href="#fb3_img_img_c978c081-51bc-5586-85d7-eb94ed569e79.png" alt="Image"/>
Actividades
5. Investigue qué salvaguardas ambientales puede incorporar un ordenador en sus subsistemas: placa base, fuente de alimentación, discos duros, y chasis interno.
4.3. Seguridad física
El acceso físico a los ordenadores y equipos aumenta el riesgo de cualquier incidente. Debe aplicarse el criterio de conceder acceso exclusivamente a quien lo necesite por sus funciones y, a ser posible, concederlo solamente cuándo y cómo lo necesite (por ejemplo en un horario determinado, y/o en presencia de otra persona). Así, en general, los usuarios no deben tener acceso físico a servidores, o a equipos de comunicaciones; tampoco los desarrolladores de aplicaciones, ni administradores de bases de datos, ni la Dirección de la empresa, deberían tener acceso físico a servidores o equipos de comunicaciones, porque, en todos esos casos, su trabajo no lo exige.
Las consecuencias de un ataque con acceso físico, serán normalmente de máxima gravedad, porque se puede lograr el máximo nivel de acceso posible a toda la información. Entre los infractores, se pueden encontrar los propios usuarios o trabajadores de la empresa, antiguos empleados que conserven sistemas de acreditación que les den acceso, y personas externas, como ladrones, salteadores, o hackers.
Habitualmente, el incidente más frecuente por acceso físico es accidental o no intencionado: se trata de errores humanos protagonizados por personal del departamento de informática o TIC, por personal de servicios auxiliares (limpieza, seguridad o mantenimiento), o incluso por proveedores o visitas.
Se trata, por tanto, de proteger a los equipos de accidentes que ocurren cuando hay acceso humano a los equipos. Entre las salvaguardas más habituales para proteger el acceso físico, se encuentran las siguientes:
1 Establecer un perímetro de seguridad física (local, habitaciones), con elementos constructivos acordes (puertas, paredes, ventanas, techos, suelos, etc.).
2 Mecanismos de control de ingreso físico (acreditaciones, cerraduras automáticas, etc.).
3 Establecer y definir áreas de acceso público, de entrega, de carga, etc.
4 Protección contra locales o actividades cercanas (incendios, explosiones, vías de vehículos, o cargas en movimiento).
Actividades
6. Reflexione sobre el riesgo de que el local donde se alojan los equipos informáticos de una entidad financiera esté ubicado junto a una gasolinera, disponga de ventanas (protegidas o no), incluya muchas cámaras de seguridad, y rótulos con el nombre de la entidad financiera en la fachada.
4.4. Seguridad de acceso lógico
El acceso lógico se refiere al acceso a la información de manera remota, es decir, sin emplear un periférico conectado directamente al equipo. Por ello, interviene forzosamente una red de comunicaciones, que extiende el acceso al servidor más allá del CPD, donde estén confinados sus periféricos de entrada y salida. Las principales medidas de seguridad que se pueden interponer para reducir el riesgo de un incidente de seguridad, aprovechando una vulnerabilidad en el acceso lógico, son las siguientes:
1 Definir una política de control de acceso, que identifique la información relacionada con actividades comerciales, los responsables de conceder-configurar-revocar los accesos, el procedimiento de solicitud, etc.
2 Existencia de un registro de usuarios, y de los servicios a los que acceden. Nota: Es importante mantener un registro actualizado de los usuarios, de los servicios, y de los accesos autorizados de los usuarios a los servicios.
3 Gestión de privilegios de acceso, sobre la base de “solo lo que necesitan saber”.
4 Gestión de claves de usuario, tanto de las características técnicas o de complejidad, como de la prohibición de divulgación de las mismas.
5 Revisiones periódicas de los derechos de acceso de los usuarios.
6 El establecimiento de responsabilidades del usuario, en cuanto al uso de claves secretas, equipos desatendidos, políticas de “mesas” y pantallas “limpias” (que no muestren información que no sea de carácter público).
7 La existencia de una política de uso de los servicios de red (internet, correo electrónico, etc.).
8 Mecanismos de autenticación y registro para las conexiones externas a la empresa o remotas, como técnicas de redes privadas virtuales (VPN).
9 Separaciones de redes, por ejemplo, en base a servicios de información, o grupos de usuarios o sistemas.
10 Controles de las conexiones que realizan los usuarios hacia fuera de la empresa.
11 Controles de acceso al sistema operativo, como la identificación y autenticación del usuario, un sistema automático de gestión de contraseñas, la restricción del uso de las utilidades del sistema operativo, el cierre de sesiones por inactividad, y la limitación de los periodos válidos para los inicios de sesión.
12 Controles de acceso a las aplicaciones y la información, como controles de lectura, escritura, modificación de archivos, y carpetas; o el aislamiento de la información confidencial, por ejemplo, en sistemas con cifrado integrado.
13 Establecimiento de una política para trabajo en movilidad, que incluya las comunicaciones móviles y el teletrabajo.
Actividades
7. Plantee un hipotético registro de usuarios y de los servicios a los que acceden, en una empresa con 10 trabajadores, 3 departamentos, y 5 servicios entregados por los equipos informáticos (acceso a internet, correo electrónico, impresión, base de datos de contabilidad, y base de datos de clientes).
5. La gestión de la seguridad informática como complemento a salvaguardas y medidas tecnológicas
A la vista de la multitud de amenazas y salvaguardas consideradas, no se puede enfrentar el problema mediante un conjunto de medidas de seguridad aisladas para objetos concretos. Es decir, se pueden interponer multitud de salvaguardas y mecanismos de seguridad, pero estas salvaguardas por sí mismas, no aportan suficientes garantías de continuidad a la empresa. Es necesaria una gestión adecuada de esas medidas, que incluirá los procesos, revisiones, recalificaciones, y adaptaciones para la realidad cambiante de la empresa, su entorno, sus amenazas y sus debilidades.
Para la construcción de un sistema de seguridad, no bastan los conceptos tecnológicos, sino que se necesitan también aspectos de gestión, aspectos legales, aspectos éticos, u otros específicos de la naturaleza y ambiente interno y externo de la empresa.
Es en este punto en el que surge el concepto de Sistema de Gestión de Seguridad de la Información (SGSI), como un sistema de gestión usado para establecer y mantener un entorno seguro. Se trata, sencillamente, de analizar la empresa, y fijar sus necesidades de seguridad iniciales, de poner en
