Acc Seguridad Fisica
76
UNIVERSIDAD ESTATAL DE GUAYAQUIL CARRERA DE INGENIERA DE SISTEMAS COMPUTACIONALES SEGURIDAD FISICA DEL DEPARTAMENTO DE TECNOLOGIA INFORMATICA GRUPO #7
-
Upload
michelle-carolay-cedeno -
Category
Documents
-
view
238 -
download
1
description
Seguruidades fisicas que se brindan a un centro de computo
Transcript of Acc Seguridad Fisica
UNIVERSIDAD ESTATAL DE GUAYAQUILCARRERA DE INGENIERA DE SISTEMAS COMPUTACIONALES
SEGURIDAD FISICA DEL DEPARTAMENTO DE TECNOLOGIA INFORMATICA
GRUPO #7
2014-2015SEGURIDAD FISICA DEL DEPARTAMENTO DE TECNOLOGIA DE INFORMACIONGrupo#7Universidad de GuayaquilAdministracin del Centro de Computo informacin y Documentacin
RESUMENEste documento tiene el fin de dar a conocer los estndares y polticas de seguridad informtica que deben observar los usuarios que estn en el rea de tecnologa de informacin para proteger adecuadamente los bienes tecnolgicos y la informacin que tenga el centro de cmputo.
ABSTRACTThis document is intended to raise awareness of the standards and security policies that users who are in the area of information technology to adequately protect property and information technology that has the data center must be observed.
INTRODUCCIN Para que cualquier organizacin pueda operar de manera confiable en materia de seguridad informtica es necesario comenzar por definir polticas y estndares adecuados.La seguridad informtica es una funcin en la que se deben evaluar y administrar los riesgos basndose en estndares y polticas que cubran las necesidades que tenga el centro de cmputo.Es muy importante ser consciente que por ms que la empresa sea la ms segura desde el punto de vista de ataques externos (hackers, virus, ataques de DOS, etc.); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural y no tener presente polticas claras de recuperacin.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos de seguridad fsica bsicos se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta acceder fsicamente a una sala de cmputo de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de backup de la sala de cmputo, que intentar acceder va lgica a la misma.
Teniendo las siguientes ventajas:
Disminuir siniestros.
Trabajar mejor manteniendo la sensacin de seguridad.
Descartar falsas hiptesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.
As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
Seguridad fsica y ambiental.Estas polticas en seguridad informtica se encuentran alineadas con el estndar ISO/IEC 27002Tambin se mencionara los distintos tipos de factores que afectan a la seguridad fsica, la consideracin sobre seguridad que se debe tener: que se quiere proteger? , quien se debe proteger?PROPSITOS Y OBJETIVOS DE UN SISTEMA DE SEGURIDAD FSICAa) Asegurar la capacidad de supervivencia de la organizacin ante eventos que pongan en peligro su existencia.
b) Proteger y conservar los activos de la organizacin, de riesgos, de desastres naturales o actos mal intencionados.
c) Reducir la probabilidad de las prdidas, a un mnimo nivel aceptable, a un costo razonable y asegurar la adecuada recuperacin.
d) Asegurar que existan controles adecuados para las condiciones ambientales que reduzcan el riesgo por fallas o mal funcionamiento del equipo, del software, de los datos y de los medios de almacenamiento.
e) Controlar el acceso, de agentes de riesgo, a la organizacin para minimizar la vulnerabilidad potencial.
f) Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad para el Centro de cmputo que reduzcan los riesgos potenciales de modificacin destruccin o revelacin de datos y programas, o destruccin del equipo, que resultan del acceso no autorizado a equipo, archivos y programas.
g) Asegurar que se restrinja el acceso al HW, datos, archivos y a los programas de utileras en funcin de la responsabilidad y nivel de autoridad del empleado.
h) Asegurar que se prueben y documenten los planes de contingencia, tales como el plan de Respaldo, el plan de recuperacin y el plan d emergencia. para permitir que la organizacin continu operando en malfuncionamiento del sistema.
i) Asegurar la existencia y adecuado funcionamiento de un programa de retencin de registros vitales as como que exista un seguro que cubra la proteccin de la organizacin en caso de incendios u otros desastres naturales.
j) Un buen sistema de Seguridad Fsica en el centro de Cmputo debe proteger tanto al personal como a los datos, al SW y al Equipo de Cmputo.
2.- MARCO TERICOEs muy importante ser consciente que por ms que la empresa sea la ms segura desde el punto de vista de ataques externos (hackers, virus, ataques de DoS, etc.); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural y no tener presente polticas claras de recuperacin.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos de seguridad fsica bsicos se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta acceder fsicamente a una sala de cmputo de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de backup de la sala de cmputo, que intentar acceder va lgica a la misma.
Teniendo las siguientes ventajas: Disminuir siniestros.
Trabajar mejor manteniendo la sensacin de seguridad.
Descartar falsas hiptesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.
As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cmputo, as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
POLTICAS Y ESTNDARES DE SEGURIDAD FSICA Y AMBIENTAL(ISO/IEC 27002)
La seguridad fsica y ambiental se divide en reas seguras y seguridad de los equipos. Respecto a las reas seguras, se refiere a un permetro de seguridad fsica que cuente con barreras o lmites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las reas que contienen informacin y medios de procesamiento de informacin. Se debe tambin contar con controles fsicos de entrada, tales como puertas con llave, etc. Adems de eso, es necesario considerar la seguridad fsica con respecto a amenazas externas y de origen ambiental, comoincendios(para los cuales deben haber extintores adecuados y en los lugares convenientes),terremotos,huracanes, inundaciones, atentados terroristas, etc. Deben tambin haber reas de acceso pblico de carga y descarga, parqueos, reas de visita, entre otros. Se debe controlar la temperatura adecuada para los equipos, seguridad del cableado, mantenimiento de equipos, etc. Para todo esto se requerir de los servicios de tcnicos o ingenieros especializados en el cuidado y mantenimiento de cada uno de los equipos, as como en la inmediata reparacin de los mismos cuando sea necesario. La ubicacin de los equipos tambin debe ser adecuada y de tal manera que evite riesgos. (ISO/IEC 27002).
POLTICALos mecanismos de control y acceso fsico para el personal y terceros deben permitir el acceso a las instalaciones y reas restringidas del centro de cmputo, slo a personas autorizadas para la salvaguarda de los equipos de cmputo y de comunicaciones.Esta poltica aplicar a todo el personal vinculado laboralmente y que tengan acceso a los recursos de informacin de la organizacin.La seguridad fsica identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadaspara proteger fsicamente los recursos y la informacin de la organizacin. Los recursos incluyen elpersonal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales los empleados interactan, en general los activos asociados al mantenimiento y procesamiento de la informacin, como por ejemplo activos de informacin, activos de software y activos fsicos.Se entiende por rea donde se procesa la informacin los siguientes: Centros de Procesamiento normales o de emergencia.
reas con servidores, ya sean de procesamiento o dispositivos de comunicacin
. reas donde se almacenen formas continuas, membretadas, facturas sean propias del rea de TI procedentes declientes o de otras de reas.
reas donde se encuentren concentrados dispositivos de informacin.
reas donde se almacenen y guarden elementos de respaldo datos (CD, Discos Duros, Cintas etc.)
reas donde se deposite salidas de impresoras o fax.
Estructura General ISO/IEC 27002:2005:
Dominios : 11Objetivos de Control: 39Controles : 133
Descripcin de los Dominios y sus Objetivos
Polticas de Seguridad
Proporcionar a la gerencia la direccin y soporte para la seguridad de la informacin en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes.
Aspectos Organizativos de la Seguridad de la Informacin
Manejar la seguridad de la informacin dentro de la organizacin.
Gestin de Activos
Lograr y mantener una apropiada proteccin de los activos organizacionales.
Seguridad Ligada a los Recursos Humanos
Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.
Asegurar que los usuarios empleados, contratistas y terceras personas estn al tanto de las amenazas e inquietudes de la seguridad de la informacin, sus responsabilidades y obligaciones, y estn equipadas para apoyar la poltica de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano.
Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organizacin o cambien de empleo de una manera ordenada.
Seguridad Fsica y del Entorno o Ambiente
Evitar el acceso fsico no autorizado, dao e interferencia con la informacin y los locales de la organizacin.
Gestin de Comunicaciones y Operaciones
Asegurar la operacin correcta y segura de los medios de procesamiento de la informacin. Implementar y mantener el nivel apropiado de seguridad de la informacin y la entrega del servicio en lnea con los acuerdos de entrega de servicios de terceros. Minimizar el riesgo de fallas en el sistema.
Proteger la integridad del software y la integracin
Mantener la integridad y disponibilidad de la informacin y los medios de procesamiento de informacin Asegurar la proteccin de la informacin en redes y la proteccin de la infraestructura de soporte. Evitar la divulgacin no-autorizada; modificacin, eliminacin o destruccin de activos; y la interrupcin de las actividades comerciales Mantener la seguridad en el intercambio de informacin y software dentro de la organizacin y con cualquier otra entidad externa Asegurar la seguridad de los servicios de comercio electrnico y su uso seguro.
Detectar las actividades de procesamiento de informacin no autorizadas.
Control de Acceso
Controlar el acceso a la informacin
Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de informacin.
Cumplimiento
Evitar las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad Asegurar el cumplimiento de los sistemas con las polticas y estndares de seguridad organizacional. Maximizar la efectividad de recuraos informticos y minimizar la interferencia desde/hacia el proceso de auditora del sistema de informacin. Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la informacin y evitar el robo de informacin y los medios de procesamiento de la informacin. Evitar el acceso no autorizado a los servicios de la red
Evitar el acceso no autorizado a los sistemas operativos.
Asegurar la seguridad de la informacin cuando se utiliza medios de computacin y tele-trabajo mviles
Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
Garantizar que la seguridad sea una parte integral de los sistemas de informacin. Prevenir errores, prdida, modificacin no autorizada o mal uso de la informacin en las aplicaciones Proteger la confidencialidad, autenticidad o integridad a travs de medios criptogrficos Garantizar la seguridad de los archivos del sistema
Mantener la seguridad del software y la informacin del sistema de aplicacin Reducir los riesgos resultantes de la explotacin de las Vulnerabilidades tcnicas publicadas.
Gestin de Incidentes en la Seguridad de la Informacin
Asegurar que los eventos y debilidades de la seguridad de la informacin asociados con los sistemas de informacin sean comunicados de una manera que permita que se realice una accin correctiva oportuna. Asegurar que se aplique un enfoque consistente y efectivo a la gestin de los incidentes en la seguridad de la informacin.
Gestin de la Continuidad del Negocio
Contraatacar las interrupciones a las actividades comerciales y proteger los procesos comerciales crticos de los efectos de fallas importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna.
2.1 RESGUARDO Y PROTECCIN DE LA INFORMACIN2.1.1. El usuario deber reportar de forma inmediata a sus superiores, cuando detecte que existan riesgos reales o potenciales para equipos de cmputo o comunicaciones, como pueden ser fugas de agua, conatos de incendio u otros.2.1.2. El usuario tiene la obligacin de proteger los CD-ROM, DVD, memorias USB, tarjetas de memoria, discos externos, computadoras y dispositivos porttiles que se encuentren bajo su administracin, aun cuando no se utilicen y contengan informacin reservada o confidencial.2.1.3. Es responsabilidad del usuario evitar en todo momento la fuga de la informacin que se encuentre almacenada en los equipos de cmputo personal que tenga asignados.
2.2. CONTROLES DE ACCESO FSICO2.2.1. Cualquier persona que tenga acceso a las instalaciones, deber registrar en el Sistema de Ingreso, el equipo de cmputo, equipo de comunicaciones,
medios de almacenamiento y herramientas que no sean propiedad del centro de cmputo, el cual podrn retirar el mismo da, sin necesidad de trmite alguno.En caso de que el equipo que no es propiedad del centro de cmputo, permanezca dentro de la institucin ms de un da hbil, es necesario que el responsable del rgano del Poder Judicial en el que trabaja el dueo del equipo, elabore y firme oficio de autorizacin de salida.
2.3. SEGURIDAD EN REAS DE TRABAJOLos Centros de Cmputo del Poder Judicial del Estado son reas restringidas, por lo que slo el personal autorizado por la Direccin puede acceder a ellos.2.3.1 SISTEMAS DE SEGURIDAD Y VIGILANCIA MEDIANTE CMARASDentro de la tecnologa de seguridad se ha implementado de manera eficaz y con grandes avances las cmaras de seguridad teniendo como ventaja el ejercer una vigilancia preventiva mediante el registro visual de cada suceso que registran las diferentes cmaras que se llegan a disponer en un determinado lugar. El uso de los equipos de videograbacin va dirigido a asegurar el amplio espectro de lugares en los que la seguridad necesita de un gran apoyo como son dichas cmaras. Los lugares en los que se emplean van desde Empresas de diversos tipos, Centros Comerciales, Aeropuertos, Entidades Bancarias, Vas pblicas, etc. Al tener una o a su vez un grupo de cmaras conectadas hasta un servidor en donde se registran cada una de las imgenes que son capturadas por dichas cmaras se lo denomina CCTV (Closed Circuit Television), no todos los circuitos cerrados cuentan con un ordenador de almacenamiento de los datos registrados,
ya que tambin existen CCTV que no necesitan almacenar la informacin almacenada. Este circuito cerrado puede contar con uno o varios monitores desde los cuales se vigila, se denomina circuito cerrado debido que, todos los componentes se encuentran interconectados. Adems, a diferencia de la televisin convencional, este sistema est diseado para una cantidad limitada de usuarios. En la actualidad las cmaras permiten ser controladas remotamente desde un lugar de monitorizacin en el que se controla su panormica (Es el amplio horizonte visual que presenta una imagen), inclinacin y zoom. Las cmaras de la actualidad incluyen visin nocturna, proceso asistidos por un ordenador y deteccin de movimiento que facilita al sistema estar en modo de alerta cuando se realiza un movimiento frente a la cmara. Una cmara que tiene como funcin el de activarse al detectar movimientos se utiliza en los sistemas que lo controlan ya que estos equipos se encuentran 61 registrando el movimiento mientras se encuentren encendidos, su funcin es el de comparar con una imagen congelada, al momento que esta imagen ha cambiado el ordenador al que se encuentra conectado empieza a registrar los eventos que dicha cmara enva hasta dicho equipo, sta funcin permite que en el ordenador se optimice el espacio de almacenamiento para grabar solamente cuando exista movimiento.
2.4. PROTECCIN Y UBICACIN DE LOS EQUIPOS2.4.1. Los usuarios no deben mover o reubicar los equipos de cmputo o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorizacin de la Direccin, debindose solicitar a la misma en caso de requerir este servicio.2.4.2. Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos, a menos que sea en botellas de plstico.
2.4.3. Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o del gabinete.2.4.4. Se debe mantener el equipo informtico en un entorno limpio y sin humedad.2.4.5. El usuario debe asegurarse que los cables de conexin no sean pisados o aplastados al colocar otros objetos encima o contra ellos.2.4.6. Queda prohibido que el usuario abra o desarme los equipos de cmputo, porque con ello perdera la garanta que proporciona el proveedor de dicho equipo.2.5. MANTENIMIENTO DE EQUIPO2.5.1. nicamente el personal autorizado de la Direccin podr llevar a cabo los servicios y reparaciones al equipo informtico, por lo que los usuarios debern solicitar la identificacin del personal designado antes de permitir el acceso a sus equipos.2.5.2. Los usuarios debern asegurarse de respaldar la informacin que considere relevante cuando el equipo sea enviado a reparacin y borrar aquella informacin sensible que se encuentre en el equipo previendo as la prdida involuntaria de informacin, derivada de proceso de reparacin, solicitando la asesora del personal de la Direccin.
2.6. PRDIDA O TRANSFERENCIA DE EQUIPO2.6.1. El usuario que tenga bajo su resguardo algn equipo de cmputo ser responsable de su uso y custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos de robo, extravo o prdida del mismo.2.6.2. El resguardo para las laptops, tiene el carcter de personal y ser intransferible. Por tal motivo, queda prohibido su prstamo.2.6.3. El usuario deber dar aviso de inmediato a la Direccin de la desaparicin, robo o extravo del equipo de cmputo o accesorios bajo su resguardo.
2.7. USO DE DISPOSITIVOS ESPECIALES2.7.1. El uso de los grabadores de discos compactos es exclusivo para respaldos de informacin que por su volumen as lo justifiquen.2.7.2. La asignacin de este tipo de equipo ser previa justificacin por escrito y autorizacin del titular o jefe inmediato correspondiente.2.7.3. El usuario que tenga bajo su resguardo este tipo de dispositivos ser responsable del buen uso que se le d.2.7.4. Los mdems internos debern existir solo en las computadoras porttiles y no se debern utilizar dentro de las instalaciones de la institucin para conectarse a ningn servicio de informacin externo, excepto cuando lo autorice la Direccin.
2.8. DAO DEL EQUIPOEl equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario, deber cubrir el valor de la reparacin o reposicin del equipo o accesorio afectado. Para tal caso la determinar la causa de dicha descompostura.
2.9 REAS SEGURAS
Evitar el acceso fsico no autorizado, dao e interferencia con la informacin y los locales de la organizacin.
2.9.1.1. Permetro de Seguridad Fsica
Control 1: Se deben utilizar permetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las reas que contienen informacin y medios de procesamiento de informacin.
RECOMENDACIONES
El tamao del rea ser determinado por la cantidad de hardware necesitado para el procesamiento y almacenamiento de la informacin. Los requerimientos de tipo ambiental deben ser especificados porlos diferentes fabricantes de los equipos. Las medidas de seguridad que se deban tomar, dependern directamente del valor de los activos de informacin, su nivel de confidencialidad, y los valoresrequeridos de disponibilidad.
Aspectos de la seguridad de la informacin a ser considerados cuando se implementan estas polticas son: El permetro de seguridad debe ser claramente definido.
El sitio donde se ubiquen los recursos informticos debe ser fsicamente slido, y protegido de accesos noautorizados factores naturales, usando mecanismos de control, barreras fsicas, alarmas, barras metlicas etc.
Debe existir un rea de recepcin que solo permita la entrada de personal autorizado.
Todas las salidas de emergencia en el permetro de seguridad deben tener alarmas sonoras ycierreautomtico.
Comentario interno: Cumplimos con estas condiciones y aquellas donde se necesite inversin hasta dondevamos a hacer?
2.9.1.2. Controles de Ingreso Fsico
Control 2: Las reas seguras son protegidas mediante controles de ingreso apropiados para asegurar que slo se le permita el acceso al personal autorizado.
2.10.1.3. Asegurar las Oficinas, Habitaciones y MediosControl 3: Se disea y aplica la seguridad fsica para las oficinas, habitaciones y medios.
2.10.1.4. Proteccin contra Amenazas Externas e InternasControl 4: Se asigna y aplica proteccin fsica contra dao por fuego, inundacin, terremoto, explosin, revuelta civil y otras formas de desastres naturales o causados por el hombre.
2.10.1.5. Trabajo en reas AseguradasControl 5: Se disea y aplica la proteccin fsica y los lineamientos para trabajar en reas aseguradas.
2.10.1.6 Suelo falso o techo falsoSuelo falso o techo falso de acuerdo a las recomendaciones para un CPD dice que debe existir un suelo o techo falso por donde se distribuye el cableado, el mismo que debe ser de material no inflamable debe mantener las distancias respecto del suelo real.
De igual manera se debe mantener un aseo en dicho lugares, se debe tener detectores de humedad, un sistema de deteccin de incendios etc.
Fig1.Analisis de Techo Falso Centro de Cmputo
2.10.1.6. reas de Acceso Pblico, Entrega y Carga
Control 6: Se controlar los puntos de acceso como las reas de entrega y carga y otros puntos por donde personas no-autorizadas puedan ingresar al local y, se asla de los medios de procesamiento de informacin para evitar el acceso no autorizado.
2.10.2. Equipo de Seguridad
Se evita prdida, dao, robo o compromiso de los activos y la interrupcin de las actividades de la organizacin.
2.10.2.1. Ubicacin y Proteccin del equipo
Control 7: Se ubica o protege el equipo para reducir las amenazas y peligros ambientales y oportunidades para acceso no autorizado.
Es recomendable que la ubicacin sea entre la primera o segunda planta del edificio, para evitar los riesgos de las plantas altas y bajas (inundaciones, goteras etc.), que su ubicacin no est sealizada, que no tenga ventanas etc.
2.10.2.2. Servicios Pblicos de Soporte
Control 8: Se protege el equipo de fallas de energa y otras interrupciones causadas por fallas en los servicios pblicos de soporte.
Las opciones para lograr la continuidad de los suministros de energa incluyen mltiples alimentaciones para evitar que una falla en el suministro de energa
2.10.2.3. Seguridad del Cableado
Control 9: El cableado de la energa y las telecomunicaciones que llevan la data o dan soporte a los servicios de informacin debieran protegerse contra la intercepcin o dao.
2.10.2.4. Seguridad del Equipo fuera del Local
Control 11: Se debiera aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organizacin.
El equipo de almacenamiento y procesamiento de la informacin incluye todas las formas de computadoras personales, organizadores, telfonos mviles, tarjetas inteligentes u otras formas que se utilicen para trabajar desde casa o se transporte fuera de local normal de trabajo.
2.10.2.6. Seguridad de la Eliminacin o Re uso del Equipo
Control 12: Se debieran chequear los tems del equipo que contiene medios de almacenaje para asegurar que se haya retirado o sobre-escrito cualquier data confidencial o licencia de software antes de su eliminacin.
Los dispositivos que contienen data confidencial pueden requerir una evaluacin del riesgo para determinar si los tems debieran ser fsicamente destruidos en lugar de enviarlos a reparar o descartar.
2.10.2.7. Seguridad con Animales.
Sirven para grandes extensiones de terreno, y adems tienen rganos sensitivos mucho ms sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema.As mismo, este sistema posee la desventaja de que los animales pueden ser engaados para lograr el acceso deseado.
2.10.2.8. Retiro de Propiedad
Control 13: El equipo, informacin o software no debiera retirarse sin autorizacin previa.
Tambin se pueden realizar chequeos inesperados para detectar el retiro de propiedad, dispositivos de grabacin no-autorizados, armas, etc., y evitar su ingreso al local. Estos chequeos inesperados debieran ser llevados a cabo en concordancia con la legislacin y regulaciones relevantes. Las personas debieran saber que se llevan a cabo chequeos inesperados, y los chequeos se debieran realizar con la debida autorizacin de los requerimientos legales y reguladores.
2.9 FACTORES QUE AFECTAN LA SEGURIDAD FSICA
Los riesgos ambientales a los que est expuesta la organizacin son tan diversos como diferentes sean las personas, las situaciones y los entornos. El tipo de medidas de seguridad que se pueden tomar contra factores ambientales depender de las modalidades de tecnologa considerada y de dnde sern utilizadas. Las medidas de seguridad ms apropiadas para la tecnologa que ha sido diseada para viajar o para ser utilizada en el terreno sern muy diferentes a la de aquella que es esttica y se utiliza en ambientes de oficina.
2.10 Factores ambientales
Incendios. Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones inalmbricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas.El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo nmero uno de las computadoras ya que puede destruir fcilmente los archivos de informacin y programas.
Desgraciadamente los sistemas antifuego dejan mucho que desear, causando casi igual dao que el propio fuego, sobre todo a los elementos electrnicos. El dixido de carbono, actual alternativa del agua, resulta peligroso para los propios empleados si quedan atrapados en la sala de cmputos.Los diversos factores a contemplar para reducir los riesgos de incendio a los que se encuentra sometido un centro de cmputos son: El rea en la que se encuentran las computadoras debe estar en un local que no sea combustible o inflamable. El local no debe situarse encima, debajo o adyacente a reas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases txicos o sustancias radioactivas. Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo.
Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y resistentes al fuego. No debe estar permitido fumar en el rea de proceso. Deben emplearse muebles incombustibles, y cestos metlicos para papeles. Deben evitarse los materiales plsticos e inflamables. El piso y el techo en el recinto del centro de cmputo y de almacenamiento de los medios magnticos deben ser impermeables.Recomendaciones
El personal designado para usar extinguidores de fuego debe ser entrenado en su uso.
Si hay sistemas de deteccin de fuego que activan el sistema de extincin, todo el personal de esa rea debe estar entrenado para no interferir con este proceso automtico.
Implementar paredes protectoras de fuego alrededor de las reas que se desea proteger del incendio que podra originarse en las reas adyacentes.Proteger el sistema contra daos causados por el humo. Este, en particular la clase que es principalmente espeso, negro y de materiales especiales, puede ser muy daino y requiere una lenta y costosa operacin de limpieza.Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel.
Suministrar informacin, del centro de cmputo, al departamento local de bomberos, antes de que ellos sean llamados en una emergencia. Hacer que este departamento est consciente de las particularidades y vulnerabilidades del sistema, por excesivas cantidades de agua y la conveniencia de una salida para el humo, es importante. Adems, ellos pueden ofrecer excelentes consejos como precauciones para prevenir incendios.
Seguridad del EquipamientoEs necesario proteger los equipos de cmputo instalndolos en reas en las cuales el acceso a los mismos slo sea para personal autorizado. Adems, es necesario que estas reas cuenten con los mecanismos de ventilacin y deteccin de incendios adecuados.Para protegerlos se debe tener en cuenta que: La temperatura no debe sobrepasar los 18 C y el lmite de humedad no debe superar el 65% para evitar el deterioro. Los centros de cmputos deben estar provistos de equipo para la extincin de incendios en relacin al grado de riesgo y la clase de fuego que sea posible en ese mbito. Deben instalarse extintores manuales (porttiles) y/o automticos (rociadores).
Inundaciones. Es la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cmputo.Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso superior.Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
Sismos. Estos fenmenos ssmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan, o tan intensos que causan la destruccin de edificios y hasta la prdida de vidas humanas.
Normalmente se reciben por anticipado los avisos de tormentas, tempestades, tifones y catstrofes ssmicas similares. Las condiciones atmosfricas severas se asocian a ciertas partes del mundo y la probabilidad de que ocurran est documentada.
La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al decidir la construccin de un edificio.
La comprobacin de los informes climatolgicos o la existencia de un servicio que notifique la proximidad de una tormenta severa, permite que se tomen precauciones adicionales, tales como la retirada de objetos mviles, la provisin de calor, iluminacin o combustible para la emergencia.
Instalacin ElctricaTrabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principales reas a considerar en la seguridad fsica. Adems, es una problemtica que abarca desde el usuario hogareo hasta la gran empresa.En la medida que los sistemas se vuelven ms complicados se hace ms necesaria la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estn de acuerdo con una norma de seguridad industrial.
Picos y Ruidos ElectromagnticosLas subidas (picos) y cadas de tensin no son el nico problema elctrico al que se han de enfrentar los usuarios. Tambin est el tema del ruido que interfiere en el funcionamiento de los componentes electrnicos. El ruido interfiere en los datos, adems de favorecer la escucha electrnica.
CableadoLos cables que se suelen utilizar para construir las redes locales van del cable telefnico normal al cable coaxial o la fibra ptica. Algunos edificios de oficinas ya se construyen con los cables instalados para evitar el tiempo y el gasto posterior, y de forma que se minimice el riesgo de un corte, rozadura u otro dao accidental.Los riesgos ms comunes para el cableado se pueden resumir en los siguientes: Interferencia: estas modificaciones pueden estar generadas por cables de alimentacin de maquinaria pesada o por equipos de radio o microondas. Los cables de fibra ptica no sufren el problema de alteracin (de los datos que viajan a travs de l) por accin de campos elctricos, que si sufren los cables metlicos.
Corte del cable: la conexin establecida se rompe, lo que impide que el flujo de datos circule por el cable.
Daos en el cable: los daos normales con el uso pueden daar el apantallamiento que preserva la integridad de los datos transmitidos o daar al propio cable, lo que hace que las comunicaciones dejen de ser fiables.En la mayor parte de las organizaciones, estos problemas entran dentro de la categora de daos naturales. Sin embargo tambin se pueden ver como un medio para atacar la red si el objetivo es nicamente interferir en su funcionamiento.
Cableado de Alto Nivel de SeguridadSon cableados de redes que se recomiendan para instalaciones con grado de seguridad militar. El objetivo es impedir la posibilidad de infiltraciones y monitoreo de la informacin que circula por el cable. Consta de un sistema de tubos (hermticamente cerrados) por cuyo interior circula aire a presin y el cable. A lo largo de la tubera hay sensores conectados a una computadora.
Si se detecta algn tipo de variacin de presin se dispara un sistema de alarma.
Pisos de Placas ExtrablesLos cables de alimentacin, comunicaciones, interconexin de equipos, receptculos asociados con computadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extrables, debajo del mismo.
Sistema de Aire Acondicionado
Se debe proveer un sistema de calefaccin, ventilacin y aire acondicionado separado, que se dedique al cuarto de computadoras y equipos de proceso de datos en forma exclusiva.Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial de incendios e inundaciones, es recomendable instalar redes de proteccin en todo el sistema de caera al interior y al exterior, detectores y
extinguidores de incendio, monitores y alarmas efectivas.
Emisiones Electromagnticas
Desde hace tiempo se sospecha que las emisiones, de muy baja frecuencia que generan algunos perifricos, son dainas para el ser humano.Segn recomendaciones cientficas estas emisiones podran reducirse mediante filtros adecuados al rango de las radiofrecuencias, siendo estas totalmente seguras para las personas. Para conseguir que las radiaciones sean mnimas hay que revisar los equipos constantemente y controlar su envejecimiento.
Seales de Radar
La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiado desde hace varios aos.Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor.Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana.
Humedad. Se debe proveer de un sistema de calefaccin, ventilacin y aire acondicionado separado, que se dedique al cuarto de computadoras y al rea de mquinas en forma exclusiva.
VulnerabilidadGrado de resistencia y/o exposicin de un elemento o conjunto de elementos frente a la ocurrencia de un peligro. Puede ser fsica, social, cultural, econmica, institucional y otros.
Vulnerabilidad Fsica
Est relacionada con la calidad o tipo de material utilizado y el tipo de construccin de las viviendas, establecimientos econmicos (comerciales e industriales) y de servicios (salud, educacin, sede de instituciones pblicas), e infraestructura socioeconmica (central hidroelctrica, carretera, puente y canales de riego), para asimilar los efectos del peligro.
La vulnerabilidad, es el grado de debilidad o exposicin de un elemento o conjunto de elementos frente a la ocurrencia de un peligro natural o antrpico de una magnitud dada. Es la facilidad como un elemento (infraestructura, vivienda, actividades productivas, grado de organizacin, sistemas de alerta y desarrollo poltico institucional, entre otros), pueda sufrir daos humanos y materiales. Se expresa en trminos de probabilidad, en porcentaje de 0 a 100.
La vulnerabilidad, es entonces una condicin previa que se manifiesta durante el desastre, cuando no se ha invertido lo suficiente en obras o acciones de prevencin y mitigacin y se ha aceptado un nivel de riesgo demasiado alto.
Para su anlisis, la vulnerabilidad debe promover la identificacin y caracterizacin de los elementos que se encuentran expuestos, en una determinada rea geogrfica, a los efectos desfavorables de un peligro adverso.
CUADRO N 1: VULNERABILIDAD FSICA
CUADRO N 2: ESTRATO, DESCRIPCIN Y VALOR DE LA VULNERABILIDAD
FIGURA 2: CLASIFICACIN DE LOS PRINCIPALES PELIGROS
Peligro
Es la probabilidad de ocurrencia de un fenmeno natural o tecnolgico potencialmente daino, para un periodo especfico y una localidad o zona conocidas. Se identifica, en la mayora de los casos, con el apoyo de la ciencia y tecnologa.
CUADRO N 3: MATRIZ DE PELIGRO Y VULNERABILIDAD
2.11 FACTORES HUMANOS
Robos. Las computadoras son posesiones valiosas de las empresas, y estn expuestas, de la misma forma que estn expuestas las piezas de stock e incluso el dinero. Muchas empresas invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin de la que dan a una mquina de escribir o a una calculadora, y en general a un activo fsico.
Actos vandlicos. En las empresas existen empleados descontentos que pueden tomar represalias contra los equipos y las instalaciones.
Actos vandlicos contra el sistema de red. Muchos de estos actos van relacionados con el sabotaje.
Fraude. Cada ao millones de dlares son sustrados de empresas y, en muchas ocasiones las computadoras han sido utilizadas para dichos fines.
Sabotaje. Es el peligro ms temido en los centros de cmputo. Empresas que han intentado implementar sistemas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros, el saboteador puede ser un empleado o un sujeto ajeno a la empresa.
Terrorismo. Hace unos aos, este hubiera sido un caso remoto, pero con la situacin blica que enfrenta el mundo las empresas deben de incrementar sus medidas de seguridad, por que las empresas de mayor nombre en el mundo son un blanco muy llamativo para los terroristas.
Ergometra"LaErgonomaes una disciplina que se ocupa de estudiar la forma en que interacta el cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa interaccin sea lo menos agresiva y traumtica posible."
El enfoque ergonmico plantea la adaptacin de los mtodos, los objetos, las maquinarias, herramientas e instrumentos o medios y las condiciones de trabajo a la anatoma, la fisiologa y la psicologa del operador. Entre los fines de su aplicacin se encuentra, fundamentalmente, la proteccin de los trabajadores contra problemas tales como el agotamiento, las sobrecargas y el envejecimiento prematuro.
Trastornos seos y/o MuscularesUna de las maneras de provocar una lesin sea o muscular es obligar al cuerpo a ejecutar movimientos repetitivos y rutinarios, y esta posibilidad se agrava enormemente si dichos movimientos se realizan en una posicin incorrecta o antinatural.En el ambiente informtico, la operacin del teclado es un movimiento repetitivo y continuo, si a esto le sumamos el hecho de trabajar con una distribucin ineficiente de las teclas, el diseo antinatural del teclado y la ausencia (ahora atenuada por el uso del mouse) de movimientos alternativos al de tecleado, tenemos un potencial riesgo de enfermedades o lesiones en los msculos, nervios y huesos de manos y brazos.En resumen, el lugar de trabajo debe estar diseado de manera que permita que el usuario se coloque en la posicin ms natural posible. Como esta posicin variar de acuerdo a los distintos usuarios, lo fundamental en todo esto es que el puesto de trabajo sea ajustable, para que pueda adaptarse a las medidas y posiciones naturales propias de cada operador.
Trastornos VisualesLos ojos, sin duda, son las partes ms afectadas por el trabajo con computadoras.La pantalla es una fuente de luz que incide directamente sobre el ojo del operador, provocando, luego de exposiciones prolongadas el tpico cansancio visual, irritacin y lagrimeo, cefalea y visin borrosa.
Si a esto le sumamos un monitor cuya definicin no sea la adecuada, se debe considerar la exigencia a la que se sometern los ojos del usuario al intentar descifrar el contenido de la pantalla.
Adems de la fatiga del resto del cuerpo al tener que cambiar la posicin de la cabeza y el cuello para acercar los ojos a la misma.Para prevenir los trastornos visuales en los operadores podemos tomar recaudos como: Tener especial cuidado al elegir los monitores y placas de vdeo de las computadoras. Usar de pantallas antirreflejo o anteojos con proteccin para el monitor, es una medida preventiva importante y de relativo bajo costo, que puede solucionar varios de los problemas antes mencionados.
La Salud MentalLa carga fsica del trabajo adopta modalidades diferentes en los puestos informatizados. De hecho, disminuye los desplazamientos de los trabajadores y las tareas requieren un menor esfuerzo muscular dinmico, pero aumenta, al mismo tiempo, la carga esttica de acuerdo con las posturas inadecuadas asumidas.Por su parte, la estandarizacin y racionalizacin que tiende a acompaar la aplicacin de las PCs en las tareas de ingreso de datos, puede llevar a la transformacin del trabajo en una rutina inflexible que inhibe la iniciativa personal, promueve sensaciones de hasto y monotona y conduce a una prdida de significado del trabajo.Adems, el estrs informtico est convirtindose en una nueva enfermedad profesional relacionada con el trabajo, provocada por la carga mental y psquica inherente a la operacin con los nuevos equipos.Los efectos del estrs pueden encuadrarse dentro de varias categoras: Los efectos fisiolgicos inmediatos, caracterizados por el incremento de la presin arterial, el aumento de la frecuencia cardiaca, etc. Los efectos psicolgicos inmediatos hacen referencia a la tensin, irritabilidad, clera, agresividad, etc. Estos sentimientos pueden, a su vez, inducir ciertos efectos en el comportamiento tales como el consumo de alcohol y psicofrmacos, el hbito de fumar, etc.
Tambin existen consecuencias mdicas a largo plazo, tales como enfermedades coronarias, hipertensin arterial, lceras ppticas, agotamiento; mientras que las consecuencias psicolgicas a largo plazo pueden sealar neurosis, insomnio, estados crnicos de ansiedad y/o depresin, etc. La apata, sensaciones generales de insatisfaccin ante la vida, la prdida de la propia estima, etc., alteran profundamente la vida personal, familiar y social del trabajador llevndolo, eventualmente, al aislamiento, al ausentismo laboral y la prdida de la solidaridad social. Ambiente LuminosoSe parte de la base que las oficinas mal iluminadas son la principal causa de la prdida de la productividad en las empresas y de un gasto energtico excesivo. Una iluminacin deficiente provoca dolores de cabeza y perjudica a los ojos.
Ambiente ClimticoEn cuanto al ambiente climtico, la temperatura de una oficina con computadoras debe estar comprendida entre 18 y 21 grados centgrados y la humedad relativa del aire debe estar comprendida entre el 45% y el 65%. En todos los lugares hay que contar con sistemas que renueven el aire peridicamente. No menos importante es el ambiente sonoro por lo que se recomienda no adquirir equipos que superen los 55 decibeles, sobre todo cuando trabajan muchas personas en un mismo espacio.
3.- CONSIDERACIONES SOBRE SEGURIDAD
La seguridad en cmputo de cualquier otro tipo cuesta tiempo, dinero y, sobre todo, esfuerzo. Es posible obtener en general ciertos niveles mnimos de seguridad sin hacer un gasto considerable. Pero, el logro de proteccin adicional requiere niveles de gastos ms altos y, con frecuencia, retribuciones menores. La economa siempre resulta necesaria y es importante asegurarse de que existe una relacin costo/beneficio razonable con respecto a las medidas de seguridad. Para ello es necesario establecer prioridades, entre estas tenemos:
Qu se quiere proteger?
Es muy importante determinar el valor del hardware y las tareas que realiza (qu tan importante es para la organizacin en que se est trabajando). Esta valoracin debe hacerse de forma individual, pues lo que es valioso para algunos no lo es para otros.
Contra qu se quiere proteger?
Para no incurrir en gastos innecesarios, es importante determinar cules son los riesgos reales a los que est expuesto el equipo de cmputo. La seguridad efectiva debe garantizar la prevencin y deteccin de accidentes, ataques, daos por causas naturales, as como la existencia de medidas definidas para afrontar los desastres y lograr el restablecimiento de las actividades.
Cunto tiempo, dinero y esfuerzo se est dispuesto a invertir?
Se refiere a la cantidad de recursos que dispone o que est dispuesta a invertir laorganizacin, lo que determinar en ltima instancia las medidas que se van a tomar.
Estos recursos son:Tiempo. Para tener un nivel de seguridad alto es necesario que alguien dedique tiempo a configurar los parmetros de seguridad del sistema, el ambiente de trabajo de los usuarios, revisar y fijar los permisos de acceso a los archivos, ejecutar programas de monitoreo de seguridad, revisar las bitcoras del sistema, etc.
Esfuerzo.Establecer y mantener un nivel adecuado de seguridad puede significar un esfuerzo considerable por parte del encargado, sobre todo si ocurren problemas de seguridad.
Dinero.El tener a alguien que se encargue de la seguridad en forma responsable cuesta dinero. De igual forma cuesta dinero adquirir los productos de seguridad que sevayan a utilizar, ya sean programas o equipos.Es importante tambin analizar los costos que tendran la prdida o acceso no autorizado a la informacin. Dependiendo de esto, y en el caso de que alguien tenga acceso no autorizado, el efecto pueden ser prdidas monetarias.
3.1 CLASIFICACIN GENERAL DE LAS INSTALACIONESEl primer paso consiste en establecer en trminos generales si se trata de una instalacin de riesgo alto, medio o bajo.
3.1.1 Instalaciones de alto riesgo:Las instalaciones de alto riesgo tienen las siguientes caractersticas: Datos o programas que contienen informacin confidencial de inters nacional o que poseen un valor competitivo alto en el mercado. Prdida financiera potencial considerable para la comunidad a causa de un desastre o de un gran impacto sobre los miembros del pblico. Prdida potencial considerable para la institucin y, en consecuencia, unaamenaza potencial alta para su subsistema.
Todas las instalaciones de riesgo alto presentan una o ms de esas caractersticas.Por ello, resultar generalmente fcil identificarlas.
3.1.2 Instalacin de riesgo medio:
Son aquellas con aplicaciones cuya interrupcin prolongada causa grandes inconvenientes y posiblemente el incremento de los costos; sin embargo, se obtiene poca prdida material.
3.1.3 Instalacin de bajo riesgo:
Son aquellas con aplicaciones cuyo procesamiento retardado tiene poco impactomaterial en la institucin en trminos de costo o de reposicin del servicio interrumpido.
3.2 CONTROL DE ACCESO FSICO
El principal elemento de control de acceso fsico involucra la identificacin positiva del personal que entra o sale del rea bajo un estricto control. Si una persona no autorizada no tiene acceso, el riesgo se reduce.Los controles de acceso fsico varan segn las distintas horas del da. Es importante asegurar que durante la noche sean tan estrictos como durante el da. Los controles durante los descansos y cambios de turno son de especial importancia.
3.2.1 Estructura y disposicin del rea de recepcin
En las reas de alta seguridad donde se necesita considerar tambin la posibilidad de ataque fsico se debe identificar y admitir tanto a los empleados como a los visitantes de uno en uno. Tambin se pueden utilizar dispositivos magnticos automticos y otros recursos en el rea de recepcin. Si es necesario usar vidrio en la construccin de esta rea, debe ser de tipo reforzado.
3.2.2 Acceso de terceras personasDentro de las terceras personas se incluye a los de mantenimiento del aire acondicionado y de computacin, los visitantes y el personal de limpieza. stos y cualquier otro personal ajeno a la instalacin deben ser: Identificados plenamente y controlados y vigilados en sus actividades durante el acceso. El personal de mantenimiento y cualquier otra persona ajena a la instalacin se debe identificar antes de entrar a sta. El riesgo que proviene de este personal es tan grande como de cualquier otro visitante.
3.3 Identificacin del personalAlgunos parmetros asociados tpicamente a la identificacin del personal son:
a) Algo que se porta:Consiste en la identificacin mediante algn objeto que porta tal como, tarjetas magnticas, llaves o bolsas. Por ejemplo, las tarjetas pueden incluir un cdigo magntico, estar codificadas de acuerdo al color (rojo para los programadores, azul para los analistas, etc.), e inclusive llevar la foto del propietario. Un problema con esta tcnica, sin embargo, es la posibilidad de que el objeto que se porta sea reproducido por individuos no autorizados. Es por esta razn que esta tcnica se utiliza en conjuncin con otros identificadores para proporcionar una identificacin positiva.
b) Algo que se sabe:Implica el conocimiento de algn dato especfico, como el nmero de empleado, algn nmero confidencial, contrasea o combinacin, etc.
c) Algunas caractersticas fsicas especialesLa identificacin se realiza en base a una caracterstica fsica nica. Estas caractersticas se dividen en dos categoras: Neuromuscular: tales como firma o escritura. Gentica: tales como la geometra del cuerpo (mano, iris, retina, etc.), huellas digitales, reconocimiento de patrones de voz, apariencia facial, impresin de las huellas de los labios, etc.
Asimismo pueden utilizarse los siguientes elementos:
1. Guardias y escoltas especiales.
stos pueden estar ubicados en lugares estratgicos donde exista ms vulnerabilidad. Es recomendable que todos los visitantes que tengan permisos para recorrer el centro de cmputo sean acompaados por una persona designada como escolta.El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratgicos para cumplir con sus objetivos y controlar el acceso del personal.A cualquier personal ajeno a la planta se le solicitar completar un formulario de datos personales, los motivos de la visita, hora de ingreso y de egreso, etc.El uso de credenciales de identificacin es uno de los puntos ms importantes del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectores de la empresa.
En este caso la persona se identifica poralgo que posee, por ejemplo una tarjeta de identificacin. Cada una de ellas tiene un PIN (Personal Identification Number) nico, siendo este el que se almacena en una base de datos para su posterior seguimiento, si fuera necesario. Su mayor desventaja es que estas tarjetas pueden ser copiadas, robadas, etc., permitiendo ingresar a cualquier persona que la posea.Estas credenciales se pueden clasificar de la siguiente manera: Normal o definitiva: para el personal permanente de planta. Temporaria: para personal recin ingresado. Contratistas: personas ajenas a la empresa, que por razones de servicio deben ingresar a la misma. Visitas.
Las personas tambin pueden acceder mediantealgo que saben(por ejemplo un nmero de identificacin o una password) que se solicitar a su ingreso.
Al igual que el caso de las tarjetas de identificacin los datos ingresados se contrastarn contra una base donde se almacena los datos de las personas autorizadas. Este sistema tiene la desventaja que generalmente se eligen identificaciones sencillas, bien se olvidan dichas identificaciones o incluso las bases de datos pueden verse alteradas o robadas por personas no autorizadas.
Desventajas de la Utilizacin de GuardiasLa principal desventaja de la aplicacin de personal de guardia es que ste puede llegar a ser sobornado por un tercero para lograr el acceso a sectores donde no est habilitado, como as tambin para poder ingresar o egresar de la planta con materiales no autorizados. Esta situacin de soborno es muy frecuente, por lo que es recomendable la utilizacin de sistemas biomtricos para el control de accesos.2. Barreras Infrarrojas y de Micro-OndasTransmiten y reciben haces de luces infrarrojas y de micro-ondas respectivamente. Se codifican por medio de pulsos con el fin de evadir los intentos de sabotaje. Estas barreras estn compuestas por un transmisor y un receptor de igual tamao y apariencia externa.Cuando el haz es interrumpido, se activa el sistema de alarma, y luego vuelve al estado de alerta. Estas barreras son inmunes a fenmenos aleatorios como calefaccin, luz ambiental, vibraciones, movimientos de masas de aire, etc.Las invisibles barreras fotoelctricas pueden llegar a cubrir reas de hasta 150 metros de longitud (distancias exteriores). Pueden reflejar sus rayos por medio de espejos infrarrojos con el fin de cubrir con una misma barrera diferentes sectores.
Las micro-ondas son ondas de radio de frecuencia muy elevada. Esto permite que el sensor opere con seales de muy bajo nivel sin ser afectado por otras emisiones de radio, ya que estn muy alejadas en frecuencia.Debido a que estos detectores no utilizan aire como medio de propagacin, poseen la ventaja de no ser afectados por turbulencias de aire o sonidos muy fuertes.
Otra ventaja importante es la capacidad de atravesar ciertos materiales como son el vidrio, lana de vidrio, plstico, tabiques de madera, revoques sobre madera, mampostera y hormign.
3. Detector UltrasnicoEste equipo utiliza ultrasonidos para crear un campo de ondas. De esta manera, cualquier movimiento que realice un cuerpo dentro del espacio protegido, generar una perturbacin en dicho campo que accionar la alarma. Este sistema posee un circuito refinado que elimina las falsas alarmas. La cobertura de este sistema puede llegar a un mximo de 40 metros cuadrados.
4. Detectores Pasivos Sin Alimentacin
Estos elementos no requieren alimentacin extra de ningn tipo, slo van conectados a la central de control de alarmas para mandar la informacin de control. Los siguientes estn incluidos dentro de este tipo de detectores: Detector de aberturas: contactos magnticos externos o de embutir. Detector de roturas de vidrios: inmune a falsas alarmas provocadas por sonidos de baja frecuencia; sensibilidad regulable. Detector de vibraciones: detecta golpes o manipulaciones extraas sobre la superficie controlada.
5. Sonorizacin y Dispositivos Luminosos
Dentro de los elementos de sonorizacin se encuentran las sirenas, campanas, timbres, etc. Algunos dispositivos luminosos son los faros rotativos, las balizas, las luces intermitentes, etc.Estos deben estar colocados de modo que sean efectivamente odos o vistos por aquellos a quienes estn dirigidos. Los elementos de sonorizacin deben estar bien identificados para poder determinar rpidamente si el estado de alarma es de robo, intrusin, asalto o aviso de incendio.Se pueden usar transmisores de radio a corto alcance para las instalaciones de alarmas locales. Los sensores se conectan a un transmisor que enva la seal de radio a un receptor conectado a la central de control de alarmas encargada de procesar la informacin recibida.
6. Circuitos Cerrados de TelevisinPermiten el control de todo lo que sucede en la planta segn lo captado por las cmaras estratgicamente colocadas. Los monitores de estos circuitos deben estar ubicados en un sector de alta seguridad. Las cmaras pueden estar a la vista (para ser utilizada como medida disuasiva) u ocultas (para evitar que el intruso sepa que est siendo captado por el personal de seguridad).Todos los elementos anteriormente descriptos poseen un control contra sabotaje, de manera que si en algn momento se corta la alimentacin o se produce la rotura de alguno de sus componentes, se enviar una seal a la central de alarma para que sta accione los elementos de sealizacin correspondientes.
7. Edificios InteligentesLa infraestructura inmobiliaria no poda quedarse rezagada en lo que se refiere a avances tecnolgicos.El Edificio Inteligente (surgido hace unos 10 aos) se define como una estructura que facilita a usuarios y administradores, herramientas y servicios integrados a la administracin y comunicacin. Este concepto propone la integracin de todos los sistemas existentes dentro del edificio, tales como telfonos, comunicaciones por computadora, seguridad, control de todos los subsistemas del edificio (gas, calefaccin, ventilacin y aire acondicionado, etc.) y todas las formas de administracin de energa.Una caracterstica comn de los Edificios Inteligentes es la flexibilidad que deben tener para asumir modificaciones de manera conveniente y econmica.
8. Registro de firma de entrada y salida.
Consiste en que todas las personas que entren en el centro de cmputo firmen un registro que indique Fecha, Nombre, Procedencia, Dpto. que visita, Persona que busca, Asunto, Hora de entrada, Hora de salida, Firma.
9. Puertas con chapas de control electrnico.
Estos dispositivos pueden funcionar al teclearse un cdigo para abrirla, disponer de una tarjeta con cdigo magntico, o tener implementado algn dispositivo para el reconocimiento de alguna caracterstica fsica especial tal como la huella digital, la geometra de la mano, etc.
10. Tarjetas de acceso y gafetes de identificacin.
Puede tratarse de simples gafetes que identifiquen a la persona, hasta tarjetas con cdigo magntico que permiten abrir la puerta. Asimismo, los dispositivos de lectura de las tarjetas pueden ser conectados a una computadora que contenga informacin sobre la identidad del propietario. La autorizacin puede manejarse individualmente para cada puerta, y controlar aspectos como la hora y el da de las funciones. De esta forma, la actividad puede monitorearse, y cualquier intento de entrar que no sea autorizado ser detectado de inmediato.
11. Entradas de dobles puertas.De esta forma, la entrada a travs de la primera puerta deja una rea donde la persona queda atrapada y fuera del acceso a las computadoras. Una segunda puerta debe ser abierta para entrar al centro de cmputo.
12. Equipos de monitoreo
La utilizacin de dispositivos de circuito cerrado de televisin, tales como monitores, cmaras y sistemas de intercomunicacin conectados a un panel de control manejado por guardias de seguridad. Estos dispositivos permiten controlar reas grandes, concentrando la vigilancia en los puntos de entrada y salida principalmente.
13. Alarmas contra robos.
Todas las reas deben estar protegidas contra la introduccin fsica. Las alarmas contra robos, las armaduras y el blindaje se deben usar hasta donde sea posible, en forma discreta, de manera que no se atraiga la atencin sobre el hecho de que existe un dispositivo de alta seguridad. Tales medidas deben aplicarse no slo al rea de cmputo, sino tambin a las reas adyacentes. La construccin de puertas y ventanas deben recibir especial atencin para garantizar su seguridad.
14. Trituradores de papel.
Los documentos con informacin confidencial nunca deben ser desechados en botes de basura convencionales. En muchos casos los espas pueden robar la informacin buscando en estos lugares. Es por ello que dichos documentos deben ser desmenuzados o triturados antes de desecharlos. Existen dispositivos que desintegran el papel convirtindolo en pedacitos o confeti, los cuales no pueden ser reconstruidos.
3.4 CONTROL DE RIESGOS
CLIMATIZACIN DEL CENTRO DE CMPUTO
La climatizacin es un proceso de tratamiento que se da al aire de un determinado lugar con el propsito de mantener condiciones ambientales adecuadas, controlando temperatura, humedad, calidad y distribucin del aire en un determinado ambiente, el objetivo de realizar este proceso es el de satisfacer las necesidades para un determinado proceso o producto electrnico.Un CPD debe mantener condiciones ambientales adecuadas para los equipos ya que de esta manera se garantiza la integridad de la informacin y la confiabilidad de las operaciones de los equipos por periodos ms largos.
Fig3.- Climatizacin del CPD
3.4.1 ACONDICIONAMIENTORiesgos
Mal funcionamiento del AC ocasiona que el equipo de cmputo sea apagado, el aire acondicionado es indispensable en el lugar donde la computadora trabaja; las fluctuaciones o los desperfectos de consideracin pueden ocasionar que la computadora tenga que ser apagada. Las instalaciones del AC son una fuente de incendios muy frecuente, y tambin son muy susceptibles al ataque fsico, especialmente a travs de los ductos.
Prevenciones Instalar AC de respaldo Extintores y detectores de humo Alarmas de temperatura y humedad
Capacidad del equipo de AC Disipacin trmica de las mquinas y del personal Prdidas por puertas y ventanas El AC debe ser independiente del aire general Conectarse directamente al generador de electricidad
Distribucin del aire en la sala Distribucin por techo Distribucin por piso falso Distribucin por dos canales.
3.4.2 INSTALACIN ELCTRICA
Sistema de corriente regulada
Regula la corriente elctrica y proporciona energa elctrica continua.Tipos de sistemas de corriente regulada Bsico: Es el que proporciona energa a un nmero limitado dedispositivos, incluyendo la unidad de procesamiento y los controladores de los medios de almacenamiento. El sistema funciona por unos minutos; si la energa no regresa en un tiempo especfico, debe salvarse la informacin y apagar el equipo. Completo: El sistema de corriente ininterrumpida completa permite que el equipo opere en forma oportuna y ordenada. Requiere que el procesador y los controladores de los sistemas que los desactiva automticamente en caso de un sobre voltaje.
Redundante: El tipo redundante utiliza un sistema de corriente ininterrumpidaadicional en caso de que el sistema principal falle. Se utiliza slo para centros que requieren de gran seguridad, ya que es muy difcil que un sistema de corriente ininterrumpida falle; sin embargo, representa un alto costo el tener dos sistemas funcionando.
Sistema de conexin de tierra Equipo protector de circuitos: Existen diferentes tipos de proteccin de circuitos.Algunos de los ms comunes son los fusibles, los cortos circuitos con series, y elequipo interruptor de circuitos para dispositivos. La seleccin y aplicacin de un equipo protector de circuitos requiere de un anlisis detallado de cada sistema y del circuito a ser protegido, incluyendo el sistema y equipo de conexin a tierra. Sistema y equipo a tierra: El sistema de tierra protege al personal deoperacin y mantenimiento, en el caso de que un bastidor del equipo tenga un alto voltaje o cuando algn cable de fase haga contacto con el bastidor accidentalmente, o debido al dao en algn componente.
3.4.3 RIESGO DE INUNDACIN Existencia de inundaciones El equipo no debe estar en el stano Acontecimientos no naturales Ruptura de tuberas Drenaje bloqueado
3.4.4 PROTECCIN, DETECCIN Y EXTINCIN DE INCENDIOS Consideraciones sobresalientes Paredes de material incombustible Techo resistente al fuego Canales y aislantes resistentes al fuego Sala y reas de almacenamiento impermeables Sistema de drenaje en el piso firme Detectores de fuego alejados del AC Alarmas de incendios conectado al general
3.4.5 MANTENIMIENTO Propio o externo Equipo informtico Electricidad, agua, AC, etc. Refleja las actividades disciplinarias Falta provoca una fractura en la seguridad3.5 RECOMENDACIONES PARA LA SEGURIDAD FSICA EN EL CENTRO DE CMPUTO.Asegurar que se tengan instalados apropiados controles y dispositivos de seguridad fsica en los lugares adecuados y funciones como se pretende.Asegurar que se tengan instalados adecuados dispositivos de control ambiental (calor, humedad, etc.), as como un adecuado sistema de aire acondicionado y que reciban mantenimiento acorde a las guas sugeridas por los proveedores y que sean probados peridicamente para verificar su preciso funcionamiento.
Considere la instalacin de controles y dispositivos de seguridad fsica en trminos de conveniencia, efectividad de control y costo.Asegure que los controles de seguridad fsica son establecidos acorde a:Buenas Prcticas gerenciales.Prcticas comerciales establecidas.Polticas, procedimientos, estndares y gua de seguridad informtica. Busque el consejo de organizaciones especiales y competentes.ALERTA SOBRE LA SEGURIDAD FSICA.La seguridad Fsica puede fallar s:Los carnets de acceso son extraviados o robados.Las claves de acceso son reveladas o conocidas por personas no autorizadas.Las llaves son duplicadas.La efectividad de los controlados de seguridad fsica sern nulificados, si el personal autorizado permite que el personal no autorizado entre a las instalaciones.Controles ambientales no adecuados pueden debilitar la seguridad fsica; (ejemplo: El no mantenimiento de los niveles adecuados de humedad y aire acondicionado).Inadecuados dispositivos de deteccin y supresin de fuego, su pobre mantenimiento o la falta de dispositivos de este tipo, puede comprometer la seguridad de la Instalacin.GUAS Y TCNICAS DE CONTROL. Promueva la participacin del personal de operaciones del centro de cmputo en el desarrollo de aplicaciones y principales proyectos de mantenimiento.
Rotar empleados clave que manejan datos de entrada y salida de los sistemas computarizados. Llevar a cabo respaldos peridicos de datos y programas y administrar el programa de registros vitales. Mantener un almacn de papelera, formatos y accesorios para asegurar una operacin continua. Desarrollar un Plan de Contingencias y probarlo peridicamente para asegurar una operacin de registros vitales. Documentar procedimientos de emergencia (ejemplo: evacuacin, supresin de conatos de incendio), y probarlos peridicamente para asegurar su efectividad. Contratar una cobertura de seguro suficiente para la proteccin contra interrupciones de servicios y prdidas. Implementar un Programa de Retencin de Registros Vitales. Protegerse del uso no autorizado, a los programa de utileras que desempean funciones poderosas. Emitir guas para el manejo, almacenamiento y destruccin de registros usados, ya sean registros de papel (cartas, memoranda, documentos y reportes), registros mecnicos (microfichas y microfilms), o registros electrnicos (cintas. Cartuchos, diskettes, etc.). Mantener un inventario del equipo de cmputo y accesorios y llevar cabo inspecciones fsicas peridicas. Restringir el uso de programas de aplicaciones y el uso de terminales. Establecer un grupo de control y soporte de software para la administracin autorizada de bibliotecas de programas. Controlar documentos negociables y formatos sensitivos. Establecer controles para el manejo apropiado de datos a travs de todo el ciclo de operacin del sistema. Disear aplicaciones de tal manera que requieran la mnima intervencin de los operadores. Utilizar un sistema de administracin de cintas para mejorar la seguridad en el manejo de las mismas.
Establecer un sistema de convenciones para el etiquetado estndar de archivos. Disear e incluir dentro de la aplicacin, componentes de correccin automtica de errores. Asegurar que todos los operadores tomen perodos de vacaciones continuas de al menos una semana de duracin.
Asegurar que todos los empleados tomen sus vacaciones cuando les corresponda.
3.5.1 EL PLAN DE CONTINGENCIAS.
QU ES UNA CONTINGENCIA?Posibilidad de que una cosa ocurra.Lo que puede suceder.Riesgo, peligro.PORQU NO SE TIENE PLANES DE CONTINGENCIA?
Ausencia de una solucin global o milagrosa. Falta de entendimiento de cmo lograr un plan efectivo.Percepcin de que poco se puede hacer.
NECESIDAD DE PLANES DE CONTINGENCIA.
Un recurso crtico y sensitivo a desastres naturales y ataques mal-intencionados.
Estrategia de Riesgo Total.La planeacin de Contingencias trata con eventos de:Baja probabilidades de ocurrencia.Alto nivel de incertidumbre.Consecuencias devastadoras.
3.5.1.1 OBJETIVOS DE LA PLANEACIN DE CONTINGENCIAS.
Reducir significativamente la probabilidad de dao.Mejorar la capacidad de supervivencias de la Organizacin.Reducir la duracin de la No-Operatividad.Reducir el costo de la Recuperacin.
3.5.1.2 PLANEACIN DE CONTINGENCIA.
Elementos Importantes:
Revisin del Plan de Contingencias, por un nivel superior comn de Informtica y de Usuarios.Plan adecuadamente documentado. Pruebas peridicas del Plan.Adems:Debe ser parte del Sistema de Planeacin de la Empresa.Requiere cooperacin de Informtica y Usuarios.Debe ser desarrollado en conjunto con los Usuarios.Establecer niveles de servicio para casos de desastres.
PLANES DE CONTINGENCIA.
El plan de emergencia: Contener el dao.
El plan de respaldo: Proporciona continuidad a partes crticas entre el sastre y la terminacin de la Recuperacin.
El plan de recuperacin: Restauracin temporal o permanente de la capacidad de operacin.
El programa de registros vitales: Proteger datos esenciales y preservar aquellos registros necesarios para restablecer las operaciones.
EL PLAN DE EMERGENCIA.Es el plan para limitar el dao causado por un desastre.Debe contemplar todos los desastres naturales y eventos mal-intencionados.
Este tipo de emergencia se caracteriza por:Baja probabilidad de ocurrencia.Alta incertidumbre.Requiere rpida deteccin y un plan de contencin del dao.Requiere dispositivos o mecanismos de deteccinDetectores de Humo.Detectores de calor.Alarmas, etc.
Comunicacin permanente con las Autoridades.
Estrategias para Deteccin de Intrusos.Observacin directa.Circuito cerrado de TV.Detectores en puertas y ventanas.
Estrategias para Limitar DaosRestringir acceso del intruso.Programa de Evaluacin.
Refugios.Sistemas de contencin o supresin del dao.Entrenamiento del personalPrueba permanente de Sistemas de contencin del dao.
EL PLAN DE RESPALDO.Contempla el mantenimiento de partes crticas entre la prdida del servicio o recurso y su recuperacin.Identificar el ambiente requerido.Asegurar la suficiente capacidad de respaldo.
DESARROLLO DE UN PLAN DE RESPALDO.Identificar Procesos Crticos.Identificar Procesos N-Crticos.Identificar ambiente requerido.Desarrollar Estrategias de Respaldo.
ESTRATEGIAS DE RESPALDO.Portabilidad.Procedimientos Manuales.Otras instalaciones.Centro de Servicios de Respaldo.Sistemas Operativos Portales.Sistemas Operativos CompatiblesProceso Distribuido.Alternativas mltiples.Entrada de Datos Alterna.La Red Corporativa.Lneas Pblicas vs Privadas.Telfono vs Transmisin de datos.Correo.Servicios de mensajera.Respaldo de datos.
ESTRATEGIAS DE RECUPERACINPersonal.Planta fsica.Facilidades de comunicacin.Equipo de Proceso de Datos.Reemplazo uno por uno.Reemplazo de uno grande por muchos pequeos.Cambio de Aplicacin.Accesorios.Mltiples Proveedores.
4. CONCLUSION
Evaluar y controlar permanentemente la seguridad fsica del edificio es la base para o comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo.Tener controlado el ambiente y acceso fsico permite: disminuir siniestros trabajar mejor manteniendo la sensacin de seguridad descartar falsas hiptesis si se produjeran incidentes tener los medios para luchar contra accidentesLas distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeamos; y as tomar decisiones sobre la base de la informacin brindada por los medios de control adecuados.Estas decisiones pueden variar desde el conocimiento de la reas que recorren ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.
5. GLOSARIO DE TERMINOS
CPD Centro de proceso de datosTI Tecnologa InformticaAC AcondicionamientoCCTV Closed Circuit TelevisionPIN Personal Identification Number
6 BIBLIOGRAFIA
(1) ALDEGANI, Gustavo. Miguel. Seguridad Informtica. MP Ediciones. 1 Edicin. Argentina. 1997. Pgina 30.
(2) http://es.slideshare.net/isabelmantino/auditoria-seguridadfisica-y-del-entorno-isoiec-270022005
(3) http://186.42.96.211:8080/jspui/bitstream/123456789/403/1/ANALISIS%20DE%20VULNERABILIDADES%20FISICAS%20Y%20DE%20ACCESO%20LOGICO%20AL%20CENTRO%20DE%20COMPUTO%20DE%20LA%20CLINICA%20HUMAN_0.pdf
(4) HUERTA, Antonio Villaln. "Seguridad en Unix y Redes". Versin 1.2 Digital (5) Open Publication License v.10 o Later. 2 de Octubre de 2000.http://www.kriptopolis.org(6) (p. L.l. Rosalba Cervantes Meza seguridades fisicas)(7) https://www.segu-info.com.ar/fisica/
Un experto es aquel que sabe cada vez ms sobre menos cosas, hasta que sabe absolutamente todo sobre nada. Es la persona que evita los errores pequeos mientras sigue su avance inexorable hacia la gran falacia"Definicin de Webwer - Corolario de Weinberger (Leyes de Murphy)
