Propósitos y Objetivos de un Sistema de Seguridad Física
Asegurar la capacidad de supervivencia de la organización ante eventos que pongan en peligro su existencia.
Proteger y conservar los activos de la organización, de riesgos, de desastres naturales o actos mal intencionados.
Reducir la probabilidad de las pérdidas, a un mínimo nivel aceptable, a un costo razonable y asegurar la adecuada recuperación.
Asegurar que existan controles adecuados para las condiciones ambientales que reduzcan el riesgo por fallas o mal funcionamiento del equipo, del software, de los datos y de los medios de almacenamiento.
Controlar el acceso, de agentes de riesgo, a la organización para minimizar la vulnerabilidad potencial.
FACTORES QUE AFECTAN LA SEGURIDAD FÍSICA
Los riesgos ambientales a los que está expuesta la organización son tan diversos como diferentes sean las personas, las situaciones y los entornos. Por ello no se realiza una valoración particularizada de estos riesgos sino que éstos se engloban en una tipología genérica dependiendo del agente causante del riesgo.
El tipo de medidas de seguridad que se pueden tomar contra factores ambientales dependerá de las modalidades de tecnología considerada y de dónde serán utilizadas. Las medidas se seguridad más apropiadas para la tecnología que ha sido diseñada para viajar o para ser utilizada en el terreno serán muy diferentes a la de aquella que es estática y se utiliza en ambientes de oficina.
En este punto solo se mencionan los factores que afectan a la seguridad física de una organización, pero mas adelante se hablará de los controles a utilizar para disminuir estos riesgos.
Factores ambientales
Incendios. Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones inalámbricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas.
Inundaciones. Es la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputo.
Sismos. Estos fenómenos sísmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan, o tan intensos que causan la destrucción de edificios y hasta la perdida de vidas humanas.
Humedad. Se debe proveer de un sistema de calefacción, ventilación y aire acondicionado separado, que se dedique al cuarto de computadoras y al área de máquinas en forma exclusiva.
Factores humanos
Robos. Las computadoras son posesiones valiosas de las empresas, y están expuestas, de la misma forma que están expuestas las piezas de stock e incluso el dinero. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección de la que dan a una máquina de escribir o a una calculadora, y en general a un activo físico.
Actos vandálicos. En las empresas existen empleados descontentos que pueden tomar represalias contra los equipos y las instalaciones.
Actos vandálicos contra el sistema de red. Muchos de estos actos van relacionados con el sabotaje.
Fraude. Cada año millones de dólares son sustraídos de empresas y, en muchas ocasiones las computadoras han sido utilizadas para dichos fines.
Sabotaje. Es el peligro mas temido en los centros de cómputo. Empresas que han intentado implementar sistemas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros, el saboteador puede ser un empleado o un sujeto ajeno a la empresa.
Terrorismo. Hace unos años, este hubiera sido un caso remoto, pero con la situación bélica que enfrenta el mundo las empresas deben de incrementar sus medidas de seguridad, por que las empresas de mayor nombre en el mundo son un blanco muy llamativo para los terroristas.
PLAN DE CONTINGENCIA
Un plan de contingencia es una "presentación para tomar acciones específicas cuando surja un evento o condición que no esté considerado en el proceso de planeación formal". Es decir, se trata de un conjunto de procedimientos de recuperación para casos de desastre; es un plan formal que describe pasos apropiados que se deben seguir en caso de un desastre o emergencia. Materializa un riesgo, ya que se pretende reducir el impacto de éste.
Se recomienda establecer un modelo a partir de aquellas organizaciones que se han preocupado por su desarrollo y crecimiento, han establecido dentro de la estructura orgánica de la empresa una función definida para la administración de riesgos y que han obteniendo estupendos resultados como una disminución considerable del impacto físico y económico de los riesgos dentro de la misma organización.
El Plan de Contingencia contempla tres tipos de acciones las cuales son:
Prevención. Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la continuidad operativa, ya sea en forma parcial o total, del centro de procesamiento de datos, a las instalaciones auxiliares, recursos, información procesada, en tránsito y almacenada, con la finalidad de estar preparados para hacer frente a cualquier contingencia. De esta forma se reducirá su impacto, permitiendo restablecer a la brevedad posible los diferentes servicios interrumpidos.
Detección. Deben contener el daño en el momento, así como limitarlo tanto como sea posible, contemplando todos los desastres naturales y eventos no considerados.
Recuperación. Abarcan el mantenimiento de partes críticas entre la pérdida del servicio y los recursos, así como su recuperación o restauración.
CONTROLES AMBIENTALES
Control de Perímetro
El primer paso consiste en establecer en términos generales si se trata de una instalación de riesgo alto, medio o bajo.
Clasificación de las instalaciones
Instalaciones de alto riesgo: Las instalaciones de alto riesgo tienen las siguientes características:
Datos o programas que contienen información confidencial de interés nacional o que poseen un valor competitivo alto en el mercado.
Pérdida financiera potencial considerable para la comunidad a causa de un desastre o de un gran impacto sobre los miembros del público.
Pérdida potencial considerable para la institución y, en consecuencia, una amenaza potencial alta para su subsistencia.
Todas las instalaciones de riesgo alto presentan una o más de esas características. Por ello, resultará generalmente fácil identificarlas. En la práctica no es tan importante hacerlo, pues lo que en realidad interesa es el impacto sobre el buen estado o la subsistencia de la empresa en caso de una interrupción prolongada del procesamiento.
Instalación de riesgo medio: Son aquellas con aplicaciones cuya interrupción prolongada causa grandes inconvenientes y posiblemente el incremento de los costos; sin embargo, se obtiene poca pérdida material.
Instalación de bajo riesgo: Son aquellas con aplicaciones cuyo procesamiento retardado tiene poco impacto material en la institución en términos de costo o de reposición del servicio interrumpido.
Ubicación física y disposición del centro de cómputo
La sala donde se ubican los equipos principales de proceso de datos debe dotarse de medidas de seguridad acordes con las características del equipo a proteger, su valor y su importancia.
Obviamente, las condiciones físicas de una sala que contenga un 'mainframe' han de ser mucho más rigurosas que las de la sala donde se ubique un 'mini'. Sin embargo, hay que considerar que un miniordenador puede ser tan crítico para una empresa pequeña como un 'mainframe' para una empresa mayor, ya que el grado de dependencia que tengan de sus sistemas informatizados es el grado del trastorno que la avería o destrucción del ordenador puede ocasionar a la gestión de la misma, llegando a poner incluso en peligro su supervivencia.
La selección de la ubicación del centro de cómputo debe realizarse buscando la parte más conservadora y clandestina, la cual debe estar lejos del área del tránsito de gran escala, tanto terrestre como aérea; también lejos de equipos eléctricos tales como radares y equipos de microondas, etc. El objetivo es mantenerlo tan lejos como se pueda de cualquier tipo de amenaza.
En la medida de lo posible, el centro de cómputo no debe de contener señal alguna que lo identifique como tal ante la gente externa. Incluso se recomienda que el sistema de cómputo sea construido en un edificio separado, de forma que facilite el control de acceso y disminuya el riesgo. Entre los aspectos que se deben tomar en consideración están la planeación de la distribución física del equipo de cómputo, los riesgos concernientes a desastres naturales –inundaciones, fuego, fallas eléctricas, polvo, etc.–, así como la luz solar –si la exposición es muy fuerte, debe evitarse el uso del vidrio; en los casos que no sea posible, pueden utilizarse persianas externas–.
Partiendo de que la estructura del inmueble está hecha con capacidad y estabilidad, es conveniente considerar los tipos de riesgos o conflictos que presentan cada uno de los niveles. Tomando en cuenta los factores inherentes del local podemos determinar estos riesgos o conflictos en los diferentes niveles de un inmueble.
Asegurar la capacidad de supervivencia de la organización ante eventos que pongan en peligro su existencia.
Proteger y conservar los activos de la organización, de riesgos, de desastres naturales o actos mal intencionados.
Reducir la probabilidad de las pérdidas, a un mínimo nivel aceptable, a un costo razonable y asegurar la adecuada recuperación.
Asegurar que existan controles adecuados para las condiciones ambientales que reduzcan el riesgo por fallas o mal funcionamiento del equipo, del software, de los datos y de los medios de almacenamiento.
Controlar el acceso, de agentes de riesgo, a la organización para minimizar la vulnerabilidad potencial.
FACTORES QUE AFECTAN LA SEGURIDAD FÍSICA
Los riesgos ambientales a los que está expuesta la organización son tan diversos como diferentes sean las personas, las situaciones y los entornos. Por ello no se realiza una valoración particularizada de estos riesgos sino que éstos se engloban en una tipología genérica dependiendo del agente causante del riesgo.
El tipo de medidas de seguridad que se pueden tomar contra factores ambientales dependerá de las modalidades de tecnología considerada y de dónde serán utilizadas. Las medidas se seguridad más apropiadas para la tecnología que ha sido diseñada para viajar o para ser utilizada en el terreno serán muy diferentes a la de aquella que es estática y se utiliza en ambientes de oficina.
En este punto solo se mencionan los factores que afectan a la seguridad física de una organización, pero mas adelante se hablará de los controles a utilizar para disminuir estos riesgos.
Factores ambientales
Incendios. Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones inalámbricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas.
Inundaciones. Es la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputo.
Sismos. Estos fenómenos sísmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan, o tan intensos que causan la destrucción de edificios y hasta la perdida de vidas humanas.
Humedad. Se debe proveer de un sistema de calefacción, ventilación y aire acondicionado separado, que se dedique al cuarto de computadoras y al área de máquinas en forma exclusiva.
Factores humanos
Robos. Las computadoras son posesiones valiosas de las empresas, y están expuestas, de la misma forma que están expuestas las piezas de stock e incluso el dinero. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección de la que dan a una máquina de escribir o a una calculadora, y en general a un activo físico.
Actos vandálicos. En las empresas existen empleados descontentos que pueden tomar represalias contra los equipos y las instalaciones.
Actos vandálicos contra el sistema de red. Muchos de estos actos van relacionados con el sabotaje.
Fraude. Cada año millones de dólares son sustraídos de empresas y, en muchas ocasiones las computadoras han sido utilizadas para dichos fines.
Sabotaje. Es el peligro mas temido en los centros de cómputo. Empresas que han intentado implementar sistemas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros, el saboteador puede ser un empleado o un sujeto ajeno a la empresa.
Terrorismo. Hace unos años, este hubiera sido un caso remoto, pero con la situación bélica que enfrenta el mundo las empresas deben de incrementar sus medidas de seguridad, por que las empresas de mayor nombre en el mundo son un blanco muy llamativo para los terroristas.
PLAN DE CONTINGENCIA
Un plan de contingencia es una "presentación para tomar acciones específicas cuando surja un evento o condición que no esté considerado en el proceso de planeación formal". Es decir, se trata de un conjunto de procedimientos de recuperación para casos de desastre; es un plan formal que describe pasos apropiados que se deben seguir en caso de un desastre o emergencia. Materializa un riesgo, ya que se pretende reducir el impacto de éste.
Se recomienda establecer un modelo a partir de aquellas organizaciones que se han preocupado por su desarrollo y crecimiento, han establecido dentro de la estructura orgánica de la empresa una función definida para la administración de riesgos y que han obteniendo estupendos resultados como una disminución considerable del impacto físico y económico de los riesgos dentro de la misma organización.
El Plan de Contingencia contempla tres tipos de acciones las cuales son:
Prevención. Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la continuidad operativa, ya sea en forma parcial o total, del centro de procesamiento de datos, a las instalaciones auxiliares, recursos, información procesada, en tránsito y almacenada, con la finalidad de estar preparados para hacer frente a cualquier contingencia. De esta forma se reducirá su impacto, permitiendo restablecer a la brevedad posible los diferentes servicios interrumpidos.
Detección. Deben contener el daño en el momento, así como limitarlo tanto como sea posible, contemplando todos los desastres naturales y eventos no considerados.
Recuperación. Abarcan el mantenimiento de partes críticas entre la pérdida del servicio y los recursos, así como su recuperación o restauración.
CONTROLES AMBIENTALES
Control de Perímetro
El primer paso consiste en establecer en términos generales si se trata de una instalación de riesgo alto, medio o bajo.
Clasificación de las instalaciones
Instalaciones de alto riesgo: Las instalaciones de alto riesgo tienen las siguientes características:
Datos o programas que contienen información confidencial de interés nacional o que poseen un valor competitivo alto en el mercado.
Pérdida financiera potencial considerable para la comunidad a causa de un desastre o de un gran impacto sobre los miembros del público.
Pérdida potencial considerable para la institución y, en consecuencia, una amenaza potencial alta para su subsistencia.
Todas las instalaciones de riesgo alto presentan una o más de esas características. Por ello, resultará generalmente fácil identificarlas. En la práctica no es tan importante hacerlo, pues lo que en realidad interesa es el impacto sobre el buen estado o la subsistencia de la empresa en caso de una interrupción prolongada del procesamiento.
Instalación de riesgo medio: Son aquellas con aplicaciones cuya interrupción prolongada causa grandes inconvenientes y posiblemente el incremento de los costos; sin embargo, se obtiene poca pérdida material.
Instalación de bajo riesgo: Son aquellas con aplicaciones cuyo procesamiento retardado tiene poco impacto material en la institución en términos de costo o de reposición del servicio interrumpido.
Ubicación física y disposición del centro de cómputo
La sala donde se ubican los equipos principales de proceso de datos debe dotarse de medidas de seguridad acordes con las características del equipo a proteger, su valor y su importancia.
Obviamente, las condiciones físicas de una sala que contenga un 'mainframe' han de ser mucho más rigurosas que las de la sala donde se ubique un 'mini'. Sin embargo, hay que considerar que un miniordenador puede ser tan crítico para una empresa pequeña como un 'mainframe' para una empresa mayor, ya que el grado de dependencia que tengan de sus sistemas informatizados es el grado del trastorno que la avería o destrucción del ordenador puede ocasionar a la gestión de la misma, llegando a poner incluso en peligro su supervivencia.
La selección de la ubicación del centro de cómputo debe realizarse buscando la parte más conservadora y clandestina, la cual debe estar lejos del área del tránsito de gran escala, tanto terrestre como aérea; también lejos de equipos eléctricos tales como radares y equipos de microondas, etc. El objetivo es mantenerlo tan lejos como se pueda de cualquier tipo de amenaza.
En la medida de lo posible, el centro de cómputo no debe de contener señal alguna que lo identifique como tal ante la gente externa. Incluso se recomienda que el sistema de cómputo sea construido en un edificio separado, de forma que facilite el control de acceso y disminuya el riesgo. Entre los aspectos que se deben tomar en consideración están la planeación de la distribución física del equipo de cómputo, los riesgos concernientes a desastres naturales –inundaciones, fuego, fallas eléctricas, polvo, etc.–, así como la luz solar –si la exposición es muy fuerte, debe evitarse el uso del vidrio; en los casos que no sea posible, pueden utilizarse persianas externas–.
Partiendo de que la estructura del inmueble está hecha con capacidad y estabilidad, es conveniente considerar los tipos de riesgos o conflictos que presentan cada uno de los niveles. Tomando en cuenta los factores inherentes del local podemos determinar estos riesgos o conflictos en los diferentes niveles de un inmueble.
son puras mamadas
ResponderEliminar