Seguridad Fisica, Controles de Acceso y Seguridad Biométrica
"Un nuevo capitulo en marcha
Nuevos comentarios y nuevas reflexiones
ojala disfruten de lo que leen
Gracias una ves mas por los comentarios recibidos".
____________________________________________________________
- Prologo Seguridad Fisica.
- Reglas a tener en cuenta sobre la Seguridad Fisica y Ambiental.
- Amenazas que puedan afectar a nuestros equipos.
- Seguridad Fisica Perimetral.
- Seguridad Perimetral: Dispositivos de Monitoreo.
- [Controles de Acceso] Concepto.
- ··· Fin de la primera parte ···
# Prólogo de Seguridad Fisica
Este capitulo va a tratar temas que respectan a la Seguridad Fisica de una Empresa, y a los tipos de Dispositivos Biometricos, que estan relacionados con el Control de Acceso, que con un fin u otro el objetivo es aplicar seguridad y restricciones a nuestros datos, ya sea de forma digital o fisica.
Durante el curso, nuestro Administrador novato aprendio a tener conceptos de seguridad, conceptos para intentar aplicar la seguridad a la informacion, al mundo virtual, a mantener siempre la triada de Confidencialid ad, Integridad y Disponibilidad de la informacion, hemos podido enseñarle a desarrollar redes seguras, lo ayudamos a que implemente distintos tipos de firewall en diferentes ocaciones... y ahora vamos a intentar salir de esa red virtual y tratar de proteger en capas (esto nunca olvidarse) el exterior fisico que rodea nuestra valiosa informacion virtual.
Un administrador de sistemas tiene que lograr ser lo mas paranoico posible "Mi empresa esta premiada como la mejor administrada en lo que respecta a seguridad en internet, ningun hacker nos puede hacer daño, somos inmune externamente (?) pero que pasaria si hay un infiltrado dentro de la empresa?, que pasaria si por causas indeterminadas se prende fuego todo un piso donde tenemos nuestro mainframe que es utilizado para hacer transacciones bancarias" al demonio nuestra confianza con los clientes, al demonio toda relacion con nuestros superiores y nuestra credibilidad frente a problemas reales se extingue.
La seguridad fisica es uno de los puntos mas olvidados a la hora de diseñar un sistema informatico, como ya dije se dedican mas a ver cuantas vulnerabilidad es puede tener y en gastar plata y plata en consultores, y no se dedican a emplear una seguridad equilibrada tanto virtual como externa.
De nada sirve gastar miles y miles en consultores, analistas y criptologos, si tenemos un intruso enfrente nuestro y no tomamos contramedidas de control.
# Reglas a tener en cuenta sobre la Seguridad Fisica
Estas reglas "recomendativas" son tanto para una persona como nuestro Admin novato que va a administrar una determinada red (y queda a cargo de esta con permisos de sus jefes para aplicar modificaciones tanto internamente en las pcs como fisicamente haciendo que la seguridad de esta sea mas eficiente), o tambien para un ejecutivo que intenta crear una empresa pequeña, mediana o grande.
· Lo mas conveniente al momento de instalar nuestro datacenter/mainframe o sucursal es ubicarnos en un lugar geografico con ventajas comerciales, serviciales y urbanas. Es decir, es conveniente para nosotros y para nuestros empleados que el datacenter este ubicado en un lugar urbanizado, con suficientes locales de recursos a mano, con servicios estatales tanto para un caso de incidente como vias de flujo para que nuestros empleados lleguen de una forma eficaz a trabajar.
· Regla principal y que nunca tenemos que olvidarnos: "ASEGURAR LA VIDA HUMANA ANTE TODO"
· Proteger tanto la informacion vital que posea la empresa como las instalaciones que permiten que nuestro datacenter y red funcionen en condiciones.
· Una regla a tener en cuenta para no tener problemas, y mas si nuestra empresa es grande (y aunque no lo sea tambien) y llama la atencion del publico es que deberemos RESPETAR EL MEDIO AMBIENTE, Y PROTEGERLO.
· Reglas basicas sobre la Seguridad Ambiental que debemos implementar entre otras son:
- Protecciones electricas, de agua y gas.
- Instalaciones de Aire Acondicionado y Sistemas de Refrigeracion y ventlicacion fluida.
- Proteccion ante Incendios y metodos eficaces de Evacuacion guiados.
- Sistemas de Deteccion en casos de accidentes ambientales, como fuego por ejemplo.
- Personal de Seguridad y Sistemas de Monitoreo.
Estas son reglas basicas que toda empresa mediana y dependiendo lo complejo que sea el establecimient o deberian cumplir. Penosamente (no involucro otros paises, pero si el mio) en la mayoria de situaciones simplemente estas cosas se dejan de lado, y muchas de las reglas no se cumplen arriesgando de forma directa al personal, a los datos, a la seguridad general.
# Amenazas que puedan afectar a nuestros equipos
Es algo logico pensar que estamos en un riesgo continuo de que pasen cosas.
Desde que salimos a la calle, al cruzar una calle una avenida, a que nos roben, nos lastimen, nos caigamos, los riesgos dependiendo el ambiente pueden ser varios y diferentes, pero nunca buenos.
Como ya hable en el primer paper nuestro Admin nunca podra eliminar todos los riesgos, porque de hecho la seguridad no trata de eso, sino que trata de prevenir futuros riesgos..
Uno pone un agente de seguridad en la puerta de su casa para intimidar a ladrones y bajar el riesgo de que nos roben, pero no significa que la seguridad este al 100% y estemos seguros que nunca nos robaran. Nada es imposible y mas a esta altura de la vida...
Lo que si se puede hacer es como siempre dije, implementar capas de seguridad para que el riesgo sea lo menor posible. Si a nuestra casa le ponemos alarma antirrobo, tres agentes en falta de uno en la puerta, sistema de camaras, etc. El riesgo efectivamente estaria bajando en un gran porcentaje. Y la seguridad estaria aumentando.
Bien en una empresa dedicada a la tecnologia, a sistemas informaticos, o cualquier empresa inclusive lo mas valioso que generalmente se tiene que proteger es la INFORMACION.
Y como buen admin que somos sabemos que la triada Confidencialid ad , Integridad y Disponibilidad no debe faltar. Por eso debemos preparanos antes posibles amenazas.
Para bajar el riesgo y subir al maximo la seguridad.
Tenemos varias Amenazas y quizas no sean las unicas expresadas en este paper, pero si las mas comunes e importantes a tener en cuenta:
--> Daños Fisicos en nuestros sistemas informaticos.
--> Intrusos fisicos que pueden permitir al robo de nuestros datos vitales.
--> Inestabilidad en el sistema, ya sea por corte de luz, amenazas ambientales,etc.
--> Empleados poco capacitados, para resolver un determinado problema mediante decisiones propias,
--> Empleados ignorantes a determinados temas, dejandose llevar mediante la ingenieria social de terceros con malas intenciones.
A estas amenazas se acoplan otras que pueden ser catalogadas como Humanas, Naturales o Casuales:
# HUMANAS
--> Sabotaje o Vandalismo.
--> Errores o equivocaciones propias.
--> Ingenieria Social.
# NATURALES
--> Fuertes Vientos como Huracanes o Tornados.
--> Tormentas con descargas Electricas
--> Terremotos
--> Inundaciones
# CASUALES
--> Fuego
--> Corte de Luz que impida con la ejecucion de servicios escenciales.
--> Liquidos Quimicos altamente destructivos
--> Cortocicuitos que produzcan descargas electricas y
posteriormente fuego.
# Seguridad Perimetral
Este es un apartado a tener en cuenta que quiero hacer. Si bien nosotros como profesionales o futuros administradore s de un sistema, pocas veces necesitemos encargarnos de lo que respecta a la seguridad en una empresa en general, es bueno tener conocimientos y saber que nos pueden pedir recomendacione s o planificacione s de como llegar a tener determinado servidores protegidos.
Como siempre aclaré la mejor forma tanto en la vida cotidiana en general como en la informatica,
es aplicar la seguridad mediante capas, asi disminuiremos el riesgo y prevenimos con mayor seguridad malos imprevistos.
En lo que respecta a perimetro lo primero que hay que tener en claro es el tipo de material que va a formar la estructura de nuestro datacenter, tenemos que tener en cuenta el TECHO, las PAREDES y el PISO logicamente no vamos a poner pisos o paredes que tengan alta conductividad de electricidad. O techos y paredes altamente combustibles para que a la primer amenaza de fuego que haya se prenda todo en 2 minutos.
Otro punto que tenemos que tener en cuenta es si hacemos el techo bajo, ante algun tipo de incendio es mas probable que el oxigeno se agote mas rapido, ahora si lo hacemos mas alto, tendremos unos minutos mas de ventaja en el cual el humo sube y podemos salir sin ahogarnos en pocos segundos.
Es bueno agregar como complemento de seguridad, REJAS, permiten una detencion de un intruso casual que andaba por ahi, ya que la mayoria no se animaria a trepar porque facilmente cualquiera podria darse cuenta que si una persona esta trepando una reja es por que algo no anda bien, porque trepar si podria estar entrando caminando?.
* PUERTAS: Las puertas tienen que estar eficazmente instaladas. Si tenemos una puerta en un lugar de constante acceso y poco restringido, no es necesario que estas sean abiertas mediante identificacion, o cerradura, sino podrian ser giratorias de esta forma entrarian y saldrian rapidamente agilizando el paso.
Las puertas en general tendrian que estar diseñadas para una correcta combustibilida d, resistencia a fuerza brusca, reforzar el tipo de bisagras y cerradura dependiendo al acceso que se tenga mediante esta, etc.
Una buena implementacion son las Mantraps, que son dos puertas que estan ubicadas entre un pasillo, y solamente se puede abrir una a la vez, lo que significa que al pasar por la primer puerta solamente se abrira la segunda si esta primera se cierra. O viceversa en caso de que la segunda puerta este abierta la primera no se abrira.
Este sistema es importante y muy implementado en pasillos que transmiten a accesos restringidos o de valiosa informacion u operabilidad.
* VENTANAS: Podemos tener diferentes tipos de ventanas para que ayuden a nuestros empleados a trabajar de una manera mas eficaz. Si estan en un lugar con constante ruido o luz solar, podemos aplicar protecciones contra estas, tambien para viento o radiaciones.
Existen tipos de vidrios para estas cosas como el laminado, mallado, con sensores, etc etc.
* ENERGIA ELECTRICA: Es algo fundamental por no decir el corazon de todo tipo de accion dentro de una empresa, sin esta no habria ningun datacenter funcionando, ni luz, ni nada que imaginemos. Entonces es necesario la correcta verificacion y comprobacion de que los sistemas electricos funcionan y ademas de que se puede prevenir ante algun tipo de accidente.
* Algo a tener en cuenta son las dos importantes interferencias, la Electromagneti ca y la Radio Frecuencia.
Deberemos controlar de forma correcta todo tipo de acceso a Paneles que distribuyen la electricidad, transformadore s y todo tipo de cableado electrico.
Deberemos tener en cuenta el tipo de voltaje que manejamos para evitar cortes o quemaduras en nuestro hardware, la grabacion del voltaje nos permitiria en caso de que pase algo y se nos queme gran cantidad de hardware, de saber si la empresa encargada de brindar el servicio nos dio mayor cantidad de la predestinada.
Indispensable tener en toda empresa una fuente de alimentacion alternativa, un UPS (Uninterruptibl e Power Supply)
Siempre pensando que si nuestro datacenter es grande, tener suficiente backup de electricidad para mover todo tipo de sistemas como telefonicos, de aire acondicionado para la correcta resfrigeracion del enorme hardware, a esto sumarle computadores y demas servidores, y una correcta iluminacion, entre otras cosas.
Vean lo estructurado y complejo que tiene que ser todo para que funcione en buen estado.
* AGUA: Es algo letal para nuestro hardware, conductora de la electricidad en definitiva sin un buen mantenimiento podria destrozar nuestra empresa.
Es necesario proteger efectivamente el lugar contra todo tipo de agua que caiga, las tipicas goteras de las tuberias, recubrir con proteccion los caños mas criticos, instalar sistemas de deteccion de humedad.
La humedad nos trae varios factores de riesgos uno podria ser la conocida electricidad estatica, y otro riesgo a conexiones electricas.
# Seguridad Perimetral: Dispositivos de Monitoreo
Dependiendo el nivel de la empresa, y logicamente el presupuesto que esta puede afrontar, y cuan valiosa puede ser la data que manejemos en la entidad, implementaremo s a partir de ello determinados controles.
Algunos ejemplos de estos pueden ser:
* Sistemas de deteccion de intrusos.
* Deteccion de sonidos o vibraciones.
* Deteccion mediante sistemas de infrarrojos/laser.
Bien la empresa esta armada... disponemos de un lugar seguro, con algunos guardias que vigilan en un perimetro determinado de la empresa. Vigilan las entradas principales, donde el acceso de personas (si es una empresa nivel medio-alto) va a ser constante tanto en las entradas como salidas.
Para empezar algo que no puede faltar para que nuestro grupo de seguridad pueda prevenir y tener un mayor control sobre toda esa multitud de personal que entra y sale de acá para allá, es el monitoreo mediante "Camaras".
Mediante las camaras (como en la foto en este caso es una wireless cam), nos permitimos tener un control de Movimiento, de Monitoreo, y tambien permite Grabacion, algo totalmente importante, en caso de que pase algo y tengamos que volver cinta atras para hacer un reconocimiento del origen del problema. (hay que aclarar tambien, que el hecho de grabar, requiere invertir en mayor capacidad de almacenamiento para los videos que logicamente tendrian que archivarse por determinada cantidad de dias/meses/inclusive años.)
Mediante el uso de Camaras se puede crear lo que se llama "CCTV" traducido seria un Circuito Cerrado de TeleVision. Permite al igual que las camaras, tener un control en vivo de Deteccion, Reconocimiento, e Identificacion de personas determinadas.
Como la palabra lo dice es un circuito, osea un conjunto de camaras ubicadas en puntos claves de toda la empresa, estacionamient o, exterior, etc. Donde cada camara independiente, envia su señal por un cable coaxial y esta es recibida mediante un Multiplexor el cual muestra en el monitor, y si permite grabacion puede hacerlo mediante un VCR por ejemplo.
# Deteccion de Intrusos mediante presencia de RUIDOS/LUZ.
A medida que avanza la tecnologia se facilita cada vez mas las cosas que antes parecian imposible, o muy costosas.
Como ya dije podriamos implementar sistemas tanto de video como de sonidos pero dependiendo el presupuesto del que contemos instalaremos una determinada prevencion.
Si disponemos de una zona la cual es totalmente restringida o que durante la noche nadie deberia tener acceso a un servidor, podriamos instalar un sistema de deteccion de intrusos pero con presencia de ruidos.
Es algo mas economico y sencillo. Un ejemplo seria el de crear un sistema de deteccion que nos avise mediante un mail por ejemplo a un determinado administrador, o al personal de seguridad nocturno, cualquier tipo de anomalia que pueda ocurrir en aquel servidor.
Esto permite tambien que podramos saber que pasa desde una PDA, una laptop, desde un cyber o desde cualquier acceso a internet, solo con chequear el mail.
Generalmente para esto se usa un microcontrolad or Basic Stamp, unos sensores de Luz, y una simple computadora conectada a Internet.
El funcionamiento para que quede mas en claro seria colocar unos sensores que enviaran informacion al Basic Stamp, este interpreta la informacion y la envia a la computadora en caso de alguna anomalia, la cual esta nos avisara mediante un log via mail.
De esta forma con un sistema sencillo y sin gastar mucha plata podremos detectar cuando en nuestra oficina aislada con servidores dedicados se ha abierto una puerta, o cuando se ha encendido una luz, cuando realmente nada de eso deberia haber sucedido.
NOTA: Algo que hay que aclarar es que este sistema basico de deteccion y poco economico, debe implementarse en lugares tanto hogareños como oficinas donde realmente este aislada o bien donde estemos totalmente seguros que durante la noche o dia, nadie deberia acceder a esa habitacion a menos que nos avisen previamente.
Es un sistema bastante efectivo. Y detectivo....
# Controles de Acceso - Concepto
Bueno ahora se pone mas entretenido este capitulo, vamos a adentrarnos en todo lo que tiene que ver sobre los diferentes tipos de controles que existen, desde un simple password a un control biometrico.
Primero vamos a dar un concepto sencillo de que es para nosotros como "Administrador de Seguridad Informatica" esto de Controles de Acceso.
* Control de acceso:
Es considerada como la Habilidad en la que se puede permitir o denegar acceso a un determinado recurso en una determinada entidad (notece, como oficina, empresa, datacenter, algun lugar mediante el cual brinde servicios requeridos por usuarios).
Por ejemplo estos dispositivos se usan para proteger recursos fisicos como puede ser el acceso a donde esta instalado el Mainframe, puede protegerse tambien recursos digitales como un determinado archivo el cual solo tiene derecho de ser leido y no posee permisos para escribirse, sino que hay que respetar la integridad de tal.
A lo largo de este paper vamos a ir detallando los diferentes tipos de Controles de Acceso.
Tanto Fisicos como digitales por eso será largo este tema...
|| Author: ÇonfusedMind. || Web: http://confused.vndv.com.
|| Contact: allmenage@gmail.com || Lunes 11 de Mayo de 2009.
0 comentarios:
Publicar un comentario