Como sabemos el entorno de los datos y los procesos que los convierten en información no se limita solo a lo relacionado con la tecnología. Contener y procesar información requiere de nosotros el ejercicio de ampliar nuestra visión y proponernos un “viaje” imaginario entre el mundo digital y el físico ya que como ejecutivos de la seguridad entendemos que todo proyecto u operación de IT requiere para su gestión y la de seguridad de la información un especial cuidado del aspecto físico.
De lo lógico a lo físico, dos dimensiones y un mismo acceso
1. Seguridad de la Información – Auditoría de Sistemas
1
DE LO LÓGICO A LO FÍSICO, Dos dimensiones… Un mismo acceso
Como sabemos el entorno de los datos y los procesos que los convierten en información no se limita
solo a lo relacionado con la tecnología. Contener y procesar información requiere de nosotros el
ejercicio de ampliar nuestra visión y proponernos un “viaje” imaginario entre el mundo digital y el
físico ya que como ejecutivos de la seguridad entendemos que todo proyecto u operación de IT
requiere para su gestión y la de seguridad de la información un especial cuidado del aspecto físico.
Referente a ello, hay aspectos importantes que debemos conocer respecto del entorno físico de la información
que deben ser aplicados casi como un espejo de nuestras decisiones tomadas sobre las plataformas tecnológicas
y sus componentes… Imaginemos este viaje entre lo digital y lo físico preguntándonos ¿Por qué me preocupo en
restringir los accesos a archivos si dejo abierta la puerta del Data Center? ¿O si imprimo ese archivo electrónico y
lo dejo sobre mi escritorio a la vista de los demás cuando me retiro?
Establecer una visión de protección física por sobre aquello que ya estoy protegiendo digitalmente marca una
necesidad de vencer la barrera de lo cultural partiendo de la base de establecer un plan de concientización con
una visión global del entorno de la información y de establecer un plan de capacitación a nuestros líderes de
seguridad para que, cuando participen en distintos proyectos o en la operación, tengan en cuenta los aspectos de
seguridad física que además (y por si fuera poco) también tiene un impacto en el cumplimiento regulatorio.
Como respuesta a esta necesidad y como custodios de los activos de información de nuestra organización, es que
debemos pensar en un sistema de tratamiento y protección de Información que consista en la aplicación de
medidas de prevención y contramedidas para asegurar la gestión de la información que se encuentre en un
formato tangible, los medios que la contengan y los espacios físicos donde se almacene o procese.
Los principales aspectos que debemos tener en cuenta dentro de nuestro Sistema de Tratamiento y Protección de
Información son:
• Incluir dentro de la clasificación de información aspectos relacionados con los medios de tratamiento de
la misma (impresoras, destructoras, faxes, notebooks) y aquella información que se encuentre contenida
en cualquier medio físico (CDs/DVDs, papel, discos extraíbles, memorias USB, tapes de backup)
• En base a ello identificar los espacios físicos donde se trate información confidencial o sensible, y al igual
que las salas de sistemas y comunicaciones, identificarlos y proteger su entorno como “área restringida”
mediante procedimientos o herramientas que aseguren el acceso y monitoreo adecuado.
• Establecer normas y procedimientos asociados al ciclo de vida de la información contenida en medios
físicos tal como lo hacemos para el formato digital y que permitan identificar responsables, pautas de
gestión en el tratamiento, hitos de control y métodos de disposición final.
• Establecer normas y procedimientos que contemplen toda la gestión de ABM de tarjetas de acceso, así
como la gestión de instalación, configuración y operación del sistema cerrado de TV y equipos de control
de acceso.
• Proveer de un marco de cumplimiento que abarque no solo a los integrantes de la organización sino
también a terceras partes, incluyendo aspectos relacionados con el comportamiento dentro de áreas
restringidas
Un detalle importante, y que no quiero olvidar, es la necesidad de actuar colaborativamente en estos aspectos
con otros sectores de la compañía que según su estructura organizacional serán: Recursos Humanos, Seguridad e
Higiene, Intendencia, Legales.
Los requerimientos de cumplimiento establecidos por las regulaciones y certificaciones actuales, tales como PCI o
leyes de protección de datos, nos determinan que se debe proteger a las áreas restringidas de igual forma que lo
2. Seguridad de la Información – Auditoría de Sistemas
2
hago con la seguridad lógica estableciendo niveles de protección en el acceso a las mismas, cuyas características
dependerán del área a proteger y del nivel de información que en ella se procese o almacene. Entre las áreas
restringidas podemos mencionar como ejemplo a los Centros de Procesamientos de Datos (Data Centers), salas
de comunicaciones, salas de embozado de tarjetas de crédito, oficinas de sectores Legales, Directorio o
administrativas que traten información confidencial o sensible (Historias Clínicas, datos bancarios, etc.).
No es necesario establecer niveles complejos de protección, simplemente con determinar dos niveles en los que
pueda agrupar en un primer nivel los ambientes en los que se trate información ligada a los objetivos y la
operatoria de la organización y que ante un incidente afecte seriamente el funcionamiento del negocio y los
compromisos con terceros, y en un segundo los de carácter general de la compañía cuya pérdida no afecte
seriamente la operación normal de la organización. Inclusive, esto nos permitirá “proteger” nuestro presupuesto
al enfocarnos solo en aquellos espacios en los que se requiera, identificados solo si previamente realizamos un
relevamiento, análisis y clasificación de nuestros activos de información y su entorno.
Al igual que en el mundo digital, el nivel de protección de seguridad física a aplicar a un área debe corresponder al
de mayor nivel de clasificación de la información que en ella se trate o almacene. En consecuencia, una vez
determinados los niveles de protección, se otorgarán los accesos a los empleados y colaboradores teniendo en
cuenta la función que los mismos desarrollarán en la organización y los niveles de seguridad de los espacios físicos
a los cuales deban acceder. A su vez, debo contar con herramientas que me permitan monitorear y registrar que
las definiciones impuestas se cumplan, y para ello cuento con medios técnicos como lo son los circuitos CCTV y
controles de acceso.
Otros aspectos que debemos tener en cuenta están relacionados con las decisiones estratégicas a tomar ante
cambios edilicios o futuras mudanzas, donde para áreas restringidas debo tener en cuenta:
• Evitar la existencia de aberturas (para el caso de Data Centers) o bien que las mismas no estén accesibles
a sitios externos, como por ejemplo, pasillos públicos en galerías o acceso por veredas fuera de la línea de
catastro.
• Las paredes externas deben ser de construcción sólida y las puertas que dan al exterior como así también
las ventanas y conductos de refrigeración y calefacción, deben poseer adecuados mecanismos de control:
rejas, alarmas y cerraduras de seguridad.
• En lo relacionado a aspectos de vigilancia, el ingreso de personas debe ser registrado en bitácoras o
mediante tarjetas de proximidad en caso de empleados de la compañía y monitoreado por cámaras de
circuito cerrado estableciéndose puntos de control de acuerdo a la distribución de planta que tenga el
edificio.
• Disponer de dispositivos de control de acceso instalados en las áreas identificadas como restringidas, que
capaces de identificar y registrar a todas las personas que acceden o salen de estas áreas, así como los
horarios en que se efectuaron estas acciones previendo resguardar los registros por el tiempo mínimo
indicado por el marco regulatorio que aplique a la compañía.
Una forma de gestionar eficientemente este sistema, es contando con la colaboración de cada gerencia usuaria, a
quien se le puede asignar la administración del control de acceso de su propio sector del edificio procediendo a
autorizar el acceso a las mismas a quien corresponda, incluyendo al personal externo que durante su presencia y
en todo momento debe estar acompañado por un empleado de la Gerencia. Continuando con las similitudes,
ante una modificación en la situación laboral del personal debe preverse el cambio de permisos sobre la tarjeta
de acceso, así como requerir que todo el personal interno o externo la exhiba como forma de identificación y
alentar a cuestionar la presencia de desconocidos no escoltados y la no exhibición de una identificación.
Seguridad de la Información también representa factores ambientales, ya que la disponibilidad e integridad de la
información física depende de las condiciones básicas de temperatura, humedad, higiene y de las medidas
preventivas a utilizar tales como sistemas automáticos de detección ante incendios y de extinción automática de
incendios. Las condiciones ambientales también pueden verse afectadas si a su vez no mantenemos bajo control
3. Seguridad de la Información – Auditoría de Sistemas
3
los riesgos asociados al comportamiento de las personas dentro de las áreas restringidas, donde tendremos que
poner especial énfasis en:
• No ingresar ni almacenar en estos espacios materiales inflamables o peligrosos (como por ejemplo cartón,
cajas, papel o cualquier otro material similar) y en caso que se requiera no olvidarse de remover los
desechos y cajas vacías al finalizar tareas de instalación, por ejemplo;
• No permitir comidas, bebidas o fumar dentro del Data Center o áreas restringidas;
• Prohibir el uso de cámaras fotográficas, cámaras de video o equipos móviles provistos con cámaras
fotográficas;
• No permitir el bloqueo de pasillos, elevadores o cualquier otro espacio público de paso y uso común;
• Evitar el uso de aspiradoras, taladros o similares en el área de Data Center, que contaminen con polvo los
discos o cualquier otro elemento mecánico que contenga y/o procese información.
Para finalizar y como parte fundamental en el aseguramiento de la confidencialidad de la información, también
debemos contemplar en nuestro plan de tratamiento de datos los lineamientos para la destrucción de
información contenida en soportes impresos o magnéticos (CDs, DVDs, Discos externos, etc.) que nos permita
aplicar una forma de disposición final de la información adecuada basada en los siguientes pasos:
• Inventario – Enumere en un documento toda la información retenida por la situación, incluyendo datos
operacionales sobre la información.
• Análisis – Efectúe una revisión de todos los datos en cada grupo de información particular, y prepare un
cronograma preliminar de custodia.
• Destrucción - Identifique y destruya cualquier tipo de información cuyo período de custodia haya
expirado, o cuando considere que ya no es necesaria. Los métodos y/o herramientas utilizadas para este
fin deben asegurar que la información no puede ser reconstruida.
• Mantenimiento - Mantenga este programa, asegure su actualización y supervise la correcta realización de
la destrucción de información inactiva.
Si bien esto aplica a la información sin importar su formato, recordemos que cuando debamos determinar qué
información debe ser destruida, tengamos en cuenta aquella que tiene un periodo de custodia estipulado por
Agencias Gubernamentales por motivos legales, impositivos u otros propósitos, respecto de la información
operacional como por ejemplo información financiera, contable, de producción, personal, relacionada con la
investigación y comercialización, otros. El periodo de custodia de esta información es determinado dentro de la
compañía basándose en su importancia o necesidad y teniendo en cuenta los requisitos legales aplicables a la
información retenida.
Pensar en seguridad es primero conocer los diferentes procesos a asegurar y su entorno, para luego aplicar la
tecnología necesaria en asegurar su calidad de procesamiento basada en la confidencialidad, integridad y
disponibilidad de la información que tratan, inclusive en los aspectos físicos que también deben estar incluidos en
sus estrategias de seguridad.
Fabián Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. – Security Systems
Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de la Información (CAECE), certificado
ITIL v3-2011 y auditor ISO 20000. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y
Continuidad de la Institución de Salud. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al
aseguramiento de la Institución de Salud
CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Información. Su área de servicios cubre
América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más información: www.cybsec.com