La seguridad de la información ha sido un tema ampliamente debatido en los últimos años, por no decir décadas. Desde la segunda mitad del siglo pasado, los modelos de negocios y el propio estilo de vida de las personas se tornaron cada vez más dependientes de los equipos electrónicos y de la información digital. 

Prácticamente todo lo que hacemos en la actualidad deja un rastro de bits y bytes que se pueden usar de manera positiva o negativa. Para las empresas, estos datos se convierten en un activo fundamental y su pérdida puede derivar hasta en el cese de sus actividades. 

Naturalmente, esto genera la preocupación de garantizar la seguridad de dicha información, ya sea para la protección de los negocios o de las personas. En las películas y en los noticieros se enfatiza mucho el tema de la protección lógica de los datos, y a menudo se muestra a los hackers en una glamorosa lucha entre el bien y el mal. En las empresas se debate acerca de términos tales como BCP (Business Continuity Plan/Plan de continuidad del negocio) y DR (Disaster Recovery/ Recuperación de desastres). 

¡Aunque aquí cabe hacer una advertencia! En el día a día de las empresas, la protección lógica y la protección física revisten el mismo grado de importancia, y no siempre se le presta la debida atención a este tema. 

¿Qué hace falta para garantizar la seguridad física de la información? 

La seguridad física de la información busca garantizar la operación sin interrupciones, el control de acceso y la resiliencia del entorno.  Es necesario que la infraestructura digital responda adecuadamente y proteja los datos basándose en los siguientes principios:  

– Seguridad ambiental: orientada a proteger a los equipamientos contra incidentes naturales tales como inundaciones, tormentas, terremotos; o incluso de los provocados por el hombre, como por ejemplo: huelgas, accidentes de tránsito, o cualquier tipo de impacto que posibilite la interrupción de los servicios por pérdida de la capacidad de operación de la infraestructura o del acceso de los operadores, incluso con la duplicación de instalaciones, en caso de ser necesario. 

– Seguridad de disponibilidad: tendiente a garantizar medios redundantes de alimentación de energía, refrigeración de los equipos, protección contra incendios, redundancia de enlaces de transmisión de datos, incluyendo la infraestructura de TI, como la redundancia de componentes como storages, switchs, balanceadores, servidores, etc. 

– Seguridad física del perímetro: para garantizar que solo los equipos autorizados tengan acceso a los equipamientos y a las instalaciones de la infraestructura. 

El tema parece simple y obvio, pero no lo es. Existen varias certificaciones diferentes en el mercado para alinear y garantizar las mejores prácticas de seguridad de la infraestructura. Algunas incluso están especializadas por sectores de negocios. 

Solo hablando de seguridad perimetral, por ejemplo, podemos dividir el tema en diferentes subelementos y procesos: 

– Gestión de solicitudes de acceso: con procesos definidos y un sistema de gestión y almacenamiento del historial de solicitudes, busca garantizar que todas las personas autorizadas para acceder a la infraestructura sean validadas y aprobadas en cuanto a sus motivos y capacidades. 

– Autorización de ingreso: se trata del control de acceso básico en la entrada, pero depende de que el paso anterior esté bien ejecutado para saber quién debe ser autorizado. Se necesita mano firme para validar la información y ejecutar correctamente la autorización de ingreso. 

– Recepción y derivación: principalmente en infraestructuras más complejas, como grandes data centers, en esta etapa se recibe al visitante ya en el interior de las instalaciones y se lo lleva hasta el lugar donde debe acceder o trabajar. Este paso evita que una persona autorizada a prestar un determinado servicio pueda acceder a todo el entorno y generar incidencias en otros lugares de las instalaciones. 

– Control y monitoreo del acceso: se deben utilizar sensores biométricos, puertas inteligentes con identificación de volumen y peso de entrada y salida, cámaras y equipos de seguridad para evitar que cualquier persona, malintencionadamente o por error humano, retire o coloque equipos en la infraestructura sin el control adecuado. 

– Control del ciclo de vida de los equipamientos de TI: analizar el consumo de energía esperado desde la solicitud de entrada, utilizar tecnologías y automatizaciones de IoT, tales como RFID, para controlar la posición del equipamiento dentro del data center, registrando y monitoreando desde el ingreso, despliegue, uso en operación y, posteriormente, todo el proceso de desactivación proceso, con limpieza de los datos y destrucción de los equipos de manera certificada y con un impacto ambiental menor. 

¿Cuánto y cómo invertir en la seguridad física de la infraestructura digital? 

Una infraestructura digital segura puede demandar grandes volúmenes de inversión. Podemos decir que el cielo es el límite, pero nunca será posible crear un entorno inmune a las fallas.  

La inversión en seguridad física, entonces, será inversamente proporcional a la dependencia que el negocio tenga de los datos. Perder las fotos del último viaje puede entristecer mucho a alguien, pero no le ocasionará un daño irreparable. Por otro lado, perder información de clientes y de facturación puede representar el cierre definitivo de un negocio. Para un estudio de abogados no tener acceso a Internet durante algunas horas puede representar un dolor de cabeza, pero para un e-commerce, estar fuera de línea durante algunos minutos tendrá impactos financieros inmediatos. 

De esta manera, el monto invertido en seguridad física y redundancias de infraestructura digital por lo general es directamente proporcional a los volúmenes financieros que transitan por el negocio e inversamente proporcional al tiempo de recuperación aceptable. 

Es decir, a mayor volumen de dinero operado, mayor preocupación por la infraestructura, como se puede observar en el sector financiero. Y cuanto menor sea el tiempo que el negocio acepte estar inactivo, mayor será la preocupación por la seguridad, como vimos en el ejemplo del comercio electrónico. 

Sin embargo, el costo no es el único factor de impacto en una infraestructura segura. El tiempo y la experiencia también cuentan. La construcción de paredes, estructuras eléctricas y de aire acondicionado llevan su tiempo. Definir procesos y sistemas de control requiere de una curva de aprendizaje. 

Puede resultar difícil medir este tiempo directamente como un costo, aunque se puede monetizar como una pérdida de oportunidades de negocio debido a la demora en ingresar al mercado o incluso al tiempo de exposición a los riesgos de negocio ya existentes. 

Una buena forma de acortar estos tiempos o adecuar el flujo de caja para las inversiones necesarias en infraestructura digital, es contratar la infraestructura como servicio a un proveedor de nube o data center confiable. 

Estos proveedores cuentan con instalaciones y procesos que ya están operando, certificaciones que acreditan sus calificaciones y un historial de clientes e incidentes  que permitieron validar y mejorar los controles y redundancias necesarios para mantener las operaciones en niveles de confiabilidad inviables para otros emprendimientos. 

Si a su equipo de TI todavía le preocupa saber si el generador va a soportar la carga en caso de un corte de energía o si los medios LTO (Linear Tape-Open)  seguirán siendo legibles para recuperar el backup, tal vez sea el momento de obtener más información sobre los procesos y el funcionamiento de un data center profesional que lo ayude a garantizar la seguridad de su negocio. Cirion posee las mejores estructuras de data center y estrictos protocolos de seguridad, validados por una serie de certificaciones, además de un equipo altamente calificado para apoyar a su empresa en el día a día.

Mientras avanza la transformación digital de las organizaciones, aumentan los riesgos de sufrir ataques informáticos que pongan en peligro la seguridad y preservación de sus operaciones y datos.

El crecimiento en el uso de soluciones informáticas para la gestión de organismos públicos, empresas e instituciones educativas, lleva a acrecentar la protección de estas plataformas con el fin de controlar que los activos de las organizaciones no sean víctimas de ataques, fraudes o mal uso por parte de delincuentes informáticos, empleados desleales y/o terceros con malas intenciones.

Estos ataques pueden representar un duro revés para cualquier negocio, sobre todo en términos económicos y de credibilidad, ya que una filtración de datos puede ocasionar que la empresa pierda la confianza de sus clientes.

1- ¿Para qué sirve la ciberseguridad en las empresas?

La ciberseguridad les permite tener una estrategia de protección y defensa contra los ciberdelincuentes que buscan extorsionarlas o desprestigiarlas

2- ¿Cuáles son los elementos de la ciberseguridad?

La ciberseguridad debe contemplar tres elementos interrelacionados: las personas, los procesos y la tecnología, todo esto bajo un gobierno de seguridad de la información

3- ¿Cuáles son los principales tipos de ciberataques?

Principalmente los que buscan la denegación de los servicios, seguidos por aquellos que engañan a los usuarios como el phishing, y finalmente los que afectan la integridad de la información como el ransomware.

4- ¿Por qué es tan importante la ciberseguridad hoy en día?

Porque protege la productividad de los negocios, inspira confianza en los clientes y en los inversionistas, evita impactos negativos en la reputación y las perdidas de dinero por los ciberataques

5- ¿Qué medidas de ciberseguridad deberían implementar las empresas?

Todo depende del entorno en el cual se desarrolla la empresa. Principalmente las medidas deben enfocarse en proteger 4 pilares importantes: los datos, los dispositivos de usuarios, las redes y las nubes de aplicaciones o infraestructura.

Aunque la transformación digital supone grandes avances para las organizaciones, la exposición a los ciberataques ha aumentado a la par. Si la ciberseguridad todavía no está en la agenda de las reuniones de directivos de su organización, debería estar.

Crece continuamente la cantidad de organizaciones que, por no haber visto venir la amenaza a tiempo, han tenido que asumir las consecuencias. No deje que la suya sea otra presa de los delincuentes informáticos.