Seguridad Física y Legal


   ¡Hola amigos! Como ya os hemos comentado en nuestra primera entrada, soy Xandra (¡encantada de nuevo =) !) y voy a hablaros sobre tres grandes temas dentro de la seguridad física informática: la seguridad física, los planes de seguridad y la regulación legal. Voy a intentar que quede lo más claro posible y abarcar la información que considero más relevante, pero si aún así os queda alguna duda, queréis que trate algún tema con mayor profundidad o se me que ha quedado algo en el tintero… mandadnos un correo o comentad en esta misma pestaña o en la entrada que hemos habilitado para este post pinchando aquí ;). Sin entretenerme más…  ¡allá voy!

Seguridad Física

   Todos somos conscientes de que nuestros equipos necesitan protección contra virus, troyanos, hackers o cualquier otro ataque externo y tomamos precauciones para que cosas así no nos ocurran, pero… ¿qué hay de los incendios o inundaciones? Quizás tengamos muy bien protegidos nuestros equipos contra ataques externos, sin embargo, ¿qué ocurriría si alguien intenta robarnos los equipos entrando en el lugar de su ubicación? A esto nos referimos cuando hablamos de seguridad física, a la manera de proteger el hardware. En el ámbito doméstico quizás no tenga tanto sentido pero sí lo tiene cuando se trata de una empresa. La seguridad física es la eterna olvidada, por eso voy a tratar de exponeros las principales amenazas y sus correspondientes medidas de prevención.

  • Inundaciones: pueden ser de varios tipos, internas, debido a roturas de cañerías, bajadas o similares, o externas, debidos a desastres naturales o incluso inundaciones provocadas al extinguir un incendio. Para protegernos de ello lo primero que tenemos que tener en cuenta es la ubicación, tanto de fuentes externas como ríos o de fuentes internas como conducciones de agua. La prevención más apropiada sería la impermeabilización, así como utilizar sensores para su detección, seguramente habréis visto que en muchos lugares tienen el suelo cubierto con baldosas que se levantan, pues es justamente ahí donde de manera general se sitúan estos sensores de humedad, entre el suelo real y el suelo falso. Si una inundación ocurriese lo más lógico para su corrección sería llevarnos los equipos que pueden ser dañados fuera del lugar del desastre, pero si se trata de una gran cantidad de ellos podemos protegerlos con fundas.
  • Incendios: es una de las principales amenazas ocasionados de manera “externa” o provocada por ejemplo por un cortocircuito en nuestros propios equipos o instalaciones. Para prevenirlo deberíamos usar materiales ignífugos y tener un acondicionamiento de aire independiente. ¿Cómo podemos detectarlo? Existen varios tipos de detectores, de humo (iónicos, ópticos), de calor (infrarrojos) o multisensoriales(multricriterio). Para su extinción existen también muchos sistemas antifuego, pero no todos son válidos, por ejemplo existen rociadores de agua, que en nuestro caso, extinguirían el fuego pero podrían provocar daños en los equipos, el halón es muy eficaz y nada dañino con los equipos electrónicos pero al contrario sí lo es con el medio ambiente, el HFC (Hidrofluorocarbonos) es un sustituto del halón y además no es un conductor de la electricidad pero su precio es bastante elevado. El CO2 es fácil de usar y muy efectivo.

  • Campos electromagnéticos: es conocido que las emisiones electromagnéticas que producen los periféricos son perjudiciales, la solución óptima para prevenirlo sería el apantallamiento total de la sala o los terminales con certificado TEMPEST, (inhiben las radiaciones apantallando o perturbando con la superposición de señales espurias), pero es algo excesivamente caro, tanto en su instalación como en el mantenimiento, por lo que su uso es casi práctica y exclusivamente militar. También cabe destacar que las actuales pantallas LCD casi no emiten radiaciones y que para las líneas más expuestas algo bastante seguro sería usar la fibra óptica.
  • Anomalías suministro tensión: existen varios tipos, sobre e infratensiones, cortes y microcortes, picos y ruidos. En este caso poco podemos hacer para prevenirlo si nuestra compañía suministradora tiene un problema técnico por ejemplo, pero sí existen maneras muy eficientes para combatirlo, podemos tener líneas de suministro independientes, grupo electrógeno de emergencia o un sistema de alimentación ininterrumpido (SAI). Estos no son excluyentes, el grupo electrógeno (al que podríamos llamar generador) tarda unos cuantos segundos en arrancar y, para tener suministro durante este tiempo, necesitamos el SAI. En caso de que se produjese un corte en el suministro eléctrico el sistema de alimentación ininterrumpido se pondría en marcha, el SAI posee un rectificador (cambia la línea alterna en continua) y un inversor que se encargan de que  la línea sea perfecta sin subidas o cortes, con esto suministraría a las baterías que posee (duran aproximadamente 5 o 10 minutos en el caso de encontrarnos en grandes instalaciones) y sería suficiente para guardar los cambios y evitar pérdidas de información, tras este tiempo entraría en funcionamiento el grupo electrógeno u otra línea de suministro de otra compañía.
  • Controles de acceso (intrusiones): ¿qué podemos hacer para prevenir las intrusiones?  En el caso de que tengamos una gran cantidad de datos sensibles podemos usar una sala CPD (centro de procesamiento de datos), por ejemplo, en el caso de un banco para proteger los datos de los clientes y sus operaciones. En general, todas las medianas y grandes empresas disponen de un CPD y, en el caso de las grandes, incluso varios. También podemos disponer de  sistemas de acceso, desde la rudimentaria llave hasta las instalaciones (de gran fiabilidad) que se basan en rasgos biológicos o anatómicos como el reconocimiento de la huella dactilar (es el más utilizado pero se estima que alrededor de un 9% son de difícil reconocimiento e imposible en un 1%), la palma de la mano o las características del ojo o la voz. Estos sistemas de acceso tienen un inconveniente “ético”, ya que suponen una amenaza para la intimidad debido al almacenaje de características muy personales. Otra posibilidad serían los vigilantes pero… ¿Quién vigila al vigilante? Es uno de los puntos críticos, junto con el personal deshonesto o los modems no declarados. Además con todas estas medidas de prevención conseguiremos evitar los posibles hurtos.


   De manera general, para la evitar la pérdida total de datos en caso de cualquiera de los desastres anteriormente citados, deberíamos de disponer de centros de respaldo, son diseñados bajo las mismas consideraciones que un CPD, deberían estar en una localización completamente distinta que el CPD principal para evitar que se vean afectados por la misma contingencia. Estos pueden ser acuerdos mutuos con otras empresas, centros operativos (hot site) o centros vacíos (cold site). En el caso de las dos últimas alternativas existen empresas que se dedican al suministro de este tipo de lugares.
   No debemos olvidar que una manera muy sencilla de evitar que los datos lleguen a terceros es asegurarnos de que inutilizamos correctamente los soportes de almacenamiento (sobreescritura, magnetizadores, quemadores o destructores).
   Por último os quiero dejar un enlace a una web dedicada a la Seguridad Informática, en concreto a una serie de entradas relacionadas con la pérdida de datos, para acceder pinchad aqui.

   Y ya sabéis si os surge cualquier tipo de duda sobre el tema o queréis que profundice más sobre algo dejad un comentario aquí. ;)



Planes de Seguridad

   La falta de unos buenos planes de seguridad es uno de los problemas más graves que tienen las empresas en lo que se refiere a la protección de sus activos frente a peligros internos y externos. Generalmente, los planes de seguridad varían según el tipo de empresa pero suelen incluir las mismas normas, instrucciones y procedimientos generales.

   Vamos a comenzar realizando una definición de gestión de la seguridad: "proceso de planificación, organización y administración del ciclo de vida de las medidas de seguridad de una organización, pero ¿qué es un ciclo de vida? es un conjunto de actividades que llevan a implantar una ciertas medidas de seguridad, su mantenimiento y revisión.
  
   Todos los planes de seguridad constan de tres etapas principales: la política de seguridad, la estructura de gestión y el programa de seguridad.
  •      Política de seguridad: conjunto de principios y normas que regulan la forma, propia de cada organización, de proteger sus informaciones y los recursos físicos y lógicos que las tratan. Los aspectos principales son: 
o    Ámbito de aplicación: debemos  proteger  las  aplicaciones,  ficheros, bases de datos, sistemas operativos y de comunicaciones, tanto el almacenamiento como los equipos, soportes, documentación y personal.

o    Organización: se debe  definir  quién/quienes  son los responsables  de qué cosas (departamentos funcionales). Dentro de la empresa existe un departamento de seguridad, pero a veces se recurre al outsourcing para el control del a seguridad y el conocimiento de los sistemas. En empresas de gran envergadura además del departamento de seguridad existe el comité de seguridad, cuyos componentes son los jefes de los diferentes departamentos que existen en la empresa y, su función más importante es evaluar las políticas de seguridad teniendo en cuenta su viabilidad, la relación costo/beneficio y sus implicaciones.

o    Personal: deben estar muy claras las responsabilidades de cada uno y qué ocurriría si no se custodian correctamente las informaciones. Una buena idea es tener planes de formación y concienciación además de campañas de mentalización para dicho personal, es decir, cursos en los que se muestre y enseñe al personal las consecuencias y objetivos básicos. Además podemos repartir manuales de seguridad a todo el personal, estos deben ser llamativos, amenos, claros, concisos y a ser posible uno para cada departamento, ya que la precaución que tenga que tener un contable no será la misma que la de un informático, por ejemplo. Los manuales deberán estar permanentemente actualizados, os dejo un esquema con los puntos básicos que un manual de seguridad debería seguir:

                                   -   Introducción (el factor humano)
                                   -   Elección, custodia y mantenimiento de contraseñas 
                                   -   Instalación y actualización de antivirus (síntomas de infección)
                                   -   Actualización de S.O. y programas
                                   -   Peligros de la compartición de ficheros
                                   -   Copias de seguridad (almacenamiento, destrucción y frecuencia)
                                   -   Copias ilícitas de programas (peligros y responsabilidad legal)
                                   -   Recomendaciones de uso del correo electrónico
                                   -   Recomendaciones de navegación por internet
                                   -   Consejos varios (riesgos de los modem y pendrives, cifrado)

   Continuo con las pautas a seguir con el personal, este debería poseer perfiles y políticas de control de accesos, determinando así quien es el propietario, depositario, administrador, responsable o usuario. Y por último, hay que establecer las acciones con el personal en las tres etapas que un empleado tiene en la empresa: de una manera previa al inicio de la relación laboral, con cursos de acogida y concienciación además de la firma de la clausula de confidencialidad y asunción de responsabilidades; durante la relación laboral, por ejemplo la administración de responsabilidades, la información de cambios de las normas de seguridad o el reporte de incidencias, así como dejar claro que ocurriría con los derechos de acceso si alguien del personal cae enfermo un periodo largo de tiempo; y tras la conclusión de la relación laboral deberíamos proceder a la eliminación de todos los privilegios, derechos y accesos pero las responsabilidades legales deberían persistir, por ejemplo no nos gustaría que un programador que ha estado trabajando en un proyecto muy importante para nuestra empresa y durante su contrato se le exigía confidencialidad, vaya a otra empresa a contar los detalles del mismo una vez finalizado el contrato laboral.

o    Procedimientos: es  muy   importante   llevar  una   buena  gestión  de  los incidentes, nombrar a una persona a la que notificar cualquier tipo de incidente, llevar un registro de incidencias detallado (hora, lugar, personal, solución), tener muy claras las consecuencias de cada una de ellas y establecer los periodos de revisión del registro. También se deben establecer los procedimientos de seguridad pertinentes para la adquisición de software y hardware así como para su mantenimiento y desarrollo.

o    Clasificación  de la  información: la   información  debe estar clasificada  por niveles, así por ejemplo en España en el año 1968 se establecieron dos niveles: secreto y reservado, pero más tarde, y con ayuda de la Comunidad Europea, se añadieron otros dos: confidencial y difusión limitada. De esta manera se debe llevar a cabo un etiquetado de documentos y, muy importante, realizar un mantenimiento de la clasificación ya que lo que podía ser secreto hace 2 años ahora puede que sólo sea confidencial.

o     Auditorías: se deben  establecer  la  frecuencia  de  las  mismas,  desde  mi punto de vista deberían realizarse auditorías internas al menos una vez al año y externas cada 2 años aproximadamente. Tras su realización se realizará un análisis de los resultados.

  •    Estructura de gestión: es el departamento específico que debe organizar y gestionar la seguridad de la información corporativa. Pueden existir tres departamentos: el departamento de TI (puede no ser muy recomendable pues al pertenecer al mismo departamento el jefe sería el mismo y no se vería de una manera subjetiva), el departamento de control general (en este caso puede que el responsable no esté muy familiarizado con la  informática) y el departamento legal (de nuevo puede que no esté muy familiarizado y existan dificultades de entendimiento), por todo ello el responsable debe ser dialogante, con capacidad didáctica y empatía que además posea conocimientos de la empresa, técnicos y legales. Y sus funciones serán la elaboración y mantenimiento del programa de seguridad, evaluación y análisis de riesgos y productos, concienciación y formación, ensayos de vulnerabilidad e identificación de futuras amenazas.
  •   Programa de seguridad: los objetivos del programa de seguridad son la identificación de proyectos y productos, el establecimiento de calendarios, la asignación de prioridades y recursos y el dictamen de procedimientos concretos y los principales aspectos son el análisis y gestión de riesgos, el plan de contingencia y formación y el manual de seguridad.
   En general deberíamos de poseer planes de contingencia, que son una serie de definiciones de acciones a realizar, recursos a utilizar y personal a emplear en caso de que se produzca un acontecimiento (accidental o intencionado) que inutilice o degrade los recursos informáticos o de transmisión de datos de nuestra empresa. Los planes de contingencia sirven para minimizar el impacto de estos acontecimientos y proporcionar una rápida restauración o proporcionar alternativas, como en el apartado anterior de seguridad física os hablé de los centros de respaldo quiero recordar de nuevo que estos centros pueden y deben ser uno de los puntos principales de los planes de contingencia para recuperarnos de los desastres.



Regulación Legal

   Es necesario e indispensable que exista una regulación legal para proteger aspectos tan vitales como el control y seguridad de las transacciones, el cobro de impuestos, la protección de los derechos de la propiedad intelectual, la protección de los consumidores en cuanto a publicidad engañosa, el fraude y muy importante la protección de los datos personales. Por todo ello voy a hacer un recorrido general por las leyes españolas que regulan todos estos factores.
  
   Primero y para entrar en materia voy a exponeros la jerarquía de la normativa en España empezando por lo más influyente y acabando por lo menos, Constitución española, Normas legales y con rango de ley (Leyes orgánicas, Leyes ordinarias, Reales Decretos Legislativos y Reales Decretos-Ley) y por último las Normas administrativas.
   Las responsabilidades pueden ser tanto penales (criminales) como son las faltas o delitos, como civiles.

   Comenzaré con la propiedad intelectual, con respecto a ella hay que tener en cuenta tanto las bases de datos como la titularidad. En el Artículo 12 de la Ley de Propiedad Intelectual (LPI) se explica que las colecciones de obras, de datos o de otros elementos independientes dispuestos de manera sistemática o metódica y accesibles individualmente por medios electrónico o de otra forma, con objeto de propiedad intelectual. Por otra parte, en el Artículo 97 se habla sobre la titularidad, exponiendo de una manera clara que cuando un trabajador asalariado crea un programa, la titularidad de los derechos de explotación pertenecerán al empresario, salvo que exista un pacto que sentencie lo contrario, pero los derechos de autoría serían de la persona que ha creado el programa. Y por último en el Artículo 102 de la presente ley se determinan “infractores de los derechos de autor” aquellos que sin autorización del titular posean o pongan en circulación una copia o varias de un programa de ordenador conociendo o pudiendo presumir su naturaleza ilegítima y quienes pongan en circulación o tengan con fines comerciales cualquier instrumento cuyo único uso sea facilitar la supresión o neutralización no autorizada de cualquier dispositivo técnico utilizado para proteger un programa de ordenador.


   Con respecto a la protección de datos personales, existe la Ley Orgánica de Protección de Datos Personales (LOPD), que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas física, y especialmente de su honor e intimidad personal, siendo los datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables. Los datos especialmente protegidos son las creencias, afiliación sindical, religión, origen racial o étnico y salud o vida sexual. Además existen tres niveles de seguridad según la LOPD, básico, medio y alto, veamos su aplicación (Artículo 81). En el nivel básico encontramos el nombre, apellidos o correos electrónicos, en el nivel medio se encuentran los datos con los que trabajan las infracciones penales y administrativas, las Administraciones Tributarias, las entidades financieras y la seguridad social o mutuas, es decir, todos los datos que permitan definir la personalidad o evaluar ésta o el comportamiento de los ciudadanos. En el nivel alto nos encontramos con los datos especialmente protegidos de los que hemos hablado antes, además de los actos de violencia de género o los datos de localización y tráfico.
  
   Si alguien más quiere profundizar en el tema voy a dejaros los enlaces tanto a la Ley de Propiedad Intelectual como a la Ley de Protección de Datos Personales, además os añado la ley de la firma electrónica, me parece interesante que podáis echarle un vistazo ;)



  Recordad: “La ignorancia de las leyes no excusa de su cumplimiento” (Artículo 6.1, Ley del Código Civil)

   Si os queda alguna duda, queréis que explique algún aspecto más a fondo o cualquier cosa que se os ocurra o queráis decirme, dejad un comentario aquí abajo ;)

¡Un saludo!

2 comentarios:

  1. Anónimo1 de marzo de 2012, 19:36

    Hola Xandra, me gustaría que me informarás algo más de TEMPEST, pero para la protección de manera individual y no como empresa.
    Muchas gracias! :).

    ResponderEliminar
    Respuestas
    1. Ingeniería de la Seguridad1 de marzo de 2012, 21:24

      ¡Hola! Veamos TEMPES es el acrónimo de Transient Eletromagnetic Pulse Surveillance Technology, que traducido al castellano sería algo como Tecnologia para la Trasmision de Pulsos Electromagneticos Involuntarios. Todos los ordenadores, y en general los aparatos electrónicos, emiten unas señales electromagnéticas, estas pueden ser capturadas, pero además decodificadas y analizadas,(existen códigos binarios para la interpretación, ya que la señal se pasa a ascii) por lo que podrían "robarnos" datos, saber cuando un ordenador está encendido o si la persona que lo usa está tecleando. Todo esto es posible en el radio de aproximádamente 1Km. Actualmente todos los equipos deben pasar el certificado Tempest para evitar que no superen un cierto límite de emisión de señales, por lo que se usa generalmente para uso militar o en gobiernos. Protegerse de manera individual es dificil ya que es muy caro, pero hay algunas cosas que sí podrías hacer, por ejemplo, recubrir los cables con metal o aluminio o en su defecto recogerlos de manera que estén lo más cerca posible del ordenador, puedes recubrir los periféricos también con metal o aluminio (siempre dejando las salidas de aire y ventilaciones libres) y aleja todo lo que puedas los periféricos y líneas de corriente de la línea telefónica. Existen también una serie de imanes que se usan para evitar que los equipos afecten a otros aparatos, pero esto también te servirá para el fin que buscas.

      Como curiosidad puedo contarte que Kevin Mitnick (un famoso hacker conocido como el Condor) fue atrapado por el FBI utilizando una furgoneta equipada para capturar Tempest.

      Espero haberte ayudado ;)

      Eliminar

Suscribirse a: Entradas (Atom)