Prevención de los delitos de daños físicos e Informáticos –Director y jefe de Seguridad Privada

martes, 15 junio , 2021


Objetivos

  • En esta unidad se expondrán una serie de conceptos vinculados a la seguridad que tradicionalmente se han venido estudiando desde ópticas parciales y que con el esta- do actual de las nuevas tecnologías de la información y comunicación nos obliga a tratarlas de forma más global.
  • Se pretende enfocar la seguridad patrimonial desde todos los frentes ya sea mediante la aplicación de medidas de prevención de carácter mecánico, conocido histórica- mente como seguridad física, y a través de medidas de control informático.
  • Se quiere evidenciar lo que ya desde la mayoría de las grandes empresas se viene estudiando como seguridad global y de esta forma poder ofrecer a las organizaciones una visión más abstracta de la seguridad teniendo en cuenta que todos sus frentes son imprescindibles.
  • Se desarrolla un capítulo dedicado a la protección informática por considerar esta labor primordial en la seguridad patrimonial ya que todas las medianas y grandes empresas ponen sus recursos técnicos en manos de las nuevas tecnologías.

Introducción

Habitualmente se ha denominado seguridad física a determinadas actividades de pro- tección destinadas a aquellos elementos físicos y mecánicos susceptibles de ser atacados pretendiendo diferenciarlo de otras familias. No obstante, este concepto ha sido superado por otro que denominamos Seguridad Patrimonial porque no sólo de elementos físicos se nutre en la actualidad la seguridad de una empresa u organización.

Es cierto que las empresas no han establecido en su estructura interna históricamente la gestión de todas las circunstancias contingentes así como la gestión de los riesgos de cualquier tipo que puedan afectar a estas o dicho de otra forma la gestión de todo aquello que “puede ir mal”. No existe, por desgracia, en nuestro país cultura de gestión del riesgo empresarial, y las explicaciones pueden ser variadas.

Se dice que la causa principal de esa visión es la falta de cultura de la seguridad por parte de la dirección lo que conlleva que se traslade a la propia organización que, la ges- tión de los riesgos empresariales que pueda asumir.

Por el contrario, es muy frecuente que la dirección empresarial esté más ocupada en “lo que puede ir bien y generar negocio” que preocuparse de la gestión de los incidentes que puedan surgir y que para ello se requiere emplear recursos de la empresa que reducen el margen de beneficios empresariales.

Pero lo cierto es que los incidentes que puedan surgir pueden afectar a los recursos de la empresa reduciendo el consecuente margen de beneficios empresariales.

La continuidad del negocio puede ponerse en peligro, tanto porque no funcionen los procesos productivos, como porque se consuman riesgos para los activos de la empresa que puedan ser generadores de pérdidas importantes o incluso acabar con ella. Y esta es la razón por la que ambos deben ser adecuadamente gestionados.

1.1. Medidas de seguridad física

y electrónica

Tradicionalmente se dice que la Seguridad Física, según MOLINA GONZÁLEZ et al (2015), lo integra el conjunto de barreras naturales o artificiales utilizadas para pro- teger de forma estática y por un tiempo determinado una instalación. Para poder conocer la forma en la que se establecen las medidas de seguridad física de las instalaciones expo- nemos los distintos elementos de protección más habituales de uso, para después, en un segundo momento citar otros menos usados.

La ley 5/2014, de 4 de abril, de Seguridad Privada habla de varios tipos de medidas:

  1. Seguridad física
  2. Seguridad electrónica
  3. Seguridad informática
  4. Seguridad organizativa
  5. Seguridad personal

1.1.1. Elementos de protección en la seguridad física

Entre los elementos de protección más habituales existentes, debemos citar:

Blindaje. Es el conjunto de elementos de seguridad y refuerzo físico, constituidos por diferentes materiales, cuyo principal objetivo es la protección integral contra proyectiles ligeros.

Cerramientos. El cerramiento es el elemento delimitador de la instalación por antono- masia. Su objetivo es detener, disuadir, dificultar y obstaculizar a los terceros ante una posible intrusión no autorizada. También canaliza el acceso de personas y vehículos a la institución o edificio por los lugares elegidos por el sistema de seguridad. Para que un cerramiento sea efectivo deberá impedir la visión desde el exterior, adaptándose a las ca- racterísticas del terreno. Debe tener, por ello, una altura mínima de 2,5 metros, debiendo carecer de elementos que permitan su escalo, estando alejado de mobiliario urbano que lo facilite.

Barreras de protección. Son obstáculos que se instalan en puntos de acceso de vehículos para impedir o dificultar el paso no autorizado o restringido. La clasificación de los tipos de barreras de protección es la siguiente:

  • Permanentes: que pueden estar formadas por bloques de hormigón con una altu- ra de hasta 1,30 metros habitualmente, por separadores de autopista, por pivotes fijos, o jardineras rellenas de material pesado, entre otros elementos.
  • Semipermanentes: barreras que se pueden retirar de forma mecánica, hidráulica o manual para permitir el acceso controlado.

Cajas fuertes. Las cajas fuertes son compartimentos de seguridad considerados como un elemento tecnológico dotado de un sistema de seguridad cuya apertura es muy difícil para personas no autorizadas y consiguiendo un compartimento estanco en el que se puedan alojar elementos de gran valor como dinero, joyas y similares. Por lo general son fabri- cadas en un metal extremadamente resistente y de gran peso. Consta de un sistema de cierre que solo se puede abrir mediante claves que pueden ser modificadas por el usuario autorizado lo que le dota de mayor seguridad.

Los sistemas de apertura se pueden accionar por una sola llave, llave más combina- ción mecánica o electrónica o mediante combinación de ambas motorizada.

Según norma UNE 1143-1:2012, sobre Unidades de almacenamiento de seguridad. Requisitos, clasificación y métodos de ensayo para resistencia al robo. Parte 1: Cajas fuertes, cajeros automáticos, puertas y cámaras acorazadas, se especifican las caracte- rísticas técnicas de las cajas fuertes, puertas de las cajas fuertes, cámaras acorazadas y cajeros ATM (cajeros automáticos).

Otros elementos de seguridad blindados son:

Cámara acorazada: Es el conjunto de defensas físicas formada por un muro acorazado que delimita un recinto o espacio a proteger, accesible a través de una o varias aberturas, cubiertas por puerta y trampones acorazados.

Muro acorazado: Los muros acorazados son protecciones de enclaves de seguridad de- limitados por el propio muro. Para su construcción se deben tener en consideración dos aspectos fundamentales: La composición del hormigón y el grosor.

Puerta acorazada: En la puerta acorazada el dispositivo de cierre suele estar compuesto por una cerradura principal, una cerradura de control dotada de llave independiente, y una cerradura de combinación con clave secreta. El blindaje suele ser una aleación con coeficiente alto de conductividad térmica y tratamiento anti-lanza térmica, una plancha de acero de un espesor mínimo de 1 centímetro, una placa de acero para fijación de las

piezas, y aglomerado de cemento.                                                                                                    

Trampón: Es un elemento físico construido que permite la evacuación de la instalación acorazada en determinadas circunstancias y el acceso en caso de ataque a la puerta prin- cipal. Su grado de seguridad debe tener el mismo nivel de la puerta acorazada.

1.1.1.1.  Otros elementos de seguridad física

Para completar el panorama de todos los sistemas físicos de seguridad que podemos en- contrar en una determinada instalación debemos citar otros menos habituales:

  • Concertinas
    • Cabinas de seguridad.
      • Bolardos fijos.
      • Rastrillos.
      • Espejos.
      • Pulsadores de alarma.

1.1.1.2.  Control de accesos

Se puede definir el control de accesos al conjunto de operaciones cuyo objeto prin- cipal consiste en controlar la entrada y salida de personas, objetos y vehículos a una instalación.

Los objetivos de un sistema de control de acceso son:

  • Identificar a las personas, vehículos y objetos.
    • Determinar zonas de acceso, en especial las consideradas restringidas.
      • Fijación de criterios de autorización o denegación de acceso.
      • Obtener información de los movimientos generados en la instalación.
      • Establecer procedimientos operativos de acreditación, registro, identificación e inspección.

Mediante el control de accesos se pretende combatir adecuadamente la presencia no deseada o intrusión en las instalaciones protegidas, así como controlar la entrada y salida de materiales o equipamiento. Para ello se deberá:

  • Disponer de medios personales (vigilantes de seguridad) o personal habilitado como controlador de accesos por la administración competente.
  • Disponer alternativamente, de medios electrónicos como barreras de acceso, tarjetas o sistemas biométricos, que impidan el paso a personas no autorizadas a penetrar en los edificios.
    • Disponer de procedimientos que establezcan inequívocamente las condiciones de acceso para grupos de personas (personal, proveedores habituales, visitantes, empresas contratistas, etc.)
      • Disponer de procedimientos que establezcan el registro y uso posterior de los datos personales de quienes acceden.
      • Instalar sistemas complementarios de videovigilancia monitorizados de forma permanente.
      • Revisar la paquetería y correspondencia dirigidas al interior del establecimiento.
      • Disponer de un sistema de control de acceso de vehículos que permita de forma manual (mediante personal de seguridad) o electrónica (bases de datos y siste- mas de reconocimiento de matrículas conectados con barreras y disponibilidad de plazas) el control de los vehículos que acceden o permanecen en el edificio.
      • Disponer de un sistema de unicidad de paso (permite el paso a una sola persona cada vez) en aquellos lugares en que el activo a proteger se considere de rele- vancia especial como zonas de personal vip, locales de tratamiento de informa- ción sensible, CPD, servicios esenciales considerados críticos, etc.

Los sistemas de seguridad para el control de acceso pueden ser:

  • Tornos o molinetes.
    • Esclusas.
      • Barrera aérea y de superficie.
      • Arco detector de metales.
      • Detector manual de metales.
      • Dispositivo de rayos X
      • Detector de explosivos (arco desmontable y dispositivo manual)
      • Detector de radioactividad.
      • Detectores biométricos (voz, iris, acial, huella dactilar, otros)
      • Tarjeta de identificación.
      • Tarjeta magnética.
  • Tarjeta de código de barras.
    • Tarjeta inteligente-microchip.
      • Tarjeta de proximidad.

Con el uso de los diferentes sistemas de seguridad enumerados, aplicables a un con- trol de accesos y con una correcta combinación, podemos conseguir los tres fundamentos de la auténtica identificación.

  • Datos conocidos por los usuarios y reconocidos por los sistemas de seguridad (como las contraseñas,..).
    • Elementos en posesión del personal autorizado a acceder a la instalación (tarje- tas, llaves,..).
      • Características propias de los usuarios de la instalación (sistemas biométricos). Sin duda los más seguros, ya que una contraseña o una tarjeta pueden ser cedi- das, sin embargo, la identidad biométrica es única e intransferible.

Este hecho ha obligado a que se hayan tenido que publicar diversas normas legales que obligan a las organizaciones a gestionar determinados riesgos como sucede con los riesgos laborales de los trabajadores.

Mucho más difícil ha sido convencer a los empresarios para que voluntariamente hayan decidido gestionar determinados riesgos sin que una ley no les obligara. No obs- tante, el temor a determinados riesgos de pérdidas o la imposición de terceras partes con quienes contratan ha sido suficiente, en algunos casos, para que fueran dando respuesta a otras familias de riesgo.

Esto sería el caso de los riesgos para la información, activo determinante en cada vez más procesos productivos, y por ello estratégico para el empresario, o la gestión de ries- gos para el medio ambiente que pude verse alterado como consecuencia de la actividad empresarial.

Otras familias de riesgo también surgen como consecuencia del cumplimiento nor- mativo, generador a su vez del riesgo de cumplimiento, del miedo a la sanción, como la normativa de seguridad privada que afecta a sectores relacionados con la actividad como los bancos, etc.

Más difícil resulta ver como existen otros riesgos que pueden influir en la continui- dad del negocio o de aquellos que puedan afectar a la responsabilidad social corporativa, a las expectativas de colectivos ajenos a la empresa, pero próximos a ella como partes interesadas en su actividad (stakeholders) como es el caso de asociaciones, organismos públicos, etc.

Para la gestión de todos estos riesgos, que puede ser obligada o voluntaria, se pueden utilizar estándares como UNE-ISO/IEC 27001, UNE-ISO 14001, UNE-ISO 26000, OH- SAS 18001 o UNE-ISO 22301, capaces de proporcionar al empresario la mejor calidad en la gestión de sus correspondientes riesgos.

Por desgracia, en estos organismos no existen estándares que den respuesta a una familia de riesgos, que con seguridad lo constituye el origen de todas ellas, y que por ello nació con el apellido de “seguridad física” que pretende dar respuesta no normalizada a determinados riesgos empresariales, muchos de ellos de carácter antisocial como los ro- bos, hurtos, infidelidades internas, falsificaciones, delitos contra la propiedad industrial o intelectual, etc. e incluso relacionados con la seguridad personal del propio empresario o sus empleados, que se convierte así en un activo con alto riesgo para su propia empresa1.

Como dice GARCÍA DIEGO (2014), en el mundo anglosajón en los años setenta, se empezó a implantar con fuerza las tecnologías de la información y comunicación (TIC) en entornos corporativos, por lo que se hizo necesario diferenciar los riesgos que afec- taban a la información contenida en ordenadores centrales de los riesgos asociados a los activos tangibles de la empresa. Fue entonces cuando apareció el apellido actual que dio respuesta a los riesgos del software y se denominó logical security y a la seguridad del resto de activos physical security, término que, al castellanizarse, tiene evidentes conno- taciones de seguridad de los elementos tangibles y que, por ello, a menudo se confunde con las propias medidas de seguridad.

Hoy se llama seguridad física a todo aquello que no podemos encuadrarlo en ninguna de las especialidades del mundo de la seguridad, y esto induce a error a los usuarios que conllevan pérdidas o riesgos que no se gestionan.

Sin embargo, y es reconocido por todos los expertos, la seguridad física está íntima- mente asociada a las TIC. Es por esta razón que no resulta correcto denominar seguridad física a los datos que se guardan en un servidor del centro de control y seguridad y hablar de seguridad de la información cuando esos mismos datos se guardan en el host, o se transmiten por fibra óptica, satélite o residen en la nube.

En la actualidad resulta prácticamente imposible encontrar servicios de seguridad que no estén soportados en esas nuevas tecnologías ya que en muchos casos las puertas ya no se abren con llaves físicas sino con tarjetas de proximidad, con dispositivos electró- nicos o con el iris de los ojos, y por ello resulta obsoleto considerar que aquella seguridad originaria, como especialidad que es de la seguridad general, siga asociada a elementos físicos solo por el nombre que en su día se le dio en inglés.

Por todo ello, y siguiendo el criterio de los expertos en seguridad, es preferible de- nominarla seguridad patrimonial, ya que en definitiva, se trata de gestionar los riesgos para el patrimonio de la empresa.

                                                                                                                                

Por otro lado, como se sabe, solo se ha regulado el establecimiento de medidas de seguridad en determinados sectores en los que el legislador ha considerado prioritarios. Se refieren a sectores en los que la comisión de delitos contra el patrimonio es más alto estadísticamente, como los bancos, las gasolineras, las joyerías, las farmacias, salas de exposiciones, etc.

Todos ellos tienen la obligación de adoptar determinadas medidas de seguridad; para ello se crea la especialidad de “seguridad privada”, para diferenciarla de la pública.

Esta visión tan parcial de la seguridad cambió de filosofía cuando se promulgó la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Esta ley está dirigida a la prevención de cualquier riesgo que se cierna sobre servicios que el legislador considere esenciales para la comunidad. De esta forma, todas las empresas que desarrollen actividades que prestan servicios esenciales a la sociedad, ya sean privadas o públicas, pasan a denominarse infraestructuras críticas por lo que el legislador les impone determinadas obligaciones relativas a la gestión de sus riesgos con la finalidad de evitar la consumación de amenazas y, en el caso de producirse, minimizar sus consecuencias.

Esta ley, por primera vez en nuestro país, obliga a estos empresarios, que denomina operadores críticos, a gestionar los riesgos de una forma sistémica, holística, abarcando tanto la seguridad lógica como la física, concepto que podemos considerarlo más próximo a la seguridad integral que tantas deficiencias tiene en su aplicación práctica.

La seguridad, como se viene exigiendo desde amplios sectores de la misma, debe te- ner sus propios patrones de gestión, sus políticas, sus procedimientos; la seguridad dejará de ser una medida de seguridad, un producto, e incluso un departamento, para convertirse en un proceso más de la empresa que deberá implantarse con criterios de gestión de la calidad2.

La gestión de los riesgos patrimoniales debería formar parte del sistema de ges- tión general, e integrarse en todas sus prácticas y procesos para proporcionar la eficacia perseguida.

La gestión de riesgos debería formar parte de los procesos de la organización, espe- cialmente en lo atinente al diseño e implantación de las políticas del Sistema de Gestión de Seguridad Patrimonial, (en adelante SGSP), el proceso de apreciación y tratamiento de riesgos y de la selección de objetivos y controles de seguridad.

Como se ha comentado no podemos separar la seguridad conocida como física, de la informática ya que se considera que ambas conforman la seguridad patrimonial.

SEGURIDAD PATRIMONIAL

  1. Medidas de seguridad bancaria según la normativa en vigor

Por otro lado, como es pacífico, las redes de comunicaciones y los sistemas de in- formación se han convertido en un factos esencial del desarrollo económico y social. La informática y las redes se están convirtiendo en recursos omnipresentes, tal y como ha ocurrido con el suministro de agua y de electricidad. Por consiguiente, la seguridad de las redes de comunicación y de los sistemas de información, y en particular su disponibili- dad, es un asunto que preocupa cada vez más a la sociedad.

Raras son las empresas que en la actualidad no se han informatizado mínimamen- te. En el ámbito doméstico, cada día son más los hogares que cuentan con ordenador y conexión a Internet de alta velocidad y muchos de ellos disponen de dispositivos conec- tados en red local y con control domótico. En consecuencia, los ordenadores almacenan documentos, cartas, hojas de cálculo, imágenes, música, bases de datos con información sensible de clientes, proveedores, datos bancarios, tarjetas de crédito, etc.

Por esta razón todas las empresas grandes, medianas y muchas pequeñas, realizan inversión en seguridad aunque cada sector según sus necesidades y recursos.

Cada medida de seguridad informática debe aplicarse en función de un contexto determinado y sólo podrá satisfacer unas determinadas expectativas. Si el objetivo es “nadie accederá a los datos de mi portátil” entonces la medida de seguridad más adecuada consistirá en cifrar el disco, podrán robarle el portátil pero no accederán a su información.

Factores que no podemos dejar de lado, al considerar aplicar medidas de seguridad, consiste en analizar su coste de adquisición, de mantenimiento y de operación, su facili- dad de uso, su aceptación entre los usuarios de la empresa, la percepción de los clientes, su efectividad, etc.

La mayoría de las medidas de seguridad resultan insuficientes si se implantan aisla- damente, por lo que deben combinarse con otras muchas para que sean efectivas.

La seguridad de la información trata por tanto de proteger activos, tanto tangibles, como por ejemplo un disco duro o una base de datos con la información contable o de clientes, como intangibles, como por ejemplo la reputación, la privacidad o el nombre de la marca. Por ello, antes de lanzarse a implantar medidas preventivas de seguridad infor- mática que no se sabe muy bien qué es lo que van a proteger ni contra qué, se debe realizar una labor de análisis de riesgos previo:

  • Identificar cuáles son los activos a proteger en la organización. ¿Qué activos son los más valiosos y cuál es su valor?
  • Identificar las amenazas a qué están expuestos los activos. ¿Cuáles son las ame- nazas naturales y humanas y qué agentes pueden causarlas?
  • Identificar los riesgos que suponen las amenazas para los activos. ¿Cuál es la probabilidad de que ocurra una amenaza?
  • Identificar y evaluar el coste de las contramedidas a implantar para reducir o mitigar el riesgo. ¿Cuánto cuesta implantar una medida y cuál sería su eficacia?

Es evidente que el análisis, la planificación y la definición de unos objetivos de se- guridad colaboran para que las medidas se implanten correctamente y no dificulten las actividades cotidianas. Como resultado, se disminuye el riesgo cumpliéndose las expec- tativas de seguridad.

Si no se satisfacen las expectativas, habrá que revisar todo el proceso con el fin de mejorar las contramedidas, lo que puede suponer una mayor inversión, o una mejor for- mación y concienciación del personal, o una redefinición de los objetivos tal vez dema- siado ambiciosos, o una aplicación más eficientes de la tecnología.

Se debe seguir, por tanto, un proceso iterativo, hasta que las expectativas se vean cumplidas, con el mínimo coste de tiempo y dinero, a la vez que se garantiza la operación normal del negocio.

La seguridad de la información implica el diseño y aplicación de un conjunto de medidas de seguridad interrelacionado de formas muy complejas.

Se suele comparar la seguridad de la información con una cadena, donde cada uno de los numerosos elementos que conforman un sistema informático se asemeja a un esla- bón. Un error muy frecuente consiste en extremar las precauciones contra ciertos tipos de amenazas, olvidando otras vías de ataque.

La disciplina de la seguridad informática no dista mucho de la seguridad tradicio- nal. De igual modo que se pueden cometer delitos en el mundo físico, dentro del mundo digital, como todo el mundo sabe, también se cometen. Existen, múltiples delitos dentro del mundo digital, todos ellos ligados a la información que se aloja en sistemas o que se transmite por las redes de comunicaciones.

1.1.2.1.  La seguridad en la empresa

Según todos los estudios, las grandes empresas son las más atacadas dentro de la batalla del mundo digital, si bien en menor medida las pequeñas y medianas son también objeto de los intrusos. El hecho de que más del 80% de los ataques a los sistemas se rea- lice en remoto facilita su existencia.

Las dos mayores amenazas externas a las que se encuentran expuestos los equipos de una organización, tanto servidores como puestos de trabajo, e, implícitamente, sus datos, son los hackers y el malware.

Por otro lado, tampoco hay que perder de vista las amenazas internas procedentes de empleados y personal interno, que pueden causar daños mucho más severos en los siste- mas informáticos, ya sea de forma deliberada o sin intención.

Para evitarlo, se deben implantar medidas de autoprotección en profundidad (defen- se-in-depth) que consiste en aplicar contramedidas diferentes en cada capa de la infraes- tructura de la información de la organización, desde los routers y cortafuegos perimetra- les hasta los puestos de trabajo personal.

El objetivo perseguido consiste en asegurarse de que si el mecanismo de salvaguarda implantado en una capa falla, el de la siguiente capa funcionará.

Es evidente que cuantas más barreras sucesivas se superpongan, el riesgo de intru- sión irá disminuyendo a la par que aumenta la posibilidad de detección y reacción. El ataque puede proceder de tantos frentes diferentes que implantar un único mecanismo de protección se traduce en un suicidio.

Defensas de datos
Defensas de aplicación
Defensas de host
Defensas de red
Defensas perimetrales
Seguridad física
Políticas y procedimientos

Este modelo conceptual representa la infraestructura de la tecnología de la infor- mación de la organización como un conjunto superpuesto de capas. Cada capa involucra personas, tecnologías y operaciones.

Su objetivo final reside en minimizar el riesgo de manera que se garantice un ni- vel aceptable de confidencialidad, integridad y disponibilidad (CID) de los activos de la información.

La defensa en profundidad debe encontrar un equilibrio entre sus principales tres elementos:

  • Personas: Para garantizar la seguridad de la información debe implicarse al per- sonal de la organización cuya responsabilidad le incumbe a la dirección.
  • Tecnología: En general, la gran cantidad de soluciones técnicas de seguridad disponibles en el mercado recibe la mayor atención y presupuesto cuando se implantan mecanismos de salvaguarda de la información. Sin políticas de se- guridad adecuadas, las medidas técnicas se implantarán mal o donde no hacen falta.
  • Operaciones: Sostener la seguridad de la organización requiere una serie de ac- ciones diarias como mantener actualizada y comunicada la política de seguridad tecnológica del sistema.

Las capas en las que habitualmente se subdivide la infraestructura de TI son siete, según ALVAREZ MARAÑÓN y PÉREZ GARCÍA. En cada una de ellas se implantan una serie de mecanismos de protección, que implicarán personal, tecnología y procesos, con el fin de mitigar los riesgos.

  1. Políticas y procedimientos de seguridad: Esta capa posiblemente sea la más des- cuidada y desatendida de todas, siendo precisamente la más importante, ya que se constituye la pueda angular, el basamento de todas las demás. “La Dirección debería aprobar, publicar y comunicar a todos los empleados un documento de política de seguridad de la información. Debería establecer el compromiso de la Dirección y el enfoque de la Organización para gestionar la seguridad de la información…” (UNE-ISO/IEC 17799).
  2. Seguridad física del entorno: El atacante goza de acceso físico a los equipos e infraestructuras de red (hardware) por lo que el mayor riesgo planteado es que podría dañar o robar los dispositivos junto con la información que contienen. Una de las formas de prevenirlo consiste en controlar al personal que accede a los distintos recursos y dependencias.
  3. Defensa perimetral: El perímetro es el punto o conjunto de puntos de la red in- terna de confianza gestionada por la propia organización en contacto con otras redes externas no fiables, no sólo Internet. El atacante posee acceso a los servi- cios ofrecidos o accesibles desde el exterior. El perímetro se protege instalando cortafuegos, redes privadas virtuales, routers bien configurados, redes inalám- bricas protegidas, etc.
  4. Defensa de red: El atacante posee acceso a la red interna de la organización, por lo que potencialmente puede acceder a cualquier puerto de cualquier equipo o monitorizar el tráfico que circula por la red, de forma pasiva o activa. Para proteger la red de esas amenazas se suelen utilizar sistemas de detección y pre- vención de intrusiones.
  5. Defensa de equipos: La seguridad de los equipos, tanto servidores como clien- tes, implica como mínimo tres tareas fundamentales: mantenerse al día con los parches de seguridad, desactivar todos los servicios innecesarios y mantener el antivirus activo y constantemente actualizado.
  6. Defensa de aplicaciones: Las aplicaciones se protegen realizando un control  de acceso mediante la sólida implantación de mecanismos de autenticación y autorización. Una medida de seguridad adiciona consiste en la instalación de cortafuegos de aplicación, dedicados a filtrar el tráfico específico de distintas aplicaciones (correo, web, bases de datos, etc.).
  7. Defensa de datos: Si un atacante ha traspasado todas las barreras anteriores y posee acceso a la aplicación, la autenticación y autorización, así como el cifra- do, constituyen las tecnologías más empleadas para proteger los datos.

Resumen

  • Habitualmente se ha denominado seguridad física a determinadas actividades de protección destinadas a aquellos elementos físicos y mecánicos susceptibles de ser atacados pretendiendo diferenciarlo de otras familias.
  • No existe, por desgracia, en nuestro país cultura de gestión del riesgo empresarial, y las explicaciones pueden ser variadas.
  • Es muy frecuente que la dirección empresarial esté más ocupada en “lo que puede ir bien y generar negocio” que preocuparse de la gestión de los incidentes que puedan surgir y que para ello se requiere emplear recursos de la empresa que reducen el mar- gen de beneficios empresariales.
  • La continuidad del negocio puede ponerse en peligro, tanto porque no funcionen los procesos productivos, como porque se consuman riesgos para los activos de la em- presa que puedan ser generadores de pérdidas importantes o incluso acabar con ella.
  • La Seguridad lo integra el conjunto de barreras naturales o artificiales utilizadas para proteger de forma estática y por un tiempo determinado una instalación.
  • La Ley de Seguridad Privada habla de Seguridad física, electrónica, informática, organizativa y de personal.
  • Los elementos físicos de protección pueden ser, entre otros, blindajes, cerramientos, barreras de protección, cajas fuertes, etc.
  • El control de accesos lo constituye el conjunto de operaciones cuyo objeto princi- pal consiste en controlar la entrada y salida de personas, objetos y vehículos a una instalación.
  • Hoy se llama seguridad física a todo aquello que no podemos encuadrarlo en ninguna de las especialidades del mundo de la seguridad, y esto induce a error a los usuarios que conllevan pérdidas o riesgos que no se gestionan.
  • Es reconocido por todos los expertos, la seguridad física está íntimamente asociada a las TIC.
  • Por todo ello, y siguiendo el criterio de los expertos en seguridad, es preferible deno- minarla seguridad patrimonial, ya que en definitiva, se trata de gestionar los riesgos para el patrimonio de la empresa.


Novedades