Puede escuchar el contenido del artículo en la voz de una herramienta de Inteligencia Artificial. Duración aproximada: 11 minutos.
Con mucha razón, a partir de las debilidades que genera el capital humano en el manejo de las TIC, se ha dicho que los controles de seguridad física no son “tan eficientes”. Sin embargo a pesar de este inconveniente no puede pasarse por alto el hecho de que constituye una capa adicional en la seguridad de la información que puede ubicarse como un control dentro de la llamada defensa en profundidad.
Una muestra de la necesidad de los controles de seguridad física, es que los expertos de los comités de la ISO los incluyen como aspectos vitales para el desarrollo de las buenas prácticas en el manejo seguro de las TIC.
El tema de la seguridad física presenta catorce controles, expuestos en la cláusula 7 de la norma ISO 27002 de 2022. Los controles son los siguientes:
1. Seguridad física perimetral.
2. Entrada física.
3. Seguridad de locales e instalaciones.
4. Monitoreo de la seguridad física.
5. Protección contra amenazas físicas y ambientales.
6. Trabajo en áreas seguras.
7. Pantalla y escritorio limpios.
8. Emplazamiento y protección de equipos.
9. Seguridad de los activos que salen al exterior de las instalaciones de la organización.
10. Medios de almacenamiento (referido al ciclo de adquisición, uso, transportación y desecho de los medios)
11. Mecanismo de soporte (facilidades para el procesamiento de la información protegido de fallas y rupturas del flujo normal de esta).
12. Seguridad del cableado.
13. Equipo de mantenimiento.
14. Desecho seguro o reutilización del equipamiento.
Por razones lógicas de espacio no podrá realizarse un análisis de todos los controles, por lo que se ha decidido mostrar los que son más cercanos a la actividad del capital humano en la institución.
El primer aspecto se refiere a la seguridad física perimetral y esto difiere del “perímetro” de la red. El control está enfocado en el espacio físico que ocupa la organización y sus dependencias.
Recordar que el perímetro de la red no solo lo marca el equipamiento dentro del campus universitario, también se incluyen en el, todos los activos que se conectas desde diversos puntos, que pueden ser distantes desde el punto de vista geográfico. Esto incluye a los dispositivos móviles, en especial los teléfonos.
Es habitual que las personas consideren la seguridad física como un problema del cuerpo de protección, cuando en realidad todos deben formar parte del mecanismo.
El acceso del personal ajeno a la organización a las dependencias de esta y a los activos, multiplica los riesgos de manera exponencial, ya que si este problema no está considerado en las amenazas y se ha formado al capital humano en un modo de actuación ante este tipo de incidente, entonces se carece de mecanismos para hacerle frente lo que conduce a improvisaciones. Esto hace más difícil el enfrentamiento a incidentes probables por esta causa.
Los aspectos 5 y 7 son de una incidencia muy alta en nuestro entorno. El primero de ellos: Protección contra amenazas físicas y ambientales, el segundo Pantalla y escritorio limpios. Este último es un aspecto que las personas no toman en consideración e incluso consideran exagerado.
El control 5 de la norma ISO 27002 atiende la necesidad de protección en el ámbito físico y ambiental por la incidencia de factores naturales. En la norma se expresa y puede traducirse aproximadamente como la necesidad de la Protección contra amenazas físicas y ambientales, como desastres naturales y otros y que debe atenderse la necesidad de diseñar e implementar mecanismos para enfrentar amenazas físicas no intencionales a la infraestructura.
En la propia norma ISO 27002:2022 el control se orienta a:
Evaluaciones de riesgos para identificar las posibles consecuencias de las amenazas físicas y ambientales debe realizarse antes de comenzar las operaciones críticas en un sitio físico y a intervalos regulares. Se deben implementar las salvaguardas necesarias y se deben monitorear los cambios en las amenazas.
Incluso se orienta a los especialistas en ciberseguridad para establecer vías para la obtención asesoramiento sobre cómo gestionar los riesgos derivados de las amenazas físicas y ambientales como incendios, inundaciones, terremotos, explosiones, disturbios civiles, desechos tóxicos, emisiones ambientales y otros formas de desastres naturales o desastres causados por seres humanos de forma que puedan hacer extensivo este conocimiento al capital humano de la institución, cuestión esta, que se considera tiene como una de las vías mas efectivas los planes de prevención.
En las entidades se pueden considerar los conceptos de prevención del delito e incluir junto a esto el diseño de controles ambientales como forma para asegurar su entorno y reducir las amenazas urbanas y preservar los contenedores de almacenamiento seguro de la información ante desastres que incluyen incendios, terremotos, inundación o explosiones.
Un ejemplo a atender pudiera ser un sismo de gran intensidad, esto implica la previsión de las acciones coordinadas y determinadas de antemano en el plan de prevención, donde se muestran un conjunto de factores sobre la ubicación del personal, del transporte, servicios de primeros auxilios y las alternativas en caso de afectación, etc. Esto enfocado en el momento anterior al sismo, mientras ocurre y después del mismo y atendiendo a la posibilidad de réplicas.
Pudiera pensarse qué tiene esto que ver con la seguridad de la información y la respuesta es sencilla: Para mantener la continuidad de los procesos de la institución después de una sismo, es necesario tener asegurada la información que sustenta dichos procesos.
Por ello debe atenderse la protección de los contenedores de información como el primer paso para lograr la continuidad de los procesos luego de un incidente, aspecto este ubicado en el tema organizacional y que muestra nuevamente las interconexiones dentro de la norma ISO 27002.
Pero también debe mantenerse la observancia del entorno para personas que por diversas razones deseen causar daño a la información, sean ajenos a la institución o no. En tal sentido, los mecanismos de control de acceso físico y lógico (relacionados con el tema organizacional) son esenciales.
El control 7, relacionado con pantallas y escritorios limpios es un elemento vital para el análisis, a pasar de la poca comprensión y oposición de los usuarios de las TIC al problema.
Un escritorio colorido con una imagen y abigarrado de accesos directos o de archivos ubicados para hacer más fácil su ejecución permite que ocurran dos cosas:
1. Se hace difícil detectar la eliminación de un archivo.
2. Facilita la labor a un intruso para acceder a una información.
Esto sin contar el hecho de que la imagen de pantalla y los archivos que se guardan en el escritorio gravitan sobre el rendimiento del sistema operativo al sobrecargarlo.
Es importante recordar un elemento que está, de cierta manera, asociado: la necesidad de bloquear el activo cuando quede desatendido para evitar el acceso de intrusos.
Esto debe hacerse a pesar de que esté configurado para que ocurra automáticamente. Así se evita que, aunque sea por un breve lapso de tiempo, un intruso pueda acceder a los datos.
La norma ISO 27002 de 2022 es clara en su propósito: la reducción de riesgo de intrusión, unido a posible la pérdida o daño de la información por el acceso fácil que brinda el escritorio, más si la información de que se trata es importante.
No es apropiado terminar el tema de la seguridad física sin reflexionar en torno al control 12 referido a la seguridad en el cableado.
Es conveniente valorar dos aspectos:
1. Un cortocircuito puede afectar el equipamiento e inutilizarlo.
2. Un corte en un cable de red paraliza el acceso a determinado activo y tiene consecuencias en el rendimiento de la institución.
El control se refiere directamente a los cables que llevan energía eléctrica para mantener activos los sistemas, pero además incluye a los cables de datos que deben protegerse contra la interceptación, interferencia o daño.
De ahí que el propósito de la existencia de este control sea buscar a toda costa evitar la pérdida, el daño, el robo o el compromiso de la información y los activos asociados. También es vital la protección para evitar la interrupción de las operaciones de la institución como consecuencia de afectaciones en el cableado de alimentación y comunicaciones.
Por solo poner ejemplos la norma establece la importancia de establecer un control preventivo y vigilancia de los sistemas de cableado para evitar interrupciones en los procesos de la institución. Además es vital la vigilancia sobre los paneles de control de comunicaciones y registros eléctricos. Se propone incluso en la norma 27002:2022 el uso de blindaje electromagnético para la protección de los cables y se menciona la instalación de conductos blindados y salas o cajas cerradas con llave y alarmas en puntos terminales. Se deben se pueden buscar dispositivos no autorizados conectados al cableado.
Este problema no es ajeno a la institución donde en muchas dependencias se pueden encontrar cables eléctricos y/o de datos en el piso o en amasijo de la parte trasera de los ordenadores, expuestos a daños que pueden incidir en la salud de los equipos, el acceso a ellos y por ende de la información almacenada.
Es importante recordar que la separación física de las redes eléctricas y de infocomunicaciones no es un capricho. Esta establecido por las normas internacionales y en normas jurídicas de nuestro país para la seguridad de la información (res. 128/2019 y decreto 360/2019) porque el tendido contiguo de ambos puede provocar interferencias en las comunicaciones como consecuencia de la existencia de fuerzas electromagnéticas concurrentes por múltiples cuestiones.
Así, están abiertas las puertas al análisis de los controles del tema de las buenas prácticas vista desde lo tecnológico.