El documento describe los objetivos y factores que afectan la seguridad física en centros de cómputo. Los objetivos principales son asegurar la supervivencia de los equipos ante eventos que pongan en peligro su existencia, proteger los activos de la organización de riesgos y desastres, y controlar el acceso no autorizado. Entre los factores descritos se encuentran incendios, sismos, inundaciones, humedad, robos, actos vandálicos, fraude y sabotaje. Adicionalmente, se discuten consideraciones sobre
3. PROPÓSITOS Y OBJETIVOS DE UN SISTEMA DE SEGURIDAD FÍSICA
● Asegurar la capacidad de supervivencia de los equipos
informáticos de una organización ante eventos que pongan
en peligro su existencia.
● Proteger y conservar los activos de la organización, de
riesgos, de desastres naturales o actos mal intencionados.
● Reducir la probabilidad de las pérdidas, a un mínimo nivel
aceptable, a un costo razonable y asegurar la adecuada
recuperación.
● Asegurar que existan controles adecuados para las
condiciones ambientales que reduzcan el riesgo por fallas o
mal funcionamiento del equipo, del software, de los datos y
de los medios de almacenamiento.
● Controlar el acceso, de agentes de riesgo, a la organización
para minimizar la vulnerabilidad potencial.
4. FACTORES QUE AFECTAN LA SEGURIDAD
FÍSICA
Los riesgos ambientales a los que está
expuesta la organización son tan diversos
como diferentes sean las personas, las
situaciones y los entornos. El tipo de medidas
de seguridad que se pueden tomar contra
factores ambientales dependerá de las
modalidades de tecnología considerada y de
dónde serán utilizadas. Las medidas de
seguridad más apropiadas para la tecnología
que ha sido diseñada para viajar o para ser
utilizada en el terreno serán muy diferentes a
la de aquella que es estática y se utiliza en
ambientes de oficina.
5. Factores ambientales
Incendios
Los incendios son
causados por el uso
inadecuado de
combustibles, fallas de
instalaciones
inalámbricas defectuosas
y el inadecuado
almacenamiento y
traslado de sustancias
peligrosas.
Sismos
Estos fenómenos sísmicos
pueden ser tan poco intensos
que solamente instrumentos
muy sensibles los detectan,
o tan intensos que causan la
destrucción de edificios y
hasta la pérdida de vidas
humanas.
Inundaciones
Es la invasión de agua por
exceso de escurrimientos
superficiales o por acumulación
en terrenos planos, ocasionada
por falta de drenaje ya sea
natural o artificial. Esta es una de
las causas de mayores
desastres en centros de
cómputo.
6. Factores ambientales
Humedad.
Se debe proveer de un
sistema de calefacción,
ventilación y aire
acondicionado separado,
que se dedique al cuarto
de computadoras y al
área de máquinas en
forma exclusiva.
7. Factores Humanos
Robos
Las computadoras son posesiones
valiosas de las empresas, y están
expuestas, de la misma forma que
están expuestas las piezas de stock e
incluso el dinero. Muchas empresas
invierten millones de dólares en
programas y archivos de información,
a los que dan menor protección de la
que dan a una máquina de escribir o a
una calculadora, y en general a un
activo físico.
Actos vandálicos contra
el sistema de red
Muchos de estos actos van
relacionados con el sabotaje.
Actos vandálicos
En las empresas existen
empleados descontentos que
pueden tomar represalias contra
los equipos y las instalaciones.
8. Factores Humanos
Fraude
Cada año millones de dólares son
sustraídos de empresas y, en muchas
ocasiones las computadoras han sido
utilizadas para dichos fines..
Terrorismo
Hace unos años, este hubiera
sido un caso remoto, pero con la
situación bélica que enfrenta el
mundo las empresas deben de
incrementar sus medidas de
seguridad, por qué las empresas
de mayor nombre en el mundo
son un blanco muy llamativo para
los terroristas.
Sabotaje
Es el peligro más temido en los
centros de cómputo. Empresas
que han intentado implementar
sistemas de seguridad de alto
nivel, han encontrado que la
protección contra el saboteador
es uno de los retos más duros, el
saboteador puede ser un
empleado o un sujeto ajeno a la
empresa.
10. CONSIDERACIONES SOBRE
SEGURIDAD
La seguridad en cómputo de cualquier otro tipo cuesta
tiempo, dinero y, sobre todo, esfuerzo. Es posible obtener en
general ciertos niveles mínimos de seguridad sin hacer un
gasto considerable. Pero, el logro de protección adicional
requiere niveles de gastos más altos y, con frecuencia,
retribuciones menores. La economía siempre resulta
necesaria y es importante asegurarse de que existe una
relación costo/beneficio razonable con respecto a las
medidas de seguridad. Para ello es necesario establecer
prioridades, entre estas tenemos:
11. Es muy importante determinar el valor del
hardware y las tareas que realiza (qué tan
importante es para la organización en que se
está trabajando). Esta valoración debe hacerse
de forma individual, pues lo que es valioso para
algunos no lo es para otros.
Para no incurrir en gastos innecesarios, es importante
determinar cuáles son los riesgos reales a los que está
expuesto el equipo de cómputo. La seguridad efectiva
debe garantizar la prevención y detección de accidentes,
ataques, daños por causas naturales o humanos, así
como la existencia de medidas definidas para afrontar los
desastres y lograr el restablecimiento de las actividades.
¿Qué se quiere proteger? ¿Contra qué se quiere proteger?
12. ¿Cuánto tiempo, dinero y
esfuerzo se está dispuesto
a invertir?
01
02
03
Para tener un nivel de seguridad alto es
necesario que alguien dedique tiempo a
configurar los parámetros de seguridad del
sistema, el ambiente de trabajo de los
usuarios, revisar y fijar los permisos de
acceso a los archivos, ejecutar programas
de monitoreo de seguridad, revisar las
bitácoras del sistema, etc.
Establecer y mantener un nivel
adecuado de seguridad puede
significar un esfuerzo considerable
por parte del encargado, sobre todo si
ocurren problemas de seguridad.
El tener a alguien que se encargue de la seguridad en
forma responsable cuesta dinero. De igual forma
cuesta dinero adquirir los productos de seguridad que
se vayan a utilizar, ya sean programas o equipos. Es
importante también analizar los costos que tendría la
pérdida o acceso no autorizado a la información.
Dependiendo de esto, y en el caso de que alguien
tenga acceso no autorizado, el efecto pueden ser
pérdidas monetarias.
Tiempo. Dinero
Esfuerzo.
Se refiere a la cantidad de recursos que dispone o que está dispuesta
a invertir la organización, lo que determinará en última instancia las
medidas que se van a tomar.
Estos recursos son:
13. 3. CLASIFICACIÓN
GENERAL DE LAS
INSTALACIONE
El primer paso consiste en
establecer en términos
generales si se trata de una
instalación de riesgo alto,
medio o bajo.
14. Datos o programas que
contienen información
confidencial de interés nacional o
que poseen un valor competitivo
alto en el mercado.
Pérdida financiera potencial
considerable para la comunidad
a causa de un desastre o de un
gran impacto sobre los miembros
del público.
Pérdida potencial considerable
para la institución y, en
consecuencia, una amenaza
potencial alta para su
subsistema.
1st 2nd 3rd
Instalaciones de alto riesgo:
Las instalaciones de alto riesgo tienen las siguientes características:
1 2 3
Todas las instalaciones de riesgo
alto presentan una o más de esas
características. Por ello, resultará
generalmente fácil identificarlas.
15. Instalación de riesgo medio
Son aquellas con aplicaciones
cuya interrupción prolongada
causa grandes inconvenientes y
posiblemente el incremento de
los costos; sin embargo, se
obtiene poca pérdida material.
16. Instalación de bajo riesgo
Son aquellas con aplicaciones
cuyo procesamiento tiene poco
impacto material en la
institución en términos de costo
o de reposición del servicio
interrumpido.
18. CONTROL DE ACCESO FÍSICO
El principal elemento de control de acceso físico involucra la
identificación positiva del personal que entra o sale del área bajo
un estricto control. Si una persona no autorizada no tiene acceso,
el riesgo se reduce. Los controles de acceso físico varían según
las distintas horas del día. Es importante asegurar que durante la
noche sean tan estrictos como durante el día. Los controles
durante los descansos y cambios de turno son de especial
importancia.
19. CONTROL DE ACCESO FÍSICO
En las áreas de alta seguridad donde se necesita considerar también la
posibilidad de ataque físico se debe identificar y admitir tanto a los
empleados como a los visitantes de uno en uno. También se pueden utilizar
dispositivos magnéticos automáticos y otros recursos en el área de
recepción. Si es necesario usar vidrio en la construcción de esta área, debe
ser de tipo reforzado.
Dentro de las terceras personas se incluye a los de mantenimiento del aire
acondicionado y de computación, los visitantes y el personal de limpieza.
Éstos y cualquier otro personal ajeno a la instalación deben ser: Identificados
plenamente y controlados y vigilados en sus actividades durante el acceso. El
personal de mantenimiento y cualquier otra persona ajena a la instalación se
debe identificar antes de entrar a ésta. El riesgo que proviene de este
personal es tan grande como de cualquier otro visitante.
4.1 Estructura y disposición del área de
recepción 4.2 Acceso de terceras personaS
20. Identificación del personal
Algunos parámetros asociados típicamente a la
identificación del personal son:
Implica el conocimiento de algún
dato específico, como el número
de empleado, algún número
confidencial, contraseña o
combinación, etc.
a)Algo que se sabe: a) Algunas características
físicas especiales
La identificación se realiza en base a
una característica física única. Estas
características se dividen en dos
categorías:
Neuromuscular: tales como firma o
escritura.
Genética: tales como la geometría del
cuerpo (mano, iris, retina, etc), huellas
digitales, reconocimiento de patrones
de voz, apariencia facial, impresión de
las huellas de los labios, etc.
Consiste en la identificación mediante
algún objeto que porta tal como, tarjetas
magnéticas, llaves o bolsas. Por ejemplo,
las tarjetas pueden incluir un código
magnético, estar codificadas de acuerdo
al color (rojo para los programadores,
azul para los analistas, etc), e inclusive
llevar la foto del propietario. Un problema
con esta técnica, sin embargo, es la
posibilidad de que el objeto que se porta
sea reproducido por individuos no
autorizados. Es por esta razón que esta
técnica se utiliza en conjunción con otros
identificadores para proporcionar una
identificación positiva.
a) Algo que se porta:
21. Asimismo pueden utilizarse los siguientes elementos:
1. Guardias y
escoltas especiales.
Éstos pueden estar
ubicados en lugares
estratégicos donde
exista más
vulnerabilidad. Es
recomendable que
todos los visitantes que
tengan permisos para
recorrer el centro de
cómputo sean
acompañados por una
persona designada
como escolta.
2. Registro de firma
de entrada y salida.
Consiste en que todas
las personas que
entren en el centro de
cómputo firmen un
registro que indique
Fecha, Nombre,
Procedencia, Depto
que visita, Persona
que busca, Asunto,
Hora de entrada, Hora
de salída, Firma.
3. Puertas con
chapas de control
electrónico.
Estos dispositivos
pueden funcionar al
teclearse un código para
abrirla, disponer de una
tarjeta con código
magnético, o tener
implementado algún
dispositivo para el
reconocimiento de alguna
característica física
especial tal como la
huella digital, la
geometría de la mano,
etc.
4. Tarjetas de acceso
y gafetes de
identificación.
Puede tratarse de simples
gafetes que identifiquen a la
persona, hasta tarjetas con
código magnético que permiten
abrir la puerta. Asimismo, los
dispositivos de lectura de las
tarjetas pueden ser conectados
a una computadora que
contenga información sobre la
identidad del propietario. La
autorización puede manejarse
individualmente para cada
puerta, y controlar aspectos
como la hora y el día de las
funciones. De esta forma, la
actividad puede monitorearse, y
cualquier intento de entrar que
no sea autorizado será
detectado de inmediato.
22. Asimismo pueden utilizarse los siguientes elementos:
5. Entradas de
dobles puertas.
De esta forma, la
entrada a través de la
primera puerta deja
una área donde la
persona queda
atrapada y fuera del
acceso a las
computadoras. Una
segunda puerta debe
ser abierta para entrar
al centro de cómputo.
6. Equipos de
monitoreo
La utilización de dispositivos
de circuito cerrado de
televisión, tales como
monitores, cámaras y
sistemas de
intercomunicación
conectados a un panel de
control manejado por
guardias de seguridad.
Estos dispositivos permite
controlar áreas grandes,
concentrando la vigilancia
en los puntos de entrada y
salida principalmente.
7. Alarmas
contra robos
Todas las áreas deben estar
protegidas contra la
introducción física. Las alarmas
contra robos, las armaduras y
el blindaje se deben usar hasta
donde sea posible, en forma
discreta, de manera que no se
atraiga la atención sobre el
hecho de que existe un
dispositivo de alta seguridad.
Tales medidas deben aplicarse
no sólo al área de cómputo,
sino también a las áreas
adyacentes. La construcción de
puertas y ventanas deben
recibir especial atención para
garantizar su seguridad.
8. Trituradores
de papel
Los documentos con
información confidencial
nunca deben ser
desechados en botes de
basura convencionales. En
muchos casos los espías
pueden robar la información
buscando en estos lugares.
Es por ello que dichos
documentos deben ser
desmenuzados o triturados
antes de desecharlos.
Existen dispositivos que
desintegran el papel
convirtiéndolo en pedacitos
o confeti, los cuales no
pueden ser reconstruidos.
24. 5.1. AIRE ACONDICIONADO
Riesgos
– Mal funcionamiento del AC ocasiona que
el equipo de cómputo sea apagado, el aire
acondicionado es indispensable en el lugar
donde la computadora trabaja; las
fluctuaciones o los desperfectos de
consideración pueden ocasionar que la
computadora tenga que ser apagada.
– Las instalaciones del AC son una fuente
de incendios muy frecuente, y también son
muy susceptibles al ataque físico,
especialmente a través de los ductos.
Prevenciones
– Instalar AC de
respaldo
– Extintores y
detectores de humo
- Alarmas de
temperatura y
humedad
Capacidad del
equipo de AC
– Disipación térmica de las máquinas
y del personal
– Pérdidas por puertas y ventanas
– El AC debe ser independiente del
aire general
– Conectarse directamente al
generador de electricidad
Distribución del aire
en la sala
– Distribución por techo
– Distribución por piso falso
– Distribución por dos canales
25. 5.2. INSTALACIÓN ELÉCTRICA
1. Sistema de corriente regulada
– Regula la corriente eléctrica y proporciona energía eléctrica continua.
Un supresor de picos o transitorios, o por sus
siglas en inglés SPD (Surge Protection Device)
recorta el valor pico de la onda de voltaje, lo
desvía al sistema de tierras y mantiene la
instalación libre de sobrecargas evitando que
éstos lleguen a nuestros equipos para dañarlos
Supresor de picos
26. 5.2. INSTALACIÓN ELÉCTRICA
1. Sistema de corriente regulada
– Regula la corriente eléctrica y proporciona energía eléctrica continua.
Un estabilizador, también conocido como
regulador de voltaje, es un dispositivo diseñado
para mantener un flujo de corriente estable para
proteger a los aparatos eléctricos conectados a
él contra problemas como sobrevoltaje, caída de
tensión y variaciones de voltaje.
Estabilizador
27. 5.2. INSTALACIÓN ELÉCTRICA
1. Sistema de corriente regulada
– Regula la corriente eléctrica y proporciona energía eléctrica continua.
El SAI (Sistema de Alimentación Ininterrumpida),
también conocido por sus siglas en inglés, UPS
(Uninterrupted Power Supply), es un dispositivo
que permite mantener la alimentación eléctrica
mediante baterías cuando falla el suministro o se
produce una anomalía eléctrica (por ejemplo,
una sobretensión).
UPS / SAI
ups linea
interactiva
ups standby
UPS ON-LINE
TIPOS
28.
29. 2. Sistema de conexión de tierra
La puesta a tierra, conexión a tierra1 o toma de tierra
es la conexión de las superficies conductoras
expuestas (gabinetes metálicos) a algún punto no
energizado; comúnmente es la tierra sobre la que se
posa la construcción, de allí el nombre. Al sistema de
uno o varios electrodos que proveen la conexión a
tierra se le llama «toma de tierra». Las puestas a tierra
se emplean en las instalaciones eléctricas como una
medida de seguridad. Dependiendo del sistema, el
fallo puede provocar que se desconecte el suministro
por un interruptor termomagnético, un interruptor
diferencial o un dispositivo monitor del aislamiento.
30.
31. 5.2. PROTECCIÓN, DETECCIÓN Y EXTINCIÓN DE INCENDIOS
§ Consideraciones sobresalientes
§ Paredes de material incombustible
§ Techo resistente al fuego
§ Canales y aislantes resistentes al fuego
§ Sala y áreas de almacenamiento impermeables
§ Sistema de drenaje en el piso firme
§ Detectores de fuego alejados del AC
§ Alarmas de incencios conectado al general