Controles Fisicos

1. Controles físicos de Seguridad

Cuando hablamos de “tipos de accesos”, estos son clasificados en dos categorías con riesgos bien diferenciados. En primer lugar tenemos los accesos físicos, relacionados con permisos a empleados, terceros o proveedores y clientes, a oficinas, centro de cómputos, depósitos, archivos confidenciales, áreas restringidas, etc. En segundo lugar los accesos virtuales, que se relacionan con accesos lógicos a base de datos, aplicaciones en red, sistemas informáticos en general.

La exposición a riesgos de acceso físico y del entorno puede producir pérdidas financieras, repercusiones legales, pérdida de credibilidad o pérdida de competitividad. Tienen causas de origen natural o humanos y puede exponer el negocio al riesgo del acceso no autorizado.

Los controles de acceso físico están diseñados para proteger a la organización ante accesos no autorizados. Los controles físicos deben permitir el acceso físico solamente al personal autorizado por la gerencia responsable. Esta autorización puede ser explícita, como una puerta con cerradura para la cual la gerencia responsable ha dado la llave; o bien implícita, como un perfil de puesto de trabajo que indique a que espacios físicos se puede acceder.

El control físico es la implementación de medidas de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado a material confidencial. Ejemplos de los controles físicos son:

• Cámaras de circuito cerrado

• Sistemas de alarmas térmicos o de movimiento

• Guardias de seguridad

• Identificación con fotos

• Puertas de acero con seguros especiales

• Biométrica (incluye huellas digitales, voz, rostro, iris, escritura a mano y otros métodos automatizados utilizados para reconocer individuos)

El concepto de área segura se relaciona con accesos físicos, teniendo como objetivo impedir el acceso sin autorización, daños e interferencia a las instalaciones de la empresa y su información.

Las áreas de seguridad serán menos o más seguras, de acuerdo a las actividades que desarrollen y al tipo de activos de información que gestionen, donde la protección que se les dará dependerá de la evolución de riesgos efectuada y la factibilidad de implementación de mecanismos de seguridad en relación a su costo y al beneficio marginal que provean. Podemos clasificarlas de la siguiente manera:

• Áreas abiertas: por ejemplo estacionamientos le corresponde un nivel nulo de seguridad.

• Áreas públicas: por ejemplo recepción o entrada general a la organización. Le corresponde un nivel bajo de seguridad.

• Áreas estándares: por ejemplo oficinas y salas de reunión le corresponde un nivel estándar de seguridad.

• Áreas restringidas: por ejemplo áreas técnicas y sala de comunicaciones o cableado le corresponde un nivel estándar superior de seguridad.

• Áreas seguras: por ejemplo un centro de cómputos, búnker de seguridad y área de pagos o manejo de efectivo le corresponde un nivel seguro.

• Áreas altamente seguras: por ejemplo, bóvedas le corresponde un nivel de alta seguridad.

La protección de estas áreas, se lograra con perímetros de seguridad física, determinados por barreras físicas pensadas en forma concéntricas a las instalaciones y a los activos de información que correspondan proteger. El concepto de concéntrico apunta a desarrollar barreras físicas de lo más general, como ser el acceso a un edificio, pasando por el acceso propio a la oficina y/o sala de oficinas, y llegando hasta la barrera interna menor que será la que depende directamente con la responsabilidad y/o la conducta del individuo, por ejemplo, activación del protector de pantalla de su estación de trabajo, o resguardo de la información que maneja en su propio escritorio.

Al desarrollar estas barreras físicas, se está estableciendo “el control de accesos físicos”, garantizando que solamente se permitirá el ingreso al personal autorizado. La decisión de que persona tiene acceso y en consecuencia a que activos de información, deberá ser un trabajo en conjunto realizado por el responsable de seguridad (IRM - Information Risk Management), los dueños o responsables de dicha información y el gerente correspondiente.

Se debe de considerar algunos puntos a tener en cuenta en este proceso de control en los accesos:

• Los empleados internos de la organización deberán poseer algún tipo de identificación visible, que permita que tanto el personal de seguridad como los mismos compañeros de trabajo, puedan determinar la presencia de un extraño.

• Los visitantes, (sean proveedores, terceros, clientes, etc.), deberán anunciarse, registrarse en la recepción del edificio, la cual le suministrará una tarjeta de identificación de visita.

• Los visitantes, en todo momento, deberán estar acompañados por un empleado “identificable”.

• Las tareas realizadas por proveedores dentro de áreas seguras no deberán ser efectuadas, a menos que estén acompañados y/o sin supervisión por un empleado “identificable”.

• El acceso de los empleados (autorizados y no autorizados) y de terceros deberá ser registrado en cada uno de los accesos, sea en forma digital o en forma manual mediante libros de accesos. Esto significará la base de información para el control periódico de accesos.

• Se deberá impedir el acceso a áreas seguras de elementos que permitan capturar información

...