Seguridad física y lógica.

La seguridad de las redes no solo depende de determinar sus riesgos, sus debilidades, vulnerabilidades, que convertidas en amenazas pueden ser la causa de un incidente. La interrelación de estos conceptos, son el punto de partida para comprender la seguridad física y lógica.

Al analizar las amenazas, las vulnerabilidades y los riesgos, para llegar a los posibles impactos que puede tener un sistema informático, es esencial lograr un trabajo de prevención que evite cualquier daño.

Seguridad Física:

Combatir las amenazas y los riesgos a que exponen los sistemas informáticos es solo una cosa de juegos si no se tienen en cuenta la posibilidad de la ocurrencia de un sismo, un incendio o una catástrofe natural cualquiera.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

La Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial“.(1) Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Los  principales tipos de amenazas a que se expone cualquier sistema informático que pudieran ser ocasionadas por el hombre y la naturaleza están:

  1. Desastres naturales, incendios accidentales tormentas e inundaciones.
  2. Amenazas ocasionadas por el hombre.
  3. Disturbios, sabotajes internos y externos deliberados.

No solo cerrando debidamente una puerta o desconectando la electricidad se está dando protección a los sistemas informáticos, las acciones para prevenir acciones humanas o naturales también constituyen la base de una defensa proactiva en el ámbito de la seguridad informática.

Entre las principales amenazas a la seguridad física de los sistemas informáticos está:

  1. Incendios.
  2. Inundaciones.
  3. Condiciones climatológicas.
  4. Señales de radar.
  5. Instalaciones eléctricas.
  6. Ergometría (trastornos óseo-musculares y visuales, salud mental, ambiente luminoso y ambiente climático).

Entre las acciones hostiles que ocasiona el hombre:

  1. Sabotajes. (la más temida y peligrosa)
  2. Fraude.
  3. Robo.

Contra estas acciones es importante la toma de medidas de control de acceso, que incluye el personal de protección, los detectores de metales, los controles por sistemas biométricos, la protección electrónica y con animales y la verificación electrónica de firmas.

Para ampliar estos elementos puede ser consultada la página

Segu-info. Seguridad de la información. Seguridad física en: http://www.segu-info.com.ar/fisica/seguridadfisica.htm

Seguridad de las Tecnologías de la Información. MIC. Cuba. en http://www.mic.gov.cu/

Seguridad lógica:

A partir del axioma de que lo más importante para la seguridad informática es la información y cómo preservarla y del hecho de que los peligros para esta no están en su mayor volumen en los problemas en el orden físico, sino en como garantizar su confidencialidad, integridad y disponibilidad.

La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.”(2)

Sobre esta base se plantean como principios básicos del trabajo los siguientes:

  1. Restringir el acceso a los programas y archivos.
  2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
  3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
  4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
  5. Que la información recibida sea la misma que ha sido transmitida.
  6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
  7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Sobre esta base el control de accesos constituye un punto vital para el cumplimiento de estos objetivos básicos de la seguridad informática, aplicándose directamente a través del sistema operativo, sobre los sistemas de aplicación, las bases de datos, o en paquetes específicos de seguridad o algún utilitario. En este ámbito la autenticación y la autorización desempeñan un lugar muy importante, que son las categorías que permiten proteger, mantener la integridad y resguardar la información, en fin: la confidencialidad, integridad y disponibilidad de la información.

Muy vinculado a esto se encuentra el rol que desempeña cada uno de los usuarios que implican en dependencia de las necesidades que requiera su actividad la determinación de los derechos de accesos o permisos.

También en este grupo se encuentran las Transacciones, las limitaciones de servicios, la modalidad de acceso, la ubicación y el horario, los controles de accesos interno y externo, así como la administración de los recursos informativos.

A esto se unen los llamados niveles de acceso que fueron expuestos por primera vez en 1983 en el llamado Libro Naranja (Orange Book) cuyo verdadero título es: “Trusted Computer Systems Evaluation Criteria” introducido por el Departamento de Defensa de los Estados Unidos, que clasifica los niveles en D, C, B y A, donde D es el nivel mínimo de seguridad y A es el “diseño verificado”, aunque se introducen otros niveles intermedios ( C1; C2; B1; B2; B3)

En fecha reciente un grupo de países europeos: Alemania, Francia, Gran Bretaña y Holanda han publicado el documento “Information Technology Security Evaluation Criteria (ITSEC)”, con un objetivo similar al del libro naranja, aunque con diferentes niveles que son: F-C1, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX, correspondiendo los cinco primeros con los seis últimos de antecesor norteamericano. Este proceso es lo que se ha dado en conocer como: Evaluación y certificación de la seguridad

Fuentes:

Segu_info en http://www.segu-info.com.ar/logica/seguridadlogica.htm

Seguridad de las Tecnologías de la Información. MIC. Cuba. en http://www.mic.gov.cu/

[1]HUERTA, Antonio Villalón. “Seguridad en Unix y Redes”. Versión 1.2 Digital – Open Publication License v.10 o Later. 2 de Octubre de 2000. http://www.kriptopolis.org, tomado de http://www.segu-info.com.ar/fisica/seguridadfisica.htm , consultado el 4 de abril de 2011.

[2]Seguridad Lógica en http://www.segu-info.com.ar/logica/seguridadlogica.htm