SEGURIDAD OFICINAS

EN

Los ambientes de oficinas son espacios donde diariamente laboran miles de personas realizando sus actividades y tareas, provistos de mobiliario, equipos y tiles necesarios para cumplir con sus funciones en sus Empresas. En estos espacios tambin se presentan diferentes categoras de riesgos que deben ser identificados, evaluados, priorizados y atendidos. Entre los aspectos que deben ser considerados podemos mencionar los siguientes: tipos de delitos, tiempos, criterios del adversario, activos preferidos, puntos crticos, propiedad personal, control de llaves, prevencin de incendios y proteccin de la informacin entre otros. Entre los tipos de delitos podemos mencionar al robo, asalto, hurto, amenaza interna y llamadas telefnicas intimidantes. Hay preguntas relacionadas como si ha habido robos, hurtos, qu activos podran ser robados, qu tipos de llamadas se vienen recibiendo, etc. Un tema importante que debe ser revisado son las denuncias policiales que se hayan presentado y los motivos de las mismas. Otro aspecto muy importante que debe ser analizado y revisado son los Tiempos. Me refiero especficamente a los horarios de

distintas actividades que se realicen en las oficinas. Hay tareas que se encuentran organizadas dentro de estos horarios como por ejemplo, los horarios de oficina de ingreso y salida. Horarios nocturnos: hay procedimientos para trabajar durante estas horas?. Fines de semana y feriados: hay permisos para trabajar fines de semana?. Personal en descanso mdico, vacaciones, comisiones: hay disposiciones sobre la custodia de los activos de oficina de estas personas durante su ausencia?. Horarios de refrigerio: estn autorizadas las visitas durante estas horas?. Estn dispuestas las horas de visita?, solicitan comida via delivery a estas horas?. Los criterios que los adversarios emplean deben ser tambin evaluados. Me refiero a los valores y activos que puedan motivar delitos, si el adversario tendr el tiempo suficiente para cometer los delitos, si el adversario podra cometer los delitos sin ser detectado y si una vez cometido el delito el adversario tendr vas de escape libres. Es decir: activos de valor, tiempo, sorpresa y vas de escape libres. En pocas palabras, los criterios que los adversarios evalan para definir si las condiciones para cometer sus delitos estn a su favor. Frente a estos criterios de las amenazas nosotros aplicamos los de seguridad : vulnerabilidad, probabilidad y consecuencias. Las decisiones sobre qu activos estn en riesgo se basan en : tamao del activo, facilidad de

comercializacin mercado negro.

demanda

del

En nuestro anlisis, muy objetivo por cierto, debemos considerar, con total honestidad, en cules de los criterios de las amenazas tenemos ms fallas o estamos ms expuestos. Y as determinar cmo podemos reducir las ventajas del adversario. Por otro lado, es conveniente determinar los puntos ms crticos como las puertas de acceso, los ascensores, las escaleras de evacuacin, los parqueaderos, los paraderos, los alrededores del local. Analizar si hay procedimientos claros y especficos sobre estos temas para cada horario. Para el caso de control de llaves es importante determinar si hay un control centralizado de las mismas, si las llaves y cerraduras estn clasificadas, si hay responsables de los ambientes interiores en las oficinas, los casos de llaves asignadas a quienes se encuentren de vacaciones, en descanso o comisiones y si hay procedimientos para los casos de prdidas o dao de las llaves. Este esfuerzo debe realizarse para todos los tipos de llaves: fsicas tradicionales, tarjetas, cerraduras con claves, biomtricas, etc, sea que se usen para gabinetes, escritorios, almacenes, caja fuerte y comprobar la clasificacin de llaves y cerraduras por criticidad. Otro de los aspectos crticos en las oficinas son los incendios.

Debemos asegurar la existencia y conocimiento de las acciones, prcticas y disposiciones de prevencin de los mismos. Pulsadores de mano de emergencias : saben dnde estn y cmo usarlos?. Detectores de humo: los conocen en la oficina?. Kitchenettes: hay reglas de prevencin y uso?. Extintores: saben dnde estn y saben cmo usarlos?. Brigadistas: estn organizados y entrenados?, en primeros auxilios?. Disposiciones sobre : toma corrientes, zona de desperdicios, procedimientos para discapacitados, rutas de evacuacin libres, sealtica, etc. En los aspectos de proteccin de la informacin los programas deben contener indicaciones precisas que generen conductas seguras del personal con el uso y manejo de la informacin a lo largo de todo su ciclo de vida. Para los documentos fsicos instrucciones sobre su archivo, clasificacin y destruccin. Para las fotocopiadoras e impresoras cdigos personales de uso y control de cantidades y volmenes. Para los scaners verificar si tienen acceso web. Para los passwords si existen polticas generales y especficas. Para los USBs, discos duros externos y quemadores si existen autorizaciones, limitaciones, controles y guas. Lo mismo para las porttiles, tablets, smartphones, celulares y cmaras de fotos. Evaluar los procedimientos para obtener facilidades informticas como acceso web, correo externo,

redes sociales, creacin de cuentas, gestin de accesos y si hay clasificacin de informacin en estos medios. Para la concientizacin del personal evaluar si existe un programa de difusin, charlas e inspecciones. Es importante que se determinen criterios de evaluacin para las inspecciones en funcin de aquellos malos hbitos que incrementen los riesgos contra la informacin como por ejemplo dejar las llaves expuestas, dejar desprotegidos los passwords, dejar encendida las PCs, dejar abiertos los cajones de escritorios, dejar documentos en impresoras y fotocopiadoras, dejar documentacin en tachos de desperdicios sin destruir, etc. Tambin es crtico comprobar la vigencia de las normas y sus formas y medios de difusin, asi como la capacitacin en cursos prcticos para el personal sobre todos estos temas. La gestin de perfiles y niveles de acceso a sistemas, aplicativos y mdulos. Es preciso mencionar que los planes para seguridad de las oficinas deben incluir los siguiente: La identificacin de los servicios crticos ubicados tanto en departamentos, reas y ambientes. La identificacin de los activos crticos que soportan los servicios crticos. La identificacin de la informacin crtica que genera ventaja competitiva.

Una clara identificacin de quienes son los propietarios de la informacin crtica. El mapa de criticidad del flujo de la informacin crtica. La identificacin, mapeo e individualizacin de los puestos crticos que son los que tienen acceso a la informacin crtica, as como de los perfiles de dichos puestos. Los programas de induccin sobre leyes, reglamentos, normas y consecuencias de incumplimientos. La comprobacin de la existencia y prctica de acuerdos de confidencialidad alineados con la legalidad vigente. Las medidas puestas en prctica que relacionan cada PC con un password y que facilitan la prevencin y deteccin, asi como la capacidad de activar y desactivar facilidades informticas. Facilidad para investigaciones forenses que tambin aseguren agregacin de valor para mejorar los procedimientos. Los procedimientos para las entrevistas de salida que refuercen y validen los compromisos de confidencialidad. En adicin a todo lo mencionado, por supuesto que deben contemplarse otros aspectos fsicos como la deteccin oportuna de inundaciones, intrusiones, vibraciones, rotura de vidrios,

controles de accesos, sistemas de ubicacin y control de movimientos de activos, control y supervisin de trabajos de mantenimiento, servicios permanentes y peridicos de terceros, carnetizacin, control e informacin oportuna de altas y bajas de personal, roles del centro de control de seguridad, etc No podemos dejar de mencionar las obligaciones de las reglamentaciones de edificaciones, Indeci, seguridad y salud en el trabajo, Cuerpo General de Bomberos y otras que disponen la proteccin de personas, activos y actividades. Recuerden que todas estas consideraciones conviene que sean estructuradas en el marco de una estrategia colaborativa y participativa que defina claramente las barreras contra las ventajas de los adversarios en etapas que se complementen y se refuercen unas a otras : disuasin, deteccin, detencin y denegacin.

Espero que les sea de utilidad

Luis Enrique Cueva Diaz Director de Seguridad y Proteccin de Tgestiona