FINALIDAD Y EVALUACIÓN DEL HARDWARE
Se encarga de verificar la seguridad no solamente en lo operativo de los componentes materiales del ordenador, sino de todo lo relativo a los aspectos físicos concernientes al departamento de procesos de datos
v Revisar los informes de la dirección sobre la utilización del hardware
v Revisar si el equipo se utiliza por el personal autorizado
v Examinar los estudios de adquisición, selección y evolución del hardware
v Comprobar las condiciones ambientales
v Revisar el inventario del hardware
v Verificar los procedimientos de seguridad física
v Examinar los controles de acceso físico
v Revisar la seguridad física de los componentes de los datos entre los periféricos y el ordenador
v Comprobar los procedimientos de prevención /detección/corrección frente a cualquier tipo de desastre
Cuando se quiere tener un equipo seguro es importante considerar todos los aspectos que están involucrados. Uno de los más importantes es la seguridad que se brinda en el entorno donde está ubicado el equipo.
v Acceso físico
v Desastres Naturales
v Alteraciones del entorno
Objetivo:
Comprobar que existan los contratos de seguro necesarios para el hardware y software de la empresa (elementos requeridos para el funcionamiento continuo de las aplicaciones básicas).
HARDWARE: Si la empresa tiene aspectos predefinidos para la evaluación del hardware, se tomarán en cuenta esos lineamientos.
¿Qué se evalúa?
- Distribución del hardware (ubicación física)
- Registro del hardware instalado, dado de baja, proceso de adquisición, etc.
- Uso del mismo: desarrollo, operación, mantenimiento, monitoreo y toma de decisiones.
- Acceso al hardware (llaves de seguridad)
- Bitácoras de uso (quién, cuando, para qué, entre otros puntos)
Organización de este documento
La primera sección establece los requerimientos de Hardware para la instalación de O3 BI en un equipo, detallando los recursos necesarios.
La segunda sección provee medidas de ejemplo para los requerimientos de dos datamarts específicos. Tales mediciones incluyen espacio de almacenamiento en disco utilizado, así como parámetros de memoria. Esta sección debe ser considerada como un ejemplo únicamente y no debe tomarse como la definición general de los recursos necesarios para cada modelo de O3 BI sin atender características particulares de cada caso.
Clasificación de los entornos de Producción con O3 BI
Ideasoft O3 BI es un producto extremadamente flexible que puede ser aplicado en escenarios diversos que presentan modalidades de uso y contextos sumamente variados. El producto se adapta a estos distintos escenarios con excelentes características, gracias a un conjunto de características técnicas avanzadas, que comienzan en su plataforma tecnológica, se sustentan en una arquitectura de vanguardia y en algoritmos multidimensionales potentes y en el diseño de un conjunto de mecanismos orientados a brindar alta escalabilidad.
Para brindar recomendaciones de hardware, es necesario considerar esa amplitud de escenarios para identificar en cada caso para cuál de esos entornos deber ser dimensionada una instalación. También es necesario considerar el propósito que se dará a la instalación, ya que una instalación puede estar dirigida a la producción en escenarios de alta demanda o en el otro extremo, al uso individual en un laptop, a la evaluación con casos simples o el desarrollo por una única persona.
El otro elemento a tomar en cuenta es la escalabilidad de la propia infraestructura. La infraestructura de hardware sigue avanzando en la dirección de brindar equipos con gran capacidad de escalabilidad, que debe ser considerada al momento de hacer una recomendación para un propósito concreto. La mejor inversión en software y hardware es aquella que acompaña con elasticidad las necesidades concretas que se van planteando con el tiempo. El sobre-dimensionamiento de un equipo en etapas iniciales va a afectar el retorno de la inversión sin brindar un resultado concreto. La continua baja de precios de hardware hace conveniente, en casos donde se prevén crecimientos, optar por arquitecturas o esquemas de virtualización con capacidad de escalar en forma económica. Por ello, no sólo vamos a recomendar o proponer equipos posibles, sino también las características de escalabilidad que deberían tenerse en cuenta en algunos escenarios. O3 BI está preparado para aprovechar extensivamente la capacidad de escalamiento de las arquitecturas de hardware modernas tanto en lo que respecta a múltiples cores, memoria interna, redes de alta velocidad, clúster, esquemas de virtualización y cloud computing.
También debe ser tenida en cuenta la cantidad de componentes de O3 BI que se llevarán a producción. Por ejemplo, el uso de O3 Enterprise Portal o de Clientes Web va a poner mayor demanda de recursos sobre el equipo Servidor, pero menor en los equipos clientes. En cambio, una instalación que utilice únicamente el servidor multidimensional y clientes Desktop va a requerir significativamente menos recursos a nivel del servidor (por ejemplo, menor consumo de memoria en el servidor).
Otro factor que debe ser analizado es la modalidad de uso por parte de los usuarios, como por ejemplo la frecuencia de uso, la distribución del uso a lo largo de períodos de tiempo y el dimensionamiento de las cargas máximas o picos de utilización.
Finalmente, la cantidad de información efectivamente almacenada en los datamarts, la complejidad de los modelos multidimensionales y otros factores directamente dependientes de los datos de cada instalación también influyen en la determinación de los requerimientos de hardware.
Es muy difícil hacer recomendaciones generales que consideren todas esta variables, por eso hemos resumido en tres casos los requerimientos de O3 en lo que respecta a hardware y software.
Requerimientos
|
Descripción
|
Mínimos solo paraEvaluación
|
En algunos casos es interesante conocer la funcionalidad del producto sin requerir un entorno similar al recomendado de producción, por ejemplo, instalando el producto en un puesto de trabajo o incluso en un laptop.
Esta configuración establece requerimientos mínimos para poder instalar O3 con fines de evaluación funcional (no de carga) y no es una configuración recomendada para desarrollo o producción.
Por debajo de estas características su uso aún para pruebas simples o demostraciones no es recomendado. Este escenario no es el recomendado para producción, excepto en casos muy específicos de muy baja carga.
|
Mínima Recomendadapara Producción
|
Este es el equipo mínimo recomendado para obtener buenas prestaciones en casos de aplicación no altamente exigentes.
|
Recomendadapara Producción
|
Este entorno asegura alto rendimiento en instalaciones chicas y medianas, brindando flexibilidad para escalar. En un escenario de alta exigencia puede ser necesario escalar esta configuración, utilizar un equipo más potente o configurar un cluster para lograr alta disponibilidad y balanceo de carga.
|
La solución de administración de auditoría en hardware interna le ayuda a planificar, ejecutar y hacer un seguimiento de las auditorías internas para realizar lo siguiente:
- Brindar apoyo a las políticas de gobierno y administración de riesgos de su organización.
- Mejorar la calidad y la efectividad de su proceso de auditorías internas.
- Aumentar la capacidad de ejecución y supervisión de su departamento de auditorías internas.
Los departamentos de auditoría interna tienen que garantizar que las políticas de administración de hardware y riesgos son efectivas y preparan el camino para la mejora continua; al tiempo que hacen frente a presupuestos más estrechos y recursos limitados.
La solución de administración de auditoría interna se diseñó para dar apoyo a los gerentes de auditoría interna a lo largo del proceso de auditoría interna, con una interfaz personalizada para cada perfil de usuario que puede configurarse para ajustarse a la estructura de su departamento de auditoría interna. En la administración de hardware se pretende establecer un control para su correcta administración. Con la implementación de los sistemas de hardware en las empresas, se debe llevar una administración en cuanto a quién realizará las actividades específicas.
1. Etapa de preparación
Puede crear un plan anual de auditoría interna a partir de los resultados de auditorías anteriores, planes de acción ya implementados, la cobertura de los procesos de negocios y las unidades de negocios, y los riesgos de su organización. Se establece una correspondencia entre la información que ingresa sobre las habilidades y la disponibilidad de sus auditores internos y los niveles de habilidades requeridos para cada auditoría en particular. Esto garantiza que su personal se asigna de la manera más efectiva posible según su plan de auditoría interna y sus objetivos. Y las herramientas gráficas de nuestra solución hacen que desarrollar planes de auditorías y designar el personal sea aún más fácil.
2. Fase de ejecución
La recopilación de datos se simplifica ya que las observaciones pueden respaldarse con documentos adjuntos. La solución también produce pruebas a modo de cuestionarios, los cuales pueden completarse en el software, y resume sus resultados. En la solución, se realiza un seguimiento del progreso de las auditorías y una revisión de los resultados del cuestionario. El análisis, la consolidación y la comunicación de los resultados de la auditoría se llevan a cabo mediante un flujo de trabajo de validación en cada paso. El informe final de la auditoría se genera automáticamente. Todos estos pasos también pueden realizarse sin tener conexión a Internet.
3. Fase de seguimiento
Las recomendaciones se crean directamente en la solución y se suman a los resultados de las pruebas de auditoría. Los planes de acción se diseñan según las deficiencias que identificaron las auditorías. Los informes y paneles, disponibles en formatos estándar que pueden personalizarse fácilmente, le ayudan a hacer un seguimiento de las recomendaciones.
Cuando hablamos de auditoría lo primero que nos viene a la cabeza es una pregunta: ¿por qué necesito auditar un ordenador? Son varios los motivos por los que no sólo es importante sino necesario, hacer un seguimiento de los equipos informáticos con los que trabajamos.
La primera razón es para saber qué hardware tenemos instalado. Cuando compramos un equipo sabemos perfectamente lo que tiene, pero en las empresas es habitual que con el uso diario falle algo y se cambie un componente. También es frecuente que para mejorar el rendimiento se añada memoria o un disco duro por ejemplo. Todos estos cambios hacen que con el tiempo, el ordenador inicial que compramos no se parezca en mucho al que actualmente tenemos. Con un buen programa de auditoría se puede conocer el hardware que hay instalado lo que nos facilita la tarea a la hora de planear futuras ampliaciones o mejoras.
Otra razón es conocer los programas que tenemos instalados. A lo largo de la vida de un equipo es frecuente que instalemos y desinstalemos programas. Esto no sólo repercute en el rendimiento del equipo sino que en muchas ocasiones es frecuente que las instalaciones dejen ficheros residentes que no se borran por completo (ocupan espacio y ya no son necesarios).
Con la proliferación de Internet, virus y ataques externos es necesario tener en cuenta una buena política de seguridad en nuestras máquinas para prevenir y no tener que preocuparnos cuando ya las cosas se han estropeado. En la línea de la prevención también están las auditorías, ya que permiten conocer lo que hay en cada momento en nuestro equipo de tal forma que podamos detectar por ejemplo programas extraños que no hayamos instalado nosotros.
La seguridad no solo consiste en ver los programas que hay instalados. Un buen programa de auditoría permitirá monitorizar una red de ordenadores, de tal forma que podamos averiguar qué equipos forma parte de la red, qué usuarios tienen privilegios de acceso y ciertos parámetros de la configuración de la red. El conjunto de esta información es vital a la hora de proteger nuestros equipos de ataques informáticos y facilita la labor, ya que no hay que ir equipo a equipo mirando estos datos. La mayoría de los programas de auditoría permitirán conocer esta información desde un servidor centralizado.
Finalmente un motivo más para auditar equipos o redes de equipos es la realización de estadísticas que permitan medir el rendimiento haciendo estudios comparativos entre informes.
Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line.
Los controles tienen como fin:
· Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso
· Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD
· Garantizar la integridad de los recursos informáticos.
· Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Acciones a seguir:
· El acceso al centro de cómputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado
· Implantar claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado.
· Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos.
· Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos.
· Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.
· Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos.
· Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.
· Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc.
· El proveedor de hardware y software deberá proporcionar lo siguiente:
o Manual de operación de equipos
o Manual de lenguaje de programación
o Manual de utilitarios disponibles
o Manual de Sistemas operativos
· Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras, entre otras.
· Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.
· Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.
A menudo la función de auditoría en informática se encuentra ubicada dentro del área de auditoría y en un número menor de empresas o negocios en la función de informática. Es importante señalar lo anterior, ya que el auditor en informática tendrá diferentes alcances y enfoques en el momento de ejecutar su trabajo. Las mismas áreas del trabajo tienen una visión distinta de la función, de acuerdo a la dirección o gerencia donde se encuentran.
Probables escenarios de la función de auditoría en informática.
Área de quien depende la función de auditoría en informática:.
Dirección o gerencia de auditoría (estructura l)
|
Consideraciones clave de la función en el entorno del negocio:
- Independiente de la función de informática y de las otras áreas de la empresa donde se dará la auditoría en informática.
- Integración de los controles y políticas de informática a los establecidos para las otras áreas del negocio.
|
Ventajas /áreas de oportunidad:
- Objetividad en el desempeño de las auditorías.
- Hay una planeación y desarrollo conjunto de proyectos con las otras áreas de auditoría
- Se asegura control y seguimiento sobre todos los recursos y proyectos de informática.
|
Desventajas/restricciones:
- Las áreas del negocio no aceptan con facilidad ser auditadas o evaluadas por personal de la misma empresa
- Se corre el riesgo de desconocer el alcance y misión de la informática en el negocio y el apoyo requerido por dicha área
|
Área de quien depende la función de auditoría en informática:.
Dirección o gerencia de informática (estructura II)
|
Consideraciones clave de la función en el entorno del negocio:
- Hay dependencias de tipo funcional hacia el director o gerente de informática
- El director o gerente de informática debe ser negociador y facilitador para impulsar el proceso de auditoría en informática en todo el negocio, no sólo en su área
|
Ventajas /áreas de oportunidad:
- Se facilita en alto grado el nivel de apoyo de informática y auditoría en informática
- Conocimiento formal y oportuno de los proyectos e inversiones de informática
- Se analiza el proceso de concientización en el personal de informática en cumplimiento de políticas y controles
|
Desventajas/restricciones:
- Incertidumbre acerca de que anomalías, carencias e incumplimiento de la función de informática se hagan del conocimiento de la alta dirección de manera formal y oportuna
- El enfoque de la auditoría en informática es limitarse a ser una entidad que "sugiere, no que controla y asegura"
|
Área de quien depende la función de auditoría en informática:.
Personal de apoyo de la dirección general (estructura III)
|
Consideraciones clave de la función en el entorno del negocio:
- La función se ubica como una entidad estratégica dentro del negocio
- El responsable de la función debe tener una visión del negocio
- Hay un compromiso de dar resultados que generen valor agregado
|
Ventajas /áreas de oportunidad:
- Apoyo permanente de la alta dirección en la difusión e implantación de políticas, controles y procedimientos
- Las áreas del negocio se comprometen a cumplir las políticas y controles inherentes a informática de una manera formal
- Se justifica el perfil de ejecutivo del auditor de informática
|
Desventajas/restricciones:
- La alta dirección debe dar seguimiento y autorización formal al desempeño de informática, con conocimiento de causa
- Se reduce el margen de error en cada uno de los proyectos de auditoría en informática al ser evaluados por la alta dirección
- Se orienten los proyectos de informática
|
Área de quien depende la función de auditoría en informática:.
Función de auditoría en informática ejercida por externos (estructura IV)
|
Consideraciones clave de la función en el entorno del negocio:
- Los proyectos con asesores externos deben ser coordinados por la dirección o gerencia de auditoría o informática
- Se da cuando se carece de la función de informática, o si ésta existe se busca asegurar o validar información relevante para la alta dirección
- El personal externo ha de contar con amplia experiencia en este ramo y ser reconocido por su trayectoria en el mercado regional o nacional al menos
- Debe evaluarse su desempeño una vez terminado su trabajo
|
Ventajas /áreas de oportunidad:
- Los despachos o asesores externos por lo general se apoya en métodos, técnicas y estándares de auditoría en informática comúnmente aceptados a nivel nacional e internacional
- Son personal de un nivel profesional más que aceptable, debido a su experiencia y constante actualización
- Existe un compromiso moral y profesional del auditor en informática para ejercer la asesoría de manera ética e independiente
- Se exigen resultados y beneficios desde el inicio de los proyectos
|
Desventajas/restricciones:
- Pueden darse fugas de información
- Costos altos y difíciles de controlar
- El tiempo de asimilación de lo que es el negocio puede prolongarse
- A veces las soluciones y recomendaciones no son las adecuadas para el negocio
- Si es contratado por el responsable de informática puede estar influido en el momento de elaborar y entregar el informe final del trabajo
- Se requiere compromiso y participación formal de todos los involucrados
|
En cualquiera de las estructuras mencionadas hay que asegurar al negocio un conjunto de acciones mínimas que vuelvan rentable la auditoría en informática. Las funciones mínimas son:
a. Evaluación y verificación de los controles y procedimientos relacionados con la función de informática dentro de la organización.
b. La validación de los controles y procedimientos utilizados para el aseguramiento permanente del uso eficiente de los sistemas de información computarizados y de los recursos de informática dentro de la organización.
c. Evaluación, verificación e implantación oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática.
d. Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimiento que regulan las actividades y utilización de los recursos de informática de acuerdo con las políticas de la organización
e. Desarrollar la auditoría en informática conforme normas y políticas estandarizadas a nivel nacional e internacional.
f. Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del negocio.
g. Elaborar un plan de auditoría en informática en los plazos determinados por el responsable de la función
h. Obtener la aprobación formal de los proyectos del plan y difundirlos entre los involucrados para su compromiso.
i. Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de la auditoría en informática.
Cada organización debe tener políticas y procedimientos de selección y reclutamiento donde se especifiquen las habilidades y perfiles necesarios para puestos específicos en determinadas áreas de la organización; la selección específica de los auditores en informática es de especial importancia, ya que requiere un nivel de preparación suficiente y confiable en los campos de auditoría e informática. La oportunidad y el grado de evaluación con que se hagan estos procedimientos de selección, aunados a la capacitación que se le brinde al personal de esta función, determinará el grado de calidad, contabilidad, productividad etc., con que se ejecuten los proyectos de auditoría en informática.
Cuando se reclute personal de auditoría en informática, la administración de la función debe considerar los atributos y habilidades profesionales inherentes a este tipo de puesto, como experiencia, educación, adaptabilidad, entendimiento, determinación y diligencia.
El gerente responsable de la función deberá estimar las horas trabajo de auditoría de cada auditor durante un proyecto de evaluación y revisión. El número de supervisores se establece con base en la frecuencia de los proyectos o áreas por auditar y el número de horas de auditoría requeridas para cada proyecto.
La supervisión oportuna asegura que las asignaciones a las auditorías sean planteadas apropiadamente para obtener un producto consistente y de calidad. La supervisión puede ayudar en la preparación de los planes de auditoría en informática en el desarrollo y control de los presupuestos de la función, mejorando la relación y comunicación entre las áreas involucradas en los proyectos, así como con el aseguramiento y preparación de papeles de trabajo congruentes y con calidad para elaborar reportes de desempeño.
L a supervisión es un proceso continuo, que empieza en la planeación de la auditoría y termina en la entrega y aprobación formal del informe final de la auditoría en informática.
Cuando el supervisor evalúe los trabajos de los auditores en informática sobre los proyectos, debe acudir a los papeles de trabajo y verificarlos con los estándares y procedimientos de la función de la auditoría en informática para comprobar el seguimiento de los mismos.
Son una herramienta muy importante, ya que con ellos el gerente o responsable de la función de auditoría en informática evalúa los siguientes puntos:
· Productividad y calidad de los proyectos.
· Resultados.
· Avances de los proyectos.
· Áreas susceptibles de control y seguimiento.
· Seguimiento individual de grupo.
En resumen, para que exista aseguramiento de calidad o un control eficiente de los proyectos, el gerente o responsable de la función debe revisar cada deficiencia encontrada en los reportes de desempeño o en los informes finales de una auditoría.
El entorno físico del hardware
Entendemos como entorno físico del hardware el entorno en el que está situado nuestro hardware, dispositivos de red y centros de computación. Es el paso siguiente en el estudio de la seguridad física al estudio de la edición. Supone el estudio de la localización del hardware, el acceso físico que las personas puedan tener a este, todo el cableado que interconecta el hardware o que le provee de energía, el control de la temperatura y demás condiciones climáticas del entorno donde se encuentra el hardware, el estudio del tipo de montaje de este hardware dentro de nuestra infraestructura y los métodos de administración y gestión del hardware y de su entorno.
Suministro de energía para el hardware
Después de haber estudiado el suministro de energía al edificio debemos realizar un estudio del suministro de energía a los centros de computación o en el entorno inmediato donde se encuentra situado nuestro hardware. Es imprescindible el asegurar un suministro estable y continuo de energía eléctrica al hardware, utilizando normalmente sistemas UPS (Sistema de suministro ininterrumpido de energía) que regularán la tensión evitando los picos de voltaje que pueda traer la red y proporcionarán un tiempo de autonomía por medio de baterías en caso de cortes del suministro eléctrico.
Hay que tener en cuenta siempre que no solo es necesario proveer de un suministro estable y continuo de energía a los ordenadores y a los sistemas de almacenamiento, deberemos proporcionar el mismo tratamiento al hardware de red, incluidos concentradores, enrutadores, pasarelas y todos los dispositivos que sean necesarios para el funcionamiento normal de la empresa. Estas medidas pueden incluir también otro tipo de hardware como impresoras láser o fotocopiadoras.
Para evitar puntos de fallo es conveniente el no depender únicamente de un sistema UPS para todo el hardware a proteger, siendo más conveniente la instalación de varios UPS que puedan suministrar energía a parte del sistema en el caso de que uno de los UPS fallara.
Seguridad Física como ups y las protecciones que proporcionan al hardware y se recomendará en su caso la instalación de más sistemas UPS o la redundancia de alguno de ellos.
Deberá estudiarse también las protecciones como fusibles, automáticos y diferenciales que tengamos en cada una de las concentraciones de hardware, como centros de computación, racks o armarios con varios sistemas montados.
Comunicaciones: Interconexión de redes y sistemas.
En este momento del estudio de la seguridad física deberemos centrarnos sobre todo en la estructura física general de la red y no en los dispositivos en concreto. Deberemos comenzar estudiando el diseño de la red del edificio, observando las troncales de red que intercomunicarán las diferentes plantas y secciones del edificio. Intentaremos centrarnos en la estructura física y no lógica de la red, buscando los puntos de fallo que puedan afectar a toda la red.
Una red típica de un edificio consta de uno o varios grandes enrutadores que proporcionan la conectividad con el exterior, una red troncal (normalmente Gigabit Ethernet) que se extiende por la estructura del edificio, un gran concentrador por planta que distribuye el tráfico desde la red troncal y luego varios concentradores más pequeños que conformarán las diferentes redes departamentales.
El primer paso a estudiar es buscar los puntos de fallo que puedan provocar una caída total de la red, estudiando los grandes enrutadores que proporcionan conexión con el exterior, donde deberemos buscar dispositivos fiables y dotados de redundancia tanto en su estructura física interior como en la funcionalidad que proporcionan, incorporando varias conexiones preferiblemente con varios proveedores que nunca dejen a nuestra red troncal sin conexión al exterior. Se estudiará el entorno donde están situados los dispositivos enrutadores, observando que cumplan con todas las normas y que dispongan de un suministro continuo y estable de energía.
El siguiente punto a estudiar es el cableado de la red, comenzando por la red troncal. La red troncal suele ser Ethernet Grueso en sistemas antiguos y Gigabit Ethernet en los sistemas más modernos. En ambos casos deberemos estudiar el cableado mediante dispositivos al efecto y observando mediante planos o esquemas como han sido entubados y distribuidos por el edificio. En el caso de redes troncales de fibra óptica necesitaremos instrumental específico para el estudio de la red y de las interconexiones que esta pueda tener, y es posible que necesitemos contratar a personal especializado si queremos estudiar la fiabilidad del medio físico, lo que no suele ser necesario, pues realizando un estudio de la velocidad de conexión entre los diferentes concentradores en cada planta o departamento y con los enrutadores que dan conexión al exterior podremos comprobar la salud del medio físico. Debe estudiarse el tipo de fibra óptica instalada y la calidad del cableado, observando la documentación que hayan dejado los instaladores de la red troncal.
El tercer punto a estudiar es la posibilidad de fallo de los concentradores que conectan la red troncal con los concentradores de los distintos departamentos o secciones dentro del edificio. Lo más común es encontrar uno de estos dispositivos por planta, al cual se conectan todos los demás concentradores
Seguridad Física como
Proporcionando conexión a las distintas redes departamentales del edificio. Para estos concentradores se deberán tomar las mismas precauciones que para los enrutadores principales, proporcionando siempre que sea posible redundancia en las conexiones entre la red troncal y los concentradores de las redes departamentales.
El cuarto punto son los concentradores que interconectan las redes locales departamentales con los concentradores conectados a la red troncal. Estos dispositivos son menos críticos que los anteriores, puesto que un fallo en ellos sólo afectaría a la red local departamental a la que proveen conexión. Para estos concentradores no suele ser necesario proporcionar redundancia, simplemente cuidaremos de que se encuentran en un entorno no hostil y correctamente alimentados. Más adelante veremos las medidas que deben tomarse con el dispositivo en concreto en materia de seguridad física.
Para todos los dispositivos indicados se estudiará su ubicación y el acceso que un intruso pueda tener a ellos, sobre todo deberemos tener control de acceso a los enrutadores principales y también a los concentradores de cada planta, que son críticos en la seguridad física de todo el sistema.
Se deberá estudiar también la posibilidad de que un intruso malintencionado provoque algún tipo de fallo en la red cortando el cableado de red o manipulando alguno de los dispositivos de red. Contra la contingencia de un corte en el cableado de red es interesante la posibilidad en edificios nuevos de que el cableado de red sea integrado en la estructura del edificio, aunque esto siempre supondrá una merma en las posibilidades de ampliación de la red. En otro caso deberemos procurar que los cables de red estén lo más agrupados posible para facilitar su vigilancia. Se entubarán siempre que sea posible los cables de red utilizando medios rígidos que no sean fáciles de seccionar. Los dispositivos de red estarán también agrupados y preferiblemente protegidos en armarios ignífugos o racks con ventilación suficiente que permita una fácil vigilancia.
Acceso físico al hardware
El acceso físico al hardware sea este computadoras o dispositivos de red deberá ser restringido, teniendo en cuenta las necesidades de cada departamento o usuario. Se debe hacer aquí una distinción entre los equipos de red y servidores departamentales o corporativos y las máquinas de usuario final.
Los equipos de red importantes como routers, pasarelas y concentradores deberán estar en un lugar donde exista un control de acceso, ya sea mediante vigilancia por medio de personas o mediante el aislamiento de las salas o armarios donde estos se encuentren por medio de cerraduras o sistemas de control de acceso mediante tarjetas, claves o control biométrico. Para cada acceso deberá relejarse una entrada en un sistema de control que puede ser desde un simple libro donde se vayan apuntando las personas y el acceso que han tenido a los equipos hasta un sistema informático que deje reflejado en sus logs el acceso al hardware y quien lo ha hecho. Es importante controlar y reflejar siempre en los apuntes quien ha accedido al hardware, con qué motivo y las medicaciones físicas o lógicas que en su caso pueda haber realizado sobre este hardware. Los dispositivos de red que permitan un acceso remoto deberán ser protegidos por medio de claves y cortafuegos para limitar el acceso a las personas que tienen a su cargo la administración de estos sistemas. Se deberá proveer la posibilidad de que intrusos o atacantes intenten cambiar la configuración del hardware de red, sobre todo en el caso de enrutadores
Los dispositivos y servidores situados fuera de los centros de datos o de computación o en las zonas departamentales deberán ser protegidos mediante armarios o racks cerrados con llave y deberá imponerse una política en el departamento de acceso a estos sistemas.
Seguridad Física:
Es importante que en todos los casos siempre tengamos una persona encargada del control del acceso al hardware y que tenga responsabilidades asociadas a este cometido. Puede tratarse de los mismos administradores, de los usuarios (mediante políticas de acceso) o de personal contratado para este cometido. Estas personas deberán responsabilizarse personalmente de todos los accesos al hardware que se produzcan y apuntar en los libros o logs detalladamente todas las manipulaciones realizadas.
Un punto poco conocido pero muy a tener en cuenta en la seguridad física de los sistemas es el control de acceso del personal de mantenimiento del edificio. El personal de limpieza, de mantenimiento del edificio y personal similar debe pasar por los mismos sistemas de control de acceso que los administradores o usuarios de las máquinas. Todo el mundo confía en el personal de limpieza o de mantenimiento, probablemente todo el mundo los conoce y llevan años trabajando en la empresa, pero si nuestros datos son suficientemente críticos haremos bien en desconfiar de todo el mundo, y también de ellos. Alguien puede ofrecer una cantidad de dinero o extorsionar de alguna forma al personal para que extraiga datos o provoque daños en el hardware, todo depende de lo importante que sean nuestros datos y de su valor económico. Incluso pueden producir daños graves por simple desconocimiento, pues no es la primera vez que el personal de limpieza desenchufa un servidor crítico de la empresa para enchufar la aspiradora. Y no es una broma, ocurre de verdad. Lo ideal es que personal de vigilancia acompañe al personal de limpieza y mantenimiento cuando este deba acceder a los centros de computación o a los sitios donde estén alojados servidores o sistemas de almacenamiento de datos. También se puede usar otro tipo de control de acceso como tarjetas o sistemas biométricos, que prevengan este tipo de comportamientos.
Interacción del hardware con el suministro de energía y agua
Aunque parte de la seguridad física del edificio deberá también tenerse en cuenta en los centros de computación o de almacenamiento de datos la seguridad física asociada a las canalizaciones de energía y agua. Las canalizaciones de energía pueden provocar cortocircuitos o fallos que provoquen incendios y las canalizaciones de agua pueden romperse y estropear el hardware. Se deberá estudiar que estas canalizaciones cumplan las normas que al efecto deben seguirse en cada país, pues existen reglamentos que indican la distancia a la que deben de estar estas canalizaciones unas de otras y de los dispositivos eléctricos como el hardware.
Se puede usar aquí dispositivos de monitorización como detectores de humo o de líquidos, que deberán situarse estratégicamente para proporcionar una máxima superficie de cobertura y sobre todo para proteger a los sistemas más críticos. Puede ser aconsejable en algunos casos mantener los sistemas críticos o redundantes en varias habitaciones, disminuyendo así la posibilidad de que una contingencia de este tipo pueda afectar a un grupo grande de máquinas, y deberá aprovecharse la estructura física del edificio para proveer aislamiento entre estas salas o secciones donde se ha de situar el hardware. La mayoría de las veces es preferible mantener algo más de cableado que mantener todo el hardware en una misma localización física donde esté expuesta a situaciones de riesgo como incendios o inundaciones.
Los sistemas de backup y almacenamiento de datos deberán estar en localizaciones seguras dentro del edificio y lejos de canalizaciones de energía o agua, por ser crítico su funcionamiento para la seguridad de los datos. Como en casi todos los casos la redundancia en estos sistemas, sobre todo si tenemos varios
Sistemas de control del hardware y su integridad
Los sistemas de control de las condiciones de trabajo del hardware suelen ir integradas en los racks o armarios que usemos para protegerlos, indicando normalmente una serie de parámetros como la temperatura de trabajo, la humedad relativa del ambiente dentro del rack o armario y otros parámetros. Los sistemas UPS de cierta entidad suelen tener algún medio de monitorización remota mediante SNMP o avisos de algún tipo. Deberá estudiarse la implantación de racks, armarios y sistemas UPS que proporcionen monitorización de las condiciones de funcionamiento del hardware para mantener las máquinas en un nivel óptimo de seguridad y para poder reaccionar rápidamente cuando se produce algún problema.
La integridad del hardware debe ser vigilada normalmente mediante software, ya sea mediante software de monitorización o sistemas de gestión de redes basados en SNMP. Por esto es muy interesante que nuestros dispositivos de red dispongan de funcionalidad SNMP suficiente para poder monitorizar la salud de los dispositivos y su estado. En condiciones normales de funcionamiento será suficiente con un sistema de monitorización a través de la red que permita ver si los dispositivos están funcionando correctamente y cumpliendo con su cometido, en los sistemas críticos puede ser necesaria una monitorización adicional por medio de personal que verifique que los racks y armarios están funcionando correctamente y que los dispositivos de red están físicamente protegidos.
Seguridad contra incendios y otros desastres a nivel de hardware
La seguridad contra incendios y otros desastres ha sido tratada a nivel estructural anteriormente, pero ahora hablaremos de la seguridad a nivel de hardware, que proporcionará un segundo nivel de protección física. Lo más normal es usar racks o armarios ignífugos para proteger a los sistemas contra pequeños incendios o desastres naturales, aunque deberemos tener siempre en mente que la temperatura que se alcanzará en un incendio en los racks y dentro de los armarios ignífugos es suficiente para destruir el hardware y los datos que este hardware pueda contener. Nada es más eficaz contra este tipo de imprevistos que un sistema eficaz de backup, donde los backups sean guardados fuera del edificio o al menos fuera de la sección que contiene el hardware o los dispositivos de almacenamiento de datos. La eficacia de un sistema de backup es una cuestión de seguridad informática, por lo que no la trataremos aquí, simplemente haremos notar que un backup no es eficaz si no está disponible cuando ocurre un incidente y es necesaria su restauración. La frecuencia de los backups también es un factor a tener en cuenta, puesto que no siempre es posible el llevar fuera del edificio o sección los backups en un espacio de tiempo suficientemente corto como para asegurar la mínima perdida de datos y trabajo cuando se produce un desastre de este tipo. Los backups remotos son una opción a tener en cuenta en estos casos, usando sistemas que realizan backups a través de red en máquinas situadas en otros edificios, posiblemente con replicación de los datos, para mantener varias copias de los datos y los backups y proveer así la contingencia de un incendio o un desastre natural en uno de los edificios.
La implementación de los sistemas de seguridad contra incendios, inundaciones, terremotos y demás desastres naturales deberá ser más estricta cuantos más críticos sean los datos que debemos proteger. Se debe mantener un equilibrio entre el presupuesto dedicado a la seguridad física para este tipo de eventos y las pérdidas que puedan darse si uno de estos eventos se produce. Estas pérdidas pueden ser económicas, en horas de trabajo o en la integridad de datos críticos como datos económicos, datos de clientes o proveedores y datos secretos referidos a la empresa o a nuestros clientes o proveedores. En el caso de que los datos sean críticos e irrecuperables o que su perdida pueda dañar la imagen corporativa de la empresa se empleará todo el presupuesto necesario para mantener copias de los datos distribuidas en varios edificios, mediante sistemas de backup o almacenamiento distribuido, porque esté será el único sistema que nos asegurará el mantener siempre copias de los datos físicamente seguras.
Planes de evacuación de hardware y equipos.
Aunque no sea muy común es interesante estudiar la posibilidad de que el hardware deba ser evacuado del edificio por diversas razones. Es posible que tengamos que mover nuestro sistema a otro edificio por razones corporativas o que debamos hacerlo por razones de fuerza mayor, como desastres naturales, incendios parciales o cualquier otra contingencia imaginable. Para proveer este tipo de evacuación deberemos crear un plan de evacuación del hardware que nos permita llevar los equipos críticos a otro edificio o departamento en un mínimo de tiempo y siguiendo un plan predeterminado que tenga en cuenta la importancia de cada sistema.
Deberemos tener en cuenta al realizar el estudio y el plan de evacuación la importancia de los equipos y sobre todo de los datos que albergan estos equipos, de forma que los equipos y datos más importantes sean evacuados primero, y los menos importantes puedan esperar. Se deberá plantear la necesidad de tener personal preparado para este cometido y la facilidad con que estos datos se pueden mover de un lugar a otro.
Lo principal normalmente en una empresa será evacuar los datos corporativos (datos de la empresa, datos de facturación y contabilidad, del personal que trabaja en la empresa, de los clientes y de los proveedores), que estarán en forma de discos duros, sistemas de almacenamiento NAS o cintas de backups. Para los discos duros se facilita enormemente su evacuación si se dispone de discos duros hotswap (extracción en caliente) que puedan extraerse fácilmente del equipo y tengan una cierta protección física contra golpes o movimientos bruscos. Para los sistemas NAS se intentará que estos tengan también discos hotswap o que sean fácilmente desmontables y transportables. Las cintas de backup suelen ser fáciles de transportar, pero deberá tenerse en cuenta que son sensibles a los campos magnéticos y a las temperaturas extremas.
El plan de evacuación debe continuar con la evacuación de los backups y datos de trabajo de los usuarios para perder el mínimo de horas de trabajo posibles. Se debe tener en cuenta que normalmente es más caro el tiempo de trabajo del personal que trabaja en la empresa que la infraestructura informática de esta, por lo que antes de evacuar otro tipo de equipos deberán evacuarse los datos de trabajo del personal. Después se podrán evacuar todos los demás equipos que sean posible, teniendo en cuenta las consideraciones que la empresa encuentre más importantes, que pueden ser el valor económico de los equipos, la necesidad de disponibilidad inmediata de una infraestructura mínima para continuar.
El entorno de trabajo del personal y su interacción con el hardware.
Deberá tenerse en cuenta cuando se estudie el entorno de trabajo del personal de la empresa la formación que este personal ha recibido sobre seguridad informática y física de los sistemas sobre los que debe trabajar o que están localizados en su entorno más cercano. Es fundamental que los empleados tengan los conocimientos necesarios para mantener el entorno del hardware físicamente seguro, y para esto deberán crearse normas de acceso y de uso de los dispositivos hardware que el empleado deba manipular, poniendo especial hincapié en la seguridad de los datos y de su propio trabajo. Tendremos en cuenta dos tipos de trabajadores para nuestro estudio: los trabajadores con responsabilidad en la administración del hardware y software y los usuarios finales de estos sistemas.
Para los administradores deberemos crear unas normas de acceso y uso de los dispositivos servidores y de red donde se expliquen claramente los pasos que se deberán seguir para acceder al hardware y realizar modificaciones sobre este. Para este personal es esencial el conocimiento de las implicaciones en la seguridad física de los sistemas que su trabajo diario pueda tener y las medidas de precaución que deberán tomar para implementar esta seguridad. Se debe crear junto con el personal de administración las normas a seguir para acceder y modificar el hardware y el software. Esto es importante pues nuestras ideas sobre las medidas que han de tomarse para asegurar físicamente los sistemas pueden chocar frontalmente con las prácticas necesarias en la administración normal del sistema. Los administradores deben por tanto implicarse en crear las normas de seguridad física, haciendo notar las normas que puedan entorpecer su trabajo y la mejor forma de realizar las prácticas de administración sin afectar a la seguridad física del sistema. Una vez creadas las normas y aprobadas por el personal de administración deberá responsabilizarse ya sea a una persona o el conjunto del equipo de administración de la seguridad del sistema, implicando así a todo el personal de administración en las prácticas de seguridad de la red.
Las normas consideradas para la auditoria del hardware.
Las normas una vez aprobadas deberán ser prácticamente inamovibles, y cualquier caso excepcional que tenga implicaciones sobre la seguridad física de los sistemas deberá ser observado con lupa y aceptado por una persona con capacidad de decisión ejecutiva y con los conocimientos técnicos necesarios para aprobar o denegar una determinada práctica puntual. Es muy aconsejable que todo acceso o modificación sobre el hardware quede reflejado de alguna forma para que pueda ser comprobado posteriormente en el supuesto de fallos o problemas de funcionamiento del sistema.
Para los usuarios finales de los sistemas se debe crear una normativa de uso de la red y del hardware, donde se indicará de forma clara y fácil de entender y cumplir las normas que se deben seguir para el uso de los dispositivos hardware y de la red corporativa. Respecto a la red corporativa haremos notar que las normas se referirán a el acceso físico a las bocas de red, a los concentradores y al cableado de red, no a el uso informático que se realice de la red, para lo que deberá elaborarse otra normativa por parte del personal de administración y que no tendrá relación con la seguridad física. Puede ser conveniente la impartición de un seminario donde se explique a los usuarios las normas que deben seguir para evitar la manipulación del hardware y el acceso a este.
Es complicado el implicar totalmente a los usuarios finales en la seguridad tanto física como informática de las máquinas y la red, en determinados casos por falta de información o capacidad técnica y en otros por errores o intentos de manipulación para llevar a cabo prácticas en principio prohibidas o desaconsejadas en la normativa de la red pero que el usuario puede encontrar atractivas. Debemos ser conscientes de que el peso de la responsabilidad de mantener la seguridad física de los sistemas informáticos del usuario final debe recaer sobre el equipo de administración y sobre nosotros como consultores. Todo error o manipulación que un usuario final realice sobre el hardware o la red es responsabilidad nuestra, pues debemos proveer todos los casos posibles que se puedan dar y que puedan afectar a la seguridad del sistema. En caso de tener una normativa que los empleados deben cumplir, estando estos debidamente informados, y sobre todo si se tiene la certeza de que determinada manipulación del hardware o de la red ha sido hecha a sabiendas de las implicaciones en la seguridad deberemos en su caso avisar al infractor y si la conducta se repite deberemos comunicar la infracción a la persona que tenga capacidad ejecutiva para imponer sanciones sobre el usuario.
Planificación de espacio para hardware y dispositivos.
Montaje en racks
Una mala planificación del espacio destinado a contener nuestro hardware o nuestros dispositivos de red puede llevarnos a prácticas contrarias a la consecución de una buena seguridad física. Por ejemplo si no hemos planificado suficiente espacio en uno de nuestros armarios o racks para montar un dispositivo de red podemos vernos obligados a montar este dispositivo fuera del armario con lo que cualquiera podrá acceder a las conexiones y puertos del dispositivo.
Es aconsejable sobredimensionar los armarios y racks de montaje de equipos en el momento de su compra prebendo futuras ampliaciones que impliquen la instalación de nuevos equipos o dispositivos de red, esto solo puede hacerse normalmente en el momento de la compra, obligándonos en otro caso a adquirir otro armario o rack si nos quedamos sin espacio. Es un punto a tener en cuenta cuando se planifica una nueva red o cuando se va a ampliar una red existente.
Si observamos que existen dispositivos de red, servidores NAS o servidores de aplicaciones fuera de los racks protegidos con llave o de los armarios ignífugos se aconsejará siempre la compra de nuevos armarios para contener estos dispositivos.
Uno de los aspectos que se suelen descuidar cuando se adquieren o montan racks o armarios ignífugos es la ubicación de los UPS. Los UPS deberán ir dentro de los armarios, por ser un punto de fallo de todo el sistema y por tanto un sistema a proteger con especial cuidado.
Se aconseja siempre la instalación de dispositivos de control de la temperatura y de la humedad del entorno. El factor más crítico en los datacenters y en los racks y armarios ignífugos suele ser la temperatura, siendo la humedad un factor secundario sólo a tener en cuenta en climas muy determinados donde la humedad pueda afectar a los equipos.
Para prevenir una excesiva temperatura en los centros de datos y en los racks y armarios lo fundamental es tener una correcta ventilación y en el caso de habitaciones que alberguen una gran cantidad de máquinas la instalación de aparatos de aire acondicionado. A mayor temperatura menor tiempo entre fallos para todos los dispositivos electrónicos, incluidos los ordenadores, los dispositivos de red y cualquier sistema que genere por si mismo calor. Es fundamental que los ordenadores que montemos tengan una ventilación interior suficiente, incluyendo ventiladores para los discos duros y una fuente de alimentación correctamente ventilada. También son convenientes las cajas que incorporan uno o varios ventiladores para refrigerar las máquinas.
En el caso de los racks por su mayor masificación y por ser los dispositivos más pequeños y con una mayor integración de componentes la ventilación se convierte en un punto importante a tener en cuenta. Existen racks y armarios ventilados que permiten tener las máquinas en un punto de funcionamiento óptimo.
Es importante que además de tomar las medidas necesarias para tener la temperatura dentro de unos límites aceptables tengamos un sistema de monitorización de la temperatura. Este sistema puede ser un simple termómetro electrónico en la sala de computación o en los racks y armarios o un sistema de adquisición de datos conectado a un termómetro que pueda mandar datos de la temperatura a un ordenador que nos permita realizar la monitorización. Un ejemplo de un sistema de este tipo son los diversos aparatos que existen para su integración con el software Nagios y que nos permiten mediante plugins de Nagios la monitorización de la temperatura de cualquier sistema, avisándonos cuando supera los límites preestablecidos.
Debe configurarse también correctamente la BIOS de los ordenadores para que monitoricen correctamente la temperatura interna y avisen si esta supera los límites marcados. Lo mismo para la velocidad de giro de los ventiladores, que redunda al fin y al cabo en la temperatura que el hardware adquirirá.
