seguridad física de los sistemas de información - 2006
TRANSCRIPT
76Hoy Hablamos de...
Nº 2 Marzo / Abril 2006
la Confidencialidad, la Integridad y la
Disponibilidad, la unión de estos tres es
la que nos proporciona la seguridad
global que necesitamos para un S.I.
determinado.
El estudio de la seguridad de un S.I.,
se suele dividir en dos grandes bloques
Seguridad Lógica y Seguridad Física.
La seguridad física, comprende las
medidas de seguridad aplicables a un
Sistema de Información, que tratan de
proteger a este y a su entorno de ame-
nazas físicas tanto procedentes de la
naturaleza, de los propios medios,
como del hombre.
Las amenazas a las que está sometido
un S.I., junto con las medidas de pro-
tección y salvaguarda, que se toman en
dicho sistema para garantizar la
Confidencialidad, Integridad y Disponi-
bilidad, se encuadran dentro de uno de
los dos bloques antes citados, por ello se
habla de amenazas de carácter lógico o
físico, y de medidas de Seguridad Lógi-
ca y Seguridad Física.
Las amenazas de tipo lógico suelen
comprometer tanto la
Confidencialidad, como la Integridad y
Disponibilidad, sin embargo, las amena-
zas físicas atacan en mayor medida a la
disponibilidad, aunque también existen
amenazas de carácter físico sobre la
confidencialidad e integridad, para las
que son necesarias implementar medi-
das de protección y salvaguarda de ca-
rácter físico.
La Seguridad Lógica, es la rama de la
Seguridad Informática más conocida y a
la que generalmente se le otorga mayor
importancia, pero hay que tener en
cuenta que los grandes incidentes de
seguridad, los que ponen en peligro la
continuidad del servicio y hasta la exis-
tencia de la organización que los sufre,
suelen estar comprendidos dentro del
ámbito de la Seguridad Física.
Hay que reseñar que un ataque lógi-
co a un S.I. puede dejarlo fuera de
servicio durante un periodo de tiempo
más o menos largo, pero un ataque
físico puede dejarlo inoperativo para
siempre. Teniendo en cuenta, además,
que para poder realizar un ataque lógi-
co a un S.I., son necesarios una serie de
herramientas y medios técnicos, algu-
nos de ellos con un coste económico
importante, y unos conocimientos tec-
nológicos de cierto nivel; pero que para
llevar a cabo un ataque de carácter
físico, la mayoría de las veces no suele
ser necesario disponer de grandes me-
dios ni tener unos conocimientos espe-
cíficos.
En seguridad física, no solo hay que
tener en cuenta las amenazas que pro-
vienen de un acto deliberado, sino tam-
bién las amenazas que provienen del
L a seguridad de un sistema de
información está compuesta de
tres aspectos complementarios,
Ricardo Cañizares SalesDIRECTOR REVISTA
Los que ponen enpeligro la continuidaddel servicio y hasta laexistencia de laorganización
arantizar la seguridad física de las infraestructuras, recursos y sistemas de
TI, es una necesidad imperiosa. Ninguna organización debe descuidar losGaspectos de Seguridad Física, durante el desarrollo y aplicación de sus políticas de
seguridad, minimizar la importancia de estos aspectos supone un incremento de
los riesgos asociados a los mismos, que puede llegar a tener graves consecuen-
cias, llegando incluso a poner en peligro la existencia de la propia organización.
Seguridad Física
RICARDO-analisis de eventos.p65 14/03/2006, 3:0076
77Hoy Hablamos de...
Nº 2 Marzo / Abril 2006
EN PRÓXIMOS NÚMEROS «HABLAMOS DE...»
Protección contra virus y otros tipos de software malicioso [Nº 3]
La seguridad en los sistemas de información sanitarios
Aplicación de Normas y Estándares en las TIC
La LOPD y su Reglamento
Dispositivos de Protección de Perímetro
Videovigilancia IP: control
digital para una seguridad total
AFINA
RFID: Una tecnología
revolucionaria para el
seguimiento y autentificación
de productos
HP
Sistema de detección de
intrusos en espacios abiertos
INDRA
Técnicas de Seguridad
Biométricas
Para «Hablar de»«Seguridad Física», en estenúmero hemos seleccionado:
128
116
Disminuyendo el impacto en la orga-
nización, si no se ha podido evitar la
materialización de una amenaza.
Estableciendo procedimientos que
permitan una rápida recuperación
de los daños sufridos y la vuelta a
una operación normal.
Utilizando mecanismos que permi-
tan modificar las salvaguardas de
acuerdo con la experiencia, de inci-
dentes anteriores.
ÁREAS SEGURAS
Perímetro de seguridad físicaProtección del perímetroEdificiosVigilancia del recintoIluminación de seguridad
Controles físicos de entradaControl de los accesosControl de las visitasPases o identificadoresControl de llaves, combinaciones o dispositi-vos de seguridad
Seguridad de oficinas, despachos y recursosÁreas de seguridad
El trabajo en áreas segurasTrabajo en las áreas de seguridad
Áreas aisladas de carga y descargaCarga/descarga
SEGURIDAD DE LOS EQUIPOS
Instalación y protección de equiposProtección física de los equiposProtección emanaciones electromagnéticasProtección frente a accidentes naturalesProtección frente a incendiosProtección frente a explosivosProtección frente a inundacionesSuministro EléctricoClimatizaciónSeguros
Suministro eléctricoSuministro Eléctrico
Seguridad del cableadoProtección del cableado
Mantenimiento de equiposDisponibilidad del HW
Seguridad de equipos fuera de los localesde la Organización
Seguridad de los equipos fuera de la Organiz.
Seguridad en la reutilización y eliminaciónHerramientas para Borrado Seguro de soportesDestrucción de soportes
CONTROLES GENERALES
Política del puesto de trabajo despejado ybloqueo de pantalla
Política del puesto de trabajo despejado ybloqueo de pantalla
Sustracciones (removal of property)Destrucción de soportes
UNE ISO/IEC 17799:2000
Seguridad Físicay del Entorno
entorno, como los fenómenos de la
naturaleza, y las que se originan por
hechos fortuitos o accidentes.
Todas las amenazas a las que está
sometido un Sistema de Información,
incluidas las de carácter físico, deben
ser contrarrestadas con la implantación
de salvaguardas (controles), que actúen
de la siguiente forma:
Minimizando la probabilidad de la
materialización de una amenaza
118
122
RICARDO-analisis de eventos.p65 14/03/2006, 3:0077