Seguridad en el Entorno Físico en informática, Universidad

Seguridad en el Entorno Físico

Caso Práctico: CPD de Google

Diego Méndez (Uso educativo nc)

Juan e Iván están en una cafetería, es su tiempo de descanso, hablan animadamente. Juan pregunta: ¿Has visto el video sobre el nuevo centro de proceso de datos ( CPD) de Google hecho con contenedores?

• ¿ Contenedores?
• Sí, sí, contenedores, Iván, los contendores dan modularidad al CPD, cada contenedor es un bloque de dos pasillos de armarios de comunicaciones, uno a cada lado.
• ¿ Y qué ventaja tiene que sean contenedores?

Bueno, Iván, es más fácil todo, las necesidades de energía eléctrica del contenedor, la refrigeración instalada en cada contendor es la misma, el acceso al mismo. Al ser igual en todos parece que está cómo más organizado y más sencillo de controlar.

• Y, ¿pueden mover los contenedores?
• Sí, Iván, sí, tienen una grúa para moverlos.
• Entonces deben estar en una nave enorme, si cabe incluso una grúa de contendores.
• Sí, Iván, es bastante grande, tanto es así que el empleado o empleada que lo manipula usa un patinete para desplazarse.
• Oye, Juan, podíamos montar nosotros un CPD de esos en la empresa, en lugar de tener un armario de comunicaciones por departamento. Es más, el armario de informática siempre está abierto, dicen que así se refrigeran mejor los switches.

Pues no es mala idea, Iván, si todo estuviera centralizado, tendríamos mejor control de servidores, accesos y demás, pero ¿donde lo colocamos?

• No sé. Voy a llamar a Ignacio, a ver qué le parece la idea.

Concepto de Entorno Físico

Cuando oigas entorno físico piensa que se están refiriendo a los espacios donde se encuentran los equipos informáticos y los espacios circundantes a ellos, puertas,cerraduras, ventanas, .... La presencia de mecanismos de seguridad en el entorno físico de un sistema de información constituye una garantía para los datos, pero al mismo tiempo pueden constituir un problema si no están bien instalados, configurados o mantenidos.

Importancia de la Seguridad Física

GUARD Un sitio oficial, un instituto o una empresa, son buenos ejemplos de edificios que albergan equipos informáticos. Cualquier edificio cuenta con unas determinadas instalaciones iniciales, por ejemplo, el cableado eléctrico. David Goehring (CC BY) Conocer cuáles son esas instalaciones con las que el edificio cuenta y verificar que cumplen las normas de seguridad, es el primer paso para minimizar los riesgos que acechan al hardware de la empresa, el instituto, etc.

Si todos los servidores están en un único lugar, entonces, ése será el lugar que hay que defender y proteger. Te diré que el entorno físico donde se encuentran los equipos informáticos como servidores y armarios de comunicación se suele llamar centro de proceso de datos (CPD) o datacenter.

Puede ser tan pequeño como un armario de comunicaciones o tan grande como la empresa decida. ¿ Te imaginas cómo es de grande el CPD de Google? Las medidas de seguridad tendrán que ser acordes con el tamaño del CPD. Si sólo tienes un armario de comunicaciones, pues con saber quién tiene la llave solucionado. Ahora bien, si es todo un edificio, entonces, tendremos que vigilar, quién entra y sale, cuándo lo hace, qué zonas puede visitar ...

En esta unidad estudiarás desde las medidas más conocidas contra incendios, hasta los sistemas de control de acceso más complejos.

Reflexión sobre Medidas de Seguridad

Reflexiona No sirve de nada la aplicación de medidas de seguridad a través de software y olvidarnos de las medidas de seguridad de las instalaciones físicas. Mostrar retroalimentación Si el objetivo es acceder a la información que tiene un equipo, cualquier solución es buena, conectarse al equipo con herramientas de hacking o sustraer el disco duro.

Autoevaluación: DATACENTER

Autoevaluación Un DATACENTER es el lugar físico donde se encuentran los equiposinformáticos de la empresa. ¿ Verdadero o falso? Verdadero O Falso Verdadero Es VERDAD, que al lugar físico donde se centraliza el almacenamiento de los equipos físicos y servidores se llama DATACENTER y se utiliza este término anglosajón ampliamente pues parece más idóneo que su equivalente en castellano: Centro de datos.

GOBIERNO DE ESPANA MINISTERIO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL Ministerio de Educación y Formación Profesional. (Dominio público) Materiales formativos de FP Online propiedad del Ministerio de Educación y Formación Profesional. Aviso Legal1 .- Seguridad en el Entorno Físico.

Caso Práctico: Responsable IT

Llamada de Ignacio a Juan

Responsable IT Juan HALL Mª Belén de Álava Millán (Uso educativo nc) Juan recibe una llamada de Ignacio, que está en un curso sobre Seguridad y Auditoria Informatica, en la Universidad Europea de Madrid:

• Juan, ¿qué tal van las cosas por la oficina?
• Bien, pocas novedades, Ignacio. ¿Qué tal el curso?
• Bueno de momento hemos tenido las presentaciones y el registro de los participantes. Después del descanso hablaran de los nuevos retos relacionados con la seguridad de acceso mediante el uso del DNI electrónico.
• Ese es el tema que a ti más te interesaba, Ignacio, ¿no? Espero que disfrutes de ella y cumpla las expectativas que esperabas.
• A ver, Juan, para poder disfrutar de la conferencia necesito que me hagas un favor, vete al instituto en el que estuvimos el otro día arreglando un switch y diles que te cuenten qué es ese "TSCI" (Tele Sala de Consulta en Internet)" que quieren montar en el hall. Que vaya Iván contigo, que el hable y tú tomas notas.
• ¿ Tele Sala de Consulta en Internet? Nunca había oído nada parecido.
• Ni yo, Juan, ni yo, se lo han inventado ellos, le han puesto ese nombre porque les gusta.
• Vale, de acuerdo, iremos esta misma mañana. Pero ¿qué es lo que tengo que apuntar?
• Bueno pues me interesa que tengas en cuenta las condiciones de seguridad que rodean al "TSCI" y cómo controlar quién entra y sale de él.
• A ver si me he enterado bien, Iván conoce el tema y mientras el habla yo tengo que tomar notas sobre los aspectos de seguridad existentes en el edificio y en concreto sobre el lugar donde se va a situar el "TSCI". También tengo que estudiar quién y cuándo entraré en el recinto y cómo vamos a controlar ese acceso.
• Exacto, Juan, ahora tengo que colgar, que va a empezar la conferencia. Gracias por adelantado, te debo una.
• Nada hombre, hoy por ti y mañana por mí.

Preparación para la Visita al Instituto

Juan se queda algo inquieto, mucha responsabilidad estudiar el edificio y loque más tarde se va a instalar. Empieza a hacer una lista de lo que tiene que revisar y qué sistemas existen de control de acceso a recintos. Se queda tan concentrado en su búsqueda que no oye a Iván avisarle de que se tienen que marchar.

Chema Alonso y la Seguridad Informática

Chema Alonso, es un experto en seguridad y uno de los fundadores de Informática64, una empresa afincada en Móstoles en el año 2000 cuya especialidad es la seguridad informática, ya sean auditorías, formación o consultoría. Suele decir, Chema Alonso, que "La seguridad de una empresa es tan fuerte como el punto donde menos está segura. SPOF, Single Point of Failure, en español se podría traducir como único punto de fallo.", Con esto, quiere decir que hay que tener asegurados en la empresa todos los elementos de la misma.

Si se trata de asegurar físicamente los ordenadores, servidores o armarios de comunicaciones, tendremos que tener en cuenta dónde están y quién tiene acceso a ellos. Además de analizar cuán importante es alguno, (o todos), de nuestros equipos o servidores, y tener previsto cualquier fallo que pudiera afectarle. Desde que se va la luz, hasta un terremoto, pasando por un incendio, inundación, robo ... Todos estos SPOF es lo que llamamos entorno físico.

No conviene que olvides que hoy en día, los ladrones utilizan viejas técnicas para robar servidores. Así que esa contraseña que tanto estuviste pensando y que tan segura era para tu administrador o root pasan a un segundo plano. Alguien se ha llevado físicamente el servidor, y en algunos casos, simplemente usando una sierra eléctrica para acceder al servidor y llevárselo a su casa.1.1 .- Acceso de personas al recinto.

Acceso de Personas al Recinto

Protección Física de Equipos

No debes que olvidar que la protección física de los equipos, es tan importante o más que la lógica. Una vez que tenemos los equipos protegidos nos interesa saber quién y cuándo entra y sale de los recintos donde los ordenadores están guardados, pues eso forma parte de su seguridad.

"Entendemos por protegido: Libre y exento de todo peligro, daño o riesgo".

Métodos de Control de Acceso

El control de acceso de personas es algo que probablemente te resulte familiar, pues son cada vez más frecuentes los guardias de seguridad en los edificios oficiales que solicitan el DNI para entrar y te proporcionan una tarjeta de visitante.

Ahora bien, hay otros métodos más eficientes si los que acceden al edificio lo hacen habitualmente. Los más utilizados son las tarjetas magnéticas, que permiten el acceso a determinadas zonas. Pero hay otros en el mercado como los lectores de huella digital o de iris, o cualquier otro elemento biométrico.

Otro elemento preventivo son las cámaras de vigilancia para video vigilancia o tele vigilancia.

INTEE (CC BY-NC-SA)

" Vigilantes jurados, video cámaras, biometría, tarjetas magnéticas, tarjetas de proximidad son elementos de seguridad activa."

INTEE (CC BY-NC-SA) siempre de fiabilidad. También podría darse el caso de una combinación de dos o más de estos sistemas. Esta seguridad es activa, puesto que las medidas son principalmente preventivas, es decir, evitar que pueda suceder algo. Ahora bien, algunas de estas medidas son a la vez correctivas. Por ejemplo, las grabaciones de las cámaras pueden servir para identificar posteriormente a los intrusos que se saltaron el puesto de control del edificio. Recuerda, lo que afirmábamos en la unidad anterior: La seguridad absoluta es imposible, por eso hablaremos

Reflexión sobre la Seguridad Informática

Reflexiona Se suele decir que la seguridad informática es un camino y no un destino.Mostrar retroalimentación Con esta afirmación nos referimos a que, como hemos dicho, la seguridad informática consiste en una serie de medidas que debemos tomar a lo largo del tiempo buscando alcanzar la máxima fiabilidad. Pero este conjunto de medidas tendrán que mantenerse y actualizarse de forma adecuada a lo largo del tiempo.

Ejemplo Práctico de Acceso de Personas

Quizá el acceso de personas al recinto se entienda mejor con un ejemplo práctico: El acceso de personas al recinto industrial de las afueras de Madrid: Toda persona que accede al recinto deberá hacerlo por la puerta principal y la persona de recepción deberá cumplir las siguientes etapas:

1. Identificación de la(s) persona(s) visitante(s) y de la persona/sección a la que se desea acceder.
2. Comunicación telefónica con la persona/sección destinataria para que dé su conformidad al acceso. Esta deberá enviar a alguien para que reciba y acompañe al visitante o hacerlo personalmente.
3. Cumplimentación del registro de Control de accesos de personas (código ... ) que deberá firmarlo la visita comprometiéndose al cumplimiento de las normas generales de seguridad.
4. Entrega de:
   • Hoja de visita que deberá firmar la persona visitada. En el reverso de esta hoja se indica la información básica sobre cuestiones y normas generales de seguridad del centro.
   • Tarjeta identificativa de persona que deberá adherirse en un sitio visible y cuya numeración coincidirá con la de la hoja de visita.
   • Los medios de protección necesarios, en los casos que se requieran.

A la salida la persona visitante deberá entregar al personal de recepción la hoja de visita firmada por la persona visitada y la tarjeta identificativa. Se registrará la hora de salida en el registro de Control de accesos de personas.

Documentación de Acceso

Debes conocer Algunos ejemplos de hoja de visita, puedes ver un ejemplo de los formularios que rellenan cuando una persona entra al recinto y de la hoja de visita que se entrega al visitante y debe de traer firmada. Hoja de visita (0.12 MB)