SEGURIDAD FÍSICA DE SISTEMAS INFORMÁTICOS

Si bien la ciberseguridad comienza cuando encendemos algún dispositivo electrónico, la seguridad informática comienza mucho antes, con el diseño y la planificación de las instalaciones donde se ubicarán los sistemas informáticos, su funcionalidad, seguridad y control de los accesos a las mismas.

Se trata de proteger las instalaciones, los sistemas y la propia información, según su relevancia, confidencialidad y riesgo, mediante un sistema de protección que garantice la integridad física de los sistemas frete a diversos tipos de riesgos y que permita prevenir los daños provocados por fluctuaciones o cortes en el suministro eléctrico, desastres naturales, accidentes, o personas que pudieran acceder a las instalaciones.

Todo ello, mediante el establecimiento de diferentes medidas de seguridad, pudiendo citar, como más relevantes, las siguientes.

El primer paso en la seguridad informática es la determinación y el diseño del lugar donde se situarán los sistemas informáticos, teniendo en cuenta que existe mucha diferencia entre los sistemas que precisa un comercio, un despacho, una pequeña o media empresa, de los que son necesarios una gran empresa o industria.

Las posibilidades y necesidades de cada tipo de negocio, así como la relevancia y confidencialidad de los datos que traten será crucial en la determinación de las instalaciones y medidas de seguridad necesarias para la protección física de las instalaciones y sistemas informáticos.

No obstante, bien trate de una habitación en un pequeño despacho o comercio, o grandes salas en empresas de mayor envergadura, hay unas normas mínimas que se deberían cumplir:

-  Falso suelo: Que permita, tanto la circulación del aire, como la instalación del cableado necesario para los sistemas informáticos que se ubicarán sobre él.

Además, debería ser robusto e indeformable, resistir la humedad, la corrosión y las cargas mal repartidas, que no transmita vibraciones y proteja a los usuarios de cargas electrostáticas y electromagnéticas, debiendo unirse eléctricamente a tierra.

-  Falso techo: Que permita la instalación de sistemas de vigilancia, climatización y un sistema contraincendios adecuado a los elementos instalados en la sala.

-  Climatización: Los sistemas informáticos generan calor, y dado que lo recomendable es evitar aberturas en las salas (ventanas, etc.), se hace necesario un sistema que permita mantener una temperatura constante, evitando con ello el fallo de los sistemas electrónicos por sobrecalentamiento, y permitir que las personas que accedan a la sala lo hagan en unas condiciones de confort adecuadas.

Lo ideal es que el aire climatizado entre a lo largo de la sala y a diferentes alturas, lo que permitirá mantener la temperatura contante en toda la instalación.

También es conveniente un sistema de filtrado del aire que, en primer lugar, evite la entrada de polvo del exterior y, además, permita limpiar el aire que circula en el interior.

- Protección contra el ruido: Los equipos informáticos pueden ser ruidosos, haciendo necesario, sobre todo en pequeños despachos o comercios, evitar que el ruido que generen llegue a otras zonas y cause molestias al personal.

- Protección contra incendios: Esencial en las instalaciones donde se ubican sistemas informáticos, debiendo evitar el uso de agentes que dañen los equipos.

Es fundamental contar con un sistema de detección temprana que permita descubrir y localizar la presencia de humo en las primeras fases del incendio.

-  Control de acceso: Se hace necesario un sistema de seguridad que impida accesos no deseados y que, en caso de producirse, emita el correspondiente aviso y registre la actividad que el intruso pueda llevar a cabo.

Los datos alojados en los sistemas informáticos pueden tener una gran relevancia para la marcha de la empresa y, además, incluyen datos confidenciales de empleados, clientes, directivos, estrategias de mercado, contabilidad, etc.

La sala que alberga el hardware centra los mayores cuidados de la instalación, teniendo en cuenta, además, que el emplazamiento, necesariamente, debe ser un lugar seguro frente a diversos riesgos (desastres naturales, condiciones meteorológicas extremas, diversos tipos de accidentes, intrusiones físicas, etc.), lo que precisa una infraestructura específica.

La seguridad física del lugar donde se ubiquen las instalaciones informáticas es esencial para evitar el primero de los riesgos, la manipulación física de los sistemas informáticos.

Hay que tener en cuenta que, si extraemos un disco duro y lo conectamos a otra unidad, se podrá tener acceso directo a toda la información que no esté encriptada, pudiendo acceder a los archivos como si de una unidad externa se tratase, evitando todos los controles de seguridad establecido en el sistema informático del que procede dicho disco duro.

Es conveniente que las instalaciones cuenten con uno o varios perímetros de seguridad, según un sistema de clasificación por niveles de seguridad, u otros criterios, que restrinjan, tanto el ingreso como la salida de personas, equipos o medios de almacenamiento a cada uno de los diferentes niveles, que podemos catalogar en cuatro grupos:

- Zona del cableado eléctrico, y sistemas de climatización.

- Zona de cableado de las líneas telefónicas.

- Zona en la que se ubica el hardware del sistema.

- Zona en la que se encuentran los dispositivos de backup.

Cada una de estas zonas necesita disponer de un sistema que identifique a cada persona que entre y salga, registre el tiempo que ha permanecido en el interior y la actividad desarrollada, lo que ha de complementarse con un sistema que permita evitar el acceso de intrusos y alertar de su presencia.

En instalaciones más pequeñas (despachos, pequeños comercios, etc.), donde se hace imposible el establecimiento de diferentes perímetros de seguridad, sería necesario establecer estos controles respecto a la zona donde se encuentre el equipo informático e instalar los dispositivos de backup en un lugar diferente, también protegido.

Por último, la seguridad de las instalaciones ha de contemplar la garantía de suministro eléctrico, por ello, tanto en las grandes instalaciones como en las pequeñas, es necesario disponer de una fuente de alimentación no sujeta a la influencia de las perturbaciones de la red eléctrica que proteja, tanto de cortes, como de fluctuaciones en la alimentación, a los sistemas informáticos, pero también que permita el funcionamiento, sin interrupciones, de los sistemas accesorios, como los sistemas de seguridad, la climatización, sistemas  de protección contra incendios, control de accesos, etc.

Los sistemas antiincendios son, o deben ser, una parte fundamental a tener en cuenta a la hora de proyectar y realizar cualquier instalación de equipos informáticos.

La sala donde se ubican estos sistemas debe contar con un sistema especializado que evite la propagación del fuego, desde los primeros momentos y, al mismo tiempo, debe evitar que se causen daños en los equipos.

Para ello, es fundamental contar con un sistema que detecte el humo en las fases iniciales del incendio, teniendo en cuenta que, generalmente, en estas fases, el humo no es visible, aunque sí es perceptible por los detectores.

Los sistemas más utilizados para extinguir un incendio en este tipo de instalaciones incluyen dos tipos de agentes antiincendios:

- Agentes limpios gaseosos, como:

·   Novec 1230: Considerado el más eficiente, es incoloro, prácticamente inodoro y no conductor de la electricidad, almacenado en forma líquida, que se presuriza con nitrógeno y se descarga en forma de gas a temperatura ambiente.

·  FM-200 (HFC-227ea): Muy común, también se almacena en estado líquido y se presuriza con nitrógeno.

·  Gases Inertes: Como el nitrógeno, el dióxido de carbono o el argón.

- Agua nebulizada: Mediante sistemas que expulsan finas gotas de agua a alta presión, enfriando el ambiente sin causar los daños que producirían los rociadores tradicionales, como:

·  HI-FOG, que puede activarse mientras el edificio está ocupado, protegiendo a las personas.

·  SEM-SAFE, que, además de enfriar el fuego, agota el oxígeno, extinguiendo rápidamente el fuego.

Cualquiera de estos sistemas debe llenar la sala con el agente utilizado para ser efectivos, al tiempo que deberían ser seguros aunque haya personas en el interior de la sala.

Por último, para ubicaciones o incendios pequeños, existen extintores específicos para incendios eléctricos que utilizan CO2 o algún agente extintor limpio.

Como hemos dicho, cada uno de los perímetros debe contar con un sistema de control de ingreso/salida, según su clasificación de seguridad y de la zona, identificando a cada una de las personas u objetos que entran o salen e impidiendo el acceso o salidas no autorizadas.

Este sistema debe, además, contar con un modo de actualización que permita añadir, eliminar o realizar cambios en el personal autorizado y en los accesos temporales que, por motivo de transporte, reparaciones, etc., deban hacerse.

Los sistemas de autentificación para el acceso a los perímetros restringidos son variados:

- Identificación visual por un operario que abre y cierra el perímetro. Sistema tradicional que debería implementarse con alguno de los siguientes sistemas para evitar fallos humanos.

- Identificación mediante claves de acceso. Cuya seguridad dependerá de la fortaleza de las claves utilizadas y la capacidad de los usuarios para recordarlas sin necesidad de tenerlas anotadas.

- Identificación mediante tokens. Dispositivo electrónico que utiliza una clave cifrada o genera una secuencia aleatoria de números cuya validez dura unos segundos para autenticar a un usuario, pudiendo ser físicos (tarjetas inteligentes, unidades o llaves) o virtuales, y que, combinado con un PIN (Personal Identification Number), compone la contraseña del usuario.

- Identificación biométrica. Se basan en características físicas del usuario a identificar, como la huella dactilar, patrones retinales, etc. y que son extremadamente difíciles, si no imposibles, de falsificar.

- Una combinación de estos sistemas. El uso de dos o más de estos sistemas suele ofrecer una mayor seguridad en el control de acceso a las instalaciones o los diferentes perímetros.

La Seguridad Industrial es compleja, su objetivo es prevenir, detectar y detener las consecuencias de los riesgos a los que se enfrentan estas instalaciones (desastres naturales, condiciones climáticas extremas, defectos en el suministro eléctrico, accesos no autorizados, etc.), el estándar ISO/IEC 27002, ofrece un marco que define la seguridad informática y ofrece mecanismos para administrar el proceso de seguridad.

Teniendo en cuenta que el primer paso para la seguridad informática es la seguridad física de las instalaciones y del entorno en que se encuentran los elementos físicos del sistema, así como la seguridad y continuidad de los elementos adicionales que permiten su correcto funcionamiento, al tiempo que garantize la seguridad de las personas que operan tales instalaciones.

Es importante revisar la seguridad de cada uno de estos sistemas, incluyendo el control de acceso físico a cada área, evaluando la efectividad de los procedimientos y sistemas de seguridad y evitando fallos que pudieran ocasionar pérdidas, en ocasiones, irreparables.