En el robo de información, existen básicamente 2 niveles de riesgo: El robo por software o remoto, y el robo físico de equipamiento y/o hardware. Muchas empresas en la actualidad consideran sólo la primera, restando importancia al cuidado de su infraestructura física. Administran un centro de datos propio o salas de servidores en sus mismas oficinas o instalaciones; sin embargo, más allá de que esto signifique la reducción de algunos costos respecto a la externalización del servicio, para que este ahorro valga la pena, se hace imprescindible reducir el margen de riesgo, elaborando un protocolo y políticas de seguridad de acceso al lugar donde están funcionando los servidores que sostienen el negocio.

El Factor humano es uno de los principales riegos en la gestión de la información, según estadísticas del rubro; 72% robos, fraudes, sabotajes y accidentes son causados por los empleados de la propia empresa, 20% consultores externos que tienen acceso a los edificios, sistemas e información y un 5-8% a gente totalmente externa.

No controlar la seguridad en quien tiene acceso a tus equipos, implica una serie de riesgos para la empresa, entre ellos:

  • Indisponibilidad de servicio
  • Financieros o económicos por fraude
  • Pérdida de prestigio y credibilidad de la empresa
  • Alcances y repercusiones legales por clientes afectados
  • Robo de información secreta de la empresa
  • Chantajes
  • Espionaje industrial

 

La gestión del control de accesos y vigilancia de una sala de servidores, debe ser una tarea primordial, ya que permite impedir accesos no autorizados, daños e interferencia a las redes e información de la empresa. Las salas de servidores deben estar ubicadas en áreas protegidas y controles de acceso apropiados, con acceso restringido y controlado.

Para elaborar un buen protocolo de seguridad a nivel de infraestructura, existe una serie de estándares internacionales que operan como referente sobre políticas mínimas necesarias para asegurar la información, tales como ITIL para gestión de servicios TI o la norma ISO 27001Uptime Institute, ICREA y otras normas internacionales se ocupan de la infraestructura del centro de datos y establecen pautas sobre el tema de seguridad. En el caso de Uptime Institute, se determina que los ingresos al centro de cómputo deben ser mediante un sistema biométrico, que el data center debe poseer un CCTV –para un Tier IV, no solo debe grabar las 24 horas, los 365 días del año, sino también tener una cierta calidad de imagen. También da pautas sobre la extinción de incendios mediante agentes limpios o la necesidad de tener todo el sistema de extinción de incendios en reserva al 100%.

Respecto de los protocolos con las personas, la gestión de identidades se hace indispensable para evitar riesgos innecesarios; Comunicación IP para dispositivos wireless e integración de sistemas móviles, almacenamiento para gestionar gran cantidad de imágenes y contenidos de vídeo, dispositivos biométricos y de identificación para gestión de identidades basado en Roles para acceder a activos físicos, son solo algunos de los que deben tenerse en cuenta al momento de elaborar un plan de seguridad física.

 

Para la gestión de riesgos, te recomendamos comenzar con los siguientes pasos:
  • Identificación, etiquetado y registro de activos (Hardware)
  • Identificación de amenazas
  • Identificación de vulnerabilidades
  • Valorar riegos y detectar prioridades.
  • Identificar contramedidas

Por último: Con el fin de dar un ejemplo de un sistema de seguridad física elaborado para un centro de procesamiento de datos, te compartimos el que corresponde a nuestro data center, el cual cuenta con certificación ISO 27001, 3 anillos de seguridad, 5 controles de acceso que operan 24/7.

adc_005

 

Si te gustó este artículo

  • Únete a nuestra Comunidad TIC en Linkedin Aquí
  • Si quieres conocer nuestro datacenter o enviarme tus comentarios sobre el artículo, escríbeme a sandra.henriquez@asicom.cl.

Suscríbete al Blog!…

Comparte el Post!…