La seguridad física y del entorno en tu empresa son todas las medidas que puedes tomar para proteger los sistemas, los edificios y la infraestructura de apoyo relacionada contra las amenazas asociadas con el ambiente físico. Aunque en la mayoría de empresas se pasan por alto, las prevenciones físicas y de entorno son muy importantes para proteger la información.
Durante los últimos años, la seguridad física se ha convertido en un reto para las organizaciones, debido a que los entornos tecnológicos e informáticos multiplican la posibilidad de vulnerabilidades, por ello, la necesidad de tomar acciones preventivas es un imperativo.
Hoy los escritorios en tu empresa seguramente están llenos de computadores, portátiles y dispositivos móviles que tienen acceso a toda la información. Esto sumado con otras variables genera que el entorno de tu organización se vuelva más complejo y dinámico aumentando las posibilidades de vulnerabilidades como el fraude, el vandalismo, el sabotaje, los accidentes y el robo. Situaciones que pueden generar costos adicionales.
En este sentido es clave implementar medidas preventivas y de protección dentro del marco de la seguridad de la información, pero ¿cómo hacerlo? A continuación te explicamos los lineamientos dispuestos por la norma ISO 270001 que te ayudarán con este objetivo.
Áreas seguras
Tus instalaciones necesitan controles de acceso físico que regulen, supervisen y gestionen el acceso, esto implica una categorización de los espacios del edificio en restringido, privado o público. Establece diferentes niveles de control de acceso para restringir las zonas a las que cada colaborador puede ingresar según el cargo y las funciones que desempeñe.
Existen muchos mecanismos que permiten establecer el control y aislamiento en las instalaciones. Estos son:
- Perímetro de seguridad
Muros, puertas, torniquetes, vallas, suelos, alarmas, protección de ventanas, entre otros se utilizan en el acceso al edificio para crear barreras de seguridad antes de ingresar al edificio, estos permiten distinguir los límites entre áreas protegidas y públicas.
Los niveles de protección de los perímetros de seguridad deben ser proporcionales a los tipos de activos y los riesgos identificados en la evaluación del Sistema de Gestión de Seguridad de la Información. Además, deben estar claramente definidos en lugar y fuerza.
- Controles técnicos
El objetivo de los controles técnicos es asegurar que por los accesos solo ingrese personal autorizado, debido a que son las áreas de seguridad más comprometidas. Implementa distintas capas de seguridad para proteger de los intrusos que pueden tener acceso directo a los recursos de la organización.
Las tarjetas inteligentes, los carnets de identificación, los lectores de proximidad, los sistemas de detección de intrusos, los registros de visitantes y los permisos son algunos de los mecanismos usados para controlar el acceso a las áreas protegidas y a la información sensible.
Es importante que revises y actualices de forma constante los derechos o permisos de acceso a las áreas de seguridad y que monitorices la actividad de acuerdo con la evaluación de riesgos. Además, asegúrate de que todos los trabajadores que entran en los perímetros conozcan los procedimientos de seguridad y emergencia y cuenten con el permiso para fines específicos.
- Seguridad de oficinas, despachos e instalaciones
La disposición de las instalaciones y oficinas de tu empresa debería estar diseñada para garantizar que las áreas protegidas o donde esté la información sensible se encuentre fuera del alcance y acceso de visitantes. En este sentido, debe ser aplicada y asignada, considerando las regulaciones y estándares de seguridad y salud, que las guías telefónicas internas no sean alcanzables por los personas externas a la organización
- Protección contra amenazas externas y del ambiente
Todas las organizaciones están expuestas a amenazas externas de distintos tipos, entre ellas las ambientales. Para estar protegido de ellas, diseña y aplica medidas que minimicen los riesgos de factores como inundaciones, incendios, terremotos y otras emergencias.
Además de tener en cuenta estos factores, también deberías definir procedimientos de trabajo en las áreas seguras, como supervisión de terceros, revisión de las zonas al finalizar y prohibición de dispositivos móviles de fotografía. Por último, en las áreas de carga y de entrega debes poner especial atención pues son puntos sensibles. Ten en cuenta horarios y controles de apertura y cierre, monitorización del personal, revisión de mercancías y barreras adicionales de seguridad.
Equipos
Los equipos informáticos críticos también deben protegerse contra daños físicos, incendios, inundaciones y robos, entre otros riesgos, tanto dentro como fuera del sitio. De esta forma, debes asegurar la instalación física, es decir, donde se albergan el sistema y los componentes de la red.
Ten en cuenta que la ubicación general de las áreas que contienen información determina las características de las amenazas naturales, como terremotos e inundación; las amenazas provocadas provocadas por el hombre, como robo o interceptación de transmisiones, y las actividades cercanas dañinas, como derrame de sustancias químicas, explosiones o incendios.
Las salvaguardias generales de seguridad deben estar en armonía con la atmósfera general del edificio para ello:
- Implementa controles para proteger los equipos de daños ambientales y eléctricos, contra radiaciones y accesos no autorizados. Una buena práctica es establecer normas para comer, beber y fumar cerca de los equipos.
- Establece medidas de control para garantizar el suministro necesario para que los equipos y las instalaciones funcionen continuamente. Esto incluye cumplir con las especificaciones del fabricante y los requisitos legales, establecer un proceso de detección de fallos de suministro y contar con alternativas alternas de sistemas de alimentación.
- Protege la infraestructura que alimenta los equipos, es decir, el cableado de energía y comunicaciones con el fin de evitar interferencias. En lo posible, los cables deben estar bajo tierra o aislados de forma segura, separados los de comunicación de los de energía, con puntos de acceso restringidos y controlados los paneles de conexión.
- Realiza mantenimiento y controles para que los equipos funcionen correctamente todo el tiempo y minimizar el riesgo de que se deterioren.
- Controla y regula el retiro de todos los activos informáticos de la organización, llevando registros de los equipos retirados, la identificación del personal autorizado y el tiempo. Además, realice evaluaciones de riesgos para las instalaciones en donde serán utilizados.
- Garantiza que antes de ser reutilizado un equipo, la información que contenía haya sido completamente eliminada y no estén averiados.
- Por último, crea una política de escritorio y pantalla limpios, para asegurar que las pantallas no muestren información mientras el equipo no está en uso, los escritorios se conserven organizados y que los dispositivos periféricos o extraíbles tengan un control de uso.
Proteger los activos informáticos físicos y el entorno de tu organización es tan importante como garantizar la seguridad de los datos y uso del software. Al implementar medidas preventivas, de protección y de control en las instalaciones, equipos e infraestructura de tu empresa, tendrás áreas seguras y minimizarás los riesgos que puedan afectar la seguridad de la información y la continuidad de tu negocio.
Recuerda que gestionar la seguridad física y del entorno de tu empresa puede ser simple con KAWAK®, un software para ISO 27001 que te permite integrar y administrar en un solo lugar todos los aspectos relacionados a tu Sistema de Gestión de Seguridad de la Información.
¡Conoce cómo los módulos de nuestro software de gestión de calidad pueden ayudarte a implementar una cultura de gestión simple y efectiva en tu organización!
