La brecha olvidada: ¿Tu seguridad física está en riesgo?

Ahaztutako arrakala: Zure segurtasun fisikoa arriskuan al dago?

Celia Catalán



Gaur egun, enpresen segurtasunaz hitz egiten denean, elkarrizketa beti gauza beraren inguruan mugitzen da: firewall-ak, zibererasoak, pasahitz seguruak, mehatxu digitalak. Eta zentzua du. Gailu konektatuez inguratuta bizi gara, datu agerian, eta mehatxuak ia egunero eboluzionatzen dira.

Baina sarea sartzen eta ateratzen den pakete bakoitza lupaz begiratzen dugun bitartean, oharkabean pasatzen dugu zerbait askoz sinpleagoa, berdin kritikoa eta harrigarri arrunta: segurtasun fisikoa.

Guk proiektu bakoitzean egiaztatzen dugu hori. Zenbat eta blindatuago egon zure sareak, zertarako balio du norbaitek atzeko atea erabiliz, mantentze-agindu faltsu batekin sartzen bada. Eta, sinestezina dirudien arren, hori egunero gertatzen da.

Zer da benetan segurtasun azterketa bat?

“Segurtasun azterketa” bat aipatzen denean, askok taula teknikoz betetako dokumentu bat edo kutxa batean amaitzen den auditoria formal bat pentsatzen dute. Baina ondo egindako segurtasun azterketa hori ez da. Askoz sakonagoa eta baliotsuagoa da: zure aktiboak, zure operazioak eta, garrantzitsuena, zure negozioaren jarraipena arriskuan jartzeko gai den guztia aztertzeko estrategia. Bai, zibersegurtasuna garrantzitsua da, noski. Baina dena mundu errealarekin hasten eta bukatzen da, espazio fisikoan:

  • Nor sartzen da zure instalazioetan?
  • Zein kontrolarekin?
  • Zer ikus dezake edo ukitu dezake pertsona horrek?
  • Non daude inork zaintzen ez dituen begi itsuak?

Cybertix Taldean beti berdin planteatzen dugu: ez da checklist bat egitea eta onartzea, baizik eta ahultasun mapa erreal bat sortzea, aurreikustea edo damutzea bereizten duena.

Segurtasun fisikoa ez da atean dagoen zaindari bat soilik

Erakunde askotan ohiko irudia: sarrera-kontrol postu bat zaindari batekin, bideozaintza kamera bat... eta hori nahikoa dela pentsatzea. Baina gaur egun, ikuspegi hori ez da nahikoa.

Segurtasun modernoak ikuspegi teknikoago, dinamikoago eta integratuagoa eskatzen du. Ez da sarrerak blokeatzea soilik, baizik eta desbultzatu, detektatu eta kaltea handitu baino lehen jardutea. Hauetaz ari gara:

  • Sarrera-sistemak biometria kontrolarekin, balidazio anitzekin, mugimenduen trazabilitatearekin.
  • Defentsa sakonean oinarritutako arkitektura diseinua: eremu kontrolatuak, segurtasun eraztunak, errepikapenak.
  • Langile kualifikatua, babes-sistemaren parte dena, ez bakarrik operadore pasibo gisa. 
  • Protokolo integratuak teknologia, prozesu eta pertsonen artean.

Hori guztia modu koordinatuan funtzionatzen duenean, oinarrizko zerbait irabazten da: denbora. Eta segurtasunean, denbora da kontrolatutako beldurraren eta itzulezinak diren krisien arteko aldea markatzen duena.

Fisikoa huts egiten duenean, beste guztia erortzen da

Exageratua dirudi. Benetako kasuak ikusi arte. 2025ean, Europako energia-instalazio batek zibereraso baten biktima izan zen, eta erasoa hutsune fisiko batekin hasi zen. Tekniko bat zela esaten zutenak sartu zen, espioi-gailu bat utzi zuen, eta aste batzuk geroago erasoa aktibatu zen.

Aurten ekainaren inguruan, AEBetako hainbat ospitale sartu ziren antzeko intrusioekin. Kasu batean, dena hasi zen pasillo batean ahaztutako tablet batekin, kanpoko langile batek sistemetara sartzeko erabili zuena.

Ez ziren akats teknologikoak. Segurtasun fisikoko gainbegirapen akatsak izan ziren.

Eta kostua ez zen ekonomikoa bakarrik. Ospea, bezeroen konfiantza eta pertsonen segurtasuna ere kaltetu ziren.

Ingurunea: ahaztutako handia

Segurtasun fisikoaz hitz egiten dugunean, ez da ateak, kredentzialak edo sentsoreak bakarrik. Ingurunea ere garrantzitsua da: non dago zure erakundea, inguruko eremuaren ezaugarriak.

  • Erraza al da ikusi gabe heltzea?
  • Badira ihesbideak sartu den intrusoarentzat?
  • Nola da tokiko delinkuentzia tasa?
  • Zein erantzun gaitasuna dute larrialdi zerbitzuek?

Munduko sistema tekniko onena izan dezakezu, baina ingurune ostila edo gaizki diseinatua bada, arriskua biderkatzen da.

Zer babestu? Norengandik? Eta nola?

Hemen dator funtsezkoa. Edozein erakundek, handia ala txikia, hiru galdera gako horiei zintzotasunez erantzun behar die:

  • Zer babestu behar dut benetan? Ez bakarrik azpiegiturak: pertsona garrantzitsuak, prozesu kritikoak, informazio sentikorra, harreman estrategikoak
  • Norengandik babestu behar dut? Ez bakarrik kanpoko mehatxuetatik, baita barnekoetatik ere: huts egiteak, sabotajeak, giza akatsak.
  • Nola egiten dut modu eraginkorrean? Ahultasun eta arrisku argi baten bidez, baliabideak lehentasunez kudeatzeko aukera ematen duena.

Ez da dena intentsitate berean babestea; adimenez babestea da benetan garrantzitsua dena.

Egia zelaietan dago, ez txostenetan

Hau da gehien errepikatzen dugun giltzetako bat: segurtasuna ezin da bakarrik mahai baten ondotik auditatu.

Horregatik denboraaren %50 gutxienez instalazioak bisitatzen, pertsonak elkarrizketatzen eta behatzen ematen dugu. Segurtasun langileekin hitz egiten dugu, baina baita mantentze, logistika eta zuzendaritzarekin ere. Sarbideak oinez egiten ditugu, txandak gurutzatzen ditugu, ordutegiak berrikusten ditugu, patroien analisia egiten dugu. Horrela bakarrik detektatzen dira puntu itsuak. Horrela bakarrik agertzen dira planoetan ez dauden zirrikituak.

Diagnostikotik ekintzara

Segurtasun fisikoaren azterketa serio batek ez du txosten polit batean geratzen. Ekintza plan argi, errealista, lehentasunezkoa eta itzulkinarekin ekarri behar du:

  • Neurri prebentiboak: kontrolak, sentsoreak, prestakuntza.
  • Neurri zuzentzaileak: egokitzapen operatiboak, politika berriak.
  • Larrialdi planak: zer egin dena huts egiten badu.

Eta hori guztia negozioaren jarraipen planekin integratuta, tekniko, ekonomiko eta operatibo bideragarritasun analisi batekin. Segurtasuna ezin da bakarrik ideal izan: bideragarria eta jasangarria izan behar du.

Eta gero?

Hemen dator zatirik garrantzitsuena: azterketa entregatu ondoren, errealitate bihurtu behar da. Horrek aldaketak egitea, teknologia instalatzea, pertsonak prestatzea, protokolo argiak ezartzea dakar. Baina baita denboran mantentzea ere. 

Segurtasun fisikoak bizitza-ziklo bat du: ez da nahikoa behin ezartzea. Berrikusi, egokitu eta garatu egin behar da mehatxu berrien aurrean.

Ondorioa: berriro begiratzea utzi genuen lekuan

Guk argi daukagu: segurtasun fisikoa ez da iraganeko zerbait. Hori da beste guztia eraikitzen den oinarria. Munduko sare onena izan dezakezu, baina norbaitek monosu urdin batekin eta irribarre konbentzigarri batekin sartzen badaki, beste guztia erortzen da.

Segurtasun fisikoan inbertitzea pertsonak, erabakiak eta etorkizunak babestea da. Gobernagarritasuna, jarraipena eta ospea bermatzea da.

Eta, batez ere, pantailak bakarrik begiratzea utzi eta ateak, pasabideak, pertsonak berriro begiratzea, izan ere, han hasten da askotan benetako krisia —edo saihesten da—.


Miguel Ángel Guergué, aholkularia Cybertix-en.

Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.

Azken artikuluak

Ikusi dena
  • La importancia del Disaster Recovery Plan (DRP)

    Disaster Recovery Plan (DRP)-aren garrantzia

    Nahiz eta zibererasoak, hardware eta software akatsak, hondamendi naturalak edo baita giza akatsak ere gero eta ohikoagoak izan, enpresa askok oraindik ez dute Berreskuratzeko Plangintzarik...

    Disaster Recovery Plan (DRP)-aren garrantzia

    Nahiz eta zibererasoak, hardware eta software akatsak, hondamendi naturalak edo baita giza akatsak ere gero eta ohikoagoak izan, enpresa askok oraindik ez dute Berreskuratzeko Plangintzarik...

  • URL Ofuscadas: El Arte de Ocultar Enlaces Maliciosos

    URL Ofuscatuak: Esteka Kaltegarriak Ezkutatzeko...

    Sarrera Mehatxuen egungo eszenatokiaren barruan, URL ofuskatuek baliabide errepikakorra dira kanpaina kaltegarrietan. Mehatxu aktoreek teknika hau erabiltzen dute helburu bat bezala ez, baizik eta...

    URL Ofuscatuak: Esteka Kaltegarriak Ezkutatzeko...

    Sarrera Mehatxuen egungo eszenatokiaren barruan, URL ofuskatuek baliabide errepikakorra dira kanpaina kaltegarrietan. Mehatxu aktoreek teknika hau erabiltzen dute helburu bat bezala ez, baizik eta...

  • Cuando el eslabón débil tiene nombre y apellidos

    Ahula den kateestua izena eta abizenak dituenean

    2025eko erdian bizi gara, non segurtasun perimetrala ez den hormek definitzen duten, baizik eta mikrosegmentazioak, autentikazio adaptatiboak eta portaera-analisiak. Non EDR-ek ez duten jada...

    Ahula den kateestua izena eta abizenak dituenean

    2025eko erdian bizi gara, non segurtasun perimetrala ez den hormek definitzen duten, baizik eta mikrosegmentazioak, autentikazio adaptatiboak eta portaera-analisiak. Non EDR-ek ez duten jada...

1 3
Ikusi dena