• Home

  • Technology

  • De lo lógico a lo físico, dos dimensiones y un mismo acceso
3
Seguridad de la Información – Auditoría de Sistemas 1 DE LO LÓGICO A LO FÍSICO, Dos dimensiones… Un mismo acceso Como sabemos el entorno de los datos y los procesos que los convierten en información no se limita solo a lo relacionado con la tecnología. Contener y procesar información requiere de nosotros el ejercicio de ampliar nuestra visión y proponernos un “viaje” imaginario entre el mundo digital y el físico ya que como ejecutivos de la seguridad entendemos que todo proyecto u operación de IT requiere para su gestión y la de seguridad de la información un especial cuidado del aspecto físico. Referente a ello, hay aspectos importantes que debemos conocer respecto del entorno físico de la información que deben ser aplicados casi como un espejo de nuestras decisiones tomadas sobre las plataformas tecnológicas y sus componentes… Imaginemos este viaje entre lo digital y lo físico preguntándonos ¿Por qué me preocupo en restringir los accesos a archivos si dejo abierta la puerta del Data Center? ¿O si imprimo ese archivo electrónico y lo dejo sobre mi escritorio a la vista de los demás cuando me retiro? Establecer una visión de protección física por sobre aquello que ya estoy protegiendo digitalmente marca una necesidad de vencer la barrera de lo cultural partiendo de la base de establecer un plan de concientización con una visión global del entorno de la información y de establecer un plan de capacitación a nuestros líderes de seguridad para que, cuando participen en distintos proyectos o en la operación, tengan en cuenta los aspectos de seguridad física que además (y por si fuera poco) también tiene un impacto en el cumplimiento regulatorio. Como respuesta a esta necesidad y como custodios de los activos de información de nuestra organización, es que debemos pensar en un sistema de tratamiento y protección de Información que consista en la aplicación de medidas de prevención y contramedidas para asegurar la gestión de la información que se encuentre en un formato tangible, los medios que la contengan y los espacios físicos donde se almacene o procese. Los principales aspectos que debemos tener en cuenta dentro de nuestro Sistema de Tratamiento y Protección de Información son: Incluir dentro de la clasificación de información aspectos relacionados con los medios de tratamiento de la misma (impresoras, destructoras, faxes, notebooks) y aquella información que se encuentre contenida en cualquier medio físico (CDs/DVDs, papel, discos extraíbles, memorias USB, tapes de backup) En base a ello identificar los espacios físicos donde se trate información confidencial o sensible, y al igual que las salas de sistemas y comunicaciones, identificarlos y proteger su entorno como “área restringida” mediante procedimientos o herramientas que aseguren el acceso y monitoreo adecuado. Establecer normas y procedimientos asociados al ciclo de vida de la información contenida en medios físicos tal como lo hacemos para el formato digital y que permitan identificar responsables, pautas de gestión en el tratamiento, hitos de control y métodos de disposición final. Establecer normas y procedimientos que contemplen toda la gestión de ABM de tarjetas de acceso, así como la gestión de instalación, configuración y operación del sistema cerrado de TV y equipos de control de acceso. Proveer de un marco de cumplimiento que abarque no solo a los integrantes de la organización sino también a terceras partes, incluyendo aspectos relacionados con el comportamiento dentro de áreas restringidas Un detalle importante, y que no quiero olvidar, es la necesidad de actuar colaborativamente en estos aspectos con otros sectores de la compañía que según su estructura organizacional serán: Recursos Humanos, Seguridad e Higiene, Intendencia, Legales. Los requerimientos de cumplimiento establecidos por las regulaciones y certificaciones actuales, tales como PCI o leyes de protección de datos, nos determinan que se debe proteger a las áreas restringidas de igual forma que lo

De lo lógico a lo físico, dos dimensiones y un mismo acceso

Embed Size (px)

Citation preview

Page 1: De lo lógico a lo físico, dos dimensiones y un mismo acceso

Seguridad de la Información – Auditoría de Sistemas

1

DE LO LÓGICO A LO FÍSICO, Dos dimensiones… Un mismo acceso

Como sabemos el entorno de los datos y los procesos que los convierten en información no se limita

solo a lo relacionado con la tecnología. Contener y procesar información requiere de nosotros el

ejercicio de ampliar nuestra visión y proponernos un “viaje” imaginario entre el mundo digital y el

físico ya que como ejecutivos de la seguridad entendemos que todo proyecto u operación de IT

requiere para su gestión y la de seguridad de la información un especial cuidado del aspecto físico.

Referente a ello, hay aspectos importantes que debemos conocer respecto del entorno físico de la información

que deben ser aplicados casi como un espejo de nuestras decisiones tomadas sobre las plataformas tecnológicas

y sus componentes… Imaginemos este viaje entre lo digital y lo físico preguntándonos ¿Por qué me preocupo en

restringir los accesos a archivos si dejo abierta la puerta del Data Center? ¿O si imprimo ese archivo electrónico y

lo dejo sobre mi escritorio a la vista de los demás cuando me retiro?

Establecer una visión de protección física por sobre aquello que ya estoy protegiendo digitalmente marca una

necesidad de vencer la barrera de lo cultural partiendo de la base de establecer un plan de concientización con

una visión global del entorno de la información y de establecer un plan de capacitación a nuestros líderes de

seguridad para que, cuando participen en distintos proyectos o en la operación, tengan en cuenta los aspectos de

seguridad física que además (y por si fuera poco) también tiene un impacto en el cumplimiento regulatorio.

Como respuesta a esta necesidad y como custodios de los activos de información de nuestra organización, es que

debemos pensar en un sistema de tratamiento y protección de Información que consista en la aplicación de

medidas de prevención y contramedidas para asegurar la gestión de la información que se encuentre en un

formato tangible, los medios que la contengan y los espacios físicos donde se almacene o procese.

Los principales aspectos que debemos tener en cuenta dentro de nuestro Sistema de Tratamiento y Protección de

Información son:

• Incluir dentro de la clasificación de información aspectos relacionados con los medios de tratamiento de

la misma (impresoras, destructoras, faxes, notebooks) y aquella información que se encuentre contenida

en cualquier medio físico (CDs/DVDs, papel, discos extraíbles, memorias USB, tapes de backup)

• En base a ello identificar los espacios físicos donde se trate información confidencial o sensible, y al igual

que las salas de sistemas y comunicaciones, identificarlos y proteger su entorno como “área restringida”

mediante procedimientos o herramientas que aseguren el acceso y monitoreo adecuado.

• Establecer normas y procedimientos asociados al ciclo de vida de la información contenida en medios

físicos tal como lo hacemos para el formato digital y que permitan identificar responsables, pautas de

gestión en el tratamiento, hitos de control y métodos de disposición final.

• Establecer normas y procedimientos que contemplen toda la gestión de ABM de tarjetas de acceso, así

como la gestión de instalación, configuración y operación del sistema cerrado de TV y equipos de control

de acceso.

• Proveer de un marco de cumplimiento que abarque no solo a los integrantes de la organización sino

también a terceras partes, incluyendo aspectos relacionados con el comportamiento dentro de áreas

restringidas

Un detalle importante, y que no quiero olvidar, es la necesidad de actuar colaborativamente en estos aspectos

con otros sectores de la compañía que según su estructura organizacional serán: Recursos Humanos, Seguridad e

Higiene, Intendencia, Legales.

Los requerimientos de cumplimiento establecidos por las regulaciones y certificaciones actuales, tales como PCI o

leyes de protección de datos, nos determinan que se debe proteger a las áreas restringidas de igual forma que lo

Page 2: De lo lógico a lo físico, dos dimensiones y un mismo acceso

Seguridad de la Información – Auditoría de Sistemas

2

hago con la seguridad lógica estableciendo niveles de protección en el acceso a las mismas, cuyas características

dependerán del área a proteger y del nivel de información que en ella se procese o almacene. Entre las áreas

restringidas podemos mencionar como ejemplo a los Centros de Procesamientos de Datos (Data Centers), salas

de comunicaciones, salas de embozado de tarjetas de crédito, oficinas de sectores Legales, Directorio o

administrativas que traten información confidencial o sensible (Historias Clínicas, datos bancarios, etc.).

No es necesario establecer niveles complejos de protección, simplemente con determinar dos niveles en los que

pueda agrupar en un primer nivel los ambientes en los que se trate información ligada a los objetivos y la

operatoria de la organización y que ante un incidente afecte seriamente el funcionamiento del negocio y los

compromisos con terceros, y en un segundo los de carácter general de la compañía cuya pérdida no afecte

seriamente la operación normal de la organización. Inclusive, esto nos permitirá “proteger” nuestro presupuesto

al enfocarnos solo en aquellos espacios en los que se requiera, identificados solo si previamente realizamos un

relevamiento, análisis y clasificación de nuestros activos de información y su entorno.

Al igual que en el mundo digital, el nivel de protección de seguridad física a aplicar a un área debe corresponder al

de mayor nivel de clasificación de la información que en ella se trate o almacene. En consecuencia, una vez

determinados los niveles de protección, se otorgarán los accesos a los empleados y colaboradores teniendo en

cuenta la función que los mismos desarrollarán en la organización y los niveles de seguridad de los espacios físicos

a los cuales deban acceder. A su vez, debo contar con herramientas que me permitan monitorear y registrar que

las definiciones impuestas se cumplan, y para ello cuento con medios técnicos como lo son los circuitos CCTV y

controles de acceso.

Otros aspectos que debemos tener en cuenta están relacionados con las decisiones estratégicas a tomar ante

cambios edilicios o futuras mudanzas, donde para áreas restringidas debo tener en cuenta:

• Evitar la existencia de aberturas (para el caso de Data Centers) o bien que las mismas no estén accesibles

a sitios externos, como por ejemplo, pasillos públicos en galerías o acceso por veredas fuera de la línea de

catastro.

• Las paredes externas deben ser de construcción sólida y las puertas que dan al exterior como así también

las ventanas y conductos de refrigeración y calefacción, deben poseer adecuados mecanismos de control:

rejas, alarmas y cerraduras de seguridad.

• En lo relacionado a aspectos de vigilancia, el ingreso de personas debe ser registrado en bitácoras o

mediante tarjetas de proximidad en caso de empleados de la compañía y monitoreado por cámaras de

circuito cerrado estableciéndose puntos de control de acuerdo a la distribución de planta que tenga el

edificio.

• Disponer de dispositivos de control de acceso instalados en las áreas identificadas como restringidas, que

capaces de identificar y registrar a todas las personas que acceden o salen de estas áreas, así como los

horarios en que se efectuaron estas acciones previendo resguardar los registros por el tiempo mínimo

indicado por el marco regulatorio que aplique a la compañía.

Una forma de gestionar eficientemente este sistema, es contando con la colaboración de cada gerencia usuaria, a

quien se le puede asignar la administración del control de acceso de su propio sector del edificio procediendo a

autorizar el acceso a las mismas a quien corresponda, incluyendo al personal externo que durante su presencia y

en todo momento debe estar acompañado por un empleado de la Gerencia. Continuando con las similitudes,

ante una modificación en la situación laboral del personal debe preverse el cambio de permisos sobre la tarjeta

de acceso, así como requerir que todo el personal interno o externo la exhiba como forma de identificación y

alentar a cuestionar la presencia de desconocidos no escoltados y la no exhibición de una identificación.

Seguridad de la Información también representa factores ambientales, ya que la disponibilidad e integridad de la

información física depende de las condiciones básicas de temperatura, humedad, higiene y de las medidas

preventivas a utilizar tales como sistemas automáticos de detección ante incendios y de extinción automática de

incendios. Las condiciones ambientales también pueden verse afectadas si a su vez no mantenemos bajo control

Page 3: De lo lógico a lo físico, dos dimensiones y un mismo acceso

Seguridad de la Información – Auditoría de Sistemas

3

los riesgos asociados al comportamiento de las personas dentro de las áreas restringidas, donde tendremos que

poner especial énfasis en:

• No ingresar ni almacenar en estos espacios materiales inflamables o peligrosos (como por ejemplo cartón,

cajas, papel o cualquier otro material similar) y en caso que se requiera no olvidarse de remover los

desechos y cajas vacías al finalizar tareas de instalación, por ejemplo;

• No permitir comidas, bebidas o fumar dentro del Data Center o áreas restringidas;

• Prohibir el uso de cámaras fotográficas, cámaras de video o equipos móviles provistos con cámaras

fotográficas;

• No permitir el bloqueo de pasillos, elevadores o cualquier otro espacio público de paso y uso común;

• Evitar el uso de aspiradoras, taladros o similares en el área de Data Center, que contaminen con polvo los

discos o cualquier otro elemento mecánico que contenga y/o procese información.

Para finalizar y como parte fundamental en el aseguramiento de la confidencialidad de la información, también

debemos contemplar en nuestro plan de tratamiento de datos los lineamientos para la destrucción de

información contenida en soportes impresos o magnéticos (CDs, DVDs, Discos externos, etc.) que nos permita

aplicar una forma de disposición final de la información adecuada basada en los siguientes pasos:

• Inventario – Enumere en un documento toda la información retenida por la situación, incluyendo datos

operacionales sobre la información.

• Análisis – Efectúe una revisión de todos los datos en cada grupo de información particular, y prepare un

cronograma preliminar de custodia.

• Destrucción - Identifique y destruya cualquier tipo de información cuyo período de custodia haya

expirado, o cuando considere que ya no es necesaria. Los métodos y/o herramientas utilizadas para este

fin deben asegurar que la información no puede ser reconstruida.

• Mantenimiento - Mantenga este programa, asegure su actualización y supervise la correcta realización de

la destrucción de información inactiva.

Si bien esto aplica a la información sin importar su formato, recordemos que cuando debamos determinar qué

información debe ser destruida, tengamos en cuenta aquella que tiene un periodo de custodia estipulado por

Agencias Gubernamentales por motivos legales, impositivos u otros propósitos, respecto de la información

operacional como por ejemplo información financiera, contable, de producción, personal, relacionada con la

investigación y comercialización, otros. El periodo de custodia de esta información es determinado dentro de la

compañía basándose en su importancia o necesidad y teniendo en cuenta los requisitos legales aplicables a la

información retenida.

Pensar en seguridad es primero conocer los diferentes procesos a asegurar y su entorno, para luego aplicar la

tecnología necesaria en asegurar su calidad de procesamiento basada en la confidencialidad, integridad y

disponibilidad de la información que tratan, inclusive en los aspectos físicos que también deben estar incluidos en

sus estrategias de seguridad.

Fabián Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. – Security Systems Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de la Información (CAECE), certificado ITIL v3-2011 y auditor ISO 20000. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad de la Institución de Salud. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institución de Salud CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más información: www.cybsec.com


Razonamiento Lógico

Razonamiento Lógico

Documents
Pensamiento lógico

Pensamiento lógico

Education
UTE Carlos Rosero Dr.Remache_Nuevas dimensiones de lo social_06-01-2014

UTE Carlos Rosero Dr.Remache_Nuevas dimensiones de lo social_06-01-2014

Education
Ute_Proyectos_Nuevas dimensiones de lo social_ Isabel Jiménez

Ute_Proyectos_Nuevas dimensiones de lo social_ Isabel Jiménez

Education
“Ego idem sum”IDEM, lo mismo Principio lógico de identidad A=A

“Ego idem sum”IDEM, lo mismo Principio lógico de identidad A=A

Documents
“DIMENSIONES FÍSICA Y LÓGICO MATEMÁTICA”

“DIMENSIONES FÍSICA Y LÓGICO MATEMÁTICA”

Documents
RAZONAMIENTO LÓGICO

RAZONAMIENTO LÓGICO

Documents
Diseño Lógico

Diseño Lógico

Documents
Henry Corbin (París 1903, 1978), uno Filósofo de los más ... vs Corbin.pdfUn axis mundi que no tiene dimensiones físicas sino imaginales (que no es ni lo universal lógico ni lo

Henry Corbin (París 1903, 1978), uno Filósofo de los más ... vs Corbin.pdfUn axis mundi que no tiene dimensiones físicas sino imaginales (que no es ni lo universal lógico ni lo

Documents
MARCO LÓGICO Instrumento de Formulación, Gestión … · La Matriz de Marco Lógico: • Resume todo lo discutido en los cuatro pasos anteriores y • se agrega información sobre

MARCO LÓGICO Instrumento de Formulación, Gestión … · La Matriz de Marco Lógico: • Resume todo lo discutido en los cuatro pasos anteriores y • se agrega información sobre

Documents
GLOBALIZACIÓN Y DESARROLLO SECRETARÍA EJECUTIVA. Las dimensiones económicas de la globalización son muy destacadas Pero también lo son otras dimensiones,

GLOBALIZACIÓN Y DESARROLLO SECRETARÍA EJECUTIVA. Las dimensiones económicas de la globalización son muy destacadas Pero también lo son otras dimensiones,

Documents
Los valores binarios del cero lógico y uno lógico corresponden a niveles de voltaje de cero voltios y 5 voltios, por lo tanto, la computadora trabaja

Los valores binarios del cero lógico y uno lógico corresponden a niveles de voltaje de cero voltios y 5 voltios, por lo tanto, la computadora trabaja

Documents
Marco lógico

Marco lógico

Documents
El Marco Lógico€¦ · El Marco Lógico recoge lo propuesto por la Escuela Conductual –fijar resultados y dejar actuar–, y lo combina con otro aporte de la visión sistémica:

El Marco Lógico€¦ · El Marco Lógico recoge lo propuesto por la Escuela Conductual –fijar resultados y dejar actuar–, y lo combina con otro aporte de la visión sistémica:

Documents
APLICACIÓN DE LA METODOLOGÍA DE MARCO LÓGICO COMO ...€¦ · todo lo relativo a la Metodología del Marco Lógico, sus inicios, usos y beneficios y algunas aplicaciones prácticas,

APLICACIÓN DE LA METODOLOGÍA DE MARCO LÓGICO COMO ...€¦ · todo lo relativo a la Metodología del Marco Lógico, sus inicios, usos y beneficios y algunas aplicaciones prácticas,

Documents
lógico matemático2

lógico matemático2

Documents
lógico verbal

lógico verbal

Documents
Soporte lógico

Soporte lógico

Technology
Mantenimiento lógico

Mantenimiento lógico

Documents
NUEVAS DIMENSIONES DE LO SOCIAL

NUEVAS DIMENSIONES DE LO SOCIAL

Education
GLOBALIZACIÓN Y DESARROLLO SECRETARÍA EJECUTIVA. Las dimensiones económicas de la globalización son muy destacadas Pero también lo son otras dimensiones,

GLOBALIZACIÓN Y DESARROLLO SECRETARÍA EJECUTIVA. Las dimensiones económicas de la globalización son muy destacadas Pero también lo son otras dimensiones,

Documents
Lógico matemáticas

Lógico matemáticas

Education
Dimensiones enrolladas del pluriverso · PDF filela teoría de cuerdas, seis dimensiones eran arrolladas, mientras que en la teoría de once dimensiones, lo eran siete de ellas2

Dimensiones enrolladas del pluriverso · PDF filela teoría de cuerdas, seis dimensiones eran arrolladas, mientras que en la teoría de once dimensiones, lo eran siete de ellas2

Documents
NIKE COLOMBIANA S.A. Montacargas Diesel Dimensiones ...€¦ · especificaciones (dimensiones) desempeÑo chasis "oder de transmisiÓn montacargas diesel mode-lo combustible ... motor

NIKE COLOMBIANA S.A. Montacargas Diesel Dimensiones ...€¦ · especificaciones (dimensiones) desempeÑo chasis "oder de transmisiÓn montacargas diesel mode-lo combustible ... motor

Documents
SFR 29 - Las dimensiones II - rombo.orgrombo.org/wp-content/uploads/2014/09/SFR-29-Las-dimensiones-II.pdf · En el primer artículo de las dimensiones, comentamos que lo básico para

SFR 29 - Las dimensiones II - rombo.orgrombo.org/wp-content/uploads/2014/09/SFR-29-Las-dimensiones-II.pdf · En el primer artículo de las dimensiones, comentamos que lo básico para

Documents
MARCO LÓGICO

MARCO LÓGICO

Education
lógico matemático1

lógico matemático1

Documents
Lo lógico y lo histórico - Marxists Internet Archive · recientes. En la historia de la filosofía se conocen dos modos de planteamiento y resolución del problema entre lo lógico

Lo lógico y lo histórico - Marxists Internet Archive · recientes. En la historia de la filosofía se conocen dos modos de planteamiento y resolución del problema entre lo lógico

Documents
Lo especulativo en dos dimensiones del lenguaje hegeliano

Lo especulativo en dos dimensiones del lenguaje hegeliano

Documents
EL ESPACIO LÓGICO DE LO HUMANO (… Y LAS TRADICIONES ... · Universitas PhilosoPhica 58, año 29: 331-351 enero-junio 2012, Bogotá, Colombia EL ESPACIO LÓGICO DE LO HUMANO (…

EL ESPACIO LÓGICO DE LO HUMANO (… Y LAS TRADICIONES ... · Universitas PhilosoPhica 58, año 29: 331-351 enero-junio 2012, Bogotá, Colombia EL ESPACIO LÓGICO DE LO HUMANO (…

Documents