Ochrona infrastruktury IT ma przeciwdziałać zagrożeniom wynikającym z nieupoważnionego dostępu do informacji, jak również tym związanym z czynnikami środowiskowymi, które mogłyby negatywnie wpłynąć na działanie urządzeń.

W ramach polityki bezpieczeństwa dotyczącej infrastruktury IT należy uwzględnić nie tylko urządzenia znajdujące się w obiekcie. Powinna ona obejmować również te elementy infrastruktury fizycznej, których zakłócenie działania mogłoby spowodować przestój. Są to na przykład elementy systemów zasilania, które mogłyby być przypadkowo lub umyślnie wyłączone.

Kontrola dostępu

Zapewnienie ochrony fizycznej urządzeniom IT powinno się rozpoczynać od wydzielenia obszarów bezpiecznych. Zastosowanie takich samych zabezpieczeń dla całego obiektu nie jest ekonomicznie uzasadnione, a często nawet niepożądane. W ramach każdego obszaru, który ma być chroniony, trzeba przeprowadzić analizę wymaganego poziomu zabezpieczeń. Elementami zabezpieczającymi poszczególne obszary fizyczne są: ogrodzenia, bramy, ściany, drzwi, zamki, systemy monitoringu, pracownicy ochrony i specjalistyczne systemy dostępowe.

Bezpieczeństwo chronionych pomieszczeń można zapewnić przez zastosowanie kart magnetycznych lub rozwiązań biometrycznych (czytniki linii papilarnych, skanery tęczówki oka).

W pomieszczeniach wewnętrzną warstwę ochronną stanowią najczęściej szafy, gdzie podstawowym zabezpieczeniem są zamki, które mogą być zdalnie sterowane w celu zapewnienia dostępu jedynie upoważnionym osobom.

W bardziej zaawansowanych rozwiązaniach kontrolę dostępu do pomieszczeń integruje się z kontrolą dostępu do zasobów informatycznych. Tworzy się wtedy zintegrowany system zarządzania cyfrową tożsamością użytkowników z platformą zabezpieczeń i kontroli dostępu do zasobów fizycznych. Taka integracja pozwala na sprawdzanie uprawnień użytkowników do korzystania z zasobów IT, a także kontrolowanie ich uprawnień dostępu do zasobów fizycznych, takich jak wejścia do budynków czy poszczególnych pomieszczeń.

Tego typu rozwiązania umożliwiają automatyczne przydzielanie i kontrolowanie prawa dostępu w ramach wielu rozproszonych aplikacji i systemów informatycznych, a ponadto zapewniają całościowy ogląd i monitoring zdarzeń w przedsiębiorstwie, związanych z uzyskiwaniem dostępu do zasobów informacyjnych i fizycznych, zwiększając w ten sposób poziom zabezpieczeń i zapewniając zgodność z obowiązującymi przepisami. Rozwiązania takie umożliwiają spełnienie zaostrzonych wymagań dotyczących szeroko pojętych zabezpieczeń, np. w instytucjach finansowych czy placówkach służby zdrowia, ułatwiając jednocześnie przeprowadzanie audytu bezpieczeństwa takich systemów.