4.1. Los suministros de energía del edificio

El primero de los puntos que debemos observar al realizar el estudio del edificio es el suministro de energía. Debemos centrarnos en los sistemas de suministro de energía que puedan afectar a los sistemas que queremos proteger, dejando de lado otras consideraciones como la disponibilidad de servicios para el personal y similares. Por ejemplo es asunto nuestro la disponibilidad de aire acondicionado en la Sala de Computación, pero no lo es la disponibilidad en la Sala de Reuniones.

El suministro de energía suele tener dos partes, una parte externa que provee y gestiona la compañía eléctrica y que llega justo hasta el punto donde se encuentra el sistema de tarificación, detrás del cual se suele encontrar nuestro sistema de protecciones y todo nuestro cableado y dispositivos, la parte interna.

La parte externa está protegida por un fusible y un limitador de potencia que instala la compañía eléctrica y que deben estar calculados para la potencia que vaya a consumir nuestro edificio. Normalmente no deberemos preocuparnos por estos dispositivos, que suelen estar sobredimensionados para evitar cortes de energía y que tienen como principal función la protección de la red eléctrica de la compañía. Por otro lado deberemos observar la disponibilidad del suministro de energía a nuestro edificio, teniendo en cuenta la redundancia que pueda tener la red eléctrica y por tanto nuestro suministro eléctrico. Esta información es posible obtenerla llamando al teléfono de información de la compañía eléctrica, que nos informará de la redundancia de la red para nuestro sector en concreto, que suele depender del número de lineas de media o alta tensión de que disponga la compañía en la subestación para proveer de energía al sector donde se encuentre nuestro edificio. Este es un punto donde no podemos actuar de ninguna forma, simplemente podemos advertir a la empresa para la que realizamos el trabajo de consultoría de las posibilidades de que se produzca un corte eléctrico general.

Otro aspecto a tener en cuenta es la posible redundancia que estructuralmente se pueda proporcionar al edificio. Este suele ser un aspecto complicado, pues no es común el tener más de una conexión eléctrica para un edificio. Con todo, el sistema ideal sería el que proporcionara redundancia por medio del suministro de energía eléctrica por dos compañías diferentes que operen en el mismo sector, lo que es una opción a considerar para sistemas críticos. Es posible solicitar este tipo de servicios a través de algunas compañías eléctricas y es imposible en otras, pero si necesita este tipo de servicio recomiendeló y soliciteló, puede ser esencial para sistemas críticos. La disponibilidad de este sistema suele ser nula en la mayoría de los sitios, pues aunque se cuente con un mercado de energía liberalizado que permita la contratación del suministro eléctrico eligiendo entre varias compañías la red eléctrica que ha de transportar esa energía hasta nuestro edificio suele ser propiedad de una de las compañías o de propiedad estatal, con lo que no tendríamos redundancia en el suministro de energía.

La opción más común para proporcionar redundancia en el sistema de suministro de energía es la utilización de generadores eléctricos (grupos electrógenos), que funcionan con combustible y pueden proporcionar energía a todo un edificio durante un periodo largo de tiempo durante un corte de energía o una interrupción del suministro por un desastre natural. Estos sistemas son bastante comunes en los hospitales y son una buena opción (aunque cara) de asegurar el suministro de energía eléctrica.

El suministro de gas y agua es menos crítico que el suministro de energía eléctrica para la seguridad de los sistemas hardware del edificio. Debe tenerse en cuenta el suministro de gas porque algunos sistemas de calefacción funcionan con gas, y pueden ser necesarios en climas muy fríos para mantener una temperatura mínima en nuestros centros de datos. El frío no suele ser un problema para los sistemas hardware, por lo que el gas no será una preocupación en la mayor parte de los casos.

Otro punto a comprobar debe ser la posibilidad de que un intruso malintencionado quiera cortar nuestro suministro eléctrico. Para esto debe de comprobarse que no es fácil el acceso a los cables que proporcionan energía eléctrica al edificio, por lo menos en un recorrido razonable desde nuestro edificio hasta la caja de conexiones más cercana.

Es imprescindible comprobar que existen todos los dispositivos de protección necesarios para el edificio y la disponibilidad de estos para todo el edificio y para cada planta de este, de forma que pueda aislarse un problema eléctrico lo máximo que sea posible. Idealmente deberíamos tener protecciones en cada planta e incluso en cada sección de cada planta, de forma que un problema eléctrico afecte lo mínimo posible a los sistemas de hardware y a la red. Los sistemas que consuman gran potencia, como los grandes sistemas UPS deberían tener su propia protección, normalmente interna en forma de fusibles u otro tipo de protecciones.

Todos los dispositivos de protección deben estar homologados y la instalación debe cumplir con el reglamento de baja tensión del país donde nos encontremos. Esto nos asegurará una cierta protección contra dispositivos e instalaciones defectuosos. Es importante asegurarnos de que la instalación eléctrica cumple estas condiciones, solicitando la documentación necesaria para comprobarlo. En casos muy críticos se puede contratar a especialistas en sistemas eléctricos que realicen un estudio eléctrico del edificio, del suministro y de las protecciones.

4.2. Los enlaces de comunicaciones del edificio

El caso de los sistemas de comunicaciones del edificio es similar al del suministro eléctrico, deberemos buscar la mayor seguridad y protección en los sistemas y además siempre que sea posible tener redundancia en los sistemas de comunicaciones para preveer el caso de que uno de los enlaces falle.

Los sistemas de comunicaciones suelen ser de dos tipos: públicos y privados. La mayoría de los edificios usarán sistemas públicos de comunicaciones, como puede ser la red telefónica para el transporte de voz y datos o las conexiones ADSL/DSL/Cable/etc que usan medios compartidos para la transmisión de datos. Es mucho menos común el uso de sistemas privados de comunicaciones como lineas telefónicas o de datos dedicadas o enlaces de microondas entre edificios.

Para los sistemas públicos debemos estudiar sobre todo si existe algún tipo de redundancia en las comunicaciones, puesto que las compañías telefónicas que suelen ser las que proveen los servicios no suelen proporcionar ningún tipo de certeza de que nuestras comunicaciones van a mantenerse, por lo que estamos a expensas de las averías o fallos que se puedan producir en las redes públicas para tener comunicaciones. Las comunicaciones telefónicas son necesarias para permitir el fallo de alguna de estas. Téngase en cuenta que las centralitas suelen tener una única conexión por lo que solo proveen un enlace de comunicaciones compartido por varias lineas telefónicas, si nos falla la conexión nos fallará el acceso telefónico de todos los sistemas telefónicos conectados a la centralita. Es aconsejable por tanto mantener más de una linea y además con diferentes compañías, de forma que tengamos siempre comunicación telefónica aunque alguna de las compañías falle. Es un sistema bastante común en grandes edificios y no debería tener más complicaciones. Es bastante común que las compañías que usan la red telefónica clásica compartan el medio físico para mandar los datos, medio físico que será propiedad pública o de una de las compañías, pero en cambio las compañías de cable suelen tener su propia red para proporcionar la conectividad, por lo que puede ser interesante la contratación de una linea con una compañía tradicional y otra con una compañía de cable para tener dos redes independientes.

Para los sistemas de datos tipo ADSL/DSL/Cable debemos buscar también la redundancia en los sistemas, manteniendo varias conexiones con varios proveedores para mantener siempre un enlace de datos seguro puesto que ninguno nos asegurará una conexión cien por cien fiable. Es necesario que el departamento de administración de red tenga en cuenta esta estructura para poder enrutar el tráfico de forma que si uno de los enlaces falla los datos se transmitan por otro enlace de otra compañía. Esta estructura de acceso a redes es muy común en grandes instalaciones y no debería haber problema en su estudio o en recomendar su instalación.

Para los sistemas privados las consideraciones de seguridad son algo menos severas que para los sistemas compartidos. La compañía que nos suministra el servicio nos asegurará las conexiones con una tasa fija de porcentaje de fallo en el tiempo, lo que nos permite planificar más fácilmente la seguridad del enlace, pues tenemos la seguridad de que el enlace se mantendrá. Lo mismo se aplica para los sistemas de comunicaciones privadas entre edificios usando microondas, donde nosotros mismos podemos asegurar la comunicación y no dependemos de la disponibilidad de una red pública. Para estos sistemas privados se puede realizar un estudio contratando a personal especializado en el estudio de estos enlaces y en su ajuste. Siempre es aconsejable complementar estos sistemas privados con un sistema de comunicación público para proporcionar redundancia en el caso de que nuestro enlace falle.

Se comprobará también la seguridad física del cableado (o la visibilidad de los tambores de microondas en su caso) comprobando que un intruso malintencionado no pueda seccionar los cables de comunicaciones que van desde la centralita más cercana hasta nuestro edificio. Hay que tener en cuenta que esta sección de cable es propiedad de la compañía que proporciona el servicio, por lo que necesitaremos llegar a un acuerdo con esta si queremos realizar algún tipo de modificación en este cable.

4.3. Los accesos físicos al edificio

Debemos tener en cuenta que el edificio tiene una serie de accesos obvios y otros no tan obvios que un intruso puede usar para entrar en nuestras instalaciones. Los obvios son las puertas principales de acceso y las ventanas que se encuentran cercanas a la calle. Los no tan obvios son las puertas de servicio, las ventanas superiores, las claraboyas, los accesos de mantenimiento o los sistemas de ventilación o calefacción.

Debemos realizar un estudio de la estructura del edificio, incluyendo si es necesario el estudio de los planos arquitectónicos de este si es necesario. Es imprescindibles ser paranoicos en este aspecto de la seguridad física del edificio, puesto que un intruso dentro del edificio es la mayor amenaza que podemos tener, incluso con todos nuestros sistemas de seguridad física desplegados. Nuestros sistemas de seguridad física pueden ser difíciles de sobrepasar, pero un intruso con el suficiente tiempo y que pueda usar la fuerza bruta sobre nuestros armarios o racks sin ser detectado tendrá siempre todas las de ganar. Debemos por todos los medios impedir el acceso a los potenciales intrusos, ya sea mediante la utilización de rejillas resistentes en las zonas de acceso y cerraduras de seguridad en las puertas y ventanas de acceso, o ya sea mediante la contratación de una vigilancia suficiente para asegurar que ningún intruso pueda acceder al edificio sin que sea detectado. El nivel de paranoia que debemos emplear para aconsejar estas medidas de seguridad es directamente proporcional a lo críticos que sean los datos que debemos proteger. No es lo mismo un simple edificio de oficinas que la central de un banco, por ejemplo. En el primero aconsejaremos cerraduras de seguridad, rejillas y vigilancia general del edificio, en el segundo aconsejaremos todo tipo de medidas de seguridad físicas como puertas blindadas, rejas de acero o rejillas soldadas, y además vigilancia mediante personas y cámaras en cada una de las plantas del edificio y sobre todo en las salas de máquinas que puedan contener datos críticos o sistemas que puedan dejar el sistema de computación del edificio inutilizado.

Podemos realizar una distinción entre la vigilancia en horas de oficina y cuando el edificio está cerrado. En las primeras centraremos nuestra atención en la vigilancia de los accesos al edificio, utilizando tarjetas de identificación para nuestros empleados y para el personal que deba acceder a zonas con seguridad y controlando a todas las personas que entren y salgan del edificio. Cuando el edificio está cerrado centraremos nuestra atención en la vigilancia por medio de cámaras, en los accesos menos obvios al edificio y en las posibilidades de que un intruso pueda forzar algún medio de entrada al edificio.

Es posible contratar a un especialista en puertas y cerraduras para comprobar la seguridad de los accesos al edificio y dentro del edificio. También es posible aplicar alguna de las Lock Picking Guides que se encuentran en Internet si somos los suficientemente hábiles como para comprobar una cerradura por nosotros mismos, aunque es muy posible que sea más sencillo y eficaz la contratación de un especialista.

4.4. El acceso al centro de computación

Si contamos en el edificio con un centro de computación o datacenter deberemos comprobar la seguridad física específica de esa habitación en concreto, por ser esta crítica para nuestros sistemas. Un centro de computación debe tener unas características especiales en cuanto a seguridad que no son necesarias en otros puntos del edificio. Debe tener un sistema de acceso suficientemente seguro, preferiblemente con una puerta blindada y siempre que sea posible con personal de vigilancia que compruebe el acceso por medio de tarjetas de identificación o medios similares. También es posible el uso de sistemas de identificación biométrica, por medio de claves temporales tipo Opie o similares. El acceso físico debe ser todo lo seguro que sea posible, vigilando que la puerta sea lo suficientemente sólida y la cerradura los suficientemente segura. No es difícil el estudio de seguridad física del acceso a un datacenter, pero es complicado el crear un sistema seguro de control de acceso, siendo aconsejable el tener personal de vigilancia que compruebe las identificaciones de forma inequívoca y que apunte en un sistema todos los accesos que se produzcan al datacenter.

En cuanto a la estructura física deberemos tener un suministro eléctrico asegurado, para lo que tomaremos las medidas que hemos indicado más arriba para el edificio, incluido un panel de protecciones para el datacenter que pueda protegerlo y aislarlo de otras secciones del edificio. Deberemos tener también un sistema de conexión a la red corporativa asegurado, mediante varias conexiones redundantes que permitan que una falle y que el edificio pueda seguir accediendo al centro de computación. Si el sistema debe tener conexión a redes públicas se proporcionará una conexión redundante que permita el fallo de al menos una de las vías de acceso.

Es imprescindible un sistema de aire acondicionado si tenemos suficiente hardware en el centro de computación. Es aconsejable tener algún método de monitorización de la temperatura y la humedad de la sala para mantener unas condiciones óptimas para los equipos que mantengamos en la sala de computación. También es imprescindible un sistema de detección de incendios, que pueda avisar rápidamente al personal encargado si se produce algún incendio en la sala. Siempre que sea posible se tendrá alimentación redundante para todo el sistema de computación y luego para cada equipo en particular.

4.5. La estructura del edificio

El estudio de la estructura del edificio es beneficioso para todos los demás estudios que vayamos a realizar sobre la seguridad física del edificio. Siempre que sea posible estudiaremos los planos del edificio para observar la estructura, el reparto del espacio dentro del edificio, los accesos, los sistemas de seguridad (salidas de emergencia, sistemas antiincendios, etc), el suministro de energía, las canalizaciones de agua y gas, etc.

En lugares donde sea probable la incidencia de terremotos se estudiará especialmente la estructura física del edificio y los sistemas de seguridad implementados para tales casos. Se puede pedir ayuda a un arquitecto para que estudie los planos del edificio y pueda señalarnos los puntos más críticos o que debamos vigilar.

4.6. La seguridad contra incendios y otros desastres

Los sistemas de seguridad contra incendios y otros desastres naturales deben ser instalados normalmente cuando el edificio es construido, y son difíciles de instalar después. En nuestro caso estudiaremos la disponibilidad de sistemas de detección y prevención de incendios, de rotura de tuberías o escapes de agua y en el caso de disponer de antenas de cualquier tipo o sistemas de comunicaciones como tambores de microondas estudiaremos la resistencia de estos a vientos fuertes.

Los sistemas de detección de incendios pueden ser instalados después de construido el edificio y no suponen una gran inversión, pueden avisar rápidamente de pequeños incendios y permitir al personal el sofocarlos antes de que alcancen mayor entidad. Puesto que el agua es enemigo del hardware informático no podemos implantar ningún tipo de sistema para sofocar incendios basado en agua, es preferible el comprobar que se dispone de suficientes extintores de CO2 o de espuma.

Como hemos dicho otro problema para el hardware informático es el agua. La rotura de una tubería puede producir un verdadero desastre en el sistema informático de una empresa, estropeando todos los sistemas de una red, por lo que es aconsejable la instalación de detectores de líquidos a ras de suelo para detectar rápidamente cualquier fuga de agua.

En cualquier caso siempre que tengamos un sistema de computación lo suficientemente crítico ninguno de estos sistemas puede sustituir al personal de vigilancia, que deberá velar por la seguridad física de los sistemas también en estos aspectos, para lo que deberá tener una serie de protocolos claros a seguir cuando se produce una de estas contingencias.

4.7. Planes de evacuación del personal

Consideraciones éticas aparte debemos tener en cuenta que una parte esencial del sistema computacional de una empresa o edificio son los administradores, las personas que usan el sistema y en general los empleados de la empresa. Por eso dentro del estudio de la seguridad física del sistema debemos tener en cuenta a las personas, manteniendo una serie de planes claros e inequívocos de evacuación de estos si se produce cualquier tipo de desastre dentro del edificio. Como consultores de seguridad estudiaremos los planes existentes para este tipo de evacuaciones, teniendo en cuenta que sean realmente aplicables en un momento de desconcierto general como puede ser un incendio y que sean el máximo de eficaces.

4.8. Seguridad física de los backups

De nada sirve mantener un perfecto sistema de backups si cuando es necesario restaurarlos estos no están disponibles. La seguridad física de las cintas o dispositivos de backup debe ser una preocupación para un consultor en seguridad física, y por tanto se debe tener previsto cualquier incidente que se pueda producir, como incendios, terremotos, robos y así cualquier evento que se nos pueda ocurrir.

Los armarios ignífugos son eficaces hasta cierto punto contra los incendios. Si estos son de pequeña magnitud probablemente nuestros backups sobrevivirán, pero si tenemos un incendio de cierta entidad la temperatura que se alcanzará dentro del armario destruirá los datos de los backups, por lo que son sólo relativamente eficaces contra este tipo de eventos. Lo mismo es aplicable para los terremotos y otros accidentes naturales.

El sistema más eficaz para mantener los backups seguros es mantenerlos fuera del edificio, o al menos mantener una copia de estos, ya sea en otro edificio o en un centro de almacenamiento de backups. Estos últimos son centros que proporcionan almacenamiento de las cintas de backup con todas las medidas de seguridad física imaginables y que son una buena alternativa a el mantenimiento de los backups cerca de las máquinas de las que se ha hecho backup. Puede contratarse uno de estos servicios y mandar los backups o copias de estos a uno de estos servicios, que velará por la seguridad de nuestros backups. Normalmente este tipo de servicios se encarga de ir a la empresa en los periodos de tiempo concertados para recoger las cintas de backup.

Otra alternativa es mantener backups distribuidos, replicando los backups entre edificios o entre sistemas informáticos, para prevenir la perdida de datos por culpa de un problema de seguridad física en alguno de los sistemas o edificios.

4.9. Sistemas de redundancia de servidores y almacenamiento de datos

Una opción que siempre deberemos considerar cuando realizamos estudios de seguridad física es la posibilidad de mantener varias copias de los datos e incluso tener redundancia para los servidores corporativos. Con los nuevos sistemas de almacenamiento distribuido es sencillo mantener los datos sincronizados en varias localizaciones, con lo que disminuye enormemente la probabilidad de pérdida de datos. Y teniendo suficiente ancho de banda de red para interconexionar los sistemas corporativos de varios edificios podemos tener redundancia de los servidores de datos o aplicaciones, con lo que podremos tener la seguridad de que nuestros sistemas informáticos siempre estarán disponibles, aunque no sea en la localización física que estamos estudiando.

La redundancia de servidores y del almacenamiento de los datos, sobre todo cuando está situada en diferentes edificios mejora la seguridad física de un sistema de computación en gran medida, y es una opción a tener en cuenta incluso aunque implementemos otro tipo de sistemas de seguridad física en el edificio.

Los sistemas de gestión y los servidores de aplicaciones comerciales distribuidos son caros y difíciles de mantener hoy en día, pero es posible implementar mediante software libre sistemas distribuidos con precios razonables y con un gran rendimiento. Algunas grandes empresas están liberando bajo licencias de software libre sistemas de gestión de datos distribuidos que pueden ser de gran ayuda en estos casos. Para los sistemas de almacenamiento distribuido existen varias opciones tanto de software libre como de software comercial, por lo que sólo deberemos ocuparnos de tener el sistema adecuado y el ancho de banda suficiente para poder replicar los datos.

El único punto de fallo con estos sistemas es el enlace de comunicación entre los sistemas a replicar, sobre todo cuando manejamos datos críticos. Para solucionar esto debemos aplicar otro tipo de redundancia, tanto en los sistemas como en los enlaces de red entre sistemas, como hemos explicado más arriba.

4.10. Sistemas distribuidos con localización en diferentes edificios

En el punto anterior hablábamos principalmente de redundancia entre sistemas de gestión o servidores de aplicaciones, así como de redundancia en el almacenamiento de datos. En este vamos a hablar de algo diferente, el estudio de sistemas de computación distribuidos localizados en diferentes edificios, con o sin replicación de datos.

Lo que antes se volvía un punto a nuestro favor ahora se vuelve un punto en nuestra contra. Al tener varios sistemas distribuidos en varios edificios deberemos realizar el estudio de seguridad física para cada uno de los edificios en todos los aspectos que puedan afectar a nuestros servidores. Esto supone más trabajo para el consultor en seguridad física, pero proporciona a la empresa una forma de aprovechar óptimamente su capacidad de calculo y almacenamiento de datos e incluso de de centralizar sistemas y servicios antes dispersos.

4.11. Alojamiento y backup de datos críticos fuera del edificio

La elección de un sistema de alojamiento para backups es una decisión del personal de administración, teniendo en cuenta una serie de razones como la necesidad disponibilidad inmediata de los backups o el tiempo que estos deben almacenarse. Como regla general deberemos mantener al menos una copia de los backups principales fuera del edificio, o incluso mantener fuera todos los backups. Como hemos indicado en la sección dedicada a los backups existen empresas dedicadas al almacenamiento de datos que proveerán a nuestros backups de todas las medidas de seguridad física necesarias. Medidas como el almacenamiento de los backups en el domicilio particular de los administradores son contraproducentes, pues no suelen tener ni las medidas de seguridad necesarias ni la capacidad de mantener un entorno óptimo para los backups.

4.12. Control de marcado de edificios y Warchalking

En el mundo hacker es una práctica común el marcado de edificios para indicar que en determinado edificio es posible acceder a la red o a los datos corporativos mediante técnicas de hacking, sobre todo con la cada vez mayor implantación de tecnología inalámbrica para la transmisión de datos, y que permite el acceso a los datos en bruto e incluso la comunicación desde el exterior de la empresa.

Deberá estudiarse la fachada del edificio de forma que no encontremos signos de Warchalking u otro tipo de marcado sospechoso. El Warchalking es una técnica de marcado que mediante símbolos realizados con tiza en la fachada de un edificio indica que el edificio cuenta con una red wireless y las características de esta, como pueda ser la posibilidad de obtener una IP valida por medio de DHCP desde fuera del edificio utilizando un portátil con una tarjeta wireless, la posibilidad de acceder a la red interna de la empresa por este método o la salida a Internet a través de la red de la empresa. El Warchalking es extremadamente peligroso, pues expone las vulnerabilidades que un hacker haya encontrado en nuestra red a cualquier otro intruso que pase por delante de nuestro edificio.

La primera medida contra el marcado y el Warchalking es la implementación de plena seguridad en la red interna de la empresa, incluso evitando tecnologías que permitan el acceso indiscriminado a nuestros datos desde el exterior como las redes wireless. Como el tener plena seguridad informática es siempre un objetivo difícil de cumplir y debemos tener en cuenta que siempre será necesaria la vigilancia por parte del personal de seguridad o de control de accesos a posibles signos de marcado o Warchalking.

Los símbolos de Warchalking cambian con el tiempo e incluso son diferentes entre diferentes escuelas de hackers, por lo que deberemos sospechar de cualquier marca o símbolo que encontremos en el edificio y que pueda tener algún sentido. Si encontramos signos manifiestos de Warchalking tendremos que asumir que además del riesgo en la seguridad física que supone el Warchalking que hemos detectado tenemos un problema de seguridad informática, porque sabemos que alguien se ha preocupado de marcarnos como objetivo de ataques que son en teoría posibles.

5.1. Suministro de energía para el hardware

Después de haber estudiado el suministro de energía al edificio debemos realizar un estudio del suministro de energía a los centros de computación o en el entorno inmediato donde se encuentra situado nuestro hardware. Es imprescindible el asegurar un suministro estable y continuo de energía eléctrica al hardware, utilizando normalmente sistemas UPS (Sistema de suministro ininterrumpido de energía) que regularán la tensión evitando los picos de voltaje que pueda traer la red y proporcionarán un tiempo de autonomía por medio de baterías en caso de cortes del suministro eléctrico.

Hay que tener en cuenta siempre que no solo es necesario proveer de un suministro estable y continuo de energía a los ordenadores y a los sistemas de almacenamiento, deberemos proporcionar el mismo tratamiento al hardware de red, incluidos concentradores, enrutadores, pasarelas y todos los dispositivos que sean necesarios para el funcionamiento normal de la empresa. Estas medidas pueden incluir también otro tipo de hardware como impresoras láser o fotocopiadoras.

Para evitar puntos de fallo es conveniente el no depender únicamente de un sistema UPS para todo el hardware a proteger, siendo más conveniente la instalación de varios UPS que puedan suministrar energía a parte del sistema en el caso de que uno de los UPS fallara. Se estudiará la autonomía de los UPS y las protecciones que proporcionan al hardware y se recomendará en su caso la instalación de más sistemas UPS o la redundancia de alguno de ellos.

Deberá estudiarse también las protecciones como fusibles, automáticos y diferenciales que tengamos en cada una de las concentraciones de hardware, como centros de computación, racks o armarios con varios sistemas montados.

5.2. Comunicaciones: Interconexión de redes y sistemas

En este momento del estudio de la seguridad física deberemos centrarnos sobre todo en la estructura física general de la red y no en los dispositivos en concreto. Deberemos comenzar estudiando el diseño de la red del edificio, observando las troncales de red que intercomunicarán las diferentes plantas y secciones del edificio. Intentaremos centrarnos en la estructura física y no lógica de la red, buscando los puntos de fallo que puedan afectar a toda la red.

Una red típica de un edificio consta de uno o varios grandes enrutadores que proporcionan la conectividad con el exterior, una red troncal (normalmente Gigabit Ethernet) que se extiende por la estructura del edificio, un gran concentrador por planta que distribuye el tráfico desde la red troncal y luego varios concentradores más pequeños que conformarán las diferentes redes departamentales.

El primer paso a estudiar es buscar los puntos de fallo que puedan provocar una caída total de la red, estudiando los grandes enrutadores que proporcionan conexión con el exterior, donde deberemos buscar dispositivos fiables y dotados de redundancia tanto en su estructura física interior como en la funcionalidad que proporcionan, incorporando varias conexiones preferiblemente con varios proveedores que nunca dejen a nuestra red troncal sin conexión al exterior. Se estudiará el entorno donde están situados los dispositivos enrutadores, observando que cumplan con todas las normas y que dispongan de un suministro continuo y estable de energía.

El siguiente punto a estudiar es el cableado de la red, comenzando por la red troncal. La red troncal suele ser Ethernet Grueso en sistemas antiguos y Gigabit Ethernet en los sistemas más modernos. En ambos casos deberemos estudiar el cableado mediante dispositivos al efecto y observando mediante planos o esquemas como han sido entubados y distribuidos por el edificio. En el caso de redes troncales de fibra óptica necesitaremos instrumental específico para el estudio de la red y de las interconexiones que esta pueda tener, y es posible que necesitemos contratar a personal especializado si queremos estudiar la fiabilidad del medio físico, lo que no suele ser necesario, pues realizando un estudio de la velocidad de conexión entre los diferentes concentradores en cada planta o departamento y con los enrutadores que dan conexión al exterior podremos comprobar la salud del medio físico. Debe estudiarse el tipo de fibra óptica instalada y la calidad del cableado, observando la documentación que hayan dejado los instaladores de la red troncal.

El tercer punto a estudiar es la posibilidad de fallo de los concentradores que conectan la red troncal con los concentradores de los distintos departamentos o secciones dentro del edificio. Lo más común es encontrar uno de estos dispositivos por planta, al cual se conectan todos los demás concentradores proporcionando conexión a las distintas redes departamentales del edificio. Para estos concentradores se deberán tomar las mismas precauciones que para los enrutadores principales, proporcionando siempre que sea posible redundancia en las conexiones entre la red troncal y los concentradores de las redes departamentales.

El cuarto punto son los concentradores que interconectan las redes locales departamentales con los concentradores conectados a la red troncal. Estos dispositivos son menos críticos que los anteriores, puesto que un fallo en ellos sólo afectaría a la red local departamental a la que proveen conexión. Para estos concentradores no suele ser necesario proporcionar redundancia, simplemente cuidaremos de que se encuentran en un entorno no hostil y correctamente alimentados. Mas adelante veremos las medidas que deben tomarse con el dispositivo en concreto en materia de seguridad física.

Para todos los dispositivos indicados se estudiará su ubicación y el acceso que un intruso pueda tener a ellos, sobre todo deberemos tener control de acceso a los enrutadores principales y también a los concentradores de cada planta, que son críticos en la seguridad física de todo el sistema.

Se deberá estudiar también la posibilidad de que un intruso malintencionado provoque algún tipo de fallo en la red cortando el cableado de red o manipulando alguno de los dispositivos de red. Contra la contingencia de un corte en el cableado de red es interesante la posibilidad en edificios nuevos de que el cableado de red sea integrado en la estructura del edificio, aunque esto siempre supondrá una merma en las posibilidades de ampliación de la red. En otro caso deberemos procurar que los cables de red estén lo más agrupados posible para facilitar su vigilancia. Se entubarán siempre que sea posible los cables de red utilizando medios rígidos que no sean fáciles de seccionar. Los dispositivos de red estarán también agrupados y preferiblemente protegidos en armarios ignífugos o racks con ventilación suficiente que permita una fácil vigilancia.

5.3. Acceso físico al hardware

El acceso físico al hardware sea este computadoras o dispositivos de red deberá ser restringido, teniendo en cuenta las necesidades de cada departamento o usuario. Se debe hacer aquí una distinción entre los equipos de red y servidores departamentales o corporativos y las máquinas de usuario final.

Los equipos de red importantes como routers, pasarelas y concentradores deberán estar en un lugar donde exista un control de acceso, ya sea mediante vigilancia por medio de personas o mediante el aislamiento de las salas o armarios donde estos se encuentren por medio de cerraduras o sistemas de control de acceso mediante tarjetas, claves o control biométrico. Para cada acceso deberá reflejarse una entrada en un sistema de control que puede ser desde un simple libro donde se vayan apuntando las personas y el acceso que han tenido a los equipos hasta un sistema informático que deje reflejado en sus logs el acceso al hardware y quien lo ha hecho. Es importante controlar y reflejar siempre en los apuntes quien ha accedido al hardware, con que motivo y las modificaciones físicas o lógicas que en su caso pueda haber realizado sobre este hardware. Los dispositivos de red que permitan un acceso remoto deberán ser protegidos por medio de claves y cortafuegos para limitar el acceso a las personas que tienen a su cargo la administración de estos sistemas. Se deberá preveer la posibilidad de que intrusos o atacantes intenten cambiar la configuración del hardware de red, sobre todo en el caso de enrutadores y concentradores que proporcionen funcionalidad de VPN, para esto se seguirán las medidas de seguridad informática indicadas para cada caso, que dependerán del tipo de dispositivo y de sus posibilidades de configuración. Es esencial el control físico de estos dispositivos porque algunos de ellos permiten el acceso a la configuración por medio de conexión a puertos serie y proporcionan una seguridad menor cuando se accede de esta forma. Se deberá preveer también la posibilidad de atacantes con el tiempo suficiente para realizar ataques de fuerza bruta sobre las claves de los sistemas o denegaciones de servicio por medio de envío de tráfico masivo o construido contra los dispositivos. Se debe preveer también la posibilidad hoy en día de que estos dispositivos sean hackeados, pues muchos de estos dispositivos tienen su propio sistema operativo o están directamente basados en hardware estándar que es más susceptible a ser atacado por medio de ataques informáticos. Incluso las más modernas impresoras láser cuentan con su propio sistema operativo, que puede ser hackeado y que puede proveer a un atacante de un medio de acceso a la red prácticamente no tenido nunca en cuenta por los administradores encargados de la seguridad.

Para los servidores departamentales o corporativos se deberá tener en cuenta las mismas premisas que para los dispositivos de red y además las propias de cualquier computadora que necesite una seguridad física e informática. Se tendrá en cuenta también la localización física de las máquinas y en su caso se proveerá el mismo control de acceso que para los dispositivos de red importantes.

Una de las medidas más eficaces contra los ataques tanto físicos como informáticos sobre todo este tipo de sistemas es la monitorización continua de los dispositivos mediante sistemas de monitorización basados en hardware o software. Los administradores de la red y de los servidores deberán mantener bajo observación estos dispositivos mediante esta monitorización buscando fallos y deberá evaluarse en cada caso si el fallo ha sido fortuito o se ha debido a algún tipo de manipulación sobre el hardware o sobre el software de los dispositivos.

Las maquinas de usuario final donde han de trabajar los empleados son paradójicamente las más importantes y las mas difíciles de proteger, porque normalmente han de estar situadas en el entorno del usuario, donde están expuestas a los errores o manipulaciones que un usuario poco cuidadoso o mal informado pueda realizar sobre ellas. En secciones posteriores de este manual se explicará como proteger este tipo de máquinas, pero a nivel corporativo puede ser interesante algún tipo de monitorización también de estas máquinas para detectar fallos o manipulaciones del hardware o el software. La localización de estas máquinas deberá ser idealmente centralizada, en forma de racks o de armarios donde se agrupen las máquinas y donde se pueda controlar el acceso a estas, siempre que los usuarios finales no deban manipular físicamente las máquinas, como en el caso de utilización de lectores de CDROM, grabadoras de CDs o disqueteras. Se intentará siempre que sea posible que el usuario final trabaje de forma remota sobre los servidores de la empresa, implementando soluciones de acceso remoto a las aplicaciones y los datos, o manteniendo como hemos dicho las máquinas en una localización segura donde el usuario no pueda manipularlas.

5.4. Localización física del hardware

La localización física del hardware puede afectar enormemente a la seguridad física del sistema, pues un sistema donde las máquinas estén expuestas a la manipulación del usuario final o de supuestos intrusos será un sistema poco seguro. Es aconsejable mantener los dispositivos de red y los servidores en un lugar centralizado, idealmente un centro de datos donde podamos tener las medidas de seguridad física indicadas anteriormente y donde el control de acceso permita saber quien, cuando y porqué ha accedido físicamente a alguno de los dispositivos.

Se aconseja el uso de armarios ignífugos correctamente ventilados con racks donde se instalarán los dispositivos de red y los servidores, correctamente cableados y teniendo en cuenta la seguridad física de este cableado. Estos armarios deben tener cerraduras lo suficientemente seguras para impedir el acceso a un supuesto intruso malintencionado y con la capacidad de realizar Lock Picking (Manipulación de cerraduras). Mas adelante se hablará de las medidas que se pueden implementar para impedir este tipo de comportamientos. El acceso a los armarios deberá estar controlado y se deberá crear una política de acceso a los armarios, donde se apuntará de alguna de las formas anteriormente indicadas cada acceso a los dispositivos de red y servidores alojados en el armario, la persona que ha accedido y las manipulaciones que en su caso pueda haber realizado. Siempre que se realice algún tipo de ampliación de equipos o modificación del hardware en los armarios por personal externo a la empresa o al departamento encargado de la administración del hardware deberá dejarse muy claro mediante una serie de políticas de acceso lo que puede o no puede hacerse.

Siempre que sea posible se preveerá la posibilidad de atacantes o intrusos malintencionados que tengan acceso físico al hardware, pues aunque tomemos todas las medidas posibles contra el acceso físico al hardware siempre deberemos asegurar también el mismo hardware en previsión de accesos no deseados.

5.5. Control de acceso al hardware. Control de acceso del personal

El control de acceso al hardware se realizará preferiblemente mediante personal que verifique mediante algún tipo de identificación a las personas que tienen permiso para acceder al hardware o mediante dispositivos electrónicos (claves, sistemas biométricos) o físicos (puertas blindadas, cerraduras seguras, etc) que permitan controlar quien tiene acceso al hardware y quien no. Es muy útil en estos casos tener una política clara y concisa sobre quien, como, cuando y para que puede tener acceso al hardware. Estas normativas deberán ser conocidas por todo el personal con acceso al hardware y deberán estar plasmadas sobre papel para poder ser consultadas en caso de duda.

Siempre será preferible la intervención de personal encargado del acceso al hardware que la utilización de llaves, tarjetas o dispositivos electrónicos, pues estos últimos son más susceptibles de ser burlados mediante varios sistemas, mientras que los primeros simplemente deberán ser entrenados para evitar el Hacking Social y para seguir la política de acceso al hardware de manera estricta. En sistemas muy críticos se puede poner personal de vigilancia o cámaras para controlar el acceso al hardware. La rigidez de las políticas de acceso al hardware son inversamente proporcionales a la facilidad de administración de los sistemas, pero normalmente son necesarias si queremos mantener una política de seguridad física alta.

Los dispositivos y servidores situados fuera de los centros de datos o de computación o en las zonas departamentales deberán ser protegidos mediante armarios o racks cerrados con llave y deberá imponerse una política en el departamento de acceso a estos sistemas.

Es importante que en todos los casos siempre tengamos una persona encargada del control del acceso al hardware y que tenga responsabilidades asociadas a este cometido. Puede tratarse de los mismos administradores, de los usuarios (mediante políticas de acceso) o de personal contratado para este cometido. Estas personas deberán responsabilizarse personalmente de todos los accesos al hardware que se produzcan y apuntar en los libros o logs detalladamente todas las manipulaciones realizadas.

Un punto poco conocido pero muy a tener en cuenta en la seguridad física de los sistemas es el control de acceso del personal de mantenimiento del edificio. El personal de limpieza, de mantenimiento del edificio y personal similar debe pasar por los mismos sistemas de control de acceso que los administradores o usuarios de las máquinas. Todo el mundo confía en el personal de limpieza o de mantenimiento, probablemente todo el mundo los conoce y llevan años trabajando en la empresa, pero si nuestros datos son suficientemente críticos haremos bien en desconfiar de todo el mundo, y también de ellos. Alguien puede ofrecer una cantidad de dinero o extorsionar de alguna forma al personal para que extraiga datos o provoque daños en el hardware, todo depende de lo importante que sean nuestros datos y de su valor económico. Incluso pueden producir daños graves por simple desconocimiento, pues no es la primera vez que el personal de limpieza desenchufa un servidor crítico de la empresa para enchufar la aspiradora. Y no es una broma, ocurre de verdad. Lo ideal es que personal de vigilancia acompañe al personal de limpieza y mantenimiento cuando este deba acceder a los centros de computación o a los sitios donde estén alojados servidores o sistemas de almacenamiento de datos. También se puede usar otro tipo de control de acceso como tarjetas o sistemas biométricos, que prevengan este tipo de comportamientos.

5.6. Interacción del hardware con el suministro de energía y agua

Aunque parte de la seguridad física del edificio deberá también tenerse en cuenta en los centros de computación o de almacenamiento de datos la seguridad física asociada a las canalizaciones de energía y agua. Las canalizaciones de energía pueden provocar cortocircuitos o fallos que provoquen incendios y las canalizaciones de agua pueden romperse y estropear el hardware. Se deberá estudiar que estas canalizaciones cumplan las normas que al efecto deben seguirse en cada país, pues existen reglamentos que indican la distancia a la que deben de estar estas canalizaciones unas de otras y de los dispositivos eléctricos como el hardware.

Se puede usar aquí dispositivos de monitorización como detectores de humo o de líquidos, que deberán situarse estratégicamente para proporcionar una máxima superficie de cobertura y sobre todo para proteger a los sistemas más críticos. Puede ser aconsejable en algunos casos mantener los sistemas críticos o redundantes en varias habitaciones, disminuyendo así la posibilidad de que una contingencia de este tipo pueda afectar a un grupo grande de máquinas, y deberá aprovecharse la estructura física del edificio para proveer aislamiento entre estas salas o secciones donde se ha de situar el hardware. La mayoría de las veces es preferible mantener algo más de cableado que mantener todo el hardware en una misma localización física donde esté expuesta a situaciones de riesgo como incendios o inundaciones.

Los sistemas de backup y almacenamiento de datos deberán estar en localizaciones seguras dentro del edificio y lejos de canalizaciones de energía o agua, por ser crítico su funcionamiento para la seguridad de los datos. Como en casi todos los casos la redundancia en estos sistemas, sobre todo si tenemos varios sistemas distribuidos en distintas secciones del edificio o incluso en diferentes edificios, nos proveerá de una seguridad adicional contra este tipo de accidentes.

5.7. Sistemas de control del hardware y su integridad

Los sistemas de control de las condiciones de trabajo del hardware suelen ir integradas en los racks o armarios que usemos para protegerlos, indicando normalmente una serie de parámetros como la temperatura de trabajo, la humedad relativa del ambiente dentro del rack o armario y otros parámetros. Los sistemas UPS de cierta entidad suelen tener algún medio de monitorización remota mediante SNMP o avisos de algún tipo. Deberá estudiarse la implantación de racks, armarios y sistemas UPS que proporcionen monitorización de las condiciones de funcionamiento del hardware para mantener las máquinas en un nivel óptimo de seguridad y para poder reaccionar rápidamente cuando se produce algún problema.

La integridad del hardware debe ser vigilada normalmente mediante software, ya sea mediante software de monitorización o sistemas de gestión de redes basados en SNMP. Por esto es muy interesante que nuestros dispositivos de red dispongan de funcionalidad SNMP suficiente para poder monitorizar la salud de los dispositivos y su estado. En condiciones normales de funcionamiento será suficiente con un sistema de monitorización a través de la red que permita ver si los dispositivos están funcionando correctamente y cumpliendo con su cometido, en los sistemas críticos puede ser necesaria una monitorización adicional por medio de personal que verifique que los racks y armarios están funcionando correctamente y que los dispositivos de red están físicamente protegidos.

5.8. Seguridad contra incendios y otros desastres a nivel de hardware

La seguridad contra incendios y otros desastres ha sido tratada a nivel estructural anteriormente, pero ahora hablaremos de la seguridad a nivel de hardware, que proporcionará un segundo nivel de protección física. Lo más normal es usar racks o armarios ignífugos para proteger a los sistemas contra pequeños incendios o desastres naturales, aunque deberemos tener siempre en mente que la temperatura que se alcanzará en un incendio en los racks y dentro de los armarios ignífugos es suficiente para destruir el hardware y los datos que este hardware pueda contener. Nada es más eficaz contra este tipo de imprevistos que un sistema eficaz de backup, donde los backups sean guardados fuera del edificio o al menos fuera de la sección que contiene el hardware o los dispositivos de almacenamiento de datos. La eficacia de un sistema de backup es una cuestión de seguridad informática, por lo que no la trataremos aquí, simplemente haremos notar que un backup no es eficaz si no está disponible cuando ocurre un incidente y es necesaria su restauración. La frecuencia de los backups también es un factor a tener en cuenta, puesto que no siempre es posible el llevar fuera del edificio o sección los backups en un espacio de tiempo suficientemente corto como para asegurar la mínima perdida de datos y trabajo cuando se produce un desastre de este tipo. Los backups remotos son una opción a tener en cuenta en estos casos, usando sistemas que realizan backups a través de red en máquinas situadas en otros edificios, posiblemente con replicación de los datos, para mantener varias copias de los datos y los backups y preveer así la contingencia de un incendio o un desastre natural en uno de los edificios.

La implementación de los sistemas de seguridad contra incendios, inundaciones, terremotos y demás desastres naturales deberá ser más estricta cuanto más críticos sean los datos que debemos proteger. Se debe mantener un equilibrio entre el presupuesto dedicado a la seguridad física para este tipo de eventos y las pérdidas que puedan darse si uno de estos eventos se produce. Estas pérdidas pueden ser económicas, en horas de trabajo o en la integridad de datos críticos como datos económicos, datos de clientes o proveedores y datos secretos referidos a la empresa o a nuestros clientes o proveedores. En el caso de que los datos sean críticos e irrecuperables o que su perdida pueda dañar la imagen corporativa de la empresa se empleará todo el presupuesto necesario para mantener copias de los datos distribuidas en varios edificios, mediante sistemas de backup o almacenamiento distribuido, porque esté será el único sistema que nos asegurará el mantener siempre copias de los datos físicamente seguras.

5.9. Planes de evacuación de hardware y equipos

Aunque no sea muy común es interesante estudiar la posibilidad de que el hardware deba ser evacuado del edificio por diversas razones. Es posible que tengamos que mover nuestro sistema a otro edificio por razones corporativas o que debamos hacerlo por razones de fuerza mayor, como desastres naturales, incendios parciales o cualquier otra contingencia imaginable. Para preveer este tipo de evacuación deberemos crear un plan de evacuación del hardware que nos permita llevar los equipos críticos a otro edificio o departamento en un mínimo de tiempo y siguiendo un plan predeterminado que tenga en cuenta la importancia de cada sistema.

Deberemos tener en cuenta al realizar el estudio y el plan de evacuación la importancia de los equipos y sobre todo de los datos que albergan estos equipos, de forma que los equipos y datos más importantes sean evacuados primero, y los menos importantes puedan esperar. Se deberá plantear la necesidad de tener personal preparado para este cometido y la facilidad con que estos datos se pueden mover de un lugar a otro.

Lo principal normalmente en una empresa será evacuar los datos corporativos (datos de la empresa, datos de facturación y contabilidad, del personal que trabaja en la empresa, de los clientes y de los proveedores), que estarán en forma de discos duros, sistemas de almacenamiento NAS o cintas de backups. Para los discos duros se facilita enormemente su evacuación si se dispone de discos duros hotswap (extracción en caliente) que puedan extraerse fácilmente del equipo y tengan una cierta protección física contra golpes o movimientos bruscos. Para los sistemas NAS se intentará que estos tengan también discos hotswap o que sean fácilmente desmontables y transportables. Las cintas de backup suelen ser fáciles de transportar, pero deberá tenerse en cuenta que son sensibles a los campos magnéticos y a las temperaturas extremas.

El plan de evacuación debe continuar con la evacuación de los backups y datos de trabajo de los usuarios para perder el mínimo de horas de trabajo posibles. Se debe tener en cuenta que normalmente es más caro el tiempo de trabajo del personal que trabaja en la empresa que la infraestructura informática de esta, por lo que antes de evacuar otro tipo de equipos deberán evacuarse los datos de trabajo del personal. Después se podrán evacuar todos los demás equipos que sea posible, teniendo en cuenta las consideraciones que la empresa encuentre más importantes, que pueden ser el valor económico de los equipos, la necesidad de disponibilidad inmediata de una infraestructura mínima para continuar con el trabajo o la necesidad de disponer de un sistema mínimo para la prestación de servicios a clientes y proveedores.

5.10. El entorno de trabajo del personal y su interacción con el hardware

Deberá tenerse en cuenta cuando se estudie el entorno de trabajo del personal de la empresa la formación que este personal ha recibido sobre seguridad informática y física de los sistemas sobre los que debe trabajar o que están localizados en su entorno más cercano. Es fundamental que los empleados tengan los conocimientos necesarios para mantener el entorno del hardware físicamente seguro, y para esto deberán crearse normas de acceso y de uso de los dispositivos hardware que el empleado deba manipular, poniendo especial incapié en la seguridad de los datos y de su propio trabajo. Tendremos en cuenta dos tipos de trabajadores para nuestro estudio: los trabajadores con responsabilidad en la administración del hardware y software y los usuarios finales de estos sistemas.

Para los administradores deberemos crear unas normas de acceso y uso de los dispositivos servidores y de red donde se expliquen claramente los pasos que se deberán seguir para acceder al hardware y realizar modificaciones sobre este. Para este personal es esencial el conocimiento de las implicaciones en la seguridad física de los sistemas que su trabajo diario pueda tener y las medidas de precaución que deberán tomar para implementar esta seguridad. Se debe crear junto con el personal de administración las normas a seguir para acceder y modificar el hardware y el software. Esto es importante pues nuestras ideas sobre las medidas que han de tomarse para asegurar físicamente los sistemas pueden chocar frontalmente con las prácticas necesarias en la administración normal del sistema. Los administradores deben por tanto implicarse en crear las normas de seguridad física, haciendo notar las normas que puedan entorpecer su trabajo y la mejor forma de realizar las prácticas de administración sin afectar a la seguridad física del sistema. Una vez creadas las normas y aprobadas por el personal de administración deberá responsabilizarse ya sea a una persona o el conjunto del equipo de administración de la seguridad del sistema, implicando así a todo el personal de administración en las prácticas de seguridad de la red. Las normas una vez aprobadas deberán ser prácticamente inamovibles, y cualquier caso excepcional que tenga implicaciones sobre la seguridad física de los sistemas deberá ser observado con lupa y aceptado por una persona con capacidad de decisión ejecutiva y con los conocimientos técnicos necesarios para aprobar o denegar una determinada práctica puntual. Es muy aconsejable que todo acceso o modificación sobre el hardware quede reflejado de alguna forma para que pueda ser comprobado posteriormente en el supuesto de fallos o problemas de funcionamiento del sistema.

Para los usuarios finales de los sistemas se debe crear una normativa de uso de la red y del hardware, donde se indicará de forma clara y fácil de entender y cumplir las normas que se deben seguir para el uso de los dispositivos hardware y de la red corporativa. Respecto a la red corporativa haremos notar que las normas se referirán a el acceso físico a las bocas de red, a los concentradores y al cableado de red, no a el uso informático que se realice de la red, para lo que deberá elaborarse otra normativa por parte del personal de administración y que no tendrá relación con la seguridad física. Puede ser conveniente la impartición de un seminario donde se explique a los usuarios las normas que deben seguir para evitar la manipulación del hardware y el acceso a este.

Es complicado el implicar totalmente a los usuarios finales en la seguridad tanto física como informática de las máquinas y la red, en determinados casos por falta de información o capacidad técnica y en otros por errores o intentos de manipulación para llevar a cabo prácticas en principio prohibidas o desaconsejadas en la normativa de la red pero que el usuario puede encontrar atractivas. Debemos ser conscientes de que el peso de la responsabilidad de mantener la seguridad física de los sistemas informáticos del usuario final debe recaer sobre el equipo de administración y sobre nosotros como consultores. Todo error o manipulación que un usuario final realice sobre el hardware o la red es responsabilidad nuestra, pues debemos preveer todos los casos posibles que se puedan dar y que puedan afectar a la seguridad del sistema. En caso de tener una normativa que los empleados deben cumplir, estando estos debidamente informados, y sobre todo si se tiene la certeza de que determinada manipulación del hardware o de la red ha sido hecha a sabiendas de las implicaciones en la seguridad deberemos en su caso avisar al infractor y si la conducta se repite deberemos comunicar la infracción a la persona que tenga capacidad ejecutiva para imponer sanciones sobre el usuario.

5.11. Planificación de espacio para hardware y dispositivos. Montaje en racks

Una mala planificación del espacio destinado a contener nuestro hardware o nuestros dispositivos de red puede llevarnos a prácticas contrarias a la consecución de una buena seguridad física. Por ejemplo si no hemos planificado suficiente espacio en uno de nuestros armarios o racks para montar un dispositivo de red podemos vernos obligados a montar este dispositivo fuera del armario con lo que cualquiera podrá acceder a las conexiones y puertos del dispositivo.

Es aconsejable sobredimensionar los armarios y racks de montaje de equipos en el momento de su compra preveyendo futuras ampliaciones que impliquen la instalación de nuevos equipos o dispositivos de red, esto solo puede hacerse normalmente en el momento de la compra, obligándonos en otro caso a adquirir otro armario o rack si nos quedamos sin espacio. Es un punto a tener en cuenta cuando se planifica una nueva red o cuando se va a ampliar una red existente.

Si observamos que existen dispositivos de red, servidores NAS o servidores de aplicaciones fuera de los racks protegidos con llave o de los armarios ignífugos se aconsejará siempre la compra de nuevos armarios para contener estos dispositivos.

Uno de los aspectos que se suelen descuidar cuando se adquieren o montan racks o armarios ignífugos es la ubicación de los UPS. Los UPS deberán ir dentro de los armarios, por ser un punto de fallo de todo el sistema y por tanto un sistema a proteger con especial cuidado.

5.12. Control de la temperatura y la humedad del entorno. Monitorización

Se aconseja siempre la instalación de dispositivos de control de la temperatura y de la humedad del entorno. El factor más crítico en los datacenters y en los racks y armarios ignífugos suele ser la temperatura, siendo la humedad un factor secundario sólo a tener en cuenta en climas muy determinados donde la humedad pueda afectar a los equipos.

Para prevenir una excesiva temperatura en los centros de datos y en los racks y armarios lo fundamental es tener una correcta ventilación y en el caso de habitaciones que alberguen una gran cantidad de máquinas la instalación de aparatos de aire acondicionado. A mayor temperatura menor tiempo entre fallos para todos los dispositivos electrónicos, incluidos los ordenadores, los dispositivos de red y cualquier sistema que genere por si mismo calor. Es fundamental que los ordenadores que montemos tengan una ventilación interior suficiente, incluyendo ventiladores para los discos duros y una fuente de alimentación correctamente ventilada. También son convenientes las cajas que incorporan uno o varios ventiladores para refrigerar las máquinas.

En el caso de los racks por su mayor masificación y por ser los dispositivos más pequeños y con una mayor integración de componentes la ventilación se convierte en un punto importante a tener en cuenta. Existen racks y armarios ventilados que permiten tener las máquinas en un punto de funcionamiento óptimo.

Es importante que además de tomar las medidas necesarias para tener la temperatura dentro de unos límites aceptables tengamos un sistema de monitorización de la temperatura. Este sistema puede ser un simple termómetro electrónico en la sala de computación o en los racks y armarios o un sistema de adquisición de datos conectado a un termómetro que pueda mandar datos de la temperatura a un ordenador que nos permita realizar la monitorización. Un ejemplo de un sistema de este tipo son los diversos aparatos que existen para su integración con el software Nagios y que nos permiten mediante plugins de Nagios la monitorización de la temperatura de cualquier sistema, avisándonos cuando supera los límites preestablecidos.

Debe configurarse también correctamente la bios de los ordenadores para que monitoricen correctamente la temperatura interna y avisen si esta supera los límites marcados. Lo mismo para la velocidad de giro de los ventiladores, que redunda al fin y al cabo en la temperatura que el hardware adquirirá.

5.13. Máquinas y dispositivos de escritorio

Los ordenadores y dispositivos de escritorio (Impresoras, faxes, pequeños concentradores, concentradores usb, etc) son uno de los puntos más difíciles de controlar por el consultor de seguridad física, pues dependen totalmente del uso o mal uso que el usuario final pueda realizar de ellos o sobre ellos. La única solución en este caso es la implantación de una política clara y comprensible para el usuario final de uso de los dispositivos que están a su cargo. Es importante responsabilizar de alguna forma al usuario final del hardware que está a su cargo, sin que esto suponga una carga añadida a su trabajo normal. Encontrar el punto justo entre la facilidad y flexibilidad en el uso de los dispositivos a cargo del usuario final y la seguridad física de estos dispositivos no siempre es fácil de encontrar, pero está es la tarea del consultor de seguridad física.

Para los ordenadores y dispositivos de red daremos más adelante algunos consejos de como mejorar la seguridad física de estos dispositivos, impidiendo su manipulación por parte del usuario final siempre que sea posible. Cuando el usuario final tenga que tener acceso directo al hardware (disqueteras, CDROMS, impresoras, etc) lo más conveniente es la creación de una política de uso del hardware, donde el usuario pueda saber exactamente lo que puede o no puede hacer.

5.14. Servidores y dispositivos concentradores, enrutadores y pasarelas

Hemos hablado ya profusamente sobre el entorno donde deben encontrarse los servidores y dispositivos de red. Añadiremos que la seguridad física que implementemos para estos dispositivos debe ser directamente proporcional a la importancia de estos, y es tarea del consultor informarse de la importancia que cada dispositivo tiene dentro del conjunto. No es lo mismo un concentrador de un departamento que el router principal que proporciona la conexión a Internet. Tampoco es lo mismo un servidor de backups que un servidor de ficheros. El primero puede dejarnos sin backups y sin cierta seguridad, pero el segundo dejará la red y por tanto las máquinas de los usuarios finales paralizadas, perdiendo gran cantidad de tiempo de trabajo hasta que repongamos el servicio.

Debemos por tanto proteger estos dispositivos según su importancia real. Para los dispositivos críticos lo ideal es mantenerlos alejados del personal o de posibles intrusos en salas con una correcta seguridad y control de acceso, así como con temperatura y otras condiciones óptimas y siempre que sea posible monitorizadas. Para los dispositivos menos críticos puede ser más interesante el mantenerlos más cerca del usuario final en armarios cerrados o en racks bajo llave teniendo en cuenta lo que antes hemos indicado para este tipo de sistemas.

5.15. Cableado eléctrico

Debemos tener en cuenta como consultores en seguridad física el cableado eléctrico en dos vertientes principales, las dos relacionadas pero independientes.

La primera de ellas es el cableado que proporciona energía a nuestros sistemas computacionales y dispositivos de red (e incluso otro tipo de dispositivos como impresoras láser o faxes) y que deben de cumplir como mínimo las normas aplicables a este tipo de cableado según el país donde nos encontremos, normalmente el reglamento de baja tensión. Esto implica que los cables no se encuentren cerca de conducciones de agua o gas y otra serie de apartados que se pueden consultar en los reglamentos de baja tensión de cada país. Esto por supuesto es el mínimo admisible. A partir de aquí debemos buscar los posibles fallos que hipotéticamente pudieran producirse dentro del cableado. Por ejemplo hay que estudiar que los enchufes y clavijas donde se conectan los dispositivos cumplen con las normativas aplicables y que no existe peligro de que pueda saltar una chispa entre terminales. Otro punto a estudiar es el diámetro y la calidad del cableado, para lo cual nos puede asesorar un electricista, calculando la potencia máxima que va a consumir un determinado sistema alimentado por un cableado y calculando a partir de ahí la sección y calidad del cable que debe instalarse. Debe sobredimensionarse siempre este factor por las posibles sobretensiones de la red y para prevenir sobrecargas en el cableado si añadimos más dispositivos al sistema. En cualquier caso hay que hacer notar que el cableado no suele ser problemático y suele estar bien calculado y muy sobredimensionado para la potencia que ha de transportar.

La segunda de las vertientes son las conducciones ajenas a nuestros sistemas computacionales y que puedan afectar negativamente al funcionamiento de estos. Todo el cableado eléctrico, sobre todo el que transporta una gran cantidad de energía eléctrica (soporta mucha potencia) produce trastornos electromagnéticos en su entorno. Los ordenadores y dispositivos de red, e incluso el cableado de red son bastante sensibles a este tipo de alteraciones electromagnéticas, por lo que intentaremos que el cableado ajeno a nuestros sistemas que deba transportar una gran potencia esté lejos de nuestro cableado eléctrico, de red y de los ordenadores y dispositivos de red. Un correcto aislamiento de este cableado puede mitigar este problema en gran medida. En caso de duda siempre podemos consultar a personal especializado que puede realizar mediciones de campo sobre los cables e indicarnos si pueden producir algún tipo de alteración sobre nuestros sistemas.

5.16. Cableado de telefonía

Poco más que añadir sobre el cableado de telefonía. Deberemos observar que el cableado tiene la calidad y esta homologado según la normativa del país donde nos encontremos. Deberemos tener también en cuenta lo dicho en el apartado anterior y mantenerlo lejos del cableado eléctrico que transporte mucha potencia. Por lo demás el cableado de telefonía no suele dar ningún tipo de problemas, más que los puramente físicos como seccionamientos del cable, conectores mal montados o defectuosos y cosas así.

Como con el cableado de red deberemos proteger de alguna forma el cableado de telefonía, para preveer la posible actuación de un intruso malintencionado que pueda seccionar el cable y dejarnos sin comunicaciones. Es fundamental poder comprobar el cableado mediante aparatos fabricados a tal efecto de forma sencilla, para detectar roturas o seccionamientos del cable si tenemos el cable protegido por algún tipo de entubado o integrado en la estructura del edificio.

5.17. Cableado de redes

El cableado de redes es más sensible a las perturbaciones electromagnéticas que el cableado de telefonía, por transportar datos a una mayor frecuencia. Asumimos que estamos hablando de cable tipo ethernet del comúnmente instalado hoy en día. Un caso diferente sería el antiguo cableado coaxial, que se recomienda sustituir por el nuevo cableado ethernet o el cableado de fibra óptica, que no sufre perturbaciones electromagnéticas y que tiene como único punto débil a estudiar su fragilidad, que no permite determinadas instalaciones, así como la mayor complejidad de sus conectores.

En el caso del cableado ethernet normal a 10M o 100M que se suele instalar en las redes departamentales o locales deberemos estudiar el cableado, observando que esté protegido mediante entubado o integrado en la estructura del edificio, además de observar que no se encuentre cercano a conducciones de electricidad de alta potencia que puedan crear interferencias electromagnéticas sobre el cableado de red. Se deberán tomar las medidas precisas para evitar el supuesto seccionamiento del cable por parte de un intruso malintencionado y un método de comprobación mediante dispositivos de comprobación de redes que nos permita encontrar posibles fallos en el cableado.

Es importante que todo el cableado y los conectores estén homologados, cumplan con la normativa aplicable y sean de la máxima calidad, a día de hoy CAT5 o CAT7.

5.18. Sistemas distribuidos dentro del edificio

Cuando tenemos un sistema informático distribuido dentro del edificio debemos tener en cuenta que el factor más importante que debemos estudiar es la conectividad entre los distintos nodos, lo que implicará un estudio de la red pública (dentro del edificio) o privada que usen para comunicarse, así como los dispositivos de red que usen para su comunicación. Es importante también asegurar la conectividad de los sistemas finales que han de usar los servicios proporcionados por el sistema distribuido, pues si no tenemos conectividad no nos servirá de gran cosa tener el sistema distribuido funcionando. Sobre la conectividad no añadiremos nada más pues es un caso de estudio de una red normal, del cableado de esta y de los dispositivos de red que la componen.

Deberemos realizar un estudio de la seguridad física de cada nodo y de como puede afectar la caída de uno de estos nodos al sistema distribuido, observando si la caída de un nodo provoca la caída del sistema, y entonces buscaremos algún tipo de alta disponibilidad o redundancia en los nodos, o si el sistema puede funcionar con algunos nodos caídos, con lo que el mismo sistema distribuido estará proporcionando la redundancia.

5.19. Llaves, cerraduras y armarios

La seguridad física de los armarios y racks es básicamente la de sus cerraduras y llaves, pues aunque podemos estudiar la fortaleza física del armario es poco probable que un supuesto atacante se ponga a reventar un armario o rack para acceder a su interior. Sobre todo cuando tiene otros métodos para hacerlo...

Las llaves y cerraduras dan una falsa seguridad al administrador de sistemas. La gran mayoría de los armarios y racks que se comercializan tienen cerraduras y llaves muy simples que pueden ser abiertas por cualquiera con un poco de habilidad y el material y los conocimientos necesarios. Solo debe estudiar las varias Lock Picking Guides que existen en Internet y que enseñan como abrir todo tipo de cerraduras, incluso las que tienen varios cilindros. El consultor de seguridad física deberá siempre aconsejar el uso de llaves de varios cilindros, similares a las que se encuentran en las puertas blindadas, que son prácticamente imposibles de abrir mediante técnicas de Lock Picking. Todo lo demás es engañarse, porque la persona que quiera acceder a nuestro armario seguramente tendrá los conocimientos y la habilidad para abrirlo si tenemos cerraduras de un cilindro o dos.

No hay nada mejor para darse cuenta de las implicaciones en seguridad física e informática de las técnicas de Lock Picking que bajarse de internet el documento The MIT Lock Picking Guide o cualquiera de los documentos de Lock Picking que existen en Internet. Aunque al principio la técnica puede ser complicada y difícil de implementar en una cerradura real puede estar seguro que si un intruso ha decidido aplicar estas técnicas sobre su armario o rack tendrá la práctica y los conocimientos necesarios para tener éxito en su empresa.

La única solución es el adquirir armarios y racks con cerraduras seguras, que tengan al menos tres cilindros o que tengan cerraduras similares a las de las puertas blindadas. Solo esto nos asegurará que ningún intruso podrá acceder a nuestros dispositivos.

5.20. Cámaras de seguridad y su monitorización

Las cámaras de seguridad son un elemento imprescindible si tenemos a nuestro cargo sistemas realmente críticos o sistemas especialmente atractivos para los supuestos intrusos o hackers. Esto incluye todos los sistemas que alberguen datos económicos, números de tarjetas de crédito, datos de clientes o proveedores, datos personales de nuestros clientes, etc. Si tenemos centros de datos que almacenan datos de este tipo o cualquier tipo de datos críticos para el funcionamiento de la empresa o secretos deberemos tener personal de vigilancia contratado. Este personal deberá contar con cámaras de seguridad que les permita monitorizar el edificio ante la posibilidad de intrusos o de actuaciones sospechosas del personal. Lo ideal es tener personal de vigilancia presencial en el centro de datos para el control de acceso y luego personal de vigilancia encargado de la monitorización de las cámaras de vigilancia.

Debemos tener en cuenta las cuestiones relativas a la privacidad de nuestro personal cuando instalemos o aconsejemos instalar cámaras de vigilancia. Normalmente deberemos poner en conocimiento de los empleados la existencia de estas cámaras, su localización y su función de vigilancia.

5.21. Control de ventanas y visibilidad desde el exterior

Uno de los errores en seguridad física más comunes que se suelen observar en entornos reales es la visibilidad desde el exterior de los monitores y teclados de los usuarios que están trabajando dentro del edificio. Esto es un fallo de seguridad física muy importante, pues un intruso malintencionado puede observar desde una ventana o desde el exterior del edificio como el personal teclea sus passwords personales o datos secretos o críticos para la empresa. Este es un caso muy común en las oficinas de los bancos, que suelen estar situadas en las primeras plantas de los edificios y tienen normalmente grandes fachadas de cristal que permiten la visibilidad al interior por parte de cualquier intruso.

La solución es muy sencilla. Basta con elegir la localización de los monitores y teclados fuera del alcance de un supuesto observador exterior. No se aconseja en principio la instalación de cortinillas o sistemas similares si no es imprescindible, porque casi siempre con una recolocación de los escritorios de los empleados o de sus sistemas informáticos basta para proporcionar una seguridad física suficiente en este caso.

5.22. Control de desechos y basura

¿A quien puede importarle nuestra basura? Le preguntará seguramente el jefe de administradores cuando le indique que quiere estudiar la colocación de los contenedores de basura de la empresa y los métodos de destrucción de documentación. A cualquier intruso, deberá responderle usted. Y esto es tan cierto como que se producen continuamente fallos de seguridad en las empresas por medio de hacking social que tienen como origen una mala gestión de los desechos y la basura.

Pensemos solo por un momento lo que puede obtener un posible intruso del contenedor de basura de una empresa: Documentación secreta sin destruir, números y claves de empleado, números de la seguridad social, planos de la empresa o de la red, datos técnicos de la red y de los sistemas informáticos de la empresa, datos sobre los empleados y la estructura administrativa de la empresa, números de teléfono internos, datos sobre la jerarquía administrativa de la empresa, y así hasta el infinito. Datos, datos, datos. Un posible intruso puede usar todos estos datos para realizar todo tipo de hacking social sobre sus empleados y departamentos, usándolos para identificarse mediante llamadas a teléfonos internos y solicitar datos que normalmente no se darían si no fuera porque el interlocutor nos está dando datos que no debería saber si no trabajara en la empresa. Este tipo de ataques de hacking social son cada vez más comunes y deben ser una preocupación principal para un consultor de seguridad física.

Hay que ser tajantes con este tema. Todos los documentos internos de la empresa deben de ser destruidos mediante máquinas que existen para esta tarea. Debe elegirse máquinas que destruyan totalmente los documentos, nada de tiras gruesas de papel que pueden volver a unirse con suficiente paciencia, cuanto más destruidos queden los documentos mejor. La incineración de los documentos es por supuesto la opción ideal. Además debe de crearse una política de destrucción de documentación que todos los empleados deberán cumplir, responsabilizándose cada uno de los datos y documentación que desechen.

6.1. Acceso físico a las máquinas y dispositivos de red

Es inevitable que el personal tenga acceso físico a las máquinas sobre las que deben trabajar, y en algunos casos incluso a los dispositivos de red. Cuando el usuario debe usar el hardware directamente, como usando disqueteras, CDROMs o similares la máquina que alberga estos dispositivos debe estar cercana al usuario. Lo mismo es aplicable para los servidores y dispositivos de red y los administradores de sistemas, para poder realizar su trabajo tienen que tener normalmente acceso físico a los dispositivos de red.

Teniendo en cuenta este factor debemos intentar mediante el estudio de la red y de las aplicaciones que han de correr los usuarios finales el mantener al menos los servidores y los dispositivos de red lejos del usuario final, en racks, armarios o centros de datos. Los usuarios podrán acceder a sus datos a través de la red local y mantener los datos importantes a salvo, aunque el hardware donde van a trabajar este desprotegido por estar en su puesto de trabajo. Los sistemas NAS y otros sistemas de almacenamiento de datos o servidores de aplicaciones pueden ayudar en esto.

Por tanto la idea es mantener al menos los datos y el trabajo del usuario fuera de la máquina donde el usuario va a trabajar. Deberemos instar al personal de administración para que organice el sistema de forma que los usuarios finales trabajen directamente sobre servidores de ficheros y servidores de aplicaciones, manteniendo así los datos a salvo de errores o manipulaciones del hardware. Bien estudiado este sistema puede suponer un ahorro adicional en hardware en las estaciones de trabajo del usuario final, que podrán ser menos complicadas en su constitución y más sencillas de administrar.

6.2. Racks y armarios

Sobre los racks y armarios ya hemos hablado bastante. Tengamos en cuenta todo lo que hemos comentado sobre su entorno, su localización y las consideraciones que debemos tomar para su adquisición y montaje. Además de todo esto debemos tener en cuenta que estos armarios y racks deben contener máquinas y dispositivos de red, y que esto implica otro nivel de seguridad física que debemos estudiar. En concreto deberemos estudiar que máquinas se incluyen en que racks y lo mismo para los dispositivos de red. Esto evitará que un supuesto intruso o usuario malintencionado que intente reconectar las máquinas o dispositivos del rack para realizar acciones no permitidas lo tenga más difícil. Si mantenemos en un rack los servidores de ficheros, en otro los de aplicaciones y en otro los dispositivos de red tendremos la seguridad de que un supuesto intruso no podrá trucar nuestra red para acceder con los permisos de unas máquinas a otras.

Hay que tener especial cuidado con los racks que contienen dispositivos de red, pues con la actual tendencia a construir VLANs por medio de concentradores que implementan este servicio podemos tener el peligro de que un usuario realice cambios en el cableado de red y tenga acceso a redes a las que no debería tener acceso. Es muy importante también el proteger en los concentradores los puertos donde se pueden conectar sniffers de red, pues proveen a un supuesto intruso de un arma imbatible para obtener datos de nuestra red. Lo mismo es aplicable a las conexiones serie que puedan tener estos dispositivos y que nos permitan la administración remota de los dispositivos, pues la seguridad del control de acceso en estos puertos no suele ser tan fuerte como cuando se accede mediante telnet o interface web.

6.3. Las cajas de las computadoras

Las cajas de las computadoras suelen ser un quebradero de cabeza para todo consultor de seguridad física, porque nos vienen impuestas por el hardware que se ha adquirido y es difícil el convencer a una empresa de que las cambie por otras más seguras.

La caja normal de una computadora no provee ningún tipo de seguridad contra un supuesto acceso a su interior por un intruso, todo lo contrario, cada vez se hacen más fáciles de abrir... Hay varias soluciones que se pueden aplicar para mejorar la seguridad de estos sistemas. La primera y más simple sería el sellado de la caja, que al menos nos alertará si algún intruso ha accedido a su interior. Deberá instruirse al personal de mantenimiento para que ponga y quite los sellos cuando tengan que realizar algún tipo de manipulación dentro de la caja. Otra solución es el taladrar y poner un candado o sistema similar en la caja que impida su apertura, aunque esto es difícil, puesto que lo que suele buscar un supuesto intruso son los datos contenidos en el disco duro, y para eso con abrir parcialmente la caja le basta. Se puede sellar con silicona los tornillos de la caja o todo el borde de la tapa para impedir su apertura, pero esto será un problema si tenemos que realizar cualquier tipo de mantenimiento dentro de la caja. Otra opción más radical todavía (pero no inverosímil) es la soldadura de la tapa de la caja con el armazón, esto asegurará la seguridad de la caja, pero si hay que realizar algún tipo de mantenimiento...

Otra opción es la adquisición de cajas más seguras. Varias compañías venden cajas que tienen cerraduras y sistemas de anclaje de la tapa con el armazón que proporcionan una seguridad considerable contra intrusos. Aquí el único punto débil es la cerradura, que deberá ser segura, como ya indicamos anteriormente. También se puede usar cajas de metacrilato fabricadas a medida para nuestros sistemas. Estas cajas se pueden obtener de varios fabricantes con cualquier tipo de características, sobre todo si encargamos la suficiente cantidad, y pueden estar protegidas mediante llaves contra su apertura. El metacrilato es muy resistente si es lo suficientemente grueso y permite dejar aperturas para el uso de CDROMs, disqueteras y similares. Es una opción engorrosa y difícil de mantener, por lo que se optará siempre que se pueda por cajas seguras antes que por sistemas hechos a medida.

Todas estas opciones son parches para el problema principal, que es el mantener datos importantes en una máquina expuesta al usuario final y a posibles intrusos. La opción correcta es mantener estos datos en lugar seguro (un servidor de archivos dentro de un armario o rack) y que el usuario trabaje de forma remota sobre estos datos, con lo que la seguridad física del ordenador del usuario final será poco importante.

6.4. Seguridad del bios. Password de bios

La seguridad que proporcionan las passwords de bios es una seguridad absolutamente ficticia. Muchos administradores confían ciegamente en la seguridad de los sistemas asegurados mediante passwords de bios, sobre todo cuando se intenta impedir el arranque desde disquetera o desde CDROM. Esto es un grave error. La seguridad que proporciona el password de bios es mínima si no tenemos una seguridad física suficiente sobre el sistema en cuestión. Si un intruso consigue abrir la caja del ordenador puede simplemente activar el puente de borrado de la bios y nuestro password se borrará, o puede simplemente llevar un bios igual al del ordenador en cuestión y montarlo en el zócalo. Incluso se han dado casos de llegar a desoldar el bios de un ordenador y soldar el nuevo para saltar el password.

Por todas estas técnicas y por muchas otras que existen simplemente no debemos confiar en los password de bios. Si alguien tiene acceso al interior de nuestra máquina podrá hacer lo que quiera con ella. Puede borrar el bios, cambiarlo por otro, instalar una disquetera o un CDROM, una grabadora de CDs, cualquier cosa. La seguridad física de la caja por tanto es fundamental si queremos asegurar que la configuración de la máquina no va a ser cambiada.

No nos cansamos de decirlo. Si tiene datos importantes manténgalos alejados de las máquinas de usuario o de cualquier máquina a la que pueda tener acceso un intruso malintencionado. Es la única forma de mantener sus datos a salvo.

6.5. Equipamiento hardware de las máquinas

Habiendo comentado ya el problema que existe con la poca seguridad que proporciona el bios de los ordenadores el equipamiento hardware que implementemos en la máquina no va a proporcionarnos más seguridad. No vale que no instalemos disquetera ni CDROM ni grabadora de CDs, y que deshabilitemos en el bios la detección de estos. Si alguien tiene acceso físico al interior de la caja del ordenador siempre podrá cambiar el bios y luego instalar su propia disquetera, CDROM o grabadora de CDs, por no hablar del acceso directo al disco duro, que puede sacar, clonar con herramientas como Norton Ghost y luego volver a dejar en su sitio sin que nadie se de cuenta de que se ha replicado la información de la máquina.

Por lo tanto la ausencia de hardware en las máquinas no proporciona una seguridad mayor a las máquinas. Puede proporcionarla contra el intruso sin el tiempo suficiente para realizar cambios en el bios, pero si el intruso tiene suficiente tiempo podrá instalar su propio hardware y hacer lo que desee con nuestra máquina.

6.6. Acceso al interior de los equipos

Hemos tratado ya el acceso al interior de las cajas de los ordenadores, que es un tema complicado. Más complicado aun es el acceso a los equipos de red, sistemas servidores de archivos, sistemas NAS, sistemas servidores de aplicaciones y similares. Estos equipos normalmente no son modificables, y suelen venir con cajas muy poco resistentes y poco preparadas para aguantar el maltrato al que un supuesto intruso podría someterlas. En la mayoría de los casos estos sistemas son de fácil apertura, pues suelen ser ampliables y se busca siempre una fácil ampliación, lo que es bueno para el personal de mantenimiento y administración, pero malo para nosotros como consultores de seguridad física.

La repercusión sobre la seguridad de la apertura de un NAS (Servidor de Almacenamiento) puede ser desastrosa. Todos los datos de trabajo de la empresa pueden quedar a disposición de un intruso. Muchos de estos sistemas tienen discos duros estándar, que pueden ser replicados con un portátil mediante Norton Ghost o similares y devueltos al sistema NAS sin que nadie detecte lo que ha ocurrido. Esta es la pesadilla de un administrador de seguridad, todos sus datos replicados sin haber dejado ninguna pista. Lo mismo es aplicable para otro tipo de servidores, y algo similar ocurre con los dispositivos de red, que pueden ser alterados una vez abiertos para cambiar la configuración, borrar las claves de acceso y muchas manipulaciones similares.

Insistimos. Lo único que nos salvará de este tipo de ataques de fuerza bruta (nunca mejor dicho) es el mantener este tipo de máquinas críticas protegidas en racks cerrados, en armarios bajo llave o en centros de datos con control de acceso. No hay más magia que esta, no busque soluciones esotéricas a problemas ya solucionados.

6.7. Redundancia de máquinas y sistemas de almacenamiento

Al igual que insistimos en mantener los datos en lugar seguro lejos del usuario final o de un supuesto intruso no podemos dejar de insistir en la necesidad de redundancia o alta disponibilidad en los sistemas críticos y en las máquinas que proporcionen almacenamiento. Es fundamental poder acceder a los datos siempre que sea necesario, y la única forma de asegurar con un porcentaje aceptable de seguridad que nuestros datos estarán disponibles es proveer algún tipo de redundancia para estos datos.

Lo más aconsejable para este tipo de sistemas es la instalación de sistemas de alta disponibilidad, donde varias máquinas proporcionan la misma funcionalidad y se sincronizan permaneciendo siempre todas en el mismo estado. Si la máquina que está proporcionando el servicio falla otra de las máquinas del clúster ocupa su lugar y el sistema puede seguir funcionando. Normalmente el sistema avisa a los administradores de este tipo de eventos para que solucione el fallo en la primera máquina. Con un cluster de dos o tres máquinas proporcionando la misma funcionalidad podemos obtener tasas de fiabilidad muy altas, sobre todo cuando hablamos de integridad de datos. La replicación de los datos de un servidor de archivos principal en otros servidores de archivos secundarios (preferentemente alojados en otro edificio) es otra opción recomendable para proporcionar seguridad física en los sistemas de almacenamiento o en servidores de aplicaciones. La diferencia con los sistemas de alta disponibilidad es que estos sistemas no se sustituyen unos a otros automáticamente, solo mantienen una copia de los datos a buen recaudo en otro servidor por si es necesario acceder a ellas. Si puede instale un sistema de alta disponibilidad. Pero si su presupuesto no se lo permite programe copias de seguridad en servidores localizados lejos del servidor principal a través de la red para no perder nunca datos.

Siempre existe la posibilidad de que un intruso se apodere de uno de los sistemas y obtenga los datos de esa máquina, por lo que la seguridad física e informática de este tipo de máquinas es crítica.

6.8. Sistemas de backup

Los sistemas de backup son una necesidad inexcusable hoy en día en cualquier empresa que maneje una cantidad de datos medianamente grande. Teniendo esto en cuenta y suponiendo que disponemos de un sistema de backup fiable debemos tener en cuenta otra serie de consideraciones.

La primera es la seguridad física de los backups, de la que ya hemos hablado, y para la que optábamos como mejor solución la que aconsejaba mantener los backups lejos de los sistemas que contienen los datos de los que hemos hecho backup.

La segunda es la seguridad física de las máquinas de backup, para las que deberemos tener las mismas medidas que para los servidores de archivos: Mantener más de una máquina de backups, sistema centralizado de backups alojado en un rack o armario seguro, monitorización de las máquinas de backup, etc.

Una cuestión a tener en cuenta con los sistemas de backup es la seguridad física de los medios donde se realizan los backups. Las cintas de backup pueden ser afectadas por los campos magnéticos fuertes, los discos ZIP también, los discos duros fallan y soportan mal los golpes y los movimientos bruscos y los CDs tienen una vida corta y son más bien delicados. Deberán tomarse las medidas necesarias para proteger físicamente los medios donde se realizan los backups, teniendo en cuenta las consideraciones propias para cada medio. Tradicionalmente los medios más seguros para hacer backups han sido las cintas de backup y cintas DAT, pero esto siempre puede cambiar.

De nada sirve hacer backups si cuando los necesitamos no funcionan. Debemos comprobar que los backups que hemos realizado pueden ser restaurados correctamente, o estaremos confiando en un sistema que no podemos asegurar que funciona correctamente.

6.9. Sistemas UPS

Los sistemas UPS son imprescindibles en la seguridad física de un sistema informático. La mayoría de los sistemas operativos responden mal a las caídas repentinas y puede producirse perdida de datos importantes si no se usan sistemas de archivos con Journaling como Ext3, Reiserfs, XFS, JFS o similares.

Es complicado decir que es más conveniente, si mantener un gran UPS que alimente un grupo de máquinas, por ejemplo un rack o un armario con muchos dispositivos o si tener varios UPS que proporcionen alimentación a menos máquinas. El UPS puede convertirse en un punto del fallo del sistema, pues si falla todo el sistema se vendrá abajo. Los grandes UPS suelen ser más seguros, proporcionan mayor autonomía y protección, pero en el hipotético caso de que fallen nos dejan con todo el sistema caído. Los UPS más pequeños no tienen tantas características pero cumplen bien su cometido. El presupuesto también será un punto a tener en cuenta para la elección de una u otra opción, pues un gran UPS es bastante más caro que varios UPS pequeños.

Es importante ubicar los UPS dentro de los racks o armarios, donde no puedan ser desactivados por un supuesto intruso o por un fallo de un usuario o administrador.

6.10. Redundancia a nivel de hardware

Igual que aconsejamos la redundancia a nivel de máquinas para todo el sistema en general debemos aconsejar también la redundancia a nivel interno de hardware. Hoy existen ordenadores que incorporan dos fuentes de alimentación, varios discos duros montados en RAID, e incluso dos placas base. Los dispositivos de red también incorporan redundancia en una forma similar. Todo este tipo de funcionalidad es muy beneficiosa para la seguridad física del sistema en general, pues permite que parte del hardware falle sin que el sistema caiga. Debemos tener en cuenta que este tipo de sistemas son caros, y que a veces los sistemas de alta disponibilidad construidos con varias máquinas pueden ser igual de eficientes y más económicos que los sistemas redundantes a nivel de hardware.

El caso del RAID es diferente. Hoy por hoy cualquier servidor corporativo debería incorporar algún tipo de RAID, ya sea RAID 0, RAID 1 o RAID 5, sobre hardware o sobre software. Con el precio continuamente decreciente de los discos duros podemos permitirnos un sistema de RAID basado en software sobre un sistema IDE por un precio realmente bajo, y esto nos proporcionará redundancia en el hardware