protec_fisica_amb_MU.pdf

ÍNDICE UNIDAD I: Perímetro de seguridad física y áreas seguras.................................................................. 6 Importancia de la seguridad física............................................................................................................ 6 Protección física de los equipos............................................................................................................... 7 Áreas seguras.......................................................................................................................................... 7 Perímetro de seguridad física.................................................................................................................. 7 Centro de procesamiento de datos (CPD) y centro de respaldo............................................................... 8 Ubicación y acondicionamiento físico....................................................................................................... 9 Factores ambientales............................................................................................................................. 10 Control de acceso físico......................................................................................................................... 10 Entorno físico del equipo........................................................................................................................ 11 Sistemas biométricos............................................................................................................................. 12 Protección de oficinas, recintos e instalaciones..................................................................................... 13 UNIDAD II: Seguridad, ubicación y protección del equipamiento.................................................... 16 Elementos de soporte............................................................................................................................ 16 Seguridad en el cableado...................................................................................................................... 16 Mantenimiento del equipamiento/equipos.............................................................................................. 17 Retiro de bienes..................................................................................................................................... 17 Suministros de energía.......................................................................................................................... 17 Sistemas de alimentación ininterrumpida............................................................................................... 18 UNIDAD III: Seguridad de Equipamiento y Políticas.......................................................................... 22 CPD externo.......................................................................................................................................... 22 Sistemas contra incendios..................................................................................................................... 23 Sistemas eléctricos................................................................................................................................ 23 Climatización......................................................................................................................................... 23 Datos..................................................................................................................................................... 24 Centros de respaldo............................................................................................................................... 25 Normas ISO/IEC 27000......................................................................................................................... 27 Protección Física y Ambiental | 2 REFERENCIAS DE ÍCONOS Protección Física y Ambiental | 3 Introducción La seguridad física y del entorno en las empresas son todas las medidas que pue- des tomar para proteger los sistemas, los edificios y la infraestructura de apoyo rela- cionada contra las amenazas asociadas con el ambiente físico. Durante los últimos años, la seguridad física se ha convertido en un reto para las organizaciones, debido a que los entornos tecnológicos e informáticos multiplican la posibilidad de vulnerabilidades, por ello, la necesidad de tomar acciones preventivas es un imperativo. Hoy los escritorios en tu empresa seguramente están llenos de computadores, por- tátiles y dispositivos móviles que tienen acceso a toda la información. Esto sumado con otras variables genera que el entorno de tu organización se vuelva más complejo y dinámico aumentando las posibilidades de vulnerabilidades como el fraude, el van- dalismo, el sabotaje, los accidentes y el robo. Situaciones que pueden generar costos adicionales. En este sentido es clave implementar medidas preventivas y de protección dentro del marco de la seguridad de la información, pero ¿cómo hacerlo? En esta materia nos adentraremos un poco en el mundo de la Protección FÍSICA Y AMBIENTAL ¡¡Bienvenidos!! Protección Física y Ambiental | 4 Protección Física y Ambiental | 5 UNIDAD I: Perímetro de seguridad física y áreas se- guras Objetivos - Tomar conciencia sobre la importancia de la seguridad Física de los sistemas infor- máticos. - Identificar los riesgos físicos a que están sometidos los equipos informáticos. - Describir las características y medidas de seguridad de un centro de proceso de datos. - Valorar la importancia de los centros de respaldo de datos. Importancia de la seguridad física Desgraciadamente todos los días nos llegan noticias sobre sustracción de bienes materiales: dinero, joyas, etc. Una vez producido el delito, se puede intentar detener al culpable y recuperar los bienes robados; pero es mucho más útil e importante to- mar medidas para que estos hechos no se produzcan instalando sistemas de segu- ridad preventivos: alarmas, rejas en ventanas, puertas de seguridad, etc. Del mismo modo, habitualmente se producen situaciones catastróficas ocasionadas por causas naturales como inundaciones, incendios, etc. Estas situaciones no pueden evitarse, pero sí disminuir sus consecuencias para las personas o bienes, mediante la adop- ción de medidas preventivas. Si todas estas situaciones son desagradables en un entorno personal, en el ámbito de la empresa revisten especial gravedad, puesto que afectan a su patrimonio, ne- cesario para llevar a cabo su actividad. En primer término se puede pensar que este patrimonio está integrado por los bienes tangibles de la empresa (mobiliario, ordena- dores, etc.), pero aún más importantes que estos son los bienes intangibles (los da- tos). En efecto, una pérdida de un equipo físico puede ser reemplazada fácilmente; en cambio, es muy posible que la pérdida de los datos de la empresa sea irrempla- zable. Además, hay que tener en cuenta que esos datos pueden ser utilizados por Protección Física y Ambiental | 6 otras personas con fines ilícitos (para estafar a la empresa, para averiguar sus se- cretos industriales, etc.). Es por ello que la seguridad física adquiere una importancia vital a la hora de preser- var tanto los datos que poseen las empresas, como los equipos y dispositivos encar- gados de su tratamiento y almacenamiento. Podemos, por tanto, definir la seguridad física como: El conjunto de medidas de prevención y detección destinadas a evitar los daños físicos a los sistemas informáticos y proteger los datos almacenados en ellos. - Fenómenos naturales, como inundaciones, tormentas, terremotos, etc. Se pueden adoptar medidas preventivas como la instalación de los equipos en ubicaciones adecuadas dotadas de las oportunas medidas de protección (ubicaciones seguras, pararrayos, etc.). - Riesgos humanos, como actos involuntarios, actos vandálicos y sabotajes. Entre las medidas preventivas estarían: control de acceso a recintos, elaboración de per- files psicológicos de empleados con acceso a datos confidenciales, formación a usuarios en materia de seguridad. Protección física de los equipos La protección física se puede lograr creando una o más barreras físicas alrededor de los locales de la organización y los medios de procesamiento de información. El uso de las múltiples barreras proporciona protección adicional, para que la falla de una barrera no signifique que la seguridad se vea comprometida inmediatamente. Un área segura puede ser una oficina con llave, o varias habitaciones rodeadas por una ba- rrera de seguridad física interna continua. Pueden ser necesarios barreras y períme- tros adicionales para controlar el acceso físico entre las áreas con diferentes reque- rimientos de seguridad dentro del perímetro de seguridad. Se debiera prestar consi- deración especial a la seguridad de acceso físico que se debiera dar a los edificios donde se alojan múltiples organizaciones. Áreas seguras Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones de procesamiento de información y la información de la organización. Los medios de procesamiento de información crítica o confidencial debieran ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las ba- rreras de seguridad y controles de entrada apropiados. Debieran estar físicamente protegidos del acceso no autorizado, daño e interferencia. Perímetro de seguridad física Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que con- tienen información y medios de procesamiento de información. Lineamiento de implementación Cuando sea apropiado, se debieran considerar e im- plementar los siguientes lineamientos para los perímetros de seguridad físicos: a.- los perímetros de seguridad debieran estar claramente definidos, y la ubicación y fuerza de cada uno de los perímetros dependerá de los requerimientos de Protección Física y Ambiental | 7 seguridad de los activos dentro del perímetro y los resultados de la evaluación del riesgo; b.- los perímetros de un edificio o local que contienen los medios de procesamiento de información debieran ser físicamente sólidos (es decir, no debieran existir brechas en el perímetro o áreas donde fácilmente pueda ocurrir un ingreso no autorizado); las paredes externas del local debieran ser una construcción sólida y todas las puertas externas debieran estar adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control; por ejemplo, vallas, alarmas, relojes, etc.; las puertas y ventanas debieran quedar aseguradas cuando están desatendidas y se debiera considerar una protección externa para las ventas, particularmente en el primer piso; c.- se debiera contar con un área de recepción con un(a) recepcionista u otros me- dios para controlar el acceso físico al local o edificio; el acceso a los locales y edificios debieran restringirse solamente al personal autorizado; d.- cuando sea aplicable, se debieran elaborar las barreras físicas para prevenir el acceso físico no autorizado y la contaminación ambiental; e.- todas las puertas de emergencia en un perímetro de seguridad debieran contar con alarma, debieran ser monitoreadas y probadas en conjunción con las paredes para establecer el nivel de resistencia requerido en concordancia con los adecua- dos estándares regionales, nacionales e internacionales; debieran operar en con- cordancia con el código contra-incendios local de una manera totalmente segura; f.- se debieran instalar adecuados sistemas de detección de intrusos según están- dares nacionales, regionales e internacionales y debieran ser probados regular- mente para abarcar todas las puertas externas y ventanas accesibles; las áreas no ocupadas debieran contar con alarma en todo momento; también se debiera proveer protección para otras áreas; por ejemplo, el cuarto de cómputo o cuarto de comunicaciones; g.- los medios de procesamiento de información manejados por la organización de- bieran estar físicamente separados de aquellos manejados por terceros. Centro de procesamiento de datos (CPD) y centro de respaldo Hasta ahora hemos visto el entorno físico de los equipos existentes en un ámbito doméstico o en una pequeña empresa, pero las empresas de tamaño mediano o grande cuentan con gran cantidad de equipos informáticos y necesitan servidores y otros dispositivos que realicen el control de todo el parque informático y de comuni- caciones. Piensa, por ejemplo, en una sucursal bancaria o en una oficina ministerial y en todos los equipos informáticos con los que allí se trabaja. Estos sistemas, que centralizan bases de datos, servicios de correo electró- nico, gestión de usuarios, etc., precisan de unas instalaciones físicas y de unos requerimientos de hardware peculiares y reciben, en su conjunto, el nombre de centro de proceso de datos (CPD) o su denominación inglesa, data center. Los sistemas informáticos a esta escala re- quieren servidores con varios procesadores y unidades de disco, sistemas de comu- nicaciones avanzados (con varios routers, switches, etc.), equipos de alimentación redundantes, dispositivos para copias de seguridad, etc. Estos equipos deben traba- jar a una temperatura ambiente baja (unos 17-19 ºC) y generan mucho ruido, por lo que deben ser confinados en un espacio físico diferenciado del trabajo con unas con- diciones ambientales y de aislamiento acústico y térmico especiales. Además, esta situación de confinamiento permite adoptar respecto de estos equipos unas medidas de seguridad especiales. Dado su cometido, los CPD deben estar operativos, ininte- rrumpidamente, las 24 h de todos los días del año, si bien no requieren la presencia de operadores en su interior. Dentro únicamente hay máquinas -servidores, equipos de comunicaciones, dispositivos de almacenamiento, equipos de climatización, sen- sores, etc.- que son controladas desde fuera de la sala, desde dentro del mismo Protección Física y Ambiental | 8 edificio a través de la red local o bien remotamente a través de Internet mediante concentradores KVM. Esquema de distribución de un CPD. Ubicación y acondicionamiento físico Se debería ubicar o proteger el equipo para reducir las amenazas y peligros ambien- tales y oportunidades para acceso no-autorizado. Se debieran considerar los siguien- tes lineamientos para la protección del equipo: a.- el equipo se debiera ubicar de manera que se minimice el acceso innecesario a las áreas de trabajo; b.- los medios de procesamiento de la información que manejan data confidencia debieran ubicarse de manera que se restrinja el ángulo de visión para reducir el riesgo que la información sea vista por personas no autorizadas durante su uso; y se debieran asegurar los medios de almacenaje para evitar el acceso no auto- rizado; c.- se debieran aislar los ítems que requieren protección especial para reducir el nivel general de la protección requerida; d.- se debieran adoptar controles para minimizar el riesgo de amenazas potenciales; por ejemplo, robo, fuego, explosivos, humo, agua (o falla en el suministro de agua), polvo, vibración, efectos químicos, interferencias en el suministro eléctrico, inter- ferencia en las comunicaciones, radiación electromagnética y vandalismo; e.- se debieran establecer lineamientos sobre comer, beber y fumar en la proximi- dad de los medios de procesamiento de información; f.- se deberían monitorear las condiciones ambientales; tales como temperatura y humedad, que pudiera afectar adversamente la operación de los medios de pro- cesamiento de la información; g.- se debiera aplicar protección contra rayos a todos los edificios y se debieran adaptar filtros de protección contra rayos a todas las líneas de ingreso de energía y comunicaciones; h.- se debieran considerar el uso de métodos de protección, como membranas de teclado, para el equipo en el ambiente industrial; Protección Física y Ambiental | 9 i.- se debería proteger el equipo que procesa la información confidencial para mini- mizar el riesgo de escape de información debido a la emanación. Tener en cuenta las condiciones atmosféricas adversas al decidir la ubicación y pos- terior construcción de los data centers. Factores ambientales - Incendios. - Inundaciones. - Terremotos. - Humedad. Condiciones atmosféricas Control de acceso físico El primer punto débil de un sistema informático, hablando en términos de seguridad física, es la puerta de entrada al recinto o edificio. Debemos evitar que personal no autorizado tenga acceso físico a la sala donde se encuentran los ordenadores. Un intruso podría robar los equipos o los soportes de almacenamiento internos (discos duros, tarjetas de memoria...) o externos (cintas, DVD, unidades de disco externas, etc.). Asimismo podría sabotear los equipos físicos o, lo que puede ser más grave para una empresa, acceder a la información contenida en los equipos. Escrivá Gascó, G. (2013). Seguridad informática. Madrid, Spain: Macmillan Iberia, S.A. Recuperado de https://elibro.net/es/ereader/ucasal/43260?page=33. Protección Física y Ambiental | 10 Entorno físico del equipo Uno de los elementos más importantes a la hora de fijar las medidas preventivas para la seguridad física de los equipos informáticos es el lugar donde estos están situados. Las condiciones físicas de esta ubicación determinan los riesgos a que están sujetos los equipos. Así: Escrivá Gascó, G. (2013). Seguridad informática. Madrid, Spain: Macmillan Iberia, S.A. Recuperado de https://elibro.net/es/ereader/ucasal/43260?page=27. Protección Física y Ambiental | 11 Sistemas biométricos ¿Qué es un sistema biométrico en la seguridad informática? ¿Es efectivo? ¿En qué sistemas concretos se aplica? Nuestro equipo de peritos informáticos forenses ha visto como con el paso de los años, los sistemas de seguridad han incorporado esta técnica para perfeccionarse y modernizarse. ¿Qué es un sistema biométrico? Un sistema biométrico consiste en un método automatizado de identificación y ve- rificación. Se emplean los rasgos físicos y de comportamiento precisos de un indivi- duo. Las características esenciales que utiliza un sistema biométrico para realizar la identificación personal son: - Desempeño. - Fiabilidad. - Aceptabilidad. Sistema biométrico en la seguridad informática La seguridad informática es esencial hoy en día. Un sistema biométrico en la seguri- dad informática es un control de acceso para el usuario a un dispositivo electrónico. Este control suele ser a través de la huella dactilar, reconocimiento fácil u otras ca- racterísticas físicas. Protección Física y Ambiental | 12 La seguridad biométrica es cada vez más común para acceder a administraciones y empresas públicas. En los últimos años hemos podido comprobar que cada vez hay más dispositivos que cuentan con este sistema de seguridad. Cada vez más incorporan como método de control de acceso la tecnología biométrica. Esto es igual a la identificación de los usuarios ante este tipo de dispositivos. Funda- mentalmente se basa en las características físicas y únicas de cada persona. Esto, como hemos dicho antes, suele ser a través de la huella dactilar; sin embargo cada vez se perfecciona más la técnica del reconocimiento del iris. Otro método bastante popular en el sistema biométrico en la seguridad informática es del reconocimiento de voz. El sistema biométrico está llegando también a nuestros hogares. Dentro del ámbito de la informática doméstica, este sistema da la posibilidad al usuario de identificarse dentro de diferentes plataformas. Entre los usos más comunes encontramos siste- mas de pago, sanidad, control parental y banca electrónica. Características de la seguridad biométrica Para conocer adecuadamente cómo funciona un sistema biométrico en la seguridad informática, debemos conocer las características que incluye el proceso. 1.- Universalidad: Todas las personas poseen características. 2.- Individualidad: Las probabilidades de encontrar personas con las mismas ca- racterísticas es muy poco probable. 3.- Estabilidad: Las características apenas cambian con el paso del tiempo. 4.- Proporcionalidad: Las características se pueden medir de forma proporcional. Cabe destacar que estas características sirven para establecer o restringir ciertas características que se usan como indicador biométrico. Teniéndose en cuenta, se deben poner restricciones prácticas sobre el sistema. Protección de oficinas, recintos e instalaciones Control Se debería diseñar y aplicar seguridad física a oficinas, recintos e instalaciones. Guía de implementación Las siguientes directrices se deberían considerar para brindar seguridad a oficinas, recintos e instalaciones: a.- las instalaciones clave deberían estar ubicadas de manera que se impida el ac- ceso del público; b.- en donde sea aplicable, las edificaciones deberían ser discretas y dar un indicio mínimo de su propósito, sin señales obvias externas o internas, que identifiquen la presencia de actividades de procesamiento de información; c.- las instalaciones deberían estar configuradas para evitar que las actividades o información confidenciales sean visibles y audibles desde el exterior. El blindaje electromagnético también se deberían considerar apropiado; Protección Física y Ambiental | 13 d.- los directorios y guías telefónicas internas que identifican los lugares de las ins- talaciones de procesamiento de información confidencial no deberían ser acce- sibles a ninguna persona no autorizada. Bibliografía - Documentos.pdf proporcionados en el espacio de la materia en la Plataforma de la Universidad. - Seguridad informática (https://elibro.net/es/lc/ucasal/titulos/43260). Ed. Macmi- llan Iberia, S.A., Autor: Gema Escrivá Gascó. Bibliografía complementaria - Normas ISO: https://normaiso27001.es/a11-seguridad-fisica-y-del-entorno/ TRABAJO PRÁCTICO N° 1 - ACTIVIDAD OBLIGATORIA Debe ser enviada para su evaluación 1.- Indica varios ejemplos de fenómenos naturales y de riesgos humanos que pue- den poner en peligro la seguridad física de los equipos informáticos de tu aula. Indica, respecto a cada uno, si puede evitarse o no y, en su caso, cómo podría evitarse. 2.- Seguridad física: El acceso físico a los ordenadores y equipos aumenta el riesgo de cualquier incidente. Debe aplicarse el criterio de conceder acceso ex- clusivamente a quien lo necesite por sus funciones. 3.- Enuncia al menos 4 tips que se deben implementar para proteger los equipos. 4.- Selecciona un organismo público o privado y releva los siguientes puntos: ¿Han aplicado medidas preventivas de protección? Completa el siguiente cuadro: Factor de riesgo Medidas preventivas Espacio Humedad Luz solar Temperatura ambiente Partículas de polvo Campos magnéticos Vibraciones y golpes Suelos 5.- ¿Cómo puede la biometría aumentar la seguridad de una empresa? Describe 3 instituciones o empresas que conozcas y estén implementando sistemas biomé- tricos y las características del mismo Protección Física y Ambiental | 14 Aplicación práctica 1.- Se parte de una empresa que provee alojamiento de páginas web, con un sis- tema de información valorado en 250.000 €. Un análisis de riesgos revela que hay dos amenazas: a.- Un fallo del suministro eléctrico, caracterizado por: - Impacto o daño = 10.000 € - Probabilidad de ocurrencia de la amenaza= 0. 1 b.- Un ataque dirigido desde internet, caracterizado por: - Impacto o daño =500.000 € - Probabilidad de ocurrencia de la amenaza= 0.005 2.- El modelo de seguridad de la empresa tiene el criterio de “optimizar la inversión concentrando los recursos en eliminar la mayor amenaza, y asumir el riesgo de las amenazas menores”. Se pide que: a.- Se cuantifique el riesgo de cada amenaza. b.- Se calcule el presupuesto en seguridad que resultaría justificado invertir. c.- Se calcule el riesgo que asume la empresa tras la inversión. Protección Física y Ambiental | 15 UNIDAD II: Seguridad, ubicación y protección del equipamiento Elementos de soporte Se trata de establecer medidas de control para el suministro necesario para mantener operativas las instalaciones y los equipos. A menudo este capítulo se pasa por alto en pequeñas y medianas empresas pero conviene que tengamos en cuenta controles para garantizarnos según nuestras po- sibilidades la cobertura ante fallos del suministro eléctrico y las comunicaciones. Los controles de este apartado van enfocados a: - Cumplir con las especificaciones del fabricante de los equipos en cuanto a suminis- tros (eléctrica, gas etc.). - Cumplir los requisitos legales. - Establecer algún proceso de detección de fallos de suministro. - Mantener si es posible alternativas a fallos de suministro (sistemas de alimentación ininterrumpida, rutas alternativas en comunicaciones etc.). En este apartado deberemos ser imaginativos pues no siempre está a nuestro al- cance poder duplicar las comunicaciones o los suministros de energía eléctrica o gas etc. A veces pasa por reforzar sistemas como Teletrabajo, soportes CLOUD o con- venios con empresas más grandes como clientes importantes de confianza con ma- yor infraestructura en caso de desastres que no podamos asumir. Seguridad en el cableado Controles para protección del cableado de energía y de comunicaciones que afecta a los sistemas de información. Protección Física y Ambiental | 16 Se trata de evitar tanto el posible daño de las infraestructuras como las posibles in- terferencias que corrompan los datos o el suministro. Mantenimiento del equipamiento/equipos Se trata de controles para garantizar que los equipos se mantienen adecuadamente para garantizar que no se deterioren y estén siempre disponibles. Para ello deberíamos tener en cuenta: - Las recomendaciones del fabricante. - Solo personal autorizado debe mantener equipos críticos y se deben mantener re- gistros. - La información sensible debería removerse del equipo cuando sea necesario. - Cumplir con todos los requisitos de las pólizas de seguros. Retiro de bienes Cuando se trata de la retirada de un activo de información ya sea equipos, software u otros dispositivos de información deberíamos controlar. La identificación y autorización de personal autorizado a retirar equipos o activos fuera de la organización: - Fijar límites de tiempo. - Llevar un registro de equipos retirados y de su retorno así como de la identificación de personal. Suministros de energía Instalaciones Además de las condiciones ambientales, hay otras circunstancias derivadas de la ubicación de los equipos y de su propio funcionamiento que pueden ocasionar ries- gos para los mismos: - Instalación eléctrica adecuada: los equipos informáticos funcionan gracias a la energía eléctrica que les llega a través de sus conexiones. Una instalación eléctrica defectuosa es susceptible de causar graves daños. Se pueden adoptar las siguien- tes medidas preventivas: - Protecciones eléctricas adecuadas. Los enchufes deben contar con tomas de tierra y la corriente suministrada debe ser lo más estable posible para evitar picos de tensión. - Mantenimiento del suministro eléctrico. La corriente eléctrica está sometida a anomalías, como apagones, caídas de tensión, etc. Hay que tomar las medidas necesarias para minimizar el riesgo de estas anomalías, así como para disminuir sus consecuencias negativas. Para prevenir las averías que estas anomalías pu- dieran producir a los equipos informáticos se desarrollaron los sistemas de alimen- tación ininterrumpida (SAI). Un SAI es un dispositivo que tiene por finalidad pro- porcionar alimentación a los equipos conectados a él cuando se produce un corte en la corriente eléctrica, dando tiempo a que los equipos se apaguen de forma adecuada y no se produzca ninguna pérdida de información. Protección Física y Ambiental | 17 - Instalación de red adecuada. Los equipos estarán conectados a una red de datos y esta a su vez a una red general. En primer término, hay que proteger esta red de accesos físicos no deseados. Además, normalmente la red está configurada por cable, por lo que habrá que vigilar que el tipo de cable es el correcto, así como que su estado de conservación es el adecuado al entorno (los cables pueden estar ex- puestos a la hume- dad, afectados por radiaciones electromagnéticas, etc.). - Control de acceso. Tanto si el ordenador está en una oficina, como si está en una sala especialmente destinada a su uso, habrá que controlar el acceso a ese lugar. Además, deberá asegurarse la entrada en el equipo en sí mediante el estableci- miento de claves. - Protección frente a incendios. Se deben utilizar tanto sistemas de prevención como sistemas de protección: - Sistemas de prevención: son los más eficaces, pues van encaminados a que no se produzca el incendio. Por ejemplo, instalación de detectores de humo y alar- mas, mantenimiento del orden y la limpieza para evitar la acumulación de mate- riales combustibles, etc. - Sistemas de protección: son los que se ponen en marcha en caso de que se haya producido un incendio. Los más comunes son la colocación de barreras para aislar el incendio, la delimitación clara de las vías de evacuación y salidas de emergencia y la instalación de sistemas de extinción. En el caso de los incendios que se pueden producir en una oficina con equipos informáticos, los extintores apropiados son los de clase C (o ABC), de polvo seco polivalente o CO2. Nunca se debe intentar apagar uno de estos incendios con agua a chorro debido al riesgo de sufrir una descarga eléctrica. Sistemas de alimentación ininterrumpida Como hemos visto en el apartado anterior, una de las principales fuentes de riesgo para los sistemas informáticos es la corriente eléctrica. Esta corrien te no es perfecta, sino que está sometida a anomalías (apagones, caídas y picos de tensión, sobrevol- tajes, ruido eléctrico, etc.) que hacen que el funcionamiento de los equipos no sea el idóneo y que, en los casos más graves, pueden ocasionar importantes daños a los mismos. Para prevenir estos riesgos se han desarrollado los sistemas de alimentación ininte- rrumpida (SAI), conocidos también por su nombre en inglés, Uninterrupted Power Supply (UPS). Un SAI es un dispositivo cuya finalidad es proporcionar suministro eléctrico a los equipos conectados a él cuando se produce un corte en la corriente eléc- trica. Los SAI no tienen capacidad para suministrar corriente durante mucho tiempo, por ello, no están pensados para que los equipos conectados a ellos sigan funcionando a pleno rendimiento, sino que su función es ganar tiempo para realizar un apagado ordenado de los equipos. Además de esta función principal, sirven como estabiliza- dores de la tensión eléctrica, filtrándola y reduciendo el efecto nocivo que producen los picos de tensión y el ruido eléctrico. El uso de estos dispositivos es beneficioso para todo tipo de equipos, aunque, debido a su elevado coste, tradicionalmente solo se instalan en sistemas críticos como servidores, grandes bases de datos, hospitales, etc., donde su uso no solo era beneficioso sino imprescindible. Actualmente su precio ha bajado bastante y existen modelos asequibles para ser instalados en cualquier ordenador. Protección Física y Ambiental | 18 Tipos de SAI Dependiendo de su modo de funcionamiento, podemos distinguir varios tipos de SAI: - Offline pasivos. Se ponen en funcionamiento cuando falla la alimentación eléctrica. Entre el fallo y su activación se produce un corte de energía muy pequeño que no es detectado por la mayoría de los equipos conectados a él. Son los más habituales para proteger ordenadores domésticos, televisores, etc. - Offline interactivos. Están conectados con la corriente eléctrica y siempre se en- cuentran activos. Además de su función principal, disponen de filtros activos que estabilizan la señal. Son de mejor calidad que los anteriores y se suelen utilizar para proteger equipos de pequeñas empresas (ordenadores, pequeños servidores, etc.). - Online. Se colocan entre el suministro normal de corriente y los equipos a proteger, cumpliendo también con la función de estabilización y fil- trado de la señal. Las baterías se van cargando mientras se suministra energía a los equipos, por lo que, en caso de apagón, en ningún momento deja de suministrarse energía. Esto tiene como consecuencia el progresivo deterioro de las baterías y la necesidad de su sustitución. Son los más caros y de mayor calidad. Un SAI está compuesto por las siguientes partes o bloques funcionales: - Batería y cargador: son los elementos que almacenan la carga eléctrica que se usará en caso de necesidad. - Filtro: elemento destinado a limpiar la señal. - Conversor: es un transformador que convierte la tensión de 12 v de su batería en corriente continua. - Inversor: convierte la corriente continua en corriente alterna a 220 v. - Conmutador: elemento que permite cambiar entre el suministro proporcionado por la red eléctrica y el generado por la batería del SAI. Características de los SAI Los SAI tienen dos características que permiten diferenciarlos: - Autonomía: es el tiempo que el SAI puede seguir alimentando a un equipo en caso de fallo eléctrico. Se mide en minutos. - Potencia: mide el consumo de energía de un SAI y se expresa en dos unidades distintas: - Vatios (W): es la potencia real consumida por el dispositivo. - Voltiamperios (VA): es la potencia aparente, que se halla multiplicando la tensión de la corriente en voltios por la intensidad en amperios. Normalmente, en las es- pecificaciones técnicas de los SAI, la potencia va expresada en esta unidad. La relación entre VA y W se denomina factor de potencia y su valor está siempre entre 0 y 1 (normalmente alrededor de 0,6), ya que la potencia real siempre es mayor que la aparente. Instalación y gestión de un SAI Independientemente del tipo de SAI que estemos utilizando, la instalación y gestión de todos ellos se lleva a cabo siguiendo un procedimiento similar. En primer lugar, hay que buscar aquella ubicación para el dispositivo que permita un funcionamiento óptimo. Una base estable y una ventilación adecuada, sin objetos encima o alrededor, harán que el SAI rinda mucho mejor. Protección Física y Ambiental | 19 El siguiente paso es la conexión del SAI. Estos equipos requieren dos tipos de conexión: - Conexión eléctrica: para cumplir su función, estos dispositivos tienen que ir co- nectados por un lado a la red eléctrica y por otro al equipo informático al que van a proteger. El SAI habitualmente contará con conexiones tipo IEC320 suficientes y suele incluir los cables necesarios para conectarse con el ordenador. Si no las tu- viera, el remedio es utilizar una regleta. - Conexión de datos: una vez realizadas las conexiones eléctricas, llega el momento de conectar el cable de datos al sistema informático para poder gestionar el SAI, bien por el ordenador local o a través de una red (conexión de comunicaciones). Esta última conexión se suele realizar por alguno de los puertos serie o la interfaz de red. Los SAI permiten varios esquemas de conexión de datos: - Conexión monopuesto local: un único SAI va conectado a un único equipo local. En estos casos la conexión entre el ordenador y el SAI se realiza a través de los puertos serie: USB o RS-232C. - Conexión de la batería del SAI a una LAN: la batería del SAI se conecta, a través de un switch, a la red por TCP/IP y se gestiona mediante un servidor de la red o bien de equipos remotos de Internet. - Otras: dependiendo de la envergadura de la red, el tipo de SAI, etc., pueden usarse otras conexiones. En estos casos lo mejor es consultar las recomendacio- nes de los fabricantes. Una vez realizadas todas las conexiones, ya se puede encender el equipo. Aun- que es posible que el sistema operativo detecte el SAI, para mejorar su utiliza- ción lo mejor es utilizar los drivers del fabricante. Los SAI disponen de diversos avisos sonoros y/o luminosos para llamar la atención acerca de las incidencias que pueden suceder al encenderlos (aviso de batería baja, sobrecarga, etc.). La primera vez, hay que tener en cuenta que la batería no tendrá suficiente carga, por lo que hay que esperar unas cuantas horas hasta que se cargue totalmente. Una vez conectado, habrá que configurar el SAI de acuerdo a las preferencias de cada usuario y ya se podrá gestionar su utilización desde el propio equipo a través de programas específicos. En concreto se podrán definir prioridades de apagado entre todos los equipos conectados en función de su importancia, programar las labores de encendido y apagado de los equipos conectados a la red para una mejor eficiencia y ahorro energéticos, monitorizar la actividad del SAI y el envío de mensajes de alerta e informes al administrador de la red a través de SMS, email, etc. Ver: https://www.youtube.com/watch?v=7uj4WNRj1RE Protección Física y Ambiental | 20 Bibliografía - Documentos.pdf proporcionados en el espacio de la materia en la Plataforma de la Universidad. - Seguridad informática (https://bibliotecas.ucasal.edu.ar/opac_css/index.php?lvl=cmspage&pageid=38&id_article=149) Ed.: Macmillan Iberia, S.A., Au- tor:Gema Escrivá Gascó. Bibliografía complementaria - Normas ISO: https://normaiso27001.es/a11-seguridad-fisica-y-del-entorno/ TRABAJO PRÁCTICO N° 2 - ACTIVIDAD OBLIGATORIA Debe ser enviada para su evaluación 1.- Describe con tus palabras la Configuración y gestión de un SAI. 2.- Enuncia que factores o Consideraciones se debe tener en cuenta para un co- rrecto dimensionamiento de un SAI y justifique. 3.- Dispones de un SAI de 300 VA con el que quieres proteger un ordenador que tiene instalada una fuente de alimentación de 250 W. ¿Sería suficiente? 4.- Busca un SAI adecuado para el aula de clase compuesto por: a.- 17 ordenadores. b.- 17 monitores. c.- 2 switch. d.- 1 pizarra eléctrica. 5.- ¿Qué dispositivos deberíamos conectar al SAI? Justifica tu respuesta. Protección Física y Ambiental | 21 UNIDAD III: Seguridad de Equipamiento y Políticas Repasando sobre los CPD: Seguridad del equipamiento y de los activos fuera de las instalaciones CPD externo Las pequeñas empresas, que no dispongan de medios económicos ni espacio para tener un CPD propio, pueden utilizar uno ya existente de otra empresa o bien crear uno nuevo entre varias pequeñas empresas y compartirlo. Con ello se consigue tener un CPD a menor precio con prácticamente la misma funcionalidad. Características constructivas y de disposición De todo lo expuesto se deduce que los centros de proceso de datos necesitan cumplir ciertos requisitos constructivos y de disposición de sus distintos elementos (cableado, instalación, aislamientos, etc.) que les permitan llevar a cabo su función con eficacia y seguridad. A la hora de configurar un CPD habrá que tener en cuenta el tipo de datos que van a manejarse, el número de equipos que va a contener y su tipología. Por ello, cada empresa, en función de su volumen y su actividad, dimensionará el CPD de acuerdo a sus necesidades. Por ejemplo, el CPD de una empresa mediana con pocos reque- rimientos de datos puede ocupar una pequeña habitación, mientras que cada uno de los data center de Google está enclavado en un enorme edificio en el que hay aloja- dos decenas de contenedores, cada uno de los cuales incluye más de 1000 servido- res. Por tanto, hay que diferenciar los supuestos de que el CPD ocupe un edificio específico del supuesto en que ocupe una parte del edificio en el que se ubican las oficinas de la empresa. - Edificio dedicado: debe encontrarse en una zona lo más segura posible frente a catástrofes naturales (incendios, inundaciones, terremotos, etc.). La zona debe presentar escasa o nula actividad sísmica o, de lo contrario, debe contar con características técnicas preparadas para este tipo de sucesos. Todo el centro de proceso de datos suele rodearse de un encofrado que lo aísla de fenóme- nos ambientales externos y asegura sus propiedades ignífugas. Una falta de control de la seguridad de los equipos permite la materialización de po- tenciales amenazas, entre otras posibles, como: Protección Física y Ambiental | 22 Sistemas de seguridad del CPD Además de contar con unas características cons- tructivas y de ubicación especiales, la sala o edificio dedicado a CPD debe contar con medidas de seguridad adecuadas frente a cualquier tipo de riesgos. Sistemas contra incendios El CPD debe disponer de medidas para su protección frente a incendios (detectores, extintores, mangueras, etc.). En salas informáticas y CPD el material debe ser igní- fugo en la medida de lo posible. El material de extinción de incendios debe ser ade- cuado a los equipos existentes; se estima que los sistemas más adecuados son los que utilizan el agua como agente extintor y el nitrógeno como agente impulsor (siste- mas de agua nebulizada), frente a los agentes extintores gaseosos. Además de ser más respetuosos con el medio ambiente, la extinción de incendios mediante agua nebulizada es inocua para los equipos protegidos y únicamente eli- mina el oxígeno en la zona de contacto directo con la llama, por lo que no supone un riesgo para el personal que se encuentre en la sala. Sistemas eléctricos En primer lugar, las instalaciones eléctricas deben ser adecuadas a la carga estimada que van a soportar, teniendo en cuenta cierta previsión de futuro para posibles nue- vas exigencias. Pero una instalación muy completa genera mucho cableado; por ello, el diseño de las canalizaciones es vital para, por un lado, aislar adecuadamente los cables y, por otro, que estos no ocasionen un problema en sí mismos al estar visibles y poder ocasionar caídas u otro accidente. Por ello, la canalización, tanto vertical como horizontal, debe realizarse a través de falsos techos y falsos suelos, que no hagan visibles los cables. En caso de que tengan que establecerse canalizaciones a la vista, hay que tratar de que estén en zonas donde no molesten (por ejemplo, en- cima de los armarios). Las canalizaciones, por su parte, deben asegurar el perfecto aislamiento de las líneas eléctricas frente a interferencias, humedades, etc. Las líneas eléctricas y de datos deben quedar separadas entre sí, para evitar daños o interferencias. Además, los servidores van provistos de fuentes de alimentación redundantes para evitar que un fallo en una fuente de alimentación deje al servicio sin energía. Por ello, es básico que los CPD cuenten con dos acometidas de potencia diferentes en cada rack, de forma que cada una de las fuentes de alimentación de los servidores se conecte a una regleta distinta. Si se llegara a quemar o estropear una regleta ello no interrumpiría el servicio debido a que el servidor seguiría recibiendo potencia a través de la otra. Como hemos visto, el SAI es imprescindible en los sistemas informáticos, pero, en estos casos, además, al sistema de SAI se le suele añadir un generador que permita funcionar al CPD de forma autónoma en caso de grandes paradas en el suministro eléctrico. Climatización Dadas las especiales características de los equipos existentes en un CPD y su sen- sibilidad a las condiciones climáticas (temperatura y humedad), estos centros deben contar con unos sistemas de climatización que garanticen que dichas condiciones sean las óptimas. La climatización de un CPD no consiste en la mera instalación de Protección Física y Ambiental | 23 equipos de aire acondicionado. Dado que se trata de una sala cerrada y llena de ordenadores y equipos que producen calor, hay que pensar en algún sistema que elimine todo este calor, inyecte aire libre de partículas y mantenga también unas con- diciones óptimas de temperatura (17-19 ºC) y humedad, recomendándole una hume- dad relativa del 45% (±5%). Para ello, hay que cuantificar y estimar la carga térmica de la sala con el fin de dimensionar bien el sistema de refrigeración. Existen varias formas de inyectar aire dentro de la sala, por el techo o por el suelo, formando lo que se llaman “pasillos fríos”. De la misma forma, las salidas de aire caliente de los equipos se deben disponer de forma que se puedan direccionar hacia un mismo sitio con el fin de ser recogido por extractores de aire para su enfriamiento y filtrado. La zona donde se mueve todo este aire cálido se denomina “pasillos ca- lientes”. Los servidores no incorporan ventiladores debido a que estos serían inca- paces de enfriar suficientemente las temperaturas que se producen por las altas capacidades de proceso actuales. En su lugar, lo que llevan son disipadores y turbinas. Su estruc- tura se diseña de forma que se favorezcan lo más posible las corrientes de aire desde la parte frontal hacia la trasera atravesando los disipadores. Las turbinas contribuyen a generar ese ciclo de aire. Y en esto es básico que el CPD esté configurado en torno a pasillos fríos y pasillos calientes, aislados unos de otros. Datos Un centro de proceso de datos debe contar con redes y equipos robustos, los cuales deben poder soportar sistemas de comunicación de alta velocidad y altas prestacio- nes capaces de atender al tráfico de redes SAN (Storage Area Networks), NAS (Net- work Attached Storage), granjas de distintos tipos de servidores, servidores blade y otros dispositivos diversos. Pero además de contar con unos equipos adecuados a la función requerida, en el apartado de datos es fundamental contar con un cableado adecuado, respecto del que se adopten análogas medidas de aislamiento y conducción de las que hemos expuesto para el cableado eléctrico. Los cables de datos serán tanto de tipo Ethernet como de fibra óptica y la primera medida de aislamiento es mantenerlos convenientemente separados de los cables eléctricos para evitar interferencias electromagnéticas que afecten a su eficacia. Protección Física y Ambiental | 24 En segundo término, estos cables de datos deben quedar ocultos por falsos techos y suelos, pero a la vez deben ser fácilmente accesibles para los técnicos y dejar espacio suficiente para su manipulación y sustitución. Las canalizaciones deben es- tar diseñadas de forma que los técnicos no tengan opciones a la hora de llevar el cableado de un punto a otro, sino que el camino esté claramente definido. Final- mente, las redes de cableado de datos deberán contar con la suficiente protección para evitar cualquier daño accidental. Centros de respaldo A lo largo de este epígrafe, hemos visto la importancia de las salas de servidores, centros de proceso de datos y las medidas que se pueden adoptar para protegerlos de posibles riesgos de todo tipo. Pero por muchas medidas que se adopten, siempre puede ocurrir algún suceso imprevisto y desastroso que lo destruya absolutamente todo (terremoto, ataque terrorista, etc.). Esto hace, que, de forma adicional a todas las medidas expuestas, muchas empresas mantengan o contraten centros o salas de respaldo (en inglés DRS, Disaster Reco- very Sites), que son réplicas, más o menos exactas, del CPD principal, diseñadas para que, en caso de fallo de este, puedan tomar el control del sistema, evitando la pérdida de datos. La primera medida a la hora de diseñar uno de estos centros es la separación física de la sala de servidores para intentar que cualquier eventualidad que pudiera afectar a uno no impacte en el otro. Se estima que la distancia óptima se encuentra en torno a 20-40 km, ya que tiene en cuenta los condicionantes de seguridad y las limitaciones impuestas por las líneas de comunicación existentes entre ambas. En cuanto al diseño del centro de respaldo y a los equipos con que debe contar, hay que tener en cuenta que los costes son un factor fundamental en la seguridad. Así, a la hora de plantear un centro de respaldo hay que tener siempre en mente durante cuánto tiempo es asumible que los sistemas de la organización estén parados en caso de desastre y cuántos recursos estamos dispuestos a invertir para minimizar ese tiempo de parada. Basándonos en estos dos criterios, coste y tiempo, y dado que no es estrictamente necesario que ambas salas estén dotadas del mismo equipamiento, existen varias tipologías para el centro de respaldo: - Cold site o sala fría: es un CPD externo a la organización con toda la infraestruc- tura necesaria en cuanto a climatización, potencia eléctrica, etc., para poner en marcha un CPD semejante al nuestro. En caso de contingencia, habría que trasla- dar allí los servidores y reinstalar todo el sistema a partir de copias de seguridad, por lo que la puesta en funcionamiento es de más de una semana, si bien es la solución más barata. - Hot site o sala caliente: es un CPD con comunicaciones, sistemas y software aná- logo al principal (aunque puede estar dimensionado a la mitad de capacidad de cálculo y memoria para ahorrar). En caso de contingencia, solo hay que restaurar los datos al último momento disponible en los backups, por lo que la puesta en funcionamiento es inferior a un día, pero su coste de mantenimiento es mayor, puesto que cualquier modificación que se haga en el principal debe realizarse tam- bién en el centro de respaldo. - Mutual backup: en este caso, se llega a un acuerdo con otra organización para ejercer de centro de backup mutuo entre sí. En este sentido, cada organización reserva un espacio de su CPD para los servidores de respaldo de la otra Protección Física y Ambiental | 25 organización. Estos pueden estar apagados (con lo que la solución se aproxima a la de la sala fría) o bien estar encendidos funcionando al modo de una sala caliente. - Mirror site o centro espejo: es una evolución de la sala caliente en la que los datos son replicados en tiempo real de un CPD a otro, por lo que el paso de un CPD a otro es bastante rápido al no tener que realizar restauración de datos. - Configuraciones activo-activo: todas las configuraciones anteriores son de tipo activo-pasivo. Para organizaciones que no pueden permitirse un solo momento de parada se utilizan configuraciones de tipo activo- activo entre CPD en las que los sistemas están configurados en clústeres geográficos repartidos en ambos CPD. Los usuarios trabajan indistintamente y de forma transparente con los sistemas de uno u otro en todo momento y, en caso de caída total de un CPD, el servicio no se ve afectado debido a que el otro puede funcionar de forma autónoma. Protección Física y Ambiental | 26 Normas ISO/IEC 27000 Para gestionar de forma adecuada la seguridad de la información se han desarrollado un conjunto de estándares que se han convertido en el marco para establecer, im- plantar, gestionar y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Son las normas ISO/IEC 27000, desarrolladas por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission). En coordinación con las medidas tecnológicas ISO 27001 en esta sección del capí- tulo nos centraremos en la necesidad de identificar y establecer medidas de control físicas para proteger adecuadamente los activos de información para evitar inciden- tes que afecten a la integridad física de la información o interferencias no deseadas. Citando la norma: OBJETIVO 1: Áreas seguras Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones de procesamiento de información y la información de la organización. 11.1.1.- Perímetro de seguridad física. 11.1.2.- Controles de acceso físico. 11.1.3.- Seguridad de oficinas, despachos e instalaciones. 11.1.4.- Protección contra amenazas externas y del ambiente. 11.1.5.- El trabajo en las áreas seguras. 11.1.6.- Áreas de entrega y de carga. 11.1.2.- Controles de acceso físico Aquellas áreas que se consideran seguras deben estar protegidas por controles de entrada que permitan solo personal autorizado: - Los visitantes deben autenticarse: se debe registrar su fecha y hora de entrada / salida. - Monitorización: La actividad debe ser monitoreada de acuerdo con la evaluación de riesgos. - Comunicación: Se debe informar a los trabajadores que acceden sobre los proce- dimientos de seguridad y emergencia (especialmente en el caso de los centros de datos) y se les debe otorgar acceso para fines específicos. - Personal Externo: Si hay personal externo autorizado y realizan el trabajo si ser acompañados por personal propio en una sala de servidores o centro de datos, debemos asegurarnos de que el acceso a otras áreas estén bloqueadas y que todo el cableado esté seguro. Se aconseja realizar una inspección física de las instala- ciones al finalizar los trabajos. - Identificaciones: Al personal que trabaje en áreas seguras se le debe exigir llevar identificación y cualquier persona que no use la identificación requerida debe ser notificada a los empleados de seguridad. - Revisión de permisos: Los derechos de acceso deben revisarse periódicamente y revocarse según corresponda. Protección Física y Ambiental | 27 11.1.3.- Seguridad de oficinas, despachos e instalaciones En cuanto a las instalaciones deben diseñarse para evitar al máximo posible el riesgo que la información confidencial sea accesible para los visitantes. Se debe considerar la posibilidad de en uso de técnicas de enmascaramiento (“mas- king”) de datos referidos a nombres o actividades de clientes. Supongamos por ejemplo el caso de un centro de tratamiento de datos donde mu- chas líneas telefónicas están abiertas en cualquier momento o situaciones como la formación de usuarios o pruebas de software. 11.1.4.- Protección contra amenazas externas y del ambiente En un mundo de crecientes inestabilidades y amenazas terroristas y de un clima im- predecible, se debe considerar, diseñar y aplicar la protección física contra factores externos. Si bien las leyes vigentes nos obligan a tener planes de protección y emergencias deberíamos ir más allá y si fuera necesario buscar asesoramiento especializado. También podríamos pensar que las amenazas externas y del medioambiente quedan cubiertos con el desarrollo de “Planes de Continuidad del Negocio” y de “Recuperación ante desastres”, sin embargo convendría considerar en este apartado las medidas de protección contra inundaciones, incendios y terremotos para mitigar sus efectos. 11.1.5.- El trabajo en las áreas seguras Adicionalmente a las medidas de protección física en las áreas seguras deberíamos definir procedimientos de trabajo tales como: - Prohibición de trabajos sin supervisión por parte de terceros. - Revisión de las zonas a la finalización de las visitas. - Prohibición de uso de móviles / cámaras a no ser que estén expresamente autori- zados. 11.1.6.- Áreas de entrega y de carga Los puntos de carga suelen ser puntos sensibles para la seguridad física por lo que deberíamos tomar en cuenta algunos aspectos de control en nuestra evaluación de riesgos tales como: - Horarios definidos de apertura y cierre. - Control de apertura y cierre de puertas externas e internas. - Control de personal. - Realización de inventarios de materiales entregados. - Revisión de mercancías entregadas para detectar materiales peligrosos. - Separar entregas entrantes y salientes. - Necesidad de informar de cualquier incidente a los responsables de seguridad. - Barreras adicionales de seguridad. OBJETIVO 2: Equipamiento Prevenir pérdidas, daños, hurtos o comprometer los activos así como la interrupción de las actividades de la organización. Protección Física y Ambiental | 28 11.2.1.- Ubicación y protección del equipamiento. 11.2.2.- Elementos de soporte. 11.2.3.- Seguridad en el cableado. 11.2.4.- Mantenimiento del equipamiento. 11.2.5.- Retiro de bienes. 11.2.6.- Seguridad del equipamiento y de los activos fuera de las instalaciones. 11.2.7.- Seguridad en la reutilización o eliminación de equipos. 11.2.8.- Equipamiento desatendido por el usuario. 11.2.9.- Política de escritorio y pantalla limpios. Los daños en los equipos pueden causar interrupciones en la actividad de una orga- nización o vulnerar la confidencialidad de la información causada por robos de acti- vos. Veamos los controles que deberemos revisar en nuestra evaluación de riesgos para la seguridad de la información. 11.2.1.- Ubicación y protección del equipamiento Controles para proteger los equipos de daños ambientales y accesos no autorizados: - Evitar accesos no necesarios. - Proteger los equipos de áreas sensibles como centros de datos o salas de servidores. - Controles de protección en lugares de almacenamiento de equipos si estos contie- nen información. - Medidas de protección contra daños eléctricos (fuentes de alimentación reguladas, líneas de alimentación separadas y respaldadas etc.). - Control medioambiental para cumplir con las especificaciones del fabricante en cuanto a condiciones de humedad, temperatura protección contra polvo o materia- les que puedan dañar los equipos. - Medidas de protección contra radiaciones. - Deben establecerse pautas para comer, beber y fumar cerca del equipo para evitar daños o simplemente evitar que los empleados estén en contacto con los equipos si no están trabajando en ellos. 11.2.2.- Elementos de soporte Se trata de establecer medidas de control para el suministro necesario para mantener operativas las instalaciones y los equipos. A menudo este capítulo se pasa por alto en pequeñas y medianas empresas pero conviene que tengamos en cuenta controles para garantizarnos según nuestras po- sibilidades la cobertura ante fallos del suministro eléctrico y las comunicaciones. Los controles de este apartado van enfocados a: - Cumplir con las especificaciones del fabricante de los equipos en cuanto a suminis- tros (eléctrica, gas etc.). - Cumplir los requisitos legales. - Establecer algún proceso de detección de fallos de suministro. - Mantener si es posibles alternativas a fallos de suministro (sistemas de alimentación ininterrumpida, rutas alternativas en comunicaciones etc.). En este apartado deberemos ser imaginativos pues no siempre está a nuestro al- cance poder duplicar las comunicaciones o los suministros de energía eléctrica o gas etc. A veces pasa por reforzar sistemas como Teletrabajo, soportes CLOUD o Protección Física y Ambiental | 29 convenios con empresas más grandes como clientes importantes de confianza con mayor infraestructura en caso de desastres que no podamos asumir. 11.2.3.- Seguridad en el cableado Controles para protección del cableado de energía y de comunicaciones que afecta a los sistemas de información. Se trata de evitar tanto el posible daño de las infraestructuras como las posibles in- terferencias que corrompan los datos o el suministro. Recomendaciones Los cables deben estar bajo tierra hasta el punto de acceso dentro de la instalación, de o alternativamente debería pensarse en otro tipo de protección. Los cables de potencia deben estar separados de los cables de comunicaciones para evitar interferencias. Los puntos de acceso del cableado a los equipos o a las salas deben asegurarse según corresponda y los cables deben estar protegidos. Como medidas adicionales podríamos realizar barridos técnicos de los cables de co- municación para dispositivos no autorizados (bugs y sniffers) conectados al ca- bleado. El cableado alrededor de las salas de servidores y centros de datos debería estar aislado de forma segura para evitar la conexión de dispositivos no autorizados. Finalmente deberemos tener en cuenta siempre el acceso restringido y controlado a las sales de paneles de conexión. 11.2.4.- Mantenimiento del equipamiento Se trata de controles para garantizar que los equipos se mantienen adecuadamente para garantizar que no se deterioren y estén siempre disponibles. Para ello deberíamos tener en cuenta: - Las recomendaciones del fabricante. - Solo personal autorizado debe mantener equipos críticos y se deben mantener re- gistros. - La información sensible debería removerse del equipo cuando sea necesario. - Cumplir con todos los requisitos de las pólizas de seguros. 11.2.5-. Retiro de bienes Cuando se trata de la retirada de un activo de información ya sea equipos, software u otros dispositivos de información deberíamos controlar: - La identificación y autorización de personal autorizado a retirar equipos o activos fuera de la organización. - Fijar límites de tiempo. - Llevar un registro de equipos retirados y de su retorno así como de la identificación de personal. Protección Física y Ambiental | 30 11.2.6.- Seguridad del equipamiento y de los activos fuera de las instalaciones Mantenga un registro de la custodia de los activos que abandonan la organización y realice evaluaciones de riesgo para instalaciones donde serán utilizados. 11.2.7.- Seguridad en la reutilización o eliminación de equipos Para los equipos que van a ser reutilizados deberíamos garantizar: - La información que contenían se ha destruido o sobre escribido correctamente an- tes de su reutilización. - Garantizar que la información se ha eliminado completamente considerando que los formateos estándar no realizan esta tarea de forma adecuada. - Los equipos averiados deben estar sujetos a una evaluación de riesgos antes de disponer de ellos para una reparación. 11.2.8.- Equipamiento desatendido por el usuario Los usuarios no deben dejar las sesiones abiertas mientras el equipo no este aten- dido. Además de los procedimientos de bloqueo de pantalla, la sesión de la aplicación y de la red debe cerrarse cuando las conexiones no se utilizan. Esto debería aplicarse tanto a los dispositivos móviles como a los equipos fijos. 11.2.9.- Política de escritorio y pantalla limpios Una de las políticas de seguridad más fácilmente reconocidas y que más se incumple en la práctica y que podríamos decir que se aplica a todas las personas en todas las organizaciones. Las pantallas no deben mostrar información cuando el equipo no esté en uso y los escritorios deben estar libres de papeles cuando no estén en uso o desatendidos. Dependiendo de la clasificación de los documentos en papel y la cultura de la orga- nización, el papel y los medios extraíbles deben asegurarse según la política cuando no estén en uso. Las evaluaciones de riesgos deberían considerar el uso de tecnologías que permitan realizar copias de la información tales como: Impresoras, fotocopiadoras, escáneres y cámaras (especialmente en teléfonos). Las impresoras se pueden configurar de modo que solo el creador pueda acceder a las copias una vez que se haya ingresado un código en la máquina para evitar el acceso no autorizado. Riesgos asociados Una falta de control de la seguridad de los equipos permite la materialización de po- tenciales amenazas, entre otras posibles, como: - Compromiso de información (espionaje en proximidad, robo de equipos o documen- tos, divulgación, recuperación desde medios reciclados o desechados, manipula- ción de hardware, manipulación de software,...). - Fallos técnicos (exposición de la mantenibilidad del sistema de información...). Protección Física y Ambiental | 31 - Acciones no autorizadas (uso no autorizado de equipos, corrupción de datos, com- portamientos no autorizados, procesamiento ilegal de datos,...). - Compromiso de las funciones (suplantación de identidad, exposición de la disponi- bilidad del personal,...). Controles del riesgo - Emplazamiento y protección de equipos: Los equipos se deberían emplazar y proteger para reducir los riesgos de las amenazas y peligros ambientales y de opor- tunidades de acceso no autorizado. - Instalaciones de suministro: Los equipos deberían estar protegidos contra cortes de luz y otras interrupciones provocadas por fallas en los suministros básicos de apoyo. - Seguridad del cableado: Los cables eléctricos y de telecomunicaciones que trans- portan datos o apoyan a los servicios de información se deberían proteger contra la intercepción, interferencia o posibles daños. - Mantenimiento de los equipos: Los equipos deberían mantenerse adecuadamente con el objeto de garantizar su disponibilidad e integridad continuas. - Salida de activos fuera de las dependencias de la empresa: Los equipos, la información o el software no se deberían retirar del sitio sin previa autorización. - Seguridad de los equipos y activos fuera de las instalaciones: Se debería apli- car la seguridad a los activos requeridos para actividades fuera de las dependencias de la organización y en consideración de los distintos riesgos. - Reutilización o retirada segura de dispositivos de almacenamiento: Se deberían verificar todos los equipos que contengan medios de almacenamiento para garantizar que cualquier tipo de datos sensibles y software con licencia se hayan extraído o se hayan sobrescrito de manera segura antes de su eliminación o reutilización. - Política de puesto de trabajo despejado y bloqueo de pantalla: Se debería adoptar una política de puesto de trabajo despejado para documentación en papel y para medios de almacenamiento extraíbles y una política de monitores sin infor- mación para las instalaciones de procesamiento de información. Equipamiento desatendido por el usuario Los usuarios no deben dejar las sesiones abiertas mientras el equipo no esté aten- dido. Además de los procedimientos de bloqueo de pantalla, la sesión de la aplicación y de la red debe cerrarse cuando las conexiones no se utilizan. Esto debería aplicarse tanto a los dispositivos móviles como a los equipos fijos. Los usuarios se deberían asegurar de que los equipos no supervisados cuentan con la protección adecuada. Política de escritorio y pantalla limpios Una de las políticas de seguridad más fácilmente reconocidas y que más se incumple en la práctica y que podríamos decir que se aplica a todas las personas en todas las organizaciones. Las pantallas no deben mostrar información cuando el equipo no esté en uso y los escritorios deben estar libres de papeles cuando no estén en uso o desatendidos. Protección Física y Ambiental | 32 Dependiendo de la clasificación de los documentos en papel y la cultura de la orga- nización, el papel y los medios extraíbles deben asegurarse según la política cuando no estén en uso. Las evaluaciones de riesgos deberían considerar el uso de tecnologías que permitan realizar copias de la información tales como: Impresoras, fotocopiadoras, escáneres y cámaras (especialmente en teléfonos). Las impresoras se pueden configurar de modo que solo el creador pueda acceder a las copias una vez que se haya ingresado un código en la máquina para evitar el acceso no autorizado. Bibliografía - Documentos.pdf proporcionados en el espacio de la materia en la Plataforma de la Universidad. - Seguridad informática (https://elibro.net/es/lc/ucasal/titulos/43260) Ed.: Macmi- llan Iberia, S.A., Autor: Gema Escrivá Gascó. Bibliografía complementaria - Normas ISO: https://normaiso27001.es/a11-seguridad-fisica-y-del-entorno/ TRABAJO PRÁCTICO N° 3 - ACTIVIDAD OBLIGATORIA Debe ser enviada para su evaluación 1.- CPD: Explica mediante videos como son los CPD's de Google, facebook, Inter- xion, etc... explicando sus controles de acceso y seguridad, sistemas de efi- ciencia energética, recursos humanos, sistemas de refrigeración y como són los servidores, rack's, cableado, copias de seguridad, etc… 2.- Accede a la página web del Área de Sistemas de Información y Comunicacio- nes de la Universidad Politécnica de Valencia. (www.asic.upv.es). Indica las tareas que realiza y los servicios que ofrece. ¿Se le puede considerar un centro de proceso de datos? ¿Por qué? 6·· ¿Cuál es el sistema de extinción de incen- dios más adecuado para ser utilizado en un CPD? ¿Por qué? 3.- Realiza un esquema de la distribución adecuada de un CPD compuesto por seis filas de racks, para optimizar su climatización. Indica dónde estarán los pa- sillos fríos y calientes, por dónde se inyectará el aire frío y por dónde se ex- traerá el aire caliente. 4.- Investiga en Internet cómo se lleva a cabo el proceso de replicación de la infor- mación entre el CPD principal y el de centro de respaldo. 5.- En una empresa ocurren muchos incidentes de seguridad; algunos son de pe- queña importancia, como las frecuentes interrupciones en la conexión a inter- net, y otros son más críticos, como las paradas del sistema durante jornadas completas, debido a errores en los servidores. También se producen fugas de información, pequeños hurtos de periféricos, y otros accesorios. La empresa también es consciente del incumplimiento de alguna ley referente a la informa- ción. La Dirección expone la situación, y pide que se proponga un plan de ac- ción para corregir todos esos problemas. Resumir brevemente las acciones a realizar, dando al menos una justificación de las mismas. Protección Física y Ambiental | 33 Actividades Finales de Autoevaluación N° 1 1.- ¿Qué es la seguridad física? 2.- ¿Cuáles son los factores de riesgo a que están expuestos los equipos informáti- cos? 3.- Intente clasificar las siguientes amenazas según sean “naturales o fabricadas”, “accidentales o intencionadas”, y “humanas o ambientales”, justificando las su- posiciones que se precisen añadir: a.- incendio del edificio, b.- sismo, c.- inundación por precipitaciones, d.- guerra, e.- robo, f.- virus informático, g.- fallo en disco duro. 4.- Identifique las amenazas y vulnerabilidades que permitieron la ocurrencia de los siguientes incidentes de seguridad, así como los daños producidos: a.- Un virus ha borrado archivos del sistema operativo, y ahora no arranca. b.- El incendio de la Torre Windsor destruyó los servidores del centro de pro- ceso de datos, perdiéndose muchos archivos digitales. 5.- El café se cayó sobre el teclado, produciendo un cortocircuito que apagó el or- denador, y se perdieron los documentos que no se habían guardado. 6.- Investigue qué salvaguardas ambientales puede incorporar un ordenador en sus subsistemas: placa base, fuente de alimentación, discos duros, y chasis interno. 7.- Enumera las características que deben cumplir las instalaciones para proteger adecuadamente los equipos informáticos. 8.- ¿Qué tipos de sistemas biométricos pueden implementarse? Enuncia y describe brevemente cada uno de ellos. 9.- ¿Qué es y para qué sirve un SAI? 10.- ¿En qué magnitud se mide la carga de un SAI? 11.- Explica brevemente los distintos tipos de SAI. Actividades Finales de Autoevaluación N° 2 1.- ¿Por qué los CPD se suelen ubicar en las plantas bajas o en los sótanos de los edificios? 2.- Porque es más fácil hacer un sistema de climatización. 3.- ¿Qué diferencias hay entre un centro de datos configurado como cold site, hot site o mirror site, desde el punto de vista de cada uno y el tiempo que se tardaría en recuperar la información? ¿Cuál sería el más adecuado para una empresa de venta de productos por Internet? ¿Por qué? 4.- Indica que factores de riesgo están expuestos en los siguientes equipos: a.- Ordenador ubicado en el sótano sin ventilación del almacén de una tienda de pirotécnica. b.- Ordenador situado en un hospital, en el archivo de las historias clínicas en papel. 5.- Lee la norma ISO 27001 - A11 SEGURIDAD FÍSICA Y DEL ENTORNO - DIS- POSITIVOS MÓVILES Y TELETRABAJO 6.- Evalúe qué activos de información considera que están involucrados en el tele- trabajo. 7.- Realizar una evaluación de riesgos aplicada a los activos de la información de- tectados en el punto anterior y a las actividades del teletrabajo. 8.- Aplicar los controles adecuados para mitigar los riesgos identificados. Protección Física y Ambiental | 34 Sistema de Educación a Distancia - SEAD Dirección de Diseño y Desarrollo Instruccional Edición © UCASAL Este material fue elaborado por la Prof. Sofía Montenegro en conjunto a la Dirección de Diseño y Desarrollo Instruccional del Sistema de Educa- ción a Distancia con exclusivos fines didácticos. Todos los derechos de uso y distribución son reservados. Cualquier copia, edición o reducción, corrección, alquiles, intercambio o contrato, préstamo, difusión y/o emisión de exhibiciones públicas de este material o de alguna parte del mismo sin autorización expresa, están terminantemente prohibidos y la realización de cualquiera de estas actividades haría incurrir en responsabilidades legales y podrá dar lugar a actuaciones penales. Ley 11.723 - Régimen Legal de la Propiedad Intelectual; Art. 172 C.P.

protec_fisica_amb_MU.pdf

Document Details

Tags

Related

Full Transcript

Upgrade to continue