Cada vez más las empresas tienen claro que una estrategia completa de protección de datos va más allá del resguardo de la información digital almacenada en los servidores.
Se ha hablado recientemente mucho sobre la Ley Federal de Protección de Datos Personales (LFPDP), cuyo objetivo es la protección de la información de los individuos que poseen ciertas empresas para así garantizar el uso correcto de estos datos en pro del bienestar de los consumidores.
Pero más allá de esta sonada ley, el concepto de protección de datos abarca mucho más. En toda estrategia de seguridad de la información empresarial se deben contemplar los aspectos no informáticos que pueden poner en riesgo la información corporativa y tomar medidas apropiadas para salvaguardarla.
Son muchas las historias de compañías que cuentan con sistemas de protección de su red vía internet, pero que lamentablemente pierden datos valiosos por la sustracción de laptops que nadie vigila. No importa qué tan segura sea la red, si alguien que desee atacar un sistema tiene acceso físico al mismo, todas las medidas de seguridad implantadas serán inútiles.
Tipos de riesgos de seguridad física
Muchos ataques originados por huecos de seguridad física pueden ser triviales, como por ejemplo los de denegación de servicio; si se apaga una máquina que proporciona un servicio es evidente que nadie podrá utilizarlo. También es viable obtener datos al copiar archivos en una memoria USB o robar directamente los discos que los contienen.
Incluso, dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo; por ejemplo, se puede reiniciar un servidor con un disco de recuperación que permita cambiar las claves de los usuarios.
Por otro lado, hay que tomar en cuenta ciertos incidentes que pueden poner en riesgo la integridad física de los datos, los cuales pueden perderse durante un incendio o apagón, ya sea accidental o intencional, o bien debido a causas naturales como sismos o inundaciones. Las tormentas eléctricas, por ejemplo, generan subidas repentinas de tensión muy superiores a las que se pueden generar por problemas en la red eléctrica. La única solución de tajo a este tipo de problemas es desconectar los equipos antes de una tormenta.
Otros factores que pueden convertirse en una amenaza para la información corporativa, sobre todo la que se almacena en servidores dentro de un centro de datos, son la humedad, el polvo, el humo, el sobrecalentamiento o, incluso, un mal cableado, el cual puede generar ruido eléctrico, cortos circuito o hasta desconexión de los equipos, en el caso de los cables que corren por el piso y están expuestos a que cualquiera se tropiece y los jale… una opción nada común, ¿verdad?
¿Cómo garantizar la integridad de los datos?
Para evitar, o al menos minimizar las propabilidades, que alguna de las anteriores opciones vulnere la información corporativa es necesario vincular los esfuerzos de protección informática con la seguridad física, empezando por políticas bien definidas que delimiten el acceso a los datos dependiendo de los roles de los empleados dentro de la organización, así como mecanismos de protección que vayan de la mano de las políticas, de forma que sea posible detectar los acceso no autorizados tan pronto como sea posible, si no es que de manera inmediata.
Para el ingreso a las instalaciones se recomienda contar con una combinación de tarjetas inteligentes, circuito cerrado con videocámaras de seguridad (digitales, no análogas), vigilantes confiables y sistemas biométricos, y otras medidas, entre las que se recomienda también controlar el acceso a las salas y cerrar siempre con llave los despachos donde hay equipos informáticos, así como no ofrecer acceso cableado a las tomas de red que estén ubicadas en espacios de acceso común.
Además de proteger el hardware, cualquier política de seguridad debe incluir medidas de protección de los datos, pues la mayoría de los ataques tienen como objetivo robar información. La recomendación es cifrar los canales de comunicación y los documentos que se envían.
En lo que respecta a incidentes naturales, o incluso aquéllos originados accidentalmente por un error humano, la regla de oro para el resguardo y recuperación de los datos es realizar respaldos frecuentes y almacenar los mismos en una ubicación segura y alejada de las oficinas corporativas, de modo que se puedan recuperar en caso de cualquier incidente y garantizar así la continuidad del negocio.
Por otro lado, es necesario establecer una política adecuada de copias de seguridad en cualquier organización; los medios donde residen estas copias tendrán que estar protegidos físicamente. Los sites o espacios donde se ubican los servidores deberán cumplir con la normatividad correspondiente, como la relativa al cableado y la instalación de extintores y aire acondicionado.
Otro elemento importante en la protección de la información son los elementos no electrónicos que se emplean para transmitirla, fundamentalmente el papel. Es importante controlar los sistemas que permiten exportar información confidencial tanto en formato electrónico como no electrónico (impresoras, faxes, escáneres, etc.). Cualquier dispositivo que pueda emitir datos ha de estar situado en un área restringida; también es conveniente que sea de acceso restringido el lugar donde los usuarios recogen los documentos que envían a estos dispositivos.
Finalmente, se recomienda disponer de trituradoras de papel y evitar así que un posible atacante pueda obtener información rebuscando en la basura.