Seguridad de los centros de monitoreo de alarmas

El mercado de la seguridad está cambiando actualmente y los centros de monitoreo desempeñarán un papel cada vez más importante. Por lo tanto, la seguridad de los centros de monitoreo será cada vez más importante desde el punto de vista de los clientes que usan los servicios de monitoreo.

La seguridad de CMA consta de tres áreas principales.

Las áreas de seguridad de CMA se indican en la norma PN-EN 50518. Muchos requisitos también se incluyen en otras normas: PN-EN 50131 Sistemas de alarma, PN-EN 50136 Sistemas de transmisión de alarma o ISO 27001.

Siguiendo el estándar PN-EN 50518, distinguimos tres áreas principales de seguridad:

Parte 1: requisitos de ubicación y construcción

La seguridad del centro de monitoreo depende en gran medida de su ubicación y estructura del edificio. Esta parte de la norma establece requisitos mínimos para la ubicación, diseño, construcción y operación de las instalaciones de la estación de monitoreo. Estos incluyen salas en las que se lleva a cabo la supervisión, recepción y procesamiento de señales de alarma y salas técnicas.

Parte 2: requisitos técnicos

Los requisitos técnicos para CMA se relacionan con la operación de todo el centro de monitoreo y definen los criterios más importantes, que son el rendimiento y la disponibilidad de CMA. Se ha dedicado un poco de atención a los problemas de TI, que actualmente son la base para la operación de CMA. Es importante saber cómo hacerlo desde otras fuentes. Escribiremos sobre otras soluciones de TI que deberían usarse en CMA y sobre la seguridad de estas soluciones.

Parte 3: procedimientos y requisitos operativos

Esta sección establece los procedimientos y requisitos mínimos para el personal. centro de monitoreo y recibe la alarma. Específicamente, los procedimientos por los cuales el personal del centro de monitoreo realiza sus tareas.

Vale la pena señalar que de acuerdo con la nomenclatura, se debe usar el término Centro de Recepción de Emergencia (ACO) o Centro de Recepción de Alarma (ARC). En Polonia, sin embargo, estos nombres son relativamente impopulares, por lo que utilizaremos el término Centro de Monitoreo de Alarmas (CMA).

Vea el seminario web sobre la seguridad de los Centros de Monitoreo.

El lugar correcto

La ubicación debe tener en cuenta el riesgo de incendio, explosión, inundación, vandalismo y peligro de otros lugares, por ejemplo, de edificios vecinos u otros tipos de instalaciones. En el caso más común, CMA no ocupa todo el edificio. En tal caso, deben estar separados del resto del edificio por un borde físico que consiste en paredes, pisos, techos y aberturas necesarias de acuerdo con las pautas de la norma. El acceso a CMA y a la parte del edificio donde se encuentra la CMA solo debe restringirse a los empleados de una compañía operadora de CMA.

El primer paso para determinar una ubicación para un CMA debe ser estimar el riesgo asociado con esa ubicación. Ejemplos de peligros a considerar en el proceso de evaluación de riesgos:

  • ataque criminal, amenazas de bomba u otras situaciones;
  • disponibilidad y posible daño a las líneas de suministro;
  • disponibilidad y posible daño a los enlaces de telecomunicaciones;
  • incendio, incluida una explosión, en propiedades adyacentes;
  • inundación u otra intrusión de agua;
  • daños por tormentas y rayos,
  • intrusión de riesgos de tráfico, vehículos, aviones, etc.
La estructura externa del objeto.

Al diseñar la arquitectura CMA, se deben tener en cuenta las paredes externas, pisos, techos, puertas de entrada y salida, entradas y salidas de ventilación, puntos de entrada de cables y tuberías, superficies acristaladas, esclusas y conductos de ventilación. El contorno exterior (caparazón) de la CMA debe constituir una capa peculiar con resistencia específica al robo (ataque físico), por ejemplo, paredes:

  • ladrillo completo> 200 mm,
  • hormigón> 150 mm,
  • u otros materiales con resistencia adecuada.

La carcasa de CMA también debe tener una resistencia adecuada en puertas y acristalamientos (FB3 EN1522) y una resistencia al fuego no inferior a 30 min. También es importante anticipar los problemas de protección contra rayos y sobretensiones de la instalación.

El estándar solo permite tipos específicos de agujeros en la estructura de CMA:

- entrada hacia / desde el vestíbulo (comúnmente conocida como esclusa);

- salida de seguridad;

- acristalamiento

- entradas y salidas de instalación;

- tolva de carga;

- ventilación.

A cada uno de los anteriores Los tipos de agujeros especifican los requisitos específicos que se deben cumplir. Por ejemplo, cuáles deberían ser las puertas de la cerradura, de qué manera deberían abrirse y qué cerraduras mecánicas deberían ser. El estándar especifica exactamente cómo construir y asegurar una salida de emergencia, un iniciador de alimentación, entradas y salidas de instalación. Los requisitos también especifican el funcionamiento de la ventilación, incluido que las entradas de aire estén protegidas contra el lanzamiento del contenedor de gas.

Sistemas de seguridad electronica

La seguridad del centro de monitoreo también depende de los utilizados allí. La seguridad electrónica de CMA debe estar equipada con prácticamente todos los sistemas de seguridad electrónica comunes: sistema de señalización de robo y asalto, sistema de monitoreo de personal, sistema de señalización de incendio, control de acceso, CCTV y detección de gas. Todos estos sistemas deben instalarse y mantenerse de acuerdo con las normas pertinentes. La protección CMA por medio de un sistema de alarma de intrusión debe cumplir con EN 50131-1, grado 3 (incluyendo piso y techo).

Las señales de los sistemas de seguridad deben transmitirse a otro CMA a través de un sistema de doble vía de acuerdo con EN 50136-1, grado 3.

La videovigilancia es también un elemento obligatorio de seguridad. Debe proporcionar monitoreo del entorno del edificio. También debe permitir que el personal de CMA identifique a las personas autorizadas antes de permitirles ingresar al hall de entrada y observar su comportamiento en esta zona, y garantizar una entrada segura. La videovigilancia también debe dar al personal de CMA la oportunidad de identificar a cada persona que usa la compuerta de aire / conducto de carga.

Poder

El poder de CMA es un elemento clave de seguridad. La fuente de alimentación clásica debe usarse como la fuente primaria de electricidad (pero pueden usarse fuentes de energía alternativas). La red de suministro de energía debe ser capaz de proporcionar suficiente energía a una carga normal de CMA, al tiempo que recarga los dispositivos UPS (baterías) de almacenamiento de energía a la capacidad requerida dentro de las 24 horas. Siempre necesita saber cómo se ve el sistema de suministro de energía para un objeto: ¿cuántas líneas eléctricas hay? donde los cambias ¿Cómo se aseguran las celdas? etc. Debe evaluar cuán urgente es este sistema, porque si después de cada tormenta hay un corte de energía, no deberíamos organizar un CMA allí.

La fuente de alimentación de respaldo obligatoria debe tener una capacidad suficiente estimada como una oportunidad para garantizar el funcionamiento ininterrumpido de todos dispositivos de monitoreo, telecomunicaciones, señalización, grabación, ventilación básica e iluminación básica por un período mínimo de 24 horas con una demanda 1.5 veces mayor que el promedio.

El cambio hacia y desde la fuente de alimentación de respaldo no debería afectar el funcionamiento normal de los dispositivos. La energía de respaldo debe proporcionarse mediante un agregado o agregados asistidos por UPS. Es importante destacar que el UPS y el dispositivo de conmutación automática deben estar en un lugar con el mismo nivel de seguridad que CMA.

La fuente de alimentación de emergencia debe encenderse y apagarse automáticamente. Si se utiliza un agregado, la capacidad del UPS debe ser suficiente para alimentar los dispositivos CMA durante al menos 10 minutos, hasta que el agregado alcance la potencia máxima. Los enfriadores deben tener combustible para el enfriador durante al menos 24 horas. Los agregados deben ser monitoreados en CMA. Se deben garantizar condiciones adecuadas para arrancar el generador, por ejemplo, predecir el tipo de combustible si el generador estuviera expuesto a temperaturas muy bajas.

Requerimientos técnicos

Parte de la norma con respecto a los requisitos técnicos no nos da la respuesta correcta sobre cómo realizar sistemas de monitoreo (para obtener pautas más detalladas, debe consultar la norma PN-EN 50136). Sin embargo, el estándar PN-EN 50518 especifica dos parámetros básicos importantes para el funcionamiento del centro de monitoreo, que combinan elementos relacionados con cuestiones técnicas de los sistemas de transmisión de alarma, así como el funcionamiento del centro en su conjunto. Pueden calcularse de manera bastante simple y compararse con los requisitos de la norma.

El centro de monitoreo seguro es eficiente y accesible. ¿Qué significa esto en la práctica?

Requisitos de desempeño

El rendimiento del centro de monitoreo se puede determinar por el tiempo máximo durante el cual se debe manejar el evento. Este tiempo se cuenta desde el momento en que se recibe en el receptor (Transceptor del centro receptor) hasta que el operador toma medidas.

En lo anterior el tiempo consta de dos parámetros:

- el tiempo durante el cual el sistema procesará la información y se la mostrará al operador;

- la hora en que el operador "hace clic" en la alarma que aparece en el monitor.

Es importante medir el tiempo para manejar cada alarma, crear estadísticas apropiadas y archivarlas durante un período de 12 meses.

Requisitos de accesibilidad

La disponibilidad se define como el porcentaje de tiempo durante el cual los sistemas de transmisión de alarma y el centro de monitoreo funcionan normalmente sin perturbaciones. El estándar PN-EN 50518 discutido se refiere a este respecto a otro estándar: PN-EN50136-1, donde se define dicha disponibilidad.

¿Qué significa esto en la práctica? En primer lugar, debemos registrar cada pausa mínima en el trabajo de CMA para poder determinar la disponibilidad real. Por lo tanto, se debe medir el tiempo de cada reinicio de dispositivos receptores, enrutadores, servidores, computadoras, actualizaciones, etc. El mismo principio se aplica a cada falla.

Al mismo tiempo, al declarar una accesibilidad dada, debemos asegurarnos de que realmente lo sea. Esto significa que si quisiéramos declarar la disponibilidad de A4, nuestros sistemas de TI deben adaptarse de tal manera que el tiempo de recuperación ante desastres sea de unas pocas horas.

Procedimientos y requisitos operativos.

La seguridad del Centro de monitoreo de alarmas depende en gran medida de los procedimientos y requisitos operativos. CMA debe ser tripulado con al menos dos operadores. Se puede llenar un operador si CMA trabaja en conjunto con otro, y los métodos operativos aseguran que el resultado de esta colaboración sea equivalente a un CMA tripulado por al menos dos operadores. El estándar especifica que los empleados deben ser verificados antes de emplear CMA por un período de al menos 5 años atrás.

La seguridad de los datos recopilados en un centro de monitoreo seguro es particularmente importante. Dedicamos el siguiente artículo a este tema: https://dmsi.pl/ochrona-danych-i-ciaglosc-dzialania/

Es importante proporcionar a los empleados de CMA la capacitación adecuada. En particular, se tiene cuidado de que los operadores novatos no puedan manejar las alarmas sin una preparación y capacitación adecuadas. La capacitación debe estar documentada.

Los procedimientos para su funcionamiento deben estar preparados para CMA. Estos procedimientos deben regir las siguientes áreas:

Pruebas de rendimiento

El equipo utilizado en CMA debe probarse en rangos específicos diariamente y semanalmente. Este procedimiento debe incluir la verificación y sincronización de relojes electrónicos al menos cada 24 horas.

Entrada y salida de la CMA.

La entrada y salida de la CMA está sujeta a un procedimiento documentado disponible para todos los operadores. Este procedimiento debe especificar los métodos utilizados para identificar a los solicitantes de ingreso a CMA. Identificar personas antes de otorgar acceso. El acceso a la CMA debe ser controlado por la acción del operador dentro de la CMA al ingresar. El registro de todos los visitantes de CMA debe archivarse.

Gestión de base de datos

El estándar llama la atención sobre la protección de datos, dividiéndolos en tres áreas:

- datos del cliente (personal);

- Datos de comunicación externa de CMA;

- registro de acciones del operador.

Todos los datos deben estar protegidos y almacenados de acuerdo con los estándares citados anteriormente. Los datos del cliente deben conservarse durante al menos dos años. Grabaciones de conversaciones y correos electrónicos durante al menos tres meses, y un registro de las actividades del operador durante un período de al menos dos años. Ahora llega a este GDPR, es decir, la regulación sobre la protección de datos personales, que entrará en vigencia el 25 de mayo de este año.

Vale la pena aprender cómo los sistemas de monitoreo modernos garantizan la seguridad al nivel apropiado. Dedicamos otro artículo en nuestro blog a esto: https://dmsi.pl/bezpieczenstwo-w-safestar/

Continuidad del negocio y situaciones de emergencia

La seguridad del centro de monitoreo también garantiza la continuidad del negocio y la gestión eficiente de emergencias son tareas clave para cada jefe de CMA. Se deben desarrollar procedimientos apropiados a este respecto. Estos procedimientos también deben ser compatibles con los procedimientos que funcionan en los subcontratistas y clientes de CMA.

Procedimientos de evacuación

Se debe preparar un plan de contingencia para cada CMA, y se deben acordar los procedimientos de respuesta con los servicios relevantes. En el caso de una inmovilización de CMA, el plan de contingencia debe prever la restauración de las acciones lo antes posible. Se debe documentar un plan de acción detallado que incluya la evacuación parcial y total.

Manejo de la señal

Todas las señales de alarma recibidas, así como las acciones tomadas por los operadores del centro, deben registrarse automáticamente. La comunicación externa (voz y electrónica) debe grabarse automáticamente con fecha y hora. El período de almacenamiento debe ser de al menos 3 meses.

Resumen

Que sepamos, no hay en Polonia centro de monitoreoque cumpliría estrictamente con todas las pautas de la norma. Desafortunadamente, en nuestras condiciones comerciales, las pautas de los estándares son tan abstractas que casi ninguna compañía podría cumplirlas todas. Sin embargo, el estándar establece estándares que las compañías de seguridad que se ocupan del monitoreo de alarmas deben conocer y cumplir. Los requisitos establecidos en la norma garantizan la seguridad 100%, en nuestras condiciones polacas los cumplimos al principio al menos en 50%. Debemos luchar por la excelencia en la provisión de seguridad.

hoja informativa

mantenerte siempre actualizado