Accesos Bajo Control

Physical Security

​​Ilustración​ por ​Gary Waters/Corbis ​​

Accesos bajo Control
 

​​Las compañías desembolsan recursos significativos en equipos de control de accesos. Se estima que el tamaño de este mercado mundial oscila entre los 6 y los 22 billones de dólares estadounidenses, y una encuesta realizada recientemente por ASIS International indica que el 57% de los negocios en los Estados Unidos de América incrementará los controles de acceso durante el 2016.
 
Los costos anticipados son sólo el comienzo. Los profesionales de la seguridad se toman tiempo para determinar qué puertas necesitan bloquearse y cuándo. Ellos y ellas deciden dónde instalar los lectores, e indican cómo procesar a los visitantes. Pero, a pesar del esfuerzo invertido en la disposición y el mantenimiento de los equipos, a lo largo del tiempo la base de datos de control de accesos puede terminar mal gestionada. Las solicitudes para modificar la categorización de los lectores y los niveles de acceso son continuas. Un grupo puede desear restricciones de tiempo para el equipo de conserjería; otro grupo puede necesitar acceso a una puerta pero querer restringir otras. Si estas acomodaciones son hechas sin consideración por el sistema general, se crea, en cierto momento, un embrollo de niveles de acceso. Cuando uno se da cuenta, la seguridad ya no controla el acceso: el control de accesos determina y limita la seguridad de la organización, resultando en un caos desastroso.
 
La compañía Branch Banking and Trust (BB&T), una gran prestadora de servicios financieros con oficina principal en Winstom-Salem (Carolina del Norte), tiene en orden protocolos que aseguran una acertada y apropiada administración de los sistemas de control de accesos en sus locales corporativos. La compañía, incluida en la lista Fortune 500, posee más de 1.800 centros financieros en 12 estados de USA. A esto se suman aproximadamente 120 edificios empresariales–centros de datos, de operaciones y de llamadas, así como sedes corporativas y regionales–que mantienen sistemas de control de accesos.

DESAFÍOS
Los avances regulatorios durante la última década tornan necesario mantener atentamente los datos de control de accesos. En los Estados Unidos de América, el Acta de Transferibilidad y Responsabilidad de Seguros Médicos (1996) y su semejante, el Acta de Modernización de Servicios Financieros (1999), exigen que las entidades de salud y financieras, respectivamente, permanezcan en estricta vigilancia sobre datos sensibles o personales. Por su parte, la Ley Sarbanes Oxley (2002) forzó un endurecimiento del control interno dentro de las corporaciones del país. Más recientemente, el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (2004) requiere que las compañías mantengan serio control sobre los datos de tarjetas de crédito y débito.
 
Estas regulaciones, así como otras que afectan a industrias específicas, han traído un mayor escrutinio a la administración de los datos de control de accesos. La mayoría de las grandes organizaciones, especialmente en aquellas industrias que están reguladas, han experimentado un incremento en la actividad de auditoría cuando se refiere a los controles físicos de acceso. Esto significa que, en muchos casos, serán requeridas revisiones regulares de los informes de acceso. Por este motivo, es crucial que la información contenida en las bases de datos de una compañía sea clara y precisa.
 
Pueden surgir numerosos desafíos por fallar al mantener apropiadamente un sistema de control de accesos. Los períodos de mantenimiento pueden resultar en robos cuando, por ejemplo, empleados despedidos ingresan a una instalación. ¿Qué bien hay en un sistema de control accesos si, por la negligencia al mantener el mismo, la gente puede entrar en lugares que no debería? Si tu base de datos de control de accesos ha estado funcionando por años y se ha tornado en una intrincada red de autorizaciones de acceso, ¿qué pasos pueden ser tomados para tomar control de los datos?
 
Los administradores de la base de datos de control de accesos deben tener un proceso continuo en marcha para mantener la precisión de los datos. Una aproximación basada en estándares es esencial para gerenciar cualquier programa efectivo en esta área. Los estándares contemplan la definición de los tipos de usuarios en el sistema (empleados, comerciantes, visitantes, usuarios temporales de tarjetas, etc.) y la instauración de credenciales que deberán ser gestionadas y revisadas  en cada una de esas categorías. Una vez que las categorías de usuarios son definidas, se deberán establecer determinaciones de zonas y procedimientos de mantenimiento continuo.
 
GESTIÓN DE LA BASE DE DATOS 
BB&T categoriza a los titulares de sus tarjetas en tres grupos basándose en la red de identificación de usuarios. Hay empleados y contratistas con  identificación en la red empresarial; vendedores, locatarios y otros sin identificación en la red empresarial; y usuarios temporales. La empresa utiliza las cuentas de usuario para los trabajadores dependientes y autónomos porque la identificación en la red empresarial también es usada para la base de datos de seguridad informática. Esto permite que el personal de seguridad pueda cotejar los registros de acceso a la red interna con los datos de acceso físicos. Para realizar esta comparación, los datos del área de recursos humanos fueron considerados, pero el banco determinó que muchos vendedores, empleados temporarios, y contratistas que poseen una cuenta de acceso a la red no están incluidos en su sistema de recursos humanos. En cambio, corresponder los datos con las cuentas ya mencionadas abarca la mayoría de los usuarios de la organización. Si los registros no coinciden, se concluye el permiso de acceso para el usuario.

 
Para las tarjetas no involucradas con el proceso de emparejamiento ya explicado, la compañía identifica a un empleado que pueda servir como representante de cada comerciante y locatario. La organización conduce revisiones cuatrimestrales de esas tarjetas, durante las cuales el delegado de la compañía establece si el individuo continúa trabajando para un tercero autorizado y sigue necesitando la tarjeta de acceso.
 
Todas las credenciales temporales del sistema son asignadas a los individuos que tienen las tarjetas en su posesión. Estas pueden ser usadas por visitantes, aprendices, comerciantes externos, y empleados que olvidaron su identificación en casa. La información sobre el titular de la tarjeta es alojada dentro de la base de datos de control de accesos. Una persona se encarga de revisar los reportes cuatrimestrales de las tarjetas temporarias, para asegurarse de que su distribución está justificada.
 
ESPACIO​
BB&T ha establecido criterios y definiciones sobre el espacio físico en su entorno, y lo separa en tres categorías: crítico, restringido, y general. Cada categoría tiene establecido un criterio propio de acceso.
 
La categoría crítica está reservada para áreas de alto riesgo e infraestructuras indispensables para el funcionamiento de la organización, como las salas de servidores o los cuartos de ventilación. El espacio restringido consiste en las oficinas de los departamentos que la compañía considera que deben tener acceso limitado. Ambas categorías tienen asignadas un “titular de espacio” quien es el responsable de aprobar o denegar el acceso de las personas a cada área. Las áreas de acceso general son los pasillos y puertas de uso común.
 
En cada categoría del espacio, se establecen estándares para gestionar el acceso. Por ejemplo: los estándares para el centro de datos pueden negar el acceso a los conserjes o al personal no esencial si éstos no son escoltados. También dictan quién puede aprobar el acceso a cierto espacio y con qué frecuencia los reportes de acceso deberán ser analizados: como ejemplo, los informes de las áreas críticas y restringidas se revisan mensual o cuatrimestralmente.
 
AGRUPACIONES
Los dispositivos de acceso se agrupan en base a la categoría del espacio en el que se encuentran y a los usuarios que acceden el mismo. Esto dinamiza el proceso de solicitud de acceso y facilita a los solicitantes la comprensión sobre qué clase de acceso están solicitando: agrupando tantos lectores como sea viable se minimiza el número de posibles grupos de dispositivos, lo que significa una reducción en la cantidad de opciones que tendrán aquellos que soliciten acceso. Esto también torna más fácil asegurarse de que los informes de acceso son acertados, y simplifica los procesos de aprobación y revisión. Por ejemplo: si todos los lectores para los espacios críticos son agrupados, sólo una autorización para accederlos  sería necesaria, y luego se tendría que revisar un sólo reporte.
 
De todos modos, en algunos casos minimizar los grupos puede no ser posible. Por ejemplo: un grupo de usuarios puede ser admitido en el área de tecnologías de la información pero sólo un subconjunto de ese grupo puede tener acceso a la sala de servidores que allí reside. En este caso, los grupos serían categorizados por los usuarios más que por los lectores.
 
También es importante asegurarse de que los niveles de acceso y los agrupamientos de dispositivos no se superpongan. Las anteposiciones pueden complicar el proceso de solicitud de acceso y las revisiones de los informes, y causar que los reportes reflejen una lista incompleta de usuarios que tienen acceso a un espacio. Por ejemplo: en un edificio con tres lectores, la categoría número 1 podría incluir las puertas frontal y trasera; la categoría nro. 2 podría abarcar la sala de comunicaciones. Si, además de estos dos agrupamientos, hay un tercer grupo que incorpora los tres lectores (como podría ser uno llamado “primer piso”), se podría crear un problema ya que los lectores pertenecen a dos diferentes agrupaciones. En este supuesto escenario, si se realizara una solicitud para determinar quién tiene acceso a la sala de comunicaciones,  se necesitaría tanto un informe de la categoría de lectores de la sala como de un reporte adicional que contemple la agrupación de los tres lectores. En muchas organizaciones, este segundo paso se obvia, lo que causa una imprecisa representación de aquellos con acceso a un área específica. Esto puede tornarse un problema mayor si se descubre durante una auditoría.
 
Otro método para remediar este asunto sería ejercer informes sobre los lectores una puerta a la vez: en este ejemplo, únicamente se realizaría un reporte del lector en la sala de comunicaciones. La mayoría de los sistemas de control de accesos permiten gestionar este tipo de informes. Sin embargo, en compañías con un gran número de lectores de tarjeta individuales, esto requeriría demasiados reportes. A menudo, los mismos usuarios necesitan acceso a múltiples puertas, por lo que combinarlas en categorías que no se superponen con otras tiene más sentido que realizar informes individuales sobre los lectores.
 
Como regla, BB&T no permite que un lector que haya sido atribuido a una zona crítica o restringida pertenezca a más de una agrupación de lectores. Esto asegura que los reportes de acceso sean certeros y completos.  La medida requiere que un usuario que necesite acceso a un edificio completo, como un encargado de limpieza o un guardia de seguridad, deba solicitar acceso a cada área de las instalaciones a la que intente ingresar, en lugar de requerir un permiso único para acceder a todo el establecimiento. Esto es beneficioso no sólo en lo relacionado a los reportes, sinó que también requiere que los titulares deban autorizar a todos los usuarios que accedan a su espacio, por lo que tales se tornan responsables de saber quién está ingresando a su área. Se pueden establecer algunos controles en el proceso de revisión de informes para asegurarse de que el responsable de un espacio no le suprima el acceso a un conserje o un guardia. Algunos sistemas permiten marcar tarjetas y requieren un mayor nivel de escrutinio antes de remover el acceso; no obstante, esta es una manera más prolija de establecer niveles de acceso y asegura que los propietarios de espacios comprueben un reporte de todos los usuarios que tienen acceso a su sector, que es lo que la mayoría de los auditores buscan.
 
LIMPIEZA
Si un sistema de control de accesos se ha embrollado con el tiempo, se recomienda una limpieza de la base de datos. Un buen lugar para empezar es desactivar todas las tarjetas que no han sido usadas en un rango específico de tiempo, como los últimos seis meses. De este modo habrá menos tarjetas que revisar. Entonces, el departamento de seguridad podrá buscar coincidencias entre la base de datos de control de accesos y alguna que indique los empleados actuales de la compañía. Los datos del departamento de recursos humanos o de seguridad informática son los más útiles para determinar si los portadores de tarjeta activos en el sistema aún trabajan para la organización. Respecto a las demás tarjetas para los no empleados, visitantes, locatarios y contratistas, se deberá investigar si los usuarios pueden ser asociados con un gerente o un empleado de la compañía. Los responsables de seguridad pueden trabajar con estos socios internos para implementar una revisión regular de las tarjetas.
 
MANTENIMIENTO 
Realizar habitualmente una comparación con los datos de recursos humanos o seguridad informática asegura que las tarjetas sean desactivadas para los usuarios cuya información no coincida con la de la tarjeta. Si un usuario no es captado en la comparación, esa persona deberá ser asignada a un representante        que revisará de forma cuatrimestral qué credenciales deben ser dadas de baja. Los informes correspondientes a todos los espacios que no sean de acceso general deberán ser comprobados para confirmar que los usuarios aún necesitan acceso a las áreas designadas. Tal comprobación deberá tomar lugar en intervalos regulares de tiempo, no mayores a un cuatrimestre. Una parte importante del proceso de solicitud de acceso es asegurarse de que se captura toda la información necesaria para soportar los nuevos estándares que se establezcan y facilitar la revisión de los reportes. Por ejemplo: si el permiso es para un visitante, el personal de seguridad deberá capturar, durante el proceso de petición, el nombre de la persona que tendrá la tarjeta en su posesión.
 
AUTOMATIZACIÓN
BB&T está trabajando para subir de categoría la automatización de su sistema de solicitudes e informes de auditoría de control de accesos a fines de 2015. Está considerando utilizar un programa informático que automatice todo el proceso de gestión de la base de datos relacionados con el acceso, abarcando tanto el sistema de control de control de accesos como el de recursos humanos. Esta actualización incluiría el uso de una interfaz que estaría completamente integrada con el sistema de credenciales de seguridad informática. La aplicación ideal se integraría totalmente con el sistema de control de accesos, donde la autorización de acceso sería provista automáticamente sin intervención humana.
Los costos son un factor decisivo al implementar un proyecto como éste. Algunas compañías eligen automatizar sólo algunas partes del proceso: varias de ellas utilizan un simple formulario web que se comunica vía correo electrónico con aquellos que deben aprobar el acceso, o que provee un tablero de mando para que el equipo encargado del control de accesos pueda visualizar las solicitudes; muchas otras tienen integrados los datos de recursos humanos y seguridad informática para actualizar el sistema de control de accesos, lo que permite la desactivación automática de tarjetas para empleados y contratistas de los que se haya prescindido. Algunas han encontrado un modo de automatizar las revisiones de informes. Pocos fabricantes de equipos de control de accesos proveen estas herramientas junto a su programa informático: algunos trabajan junto a soluciones de terceros, o los dirigen hacia ellos; otros están empezando a notar esta creciente necesidad de automatización y están incorporando y mejorando ciertos elementos en su paquete estándar de aplicaciones, como capacidades de reporte más robustas.
 
Estos esfuerzos pueden parecer abrumadores, pero una vez que los estándares son establecidos, la base de datos está limpia, el mantenimiento es regular y se implementa cierto nivel de automatización, el sistema estará eficazmente gestionado. Es imperativo que los profesionales de la seguridad vean más allá de los equipos y su instalación, y que no dependan únicamente de éstos al buscar protección. Un sólido programa de mantenimiento asegura que si alguna vez los procesos de control de acceso son puestos en tela de juicio, el departamento de seguridad puede estar seguro de que el programa está bajo control.
 
Briggette Jimenez, CPP, es gerente de seguridad física en BB&T, donde dirige el centro de comando de seguridad de la compañía, así como las operaciones de seguridad y los programas de prevención de la violencia laboral.