Auditando la Seguridad Física de TI

Las operaciones de Tecnología de la Información muchas veces se limitan a implementar sistemas de información e instalar el equipo informático necesario, descuidando aspectos importantes de la seguridad de la información. Especialmente los aspectos físicos de la seguridad son descuidados, en términos de diseño, mantenimiento y actualización. La seguridad física comprende aspectos como el cuidado de que sólo personal autorizado tenga acceso físico a los equipos sensitivos, la disposición ordenada del equipo, el ordenamiento y separación del cableado eléctrico y de datos, las condiciones de medioambiente, como humedad, temperatura y protección de luz solar y polvo, la disposición adecuada de los espacios de trabajo, tanto en centros de datos como áreas de trabajo y  la protección eléctrica no solo de equipos, sino también de personas. Es decir, la gestión de TI debe de considerar que las operaciones se desarrollan en ambientes físicos, que deben de ser acondicionados para lograr los objetivos de negocios, sin descuidar que fallas relacionadas con la seguridad física comprometan la disponibilidad, integridad y confidencialidad de la información.

Al realizar revisiones de seguridad física se logra detectar aquellos aspectos que presentan riesgos a la seguridad de la información debido a la mala operación de los aspectos mencionados anteriormente. Por experiencia, al realizar la primera evaluación es cuando más elementos relacionados con aspectos físicos de la seguridad se detectan. Por ejemplo, si la ubicación del centro de datos no ha sido bien seleccionada, presentando riesgos físicos, se definirían recomendaciones para mitigar los riesgos identificados. Solo la ubicación del centro de datos puede dar lugar a identificar una serie de riesgos relacionados con la seguridad física, porque en muchas organizaciones, la distribución física de espacios no obedece a evaluaciones técnicas, sino más bien a consideraciones estéticas o a consideraciones de lo que es “justo” para un Gerente General asignarle a las Tecnologías de la Información. Este punto incluso tiene una ley. La ley de Putt. Archibald Putt definió el siguiente enunciado: “La Tecnología esta gobernada por dos tipos de gente: aquellos que entienden lo que no dirigen y aquellos que dirigen lo que no entienden”. Este enunciado, explica porque al realizar una auditoría de la seguridad física encontramos hallazgos como: centros de datos con acceso físico no controlado, con construcciones no seguras, a veces, incluso compartiendo espacio físico con otras áreas, con  capacidad eléctrica inadecuada y sin la protección eléctrica adecuada. Son precisamente las decisiones “no técnicas” sobre los aspectos físicos de la seguridad las que son mayormente identificadas al realizar auditorías. Recuerdo de un lugar en el que se estableció un centro de datos en un lugar que tenia cañerías plásticas de agua descubiertas. El riesgo de dañar información y causar daños a personas por cortocircuitos eléctricos en el caso de romperse una cañería era alto.

La lista de puntos a auditar cuando hablamos de seguridad física es grande. Crece aún más cuanto más crece la operación que se audita. Va desde aspectos como tener la capacidad de restringir accesos físicos con cerraduras hasta evaluar la capacidad de absorber descargas atmosféricas. Definitivamente una amplia gama de aspectos que podrían llevarnos a perder información y fallar en los objetivos de seguridad de la información y la continuidad de las operaciones del negocio.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 5 de octubre de 2012 en Auditoría de TI, Seguridad de TI y etiquetado en , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

A %d blogueros les gusta esto: