La seguridad física y del entorno en tu empresa son todas las medidas que puedes tomar para proteger los sistemas, los edificios y la infraestructura de apoyo relacionada contra las amenazas asociadas con el ambiente físico. Aunque en la mayoría de empresas se pasan por alto, las prevenciones físicas y de entorno son muy importantes para proteger la información.
Durante los últimos años, la seguridad física se ha convertido en un reto para las organizaciones, debido a que los entornos tecnológicos e informáticos multiplican la posibilidad de vulnerabilidades, por ello, la necesidad de tomar acciones preventivas es un imperativo.
Hoy los escritorios en tu empresa seguramente están llenos de computadores, portátiles y dispositivos móviles que tienen acceso a toda la información. Esto sumado con otras variables genera que el entorno de tu organización se vuelva más complejo y dinámico aumentando las posibilidades de vulnerabilidades como el fraude, el vandalismo, el sabotaje, los accidentes y el robo. Situaciones que pueden generar costos adicionales.
En este sentido es clave implementar medidas preventivas y de protección dentro del marco de la seguridad de la información, pero ¿cómo hacerlo? A continuación te explicamos los lineamientos dispuestos por la norma ISO 270001 que te ayudarán con este objetivo.
Tus instalaciones necesitan controles de acceso físico que regulen, supervisen y gestionen el acceso, esto implica una categorización de los espacios del edificio en restringido, privado o público. Establece diferentes niveles de control de acceso para restringir las zonas a las que cada colaborador puede ingresar según el cargo y las funciones que desempeñe.
Existen muchos mecanismos que permiten establecer el control y aislamiento en las instalaciones. Estos son:
Muros, puertas, torniquetes, vallas, suelos, alarmas, protección de ventanas, entre otros se utilizan en el acceso al edificio para crear barreras de seguridad antes de ingresar al edificio, estos permiten distinguir los límites entre áreas protegidas y públicas.
Los niveles de protección de los perímetros de seguridad deben ser proporcionales a los tipos de activos y los riesgos identificados en la evaluación del Sistema de Gestión de Seguridad de la Información. Además, deben estar claramente definidos en lugar y fuerza.
El objetivo de los controles técnicos es asegurar que por los accesos solo ingrese personal autorizado, debido a que son las áreas de seguridad más comprometidas. Implementa distintas capas de seguridad para proteger de los intrusos que pueden tener acceso directo a los recursos de la organización.
Las tarjetas inteligentes, los carnets de identificación, los lectores de proximidad, los sistemas de detección de intrusos, los registros de visitantes y los permisos son algunos de los mecanismos usados para controlar el acceso a las áreas protegidas y a la información sensible.
Es importante que revises y actualices de forma constante los derechos o permisos de acceso a las áreas de seguridad y que monitorices la actividad de acuerdo con la evaluación de riesgos. Además, asegúrate de que todos los trabajadores que entran en los perímetros conozcan los procedimientos de seguridad y emergencia y cuenten con el permiso para fines específicos.
La disposición de las instalaciones y oficinas de tu empresa debería estar diseñada para garantizar que las áreas protegidas o donde esté la información sensible se encuentre fuera del alcance y acceso de visitantes. En este sentido, debe ser aplicada y asignada, considerando las regulaciones y estándares de seguridad y salud, que las guías telefónicas internas no sean alcanzables por los personas externas a la organización
Todas las organizaciones están expuestas a amenazas externas de distintos tipos, entre ellas las ambientales. Para estar protegido de ellas, diseña y aplica medidas que minimicen los riesgos de factores como inundaciones, incendios, terremotos y otras emergencias.
Además de tener en cuenta estos factores, también deberías definir procedimientos de trabajo en las áreas seguras, como supervisión de terceros, revisión de las zonas al finalizar y prohibición de dispositivos móviles de fotografía. Por último, en las áreas de carga y de entrega debes poner especial atención pues son puntos sensibles. Ten en cuenta horarios y controles de apertura y cierre, monitorización del personal, revisión de mercancías y barreras adicionales de seguridad.
Los equipos informáticos críticos también deben protegerse contra daños físicos, incendios, inundaciones y robos, entre otros riesgos, tanto dentro como fuera del sitio. De esta forma, debes asegurar la instalación física, es decir, donde se albergan el sistema y los componentes de la red.
Ten en cuenta que la ubicación general de las áreas que contienen información determina las características de las amenazas naturales, como terremotos e inundación; las amenazas provocadas provocadas por el hombre, como robo o interceptación de transmisiones, y las actividades cercanas dañinas, como derrame de sustancias químicas, explosiones o incendios.
Las salvaguardias generales de seguridad deben estar en armonía con la atmósfera general del edificio para ello:
Proteger los activos informáticos físicos y el entorno de tu organización es tan importante como garantizar la seguridad de los datos y uso del software. Al implementar medidas preventivas, de protección y de control en las instalaciones, equipos e infraestructura de tu empresa, tendrás áreas seguras y minimizarás los riesgos que puedan afectar la seguridad de la información y la continuidad de tu negocio.
Recuerda que gestionar la seguridad física y del entorno de tu empresa puede ser simple con KAWAK®, un software para ISO 27001 que te permite integrar y administrar en un solo lugar todos los aspectos relacionados a tu Sistema de Gestión de Seguridad de la Información.
¡Conoce cómo los módulos de nuestro software de gestión de calidad pueden ayudarte a implementar una cultura de gestión simple y efectiva en tu organización!