Breaking

31/3/15

DE LO LÓGICO A LO FÍSICO, Dos dimensiones… Un mismo acceso


Como sabemos el entorno de los datos y los procesos que los convierten en información no se limita solo a lo relacionado con la tecnología. Contener y procesar información requiere de nosotros el ejercicio de ampliar nuestra visión y proponernos un “viaje” imaginario entre el mundo digital y el físico ya que como ejecutivos de la seguridad entendemos que todo proyecto u operación de IT requiere para su gestión y la de seguridad de la información un especial cuidado del aspecto físico.

Referente a ello, hay aspectos importantes que debemos conocer respecto del entorno físico de la información que deben ser aplicados casi como un espejo de nuestras decisiones tomadas sobre las plataformas tecnológicas y sus componentes… Imaginemos este viaje entre lo digital y lo físico preguntándonos ¿Por qué me preocupo en restringir los accesos a archivos si dejo abierta la puerta del Data Center? ¿O si imprimo ese archivo electrónico y lo dejo sobre mi escritorio a la vista de los demás cuando me retiro?

Establecer una visión de protección física por sobre aquello que ya estoy protegiendo digitalmente marca una necesidad de vencer la barrera de lo cultural partiendo de la base de establecer un plan de concientización con una visión global del entorno de la información y de establecer un plan de capacitación a nuestros líderes de seguridad para que, cuando participen en distintos proyectos o en la operación, tengan en cuenta los aspectos de seguridad física que además (y por si fuera poco) también tiene un impacto en el cumplimiento regulatorio.

Como respuesta a esta necesidad y como custodios de los activos de información de nuestra organización, es que debemos pensar en un sistema de tratamiento y protección de Información que consista en la aplicación de medidas de prevención y contramedidas para asegurar la gestión de la información que se encuentre en un formato tangible, los medios que la contengan y los espacios físicos donde se almacene o procese.

Los principales aspectos que debemos tener en cuenta dentro de nuestro Sistema de Tratamiento y Protección de Información son:

·         Incluir dentro de la clasificación de información aspectos relacionados con los medios de tratamiento de la misma (impresoras, destructoras, faxes, notebooks) y aquella información que se encuentre contenida en cualquier medio físico (CDs/DVDs, papel, discos extraíbles, memorias USB, tapes de backup)

·         En base a ello identificar los espacios físicos donde se trate información confidencial o sensible, y al igual que las salas de sistemas y comunicaciones, identificarlos y proteger su entorno como “área restringida” mediante procedimientos o herramientas que aseguren el acceso y monitoreo adecuado.

·         Establecer normas y procedimientos asociados al ciclo de vida de la información contenida en medios físicos tal como lo hacemos para el formato digital y que permitan identificar responsables, pautas de gestión en el tratamiento, hitos de control y métodos de disposición final.

·         Establecer normas y procedimientos que contemplen toda la gestión de ABM de tarjetas de acceso, así como la gestión de instalación, configuración y operación del sistema cerrado de TV y equipos de control de acceso.

·         Proveer de un marco de cumplimiento que abarque no solo a los integrantes de la organización sino también a terceras partes, incluyendo aspectos relacionados con el comportamiento dentro de áreas restringidas

Un detalle importante, y que no quiero olvidar, es la necesidad de actuar colaborativamente en estos aspectos con otros sectores de la compañía que según su estructura organizacional serán: Recursos Humanos, Seguridad e Higiene, Intendencia, Legales.

Los requerimientos de cumplimiento establecidos por las regulaciones y certificaciones actuales, tales como PCI o leyes de protección de datos, nos determinan que se debe proteger a las áreas restringidas de igual forma que lo hago con la seguridad lógica estableciendo niveles de protección en el acceso a las mismas, cuyas características dependerán del área a proteger y del nivel de información que en ella se procese o almacene. Entre las áreas restringidas podemos mencionar como ejemplo a los Centros de Procesamientos de Datos (Data Centers), salas de comunicaciones, salas de embozado de tarjetas de crédito, oficinas de sectores Legales, Directorio o administrativas que traten información confidencial o sensible (Historias Clínicas, datos bancarios, etc.).

No es necesario establecer niveles complejos de protección, simplemente con determinar dos niveles en los que pueda agrupar en un primer nivel los ambientes en los que se trate información ligada a los objetivos y la operatoria de la organización y que ante un incidente afecte seriamente el funcionamiento del negocio y los compromisos con terceros, y en un segundo los de carácter general de la compañía cuya pérdida no afecte seriamente la operación normal de la organización. Inclusive, esto nos permitirá “proteger” nuestro presupuesto al enfocarnos solo en aquellos espacios en los que se requiera, identificados solo si previamente realizamos un relevamiento, análisis y clasificación de nuestros activos de información y su entorno.

Al igual que en el mundo digital, el nivel de protección de seguridad física a aplicar a un área debe corresponder al de mayor nivel de clasificación de la información que en ella se trate o almacene. En consecuencia, una vez determinados los niveles de protección, se otorgarán los accesos a los empleados y colaboradores teniendo en cuenta la función que los mismos desarrollarán en la organización y los niveles de seguridad de los espacios físicos a los cuales deban acceder. A su vez, debo contar con herramientas que me permitan monitorear y registrar que las definiciones impuestas se cumplan, y para ello cuento con medios técnicos como lo son los circuitos CCTV y controles de acceso.

Otros aspectos que debemos tener en cuenta están relacionados con las decisiones estratégicas a tomar ante cambios edilicios o futuras mudanzas, donde para áreas restringidas debo tener en cuenta:

·         Evitar la existencia de aberturas (para el caso de Data Centers) o bien que las mismas no estén accesibles a sitios externos, como por ejemplo, pasillos públicos en galerías o acceso por veredas fuera de la línea de catastro.

·         Las paredes externas deben ser de construcción sólida y las puertas que dan al exterior como así también las ventanas y conductos de refrigeración y calefacción, deben poseer adecuados mecanismos de control: rejas, alarmas y cerraduras de seguridad.

·         En lo relacionado a aspectos de vigilancia, el ingreso de personas debe ser registrado en bitácoras o mediante tarjetas de proximidad en caso de empleados de la compañía y monitoreado por cámaras de circuito cerrado estableciéndose puntos de control de acuerdo a la distribución de planta que tenga  el edificio.

·         Disponer de dispositivos de control de acceso instalados en las áreas identificadas como restringidas, que capaces de identificar y registrar a todas las personas que acceden o salen de estas áreas, así como los horarios en que se efectuaron estas acciones previendo resguardar los registros por el tiempo mínimo indicado por el marco regulatorio que aplique a la compañía.

Una forma de gestionar eficientemente este sistema, es contando con la colaboración de cada gerencia usuaria, a quien se le puede asignar la administración del control de acceso de su propio sector del edificio procediendo a autorizar el acceso a las mismas a quien corresponda, incluyendo al personal externo que durante su presencia y en todo momento debe estar acompañado por un empleado de la Gerencia. Continuando con las similitudes, ante una modificación en la situación laboral del personal debe preverse el cambio de permisos sobre la tarjeta de acceso, así como requerir que todo el personal interno o externo la exhiba como forma de identificación y alentar a cuestionar la presencia de desconocidos no escoltados y la no exhibición de una identificación.

Seguridad de la Información también representa factores ambientales, ya que la disponibilidad e integridad de la información física depende de las condiciones básicas de temperatura, humedad, higiene y de las medidas preventivas a utilizar tales como sistemas automáticos de detección ante incendios y de extinción automática de incendios. Las condiciones ambientales también pueden verse afectadas si a su vez no mantenemos bajo control los riesgos asociados al comportamiento de las personas dentro de las áreas restringidas, donde tendremos que poner especial énfasis en:

·         No ingresar ni almacenar en estos espacios materiales inflamables o peligrosos (como por ejemplo cartón, cajas, papel o cualquier otro material similar) y en caso que se requiera no olvidarse de remover los desechos y cajas vacías al finalizar tareas de instalación, por ejemplo;

·         No permitir comidas, bebidas o fumar dentro del Data Center o áreas restringidas;

·         Prohibir el uso de cámaras fotográficas, cámaras de video o equipos móviles provistos con cámaras fotográficas;

·         No permitir el bloqueo de pasillos, elevadores o cualquier otro espacio público de paso y uso común;

·         Evitar el uso de aspiradoras, taladros o similares en el área de Data Center, que contaminen con polvo los discos o cualquier otro elemento mecánico que contenga y/o procese información.

Para finalizar y como parte fundamental en el aseguramiento de la confidencialidad de la información, también debemos contemplar en nuestro plan de tratamiento de datos los lineamientos para la destrucción de información contenida en soportes impresos o magnéticos (CDs, DVDs, Discos externos, etc.) que nos permita aplicar una forma de disposición final de la información adecuada basada en los siguientes pasos:

·         Inventario – Enumere en un documento toda la información retenida por la situación, incluyendo datos operacionales sobre la información.

·         Análisis – Efectúe una revisión de todos los datos en cada grupo de información particular, y prepare un cronograma preliminar de custodia.

·         Destrucción - Identifique y destruya cualquier tipo de información cuyo período de custodia haya expirado, o cuando considere que ya no es necesaria. Los métodos y/o herramientas utilizadas para este fin deben asegurar que la información no puede ser reconstruida.

·         Mantenimiento - Mantenga este programa, asegure su actualización y supervise la correcta realización de la destrucción de información inactiva.

Si bien esto aplica a la información sin importar su formato, recordemos que cuando debamos determinar qué información debe ser destruida, tengamos en cuenta aquella que tiene un periodo de custodia estipulado por Agencias Gubernamentales por motivos legales, impositivos u otros propósitos, respecto de la información operacional como por ejemplo información financiera, contable, de producción, personal, relacionada con la investigación y comercialización, otros. El periodo de custodia de esta  información es determinado dentro de la compañía basándose en su importancia o necesidad y teniendo en cuenta los requisitos legales aplicables a la información retenida.

Pensar en seguridad es primero conocer los diferentes procesos a asegurar y su entorno, para luego aplicar la tecnología necesaria en asegurar su calidad de procesamiento basada en la confidencialidad, integridad y disponibilidad de la información que tratan, inclusive en los aspectos físicos que también deben estar incluidos en sus estrategias de seguridad.

Autor:
Fabián Descalzo - Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. – Security Systems

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar