Llegamos a ustedes gracias a:



Casos de éxito

Integración de la seguridad física y de la información

Para mitigar los riesgos

[24/09/2012] El vigilante nocturno y el encargado de la seguridad de TI rara vez trabajan juntos a pesar de que sus puestos de trabajo, en el fondo, son similares: proteger la empresa. En muchas organizaciones, la seguridad física y de la información siguen siendo entidades separadas por casualidad y por historia. Mediante la integración de los dos, sin embargo, las empresas pueden proteger mejor los activos, a los empleados y los datos valiosos que mantienen al negocio en marcha.
La integración es un primer paso hacia la evaluación de los riesgos corporativos generales que amenazan a una empresa. Sin embargo, la promulgación de un plan que concibe la seguridad como un medio de cohesión, significa la superación de la resistencia a la integración de la seguridad física y de la información, señala Jonathan Ross, presidente y CEO de Austin Recovery, un centro de tratamiento de drogas y alcohol que acaba de terminar dicha integración.
Austin Recovery implementó los sistemas de control de acceso físico de RedCloud para proteger los edificios y las puertas del campus, lo que une a la tecnología con sus directorios internos de recursos humanos. Los empleados de Austin Recovery, con la debida autorización, pueden controlar el sistema de RedCloud a través de una interfase web segura.
La seguridad de las lecciones aprendidas durante la integración en Austin Recovery pueden mostrarle a las corporaciones las mejores formas de asegurar la información y proteger a los empleados y clientes.
Dese cuenta de que necesita ayuda
Los centros de rehabilitación, al igual que otras organizaciones de salud, deben cumplir con las regulaciones de la Health Information Protection and Portability Act (HIPPA), y otras normas destinadas a proteger la información personal y médica, y Austin Recovery trabaja duro en esto. Sin embargo, el ambiente general a veces choca con la sensación de los profesionales en la seguridad acerca de que los datos, los sistemas y la instalación físicas puede estar mejor aseguradas, señala Ross. "Las profesiones de ayuda son un desafío. Hay una sensación de que hay cosas que deberían estar abiertas".
Como debe saber hasta ahora, muchas industrias permiten demasiada apertura, o al menos la costumbre de dejar agujeros desconectados. Las empresas en el rubro de venta al por menor, servicios financieros, petróleo y gas, hospitalidad, servicio de alimentos, manufactura y otras sufrieron un total combinado de 855 violaciones de datos en el 2011, de acuerdo con Verizon, que trabaja con agencias de seguridad en cuatro países para elaborar un informe anual sobre las violaciones.
Alrededor del 10% de los incidentes de datos también implicaron una violación física, como obtener acceso físico a un dispositivo o sistema con información sensible, o intercambiar códigos legítimos de acceso por unos falsos para poder entrar a una oficina o a una máquina.
Mantener la seguridad de la información y la física separadas, como hacen muchas empresas, puede crear brechas entre las dos entidades, lo cual permite que las intrusiones pasen desapercibidas, señala Michael Assante, presidente y CEO de National Board of Information Security Examiners, una organización de investigación que se centra en el desarrollo profesional de especialistas en seguridad. La separación puede también dar lugar a una respuesta ineficaz, una vez que se descubre un incidente, agrega.
Assante anteriormente fue jefe de seguridad de la North American Electric Reliability Corp., que supervisa el funcionamiento de la red eléctrica. Él supervisó la aplicación de las normas de seguridad a través de la red eléctrica. Los equipos de seguridad que combinan personal que ve la parte física como de la información, pueden aplicar una variedad de técnicas de investigación para detectar los problemas con anticipación, señala. "Es muy importante que consideremos la mejor manera de eliminar las vulnerabilidades que se presentan por silos".
No ayuda que los ejecutivos a veces sobre estimen su habilidad en seguridad. 43% de las 9.600 empresas y ejecutivos de TI se llaman a si mismos "abanderados" en seguridad, según el último estudio anual de seguridad global de PricewaterhouseCoopers y la revista CSO, una publicación hermana de CIO.
Sin embargo, cuando los investigadores probaron más allá, haciendo preguntas tales como si el ejecutivo había examinado la política de seguridad de la empresa en el último año, y si la empresa había sufrido una violación reciente con causa conocida, solo el 13% se calificó como verdaderos abanderados.
Estudie sus vulnerabilidades
En Austin Recovery, una preocupación fue que los ex empleados, amigos, familiares o extraños podían entrar al centro a través de las puertas abiertas sin vigilancia, o mediante la impresión de etiquetas con nombres falsos. Podrían interactuar con los residentes vulnerables o llevar contrabando adentro, señala Ross. En el pasado, por ejemplo, los empleados robaron medicamentos de desintoxicación algunas veces, agrega.
A veces los doce voluntarios que no estaban autorizados a ver a los residentes, entraban a las instalaciones de todos modos. Hombres enojados también habían tratado de entrar a buscar a sus esposas o novias que estaban en tratamiento, lo que podría poner en peligro la seguridad de otros pacientes, señala.
Ahora, el nuevo sistema protege mejor. Sin las credenciales correctas programadas en sus placas, los empleados no pueden imprimir, copiar o faxear información. Esto ayuda a reducir los riesgos de no cumplir con ciertas regulaciones de HIPPA. "Tenemos un registro de todas las personas que imprimen y lo que imprimen", comenta Ross.
Físicamente, las instalaciones también están mejor fortificadas. Ross recuerda que recientemente "una persona agresiva" a quien Austin Recovery había despedido, estaba amenazando con volver. El director de TI bloqueó la puerta principal, lo que automáticamente hizo que los empleados tuvieran que pasar sus tarjetas para ingresar, y que los visitantes utilicen el intercomunicador exterior. La amenaza se disipó, señala Ross, pero se sintió más capaz de proteger a los empleados y pacientes debido a la nueva tecnología. "No se trata de mantener a los clientes dentro, sino mantener a las personas no autorizadas fuera", agrega.
Plan para repeler
Hacer que los empleados utilicen la nueva tecnología y se adhieran a los nuevos procesos puede ser un golpe fuerte, señala Assante. Los hábitos de trabajo están arraigados, e incluso combinar las dos culturas -del personal de seguridad física y de la información- puede ser un reto, señala. Los CIO y otros líderes de TI deben identificar tantas oportunidades como sea posible para que el personal de seguridad física trabaje junto a sus contrapartes de TI. Asigne un equipo multidisciplinario para realizar una evaluación integrada de seguridad como "un gran punto de partida", agrega.
El rentrenamiento de los empleados para que cambien sus rutinas de trabajo era el problema más acuciante para Austin Recovery. Ross se acercó al cambio en fases simples. Primero exigió que los empleados utilicen tarjetas codificadas con sus nombres. Luego, estableció nuevas reglas para establecer quién podía utilizar qué puertas y cuándo. En los correos electrónicos y reuniones frecuentes, los gerentes explicaron por qué eran importantes las nuevas políticas -la seguridad, menos riesgo y mejor cumplimiento de la normativa- y se repetían muchas veces para que los empleados las cumplan.
"Fue una implementación larga debido a cuestiones culturales", señala, pero tomar las cosas con calma hizo que los cambios peguen. "No se puede anunciar un día, 'si no haces esto, te vas a meter en problemas'", señala. "Hay que hacerles entender por qué es tan importante".
Kim S. Nash, CIO (EE.UU.)