local donde estarán los colaboradores y que sean lo suficientemente seguras para los colaboradores.
  3. Uso de UPS: Se debe evitar las interrupciones abruptas de fluido eléctrico es por ello que es recomendable la instalación de UPS que permitan al usuario guardar el trabajo que se esta ejecutando en ese momento.
  4. Equipo de oficina adecuado: Esto incluye equipo de cómputo adecuado para los colaboradores según su puesto de trabajo, escritorio, silla etc.
  5. Política de escritorios limpios: Si bien es posible que algunas personas manejan sus escritorios lo más ordenado posible, en algunos casos se acostumbra mantener líquidos cerca del equipo de cómputo, por su  naturaleza los líquidos y la electrónica no se llevan bien, por lo que se debe establecer una política para que los escritorios permanezcan lo más despejado posibles.

Plan de contingencias:

En ocasiones no sabemos a qué riesgos que están fuera de nuestras manos nos exponemos por ejemplo: huracanes, protestas sociales etc. Para intentar prevenir estas situaciones debes implementar planes de contingencia que nos permitan reactivar el negocio con la mayor velocidad posible, dentro de estos planes deben considerarse los siguientes: 

  1. Trabajo remoto: Definir bajo qué condiciones los usuarios podrán trabajar desde sus casas para prevenir posibles daños a su integridad por diferentes motivos, proveyendo a los colaboradores todo lo necesario para la ejecución de su trabajo.
  2. Gestión de Backups: Se debe mantener copias actualizadas de los equipos y sistemas críticos de la organización de preferencia estas deben residir una en ambiente local y otra en  ambiente cloud para evitar la pérdida total de datos.
  3. Identificar servicios críticos del negocio: Se debe identificar las áreas críticas del negocio para determinar un plan de desastres acorde a su impacto, dentro de este plan se debe definir el tiempo de recuperación objetivo (RTO) y la cantidad de pérdida de datos aceptable (RPO).


Como podemos ver, la seguridad informática va incluso más allá de solamente el hardware y software, esta incluye una serie de procedimientos y tecnología que involucran diferentes áreas de la organización y no solamente el departamento de IT.

En Agrega contamos con servicios que pueden apoyarte en tu labor:

  1. Servicio de Cloud Backup.
  2. Servicio de Gestión de Endpoints.
  3. Certificaciones de industria como ser : ITIL v4 y COBIT 2019.

Vistanos en Inicio o envianos un correo a ventas@agrega.com.

¿Qué tan útil ha sido este blog?

¡Haz clic en una estrella para calificarla!

Table of Contents

Facebook
Twitter
LinkedIn