Seguridad física en el área de informática

Es muy importante ser consciente que por más que nuestra empresa sea la más segura
desde el punto de vista de ataques externos, Hackers, virus, etc; la seguridad de la misma será
nula si no se ha previsto como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un
sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros,
como la detección de un atacante interno a la empresa que intenta a acceder físicamente a
una sala de operaciones de la misma.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una
cinta de la sala, que intentar acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la "aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante amenazas a
los recursos e información confidencial". Se refiere a los controles y mecanismos de
seguridad dentro y alrededor del Centro de Cómputo, así como los medios de acceso remoto
al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento
de datos.
Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos --
generalmente de prevención y detección-- destinados a proteger físicamente cualquier
recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup
con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.
Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos
importante y restrictiva, aunque siempre deberemos tenerla en cuenta.
A continuación, mencionaremos algunos de los problemas de seguridad física con los
que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos
minimizar su impacto.

Aspectos y elementos físicos de seguridad informática.

Los aspectos y elementos físicos en el área de informática permiten tomar medidas
de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado
a material confidencial de una organización.
La seguridad física identifica las amenazas, vulnerabilidades y las medidas que
pueden ser utilizadas para proteger físicamente los recursos y la información de la
organización. Los recursos incluyen el personal, el sitio donde ellos laboran, los datos,
equipos y los medios con los cuales los empleados interactúan, en general los activos
asociados al mantenimiento y procesamiento de la información. La seguridad física es uno
de los aspectos más olvidados a la hora del diseño de un sistema informático. Así, la
Seguridad Física consiste en la aplicación de barreras físicas y procedimientos de control,
como medidas de prevención y contramedidas ante amenazas a los recursos e información
confidencial, la seguridad física Se refiere a los controles y mecanismos de seguridad dentro
y alrededor del Centro de Cómputo, así como los medios de acceso remoto al y desde el
mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
Las principales amenazas que se prevén en la seguridad física son:
 Desastres naturales, incendios accidentales tormentas e inundaciones.
 Amenazas ocasionadas por el hombre.
 Disturbios, sabotajes internos y externos deliberados.

A continuación, se analizan los peligros más importantes que se corren en un centro

de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz
y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos
de riesgos.
1. Inundaciones
Se las define como la invasión de agua por exceso de escurrimientos superficiales o
por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.
Esta es una de las causas de mayores desastres en centros de cómputos.
Además de las causas naturales de inundaciones, puede existir la posibilidad de una
inundación provocada por la necesidad de apagar un incendio en un piso superior.
2. Robo
Las computadoras son posesiones valiosas de las empresas y están expuestas, de la
misma forma que lo están las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para realizar
trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina.
La información importante o confidencial puede ser fácilmente copiada. Muchas empresas
invierten millones de dólares en programas y archivos de información, a los que dan menor
protección que la que otorgan a una máquina de escribir o una calculadora. El software, es
una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin
dejar ningún rastro
3. Fraude
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones,
las computadoras han sido utilizadas como instrumento para dichos fines.
 Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados,
fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no
se da ninguna publicidad a este tipo de situaciones.
4. Sabotaje
El peligro más temido en los centros de procesamiento de datos, es el sabotaje.
Empresas que han intentado implementar programas de seguridad de alto nivel, han
encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede
ser un empleado o un sujeto ajeno a la propia empresa.
Físicamente, los imanes son las herramientas a las que se recurre, ya que con una
ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior
de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos
minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un
techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las
puertas para contener el agua que bajase por las escaleras.
Evaluar y controlar permanentemente la seguridad física del edificio es la base para
o comenzar a integrar la seguridad como una función primordial dentro de cualquier
organismo.
Tener controlado el ambiente y acceso físico permite:
 Disminuir siniestros
 Trabajar mejor manteniendo la sensación de seguridad
 Descartar falsas hipótesis si se produjeran incidentes
 Tener los medios para luchar contra accidentes

No solo las amenazas que surgen de la programación y el funcionamiento de un

dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay
otras circunstancias que deben ser tomadas en cuenta e incluso «no informáticas». Muchas
son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son
las redundancias y la descentralización, por ejemplo, mediante determinadas estructuras de
redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad.

Las amenazas pueden ser causadas por:

Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático.
En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los
casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones
innecesarias, etc.
 Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de
los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador, abriendo
una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus
informático, un gusano informático, un troyano, una bomba lógica, un programa espía o
spyware, en general conocidos como malware.
Errores de programación: La mayoría de los errores de programación que se
pueden considerar como una amenaza informática es por su condición de poder ser usados
como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo,
una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite
evitar este tipo de amenazas
Intrusos: persona que consiguen acceder a los datos o programas a los cuales no
están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).
Un siniestro (robo, incendio, inundación): una mala manipulación o una mala
intención derivan a la pérdida del material o de los archivos.
Personal técnico interno: técnicos de sistemas, administradores de bases de datos,
técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas
internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
Fallos electrónicos o lógicos de los sistemas informáticos en general.
Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.

Protección del Hardware

La seguridad del hardware se refiere a la protección de objetos frente a intromisiones
provocadas por el uso del hardware. A su vez, la seguridad del hardware puede dividirse en
seguridad física y seguridad de difusión. En el primer caso se atiende a la protección del
equipamiento hardware de amenazas externas como manipulación o robo. Todo el
equipamiento que almacene o trabaje con información sensible necesita ser protegido, de
modo que resulte imposible que un intruso acceda físicamente a él. La solución más común
es la ubicación del equipamiento en un entorno seguro.
La seguridad de difusión consiste en la protección contra la emisión de señales del
hardware. El ejemplo más común es el de las pantallas de ordenador visibles a través de las
ventanas de una oficina, o las emisiones electromagnéticas de algunos elementos del
hardware que adecuadamente capturadas y tratadas pueden convertirse en información. De
nuevo, la solución hay que buscarla en la adecuación de entornos seguros.
 Es muy importante ser consciente que por más que nuestra empresa sea la más segura
desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados);
la seguridad de la misma será nula si no se ha previsto como combatir un incendio.
Desastres naturales
Además de los posibles problemas causados por ataques realizados por personas, es
importante tener en cuenta que también los desastres naturales pueden tener muy graves
consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su
implantación.
Algunos desastres naturales a tener en cuenta:
Terremotos y vibraciones
Tormentas eléctricas
Inundaciones y humedad
Incendios y humos.

Los terremotos son el desastre natural menos probable en la mayoría de organismos

ubicados en España, por lo que no se harán grandes inversiones en prevenirlos, aunque hay
varias cosas que se pueden hacer sin un desembolso elevado y que son útiles para prevenir
problemas causados por pequeñas vibraciones:
No situar equipos en sitios altos para evitar caídas.
No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos.
Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos
lanzados desde el exterior los dañen.
Utilizar fijaciones para elementos críticos.
Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones,
En entornos normales es recomendable que haya un cierto grado de humedad, ya que
en si el ambiente es extremadamente seco hay mucha electricidad estática.
No obstante, tampoco interesa tener un nivel de humedad demasiadoa elevado, ya
que puede producirse condensación en los circuitos integrados que den origen a un
cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la
humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles
anómalos.

Control de Accesos
 El control de acceso no sólo requiere la capacidad de identificación, sino también
asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en
restricciones de tiempo, área o sector dentro de una empresa o institución.
Utilización de Detectores de Metales
El detector de metales es un elemento sumamente práctico para la revisión de
personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.
La sensibilidad del detector es regulable, permitiendo de esta manera establecer un
volumen metálico mínimo, a partir del cual se activará la alarma. La utilización de este tipo
de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento
disuasivo.

Verificación Automática de Firmas (VAF)

En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también
podría encuadrarse dentro de las verificaciones biométricas. Mientras es posible para un
falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir
las dinámicas de una persona: por ejemplo, la firma genuina con exactitud. La VAF, usando
emisiones acústicas toma datos del proceso dinámico de firmar o de escribir. La secuencia
sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es
único en cada individuo. El patrón contiene información extensa sobre la manera en que la
escritura es ejecutada. El equipamiento de colección de firmas es inherentemente de bajo
costo y robusto. Esencialmente, consta de un bloque de metal (o algún otro material con
propiedades acústicas similares) y una computadora barata.

Seguridad con Animales: Sirven para grandes extensiones de terreno, y además tienen
órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el
costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de
sistema.Así mismo, este sistema posee la desventaja de que los animales pueden ser
engañados para lograr el acceso deseado.

Alteraciones del entorno

En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten
a nuestros sistemas que tendremos que conocer e intentar controlar.
Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento
habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los
equipos o los cambios bruscos de temperatura.
 Electricidad
Quizás los problemas derivados del entorno de trabajo más frecuentes son los
relacionados con el sistema eléctrico que alimenta nuestros equipos; cortocircuitos, picos de
tensión, cortes de flujo...
Para corregir los problemas con las subidas de tensión podremos instalar tomas de
tierra o filtros reguladores de tensión.
Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI),
que además de proteger ante cortes mantienen el flujo de corriente constante, evitando las
subidas y bajadas de tensión. Estos equipos disponen de baterías que permiten mantener
varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se apaguen de
forma ordenada (generalmente disponen de algún mecanismo para comunicarse con los
servidores y avisarlos de que ha caído la línea o de que se ha restaurado después de una
caída).
Por último, indicar que además de los problemas del sistema eléctrico también
debemos preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar
problemas se pueden emplear espráis antiestáticos o ionizadores y tener cuidado de no tocar
componentes metálicos, evitar que el ambiente esté excesivamente seco, etc.

Ruido eléctrico
El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero
también puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a través
del espacio o de líneas eléctricas cercanas a nuestra instalación
Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es
intentar no situar el hardware cerca de los elementos que pueden causar el ruido. En caso de
que fuese necesario hacerlo siempre podemos instalar filtos o apantallar las cajas de los
equipos.

Temperaturas extremas
No hace falta ser un genio para comprender que las temperaturas extremas, ya sea un
calor excesivo o un frio intenso, perjudican gravemente a todos los equipos. En general es
recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar la
temperatura emplearemos aparatos de aire acondicionado.

Protección de los datos

 Además proteger el hardware nuestra política de seguridad debe incluir medidas de
protección de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la
obtención de información, no la destrucción del medio físico que la contiene.
En los puntos siguientes mencionaremos los problemas de seguridad que afectan a la
transmisión y almacenamiento de datos, proponiendo medidas para reducir el riesgo.

Copias de seguridad
Es evidente que es necesario establecer una política adecuada de copias de seguridad
en cualquier organización; al igual que sucede con el resto de equipos y sistemas, los medios
donde residen estas copias tendrán que estar protegidos físicamente; de hecho quizás
deberíamos de emplear medidas más fuertes, ya que en realidad es fácil que en una sola cinta
haya copias de la información contenida en varios servidores.
Lo primero que debemos pensar es dónde se almacenan los dispositivos donde se
realizan las copias. Un error muy habitual es almacenarlos en lugares muy cercanos a la sala
de operaciones, cuando no en la misma sala; esto, que en principio puede parecer correcto (y
cómodo si necesitamos restaurar unos archivos) puede convertirse en un problema serio si se
produce cualquier tipo de desastre (como p. ej. un incendio). Hay que pensar que en general
el hardware se puede volver a comprar, pero una pérdida de información puede ser
ireemplazable
Así pues, lo más recomendable es guardar las copias en una zona alejada de la sala
de operaciones; lo que se suele recomendar es disponer de varios niveles de copia, una que
se almacena en una caja de seguridad en un lugar alejado y que se renueva con una
periodicidad alta y otras de uso frecuente que se almacenan en lugares más próximos (aunque
a poder ser lejos de la sala donde se encuentran los equipos copiados).
Para proteger más aun la información copiada se pueden emplear mecanísmos de
cifrado, de modo que la copia que guardamos no sirva de nada si no disponemos de la clave
para recuperar los datos almacenados.

Protección contra virus: Los virus son uno de los medios más tradicionales de ataque
a los sistemas y a la información que sostienen. Para poder evitar su contagio se deben vigilar
los equipos y los medios de acceso a ellos, principalmente la red.

PLAN DE CONTINGENCIAS
Se debe definir un plan de contingencias que cubra los siguientes ítems hardware,
software, documentación, talento humano y soporte logístico; debe ser lo más detallado
posible y fácil de comprenden Adicionalmente se debe asignar al personal responsable de dar
a conocer el plan de contingencias a todos los funcionarios del centro de informática y
adiestrarlos en su funcionamiento; también tiene como función realizar revisiones periódicas
del plan y velar por su fácil y permanente actualización, así como de coordinar las
operaciones en caso de presentarse alguna contingencia.
Se deben realizar simulacros periódicamente. Estos deben ser efectuados
sorpresivamente y bajo condiciones críticas, evaluando su resultado con el fin de determinar
su efectividad y si es el caso, hacer los ajustes que sean pertinentes
Debe existir un comité (formalmente constituido que se encargue de diseñar, elaborar,
aplicar, evaluar los planes de contingencias y simulacros de desastres, velar por la seguridad
e integridad de 1a información, de los recursos informáticos y del personal del centro.