Breaking

25/5/15

Áreas Restringidas... combinando la protección física con la información

La alquimia que nos propone resolver la seguridad de la información es la de aunar esfuerzos desde las diferentes áreas de las Organizaciones, quienes deben estar al tanto de las normas y regulaciones que le son aplicables y estar capacitados periódicamente al respecto. 
Proteger Áreas Restringidas requiere inicialmente poder identificarlas, y la forma de hacerlo es sabiendo el tipo de información que contiene ese espacio físico, y su importancia de acuerdo al resultado de su clasificación respecto del CIA.
¿Cómo puede estar representada la información en el espacio físico relevado? 
En documentación física (contratos, correspondencia, formularios impositivos, libros contables, diagnósticos clínicos) o bien esta misma información en formato electrónico local (si se tratara de un Data Center, o de medios de almacenamiento externo) o de puestos de trabajo cuyos usuarios tienen funciones de acceso a la información a través de diferentes aplicaciones desde sus computadores personales.
Desde el área de Seguridad de la Información podremos identificar y clasificar la información así como determinar su proceso de tratamiento durante todo el ciclo de utilización de la misma; el sector de Seguridad Informática proveerá los medios técnicos necesarios para proteger no solo la información (mediante métodos de encripción, por ejemplo) sino también la extracción de la misma a través de herramientas Endpoint; y en conjunto con los sectores de Facilities o Mantenimiento quienes se encargarán de establecer las medidas físicas necesarias como selección del espacio físico adecuado para la información, controles de acceso y CCTV si fuera necesario y cuidado del entorno de vecindad.
De esta forma estaremos definiendo espacios físicos con niveles de seguridad cuyas características dependerán del área a proteger y del nivel de información que en ella se procese o almacene.
Algunas consideraciones importantes:  
  1. El nivel de seguridad física corresponde al de mayor nivel encontrado en la información que se procesa, almacena o transmite desde un equipo o espacio físico.
  2. Determinados los niveles de seguridad, los empleados deben tener permiso de acceso a cada Área Restringida de acuerdo a la función que los mismos desarrollarán en la Organización.
  3. Para las salas de sistemas, como Data Centers, debe evitarse la existencia de aberturas, las paredes externas serán de construcción sólida, anular ductos por sobre techo que sean compartidos con otros espacios físicos, no poseer identificación y estar en un área de baja circulación personal.
  4. Para otras Áreas Restringidas las puertas que dan al exterior como así también las ventanas y conductos de refrigeración y calefacción, deben poseer adecuados mecanismos de control: rejas, alarmas y cerraduras de seguridad.
  5. El ingreso de personas ajenas a la Organización debe ser controlado por personal de vigilancia y monitoreado por cámaras de CCTV, estableciéndose puntos de control de acuerdo a la distribución de planta que tenga la recepción del edificio.
  6. Los dispositivos de control de acceso instalados en las áreas identificadas como restringidas, deberán ser capaces de identificar y registrar a todas las personas que acceden o salen de estas áreas, y así evitar el acceso de personas externas a documentación o medios de información que puedan encontrarse sobre los escritorios de trabajo.
  7. Establecer un mecanismo eficaz para la administración de los lugares de reunión, que permita limitar el uso a su fin específico. 
Fabián Descalzo
https://ar.linkedin.com/in/fabiandescalzo

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar