0

Seguridad Física: otro aspecto a tener en cuenta

Al hablar de seguridad se piensa principalmente en que fuera hay personas que quieren entrar, por lo que se enfatiza en las medidas perimetrales de seguridad. El problema es que existe una alta probabilidad de que un ataque provenga desde dentro de la organización, ya sea intencionado o accidental y en formas que ni siquiera se han contemplado.

Por ello es importante tener en cuenta la seguridad física de entornos informáticos.

Este aspecto muchas veces olvidado, bien por desconocimiento o por simple simple exceso de confianza, tendría que atenderse no solo si se tiene una gran cantidad de servidores, también tendría que ser tomado en cuenta para cualquier tipo de sistema que requiera brindar las premisas básicas de seguridad:

* Integridad: la información sólo puede ser modificada por quien está autorizado y de manera controlada.
* Confidencialidad: la información sólo debe ser legible para los autorizados.
* Disponibilidad: debe estar disponible cuando se necesita.
* Irrefutabilidad (No repudio): el uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no pueda negar dicha acción.

Uno de los puntos más afectados en cuanto a la seguridad física es el de la Disponibilidad. Un simple error de cálculo y el servidor de producción que está encima del escritorio de la secretaria puede terminar en el suelo. O bien, una persona malintencionada puede realizar una Denegación de Servicio (ataque DoS) simplemente con un martillo o llevándose el servidor. De igual forma puede hacerse un DoS simplemente desconectando el cable de red o electricidad, los cuales suelen estar al alcance de cualquiera.

Existen diversos peligros físicos que pueden comprometer la seguridad de la información. Entre ellos se encuentran los peligros del entorno: fuego, humo, polvo, terremotos, humedad, agua, etc. También se podrán encontrar los peligros por vandalismo o robo mediante acceso físico al lugar donde están los servidores que contienen los datos.

A modo de ejemplo:

- Acceso físico a la empresa: debe controlarse quién entra a la organización.

- Acceso al entorno informático: un ejemplo simple es el de usar un área aislada con llave para impedir el ingreso a cualquier persona que no esté autorizada.

- Seguridad contra incendios: para esto se requiere controlar varios aspectos como la instalación eléctrica y evitar el material inflamable dentro del entorno informático. También se debe contar con detector de humo y un extintor de incendios no corrosivo como los que usan CO2 para apagar el fuego. Tener en cuenta que el extintor de incendios de polvo común es altamente corrosivo para los materiales electrónicos. Se provocará más daño que con el incendio.

- Protección de copias de seguridad: hacer backup es una necesidad para cualquier sistema, eso es indiscutible, pero es importante que estas copias de seguridad estén protegidos. Una de esas medidas es sacar las copias de seguridad de la organización para evitar que sean afectados por un siniestro u otra contingencia, por ejemplo mediante el backup online.

En este sentido, resulta también sumamente interesante contratar un servicio complementario de seguro de recuperación de datos; de esta manera, si incluso las copias de seguridad fallasen, la compañía podría acceder a un servicio de recuperación de datos desde 15 euros, en lugar de los 1.500 euros habituales para este tipo de servicios especializados.

- Servidores de repuesto: ya sea contar con un servidor de producción completo o con partes susceptibles a roturas (discos duros, fuente, etc). También se puede contar con un sistema que no requiera la atención humana para entrar en funcionamiento ante una caída. Estos sistemas se denominan de alta disponibilidad.

- Sistema de SAI (Sistema de Alimentación Ininterrumpida) o UPS: no sólo para poder seguir funcionando. El hardware de los servidores responde muy mal a las caídas de tensión aumentando el riesgo de roturas en los equipos.

Existen otros puntos a tener en cuenta y sería importante contar con el asesoramiento de un profesional en seguridad informática para poder realizar un control sobre las medidas de seguridad física con las que su organización cuenta.

Lo importante es comenzar a realizar este tipo de tareas preventivas para evitar tener pérdidas mayores ante cualquier incidencia.

0 Comments

Publicar un comentario

Copyright © 2010 Seguridad Informática All rights reserved. Theme by Laptop Geek. | Bloggerized by FalconHive.