Seguritecnia 361

226 SEGURITECNIA Febrero 2010 Artículo Técnico un despliegue de Seguridad física, nece- sitamos clasificar los tipos de controles existentes, entendiendo como controles cualquier proceso o acción que se utiliza para mitigar el riesgo: Controles de disponibilidad , com- puestos por las medidas que protegen, desde un punto de vista arquitectónico, eléctrico y medioambiental, la disponibi- lidad de los activos físicos de la empresa. Controles de acceso e intrusión , que son aquellos que imponen unas protec- ciones de acceso y monitorización de in- trusión sobre los principales activos crí- ticos para el negocio (puertas, barreras, controles de acceso, etc.). Siendo ésta, tradicionalmente, la prin- cipal área de trabajo de la Seguridad fí- sica, y heredado de tácticas militares, se ha estructurado siempre en anillos con- céntricos de protección sobre un ele- mento central a proteger, implemen- tando medidas activas, disuasorias o de monitorización. Controles de disponibilidad Éste es el grupo de controles más con- flictivos dentro de la Seguridad física, ya que, históricamente, siempre ha es- tado dentro de las responsabilidades de explotación u operaciones. A pesar de esto, estamos ante uno de los pilares de la Seguridad, la disponibilidad, que, junto con confidencialidad e integridad, for- man la archiconocida triada. Es por ello que la responsabilidad debería ser com- partida por ambos mundos. De esta manera, todos estos contro- les se centran sobre los riesgos que afec- tan a la infraestructura de operación de salas de proceso de datos, definiendo las especificaciones mínimas arquitectóni- cas, medioambientales e industriales que garantizan que los equipos informáticos no se vean afectados por riesgos como el cese de suministro eléctrico, incremento de temperatura, incendio, inundación, etc. Llegado el momento de planificar las medidas a implantar, será interesante te- ner en cuenta dos pasos. El primero es determinar las necesidades de disponibi- lidad de negocio sobre los sistemas que soportan los procesos de negocio, que nos ayudarán a ajustar la inversión sobre lo realmente imprescindible. Posteriormente, utilizando un están- dar que aporte solidez a nuestro diseño, por ejemplo el TIA-942, estándar de di- Introducción a la seguridad física Es curioso cómo te invade la nostalgia al mirar atrás en el tiempo y ver la evolu- ción tan drástica que ha sufrido nuestro entorno informático. Parece que fue ayer cuando todo se gestionaba desde una pantalla de fósforo verde. Algo parecido ha pasado con la Segu- ridad física; no hace tanto, ésta recaía casi exclusivamente en el guardia de la en- trada y el grueso candado de la puerta de atrás. El entorno cambia, las necesidades cambian e, incluso, la manera de pensar y gestionar cambia; y la realidad es que estamos viviendo un entorno en perma- nente movimiento, en el que la Seguri- dad física se ve amenazada por la pala- bra de moda en estos días: “convergen- cia”. La convergencia nos trae buenos y nuevos valores, como optimización de costes y esfuerzos, pero, sin duda, tam- bién arrastra nuevos riesgos. Uno de los principales es la falta de ex- periencia y conocimiento. En este con- texto de cambios, es importante garan- tizar la correcta formación y capacidades de los gestores responsables, ya que lo que antes era dominio exclusivo de per- sonal con formación o nociones milita- res, está empezando a cubrirse con per- files no focalizados en estas tareas. En este artículo cubriremos una serie de claves que todo responsable de Se- guridad física debería tener en cuenta para proteger los activos físicos de su or- ganización, garantizando, por un lado, su disponibilidad y, por otro, la integri- dad y confidencialidad, que suelen agru- parse en controles de acceso. Clasificando las áreas de cobertura Antes de enfrentarnos a una empresa tan complicada como es el diseño de Javier Espasa Arbeteta / Gerente IT-Enterprise Risk Services de Deloitte S.L. Seguridad física, protegiendo la información C ontroles de acceso e intrusión C ontroles de disponibilidad