ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 3 min de lectura

Entre la seguridad privada y la física

Análisis de la relación entre la ley de seguridad privada chilena y la seguridad física en el contexto de la ciberseguridad y protección de datos.

Escrito por Oscar Orellana

La delgada línea entre la ley de seguridad privada y la seguridad física

Creo que la evidencia a nivel mundial demuestra que en la actualidad no solamente basta la seguridad lógica, porque esta no ha logrado tener todas las respuestas para evitar constantes vulneraciones a los sistemas, lo que hace necesario regular la seguridad física dentro de la ciberseguridad.

En Chile se entiende como seguridad privada “aquella que comprende la seguridad de edificios, destinados a la habitación, oficinas o a otra finalidad; conjuntos habitacionales; de recintos, locales, plantas cualquiera sea su naturaleza, tales como industrias, comercio, establecimientos mineros y, en general, la protección y seguridad de los bienes y personas que se halla en dichos lugares, constituyendo para esta sola finalidad oficinas de seguridad”. Así lo define el Art. 1 del Decreto Ley 3.607.

En relación con eso, la ISO 27001 define la seguridad de la información como “preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y confiabilidad”.

En el anexo A de la ISO 27001 encontramos en el A.9 la seguridad física y ambiental, punto en el cual se pueden observar diversos parámetros de la seguridad física involucrando áreas seguras y seguridad de equipos, estableciendo para ello en la ISO 27002 diversos controles en esta materia.

Los cuerpos normativos chilenos en este momento tienen a la Ley 19.628 como la ley destinada al cuidado y tratamiento de datos, la cual define el tratamiento de estos como “la conservación o custodia de datos en un registro o banco de datos”. Es en ese punto donde observamos que quien tiene los datos tiene la obligación de custodiarlos, por lo tanto tiene la obligación de dar cumplimiento a resguardar su confidencialidad, integridad y disponibilidad, no refiriéndose la norma solamente a la seguridad cuando los datos están en la red, sino en su contexto amplio, es decir, la obligación de la custodia en todo momento.

Ahora nos podemos preguntar: ¿los datos solamente se deben custodiar desde el punto de vista de la seguridad lógica o también desde la seguridad física?

Como señalamos en un principio, la evidencia nos demuestra claramente que la seguridad física y lógica deben coexistir tanto en el mundo normativo como en las regulaciones internas de una empresa.

La seguridad física aún constituye un aporte importante en la ciberseguridad, donde la ingeniería social es una de las formas de ataques en la que se necesita tener poco conocimiento técnico, lo que hace que sea uno de los métodos más explotados, y que en muchos casos son la puerta de entrada para ataques más complejos.

Es entonces donde nos conviene preguntarnos cómo la ley de seguridad privada puede terminar siendo un problema, o dónde coinciden (o se complementan) la seguridad física con la seguridad privada en aspectos normativos.

En algún momento debemos considerar que las normas de seguridad de la información obligan a la seguridad física, no tan solo a la lógica, por lo que o se busca modificar las normas de seguridad privada para poder obligar el buen tratamiento de los datos y asegurar de buena forma la confidencialidad, integridad y disponibilidad de la información, o consideramos que en las normas de protección de datos se obligue a la seguridad física.

Medidas de seguridad física recomendadas

  1. Dividir la información conforme a su importancia.
  2. Mantener separada la información respecto del lugar normal de trabajo de la empresa, como por ejemplo computadoras de respaldo, discos duros, entre otros, en un lugar diferente.
  3. Mantener vigilancia por cámaras evitando puntos ciegos, las cuales deben estar conectadas a una VPN que debe correr por una red diferente de la ocupada por la empresa.
  4. Mantener guardias o vigilantes según corresponda por el tipo de información, los cuales deben tener cursos acreditados para el cumplimiento de la labor.
  5. Mantener actualizados los contratos con los proveedores, dejando cláusulas de manejo de información adecuada, considerando multas y términos de contrato en caso de incumplimiento.
  6. Realizar procedimientos programados de vulneración física, ya sea por desastres naturales o ataques del hombre.
  7. Mantener al día un plan de ciberseguridad, el cual debe ser de conocimiento del personal conforme a su área de competencia (compartimentación de la información).
  8. Realizar capacitaciones permanentes al personal manteniendo una línea abierta de denuncia segura.
  9. Implementar estrategias de premios por metas de seguridad de la información, las cuales pueden ser monetarias u otra que determine la empresa.
  10. Revisar todo lo anterior y volver a realizar: siempre volver al inicio y revisar lo que se ha hecho lleva a poder mejorar.

¿Cuál otra medida acorde a su empresa podría implementar usted?

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo