Seguritecnia 361

SEGURITECNIA Febrero 2010 227 Artículo Técnico seño de centros de proceso de datos por excelencia, definiremos los controles a implantar, que nos marcarán el nivel de TIER, unidad de medida adoptada por TIA-942 que marca los requisitos para ga- rantizan la disponibilidad del objetivo. Tercer anillo del control de acceso e intrusión. Seguridad en el perímetro Lo más común al definir los controles aplicables a esta barrera de nuestras ins- talaciones es centrarse en impedir y mo- nitorizar accesos no autorizados me- diante un control de acceso efectivo, cir- cuito cerrado de vídeo, etc. Sin embargo, y teniendo en cuenta que tras esta última barrera de protec- ción no tenemos posibilidad de impo- ner ningún tipo de medida adicional, es igual de importante controlar la salida no autorizada de activos, personas, equipos o comunicaciones. En este aspecto, es común concentrar los esfuerzos en evitar la fuga de informa- ción en formato de extracción de equi- pamiento de forma no autorizada o emi- siones no controladas de comunicacio- nes Wireless (802.11 abgn), mientras que tecnologías menos conocidas, como vi- deoporteros inalámbricos, micrófonos inalámbricos de megafonía o equipos de grabación inalámbrico de salas de confe- rencias, que también suelen sobrepasar los límites de la barrera perimetral, no ob- tienen la atención que debieran. En esta última barrera, cobran también especial importancia no sólo las medidas efectivas de protección, sino también las disuasorias, como iluminación de focos reflectores, muros de protección, alam- brado, etc., ya que limitan los intentos de intrusión a aquellos que son totalmente intencionados. Segundo anillo del control de acceso e intrusión. Seguridad del edificio A pesar de las mejoras tecnológicas en los sistemas de control de intrusión y monito- rización, que a través de una amplia varie- dad de sensores, como detectores de mo- vimiento, sensores de vibración u ópticos, cámaras de CCTV, etc., permiten la identi- ficación de accesos no autorizados en el complejo, ésta sigue siendo el área más cara y menos trabajada dentro de la segu- ridad del edificio, ya que requiere una in- tervención o respuesta humana. Esta situación no sucede con el control de acceso dentro del edificio, resultando, por ello, mucho más económico. Esto, sumado a la tremenda evolución de la tecnología utilizada (cerradura sencilla o de seguridad, tarjetas de banda magné- ticas, llaves de puntos magnéticos, tarje- tas de proximidad, tarjetas criptográficas, biometría, etc.), lo posiciona como uno de los principales controles a desplegar. Por último, un aspecto a no descui- dar son los procedimientos de actua- ción, que nos van a ayudar a contro- lar de manera efectiva visitas, mante- nimientos, limpieza, etc., que afectan a grupos como subcontratados, visitantes, servicios generales, mensajería, manteni- miento y personal de limpieza. Primer anillo del control de acceso e intrusión. Seguridad del centro de proceso Los centros de procesos de datos, histó- ricamente, han sido los que más inver- sión presupuestaria han recibido, quizás motivados porque las medidas de dispo- nibilidad se centran casi exclusivamente en esta sala. Por ello, antes de dar el paso de implantar un control de acceso ro- busto en el edificio, casi con total segu- ridad éste ya se ha puesto en práctica para las salas de CPD. Esto se refleja en las exigencias de se- guridad que observamos en este tipo de salas. Acceso por esclusas, medición de parámetros biológicos, como peso al pa- sar un punto de control, o el desarme par- cial de los sistemas de monitorización que va realizándose a medida que el usua- rio se va autenticando en las distintas sa- las que componen el CPD, son sólo una muestra de que la tecnología utilizada evoluciona de una manera frenética. Al igual que ocurre en el anillo más ex- terior, pero enfocado desde un punto de vista distinto, la fuga de información de este tipo de salas por emisiones o comu- nicaciones inalámbricas es también un aspecto crítico a controlar. En el pasado, esto consistía en la lec- tura remota de las emanaciones de ra- dio provocadas por el propio funciona- miento de monitores o los equipos in- formáticos, que, recompuestos en el otro extremo, permitían leer en remoto la ac- tividad realizada. Esto necesitaba de tec- nología muy específica al alcance de unas pocas organizaciones, lo que hacía desechar el esfuerzo de invertir en pro- tecciones asociadas. Pero, hoy en día, la utilización de todo tipo de periféricos inalámbricos (tecla- dos, ratones, auriculares, impresoras, cá- maras, etc.) aumenta drásticamente el riesgo de fuga de información a través de RF, Wireles y Bluetooth , haciendo nece- sario implantar medidas de contención como jaulas de faraday , pintura con ele- vando contenido en plomo, etc. Infraestructura que ofrece soporte común a toda la Seguridad física Como siempre, la frenética evolución tec- nológica, aplicada esta vez a los dispositi- vos, sensores y actuadores encargados de poner en práctica todos estos controles, aporta muchos beneficios, pero también inconvenientes, necesitando para todo ello una infraestructura soporte que per- mita intercomunicarlos entre sí. Hoy en día, éste es uno de los aspec- tos menos cuidados desde el punto de vista de Seguridad física, utilizando siste- mas y comunicaciones, cableadas o ina- lámbricas, con niveles de seguridad infe- riores a los dispositivos que interconecta. Conclusiones La Seguridad ha evolucionado, aumen- tando su complejidad, efectividad e in- teroperabilidad, ya no sólo recayendo en el ámbito de aplicación de un solo de- partamento. Por ello, es vital alinear todas las ini- ciativas de Seguridad (Seguridad física, operaciones y Seguridad lógica) hacia una misma dirección, que ha de marcar el negocio. Este proceso de convergen- cia, que poco a poco todas las empre- sas irán adoptando, reforzará, optimi- zará y economizará todo el proceso de gestión de Seguridad. S