top of page

Seguridad Física en áreas restringidas

Para proteger las áreas restringidas y al igual que en la seguridad lógica, deben establecerse niveles de acceso a las mismas, cuyas características dependerán del área a proteger y del nivel de información que en ella se procese o almacene.

Nueva imagen.png

Los niveles de seguridad también deben establecerse para aquellos sectores donde se almacenen o manipulen bienes que no sean información, pero de importancia relevante para la Organización (Insumos previstos para la contingencia, equipamiento en stock, dinero en efectivo, chequeras, bonos, etc.)

Entre las áreas restringidas podemos mencionar como ejemplo a los Centros de Procesamientos de Datos (Data Centers), para los cuales podemos indicar los siguientes niveles básicos de seguridad:

Nivel 1:

Considerando como de nivel 1 de seguridad a todo ambiente/equipamiento que procesa, almacena o transmite información estrechamente ligada a los objetivos y la operatoria de la organización, cuya pérdida impida o afecte seriamente el funcionamiento del negocio y los compromisos con terceros. En este nivel se incluirán los grupos de datos e información cuyos respectivos propietarios los hayan clasificado como “confidencial” y “privada”.

Nivel 2:

Considerando como de nivel 2 de seguridad a todo ambiente / equipamiento que procesa, almacena o transmite información de carácter general de la compañía cuya pérdida no afecte seriamente la operación normal de la organización. En este nivel se incluirán los grupos de datos e información cuyos respectivos propietarios hayan clasificado como “pública”.

Al igual que en servidores o carpetas compartidas de información, el nivel de seguridad física debe corresponder al de mayor nivel encontrado en la información que se procesa, almacena o transmite desde un equipo o se trate/almacene en un espacio físico. Es decir que si un determinado ambiente almacena información de niveles distintos, el ambiente se clasificará según el mayor nivel de seguridad.

Y en consecuencia, determinados los niveles de seguridad, se otorgarán los accesos a los empleados y colaboradores teniendo en cuenta la función que los mismos desarrollarán en la organización y los niveles de seguridad de los espacios físicos a los cuales deban acceder.

Conceptos básicos pero que espero les sea de utilidad para desarrollar sus estrategias de seguridad.

Abrazo, Fabián

Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB

http://fabiandescalzo.wix.com/seguridadinformacion

https://www.linkedin.com/in/fabiandescalzo

http://www.slideshare.net/fabiandescalzo

https://twitter.com/fabiandescalzo

Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page