Seguridad física del hardware
En un centro de cómputo todo aquello con que podemos interactuar de manera física es denominado “hardware”, este hardware a diferencia del “software” (programas, aplicaciones, etc.) sufre los problemas de la manipulación y del paso del tiempo.
Es por ello que es responsabilidad del responsable del centro de computo velar por la seguridad de este hardware, buscando los mecanismos que ayuden a mantener su tiempo de vida útil en el tiempo.
Primero entendamos una diferencia fundamental en seguridad,
la diferencia entre amenaza y riesgo. Una amenaza son todas las acciones que
aprovechan nuestras vulnerabilidades para atacarnos, los riesgos, en cambio,
son las consecuencias de qué tanta acción hemos tomado frente a las amenazas,
es importante aclarar siempre esta diferencia ya que son términos que se suelen
confundir con demasiada frecuencia. Si bien es cierto el riesgo siempre existe
y ningún mecanismo de defensa es eficaz al 100%, es tarea del administrador de
data center y de cualquier profesional de T.I. decidir a que nivel de riesgo
quiere trabajar.
Principales amenazas
Dentro de
las amenazas que podrían convertirse en un potencial riesgo tenemos:
-
Las
de acceso físico.
-
Los
desastres naturales.
-
Las
alteraciones del entorno.
Acceso físico
Velar por la
integridad, uno de los pilares de la seguridad informática, es un aspecto no
menor dentro de los activos físicos dentro de un data center, es por ello que
deben tomarse en cuenta mediante los respectivos análisis de riesgos, las
consecuencias (riesgos) que podría traer el no controlar el acceso de personas
no autorizadas.
Existen
diversas formas de controlar el acceso a los data centers, entendamos primero
que un computador es una herramienta de trabajo que procesa datos para
convertirlos en información, la información son los datos interpretados y que
han adquirido un valor después de un minucioso y técnico análisis. Informes,
balances financieros, proyecciones empresariales, etc. Entonces, ¿no es
coherente buscar proteger su integridad física?
Algunas
soluciones para el control del acceso físico:
-
Instalación de un sistema de alarmas: Un sistema de alarmas es siempre
una buena opción al momento de resguardar nuestros activos informáticos, sirven
para alertar una posible irrupción no autorizada en algún ambiente que se desee
proteger de especial manera.
-
Instalación de un control de cámaras: Un sistema de
vigilancia monitorizado por cámaras de seguridad, suele aminorar la intención
de robo en un local donde poseamos activos informáticos.
-
Personal de vigilancia: Si bien es cierto los facinerosos suelen atentar de
forma cobarde la mayor parte del tiempo, mantener elementos de vigilancia cerca
de las áreas que se desean proteger al máximo es conveniente.
- Control de credenciales: Restringir el
acceso solo al personal autorizado es una norma que jamás se puede pasar por
alto, desde un control de credenciales simple en donde se contengan los datos
de las personas autorizadas a interactuar con los activos hasta los más
sofisticados controles biométricos para controlar datos de ingreso y restringir
el acceso a personal no autorizado es sumamente importante.
-
Correcta implementación de acceso a
usuarios: El acceso a los usuarios dentro de
los computadores es tarea del administrador de un centro de cómputo, gestionar
de un usuario y una contraseña a cada persona autorizada a interactuar con el
entorno de nuestro activo a proteger es tan importante como saber a quien le
estás entregando las llaves de tu casa.
Recordemos que el acceso físico acarrea en otros riesgos como: Daños físicos, robo de información, implementación de software de espionaje, extorsión, pérdidas financieras, fracaso empresarial.
Desastres naturales
Una de las
formas para la que jamás estaremos completamente prevenidos son los desastres
naturales, y es que la fuerza de la naturaleza es impredecible el 100% de las
veces que desata su ira.
Es
importante considerar dentro de nuestras políticas de seguridad algunos de las
amenazas naturales a las que más expuestas está la zona en donde implementamos
nuestro data center o alguna oficina que controle un flujo considerable de
información.
Desde
lluvias copiosas que podrían provocar inundaciones, deslizamientos de piedras y
tierra (huaycos), si es que nos encontramos en una zona altamente sísmica, el
grado de humedad, todos son factores importantes a tener en cuenta para la
adecuada protección de nuestros equipos, sean computadores o redes cableadas.
Algunas
implementaciones a tener en cuenta para la protección de los activos
mencionados anteriormente:
-
Racks: Proteger un computador mediante un
rack que lo sostenga firme (y adecuadamente resguardado) hará que ante un
eventual movimiento sísmico este no caiga producto de la vibración.
-
Canaletas: Es primordial proteger con
canaletas de buena calidad nuestro sistema de cables, sean los de datos, los de
fluido eléctrico, sean de material aislante o que soporte temperaturas
elevadas.
-
Un sistema de drenaje: Ante una eventual
inundación un sistema de drenaje es importante ya que no permite que el agua
que fluye se acumule a un nivel superior del limite que se estableció al
momento de implementar una protección contra inundaciones (fijar las tomas de
corriente a suficiente altura al igual que la altura de los equipos).
-
Extintores: Contra los accidentes
en los que se manifieste fuego es importante tener disponible un extintor, por
norma de defensa civil y por criterio propio, un accidente es un evento no
programado y puede sucederse en el momento menos esperado.
- Sistemas de señalización: Rutas de evacuación, accesos de salida y toda información que pueda ser útil durante este tipo de incidencias.
Alteraciones
del entorno
Así como los
desastres naturales, existen algunas variaciones que afectan nuestro entorno,
provienen de diferentes causas, desde una mala instalación eléctrica, uso
inadecuado de cables, mal sistema de ventilación, etc.
Aunque estás
alteraciones del entorno son en la mayor parte de los casos prevenibles, es
indudable que en algún momento se van a suceder y es conveniente contemplarla
dentro del plan de control de riesgos que todo profesional de T.I. y con más
razón un administrador de centros de cómputo debe saber implementar.
Prevenir siempre
es mejor que curar es por ello que desde la implementación es vital contratar
al personal adecuado, dotar de los materiales más seguros y confiables, etc.
Algunos de
los niveles de estas alteraciones son:
- Nivel eléctrico: Dentro de los
problemas que habíamos mencionado, producidos en la mayoría de los casos por
mala implementación de materiales o negligencia en la contratación de personal,
están los cortos circuitos, baja de tensión, corte de flujo, ruido producido
por la mala calidad de cables o su incorrecta implementación.
Nivel ambiental: Ventilar un lugar implica el ingreso del aire a un
ambiente y por consiguiente el ingreso del polvo, este factor suele pasar
inadvertido, pero llega a ser muy perjudicial, es por ello que es importante
controlarlo. Otro factor a mencionar es la temperatura, es correcto mantener una
correcta temperatura dentro de un centro de cómputo. La humedad suele ocasionar
que los componentes eléctricos se sulfaten y se echen a perder es por ello que
hay que tenerla muy en cuenta.
Es
importante tomar en cuenta implementar estos eventos dentro del plan de control
de riesgos, así como las respectivas implementaciones para su control, como:
-
Deshumedecedor: Las zonas de
costa suelen ser lugares con mucha humedad en el aire, esta humedad es enemigo
número uno de los artefactos eléctricos ya que suelen sulfatar componentes y
perjudicarlos, es importante protegerlos de la humedad.
-
Ventilador: Un ventilador
desde el típico ventilador mecánico hasta los más sofisticados son una solución
importante para controlar la temperatura del ambiente y el flujo adecuado del
aire y por consiguiente del polvo que este aire incluye.
