No seas tu propio enemigo: 9 preguntas importantes sobre la seguridad física y ambiental de tu empresa

No Comments

— con Pablo Vargas

¿Cómo está el estado de la organización con respecto a la seguridad de las instalaciones, edificios y el ambiente?

dirty-technology-1-1238285

Todos ya sabemos las cosas que tenemos que hacer para mantener seguro nuestros datos: elegir contraseñas fuertes, usar un buen anti-virus, y siempre estar atentos a donde hacemos click para no bajar malware, etc. Pero tenemos en cuenta todo lo que sabemos?? Tenemos en cuenta que temas como los aspectos físicos de nuestro entorno puedan poner en riesgo nuestra información?

Es importante tomar conciencia sobre este tema para reconocer los posibles riesgos y no, por un pecado de inocente, ser la causa de nuestros propios problemas.

Las siguientes preguntas son las que hacen los ingenieros de clientes en Sílice cuando empiezan con un nuevo cliente para indagar el estado de la situación y para empezar a generar conciencia en este tema. Pregúntatelas a ti mismo para ver qué tan seguro es el entorno de tu empresa en donde se guardan los datos.

 

1) La empresa sigue alguna norma con respecto a la seguridad física y ambiental? Existe algún procedimiento interno propio de la empresa (aunque sea informal?) De existir – se cumple?

La seguridad proviene de las buenas practicas. Un buen procedimiento, conocido (y cumplido) por cada miembro del equipo laboral, es fundamental. El procedimiento debe tomar en cuenta las acciones concretas que hay que tomar en cada situación, incluyendo (pero no limitado a) las siguientes:

· Definición de un area específica para alojar los servidores y/o las copias de seguridad
· Definición de políticas de control de acceso físico a las areas de servidores y almacenamiento de datos
· Registro de acceso y/o ingreso a las areas de servidores y almacenamiento de datos
· Almacenamiento de papeles, archivos, herramientas, etc.

Cuando cada persona sabe exactamente como se tienen que hacer las cosas, se empieza a compartir la responsabilidad del mantenimiento de la seguridad. Trabajando en equipo, somos más seguros.

 

2) Las instalaciones son susceptibles a inundaciones? Están por debajo del nivel de la acera? En el lugar donde están los equipos informáticos, existe pasaje de caños de agua, desagües, cloacas, etc.?

Normalmente no se toma conciencia de lo importante que es seleccionar un buen lugar para el area de servidores y almecenamiento de datos. Generalmente estos terminan en areas comunes u olvidadas, como sótanos, depositos y hasta salas de maquinas o de calderas. Es importante que los datos estén en un lugar aislado de otros servicios, para evitar que algún problema en estos repercuta en su infraestructura tecnológica, y en caso de un incidente, se termine con dos problemas a resolver.

Échate un vistazo por el espacio físico en donde están los equipos informáticos. Están protegidos o aislados lo suficientemente bien?

 

3) Instalación Eléctrica: Existe un circuito independiente para el equipo informático? Existe puesta a tierra? Se verificó? Existen equipos de protección? Cuáles? Qué equipamiento protegen?

Si nunca se te ocurrió poner tu equipo informático en un circuito independiente – tenlo en cuenta. En caso de un corte de energía o una subida de tensión, puedes perder un servidor y toda la información que contiene, así de fácil. Pero con un circuito independiente, puedes proteger específicamente al equipo informático con generadores y supresores de sobretensión (cosas que no hacen falta para el edificio en general.)

 

4) Se han instalado detectores de humo y fuego? Existe algún sistema de extinción de incendios? Los matafuegos están verificados? Se prueban cada tanto?

Este punto no habría falta explicarlo, pero cuantas son las empresas que se toman el tiempo para ver si sus matafuegos están realmente en norma. En caso de un incendio, hay riesgo de perder mucho más que tu información. Ponte al día con los detectores y los matafuegos, porque uno nunca sabe.

 

5) Donde se almacenan los equipos, medios magnéticos de almacenamiento, documentación y papelería? Los datos confidenciales y/o importantes, se almacenan en algún lugar seguro? Existen copias de este material fuera de la empresa?

Es importante tomar conciencia del almacenamiento de las cosas. Ya hemos hablado de la importancia de mantener el equipo informático en un lugar fuera de riesgo de inundaciones, incendios, y corto circuitos. Pero los papeles también tienen riesgo de arruinarse con agua o fuego, y además pueden ocasionar una situación peligrosa por ser la causa de un incendio. (Por eso es una mala idea dejar papeles arriba de un servidor.) Y finalmente, los medios magnéticos de almacenamiento pueden ser borrados por otros medios magnéticos (como un parlante, por ejemplo.)

 

6) Durante el horario de trabajo: se controla el acceso a los lugares donde existe equipamiento informático crítico (servidores, central telefónica, archivo, etc.)? Cómo se controla?

Es una buena práctica saber quién está accediendo al equipamiento informático durante el día. No porque alguien puede robar algo (aunque también es importante tener cuidado con eso) pero simplemente porque a veces es fácil cometer un error sin darse cuenta. Alguien puede enchufar algo y sobrecargar el circuito con el servidor, o apagar una computadora sin saber que estaba haciendo una actualización. Esos errores inocentes pueden tener consecuencias muy graves, y por eso es importante controlar que las personas que tienen acceso están adecuadamente informadas.

 

7) Fuera del horario de trabajo: Se necesita realizar alguna tarea en este horario? Alguien tiene acceso al lugar de trabajo fuera de horario? Se necesita autorización formal? Se lleva registro?

Más importante que saber quién tiene acceso a las cosas durante el día es saber quién tiene acceso fuera del horario laboral. Es una precaución inteligente poner en lugar un especie de control fuera del horario de trabajo (cuando las personas adecuadamente informadas no están para supervisar, advertir, o ayudar si pasa algo.)

 

8) Existe personal de vigilancia? Existen alarmas? De qué tipo son? Lleva registro de las activaciones?

No subestimes la importancia de tener alguna forma de protección externa de tu edificio. No es paranoica tomar precauciones contra la posibilidad de un robo. Un laptop se puede remplazar, pero la información que tenía, no.

Charle con los vecinos, puede ser que les interesa compartir los costos de contratar a un guardia de seguridad, o instalar una alarma (si están en un edificio compartido.) De esa forma, puedes a la vez bajar los costos y ampliar la zona de seguridad a tu alrededor.

 

9) Se cambia periódicamente la clave de la alarma?

Es importantísimo si tienes una alarma, usarla correctamente. En uno de tus procedimientos (que hablamos en el primer punto) debe contemplar la periodicidad con que se cambia la clave de la alarma. Puede ser cada 6 meses, o cada vez que alguien se despide de la empresa, pero una alarma es solo tan fuerte como su clave.

 

En Resumen

La mayoría de estos puntos son cosas que puedes hacer tu mismo para mejorar tu seguridad al instante. Pero si tienes alguna duda, es una buena idea consultar con un profesional. Los ingenieros de cliente de Sílice están preparados para ayudarte con cualquier de estos puntos, y contestar cualquier pregunta que tienes.

Tu información es valiosa, y hay cosas no se puedan re-hacer o remplazar. Vale la pena tomar las precauciones necesarias para proteger tu trabajo y tu información sensible.

Responsable de Calidad

Bienvenido a nuestro blog

Encontrará noticias sobre tecnología y software.

Servicios

Ofrecemos Servicios de Software Factory, Outsourcing de Recursos, Hosting, Consultoría y Soporte Tecnológico.

24x7

Soporte Técnico

Mas novedades

Ver todas