Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoría de La Seguridad Física
Auditoría de La Seguridad Física
INTRODUCCIÓN
Todas las amenazas a las que está sometido un Sistema de Información, así como las medidas de
protección y salvaguarda que se implantan en dicho sistema para garantizar la Seguridad de la
Información, se pueden encuadrar en uno de estos dos bloques, por ello se habla de amenazas de
carácter lógico o físico, y de medidas de Seguridad Lógica y Seguridad Física.
Las amenazas de tipo lógico suelen comprometer tanto la Confidencialidad, como la Integridad y
Disponibilidad de la Información, sin embargo, las amenazas físicas atacan en mayor medida a la
Disponibilidad, aunque también existen amenazas de carácter físico sobre la Confidencialidad e
Integridad para las que son necesarias implementar medidas de protección y salvaguarda de
carácter físico. La Seguridad Lógica es la rama de la Seguridad Informática más conocida y a la que
generalmente se le otorga mayor importancia, pero hay que tener en cuenta que los grandes
incidentes de seguridad, los que ponen en peligro la continuidad del servicio y hasta la existencia
de la organización que los sufre, suelen estar comprendidos dentro del ámbito de la Seguridad
Física. Dentro del ámbito de la Seguridad Física, es sobradamente conocido el grave impacto que
los desastres naturales tienen sobre las infraestructuras de todo tipo, de las que los sistemas
informáticos forman parte, y de las que así mismo dependen para su adecuado funcionamiento
Sin olvidar que si un ataque lógico a un Sistema de Información puede comprometer su
funcionamiento y dejarlo fuera de servicio durante un período de tiempo más o menos largo, un
ataque físico puede dejarlo inoperativo para siempre.
Teniendo en cuenta además que, para poder realizar un ataque lógico, es necesaria una serie de
herramientas y medios técnicos, algunos de ellos con un coste económico importante además de
unos conocimientos tecnológicos de cierto nivel; pero que para llevar a cabo un ataque de
carácter físico en la mayoría de los casos no suele ser necesario disponer de grandes medios, ni
tener unos grandes conocimientos específicos. Como se ha comprobado, la amenaza más grave a
la que está sujeto el hardware es un ataque malintencionado, debido a que existe voluntad de
hacer daño y se suele dirigir contra el elemento más débil, habitualmente con menos protección y
que más impacto causa en la organización cuando es destruido. Por ello, las salvaguardas a aplicar
ante este tipo de ataques son las mismas que se utilizan en la protección de elementos valiosos de
la industria y el comercio:
Entre los diferentes controles que contempla, se encuentran los relacionados con la seguridad
física. El dominio Entrega de Servicios y Soporte de la versión 4 de COBIT, contempla los aspectos
relativos a la gestión de la seguridad y la continuidad de las operaciones e incluye un objetivo de
control de alto nivel específico para la Seguridad Física y del Entorno: el DS 12 Gestión de Entorno
Físico. Este objetivo de control hace hincapié en que para una adecuada protección de las
personas y de los elementos que componen un sistema de información son necesarias unas
instalaciones bien diseñadas y gestionadas.
Los procesos de gestión del entorno físico deben incluir la definición de los requisitos que deben
cumplir los edificios y localizaciones donde vayan a residir los elementos de nuestro sistema de
información, la selección de locales e instalaciones, así como el diseño de los procesos necesarios
para supervisar los factores ambientales y gestionar el acceso físico a las instalaciones y recursos.
Una gestión adecuada y efectiva del entorno reduce la frecuencia de las interrupciones del
funcionamiento habitual del negocio, ocasionadas por daños a los equipos y al personal. Según
COBIT, el objetivo de control de alto nivel DS 12 Gestión de Entorno Físico es un control sobre el
proceso de TI (tecnologías de la información), gestión del entorno físico, que satisface el requisito
de negocio de TI, proteger los activos de TI y la información del negocio, minimizando el riesgo de
una interrupción del servicio.
Este objetivo de control está dirigido a proporcionar y mantener un entorno físico adecuado para
proteger los activos de TI contra acceso, daño o robo.
Para ello es necesario implementar medidas de seguridad física, así como seleccionar y gestionar
las instalaciones donde residen los elementos del sistema de información. Así mismo, es necesario
medir su efectividad, para ello se utilizan los siguientes indicadores:
• Tiempo sin servicio ocasionado por incidentes relacionados con el entorno físico.
• Frecuencia de la revisión y evaluación de los riesgos físicos. El objetivo de control de alto nivel,
Gestión del Entorno Físico, se descompone en los cinco objetivos de control detallados que se
describen a continuación.
La selección y diseño de los centros de procesos de datos y demás instalaciones debe realizarse
teniendo en cuenta tanto los riesgos asociados a los desastres naturales como a los provocados
por el hombre. También se debe considerar la legislación aplicable, como las leyes y los
reglamentos relativos a la seguridad y la salud en el trabajo.
Se deben definir e implementar las medidas de seguridad físicas alineadas con los requerimientos
del negocio. Las medidas deben incluir pero no limitarse al establecimiento de un perímetro de
seguridad, de zonas de seguridad, la ubicación de los equipos críticos y de las zonas de carga y
descarga. Deben definirse las responsabilidades relativas a los procedimientos de supervisión,
informe y resolución de los incidentes de seguridad física.
Se deben definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales,
edificios y áreas de acuerdo con las necesidades del negocio, incluyendo los accesos en caso de
emergencia. El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse y
supervisarse. Esto es aplicable a todas las personas que accedan a las instalaciones, incluyendo
personal propio, clientes, proveedores, visitantes o cualquier otra persona.
A continuación, comentaremos brevemente los controles relativos a Seguridad Física y del Entorno
y al Control de Acceso que propone dicha norma y que son aplicables a nuestro caso.
Perímetro de Seguridad.- Se deben establecer perímetros de seguridad para proteger las áreas
donde se almacenan soportes de información o que albergan instalaciones de proceso de datos.
Controles físicos de entrada.- Las áreas seguras deben contar con controles de entrada adecuados
para garantizar que sólo accede a ellas el personal debidamente autorizado.
Protección contra amenazas externas y ambientales.- Se deben diseñar e implementar las medidas
de protección contra los daños originados por el fuego, inundación, terremoto, explosión,
desórdenes públicos y otras formas de desastre.
Áreas de acceso público, áreas de carga y descarga.- En los puntos de acceso público, como las
áreas de carga y descarga y otros puntos donde exista la posibilidad de que se produzca el acceso
de personas no autorizadas, se deben extremar los controles y si es posible, aislarlos de las
instalaciones de proceso de datos para evitar accesos no autorizados.
Instalación y protección de los equipos.- Los equipos deben ser instalados en áreas seguras y
protegidos para reducir los riesgos provenientes de las amenazas del entorno, de los accesos no
autorizados y otros tipos de amenzas de carácter físico.
Suministro eléctrico.- Se deben establecer medidas de protección contra los cortes de suministro
eléctrico y otras interrupciones causadas por fallos en otros tipos de suministros auxiliares. Los
equipos deben protegerse de los daños producidos por la falta de calidad del suministro eléctrico.