• Fecha: Jun 01, 2004
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

Fuente: B:Secure Autor: Andrés Velázquez, CISSP

Los profesionales de seguridad informática estamos acostumbrados a escuchar de una tríada conocida como “CIA Triad”, la cual contempla los tres siguientes puntos:

Confidencialidad: mantener los secretos como tales y proteger la información de aquellos que no tienen autorización de accederla
Integridad: asegurar que la información no es alterada sin autorización
Disponibilidad: hacer que los sistemas estén disponibles a los usuarios cuando lo necesitan

Pero considerar esta combinación como la base de la seguridad informática, puede representar una simple y pequeña pieza dentro de un Modelo Empresarial de Seguridad. Es por ello que las empresas deben de identificar todo lo que esto podría englobar, que en este caso sería la seguridad informática, la seguridad física y la seguridad personal.

Desde hace mucho tiempo, estas disciplinas han estado trabajando por separado, las empresas en las cuales he participado como consultor, cuentan con grandes presupuestos e inversiones en cada una de estas áreas; pero no han tomado en cuenta que éstas pueden tener mucho en común y están ligadas entre ellas. Actualmente se toman como entes separados, donde muy raras veces comparten procedimientos y menos aún políticas corporativas.

Como resultado, tenemos muchos vacíos en la interacción de estas disciplinas, lo cual se convierten en vulnerabilidades y por lo tanto un riesgo para la empresa, tanto en incidentes físicos como incidentes digitales.

Estos vacíos se pueden ver reflejados en los procedimientos de acceso a las oficinas o data centers, máquinas de escritorio bloqueadas (screensaver con password), visitantes no escoltados, acceso a instalaciones sin identificación oficial, etc.

El incorporar la seguridad física en seguridad informática puede tener muchos beneficios, y ellas pueden trabajar en conjunto logrando, por ejemplo, un sistema de control de acceso de los empleados, el cual usa biométricos o tarjetas de proximidad para poder acceder a la oficina. A esto, incluya que deben usar el mismo sistema de biométricos o tarjetas para poder acceder a su computadora.

Su sistema esta integrado entre sí, de tal manera que si alguien entra a un sistema sin pasar por el acceso físico, podría ser una posible violación de la seguridad. Al integrar los sistemas, la empresa puede tener un mayor control del uso de sus sistemas tanto de uso diario como de uso crítico.

Pero la base de todo es la capacitación y concientización de los empleados de la empresa. ¿Por qué? Las computadoras no atacan por sí mismas (a menos de que hayan sido programadas para hacerlo… como un virus –aún así, fue desarrollado por un ser humano). Y las estadísticas muestran que cerca del 80% de los ataques y fraudes tanto digitales como físicos que sufren las empresas vienen de los mismos usuarios internos o empleados. T tenemos que mantener la seguridad y el control dentro de la misma empresa.

Es aquí donde entra la seguridad personal; enseñar a la gente a saber cómo reaccionar cuando salen de las instalaciones, en caso de un incidente, el manejo de situaciones difíciles, posible secuestro, robo, etc.

Las empresas deben de trabajar y pensar en unir todas estas disciplinas para que puedan tener un mayor control de la seguridad, tanto en la información, la física y la personal para poder tener una sinergia con ellas.

No tenga miedo de reunir al personal de seguridad física con el de seguridad lógica y recursos humanos; al fin y al cabo la seguridad es un solo frente, tanto de un punto de vista digital como del físico.

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.