Cada vez más las empresas tienen claro que una estrategia completa de protección de datos va más allá del resguardo de la información digital almacenada en los servidores.
Â
Se ha hablado recientemente mucho sobre la Ley Federal de Protección de Datos Personales (LFPDP), cuyo objetivo es la protección de la información de los individuos que poseen ciertas empresas para asà garantizar el uso correcto de estos datos en pro del bienestar de los consumidores.
Â
Pero más allá de esta sonada ley, el concepto de protección de datos abarca mucho más. En toda estrategia de seguridad de la información empresarial se deben contemplar los aspectos no informáticos que pueden poner en riesgo la información corporativa y tomar medidas apropiadas para salvaguardarla.
Â
Son muchas las historias de compañÃas que cuentan con sistemas de protección de su red vÃa internet, pero que lamentablemente pierden datos valiosos por la sustracción de laptops que nadie vigila. No importa qué tan segura sea la red, si alguien que desee atacar un sistema tiene acceso fÃsico al mismo, todas las medidas de seguridad implantadas serán inútiles.
Â
Tipos de riesgos de seguridad fÃsica
Muchos ataques originados por huecos de seguridad fÃsica pueden ser triviales, como por ejemplo los de denegación de servicio; si se apaga una máquina que proporciona un servicio es evidente que nadie podrá utilizarlo. También es viable obtener datos al copiar archivos en una memoria USB o robar directamente los discos que los contienen.
Â
Incluso, dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo; por ejemplo, se puede reiniciar un servidor con un disco de recuperación que permita cambiar las claves de los usuarios.
Â
Por otro lado, hay que tomar en cuenta ciertos incidentes que pueden poner en riesgo la integridad fÃsica de los datos, los cuales pueden perderse durante un incendio o apagón, ya sea accidental o intencional, o bien debido a causas naturales como sismos o inundaciones. Las tormentas eléctricas, por ejemplo, generan subidas repentinas de tensión muy superiores a las que se pueden generar por problemas en la red eléctrica. La única solución de tajo a este tipo de problemas es desconectar los equipos antes de una tormenta.
Â
Otros factores que pueden convertirse en una amenaza para la información corporativa, sobre todo la que se almacena en servidores dentro de un centro de datos, son la humedad, el polvo, el humo, el sobrecalentamiento o, incluso, un mal cableado, el cual puede generar ruido eléctrico, cortos circuito o hasta desconexión de los equipos, en el caso de los cables que corren por el piso y están expuestos a que cualquiera se tropiece y los jale… una opción nada común, ¿verdad?
Â
¿Cómo garantizar la integridad de los datos?
Para evitar, o al menos minimizar las propabilidades, que alguna de las anteriores opciones vulnere la información corporativa es necesario vincular los esfuerzos de protección informática con la seguridad fÃsica, empezando por polÃticas bien definidas que delimiten el acceso a los datos dependiendo de los roles de los empleados dentro de la organización, asà como mecanismos de protección que vayan de la mano de las polÃticas, de forma que sea posible detectar los acceso no autorizados tan pronto como sea posible, si no es que de manera inmediata.
Â
Para el ingreso a las instalaciones se recomienda contar con una combinación de tarjetas inteligentes, circuito cerrado con videocámaras de seguridad (digitales, no análogas), vigilantes confiables y sistemas biométricos, y otras medidas, entre las que se recomienda también controlar el acceso a las salas y cerrar siempre con llave los despachos donde hay equipos informáticos, asà como no ofrecer acceso cableado a las tomas de red que estén ubicadas en espacios de acceso común.
Â
Además de proteger el hardware, cualquier polÃtica de seguridad debe incluir medidas de protección de los datos, pues la mayorÃa de los ataques tienen como objetivo robar información. La recomendación es cifrar los canales de comunicación y los documentos que se envÃan.
Â
En lo que respecta a incidentes naturales, o incluso aquéllos originados accidentalmente por un error humano, la regla de oro para el resguardo y recuperación de los datos es realizar respaldos frecuentes y almacenar los mismos en una ubicación segura y alejada de las oficinas corporativas, de modo que se puedan recuperar en caso de cualquier incidente y garantizar asà la continuidad del negocio.
Â
Por otro lado, es necesario establecer una polÃtica adecuada de copias de seguridad en cualquier organización; los medios donde residen estas copias tendrán que estar protegidos fÃsicamente. Los sites o espacios donde se ubican los servidores deberán cumplir con la normatividad correspondiente, como la relativa al cableado y la instalación de extintores y aire acondicionado.
Â
Otro elemento importante en la protección de la información son los elementos no electrónicos que se emplean para transmitirla, fundamentalmente el papel. Es importante controlar los sistemas que permiten exportar información confidencial tanto en formato electrónico como no electrónico (impresoras, faxes, escáneres, etc.). Cualquier dispositivo que pueda emitir datos ha de estar situado en un área restringida; también es conveniente que sea de acceso restringido el lugar donde los usuarios recogen los documentos que envÃan a estos dispositivos.
Â
Finalmente, se recomienda disponer de trituradoras de papel y evitar asà que un posible atacante pueda obtener información rebuscando en la basura.
