SEGURIDAD INTEGRAL

Tercera entrega de esta serie de artículos tras objetivo común: la Seguridad Integral y Seguridad Integral II, la red azul eléctrico.

En la primera entrega tan sólo esbocé la colisión de responsabilidades y funciones entre el director de seguridad y el CISO (oficial de seguridad de la información) como punto de partida, una declaración de intenciones, en la segunda comprobamos que la fusión entre departamentos se hace necesaria.

En esta quiero pasar a algo un poco más práctico, mostrando hacía donde nos dirigimos, y cómo afrontar con éxito, esta fusión entre seguridad física y seguridad informática.

Si os pregunto sobre cómo implementar “seguridad perimetral”, podemos entender tres conceptos distintos según los conocimientos de los lectores de este artículo:

1.- Algunos empezaréis por nombrar el cerramiento de la instalación a proteger con elementos de carácter estático y permanente (muros, puertas, etc.) y seguiríamos hablando de tiempo de reacción, volumétricos, alarmas, etc.

2.- Otros iniciaríais vuestra respuesta hablando de un Firewall o Cortafuegos, los proxys, los routers, la configuración con políticas restrictivas o permisivas, etc.

3.- Y otros pensaréis: “¿de qué me estás hablando?”

 

En cualquier caso, os diré que los dos primeros discursos son correctos y complementarios, pudiendo coexistir paralelamente pero, ¿qué hacemos cuando tenemos que realizar un control de acceso a las diferentes zonas y datos de nuestra instalación? Aquí no podemos hablar cada uno de nuestro apartado y seguir ignorando al otro departamento hasta el día de la cena de empresa. Aquí nos encontramos con el asunto a tratar hoy: una solución unificada de control de acceso informático y físico.

 

¿Por qué?

Hasta hace poco, las organizaciones creaban un alto nivel de seguridad perimetral, tanto física como informática. Los usuarios presentaban su credencial de identificación en el control de acceso a las instalaciones y, una vez dentro, contraseñas estáticas para autentificarse en el sistema informático. Debido al uso de soluciones BYOD, de la existencia de una intranet, de las políticas de accesos por tarjetas de colores y más, éstas medidas son insuficientes.

Desde hace algún tiempo, estamos adoptando un modelo distinto para poder procesar diversos tipos de usos e identidades en una única tarjeta o smartphone.

Con esta convergencia, no tendremos que recordar ni llevar distintos tipos de llaves, tarjetas y/o contraseñas. Esta unificación hace factible la incorporación de otras aplicaciones como máquinas que funcionan sin efectivo, control de asistencia, de ubicación o de gestión de impresión segura, mejorando en gran medida la seguridad y reduciendo costes.

Así, centralizar la gestión de identidades y del acceso, consolida las áreas y nos permite implementar una autentificación robusta en toda la infraestructura, protegiendo el acceso a los recursos físicos e informáticos más sensibles. 

Las soluciones disponibles en el mercado nos permiten escoger entre distintas opciones de implementación y adaptación:

  • Proximidad en los sistemas existentes. Podemos ampliar un sistema de control de acceso físico existente basado en tarjetas para que se autentique en los sistemas informáticos. El empleado podrá utilizar la tarjeta que ha usado para abrir las puertas, para acceder también a su equipo informático.
  • Tarjetas con chip de doble interfaz. Incorporando una interfaz de contacto y, una de proximidad que nos dará soporte tanto al acceso físico como al lógico.
  • Tarjetas con doble chip. Un chip de proximidad para el acceso físico y un chip de contacto para el acceso lógico. Nos dan un elevado nivel de seguridad.

 

¿Y qué hacemos con los móviles?

BYOD. El acceso remoto con dispositivos propiedad del usuario nos proporciona un aumento de la productividad, pero supone un alto riesgo en cuanto a seguridad. En este caso, existen soluciones en el mercado, aunque tendremos que realizar un análisis concienzudo pues, cuando un empleado deje de trabajar con nosotros, devolverá su tarjeta de identificación pero no nos entregará su dispositivo móvil, de la misma manera que tampoco podemos asegurar el uso seguro de ese dispositivo, si tiene instalado software antivirus y otras medidas básicas.

Resumiendo, un control de acceso unificado proviene de la suma de una política de seguridad, una credencial y un registro de auditoría.

Por lo tanto, volvemos a la conclusión de  siempre cuando hablamos de seguridad: formación y concienciación del personal, uso del sentido común y de medidas restrictivas. Este cóctel es el que nos hará disminuir el riesgo en nuestras instalaciones.

Salvador Gamero, EXO Security

www.exosecurity.pro

 

Warning: Undefined array key "ed_floating_next_previous_nav" in /usr/home/quantika14.com/web/blog/seguridad-informática-sevilla/themes/infinity-mag/inc/common-functions-hooks.php on line 186

4 comentarios sobre “Seguridad Integral III. La convergencia”

  1. Creo que la fusión de los departamentos de seguridad e informático es el futuro para aplicar politicas del resguardo de todos los bienes. Muy interesante.

  2. Estoy convencido -creo firmemente- que la fusión de los departamentos de seguridad e informático no es el futuro, ya es el presente a la hora de aplicar políticas de seguridad de las personas y de todos los bienes. Artículo muy aclaratorio.

    1. Gracias por tu comentario Román, seguimos trabajando en esta línea, que la seguridad informática en sus apartados safety y security sean asimilados por el resto de “seguridades” tanto privadas como públicas. Por ejemplo, estamos elaborando un protocolo de análisis y recogida de datos en redes sociales para casos de menores y jóvenes desaparecidos, puedes ver más opciones de esta línea en http://www.exosecurity.pro

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.