5.6- Manual de Seguridad Informática

Es una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos.
Es una forma de suministrar un conjunto de normas internas para guiar la acción de las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas, pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.
Sin embargo, la realización del análisis de riesgos como primer elemento de la acción de seguridad, es un hecho determinante para procesos críticos en que son analizadas todas las amenazas. De esta manera son considerados y analizados todos los activos de la organización, sea por muestreo o en su totalidad, para que estén libres de vulnerabilidades con el propósito de reducir los riesgos. Por esta razón serán abordados en esta unidad todos los elementos necesarios para la realización de un análisis de riesgos como etapa de rastreo de vulnerabilidades de todo el ambiente de un proceso de negocios.
Entre mayor sea la exposición o el daño histórico a los bienes de la empresa, el margen de tiempo tomado para el análisis de riesgos debe ser menor y viceversa.
El Manual es elaborada considerando el entorno en que se está trabajando como la tecnología de la seguridad de la información, para que los criterios establecidos estén de acuerdo con las prácticas internas más recomendadas de la organización, con las prácticas de seguridad actualmente adoptadas, para buscar una conformidad mayor con criterios actualizados y reconocidos en todo el mundo.
Un Manual de la Política de Seguridad Informática es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional,  con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.

Áreas de Normalización de la Manual de Seguridad Informática
Es necesario considerar los dos aspectos, tecnológico y humano al momento de definir un Manual de la Política de Seguridad Informática de la información
Tecnológica Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la cúpula es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios. Humana Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la cúpula, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de Retroalimentación más apropiado. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación.

Elaboración de el Manual de Seguridad Informática

El Manual es elaborado tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento.  Es importante considerar que para la elaboración de un Manual de la Política de Seguridad Informática institucional se debe:

  1. Integrar el Equipo de Seguridad responsable de definir el Manual de la Política de Seguridad.
  2. Elaborar el documento final.
  3. Hacer oficial el Manual una vez que se tenga definida.

Integrar el Equipo

Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad. Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización. En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado. Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones.

Elaborar el Documento Final

En este documento deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión. En la elaboración de un Manual de la Política de Seguridad Informática no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política. Un ejemplo común es solicitar a los usuarios el cambio de su contraseña o password constantemente y que ésta deba tener una complejidad adecuada para la información manejada. La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro del Manual de la Política de Seguridad Informática es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología. Por ejemplo, establecer que los servidores con información crítica de la empresa no deben prestar servicio de estaciones de trabajo a los empleados. La definición de la propia política, Una declaración de la administración que apoye los principios establecidos y una explicación de las exigencias de conformidad con relación a:

  • Legislación y cláusulas contractuales;
  • Educación y formación en seguridad de la información;
  • Prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.)

Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad. No olvidar de que  toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas.

Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad.
El trabajo de producción se compone por distintas etapas, entre otras:

  1. Objetivos y ámbito
  2. Entrevistas
  3. Investigación y análisis de documentos
  4. Reunión de política
  5. Glosario de el Manual de la Política de Seguridad
  6. Responsabilidades y penalidades

Objetivos y ámbito

En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares el Manual trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados.

Entrevista

Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización.

Investigación y Análisis de Documentos

En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras.

Reuniones

En las reuniones, realizadas con los equipos involucrados en la elaboración, se levantan y discuten los temas, además se redactan los párrafos para la composición de las normas con base en el levantamiento del objetivo y del ámbito del Manual específica.

Glosario de el Manual de la Política de Seguridad

Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de el Manual de la Política de Seguridad. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que el Manual cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda el Manual  de seguridad. 

Responsabilidades y Penalidades

Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicación de sanciones resultantes de casos de inconformidad con el Manual elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relación a las penalidades que serán aplicadas en casos de infracción del Manual de la Política de Seguridad Informática.

Si existe ya un estándar de estructura de documentos para políticas dentro de la empresa, éste puede ser adoptado. Sin embargo, a continuación sugerimos un modelo de estructura de política que puede ser desarrollado dentro de su organización.

En este modelo, visualizamos que un Manual de la Política de Seguridad Informática esté formada por tres grandes secciones: las Directrices, las Normas los Procedimientos e Instrucciones de Trabajo.

Su estructura de sustentación está formada por tres grandes aspectos: Recursos, cultura y retroalimentación.

Directrices Estratégicas

En el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido. Como la información no está presente en un único entorno (microinformática, por ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener términos técnicos de informática. Se compone de un texto, no técnico, con las reglas generales que guían a la elaboración de las normas de seguridad.

Normas de Seguridad (Táctico)

Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, Audiencia a que se destina, etc. Las normas, por estar en un nivel táctico, pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios.

Para Técnicos

Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Pueden ser ampliamente utilizadas para la configuración y administración de ambientes diversos como Windows NT, Netware, Unix etc.

Para Usuarios

Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc.

Procedimientos (Operacional)

Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter-departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información.

Instrucción de trabajo (Operacional)

Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión. A continuación presentamos ejemplos de procedimientos e instrucciones de trabajo muy específicas que resultan de beneficio en la operación diaria.

Hacer Oficial el Manual de la Política de Seguridad

La oficialización de una política tiene como base la aprobación por parte de la cúpula de la organización. Debe ser publicada y comunicada de manera   adecuada para todos los empleados, socios, terceros y clientes.

5.4- Analisis de Riesgo

Riesgo

Es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información.

Concluimos que la seguridad es una práctica orientada hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger. El principal objetivo es garantizar el éxito de la comunicación segura, con información disponible, íntegra y confidencial, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.

Peligro

Agente potencialmente perjudicial, que puede causar lesiones, daños materiales, interrupción de la actividad social y económica, degradación ambiental, incluso hasta la muerte.

 Medidas de seguridad
Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.
Existen  medidas de seguridad específicas para el tratamiento de cada variedad de clases de puntos débiles.
Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer el ambiente en sus mínimos detalles, buscando los puntos débiles existentes.
A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:

  • Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;
  • Perceptivo: orientado hacia la revelación de actos que pongan en riesgo  la información
  • Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia.

Análisis de Riesgos

Es una medida que busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas. El análisis de riesgos tiene como resultado un grupo de recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.

Es un paso importante para implementar la seguridad de la información. Como su propio nombre lo indica, es realizado para detectar los riesgos a los cuales están sometidos los activos de una organización, es decir, para saber cuál es la probabilidad de que las amenazas se concreten.
Las amenazas se pueden convertir en realidad a través de fallas de seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas al máximo para que el ambiente que se desea proteger esté libre de riesgos de incidentes de seguridad.
Por lo tanto, la relación entre amenaza-hecho-impacto, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
Esquema de la relación: amenaza-incidente-impacto

Actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización.
Actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.
Resultados

  • Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección.
  • Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación.
  • Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas.
  • Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.

Otro punto importante a considerar en la realización del análisis de riesgos es la relación costo-beneficio. Este cálculo permite que sean evaluadas las medidas de seguridad con relación a su aplicabilidad y el beneficio que se agregará al negocio.

Ámbitos del Análisis de Riesgos

El análisis de riesgos puede ser realizado en distintos ámbitos. Por lo general, todos son considerados, puesto que la implementación de seguridad pretende corregir el entorno en que se encuentra la información, es decir en actividades relacionadas a: generación tránsito, procesamiento, almacenamiento, etc.

Ámbito Descripción Aspectos por analizar
Tecnológico El análisis de riesgos realizado en el entorno tecnológico pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento. Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de las informaciones que son manipulados por ellos.
Los usuarios que los utilizan. La infraestructura que les ofrece respaldo.
Humano El análisis de riesgos también se destina a la comprensión de las maneras en que las personas se relacionan con los activos. Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización. Este análisis pretende inicialmente identificar vulnerabilidades en los activos de tipo usuario y organización.  El nivel de acceso que las personas tienen en la red o en las aplicaciones. Las restricciones y permisos que deben tener para realizar sus tareas con los activos. El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc.
Procesos Análisis de los flujos de información de la organización y la manera en que la información transita de un área a otra, cómo son administrados los recursos en relación a la organización y manutención. De esta manera, será  posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo de identificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización.
En este ámbito, el activo de enfoque principal es del tipo usuario e información.
Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos.
Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas.
Físico El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos. El enfoque principal de este ámbito de análisis son los activos de tipo organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información. Identificar posibles fallas en la localización física de los activos tecnológicos.
Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran  activos tecnológicos. Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa.

5.3- Amenazas y Vulnerabilidades

Amenzas

Son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa.
Los activos están constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la información. Estas amenazas siempre existirán y están relacionadas a causas que representan riesgos, las cuales pueden ser: causas naturales o no naturales, causas internas o externas
Uno de los objetivos de la seguridad de la información es impedir que las amenazas exploten puntos débiles y afecten alguno de los principios básicos de la seguridad de la información (integridad, disponibilidad, confidencialidad), causando daños al negocio de las empresas.

Tipos de amenazas

Las amenazas son constantes y pueden ocurrir en cualquier momento. Esta relación de frecuencia-tiempo, se basa en el concepto de riesgo, lo cual representa la probabilidad de que una amenaza se concrete por medio de una vulnerabilidad o punto débil. Las mismas se podrán dividir en tres grandes grupos:
1. Amenazas naturales condiciones de la naturaleza y la intemperie que podrán causar daños a los activos, tales como fuego, inundación, terremotos.
2. Intencionales son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de información, entre otras.
3. Involuntarias – son amenazas resultantes de acciones inconscientes de usuarios, por virus electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.

Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología también surgirán nuevas formas en las que la información puede llegar a estar expuesta.

Vulnerabilidades

Son los puntos débiles que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa. Uno de los primeros pasos para la implementación de la seguridad es rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información.
Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir las  medidas de seguridad apropiadas para su corrección.
Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la información y con la presencia de elementos que perjudican el uso adecuado de la información y del medio en que la misma se está utilizando.

Tipos de amenazas

Físicas

Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está manejando o almacenando físicamente, como ejemplos de este tipo de vulnerabilidad se distinguen:

  • Instalaciones inadecuadas del espacio de trabajo,
  • Ausencia de recursos para el combate a incendios,
  • disposición desorganizada de cables de energía y de red,
  • Ausencia de identificación de personas y de locales, etc.

Naturales

Son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información.
La probabilidad de estar expuestos a las amenazas naturales es determinante en la elección y montaje de un ambiente. Se deberán tomar cuidados especiales con el local, podemos citar:

  • Ambientes sin protección contra incendios,
  • Locales próximos a ríos propensos a inundaciones,
  • Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc.

De Hardware

Los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos, podemos mencionar:

  • La ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan
  • Conservación inadecuada de los equipos.
  • La falta de configuración de respaldos o equipos de contingencia

Por ello, la seguridad de la información busca evaluar: si el hardware utilizado está dimensionado correctamente para sus funciones. Si posee área de almacenamiento suficiente, procesamiento y velocidad adecuados.

De software

Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informáticos incluso sin el conocimiento de un usuario o administrador de red, entre éstos destacamos:
La configuración e instalación indebidas de los programas de computadora, que podrán llevar al uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso implica el aumento del riesgo.
Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el acceso de los usuarios a dichos datos en medio electrónico y, por esta razón, se convierten en el objetivo predilecto de agentes causantes de amenazas.

  • Programas lectores de e-mail que permiten la ejecución de códigos maliciosos,
  • Editores de texto que permiten la ejecución de virus de macro etc.
  • Programas para la automatización de procesos
  • Los sistemas operativos conectados a una red.

De Almacenamiento

Los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan para almacenar la información.
Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos podemos citar: memorias USB, disquetes, CD-roms, cintas magnéticas, discos duros de los servidores y de las bases de datos, así como lo que  está registrado en papel.
Si los soportes que almacenan información, no se utilizan de forma adecuada, el contenido en los mismos podrá estar vulnerable a una serie de factores que podrán afectar la integridad, disponibilidad y confidencialidad de la información.

  • Plazo de validez y caducidad, defecto de fabricación,
  • Uso incorrecto,
  • Lugar de almacenamiento en locales insalubres o con alto nivel de, humedad, magnetismo o estática, moho, etc.

De comunicación

Donde sea que la información se transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información.
Hay un gran intercambio de datos a través de medios de comunicación que rompen barreras físicas tales como teléfono, Internet, WAP, fax, télex etc.
Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el propósito de evitar que: Cualquier falla en la comunicación haga que una información quede no disponible para sus usuarios, o por el contrario, estar disponible para quien no posee derechos de acceso.

  • La ausencia de sistemas de encriptación en las comunicaciones que pudieran permitir que personas ajenas a la organización obtengan información privilegiada.
  • La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad de la empresa pudiera provocar que  no alcanzaran el destino esperado o bien se interceptara el mensaje en su tránsito.

Humanas

Esta categoría de vulnerabilidad está relacionada con los daños que las personas pueden causar a la información y al ambiente tecnológico que la soporta.
Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales. La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.
Destacamos dos puntos débiles humanos por su grado de frecuencia: la falta de capacitación específica para la ejecución de las actividades inherentes a las funciones de cada uno, la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, insatisfacciones etc.
En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas aquéllas que puedan ser exploradas por amenazas como: vandalismo, estafas, invasiones, etc.

  • Contraseñas débiles,
  • Falta de uso de criptografía en la comunicación,
  • Compartimiento de identificadores tales como nombre de usuario o credencial de acceso,  etc.

4.3- Seguridad Física del Local:

Se estudiará el sistema contra incendios, teniendo en cuenta que los materiales sean incombustibles (pintura de las paredes, suelo, techo, mesas, estantes, etc.). También se estudiará la protección contra inundaciones y otros peligros físicos que puedan afectar a la instalación. Factor que afecta en gran medida la ubicación del centro de procesamiento de datos, ya que son múltiples los peligros que se encuentran fuera del control del ser humano: frió, calor, lluvias, vibraciones o sismos;  pueden ocasionar daños en los discos, por el peligro del “aterrizaje” de las cabezas de lectura y escritura. Por otro lado, hay que considerar la resistencia del suelo en instalaciones grandes.
Es recomendable instalar redes de protección en todo el sistema de cañería al interior y al exterior, detectores y extintores de incendio, monitores y alarmas efectivas.

En muchas partes del mundo, el daño y riesgo de inundación es algo común, en nuestro país actualmente existen muchas zonas que se inundan con las primeras lluvias. Los daños por inundación o agua han ocurrido aún cuando las instalaciones no se encuentren cerca de un río o una costa, se pueden originar por lo regular tras la ruptura de cañerías o por el bloqueo del drenaje, también pueden ser provocadas por la necesidad de apagar un incendio en un piso superior

  • Las computadoras, máquinas y equipo en general no se deben colocar en sótano o en áreas donde el riesgo de inundación sea evidente
  • Las instalaciones de cómputo y equipo no debe ponerse por debajo de las tuberías
  • Construir un techo impermeable para evitar el paso del agua desde un nivel superior
  • Acondicionar las puertas para contener el agua que bajase por las escaleras.

Equipos Contra Incendio.

 El equipo contra incendio puede variar dependiendo del tipo de fuego que se produzca. Diferentes tipos:

  • Portátil (menos de 30kg): polvo químico seco o bióxido de carbono
  • Móvil (más de 30kg): químico seco o bióxido de carbono
  • Sistemas Fijos
  • Manuales
  • Redes hidráulicas: formadas por una bomba, depósito de agua e hidrantes. El agente extintor puede ser: agua o espuma.
  • Automáticos: sistemas que funcionan con detectores y por sí solos disparan el agente extinguidor. Los agentes pueden ser: agua, bióxido de carbono.

Se debe aclarar que los equipos contra incendios portátiles y móviles son utilizados para combatir conatos de incendio, esto es, fuego que apenas se inicia y es muy fácil de suprimir. Cuando el incendio se ha extendido, se requiere recurrir al uso de hidrantes.

Inspección de equipos contra incendio

Sólo puede ser efectiva cuando se tiene el equipo adecuado; ya que es necesario que todo el equipo contra incendio se encuentre siempre en óptimas condiciones de funcionamiento.
Cuando se realiza una revisión del equipo portátil o móvil se debe inspeccionar lo siguiente:

  1. Ubicación: el sitio donde se encuentre el extintor debe ser accesible y estar cerca del personal que lo tendrá que utilizar. Así mismo debe tener un número asignado.
  2. Tipo: Según el agente extinguidor, si es de polvo (Bióxido Carbono) y si corresponde al tipo de fuego que se produciría en esa zona. Clase C para incendios eléctricos.
  3. Capacidad: de qué capacidad es el extintor y si esa capacidad es la adecuada a ese tipo de riesgo.
  4. Carga: los extintores de polvo cuentan con un manómetro que indica si se encuentra presurizados o no. Los extintores de Bióxido deben pesarse si están llenos o vacíos. Verificarlos cada 6 meses, si la presión es baja recargar el extintor.
  5. Vencimiento: la carga de todos los extintores caduca al año, aun cuando no se hayan disparado y el manómetro indique presión normal.
  6. Señalamiento: debe ser claramente visible desde todos los ángulos
  7. Altura: La parte más alta del extintor debe estar máximo a 1.50 mts. del piso.
  8. Acceso: no debe tener estar obstruido el acceso al extintor.
  9. Etiqueta: el extintor debe tener la etiqueta de instrucciones de uso, el tipo de extintor y la fecha de recarga.
  10. Seguro: en la manija debe estar el seguro y el alambre de cobre con sello metálico que indica que no se ha utilizado.
  11. Manguera: la manguera debe estar en su sitio y no tener grietas
  12. Pintura: el cilindro debe estar bien pintado.
  13. Prueba hidrostática: esta prueba realiza cada 5 años; el cilindro debe mostrar números grabados de la fecha de la última prueba.
  14. Instalar detectores de humos
  15. Adquirir un seguro contra incendios.
  16. Hacer simulacros de incendios para verificar que cada persona conoce sus responsabilidades.
  17. Reducir las áreas para fumadores a zonas con buena ventilación sin elementos inflamables como cortinas o alfombras.
  18. Mantener un inventario de todos los elementos físicos (servidores, microcomputadores, impresores, etc.)  Necesarios cuando las casas aseguradoras hacen el valúo de los daños
  19. Crear copias de seguridad de la información más importante y almacenarlas en otro lugar.

Control de Acceso Físico de las Personas

  • Identificación positiva del personal que entra o sale del área bajo un estricto control.
  • Asegurar que durante la noche, el fin de semana, los descansos y cambios de turnos sean tan estrictos como durante el día.
  • Las terceras personas se incluye al personal de mantenimiento del aire acondicionado los visitantes y el personal de limpieza. Éstos y cualquier otro personal ajeno a la instalación deben ser identificados plenamente así como controlados y vigilados en sus actividades durante el acceso.

Riesgo de acuerdo al piso de Ubicación

Todas las personas que entren a las instalaciones firmen un registro que indique la hora de entrada,

En la siguiente tabla puede analizarse el nivel de riesgo de acuerdo al nivel en un edificio centro de procesamiento de datos.

  • Nivel de Piso Factores
    Acceso al equipo Inundaciones Filtraciones de Agua Incendio Etc.
    Alto

    Poco

    Inexistente

    Grave

    Poco

     …
    Medio

    Mediano

    Poco

    Mediano

    Poco

     …
    Bajo

    Grave

    Mediano

    Mediano

    Grave

     …
    Sótano

    Mediano

    Grave

    Grave

    Inexistente

     …

    El Factor Humano
    En la investigación realizada se determinó que una de las partes más descuidadas en cuanto a seguridad dentro de la empresa es el recurso humano que no posee el mobiliario adecuado; así como se carece del conocimiento de cómo usar la computadora de forma correcta y evitar lesiones en el usuario; por lo que se presenta la información como guía para el administrador que le

    el motivo por el que entran, la persona a la que visitan y la hora de salida.

  • Colocar puertas con chapas de control electrónico que pueden funcionar al teclearse un código, al disponer de una tarjeta con código magnético, o tener implementado algún dispositivo para el reconocimiento de alguna característica física
  • La construcción de puertas y ventanas deben recibir especial atención para garantizar su seguridad.
  • Si es necesario colocar entradas de dobles puertas. dejando un área donde la persona queda atrapada y queda completamente expuesta para ser captada por el sistema de circuito cerrado, detector de metales  y fuera del acceso a las instalaciones. Una segunda puerta debe ser abierta para entrar a las instalaciones. Ejemplo las agencias de Scotiabank
  • La utilización de dispositivos de circuito cerrado de televisión, tales como monitores, cámaras y sistemas de intercomunicación conectados a un panel de control manejado por guardias de seguridad. Estos dispositivos permiten controlar áreas grandes, concentrando la vigilancia en los puntos de entrada y salida principalmente.
  • Todas las áreas deben estar protegidas contra la introducción física. Las alarmas contra robos, las armaduras y el blindaje se deben usar hasta donde sea posible 

    Tesis “Modelo de Seguridad para los centros de Tecnología de Información” Delmi Guzmán Rivas, Aura Lucía Soriano Saravia Nov. 2001.