FOTOS/KRT DIRECT

A pesar de que se invierten miles y en ocasiones millones de dólares en equipo de tecnología de punta para lograr los objetivos económicos que se propone una empresa, actualmente nos encontramos con que muchas organizaciones sufren de incidentes en donde se viola la seguridad física de sus instalaciones por terceros e inclusive por personal interno.

Y es que la seguridad física es en muchas ocasiones tomada como un elemento de “menor prioridad”, sea por iniciativa corporativa o por omisión.

La seguridad física describe las medidas que previenen o detienen a intrusos antes de que accedan a una instalación, recurso o información almacenada en medios físicos.Puede ser tan simple como una puerta con seguro o tan elaborada como múltiples capas de seguridad de guardias armados.

La “ingeniería de seguridad”, la ciencia encargada de estudiar los aspectos relacionados a la seguridad física, ha identificado tres elementos clave para la seguridad física.El primero, al que llamamos en su conjunto “obstáculos” frustra a atacantes triviales y retarda a los más peligrosos.

El segundo, es todo el conjunto de alarmas, iluminación de seguridad, patrullas de guardias de seguridad o controles de circuito cerrado, que facilita y permite que los intrusos sean detectados.

Finalmente, el tercer elemento clave es la respuesta para repeler, capturar o frustrar a los atacantes cuando estos hayan penetrado.

Puede usted imaginarse que empresas que invierten en sistemas biométricos o sistemas de tarjetas electrónicas que funcionan como controles de acceso, puedan tener riesgos o inclusive violaciones a sus cuartos de datos.

La realidad es que ocurren. Y esta ocurrencia está muy relacionada a las políticas de seguridad que se implementen. Estas políticas deben tomar en cuenta aspectos como seguridad del área, seguridad del equipo y controles generales.


SEGURIDAD DEL ÁREA

Es necesario crear lo que en la jerga se conoce como “perímetro de seguridad física” que no es más las facilidades “de borde” para proteger las instalaciones de procesamiento de información. Ejemplo de estos controles son paredes, control de puerta de acceso, una recepción atendida, etc.

Los controles de entrada deben ser implementados para permitir solo el acceso de personal autorizado dentro de las diferentes áreas de la organización.

Asimismo, es parte de esa política que los cuartos de cómputo o centros de datos permanezcan cerrados con seguros y que los equipos estén dentro de gabinetes o racks con llave.

Nos encontramos innumerables historias de clientes que han sufrido el evento de que uno de sus servidores fue apagado por un contratista que se dejó desatendido o porque el equipo tenía medidas de seguridad física que impidieran el acceso a sus interruptores de encendido y apagado.

Otro aspecto importante es que el área para suministro y descarga de equipo por parte de proveedores esté aislada del centro de datos.


SEGURIDAD DEL EQUIPO

Respecto al equipo de informática, se deben implementar controles para minimizar los riesgos de robo, fuego, explosivos, humo, agua, polvo, vibración, efectos químicos e inundación.Además, se debe definir una política que prohíba comer, tomar o fumar en la proximidad del centro de datos.

Es también imperativo que se monitoreen condiciones ambientales como temperatura, inundación y falta de fluido eléctrico. Los cables de suministro de datos y electricidad deben ser protegidos para que no puedan ser interceptados o dañados.


CONTROLES GENERALES

Existen innumerables medidas para controles generales, pero un ejemplo típico y muchas veces poco usado es el “seguro” o lock automático de la pantalla si la computadora está desatendida por un periodo definido.

Por último, debe definirse que los empleados sean prohibidos de dejar información confidencial sin protección.Estas medidas en su conjunto le ayudarán a incrementar la tan olvidada seguridad física.