Tener equipos de última tecnología e implementar las mejores prácticas de gestión es sólo un paso para garantizar la seguridad de la información. Muchas veces se obvia la seguridad física de la infraestructura y se pone en riesgo la gran inversión de recursos realizada.
Además de tener un centro de cómputo con los servidores, canales de comunicación y equipos de protección es necesario protegerlos para evitar el acceso físico no autorizado a las instalaciones y de esta forma prevenir daños o alteraciones de la información de la organización. Como parte de los 10 pilares básicos de la norma ISO 27001, los equipos donde se procesa y almacena la información sensible deberían estar en áreas seguras y protegidas dentro de un perímetro definido con controles para saber quiénes ingresan a utilizarlos.
La protección de estos equipos no pasa solamente por tenerlos aislados en un centro de cómputo con controles de acceso. Es necesario además aplicar medidas de protección contra amenazas naturales tales como incendios, inundaciones, terremotos y otras formas de desastre que cubran actos de vandalismo, por ejemplo contar con extintores de fuego de agentes químicos como SOLKAFLAM y no de agua o polvo químico que pueden llegar a funcionar en una emergencia pero pueden ocasionar daños irreparables sobre los equipos.
No solamente la seguridad de la infraestructura debe centrarse sobre los equipos principales. También los controles deben aplicarse sobre los equipos de respaldo, la protección debe extenderse para salvaguardar servicios como las UPS , los aires acondicionados y la infraestructura de cableado. De esta manera se puede garantizar la disponibilidad de la información. Igualmente las terminales deben tener controles de seguridad adecuados, a pesar que no sean sean parte central del negocio pueden contener información confidencial. Controles como los inventarios periódicos o el seguimiento para ingresar y sustraer equipos de las instalaciones de la empresa ayudan a tener
Otro tipo de elementos sobre los cuales es necesario tener especial cuidado son los dispositivos de almacenamiento. La revisión de estos dispositivos debe garantizar que los datos sensibles se almacenen adecuadamente y además en el momento que se eliminan se haga de la manera más adecuada. Es muy importante tener en cuenta también su revisión para garantizar que solamente se encuentre instalado software licenciado, para de esta forma evitar los riesgos legales a los cuales se puede quedar expuesto.
Además de la infraestructura más sensible, se deben tener en cuenta otros equipos por los cuales se puede manejar información confidencial. Dispositivos como las impresoras y fotocopiadoras deben estar en áreas con niveles de seguridad adecuados para evitar fuga de información. Incluso sobre otros dispositivos como los fax debería existir una política para impedir que sean utilizados inadecuadamente.
Antes de hacer alguna implementación es necesario tener en cuenta la realidad de la empresa, para que de esta forma el nivel de protección esté de acuerdo a los riesgos a los cuales se vea expuesta la información. De esta manera se garantiza que la inversión que se haga sea la adecuada y no se haga un gasto superior al necesario o se subestime la inversión y quede expuesta la información.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research