Sin lugar a dudas, la seguridad física es uno de los aspectos menos tenido en cuenta a la hora de diseñar sistemas informáticos.

El profesional en seguridad informática, suele ser contactado por clientes que solicitan la implementación de distintos tipos de “productos” de seguridad, tales como Firewalls y Detectores de Intrusos, a pesar de no poseer, por ejemplo, sistemas de resguardo eficientes.

Se define el término Seguridad Física, como el conjunto de mecanismos de prevención y detección, destinados a evitar que la información confidencial, los recursos de los sistemas o su entorno, sean accedidos de forma no autorizada.

La Seguridad Física siempre deberá ser un punto central a la hora de establecer una estrategia de seguridad efectiva.

Gran parte del éxito en las tareas emprendidas por el analista de seguridad, se basan en la acertada administración del riesgo.

El acceso físico no autorizado, los desastres naturales (Inundaciones, Tormentas Eléctricas, Terremotos, etc.) y las alteraciones del entorno (Electricidad, Ruido Eléctrico, Humo, Incendios, Temperaturas Extremas, etc.) suelen ser algunos de los grupos de riesgo más importantes.

Desde el punto de vista “físico”, los riesgos suelen encontrarse relacionados con alguna de las siguientes categorías:

Robo Hurto Destrucción Intencional Destrucción Accidental

Suele decirse que el éxito o fracaso en la implementación de una estrategia de

seguridad, se encuentra relacionado con los recursos humanos en ella involucrados.

La selección de las personas correctas producirá beneficios, no sólo al colaborar con los objetivos específicos propuestos al momento de su incorporación sino también con la aceptación que los mismos tendrán respecto a la seguridad informática.

El conjunto de Políticas y Procedimientos utilizados en una organización, tendrán un gran impacto a la hora de administrar un entorno seguro.

Entre ellas encontramos: Selección y política de personal. Acuerdos de confidencialidad. Finalización del empleo. Capacitación en materia de seguridad de la información. Comunicación de incidentes.

La tarea de selección de personal, al momento de cubrir cualquier tipo de puesto, involucra determinados aspectos que de no ser tenidos en cuenta, podrían devenir en circunstancias no deseadas.

Siempre que sea posible, el departamento de seguridad informática debería participar del desarrollo de ciertas Políticas, como ser:

◦ Política de Contratación◦ Política de Uso Aceptable◦ Política de Ética

Suele ser visto como la confirmación explícita de la confianza pre-establecida al momento de iniciar una relación laboral.

Si bien el detalle contenido en un acuerdo de confidencialidad puede variar, normas tales como la ISO 17799, establecen algunos lineamientos generales:◦ Un “Acuerdo de Confidencialidad” o “No Divulgación”, debe ser

utilizado para reseñar que la información es confidencial o secreta

◦ Debe ser firmado por los empleados, como parte de sus términos y condiciones iniciales de empleo, al momento de su contratación.

◦ El personal ocasional y los usuarios externos, aún no contemplados en un contrato formalizado, deberán firmar el acuerdo mencionado antes de que se les otorgue acceso a las instalaciones de procesamiento de información.

◦ Los acuerdos de confidencialidad deben ser revisados cuando se producen cambios en los términos y condiciones de empleo, en particular cuando el empleado está próximo a desvincularse de la organización o el plazo del contrato está por finalizar.

La terminación de un contrato laboral, muchas veces puede estar signado por aspectos emocionales que en determinadas circunstancias, pueden desembocar en un incidente de seguridad.

Por este motivo, el mismo cuidado puesto en la incorporación del nuevo personal, deberá existir a la hora de terminar la relación laboral establecida entre empleado y empleador.

Una “Política de Finalización”, debería incluir en forma clara y concisa, el procedimiento a seguir desde el punto de vista de la organización, al momento de producida la baja.

El éxito de la implementación de una estrategia de seguridad en una compañía, se encontrará relacionado con cuan involucrado se encuentre el personal en general con la misma.

A fin de lograr este objetivo, todo departamento de seguridad informática debe tener como tarea, el diseño e implementación de un plan de capacitación a usuarios.

Este plan deberá cubrir los siguientes puntos: Importancia de la Seguridad de la Información. Responsabilidad de las personas que conforman la organización,

respecto de la Seguridad de la Información. Políticas y Procedimientos relacionados. Políticas de Uso. Criterio y aspectos a tener en cuenta, a la hora de seleccionar claves

de acceso. Generación de una “Conciencia de Seguridad”. Prevención contra la Ingeniería Social.

Ninguna empresa u organización, se encuentra exenta de ser víctima de un incidente de seguridad.

Se deberá contar con los mecanismos necesarios para estar al tanto de que un incidente ha ocurrido o está ocurriendo en ese mismo momento.

Los incidentes relativos a la seguridad deben comunicarse a través de canales gerenciales apropiados, tan pronto como sea posible.

La seguridad física y ambiental, es una rama en si misma de la Seguridad Informática.

Sus procedimientos asociados, involucran el conocimiento y entendimiento de cada una de las posibles amenazas, así como también los métodos, procedimientos y tecnologías con las que cuenta un profesional al momento de minimizar el riesgo.

Algunos de los principales aspectos a ser tenidos en cuenta, al momento de desarrollar un plan tendiente a administrar la seguridad física de una organización, son:

Selección de la ubicaciónPerímetro de seguridad físicaControl de acceso físicoProtección de locales

Todo centro de cómputo, debe cumplir con una serie de normas ambientales a fin de mantener el grado de seguridad necesario.

El equipamiento instalado debe trabajar en forma eficiente y conservarse en buen estado.

Se deben controlar factores tales como:La emanación de gases corrosivosLa degradación de componentes por la acción del polvoLa humedad del ambienteLa temperatura adecuada, en relación al equipamiento

instaladoLos campos magnéticos actuantesLa condensación y el vaporLa tensión eléctrica

Suelen ser un aspecto clave al momento de diseñar un centro de cómputos seguro.

La selección y uso de extinguidores debe ser considerada una tarea crítica.

Una adecuada política respecto de los extinguidores de incendio, deberá estar compuesta básicamente por el procedimiento al momento de su utilización, y por el control y mantenimiento periódico de su carga útil.

Las combinaciones de detectores de fuego con sistemas de extinción, reciben el nombre de Sistemas Fijos.

Detectan cambios bruscos de temperatura o humo excesivo, actuando consecuentemente disparando diversos mecanismos de supresión de fuego.

Entre los más utilizados, se encuentran la distribución de agua como elemento de extinción, o el suministro de algún tipo de gas a fin de desplazar el oxígeno del ambiente.

La energía, es un factor fundamental en todo centro de cómputos, y como tal debe ser administrado cuidadosamente, a fin de evitar cualquier tipo de incidente.

A la hora de diseñar un centro de cómputo, se deberán realizar los estudios necesarios respecto de los requisitos del equipamiento a instalar en dicha locación, a fin de proveer a los mismos de un adecuado suministro de energía.

Tal como se menciona en las normas ISO 17799, entre las alternativas para asegurar la continuidad del suministro de energía podemos enumerar las siguientes:

Múltiples bocas de suministro para evitar un único punto de falla en el suministro d e energía.

Suministro de energía ininterrumpible (UPS) Generador de respaldo

El cableado en todo Datacenter, debe ser tenido en cuenta al momento de realizar el diseño e implementación del esquema de seguridad.

Cortes accidentales o intencionales, producidos por los propios empleados o por un tercero, suelen significar a menudo un incidente de seguridad que debe ser considerado como un riesgo más.

La norma ISO 17799 plantea los siguientes puntos de control:Las líneas de energía eléctrica y telecomunicaciones que se

conectan con las instalaciones de procesamiento de información deben ser subterráneas o sujetas a una adecuada protección alternativa

El cableado de red debe estar protegido contra interceptación no autorizada o daño, por ejemplo mediante el uso de conductos o evitando trayectos que atraviesen áreas públicas

Los cables de energía deben estar separados de los cables de comunicaciones para evitar interferencias.

Instalación de conductos blindados y cajas con cerradura en los puntos terminales y de inspección.

Uso de rutas o medios de transmisión alternativos.

Uso de cableado de fibra óptica.

Iniciar barridos para eliminar dispositivos no autorizados conectados a los cables.

Pocas cosas son tan importantes en un datacenter, como el propio equipamiento en él instalado.

La selección de dicho equipamiento, podrá significar gran parte del éxito respecto de los servicios informáticos que planea brindar a su corporación.

Deberán poseer una serie de características básicas de seguridad, que sirvan como la última barrera a vencer por un atacante, que haya logrado acceder al perímetro controlado:

Cerraduras bloqueando la extracción de discos hotswap. Alarmas dispuestas en el chasis del equipamiento crítico. Discos con controladoras especiales que impiden su utilización en otro que

no sea el equipo original. Lockers de teclados. Racks con cerraduras. Claves en el setup, etc.

Es una de las principales herramientas a la hora de garantizar la disponibilidad.

Un Cluster no es más que un grupo de computadoras independientes trabajando juntas, como un recurso unificado.

En la mayoría de las configuraciones probables, encontramos:

Activo-ActivoActivo-StandbyTolerante a FallosCualquiera de los “nodos” participantes del cluster, se

encuentra en posición de atender requerimientos de una aplicación, en caso de que el nodo principal sufra un desperfecto.

Otra de las tecnologías de seguridad informática, al momento de asegurar aspectos tales como la disponibilidad, es aquella que se encuentra relacionada con los dispositivos redundantes.

Comúnmente esta tecnología es implementada en sistemas de discos, aunque lo cierto es que no se restringen únicamente a este tipo de dispositivos, por ejemplo:

FuentesPlacas de redMemoria, etc.

Se denomina RAID a la tecnología que utiliza múltiples discos, a la hora de proveer tolerancia a fallos y mejoras en la performance de operaciones de lectura y escritura.

Un RAID es una colección de discos, combinados con un software de control, el cual se encarga de controlar la operación del mismo y presentarlo al SO como un único dispositivo de almacenamiento.

Existen dos posibilidades de implementar un RAID: Software Hardware

De acuerdo a sus características, varias son las designaciones de sistemas RAID:

Requiere al menos de dos discos para ser implementado.

La información es separada en bloques y cada bloque es grabado en una unidad de disco diferente.

El mejor desempeño se alcanza cuando los datos son divididos a través de múltiples controladoras, con tan solo un disco por controladora.

No suele ser realmente considerado como un RAID, ya que no es tolerante a fallas.

La falla de una sola unidad resultaría en una pérdida de información en el arreglo.

RAID 1

Requiere al menos dos unidades de disco para ser implementado.

El disco redundante es una réplica exacta del disco de datos, por lo que se conoce también como disco espejo.

RAID 3 Se requiere como mínimo de tres discos.

Se utiliza la capacidad de un disco para la información de control.

Los datos se dividen en fragmentos que se transfieren a los discos que funcionan en paralelo, lo que permite aumentar en forma sustancial la velocidad general de transferencia de datos.

Se necesita un mínimo de tres unidades para implementar una solución RAID 5.

Este array optimiza la capacidad del sistema permitiendo una utilización de hasta el 80% de la capacidad del conjunto de discos.

Esto lo consigue mediante el cálculo de información de paridad y su almacenamiento alternativo por bloques en todos los discos del conjunto.

RAID 5 es la solución que ofrece la mejor relación de precio, rendimiento y disponibilidad para la mayoría de los servidores.

La definición de políticas y procedimientos relacionados con las operaciones de Backup y Restore de información, es el punto más importante en toda estrategia de seguridad.

Deberá contarse con normas claras que permitan regular:

Información a resguardarFrecuencia de operaciónPersonas que serán responsables de su ejecuciónPeriodicidad con la que se comprobará la efectividad del

sistema implementadoLugar físico donde se almacenarán las copias generadas, etc.

Entre las distintas modalidades de operación, encontramos:

Normal o Full: Copia todos los archivos seleccionados, restableciendo el atributo de archivo modificado a cero

Incremental o Progresiva: Copia los archivos creados o modificados desde la ultima copia de seguridad full o incremental. Marca los archivos como copiados, es decir, cambia el atributo de archivo modificado a cero.

Intermedia o Copia: Copia todos los archivos seleccionados, no marca los archivos como copiados, es decir, no restablece a cero el atributo de archivo modificado. Este método se utiliza cuando se quieren hacer copias de archivos entre procesos normales e incrementales sin que se invaliden los mismos (cintas de resguardo adicionales o espontáneas).

Diferencial: Copia los archivos creados o modificados desde la última copia de seguridad full o incremental. No marca el atributo del archivo como copiado, es decir, no se restablece su valor a cero.

Diaria: Copia los archivos seleccionados modificados durante el día en el que se realiza la copia de seguridad diaria. No marca al archivo como copiado.

Constituyen diferentes esquemas de servicios, generalmente provistos por compañías especializadas.

Brindan a terceros la posibilidad de albergar el desarrollo de sus sitios web, en instalaciones especialmente dispuestas a tal fin.

Toda la responsabilidad respecto de los componentes de Networking (Firewalls, IDS, Routers, etc.) utilizados al momento de brindarle el servicio, recae en el proveedor.

La principal diferencia entre Housing y Hosting, radica que en el primero, el destino final de nuestro sitio, aplicación o servicio web, será un servidor independiente, mientras que en el segundo, un mismo equipo y recursos de hardware, serán utilizados para albergar diferentes sitios, correspondientes a diferentes empresas

Comprende un conjunto de métodos que definen cómo se comunicarán usuarios y sistemas y en qué forma lo harán.

S i Su principal objetivo es el de proteger la información almacenada a través de operaciones informáticas.

Tres son los modelos básicos implementados:

Control de Acceso Discrecional (DAC): Un usuario bien identificado (El creador o propietario del recurso) decide cómo protegerlo mediante ACLs.

Control de Acceso Mandatorio (MAC): Aquí es el sistema quien protege los recursos basado en etiquetas de seguridad (SECRETO, DESCLASIFICADO, etc.). En la práctica los administradores son los únicos autorizados a realizar cambios en los niveles de acceso.

Control de Acceso basado en Roles (RBAC): Permite unificar los modelos DAC y MAC regulando el acceso a la información en función de las actividades y funciones de los usuarios.

La ISO 17799 permite definir como objetivo básico de todo PLAN de Continuidad del Negocio, el “ Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres “.

El analista de seguridad, se encontrará con escenarios complicados en donde la realidad económica, se impondrá a la hora de establecer medidas con costo asociado.

A fin de promover un proyecto exitoso, los procesos involucrados deberán formalizarse adecuadamente.

La participación activa por parte de los actores principales de la organización, deberá ser un aspecto fundamental a la hora de organizar las tareas.

Se deberá apuntar a concientizar

Muchas veces, la implementación de planes tendientes a asegurar la continuidad del negocio, suele iniciarse luego de que un incidente, haya demostrado ser lo suficientemente importante.

En síntesis: “ La administración de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riegos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudación oportuna de las operaciones indispensables. “

El proceso de planificación de la continuidad de los negocios, debería considerar los siguientes puntos:

Identificación y acuerdo con respecto a todas las responsabilidades y procedimientos de emergencia.

Implementación de procedimientos de emergencia para permitir la recuperación y reestablecimientos en los plazos requeridos.

Documentación de los procedimientos y procesos acordados.

Instrucción adecuada del personal en materia de procedimientos y procesos de emergencia acordados, incluyendo el manejo de crisis.

Prueba y actualización de los planes.

Gran parte de las tareas previstas en un Plan de Continuidad del Negocio, se encuentran relacionadas con la correcta definición de un Plan de Contingencia.

El objetivo principal del desarrollo de un plan de contingencia, es el de enumerar procedimientos concretos, a la hora de actuar frente a un incidente puntual.

Lo principal es cumplir todas las tareas necesarias de la fase proactiva, que es la fase anterior a la contingencia.

Una vez que se produce la eventualidad, se inicia la fase reactiva y se debe ejecutar el plan correspondiente.

En términos generales, un plan de contingencia tipo, debería contener:

Objetivo del plan: Se deben indicar aquellos componentes de la función crítica que se pretenden cubrir frente a la contingencia considerada.

Criterio para la ejecución del plan: Este debe indicar con el mayor grado de certeza, las condiciones bajo las cuales se considerará, que un plan de contingencia debe comenzar a aplicarse

Tiempo esperado máximo de duración del plan: Entendiendo como tal, el tiempo máximo en que se podrá continuar operando bajo condiciones de Contingencia.

Roles, Responsabilidad y Autoridad: Se debe determinar en forma clara, cuál es el papel de cada uno de los sectores de la organización ante la situación de contingencia.

Requerimiento de recursos: Qué recursos serán requeridos a la hora de operar en el modo de contingencia.