AUDITORÍA DE LA SEGURIDAD FÍSICA

INTRODUCCIÓN

El estudio de la seguridad de un Sistema de Información tradicionalmente se suele dividir en dos

grandes bloques: Seguridad Lógica y Seguridad Física. Hoy en día, la línea que separa estos dos
bloques es cada día más difusa, debido sobre todo a que los elementos de las salvaguardas
técnicas se utilizan tanto para proteger activos de carácter físico como lógico. Por ejemplo: el
mismo token puede utilizarse para identificarnos y autenticarnos tanto a la entrada de un edificio,
como ante un sistema informático. En el primer caso se trata de permitir un acceso físico y en el
segundo un acceso lógico. Para intentar definir el ámbito de la seguridad física, diremos que
comprende todas aquellas medidas de seguridad aplicables a un Sistema de Información, que
tratan de proteger a este y a su entorno tanto de las amenazas de carácter físico procedentes de la
naturaleza, de los propios medios técnicos y de las personas, como de las amenazas de carácter
lógico, cuyas medidas de protección son de carácter físico.

10.2 SEGURIDAD FÍSICA VS. SEGURIDAD LÓGICA

Todas las amenazas a las que está sometido un Sistema de Información, así como las medidas de
protección y salvaguarda que se implantan en dicho sistema para garantizar la Seguridad de la
Información, se pueden encuadrar en uno de estos dos bloques, por ello se habla de amenazas de
carácter lógico o físico, y de medidas de Seguridad Lógica y Seguridad Física.

Las amenazas de tipo lógico suelen comprometer tanto la Confidencialidad, como la Integridad y
Disponibilidad de la Información, sin embargo, las amenazas físicas atacan en mayor medida a la
Disponibilidad, aunque también existen amenazas de carácter físico sobre la Confidencialidad e
Integridad para las que son necesarias implementar medidas de protección y salvaguarda de
carácter físico. La Seguridad Lógica es la rama de la Seguridad Informática más conocida y a la que
generalmente se le otorga mayor importancia, pero hay que tener en cuenta que los grandes
incidentes de seguridad, los que ponen en peligro la continuidad del servicio y hasta la existencia
de la organización que los sufre, suelen estar comprendidos dentro del ámbito de la Seguridad
Física. Dentro del ámbito de la Seguridad Física, es sobradamente conocido el grave impacto que
los desastres naturales tienen sobre las infraestructuras de todo tipo, de las que los sistemas
informáticos forman parte, y de las que así mismo dependen para su adecuado funcionamiento
Sin olvidar que si un ataque lógico a un Sistema de Información puede comprometer su
funcionamiento y dejarlo fuera de servicio durante un período de tiempo más o menos largo, un
ataque físico puede dejarlo inoperativo para siempre.

Teniendo en cuenta además que, para poder realizar un ataque lógico, es necesaria una serie de
herramientas y medios técnicos, algunos de ellos con un coste económico importante además de
unos conocimientos tecnológicos de cierto nivel; pero que para llevar a cabo un ataque de
carácter físico en la mayoría de los casos no suele ser necesario disponer de grandes medios, ni
tener unos grandes conocimientos específicos. Como se ha comprobado, la amenaza más grave a
la que está sujeto el hardware es un ataque malintencionado, debido a que existe voluntad de
hacer daño y se suele dirigir contra el elemento más débil, habitualmente con menos protección y
que más impacto causa en la organización cuando es destruido. Por ello, las salvaguardas a aplicar
ante este tipo de ataques son las mismas que se utilizan en la protección de elementos valiosos de
la industria y el comercio:

zonas de acceso restringido, vigilantes armados, detectores de intrusos y demás medidas de

seguridad tradicionales. Las cuatro normas básicas de la seguridad física tradicional son: evitar,
retrasar, detectar y defender (entendiendo por defender una respuesta activa contra el hecho),
siendo estas de aplicación a la protección física de los sistemas de información. La seguridad física,
además de en las cuatro normas tradicionales, debe basarse en el principio de la defensa en
profundidad. Para ello, se debe establecer un conjunto escalonado de medidas de seguridad física
que garanticen una defensa en profundidad y permitan una respuesta apropiada ante los
incidentes. La primera línea de defensa debe estar diseñada de forma que evite y retrase la
materialización de las amenazas, la segunda línea de defensa debe estar formada por medidas de
seguridad física que permitan detectar los incidentes de seguridad física e informar de los mismos.
Y la tercera línea de defensa debe estar construida de forma que los controles implantados
minimicen los impactos en caso de materialización de las amenazas y permitan responder
adecuadamente ante los inicidentes de seguridad física.

10.3 COBIT – DS 12 GESTIÓN DEL ENTORNO FÍSICO

Si queremos disponer de una referencia de buenas prácticas en el campo de la auditoría y el

control de los Sistemas de Información, podemos utilizar los Objetivos de Control para la
Información y la Tecnología relacionada (COBIT ®), elaborados por el IT Governance Institute, bajo
el auspicio de ISACA, Information Systems Audit and Control Association.

Entre los diferentes controles que contempla, se encuentran los relacionados con la seguridad
física. El dominio Entrega de Servicios y Soporte de la versión 4 de COBIT, contempla los aspectos
relativos a la gestión de la seguridad y la continuidad de las operaciones e incluye un objetivo de
control de alto nivel específico para la Seguridad Física y del Entorno: el DS 12 Gestión de Entorno
Físico. Este objetivo de control hace hincapié en que para una adecuada protección de las
personas y de los elementos que componen un sistema de información son necesarias unas
instalaciones bien diseñadas y gestionadas.

Los procesos de gestión del entorno físico deben incluir la definición de los requisitos que deben
cumplir los edificios y localizaciones donde vayan a residir los elementos de nuestro sistema de
información, la selección de locales e instalaciones, así como el diseño de los procesos necesarios
para supervisar los factores ambientales y gestionar el acceso físico a las instalaciones y recursos.
Una gestión adecuada y efectiva del entorno reduce la frecuencia de las interrupciones del
funcionamiento habitual del negocio, ocasionadas por daños a los equipos y al personal. Según
COBIT, el objetivo de control de alto nivel DS 12 Gestión de Entorno Físico es un control sobre el
proceso de TI (tecnologías de la información), gestión del entorno físico, que satisface el requisito
de negocio de TI, proteger los activos de TI y la información del negocio, minimizando el riesgo de
una interrupción del servicio.

Este objetivo de control está dirigido a proporcionar y mantener un entorno físico adecuado para
proteger los activos de TI contra acceso, daño o robo.
Para ello es necesario implementar medidas de seguridad física, así como seleccionar y gestionar
las instalaciones donde residen los elementos del sistema de información. Así mismo, es necesario
medir su efectividad, para ello se utilizan los siguientes indicadores:

• Tiempo sin servicio ocasionado por incidentes relacionados con el entorno físico.

• Número de incidentes ocasionados por fallos o vulnerabilidades de seguridad física.

• Frecuencia de la revisión y evaluación de los riesgos físicos. El objetivo de control de alto nivel,
Gestión del Entorno Físico, se descompone en los cinco objetivos de control detallados que se
describen a continuación.

10.3.1 DS 12.1 Selección y diseño de los centros de proceso de datos

La selección y diseño de los centros de procesos de datos y demás instalaciones debe realizarse
teniendo en cuenta tanto los riesgos asociados a los desastres naturales como a los provocados
por el hombre. También se debe considerar la legislación aplicable, como las leyes y los
reglamentos relativos a la seguridad y la salud en el trabajo.

10.3.2 DS12.2 Medidas de seguridad física

Se deben definir e implementar las medidas de seguridad físicas alineadas con los requerimientos
del negocio. Las medidas deben incluir pero no limitarse al establecimiento de un perímetro de
seguridad, de zonas de seguridad, la ubicación de los equipos críticos y de las zonas de carga y
descarga. Deben definirse las responsabilidades relativas a los procedimientos de supervisión,
informe y resolución de los incidentes de seguridad física.

10.3.3 DS12.3 Acceso físico

Se deben definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales,
edificios y áreas de acuerdo con las necesidades del negocio, incluyendo los accesos en caso de
emergencia. El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse y
supervisarse. Esto es aplicable a todas las personas que accedan a las instalaciones, incluyendo
personal propio, clientes, proveedores, visitantes o cualquier otra persona.

10.3.4 DS12.4 Protección contra factores ambientales

Se deben diseñar e implementar medidas de protección contra factores ambientales. Deben

instalarse dispositivos y equipos adecuados para la supervisión y control del entorno.

10.3.5 DS12.5 Gestión de las instalaciones

Se deben gestionar las instalaciones, incluyendo los equipos de comunicaciones y de suministro

de energía, de acuerdo con las leyes y los reglamentos aplicables, los requerimientos técnicos y del
negocio, las especificaciones de los proveedores y los requisitos relativos a la seguridad y a la salud
en el trabajo.

10.4 ISO 27002:2005 – SEGURIDAD FÍSICA Y DEL ENTORNO

Si hablamos de seguridad de la información la norma ISO 27002:2005, la anterior ISO 17799:2005,
Buenas Prácticas para la Gestión de la Seguridad de la Información, es una referencia que siempre
hemos de tener en cuenta.

A continuación, comentaremos brevemente los controles relativos a Seguridad Física y del Entorno
y al Control de Acceso que propone dicha norma y que son aplicables a nuestro caso.

10.4.1 Seguridad Física y del Entorno

Perímetro de Seguridad.- Se deben establecer perímetros de seguridad para proteger las áreas
donde se almacenan soportes de información o que albergan instalaciones de proceso de datos.

Controles físicos de entrada.- Las áreas seguras deben contar con controles de entrada adecuados
para garantizar que sólo accede a ellas el personal debidamente autorizado.

Seguridad de oficinas, despachos e intalaciones.- Se deben diseñar y aplicar normas y

procedimientos de seguridad física para proteger todo tipo de instalaciones.

Protección contra amenazas externas y ambientales.- Se deben diseñar e implementar las medidas
de protección contra los daños originados por el fuego, inundación, terremoto, explosión,
desórdenes públicos y otras formas de desastre.

Trabajo en áreas seguras.- Se deben diseñar e implementar los precedimientos y medidas de

seguridad física aplicables al trabajo en áreas seguras.

Áreas de acceso público, áreas de carga y descarga.- En los puntos de acceso público, como las
áreas de carga y descarga y otros puntos donde exista la posibilidad de que se produzca el acceso
de personas no autorizadas, se deben extremar los controles y si es posible, aislarlos de las
instalaciones de proceso de datos para evitar accesos no autorizados.

Instalación y protección de los equipos.- Los equipos deben ser instalados en áreas seguras y
protegidos para reducir los riesgos provenientes de las amenazas del entorno, de los accesos no
autorizados y otros tipos de amenzas de carácter físico.

Suministro eléctrico.- Se deben establecer medidas de protección contra los cortes de suministro
eléctrico y otras interrupciones causadas por fallos en otros tipos de suministros auxiliares. Los
equipos deben protegerse de los daños producidos por la falta de calidad del suministro eléctrico.