I.

SEGURIDAD FSICA Y LGICA EN UN CENTRO DE CMPUTO SEGURIDAD FSICA

Debemos entender como seguridad, todos aquellos sistemas, medidas y procedimientos encaminados a garantizar la operatividad y continuidad adecuada de equipos y procesos de los mismos Seguridad fsica: Son todas aquellas medidas que permitan garantizar la integridad del personal, equipos y recursos en el centro de cmputo, es decir todo aquello que puede verse v tocarse. 1.1 PROPSITOS Y OBJETIVOS DE UN SISTEMA DE SEGURIDAD FSICA Asegurar la capacidad de supervivencia de la organizacin ante eventos que pongan en peligro su existencia Proteger y conservar los activos de la organizacin, de riesgos, de desastres naturales o actos mal intencionados. Reducir la probabilidad de las prdidas, a un mnimo nivel aceptable, a un costo razonable y asegurar la adecuada recuperacin. Asegurar q u e e x i s t a n c o n t r o l e s a d e cu a d o s p a r a l a s co n d i ci o n e s a m b i e n t a l e s q u e reduzcan el riesgo por fallas o mal funcionamiento del equipo, del software, de los datos y de los medios de almacenamiento. Controlar el acceso, de agentes de riesgo, a la organizacin para minimizar la vulnerabilidad potencial. 1.2 FACTORES QUE AFECTAN LA SEGURIDAD FSICA Los riesgos ambientales a los que est expuesta la organizacin son tan diversos como diferentes sean las personas, las situaciones y los entornos. 1.2.1 FACTORES AMBIENTALES

Incendios: Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones inalmbricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas. Inundaciones: Es la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cmputo. Sismos: Estos fenmenos ssmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan, o tan intensos que causan la destruccin de edificios y hasta la prdida de vidas humanas.

 Humedad: Se debe proveer de un sistema de calefaccin, ventilacin y aire acondicionado separado, que se dedique al cuarto de computadoras y al rea de mquinas en forma exclusiva. 1.2.2 FACTORES HUMANOS

Robos. Las computadoras son posesiones valiosas de las empresas, y estn expuestas, de la misma forma que estn expuestas las piezas de stock e incluso el dinero. Actos vandlicos. En las empresas existen empleados descontentos que pueden tomar represalias contra los equipos y las instalaciones. Actos vandlicos contra el sistema de red. Muchos de estos actos van relacionados con el sabotaje Fraude. Cada ao millones de dlares son sustrados de empresas y, en muchas ocasiones las computadoras han sido utilizadas para dichos fines. Sabotaje. Es el peligro ms temido en los centros de cmputo. Terrorismo. Hace unos aos, este hubiera sido un caso remoto, pero con la situacin blica que enfrenta el mundo las empresas deben de incrementar sus medidas de seguridad. 1.3 CONSIDERACIONES SOBRE SEGURIDAD La seguridad en cmputo de cualquier otro tipo cuesta tiempo, dinero y, sobre todo, esfuerzo. La economa siempre resulta necesaria y es importante asegurarse de que existe una relacin costo/beneficio razonable con respecto a las medidas de seguridad que se van a implementar. Para ello es necesario establecer prioridades, entre estas tenemos: Qu se quiere proteger? Es muy importante determinar el valor del hardware y las tareas que realiza. Esta valoracin debe hacerse de forma individual, pues lo que es valioso para algunos no lo es para otros. Contra qu se quiere proteger? La seguridad efectiva debe garantizar la prevencin y deteccin de accidentes, ataques, daos por causas naturales, as como la existencia de medidas definidas para afrontar los desastres y lograr el restablecimiento de las actividades. Cunto tiempo, dinero y esfuerzo se est dispuesto a invertir? Se refiere a la cantidad de recursos que dispone o que est dispuesta a invertir la organizacin, lo que determinar en ltima instancia las medidas que se van a tomar.

1.3.1 CONTROL DE ACCESO FSICO

El principal elemento de control de acceso fsico involucra la identificacin positiva del personal que entra o sale del rea bajo un estricto control. Si una persona no autorizada no tiene acceso, el riesgo se reduce. Los controles de acceso fsico varan segn las distintas horas del da. Estructura y disposicin del rea de recepcin En las reas de alta seguridad donde se necesita considerar tambin la posibilidad de ataque fsico se debe identificar y admitir tanto a los empleados como a los visitantes de uno en uno. Tambin se pueden utilizar dispositivos magnticos automticos y otros recursos en el rea de recepcin. Si es necesario usar vidrio en la construccin de esta rea, debe ser de tipo reforzado. Acceso de terceras personas Dentro de las terceras personas se incluye a los de mantenimiento del aire acondicionado y de computacin, los visitantes y el personal de limpieza. stos y cualquier otro personal ajeno a la instalacin deben ser: Identificados plenamente y controlados y vigilados en sus actividades durante el acceso. El personal de mantenimiento y cualquier otra persona ajena a la instalacin se debe identificar antes de entrar a sta. El riesgo que proviene de este personal es tan grande como de cualquier otro visitante.

1.3.2 IDENTIFICACIN DE PERSONAL:

Pueden utilizarse los siguientes elementos: Guardias y escoltas especiales. stos pueden estar ubicados en lugares estratgicos donde exista ms vulnerabilidad. Es recomendable que todos los visitantes que tengan permisos para recorrer el centro de cmputo sean acompaados por una persona designada como escolta. Registro de firma de entrada y salida. Consiste en que todas las personas que entren en el centro de cmputo firmen un registro que indique Fecha, Nombre, Procedencia, Depto. que visita, Persona que busca, Asunto, Hora de entrada, Hora de salida, Firma. Puertas con chapas de control electrnico. Estos dispositivos pueden funcionar al teclearse un cdigo para abrirla, disponer de una tarjeta con cdigo magntico, o tener implementado algn dispositivo para el reconocimiento de alguna caracterstica fsica especial tal como la huella digital, la geometra de la mano, etc. Tarjetas de acceso y gafetes de identificacin. Puede tratarse de simples gafetes que identifiquen a la persona, hasta tarjetas con cdigo magntico que permiten abrir la puerta. Asimismo, los dispositivos de lectura de las tarjetas pueden ser conectados a una computadora que contenga informacin sobre la identidad del propietario.

 Entradas de dobles puertas. De esta forma, la entrada a travs de la primera puerta deja un rea donde la persona queda atrapada y fuera del acceso a las computadoras. Una segunda puerta debe ser abierta para entrar al centro de cmputo. Equipos de monitoreo La utilizacin de dispositivos de circuito cerrado de televisin, tales como monitores, cmaras y sistemas de intercomunicacin conectados a un panel de control manejado por guardias de seguridad. Estos dispositivos permiten controlar reas grandes, concentrando la vigilancia en los puntos de entrada y salida principalmente. Alarmas contra robos. Todas las reas deben estar protegidas contra la introduccin fsica. Las alarmas contra robos, las armaduras y el blindaje se deben usar hasta donde sea posible, en forma discreta, de manera que no se atraiga la atencin sobre el hecho de que existe un dispositivo de alta seguridad. Trituradores de papel. Los documentos con informacin confidencial nunca deben ser desechados en botes de basura convencionales. En muchos casos los espas pueden robar la informacin buscando en estos lugares. 1.4 PLAN DE CONTINGENCIA Un plan de contingencia es una presentacin para tomar acciones especficas cuando surja un evento o condicin que no est considerado en el proceso de planeacin formal. Es decir, se trata de un conjunto de procedimientos de recuperacin para casos de desastre; es un plan formal que describe pasos apropiados que se deben seguir en caso de un desastre o emergencia. Consiste en un amplio estado de acciones consistentes para ser tomadas Antes, como un plan de respaldo Durante, como un plan de emergencia y Despus, como un plan de recuperacin tras un desastre. El trmino desastre en este contexto significa la interrupcin en la capacidad de acceso a la informacin y el procesamiento de la misma a travs de las computadoras, necesarias para la operacin normal del negocio.

1.4.1 El Plan de Contingencia contempla tres partes:

Prevencin. Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la continuidad operativa, ya sea en forma parcial o total, del centro de procesamiento de datos, a las instalaciones auxiliares. Deteccin. Deben contener el dao en el momento, as como limitarlo tanto como sea posible, contemplando todos los desastres naturales y eventos no considerados.

 Recuperacin. Abarcan el mantenimiento de partes crticas entre la prdida del servicio y los recursos, as como su recuperacin o restauracin.

1.4.2 ELEMENTOS DEL PLAN DE CONTINGENCIA

El plan de contingencia contempla tres tipos de acciones, las cuales son: Acciones de emergencia: deben contener el dao en el momento, as como limitarlo tanto como sea posible, contemplando todos los desastres naturales y eventos no considerados. Acciones de recuperacin: abarcan el mantenimiento de partes crticas entre la prdida del servicio y los recursos, as como su recuperacin o restauracin. Acciones de respaldo: Conjunto de acciones a realizar una vez que se ha presentado cualquier contingencia que afecte la continuidad operativa, ya sea en forma parcial o total, del centro de procesamiento de datos, a las instalaciones auxiliares.

II.

SEGURIDAD LGICA

Seguridad lgica: Son las medidas que permiten proteger directamente la informacin contra su prdida o divulgacin ya sea accidental o intencional; es decir, la proteccin de lo que se puede ver pero no tocar. Existe un viejo dicho en la seguridad informtica que dicta que todo lo que no est permitido debe estar prohibido y esto es lo que debe asegurar la Seguridad Lgica. Propsitos y objetivos planteados para la seguridad lgica sern: Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. Que la informacin recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin. Cules son los puntos dbiles de un sistema informtico?

Los tres primeros puntos conforman el llamado Tringulo de Debilidades del Sistema: Hardware: Errores intermitentes, conexin suelta, desconexin de tarjetas, etc. Software: Sustraccin de programas, modificacin, ejecucin errnea, defectos en llamadas al sistema, etc. Datos: Alteracin de contenidos, introduccin de datos falsos, manipulacin fraudulenta de datos, etc. Memoria: Introduccin de virus, mal uso de la gestin de memoria, bloqueo del sistema, etc. Usuarios: Suplantacin de identidad, acceso no autorizado, visualizacin de datos Confidenciales, etc. PROTECCION DE INFORMACIN Los tres principios de la seguridad informtica son: El intruso al sistema utilizar cualquier artilugio que haga ms fcil su acceso y posterior ataque Los datos deben protegerse slo hasta que pierdan su valor. Las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fciles de usar y apropiadas al medio. 2.2 POLITICAS DE SEGURIDAD Controles de Acceso Estos controles constituyen una ayuda importante para proteger al sistema operativo de la red, a los sistemas de informacin y software adicional; de que puedan ser utilizadas(os) o modificadas(os) sin autorizacin; tambin para mantener la integridad de la informacin (restringiendo la cantidad de usuarios y procesos con autorizacin de acceso) y para resguardar la informacin confidencial de accesos no autorizados. Identificacin y Autentificacin Se constituye en la primera lnea de defensa para la mayora de los sistemas computarizados, al prevenir el ingreso de personas no autorizadas y es la base para casi todos los controles de acceso, adems permite efectuar un seguimiento de las actividades de los usuarios. Identificacin es cuando el usuario se da a conocer en el sistema; y Autentificacin es la verificacin que realiza el sistema de la identificacin. Roles El acceso a la informacin puede ser controlado tambin, considerando la funcin o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles seran los siguientes: Lder de proyecto, Programador, Operador, Jefe de un rea usuaria, Etc.

 Limitaciones a los Servicios Las Limitaciones a los Servicios son controles que se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o que han sido preestablecidos por el administrador del sistema. Modalidad de Acceso Adicionalmente a considerar cuando un acceso puede permitirse, se debe tener en cuenta tambin que tipo de acceso o modo de acceso se permitir. El concepto de modo de acceso es fundamental para el control respectivo, los modos de acceso que pueden ser usados son: Lectura, Escritura, Ejecucin, Borrado. Creacin, Bsqueda. Control de Acceso Interno Los controles de acceso interno determinan lo que un usuario (o grupo de usuarios) puede o no hacer con los recursos del sistema A continuacin se detallarn tres mtodos de control de acceso interno: Palabras Clave (Passwords) Las palabras clave o Passwords, estn comnmente asociadas con la autentificacin del usuario, pero tambin son usadas para proteger datos, aplicaciones e incluso PCs. Los controles implementados a travs de la utilizacin de palabras clave resultan de muy bajo costo e incluyen una gran variedad de aplicaciones. Encriptacin La informacin encriptado solamente puede ser desencriptado por quienes posean la clave apropiada. La Criptologa es un tema cuya amplitud ser tratada en un subcaptulo aparte. Listas de Control de Accesos Estas listas se refieren a un registro de: Usuarios (incluye grupos de usuarios, computadoras, procesos), a quienes se les ha proporcionado autorizacin para usar un recurso del sistema. Los tipos de acceso que han sido proporcionados. Hay una gran flexibilidad para el manejo de estas listas, pueden definir tambin a que usuario o grupos de usuarios se les niega especficamente el acceso a un recurso. Se pueden implementar Listas de Control de Accesos Elementales y Avanzadas. Control de Acceso Externo Los controles de acceso externo son una proteccin contra la interaccin de nuestro sistema con los sistemas, servicios y gente externa a la organizacin. Dispositivos de control de puertos Los d i s p o s i t i v o s de control d e pu e rto s actan de manera previa e independiente de las funciones de control de acceso propias del computador y comnmente son usados en comunicaciones seriales.

 Firewalls o Puertas de Seguridad Los firewalls permiten bloquear o filtrar el acceso entre 2 redes, generalmente una privada y otra externa (por ejemplo Internet), entendiendo como red privada una separada de otras. Autenticacin Basada en el Host La autenticacin basada en Host, proporciona el acceso segn la identificacin del Host en el que se origina el requerimiento de acceso, en lugar de hacerlo segn la identificacin del usuario solicitante. 2.3 ADMINISTRACION DE RESPALDO Y ALMACENAMIENTO D E INFORMACIN Todos sabemos lo importante que es crear copias de respaldo de los archivos y las aplicaciones importantes, pero muchas empresas todava no tienen un enfoque abarcador y coherente para esta tarea vital. En la mayora de los protocolos para copias de respaldo se especifica que al menos una de las copias de los datos debe conservarse en otro lugar, y por buenas razones. Si bien las razones ms comunes por las que se debe restaurar datos y aplicaciones de copias de respaldo son fallas de equipos o discos duros, los desastres naturales tranquilamente podran destrozar no slo sus equipos y datos, sino toda su planta de trabajo.

UNIVERSIDAD AUTONOMA DE CHIRIQU CENTRO REGIONAL UNIVERSITARIO DEL BARU FACULTAD DE ECONOMA ESCUELA DE CIENCIAS COMPUTACIONALES

MATERIA ADM. CENTROS DE TECNOLOGIAS DE LA INFORMACION

TEMA SEGURIDAD FISICA Y LOGICA EN LOS CENTROS DE INFORMATICA PROFESOR: BALTAZAR APARICIO

ELABORADO POR: ANDY CARRASCO IDALMIS SALDAA CAROLINA SNCHEZ ABEL SERRANO FECHA DEENTREGA

28/05/2013

INTRODUCCION La Seguridad Informtica est orientada a brindar proteccin contra las contingencias y riesgos relacionados con la infraestructura informtica actualmente instalada en el Centro de Cmputo, la Seguridad Informtica radica en asegurar que los elementos, servicios y recursos de los sistemas de informacin desarrollados para beneficio de la Institucin sean empleados de forma correcta, a efecto de disponer de integridad en la informacin y el resguardo necesarios para proteger su estructura fsica y lgica. La implementacin de nuevas tecnologas y la adquisicin e instalacin de equipamiento informtico requiere de un marco normativo que aporte las medidas inherentes a la seguridad; en el cual se plasmen mecanismos que resguarden su estado fsico, su accesibilidad, uso y aprovechamiento; implementar acciones que aporten medidas de seguridad y conservar en ptimo estado los bienes y servicios actualmente disponibles.

CONCLUSION Todo usuario o personal relacionado, directa o indirectamente con un centro de cmputo, debe tener a mano la informacin bsica de mtodos de seguridad aplicables a dicho centro, para estar preparados y as poder lograr una mayor eficiencia de ste y evitar daos en la integridad fsica del personal y equipo de dicho centro. Dado el riesgo permanente de catstrofe o contingencia, es necesaria la implantacin de un plan de contingencias, que permita la continuidad en la operacin del Centro de cmputo.