Clase XII - 22082019 - Seguridad física
Seguridad física
Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos --generalmente de prevención y detección-- destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.
Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.
A continuación mencionaremos algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto.
A continuación mencionaremos algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto.
El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización.
Problemas a los que nos enfrentamos:
Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto de medidas de seguridad implantadas se convierten en inútiles.
De hecho, muchos ataques son entonces triviales, como por ejemplo los de denegación de servicio; si apagamos una máquina que proporciona un servicio es evidente que nadie podrá utilizarlo.
Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos podemos copiar los ficheros o robar directamente los discos que los contienen.
Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios.
Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante, generalmente si se controla el PC de un usuario autorizado de la red es mucho más sencillo atacar otros equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes).
Para la prevención hay soluciones para todos los gustos y de todos los precios:
En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre con llave los despachos o salas donde hay equipos informáticos y no tener cableadas las tomas de red que estén accesibles.
Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.
Problemas a los que nos enfrentamos:
- Acceso físico
- Desastres naturales
- Alteraciones del entorno
Acceso físico
De hecho, muchos ataques son entonces triviales, como por ejemplo los de denegación de servicio; si apagamos una máquina que proporciona un servicio es evidente que nadie podrá utilizarlo.
Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos podemos copiar los ficheros o robar directamente los discos que los contienen.
Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios.
Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante, generalmente si se controla el PC de un usuario autorizado de la red es mucho más sencillo atacar otros equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes).
Para la prevención hay soluciones para todos los gustos y de todos los precios:
- analizadores de retina,
- tarjetas inteligentes,
- videocámaras,
- vigilantes jurados,
- ...
Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.
Además de los posibles problemas causados por ataques realizados por personas, es importante tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta:
Los terremotos son el desastre natural menos probable en la mayoría de organismos ubicados en España, por lo que no se harán grandes inversiones en prevenirlos, aunque hay varias cosas que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas causados por pequeñas vibraciones:
Otro desastre natural importante son las tormentas con aparato eléctrico, especialmente frecuentes en verano, que generan subidas súbitas de tensión muy superiores a las que pueda generar un problema en la red eléctrica. A parte de la protección mediante el uso de pararrayos, la única solución a este tipo de problemas es desconectar los equipos antes de una tormenta (qué por fortuna suelen ser fácilmente predecibles).
En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco interesa tener un nivel de humedad demasiadoa elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos.
Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers ...) que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema de detección de agua, sino cuando se intente parar ya estará mojado.
Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos (aunque actualmente son más o menos inocuos), nos evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.
Algunos desastres naturales a tener en cuenta:
- Terremotos y vibraciones
- Tormentas eléctricas
- Inundaciones y humedad
- Incendios y humos
- No situar equipos en sitios altos para evitar caídas,
- No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos,
- Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos lanzados desde el exterior los dañen,
- Utilizar fijaciones para elementos críticos,
- Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones,
En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco interesa tener un nivel de humedad demasiadoa elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos.
Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers ...) que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema de detección de agua, sino cuando se intente parar ya estará mojado.
Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos (aunque actualmente son más o menos inocuos), nos evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar.
Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
Áreas seguras
Las áreas seguras deben ser los lugares donde se encuentre localizada la información crítica para la organización, éstas estarán protegidas por un perímetro de seguridad y por los controles de acceso pertinentes.
Estos controles de acceso apoyan la labor de ISO-27001 y serán proporcionales con el nivel crítico de la información que protegen o con los riesgos identificados para los activos.
En estas áreas habrá una serie de entradas que deberán ser registradas con fecha y hora a la que se produzcan. Solo tendrán acceso a la información para la que tienen autorización, y si fuera necesario irían acompañados por algún responsable durante su visita, llevando una identificación visible.En cuanto al perímetro de seguridad, debe impedir el acceso al personal no autorizado, implantando una serie de controles físicos que eviten el acceso en las zonas de entrada. Un ejemplo de este tipo de controles podría ser un sistema de vigilancia 24 horas, alarmas, barreras arquitectónicas…
Para mayor seguridad, los derechos de acceso a estas áreas se deben revisar y actualizar con determinada periodicidad, han de existir unas normas de trabajo en las mismas de obligado cumplimiento para todo aquel que acceda.
Los recursos de la información más críticos deben estar localizados en zonas que no sean de paso general y sin ningún tipo de indicación externa sobre la información que contiene o que se maneja.
Otros elementos que hace que un área sea segura para salvaguardar la información, son los controles contra inundaciones, fuego, malestar social… Para prevenir la pérdida de información si alguna de estas desgracias ocurriese, se debería contar con copias de seguridad que estén localizadas en una zona distinta a la que están las copias originales.
Cualquier área de carga y descarga de material u otro tipo de punto de acceso público debería estar asilado y distante del lugar donde se encuentran y se manejan recursos con información crítica, así como cualquier material que entre a la organización deberá ser registrado y revisado para protegerla de cualquier amenaza.
Una PYME está preparada para implantar ISO27001, y en ella, el perímetro de seguridad puede estar delimitado por la ubicación de los activos más importantes, y como medidas de restricción al acceso de la información se pueden proponer asegurar puertas y ventanas, informar a todo el mundo de sus funciones, implantar barreras físicas a la entrada, identificar a toda persona que entre a la organización…
En resumen, para evitar accesos no autorizados o daños a la información que una organización maneja es necesario:
Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
Quizás los problemas derivados del entorno de trabajo más frecuentes son los relacionados con el sistema eléctrico que alimenta nuestros equipos; cortocircuitos, picos de tensión, cortes de flujo ...
Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o filtros reguladores de tensión.
Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas de tensión. Estos equipos disponen de baterias que permiten mantener varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada (generalmente disponen de algún mecanísmo para comunicarse con los servidores y avisarlos de que ha caido la línea o de que se ha restaurado después de una caida).
Por último indicar que además de los problemas del sistema eléctrico también debemos preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se pueden emplear esprais antiestáticos o ionizadores y tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté excesivamente seco, etc.
Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o filtros reguladores de tensión.
Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas de tensión. Estos equipos disponen de baterias que permiten mantener varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada (generalmente disponen de algún mecanísmo para comunicarse con los servidores y avisarlos de que ha caido la línea o de que se ha restaurado después de una caida).
Por último indicar que además de los problemas del sistema eléctrico también debemos preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se pueden emplear esprais antiestáticos o ionizadores y tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté excesivamente seco, etc.
El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a través del espacio o de líneas eléctricas cercanas a nuestra instalación.
Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos o apantallar las cajas de los equipos.
Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos o apantallar las cajas de los equipos.
No hace falta ser un genio para comprender que las temperaturas extremas, ya sea un calor excesivo o un frio intenso, perjudican gravemente a todos los equipos. En general es recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar la temperatura emplearemos aparatos de aire acondicionado.
ISO 27001 mantiene la seguridad de la información de una organización protegida de accesos inadecuados y otras amenazas a las que se pueda enfrentar.
Ocurre que la primera barrera que una persona se encuentra para acceder a los sistemas de información de una organización es el acceso físico. Si el acceso a una instalación está correctamente protegido también lo estará el acceso a los sistemas de información, por eso es necesario considerar cómo gestionar las áreas seguras.
ISO 27001 Gestión de la seguridad física y del entorno
ISO 27001 mantiene la seguridad de la información de una organización protegida de accesos inadecuados y otras amenazas a las que se pueda enfrentar.
Ocurre que la primera barrera que una persona se encuentra para acceder a los sistemas de información de una organización es el acceso físico. Si el acceso a una instalación está correctamente protegido también lo estará el acceso a los sistemas de información, por eso es necesario considerar cómo gestionar las áreas seguras.
Áreas seguras
Las áreas seguras deben ser los lugares donde se encuentre localizada la información crítica para la organización, éstas estarán protegidas por un perímetro de seguridad y por los controles de acceso pertinentes.
Estos controles de acceso apoyan la labor de ISO-27001 y serán proporcionales con el nivel crítico de la información que protegen o con los riesgos identificados para los activos.
En estas áreas habrá una serie de entradas que deberán ser registradas con fecha y hora a la que se produzcan. Solo tendrán acceso a la información para la que tienen autorización, y si fuera necesario irían acompañados por algún responsable durante su visita, llevando una identificación visible.En cuanto al perímetro de seguridad, debe impedir el acceso al personal no autorizado, implantando una serie de controles físicos que eviten el acceso en las zonas de entrada. Un ejemplo de este tipo de controles podría ser un sistema de vigilancia 24 horas, alarmas, barreras arquitectónicas…
Para mayor seguridad, los derechos de acceso a estas áreas se deben revisar y actualizar con determinada periodicidad, han de existir unas normas de trabajo en las mismas de obligado cumplimiento para todo aquel que acceda.
Los recursos de la información más críticos deben estar localizados en zonas que no sean de paso general y sin ningún tipo de indicación externa sobre la información que contiene o que se maneja.
Otros elementos que hace que un área sea segura para salvaguardar la información, son los controles contra inundaciones, fuego, malestar social… Para prevenir la pérdida de información si alguna de estas desgracias ocurriese, se debería contar con copias de seguridad que estén localizadas en una zona distinta a la que están las copias originales.
Cualquier área de carga y descarga de material u otro tipo de punto de acceso público debería estar asilado y distante del lugar donde se encuentran y se manejan recursos con información crítica, así como cualquier material que entre a la organización deberá ser registrado y revisado para protegerla de cualquier amenaza.
Una PYME está preparada para implantar ISO27001, y en ella, el perímetro de seguridad puede estar delimitado por la ubicación de los activos más importantes, y como medidas de restricción al acceso de la información se pueden proponer asegurar puertas y ventanas, informar a todo el mundo de sus funciones, implantar barreras físicas a la entrada, identificar a toda persona que entre a la organización…
En resumen, para evitar accesos no autorizados o daños a la información que una organización maneja es necesario:
- Asegurar que el acceso a las áreas seguras solo está disponible a personas autorizadas.
- Definir un perímetro de seguridad, instalar controles de acceso a una instalación e implantar medidas contra inundaciones e incendios.
- Controlar y registrar cada una de las visitas.
- En oficinas y despachos, la información crítica estará alejada de zonas de acceso público, fotocopiadoras y faxes estarán apartadas del área de seguridad y se instalarán alarmas para detectar intrusos.
- El trabajo en las áreas seguras y sus actividades solo las conocerán el personal necesario, y éstas deberán estar cerradas y vigiladas.
- El material que entre a la organización se deber inspeccionar y registrar antes de introducirlo en la organización.
Introducción a la norma ISO 27001
- No está centrada en los aspectos tecnológicos y trata más de los aspectos organizativos de la gestión de la seguridad.
- Su objetivo principal es el establecimiento e implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI).
Sus objetivos principales son:
- La definición clara y transmitida a toda la organización de los objetivos y directrices de seguridad.
- La sistematización, objetividad y consistencia a lo largo del tiempo en las actuaciones de seguridad.
- El análisis y prevención de los riesgos en los Sistemas de Información. ¾ La mejora de los procesos y procedimientos de gestión de la información.
- La motivación del personal en cuanto a valoración de la información.
- El cumplimiento con la legislación vigente.
- Una imagen de calidad frente a clientes y proveedores.
Análisis y Valoración de Riesgos
Identifica, clasifica y valora en primer lugar, todos los activos
relevantes de la empresa.
Por cada grupo de activos, estudia las amenazas, su probabilidad
de ocurrencia y el impacto que pueden causar, en función de su
vulnerabilidad.
Establece las medidas de salvaguarda necesarias para reducir hasta
un valor aceptable con un coste asumible, el riesgo asociado a cada
una de las amenazas.
„ Se establece el riesgo residual que se está dispuesto a aceptar.
Desarrollo del SGSI
Es citado en la propia norma:
“La organización, establecerá, implementará, operará, monitorizará,
revisará, mantendrá y mejorará un documentado SGSI en su contexto
para las actividades globales de su negocio y de cara a los riesgos”.
Este documento deberá de contener:
- La política de seguridad
- Las “normas” o estandares de funcionamiento
- Los procedimientos detallados
- Guías y recomendaciones
Su objetivo final es asegurar la Integridad, Confidencialidad y
Disponibilidad de la Información.
