Ver Suplemento Temático...

Seguridad Corporativa y Protección del Patrimonio.
Seguridad de la Información y Protección de Datos.

 

 Expertos

Henri Letellier

Estudiante en Sun Academy, Alfresco Academy
Consultor Alfresco y J2EE en Blaunia

Seguridad informática. La seguridad física (I)


Expertos relacionados:
Seguridad informática. La seguridad física (y V) (02/12/2010)
Seguridad informática. La seguridad física (IV) (28/10/2010)
Seguridad informática. La seguridad física (III) (14/10/2010)
Seguridad informática. La seguridad física (II) (30/09/2010)

 

Introducción

De nada sirve crear una línea Maginot alrededor de la empresa (Línea defensiva creada por Francia durante la primer guerra mundial para protegerse de los Alemanes con el resultado de que estos la rodearon y Francia fue conquistada), de nada sirve digo si cualquiera puede entrar en la sala de servidores por la ventana.

Si el ejemplo es algo exagerado es desgraciadamente una realidad en las empresas en las que he realizado una auditoria de seguridad informática. Este ejemplo es el testigo de una cruda realidad en la muchas empresas españolas: La seguridad de las infraestructuras es secundaria.

Definición de la seguridad física

Cuando hablamos de seguridad informática nos referimos en realidad a dos conceptos diferentes pero complementarios:

  • La seguridad lógica: Esta faceta de la seguridad consiste en colocar barreras que protejan los recursos informáticos de los accesos no autorizados. Las barreras pueden ser programas informáticos tipo firewall, antivirus, también pueden ser dispositivos físicos con los H-IDS o N-IDS de los que hablé el el artículo: Seguridad informática – Fase de detección de incidencias“. Estas barreras también pueden tomar la forma de procedimientos, por ejemplo: Para poder sacar prestado de la empresa un portátil el empleado tiene que firmar un registro de salida de material y este tiene que ser aprobado por su superior.
  • La seguridad física: Si bien esta parte de la seguridad también consiste en la aplicación de barreras para proteger los recursos informáticos, estás barreras son medidas físicas que tienen como finalidad proteger: los equipos (servidores y estaciones de trabajo), el propio recinto de la empresa pero también las diferentes bases de datos resultantes de la actividad empresarial pero también de los propios medios físicos puestos en marcha para alcanzar un grado razonable de seguridad física. Por ejemplo: Una empresa decide instalar un control de acceso (a no confundir con un sistema de fichage), este sistema concebido para autorizar la entrada solo al personal autorizado almacena los logs de los eventos en una base de datos. En este ejemplo vemos que el sistema de protección sirve para proteger al acceso al propio edificio y también proteger la base de datos resultante de su propia actividad.

¿Que debemos proteger?

La respuesta que muchos daríamos en un primer tiempo sería: Tenemos que proteger los recursos informáticos que están dentro del recinto de la empresa de cualquier incidencia como pueda ser: robo, incendio, intrusión, sabotaje, uso inadecuado,inundación, interrupción del servicio, etc. Algunas de estas incidencias se deben a causas naturales como por ejemplo un incendio causado por un rayo o bien una inundación causada por fuertes lluvias. Otras incidencias son el resultado de la negligencia como la pérdida de información por no haber realizado las copias de seguridad. Otras finalmente son intencionadas, un ejemplo sería el robo de equipos informáticos.

Si bien todo lo anterior es cierto no tenemos que olvidar que algunos recursos pueden salir del recinto de la oficina, son generalmente los portátiles, dispositivos USB, CD-ROMS y los teléfonos móviles. Tanto la seguridad física, como por cierto la seguridad lógica,  no deben olvidarse de proteger también estos recursos que, en menor o mayor grado, contienen información empresarial.

En este artículo trataré de ir de lo general hasta lo particular, desde la protección del edificio que contiene los recursos de la empresa, el suministro de energía, las telecomunicaciones, el control de acceso o de presencia hasta lo más específico del hardware como son los servidores, estaciones de trabajo, portátiles, elementos de red como switches y router o teléfonos móviles.

¿Por donde empezar?

El estudio del edificio donde se encuentran la mayoría de los recursos de la empresa será el primer paso del estudio de seguridad física. Este paso puede ser complicado ya que habitualmente el edificio ya está construido y puede estar compartido entre varias empresas. En estos artículos vamos a suponer, para simplificar, que el edificio está construido pero es propiedad de un única empresa.

El informe que presentemos tendrá en cuenta todos los fallos de seguridad que hayamos encontrado, si estos estuviesen relacionados con la estructura del edificio intentaremos presentar soluciones alternativas o posibilidades de modificación que permitan limitar los riesgos. Estas propuestas deberán tener siempre en cuenta su coste.

 

(Continuará...)

 

Expertos relacionados:
Seguridad informática. La seguridad física (y V) (02/12/2010)
Seguridad informática. La seguridad física (IV) (28/10/2010)
Seguridad informática. La seguridad física (III) (14/10/2010)
Seguridad informática. La seguridad física (II) (30/09/2010)

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: blaunia.com
Fecha: 04/09/10

   Mas artículos de Henri Letellier        Otros Expertos   

Este experto ha sido visto por 3472 personas.