ENTRE LA SEGURIDAD privada Y LA física

Escrito por Oscar Orellana https://www.linkedin.com/in/oscarorellanaa/

La delgada línea entre la ley de seguridad privada y la seguridad física

Creo que la evidencia a nivel mundial demuestra que en la actualidad no solamente basta la seguridad lógica, porque esta no ha logrado tener todas las respuestas para evitar constantes vulneraciones a los sistemas, lo que hace necesario regular la seguridad física dentro de la ciberseguridad.

En Chile se entiende como seguridad privada “aquella que comprende la seguridad de edificios, destinados a la habitación, oficinas o a otra finalidad; conjuntos habitacionales; de recintos, locales, plantas cualquiera sea su naturaleza, tales como industrias, comercio, establecimientos mineros y, en general, la protección y seguridad de los bines y personas que se halla en dichos lugares, constituyendo para esta sola finalidad oficinas de seguridad.” Así lo define el Art. 1 del decreto de ley 3.607.

En relación a eso la ISO 27001 define la seguridad de la información como “preservación de la confidencialidad, integridad, y disponibilidad de la información; además también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio y confiabilidad”.

En el anexo A de la ISO 27001 encontramos en el A.9 la seguridad física y ambiental, punto en el cual se pueden observar diversos parámetros de la seguridad física involucrando áreas seguras y seguridad de equipos, estableciendo para ello en la ISO 27002 diversos controles en esta materia.

Los cuerpos normativos chilenos en este momento tienen a la ley 19.628 como la ley destinada al cuidado y tratamiento de datos, la cual define el tratamiento de estos como “la conservación o custodia de datos en un registro o banco de datos.”.

Es en ese punto donde observamos que quién tiene los datos tiene la obligación de custodiarlos, por lo tanto tiene la obligación de dar cumplimiento a resguardar su confidencialidad, integridad y disponibilidad, no refiriéndose la norma solamente a la seguridad cuando los datos están en la red, sino en su contexto amplio, es decir la obligación de la custodia en todo momento.

Ahora nos podemos preguntar ¿los datos solamente se deben custodiar desde el punto de vista de la seguridad lógica o también desde la seguridad física?

Como señalamos en un principio, la evidencia nos demuestra claramente que la seguridad física y lógica deben coexistir tanto en el mundo normativo como en las regulaciones internas de una empresa.

La seguridad física aún constituye un aporte importante en la ciberseguridad, donde la ingeniería social es una de las formas de ataques en la que se necesita tener poco conocimiento técnico, lo que hace que sea uno de los métodos más explotados, y que en muchos casos son la puerta de entrada para ataques más complejos.

Es entonces donde nos conviene preguntarnos cómo la ley de seguridad privada puede terminar siendo un problema, o dónde coinciden (o se complementan) la seguridad física con la seguridad privada en aspectos normativos.

En algún momento debemos considerar que las normas de seguridad de la información obligan a la seguridad física, no tan sólo a la lógica, por lo que o se busca modificar las normas de seguridad privada para poder obligar el buen tratamiento de los datos, y asegurar de buena forma la confidencialidad, integridad y disponibilidad de la información, o consideramos que en las normas de la protección de datos obligar a la seguridad física.

Para que así como se es un ente obligado por ley a tener seguridad, aquella que no cumple con los parámetros regulados por esta tenga una sanción o pena.

En estos días de constante evolución y donde se están realizando diversos cambios en materia legal, no es menor que estos temas sean abordados y discutidos para establecer obligaciones específicas y no solamente genéricas, como lo trataremos en otros post.

En relación a las medidas de seguridad física les recomiendo las siguientes:

1.- Dividir la información conforme su importancia.

2.- Mantener separada la información respecto del lugar normal de trabajo de la empresa, como por ejemplo computadoras de respaldo, discos duros, entre otros en un lugar diferente.

3.- Mantener vigilancia por cámaras evitando puntos ciegos, las cuales deben estar conectadas a una VPN, que debe correr por una red diferente de la ocupada por la empresa.

4.- Mantener guardias o vigilantes según corresponda por el tipo de información, los cuales deben tener cursos acreditados para el cumplimiento de la labor.

5.- Mantener actualizados los contratos con los proveedores dejando cláusulas de manejo de información adecuada, considerando multas y términos de contrato en caso de incumplimiento.

6.- Realizar procedimientos programados de vulneración física, ya sea por desastres naturales o ataques del hombre.

7.- Mantener al día un plan de ciberseguridad el cual debe ser de conocimiento del personal conforme a su área de competencia (compartimentaje de la información).

8.- Realizar capacitaciones permanentes al personal manteniendo una línea abierta de denuncia segura.

9.- Implementar estrategias de premios por metas de seguridad de la información, las cuales pueden ser monetarias u otra que determine la empresa.

10.- Revisar todo lo anterior y volver a realizar, siempre volver al inicio y revisar lo que se ha hecho lleva a poder mejorar.

¿Cuál otra medida acorde a su empresa podría implementar a usted?

Deja un comentario