Sin lugar a dudas, la seguridad fsica es uno de los aspectos

menos tenido en cuenta a la hora de disear sistemas

informticos.

El profesional en seguridad informtica, suele ser

contactado por clientes que solicitan la implementacin de
distintos tipos de productos de seguridad, tales como
Firewalls y Detectores de Intrusos, a pesar de no
poseer, por ejemplo, sistemas de resguardo eficientes.

Se define el trmino Seguridad Fsica, como el conjunto

de mecanismos de prevencin y deteccin, destinados a
evitar que la informacin confidencial, los recursos de los
sistemas o su entorno, sean accedidos de forma no
autorizada.

La Seguridad Fsica siempre deber ser un punto central

a la hora de establecer una estrategia de seguridad
efectiva.

Gran parte del xito en las tareas emprendidas por el analista

de seguridad, se basan en la acertada administracin del
riesgo.

El acceso fsico no autorizado, los desastres naturales

(Inundaciones, Tormentas Elctricas, Terremotos, etc.) y las
alteraciones del entorno (Electricidad, Ruido Elctrico, Humo,
Incendios, Temperaturas Extremas, etc.) suelen ser algunos de
los grupos de riesgo ms importantes.

Desde el punto de vista fsico, los riesgos suelen encontrarse

relacionados con alguna de las siguientes categoras:

Robo
Hurto
Destruccin Intencional
Destruccin Accidental

Suele decirse que el xito o fracaso en la implementacin de una

estrategia de

seguridad, se encuentra relacionado con los recursos humanos en ella

involucrados.

La seleccin de las personas correctas producir beneficios, no slo al

colaborar con los objetivos especficos propuestos al momento de su
incorporacin sino tambin con la aceptacin que los mismos tendrn
respecto a la seguridad informtica.

El conjunto de Polticas y Procedimientos utilizados en una

organizacin, tendrn un gran impacto a la hora de administrar un
entorno seguro.

Entre ellas encontramos:

Seleccin y poltica de personal.

Acuerdos de confidencialidad.
Finalizacin del empleo.
Capacitacin en materia de seguridad de la informacin.
Comunicacin de incidentes.

La tarea de seleccin de personal, al momento

de cubrir cualquier tipo de puesto, involucra
determinados aspectos que de no ser tenidos
en cuenta, podran devenir en circunstancias no
deseadas.

Siempre que sea posible, el departamento de

seguridad informtica debera participar del
desarrollo de ciertas Polticas, como ser:
Poltica de Contratacin
Poltica de Uso Aceptable
Poltica de tica

Suele ser visto como la confirmacin explcita de la

confianza pre-establecida al momento de iniciar una
relacin laboral.
Si bien el detalle contenido en un acuerdo de
confidencialidad puede variar, normas tales como la ISO
17799, establecen algunos lineamientos generales:

Un Acuerdo de Confidencialidad o No Divulgacin, debe ser

utilizado para resear que la informacin es confidencial o
secreta
Debe ser firmado por los empleados, como parte de sus
trminos y condiciones iniciales de empleo, al momento de su
contratacin.
El personal ocasional y los usuarios externos, an no
contemplados en un contrato formalizado, debern firmar el
acuerdo mencionado antes de que se les otorgue acceso a las
instalaciones de procesamiento de informacin.
Los acuerdos de confidencialidad deben ser revisados cuando se
producen cambios en los trminos y condiciones de empleo, en
particular cuando el empleado est prximo a desvincularse de
la organizacin o el plazo del contrato est por finalizar.

La terminacin de un contrato laboral, muchas

veces
puede
estar
signado
por
aspectos
emocionales que en determinadas circunstancias,
pueden desembocar en un incidente de seguridad.

Por este motivo, el mismo cuidado puesto en la

incorporacin del nuevo personal, deber existir a
la hora de terminar la relacin laboral establecida
entre empleado y empleador.

Una Poltica de Finalizacin, debera incluir en

forma clara y concisa, el procedimiento a seguir
desde el punto de vista de la organizacin, al
momento de producida la baja.

El xito de la implementacin de una estrategia de

seguridad en una compaa, se encontrar relacionado
con cuan involucrado se encuentre el personal en
general con la misma.
A fin de lograr este objetivo, todo departamento de
seguridad informtica debe tener como tarea, el diseo
e implementacin de un plan de capacitacin a usuarios.
Este plan deber cubrir los siguientes puntos:

Importancia de la Seguridad de la Informacin.

Responsabilidad de las personas que conforman la organizacin,
respecto de la Seguridad de la Informacin.
Polticas y Procedimientos relacionados.
Polticas de Uso.
Criterio y aspectos a tener en cuenta, a la hora de seleccionar claves
de acceso.
Generacin de una Conciencia de Seguridad.
Prevencin contra la Ingeniera Social.

Ninguna empresa u organizacin, se encuentra

exenta de ser vctima de un incidente de
seguridad.

Se deber contar con los mecanismos

necesarios para estar al tanto de que un
incidente ha ocurrido o est ocurriendo en ese
mismo momento.

Los incidentes relativos a la seguridad deben

comunicarse a travs de canales gerenciales
apropiados, tan pronto como sea posible.

La seguridad fsica y ambiental, es una rama en si

misma de la Seguridad Informtica.

Sus
procedimientos
asociados,
involucran
el
conocimiento y entendimiento de cada una de las
posibles amenazas, as como tambin los mtodos,
procedimientos y tecnologas con las que cuenta un
profesional al momento de minimizar el riesgo.

Algunos de los principales aspectos a ser tenidos en

cuenta, al momento de desarrollar un plan tendiente a
administrar la seguridad fsica de una organizacin, son:
Seleccin de la ubicacin
Permetro de seguridad fsica
Control de acceso fsico
Proteccin de locales

Todo centro de cmputo, debe cumplir con una

serie de normas ambientales a fin de mantener el
grado de seguridad necesario.

El equipamiento instalado debe trabajar en forma

eficiente y conservarse en buen estado.

Se deben controlar factores tales como:

La emanacin de gases corrosivos
La degradacin de componentes por la accin del polvo
La humedad del ambiente
La temperatura adecuada, en relacin al equipamiento
instalado
Los campos magnticos actuantes
La condensacin y el vapor
La tensin elctrica

Suelen ser un aspecto clave al momento de disear un

centro de cmputos seguro.
La seleccin y uso de extinguidores debe ser
considerada una tarea crtica.
Una adecuada poltica respecto de los extinguidores de
incendio, deber estar compuesta bsicamente por el
procedimiento al momento de su utilizacin, y por el
control y mantenimiento peridico de su carga til.
Las combinaciones de detectores de fuego con sistemas
de extincin, reciben el nombre de Sistemas Fijos.
Detectan cambios bruscos de temperatura o humo
excesivo, actuando consecuentemente disparando
diversos mecanismos de supresin de fuego.
Entre los ms utilizados, se encuentran la distribucin de
agua como elemento de extincin, o el suministro de
algn tipo de gas a fin de desplazar el oxgeno del
ambiente.

La energa, es un factor fundamental en todo centro de

cmputos, y como tal debe ser administrado cuidadosamente,
a fin de evitar cualquier tipo de incidente.

A la hora de disear un centro de cmputo, se debern realizar

los estudios necesarios respecto de los requisitos del
equipamiento a instalar en dicha locacin, a fin de proveer a
los mismos de un adecuado suministro de energa.

Tal como se menciona en las normas ISO 17799, entre las

alternativas para asegurar la continuidad del suministro de
energa podemos enumerar las siguientes:
Mltiples bocas de suministro para evitar un nico punto de falla en el
suministro d e energa.
Suministro de energa ininterrumpible (UPS)
Generador de respaldo

El cableado en todo Datacenter, debe ser tenido en cuenta al

momento de realizar el diseo e implementacin del esquema
de seguridad.

Cortes accidentales o intencionales, producidos por los propios

empleados o por un tercero, suelen significar a menudo un
incidente de seguridad que debe ser considerado como un
riesgo ms.

La norma ISO 17799 plantea los siguientes puntos de control:

Las lneas de energa elctrica y telecomunicaciones que se

conectan con las instalaciones de procesamiento de informacin
deben ser subterrneas o sujetas a una adecuada proteccin
alternativa
El cableado de red debe estar protegido contra interceptacin
no autorizada o dao, por ejemplo mediante el uso de
conductos o evitando trayectos que atraviesen reas pblicas

Los cables de energa deben estar separados de los

cables de comunicaciones para evitar interferencias.

Instalacin de conductos blindados y cajas con

cerradura en los puntos terminales y de inspeccin.

Uso de rutas o medios de transmisin alternativos.

Uso de cableado de fibra ptica.

Iniciar barridos para eliminar dispositivos

autorizados conectados a los cables.

no

Pocas cosas son tan importantes en un datacenter, como el

propio equipamiento en l instalado.

La seleccin de dicho equipamiento, podr significar gran

parte del xito respecto de los servicios informticos que
planea brindar a su corporacin.

Debern poseer una serie de caractersticas bsicas de

seguridad, que sirvan como la ltima barrera a vencer por un
atacante, que haya logrado acceder al permetro controlado:
Cerraduras bloqueando la extraccin de discos hotswap.
Alarmas dispuestas en el chasis del equipamiento crtico.
Discos con controladoras especiales que impiden su utilizacin en otro que
no sea el equipo original.
Lockers de teclados.
Racks con cerraduras.
Claves en el setup, etc.

Es una de las principales herramientas a la hora

de garantizar la disponibilidad.

Un Cluster no es ms que un grupo de

computadoras
independientes
trabajando
juntas, como un recurso unificado.

En la mayora de las configuraciones probables,

encontramos:

Activo-Activo
Activo-Standby
Tolerante a Fallos
Cualquiera de los nodos participantes del cluster, se
encuentra en posicin de atender requerimientos de una
aplicacin, en caso de que el nodo principal sufra un
desperfecto.

Otra
de
las
tecnologas
de
seguridad
informtica, al momento de asegurar aspectos
tales como la disponibilidad, es aquella que se
encuentra relacionada con los dispositivos
redundantes.

Comnmente esta tecnologa es implementada

en sistemas de discos, aunque lo cierto es que
no se restringen nicamente a este tipo de
dispositivos, por ejemplo:
Fuentes
Placas de red
Memoria, etc.

Se denomina RAID a la tecnologa que utiliza

mltiples discos, a la hora de proveer tolerancia a
fallos y mejoras en la performance de operaciones
de lectura y escritura.

Un RAID es una coleccin de discos, combinados

con un software de control, el cual se encarga de
controlar la operacin del mismo y presentarlo al
SO como un nico dispositivo de almacenamiento.

Existen dos posibilidades de implementar un RAID:

Software
Hardware

De acuerdo a sus caractersticas, varias son las

designaciones de sistemas RAID:

Requiere al menos
implementado.

de

dos

discos

para

ser

La informacin es separada en bloques y cada

bloque es grabado en una unidad de disco
diferente.

El mejor desempeo se alcanza cuando los datos

son divididos a travs de mltiples controladoras,
con tan solo un disco por controladora.

No suele ser realmente considerado como un RAID,

ya que no es tolerante a fallas.

La falla de una sola unidad resultara en una

prdida de informacin en el arreglo.

RAID 1

Requiere al menos dos unidades de disco para ser

implementado.

El disco redundante es una rplica exacta del disco de

datos, por lo que se conoce tambin como disco espejo.

RAID 3
Se requiere como mnimo de tres discos.

Se utiliza la capacidad de un disco para la informacin

de control.

Los datos se dividen en fragmentos que se transfieren a

los discos que funcionan en paralelo, lo que permite
aumentar en forma sustancial la velocidad general de
transferencia de datos.

Se necesita un mnimo de tres unidades para

implementar una solucin RAID 5.

Este array optimiza la capacidad del sistema

permitiendo una utilizacin de hasta el 80% de la
capacidad del conjunto de discos.

Esto lo consigue mediante el clculo de informacin

de paridad y su almacenamiento alternativo por
bloques en todos los discos del conjunto.

RAID 5 es la solucin que ofrece la mejor relacin

de precio, rendimiento y disponibilidad para la
mayora de los servidores.

La definicin de polticas y procedimientos

relacionados con las operaciones de Backup y
Restore de informacin, es el punto ms importante
en toda estrategia de seguridad.

Deber contarse con normas claras que permitan

regular:

Informacin a resguardar
Frecuencia de operacin
Personas que sern responsables de su ejecucin
Periodicidad con la que se comprobar la efectividad del
sistema implementado
Lugar fsico donde se almacenarn las copias generadas, etc.

Entre las distintas modalidades de operacin,

encontramos:

Normal o Full: Copia todos los archivos seleccionados,

restableciendo el atributo de archivo modificado a cero

Incremental o Progresiva: Copia los archivos creados

o modificados desde la ultima copia de seguridad full o
incremental. Marca los archivos como copiados, es decir,
cambia el atributo de archivo modificado a cero.

Intermedia o Copia: Copia todos los archivos

seleccionados, no marca los archivos como copiados, es
decir, no restablece a cero el atributo de archivo
modificado. Este mtodo se utiliza cuando se quieren
hacer copias de archivos entre procesos normales e
incrementales sin que se invaliden los mismos (cintas de
resguardo adicionales o espontneas).

Diferencial: Copia los archivos creados o modificados

desde la ltima copia de seguridad full o incremental.
No marca el atributo del archivo como copiado, es decir,
no se restablece su valor a cero.

Diaria: Copia los archivos seleccionados modificados

durante el da en el que se realiza la copia de seguridad
diaria. No marca al archivo como copiado.

Constituyen
diferentes
esquemas
de
servicios,
generalmente provistos por compaas especializadas.

Brindan a terceros la posibilidad de albergar el desarrollo

de sus sitios web, en instalaciones especialmente
dispuestas a tal fin.

Toda la responsabilidad respecto de los componentes de

Networking (Firewalls, IDS, Routers, etc.) utilizados al
momento de brindarle el servicio, recae en el proveedor.

La principal diferencia entre Housing y Hosting, radica

que en el primero, el destino final de nuestro sitio,
aplicacin o servicio web, ser un servidor independiente,
mientras que en el segundo, un mismo equipo y recursos
de hardware, sern utilizados para albergar diferentes
sitios, correspondientes a diferentes empresas

Comprende un conjunto de mtodos que definen cmo se

comunicarn usuarios y sistemas y en qu forma lo harn.

S i Su principal objetivo es el de proteger la informacin almacenada a

travs de operaciones informticas.

Tres son los modelos bsicos implementados:

Control de Acceso Discrecional (DAC): Un usuario bien identificado (El

creador o propietario del recurso) decide cmo protegerlo mediante
ACLs.

Control de Acceso Mandatorio (MAC): Aqu es el sistema quien protege

los recursos basado en etiquetas de seguridad (SECRETO,
DESCLASIFICADO, etc.). En la prctica los administradores son los
nicos autorizados a realizar cambios en los niveles de acceso.

Control de Acceso basado en Roles (RBAC): Permite unificar los

modelos DAC y MAC regulando el acceso a la informacin en funcin
de las actividades y funciones de los usuarios.

La ISO 17799 permite definir como objetivo bsico de todo

PLAN de Continuidad del Negocio, el Contrarrestar las
interrupciones de las actividades comerciales y
proteger los procesos crticos de los negocios de los
efectos de fallas significativas o desastres .

El analista de seguridad, se encontrar con escenarios

complicados en donde la realidad econmica, se impondr
a la hora de establecer medidas con costo asociado.

A fin de promover un proyecto exitoso, los procesos

involucrados debern formalizarse adecuadamente.

La participacin activa por parte de los actores principales

de la organizacin, deber ser un aspecto fundamental a la
hora de organizar las tareas.

Se deber apuntar a concientizar

Muchas veces, la implementacin de planes

tendientes a asegurar la continuidad del negocio,
suele iniciarse luego de que un incidente, haya
demostrado ser lo suficientemente importante.

En sntesis: La administracin de la
continuidad de los negocios debe incluir
controles destinados a identificar y reducir
riegos, atenuar las consecuencias de los
incidentes
perjudiciales
y
asegurar
la
reanudacin oportuna de las operaciones
indispensables.

El proceso de planificacin de la continuidad de los

negocios, debera considerar los siguientes puntos:

Identificacin y acuerdo con respecto a todas

las responsabilidades y procedimientos de
emergencia.

Implementacin
de
procedimientos
de
emergencia para permitir la recuperacin y
reestablecimientos en los plazos requeridos.

Documentacin de
procesos acordados.

Instruccin adecuada del personal en materia

de procedimientos y procesos de emergencia
acordados, incluyendo el manejo de crisis.

Prueba y actualizacin de los planes.

los

procedimientos

Gran parte de las tareas previstas en un Plan de

Continuidad del Negocio, se encuentran relacionadas
con la correcta definicin de un Plan de Contingencia.

El objetivo principal del desarrollo de un plan de

contingencia, es el de enumerar procedimientos
concretos, a la hora de actuar frente a un incidente
puntual.

Lo principal es cumplir todas las tareas necesarias de la

fase proactiva, que es la fase anterior a la contingencia.

Una vez que se produce la eventualidad, se inicia la fase

reactiva y se debe ejecutar el plan correspondiente.

En trminos generales, un plan de contingencia tipo,

debera contener:

Objetivo
del
plan:
Se
deben indicar aquellos
componentes de la funcin crtica que se pretenden cubrir
frente a la contingencia considerada.

Criterio para la ejecucin del plan: Este debe indicar

con el mayor grado de certeza, las condiciones bajo las
cuales se considerar, que un plan de contingencia debe
comenzar a aplicarse

Tiempo esperado mximo de duracin del plan:

Entendiendo como tal, el tiempo mximo en que se podr
continuar operando bajo condiciones de Contingencia.

Roles, Responsabilidad y Autoridad: Se debe

determinar en forma clara, cul es el papel de cada uno de
los sectores de la organizacin ante la situacin de
contingencia.

Requerimiento de recursos: Qu recursos sern

requeridos a la hora de operar en el modo de contingencia.