¿Qué entendemos por un acceso físico?
Básicamente cuando hablamos de “tipos de accesos”, estos son clasificados en dos categorías con riesgos bien diferenciados. En primer lugar tenemos los accesos físicos, relacionados con permisos a empleados, terceros ó proveedores y clientes, a oficinas, centro de cómputos, depósitos, archivos confidenciales, áreas restringidas, etc. En segundo lugar los accesos virtuales, que se relacionan con accesos lógicos a base de datos, aplicaciones en red, sistemas informáticos en general.
El concepto de área segura se relaciona con accesos físicos, teniendo como objetivo impedir el acceso sin autorización, daños e interferencia a las instalaciones de la empresa y su información.
Las áreas de seguridad serán menos o más seguras, de acuerdo a las actividades que desarrollen y al tipo de activos de información que gestionen, donde la protección que se les dará dependerá de la evolución de riesgos efectuada y la factibilidad de implementación de mecanismos de seguridad en relación a su costo y al beneficio marginal que provean. Podemos clasificarlas de la siguiente manera:
- áreas abiertas: por ejemplo, estacionamientos. Le corresponde un nivel nulo de seguridad.
- áreas públicas: por ejemplo, recepción o entrada general a la empresa. Le corresponde un nivel bajo de seguridad.
- áreas estándares: por ejemplo, oficinas y salas de reunión. Le corresponde un nivel estándar de seguridad.
- áreas restringidas: por ejemplo, áreas técnicas y sala de comunicaciones o cableado. Le corresponde un nivel estándar superior de seguridad.
- áreas seguras: por ejemplo un centro de cómputos, búnker de seguridad y área de pagos o manejo de efectivo. Le corresponde un nivel seguro.
- áreas altamente seguras: por ejemplo, bóvedas. Le corresponde un nivel de alta seguridad.
La protección de estas áreas, se lograrán con perímetros de seguridad física, determinados por barreras físicas pensadas en forma concéntricas a las instalaciones y a los activos de información que correspondan proteger.
El concepto de concéntrico apunta a desarrollar barreras físicas de lo mas general, como ser el acceso a un edificio, pasando por el acceso propio a la oficina y/o sala de oficinas, y llegando hasta la barrera interna menor que será la que depende directamente con la responsabilidad y/o la conducta del individuo, por ejemplo, activación del protector de pantalla de su estación de trabajo, o resguardo de la información que maneja en su propio escritorio.
Al desarrollar estas barreras físicas, se está estableciendo “el control de accesos físicos”, garantizando que solamente se permitirá el ingreso al personal autorizado. La decisión de que persona tiene acceso y en consecuencia a que activos de información, deberá ser un trabajo en conjunto realizado por el responsable de seguridad (IRM - Information Risk Management), los dueños o responsables de dicha información y el gerente correspondiente.
Consideremos algunos puntos a tener en cuenta en este proceso de control en los accesos:
- Los empleados internos de la empresa deberán poseer algún tipo de identificación visible, que permita que tanto el personal de seguridad como los mismos compañeros de trabajo, puedan determinar la presencia de un extraño.
- Los visitantes, (sean proveedores, terceros, clientes, etc.), deberán anunciarse, registrarse en la recepción, la cual le suministrará una tarjeta identificatoria de visita.
- Los visitantes, en todo momento, deberán estar acompañados por un empleado “identificable”.
- Las tareas realizadas por proveedores dentro de áreas seguras no deberán ser efectuadas, a menos que estén acompañados y/o sin supervisión por un empleado “identificable”.
- El acceso de los empleados (autorizados y no autorizados) y de terceros deberá ser registrado en cada uno de los accesos, sea en forma digital o en forma manual mediante libros de accesos. Esto significará la base de información para el control periódico de accesos.
- Se deberá impedir el acceso a áreas seguras de elementos que permitan capturar información confidencial, como ser, equipos fotográficos, cámaras de video, grabadoras de sonido o audio, entre otros.
- El acceso a los activos de información deberá ser asignado de acuerdo a lo que evalúe el dueño de dicha información, el gerente del área y el responsable de seguridad (IRM).
- Las puertas y ventanas deberán encontrarse cerradas cuando no exista personal.
- Instalar sistemas de detección de intrusos (sensor de movimiento, cámaras y alarmas), a fin de proporcionar cobertura en todo momento de las áreas en cuestión. Estos sistemas deberán ser mantenidos y controlados las 24x7 (24hs x 7 días a la semana).
- La asignación de tarjetas de acceso (o el mecanismo de acceso que posea la empresa), en consecuencia los permisos de accesos, deberán ser revisados, controlados y consensuados periódicamente.
- El uso impropio de las tarjetas de accesos no debe ser permitido (robo, pérdida, préstamos a otras personas o no uso de las mismas). Este accionar debe ser reportado y si fuera necesario deberá ser sancionado.
- Todos los empleados de la empresa deberán tomar cursos y recibir la concientización en lo que respecta a seguridad física, y el riesgo e impacto para la empresa en caso de ocurrir algún tipo de incidente.
- Los procedimientos de seguridad con relación a accesos físicos o relacionados con accesos físicos, deberán se controlados y actualizados periódicamente.
¿Qué relación tiene esto conmigo?
Los visitantes de la empresa son su responsabilidad, por ello controlar a las visitas no es un tema ajeno:
- Anuncie las visitas en la recepción.
- Acompañe a los invitados desde la recepción, hasta las salas de reunión, como así a la salida una vez finalizada la visita.
- Asegúrese que los visitantes deben estar acompañados en todo momento por un empleado calificado.
Si encuentra una persona desconocida o en actitud sospechosa, pregúntele si busca a alguien, asegúrese que no pasee por las instalaciones de la empresa. Acompáñelo a recepción, y llame a la persona que está visitando dentro de la empresa. Repórtelo al responsable de seguridad (IRM).
Las tarjetas de acceso identifican a empleados y los permisos de accesos a las distintas áreas seguras de la empresa, son la “llave personal” para acceder a diferentes fuentes de activos de información, por eso:
- Asegúrese de llevar siempre consigo su tarjeta de acceso.
- No la descuide y en ningún momento debe abandonarla, aunque crea que lo hace por poco tiempo.
- No preste nunca su tarjeta. Usted es el único responsable por los accesos que ella otorga.
- En caso de pérdida, reporte este incidente al responsable de seguridad (IRM).
Cuando se ausente de su escritorio, guarde bajo llave la información restringida y confidencial que usted maneja. Usted no sabe quien estará en su escritorio en su ausencia. Evite que la información restringida y confidencial sea de público conocimiento
Si encuentra bolsas o cajas abandonadas en áreas públicas, repórtelo al responsable de seguridad (IRM), podrían contener información confidencial y estar al alcance de extraños a la empresa.
En caso de encontrar algún punto vulnerable que usted crea que pueda ser mejorada la seguridad física implementada, repórtelo inmediatamente. Recuerde que la seguridad nos compete a todos.
Cuando se encuentre en la empresa donde trabaja o la organización donde estudia, piense como si estuviera en su casa… ¿La dejaría en manos de extraños?
Escrito por Oscar Andres Schmitz | http://cxo-community.com/articulos/blogs/blogs-seguridad-corporativa/46-la-importancia-de-la-seguridad-en-los-accesos-fcos.html
Deja un comentario