El documento describe varios aspectos clave de la seguridad física de sistemas informáticos. Explica la importancia de proteger los servidores y equipos de acceso no autorizado a través de medidas como perímetros de seguridad, controles de entrada y asignación de oficinas y recursos. También destaca la necesidad de proteger los equipos contra amenazas externas como incendios e inundaciones, y de mantenerlos de manera adecuada.
2. Dentro de la Seguridad Informática, la Seguridad física hace referencia a las
barreras físicas y mecanismos de control en el entorno de un sistema
informático, para proteger el hardware de amenazas físicas. La seguridad
física contrasta con la seguridad lógica.
• HALLAZGO IDENTIFICADO
Los servidores no están protegidos, ante personas ajenas a ala compañía, (
Cualquier persona puede tener acceso).
La empresa no tiene contemplada una salida de emergencia, ante temblores
o algún otro desastre natural.
• OBJETIVO:
Evitar el acceso no autorizado, daños o interferencias con la información y
los locales d la organización. Los medios de procesamiento de información
crítica o confidencial debieran ubicarse en áreas seguras, protegidas por los
perímetros de seguridad definidos, con las barreras de seguridad y controles
de entrada apropiados. Debieran estar físicamente protegidos del acceso no
autorizado, daño e interferencia.
3. 5.1 AREAS SEGURAS
5.1.1 Perímetro de seguridad física
CONTROL
Los perímetros de seguridad (como paredes, tarjetas de control de entradas a puertas o un puesto de manual de
recepción) deberían utilizarse para proteger las áreas que contengan información y recursos para su
procesamiento.
SOLUCIONES:
ASIS Internacional : Guía en inglés sobre medidas de seguridad física- ASIS Facilities Physical Security.
SISTESEG : Ejemplo de política de seguridad física en español de SISTESEG.
5.1.2 Controles físicos de entrada
CONTROL
Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que garanticen el acceso
únicamente al personal autorizado.
SOLUCIONES:
APC: Documento técnico de inglés de APC sobre control de acceso físico a infraestructuras críticas-Acceso Físico
INTECO: Guía de INTECO y Anova sobre el uso de videovigilancia en distintos entornos, la legislación aplicable y
sus implicaciones en materia de protección de datos personales
4. 5.1.3. Seguridad de oficinas, despachos y recursos
CONTROL:
Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.
SOLUCIONES:
• CNI : Seguridad física de instalaciones de almacenamiento de información clasificada en la
administración pública española. Publicada por la Autoridad Delegada para la Seguridad de la
Información Clasificada de España
• Oficina Nacional de Seguridad
OR-ASIP-01-01.02: Orientaciones para el plan de protección de una zona de acceso restringido.
Oficina Nacional de Seguridad de España.
• Oficina Nacional de Seguridad
OR-ASIP-01-02.02: Orientaciones para la constitución de zonas de acceso restringido. Oficina
Nacional de Seguridad de España
5.1.4. Protección contra amenazas externas y del entorno
CONTROL:
• Se debería designar y aplicar medidas de protección física contra incendio, inundación,
terremoto, explosión, malestar civil y otras formas de desastre natural o humano.
5. • APC
Documento técnico en inglés de APC sobre protección contra incendios en infraestructuras críticas
APC: Extinción de incendios
• APC
Diversos documentos técnicos de APC en inglés y español sobre refrigeración de CPDs APC:
Refrigeración
• Uptime Institute
The Uptime Institute es una organización que publica estándares y mantiene un esquema de
certificación para la mejora del grado de disponibilidad de centros de proceso de datos, basado en 4
niveles (Tier I, Tier II, Tier III y Tier IV). Uptime Institute Publications
5.1.5 El trabajo en áreas seguras
CONTROL:
Se debería diseñar y aplicar protección física y pautas para trabajar en las áreas seguras.
5.1.6. Áreas aisladas de carga y descarga
CONTROL:
Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no autorizados y, si
es posible, aislarlas de los recursos para el tratamiento de la información
6. • 5.2 SEGURIDAD DE LOS EQUIPOS
Objetivo:
Evitar la pérdida , daño, robo o puesta en peligro de los activos y interrupción de las actividades de
la organización.
Principios:
Deberían protegerse los equipos contra las amenazas físicas y ambientales. La protección del equipo
es necesaria para reducir el riesgo de acceso no autorizado a la información y su protección contra
pérdida o robo.
Así mismo, se debería considerar la ubicación y eliminación de los equipos
Número de chequeos (a persona a la salida y a existencias en stock) realizados en el último mes y
porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes
informáticos u otras cuestiones de seguridad.
5.2.1 Instalación y protección de equipos
CONTROL:
El equipo debería situarse y protegerse para reducir el riesgo de materialización de las amenazas del
entorno, así como las oportunidades de acceso no autorizado.
7. SOLUCIONES:
• APC: Documentos técnicos de APC en inglés y español sobre arquitectura de CPDs
• APC: Documentos técnicos de APC en inglés sobre monitorización y control de CPDs
• Uptime Institute: The Uptime Institute es una organización que publica estándares y mantiene un
esquema de certificación para la mejora del grado de disponibilidad de centros de proceso de
datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV).
• TIA: Estándar de la Telecommunications Industry Association en inglés que establece requisitos
para las infraestructuras de comunicaciones en centros de proceso de datos.
• NFPA: NFPA 75 es el estándar de la National Fire Protection Association para la protección de
equipos TI: construcción de edificios, protección anti-incendios, sistemas de extinción, sistemas
eléctricos, refrigeración, etc. Versiones en inglés y en español.
• NFPA: NFPA 76 es el estándar de la National Fire Protection Association para la protección contra
incendios de instalaciones de telecomunicaciones. Versiones en inglés y en español.
• NFPA: Larga lista de estándares relacionados con la seguridad contra el fuego de la National Fire
Protection Association. Versiones en inglés y en español.
• ANIXTER: Guía en inglés de la empresa Anixter sobre infraestructuras de centros de proceso de
datos.
8. 5.2.2. Suministro eléctrico
CONTROL:
Se deberían proteger los equipos contra fallos en el suministro de energía u otras anomalías
eléctricas en los equipos de apoyo.
SOLUCIONES:
• APC: Documento técnico de APC con explicaciones sobre tipos de SAI (sistemas de alimentación
ininterrumpida)
• APC: Documentos técnicos de APC sobre alimentación eléctrica, SAIs, eficiencia, distintos tipos de
cálculos, etc.
• T2APP: Documento técnico de T2APP sobre problemas de suministro eléctrico, soluciones,
cálculo de la carga, tipos de SAI (sistemas de alimentación ininterrumpida), mantenimiento de un
SAI, etc.
5.2.3. Seguridad del cableado
CONTROL:
• TIA: Estándar de la Telecommunications Industry Association
• ANIXTER: Guía técnica en inglés de la empresa Anixter que resume el contenido de diferentes
estándares de cableado de redes.
9. • ANIXTER: Guía técnica en inglés de la empresa Anixter de instalación de cableado de redes.
• ANIXTER: Guía técnica en inglés de la empresa Anixter de cableado de redes en plantas
industriales.
5.2.4. Mantenimiento de equipos
CONTROL:
Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e
integridad.
SOLUCIONES:
• APC: Documento técnico de APC en español sobre mantenimiento preventivo de CPDs
• Ccleaner: Herramienta para la limpieza de Windows. Protección en privacidad online and aporta
rapidez y seguridad en los ordenadores.
• System Ninja: Herramienta para la limpieza de Windows eliminado todo tipo de archivos
temporales como cachés de juegos, historiales, cookies, dumps de memoria, archivos abiertos
recientemente. Dispone de funcionalidades extras como un administrador de procesos, un lector
de hashes, información detallada sobre el hardware y un gestor de programas de inicio, útil para
eliminar programas innecesarios que se cargan con Windows consumiendo recursos.
10. 5.2.5 Seguridad de equipos fuera de los locales de la Organización
CONTROL:
Se debería aplicar seguridad a los equipos que se encuentran fuera de los locales de la organización
considerando los diversos riesgos a los que están expuestos.
SOLUCIONES:
• INTECO: Guía de Inteco para proteger y usar de forma segura el teléfono móvil.
• Wikipedia: Consideraciones sobre Kensington lock para equipos portátiles.
• OSI: Consejos de seguridad para portátiles de la Oficina de Seguridad del Internauta.
• Symantec: Consejos de Symantec para la protección contra el robo de portátiles.
5.2.6. Seguridad en la reutilización o eliminación de equipos
CONTROL:
Debería revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con
el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o
sobrescrito con seguridad antes de la eliminación.
SOLUCIONES:
• DARIK'S BOOT AND NUKE Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita- auto
arrancable que permite hacer un borrado seguro del disco duro completo de un equipo
(operación que no sería posible si se inicia el equipo con el sistema operativo instalado en ese
mismo disco).
11. • Heidi-Eraser : Herramienta open source de borrado seguro.
• Hardwipe: Herramienta gratuita de borrado seguro.
• INTECO: Guía sobre almacenamiento y borrado seguro de información: aborda cuestiones como
por qué se debe controlar la información en la empresa, cómo se almacena dicha información en
los dispositivos de almacenamiento más comunes, en qué consiste la recuperación en caso de
pérdida y qué debe hacerse si se quiere eliminar de modo permanente la información.
• NATIONAL SECURITY AGENCY: Los productos de estas listas reúnen los requisitos específicos de la
NSA para la desinfección, destrucción o eliminación de dispositivos que contengan información
sensible o clasificada.
• NIST: La guía número 88 de la serie NIST SP800 ayuda a las organizaciones en la implementación
de un programa de sanitización de medios con las técnicas adecuadas y aplicables y los controles
para la desinfección y eliminación teniendo en cuenta la clasificación de seguridad de la
confidencialidad del sistema asociado.
5.2.7. Traslado de activos
CONTROL:
No deberían sacarse equipos, información o software fuera del local sin una autorización.