¿Por qué es importante realizar la seguridad física y lógica de la información?

...

• Actualiza los sistemas y los servidores continuamente. El encargado de servidores en el área de tecnología de información es quien está a cargo de las actualizaciones y deberá garantizar que estas no afecten las aplicaciones del uso diario en la organización, ejemplo que la interfaz que permite facturar no abra, siendo afectada por una política de la organización.

• Desactiva los servicios de red que no se utilizan. Estará a cargo de infraestructura, ingeniero encargado de servidores quien definirá como está repartida la máscara de red y será quien monitoree el correcto uso de los puntos de red.

• Crear respaldos (backups), • Codificación de información (Criptografía). Para la parte lógica deberá estar a cargo del ingeniero de BD, quien deberá establecer el tiempo de respaldo de información que por lo mínimo no deberá superar las 24 horas para garantizar la información de los clientes de la organización.

• Uso de passwords. Estas serán establecidas desde el inicio del sistema operativos hasta la aplicación más básica dentro de la organización, a través de roles establecidos dentro de la organización de acuerdo al perfil dentro del área.

• Utilizar software con garantía (no pirata). Por ley, ninguna organizaciòn deberá tener un software sin licencia, las auditorias deberán garantizar el control y manejo de estas para que se conserven dentro de la organizaciòn y por ningún motivo los funcionarios deberán manipular esta información fuera de ella.

• Reducir los permisos de usuarios. Los permisos de escritura, modificación, ejecución deberán ser establecidos desde el área de tecnología de información de acuerdo con el área al que pertenece. Ejemplo, en el dia a dia se generan reportes y estos son guardados en el servidor, el funcionario a cargo solo podrá realizar lectura y no permitirle modificación alguna a menos que sea un superior.

La seguridad física Va enfocada a la aplicación de barreras físicas y procedimientos de control relacionados con todo el hardware utilizado para el manejo de información incluyendo los dispositivos de almacenamiento y los medios utilizados para el acceso remoto, aquí también es necesario incluir los edificios y sitios en donde se tiene la información.

De acuerdo a este párrafo, el área de tecnología de información deberá garantizar la infraestrutura sea la correcta para los servidores y solo a estos deberá entrar los ingenieros encargados y por ningún motivo algún funcionario de otra área, esto deberá ser restringido a través de carnets de código de barra o bien con algún documento que los identifique.

Cuando una empresa está pensando y actuando teniendo en mente los riesgos tanto naturales como humanos, a los cuales se enfrentan sus instalaciones puede comenzar por establecer políticas y procedimientos de seguridad física.

Por ejemplo: protección contra incendios, terremotos, huracanes, humedad, motines, disturbios sociales, robos, sabotajes, alteración en equipo sensible, fallas en equipo etc.

Se puede hacer uso de los siguientes puntos para disminuir los riesgos que atentan contra la seguridad física: guardias, detectores de metales, sistemas biométricos, verificación automáticas de firmas, protección electrónica, etc. Estos así, como otras medidas de seguridad deben ser evaluadas para ser implementadas como políticas de seguridad informática en la empresa.

• Monitorear la entrada a la red por correo, páginas de web y la entrada a bases de datos desde laptops. Aunque los puntos anteriores no son todos los que se deben considerar, permiten tener

un panorama para definir los aspectos que deben ser cubiertos por políticas de seguridad lógica.

La seguridad física deberá ser garantizada por el área de tecnología de información desde los servidores, un ejemplo claro seria que los aires que están en el sitio de los servidores se dañen, afectando la temperatura y provocando recalentamiento en ellos a pesar de que estos servidores tienen tecnología de apagado automático en caso de que estos fallen dejaran de funcionar. Dañados los servidores se deberá garantizar el servicio de acuerdo a políticas ya establecidas en el área de T.I y a las áreas afectadas el cual deberán aplicar un plan de contingencia.