I.SEGURIDAD FÍSICA Y LÓGICA EN UN CENTRO DE CÓMPUTO SEGURIDAD FÍSICA Debemos entender como seguridad, todos aquellos sistemas, medidas y procedimientos encaminados a garantizar la operatividad y continuidad adecuada de equipos y procesos de los mismos Seguridad física: Son todas aquellas medidas que permitan garantizar la integridad del personal, equipos y recursos en el centro de cómputo, es decir todo aquello que puede verse v tocarse. 1.1 PROPÓSITOS Y OBJETIVOS DE UN SISTEMA DE SEGURIDAD FÍSICA Asegurar la capacidad de supervivencia de la organización ante eventos que pongan en peligro su existencia Proteger y conservar los activos de la organización, de riesgos, de desastres naturales o actos mal intencionados. Reducir la probabilidad de las pérdidas, a un mínimo nivel aceptable, a un costo razonable y asegurar la adecuada recuperación. Asegurar q u e e x i s t a n c o n t r o l e s a d e cu a d o s p a r a l a s co n d i ci o n e s a m b i e n t a l e s q u e reduzcan el riesgo por fallas o mal funcionamiento del equipo, del software, de los datos y de los medios de almacenamiento. Controlar el acceso, de agentes de riesgo, a la organización para minimizar la vulnerabilidad potencial. 1.2 FACTORES QUE AFECTAN LA SEGURIDAD FÍSICA Los riesgos ambientales a los que está expuesta la organización son tan diversos como diferentes sean las personas, las situaciones y los entornos. 1.2.1 FACTORES AMBIENTALES Incendios: Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones inalámbricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas. Inundaciones: Es la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputo. Sismos: Estos fenómenos sísmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan, o tan intensos que causan la destrucción de edificios y hasta la pérdida de vidas humanas. Muchos de estos actos van relacionados con el sabotaje Fraude. Sabotaje. La economía siempre resulta necesaria y es importante asegurarse de que existe una relación costo/beneficio razonable con respecto a las medidas de seguridad que se van a implementar.2 FACTORES HUMANOS Robos. esfuerzo. Terrorismo. y están expuestas. dinero y. Humedad: Se debe proveer de un sistema de calefacción. Es el peligro más temido en los centros de cómputo. que se dedique al cuarto de computadoras y al área de máquinas en forma exclusiva. ventilación y aire acondicionado separado. Esta valoración debe hacerse de forma individual. pues lo que es valioso para algunos no lo es para otros. Hace unos años. daños por causas naturales. dinero y esfuerzo se está dispuesto a invertir? Se refiere a la cantidad de recursos que dispone o que está dispuesta a invertir la organización. lo que determinará en última instancia las medidas que se van a tomar.3 CONSIDERACIONES SOBRE SEGURIDAD La seguridad en cómputo de cualquier otro tipo cuesta tiempo. pero con la situación bélica que enfrenta el mundo las empresas deben de incrementar sus medidas de seguridad. Las computadoras son posesiones valiosas de las empresas. En las empresas existen empleados descontentos que pueden tomar represalias contra los equipos y las instalaciones. ¿Contra qué se quiere proteger? La seguridad efectiva debe garantizar la prevención y detección de accidentes. ¿Cuánto tiempo. sobre todo. Actos vandálicos. 1. . Para ello es necesario establecer prioridades. en muchas ocasiones las computadoras han sido utilizadas para dichos fines. ataques. Cada año millones de dólares son sustraídos de empresas y. de la misma forma que están expuestas las piezas de stock e incluso el dinero. este hubiera sido un caso remoto. 1. entre estas tenemos: ¿Qué se quiere proteger? Es muy importante determinar el valor del hardware y las tareas que realiza. así como la existencia de medidas definidas para afrontar los desastres y lograr el restablecimiento de las actividades.2. Actos vandálicos contra el sistema de red. que visita. Tarjetas de acceso y gafetes de identificación.1. Si es necesario usar vidrio en la construcción de esta área. hasta tarjetas con código magnético que permiten abrir la puerta. Firma. El personal de mantenimiento y cualquier otra persona ajena a la instalación se debe identificar antes de entrar a ésta. Registro de firma de entrada y salida. Asimismo.3.2 IDENTIFICACIÓN DE PERSONAL: Pueden utilizarse los siguientes elementos: Guardias y escoltas especiales. los dispositivos de lectura de las tarjetas pueden ser conectados a una computadora que contenga información sobre la identidad del propietario. Es recomendable que todos los visitantes que tengan permisos para recorrer el centro de cómputo sean acompañados por una persona designada como escolta. Puede tratarse de simples gafetes que identifiquen a la persona. Depto. Estructura y disposición del área de recepción En las áreas de alta seguridad donde se necesita considerar también la posibilidad de ataque físico se debe identificar y admitir tanto a los empleados como a los visitantes de uno en uno. Hora de entrada. Éstos pueden estar ubicados en lugares estratégicos donde exista más vulnerabilidad. Puertas con chapas de control electrónico. También se pueden utilizar dispositivos magnéticos automáticos y otros recursos en el área de recepción. disponer de una tarjeta con código magnético. o tener implementado algún dispositivo para el reconocimiento de alguna característica física especial tal como la huella digital. debe ser de tipo reforzado. los visitantes y el personal de limpieza. Si una persona no autorizada no tiene acceso. Consiste en que todas las personas que entren en el centro de cómputo firmen un registro que indique Fecha. 1. Asunto. Hora de salida. Estos dispositivos pueden funcionar al teclearse un código para abrirla.3. Nombre. el riesgo se reduce. Acceso de terceras personas Dentro de las terceras personas se incluye a los de mantenimiento del aire acondicionado y de computación. etc. la geometría de la mano. Procedencia. Éstos y cualquier otro personal ajeno a la instalación deben ser: Identificados plenamente y controlados y vigilados en sus actividades durante el acceso. Los controles de acceso físico varían según las distintas horas del día.1 CONTROL DE ACCESO FÍSICO El principal elemento de control de acceso físico involucra la identificación positiva del personal que entra o sale del área bajo un estricto control. . El riesgo que proviene de este personal es tan grande como de cualquier otro visitante. Persona que busca. a las instalaciones auxiliares. Todas las áreas deben estar protegidas contra la introducción física. es un plan formal que describe pasos apropiados que se deben seguir en caso de un desastre o emergencia. ya sea en forma parcial o total. las armaduras y el blindaje se deben usar hasta donde sea posible. Una segunda puerta debe ser abierta para entrar al centro de cómputo. la entrada a través de la primera puerta deja un área donde la persona queda atrapada y fuera del acceso a las computadoras. como un plan de respaldo Durante. 1. Equipos de monitoreo La utilización de dispositivos de circuito cerrado de televisión. necesarias para la operación normal del negocio”. Estos dispositivos permiten controlar áreas grandes. . del centro de procesamiento de datos. En muchos casos los espías pueden robar la información buscando en estos lugares. Las alarmas contra robos. se trata de un conjunto de procedimientos de recuperación para casos de desastre. Detección. concentrando la vigilancia en los puntos de entrada y salida principalmente. Consiste en un amplio estado de acciones consistentes para ser tomadas Antes.4. El término desastre en este contexto significa la interrupción en la capacidad de acceso a la información y el procesamiento de la misma a través de las computadoras.1 El Plan de Contingencia contempla tres partes: Prevención. Alarmas contra robos. tales como monitores. como un plan de emergencia y Después. Entradas de dobles puertas. como un plan de recuperación tras un desastre.4 PLAN DE CONTINGENCIA Un plan de contingencia es una “presentación para tomar acciones específicas cuando surja un evento o condición que no esté considerado en el proceso de planeación formal”. Es decir. cámaras y sistemas de intercomunicación conectados a un panel de control manejado por guardias de seguridad. contemplando todos los desastres naturales y eventos no considerados. 1. Los documentos con información confidencial nunca deben ser desechados en botes de basura convencionales. De esta forma. de manera que no se atraiga la atención sobre el hecho de que existe un dispositivo de alta seguridad. en forma discreta. Trituradores de papel. Deben contener el daño en el momento. Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la continuidad operativa. así como limitarlo tanto como sea posible. del centro de procesamiento de datos. las cuales son: Acciones de emergencia: deben contener el daño en el momento.2 ELEMENTOS DEL PLAN DE CONTINGENCIA El plan de contingencia contempla tres tipos de acciones. Acciones de recuperación: abarcan el mantenimiento de partes críticas entre la pérdida del servicio y los recursos. II. Abarcan el mantenimiento de partes críticas entre la pérdida del servicio y los recursos. Acciones de respaldo: Conjunto de acciones a realizar una vez que se ha presentado cualquier contingencia que afecte la continuidad operativa. Propósitos y objetivos planteados para la seguridad lógica serán: Restringir el acceso a los programas y archivos. SEGURIDAD LÓGICA Seguridad lógica: Son las medidas que permiten proteger directamente la información contra su pérdida o divulgación ya sea accidental o intencional. Asegurar que se estén utilizados los datos. a las instalaciones auxiliares. así como su recuperación o restauración. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. 1. la protección de lo que se puede ver pero no tocar. Que la información recibida sea la misma que ha sido transmitida. Que se disponga de pasos alternativos de emergencia para la transmisión de información. así como limitarlo tanto como sea posible. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. es decir. Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar la Seguridad Lógica. ¿Cuáles son los puntos débiles de un sistema informático? . así como su recuperación o restauración. archivos y programas correctos en y por el procedimiento correcto. contemplando todos los desastres naturales y eventos no considerados. Recuperación.4. ya sea en forma parcial o total. . Deben ser eficientes. considerando la función o rol del usuario que requiere dicho acceso. etc. modificación. Etc. al prevenir el ingreso de personas no autorizadas y es la base para casi todos los controles de acceso. desconexión de tarjetas. Usuarios: Suplantación de identidad. 2. etc. Jefe de un área usuaria. Algunos ejemplos de roles serían los siguientes: Líder de proyecto. Identificación es cuando el usuario se da a conocer en el sistema. Roles El acceso a la información puede ser controlado también. además permite efectuar un seguimiento de las actividades de los usuarios. a los sistemas de información y software adicional. conexión suelta. también para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con autorización de acceso) y para resguardar la información confidencial de accesos no autorizados. Identificación y Autentificación Se constituye en la primera línea de defensa para la mayoría de los sistemas computarizados. acceso no autorizado. manipulación fraudulenta de datos. visualización de datos Confidenciales.Los tres primeros puntos conforman el llamado Triángulo de Debilidades del Sistema: Hardware: Errores intermitentes. introducción de datos falsos. bloqueo del sistema. defectos en llamadas al sistema. etc. Programador. “Las medidas de control se implementan para ser utilizadas de forma efectiva.2 POLITICAS DE SEGURIDAD Controles de Acceso Estos controles constituyen una ayuda importante para proteger al sistema operativo de la red. de que puedan ser utilizadas(os) o modificadas(os) sin autorización. etc. etc. fáciles de usar y apropiadas al medio”. y Autentificación es la verificación que realiza el sistema de la identificación. Datos: Alteración de contenidos. Software: Sustracción de programas. Operador. ejecución errónea. PROTECCION DE INFORMACIÓN Los tres principios de la seguridad informática son: “El intruso al sistema utilizará cualquier artilugio que haga más fácil su acceso y posterior ataque “Los datos deben protegerse sólo hasta que pierdan su valor”. Memoria: Introducción de virus. mal uso de la gestión de memoria. Los tipos de acceso que han sido proporcionados. a quienes se les ha proporcionado autorización para usar un recurso del sistema. Limitaciones a los Servicios Las Limitaciones a los Servicios son controles que se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o que han sido preestablecidos por el administrador del sistema. El concepto de modo de acceso es fundamental para el control respectivo. Hay una gran flexibilidad para el manejo de estas listas. servicios y gente externa a la organización. pueden definir también a que usuario o grupos de usuarios se les niega específicamente el acceso a un recurso. Modalidad de Acceso Adicionalmente a considerar cuando un acceso puede permitirse. Ejecución. aplicaciones e incluso PC’s. computadoras. Encriptación La información encriptado solamente puede ser desencriptado por quienes posean la clave apropiada. los modos de acceso que pueden ser usados son: Lectura. Control de Acceso Externo Los controles de acceso externo son una protección contra la interacción de nuestro sistema con los sistemas. Dispositivos de control de puertos Los d i s p o s i t i v o s de control d e pu e rto s actúan de manera previa e independiente de las funciones de control de acceso propias del computador y comúnmente son usados en comunicaciones seriales. Creación. procesos). Se pueden implementar Listas de Control de Accesos Elementales y Avanzadas. Borrado. . Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo e incluyen una gran variedad de aplicaciones. Escritura. La Criptología es un tema cuya amplitud será tratada en un subcapítulo aparte. se debe tener en cuenta también que tipo de acceso o modo de acceso se permitirá. pero también son usadas para proteger datos. Control de Acceso Interno Los controles de acceso interno determinan lo que un usuario (o grupo de usuarios) puede o no hacer con los recursos del sistema A continuación se detallarán tres métodos de control de acceso interno: Palabras Clave (Passwords) Las palabras clave o Passwords. Listas de Control de Accesos Estas listas se refieren a un registro de: Usuarios (incluye grupos de usuarios. están comúnmente asociadas con la autentificación del usuario. Búsqueda. 2. Autenticación Basada en el Host La autenticación basada en Host. En la mayoría de los protocolos para copias de respaldo se especifica que al menos una de las copias de los datos debe conservarse en otro lugar. generalmente una privada y otra externa (por ejemplo Internet). proporciona el acceso según la identificación del Host en el que se origina el requerimiento de acceso. sino toda su planta de trabajo.3 ADMINISTRACION DE RESPALDO Y ALMACENAMIENTO D E INFORMACIÓN Todos sabemos lo importante que es crear copias de respaldo de los archivos y las aplicaciones importantes. en lugar de hacerlo según la identificación del usuario solicitante. Firewalls o Puertas de Seguridad Los firewalls permiten bloquear o filtrar el acceso entre 2 redes. pero muchas empresas todavía no tienen un enfoque abarcador y coherente para esta tarea vital. los desastres naturales tranquilamente podrían destrozar no sólo sus equipos y datos. Si bien las razones más comunes por las que se debe restaurar datos y aplicaciones de copias de respaldo son fallas de equipos o discos duros. entendiendo como red privada una ‘separada’ de otras. y por buenas razones. . CENTROS DE TECNOLOGIAS DE LA INFORMACION TEMA SEGURIDAD FISICA Y LOGICA EN LOS CENTROS DE INFORMATICA PROFESOR: BALTAZAR APARICIO ELABORADO POR: ANDY CARRASCO IDALMIS SALDAÑA CAROLINA SÁNCHEZ ABEL SERRANO FECHA DEENTREGA .UNIVERSIDAD AUTONOMA DE CHIRIQUÍ CENTRO REGIONAL UNIVERSITARIO DEL BARU FACULTAD DE ECONOMÍA ESCUELA DE CIENCIAS COMPUTACIONALES MATERIA ADM. 28/05/2013 INTRODUCCION La Seguridad Informática está orientada a brindar protección contra las contingencias y riesgos relacionados con la infraestructura informática actualmente instalada en el Centro de Cómputo. servicios y recursos de los sistemas de información desarrollados para beneficio de la Institución sean empleados de forma correcta. su accesibilidad. . a efecto de disponer de integridad en la información y el resguardo necesarios para proteger su estructura física y lógica. uso y aprovechamiento. en el cual se plasmen mecanismos que resguarden su estado físico. la Seguridad Informática radica en asegurar que los elementos. La implementación de nuevas tecnologías y la adquisición e instalación de equipamiento informático requiere de un marco normativo que aporte las medidas inherentes a la seguridad. implementar acciones que aporten medidas de seguridad y conservar en óptimo estado los bienes y servicios actualmente disponibles. que permita la continuidad en la operación del Centro de cómputo.CONCLUSION Todo usuario o personal relacionado. es necesaria la implantación de un plan de contingencias. debe tener a mano la información básica de métodos de seguridad aplicables a dicho centro. directa o indirectamente con un centro de cómputo. Dado el riesgo permanente de catástrofe o contingencia. . para estar preparados y así poder lograr una mayor eficiencia de éste y evitar daños en la integridad física del personal y equipo de dicho centro.
Report "Seguridad Fisica y Logica de Un Centro Computo"