91

CAPTULO 3
GUA PARA LA ELABORACIN Y CREACIN DE POLTICAS DE
SEGURIDAD


Gua para la elaboracin de Polticas de Seguridad
o Por qu tener polticas escritas
o Definicin de Poltica
o Elementos clave de una poltica
o Etapas en el desarrollo de una poltica
o Prcticas recomendadas para escribir una poltica
o Aspectos importantes para definir responsabilidades en el desarrollo
de polticas
o Responsabilidades en el modelo de ciclo de vida de la poltica

Creacin de Polticas de Seguridad
o Polticas de seguridad para ambientes fsicos
o Polticas de seguridad para ambientes lgicos
o Recomendaciones para establecer el nivel mnimo de seguridad
necesario para una PYMES

Conclusiones




92
Gua para la elaboracin y creacin de polticas de
seguridad
Cules son las soluciones de seguridad informtica ideal para cualquier pequea y
mediana empresa? Esta es la pregunta que muchos directores de departamentos
informticos se suelen hacer a diario. En algunos casos, algunos tienen muy clara la
idea y aplican soluciones de seguridad informtica antes de que suceda algn
desastre, ya sea por que tienen conocimientos para aplicar tales acciones o
simplemente por que piden asesoramiento. Mientras que en otros casos solo han odo
del miedo generalizado que hay sobre lo que le podra ocurrir a una empresa si no
adoptara medidas oportunas.
Gua para la elaboracin de Polticas de Seguridad
1

Por qu tener polticas escritas.

La seguridad de los sistemas de informacin se ha transformado en un factor
indispensable para el buen funcionamiento de las organizaciones.

El rpido desarrollo de las tecnologas de la informacin provoc una dependencia
creciente de los organismos respecto de su sistema de informacin, que se ha
convertido en un componente estratgico.

Por otra parte, el uso cada vez ms difundido de los sistemas de informacin para
diversas aplicaciones ha hecho que la comunidad de usuarios tome conciencia de que
no basta con implementar los medios de comunicacin ms eficaces, sino que stos



1
UNIVERSIDAD NACIONAL DE COLOMBIA. Gua para la Elaboracin de Polticas de
Seguridad. 2003
93
deben ser, adems, fiables y seguros (disponibilidad, integridad, confidencialidad y, a
veces, medio de prueba).

Las razones por las que se debe tener polticas escritas, son las siguientes:

Para cumplir con regulaciones legales o tcnicas.
Como gua para el cumplimiento profesional y personal.
Permite unificar la forma de trabajo de personas en diferentes lugares o
momentos que tengan responsabilidades y tareas similares.
Permiten recoger comentarios y observaciones que buscan atender situaciones
anormales en el trabajo.
Permite encontrar las mejores prcticas en el trabajo.
Permiten asociar la filosofa de una organizacin (lo abstracto) al trabajo (lo
concreto).

Los beneficios que ofrece tener polticas de seguridad se describen a continuacin:

La identificacin de los objetivos, obligaciones y compromisos del organismo
respecto de sus usuarios y asociados, en funcin de la legislacin aplicable, as
como los principios de seguridad que rigen la proteccin de su propio
patrimonio.
Una visin estratgica de la gestin de los riesgos globales, entre los cuales
figura seguridad de los sistemas de informacin, que apunta a informar a los
diseadores del proyecto sobre los retos y a suscitar confianza en el sistema de
informacin.
La promocin de la cooperacin entre los distintos departamentos, servicios o
unidades del organismo para la elaboracin y la implementacin de tales
medidas, instrucciones y procedimientos.
La certeza de la coherencia y de la continuidad de las acciones de seguridad
(anlisis de riesgos, implementacin de medidas, etc.), indicando las directivas
necesarias, especialmente para toda eleccin tcnica pero tambin
organizacional o contractual, en materia de seguridad.
Una adecuacin de los medios (con una proporcionalidad garantizada por el
anlisis de los riesgos) mediante la aplicacin de los principios y las normas
94
de seguridad que deben respetarse para el conjunto de las actividades y
sistemas.
La concienciacin sobre los riesgos que amenazan a los sistemas de
informacin y sobre los medios disponibles para protegerse de ellos e
informar todos los involucrados sobre sus responsabilidades.
Una ayuda para los directores de programas y jefes de proyecto, para integrar
cuanto antes la seguridad en los desarrollos de nuevos servicios de los
sistemas de informacin.

Las polticas de seguridad informticas muestran el reconocimiento formal de la
importancia otorgada por la direccin general del organismo a la seguridad de su o
sus sistemas de informacin.

Por eso, las polticas constituyen un marco de referencia y de coherencia:

Para la integracin de la seguridad entre diferentes reas de una organizacin,
ya sea de manera interna o externa.
Para el conjunto de las actividades que tienen que desarrollarse y, para actores
del organismo, que debern tenerse en cuenta para justificar toda evolucin
del sistema de informacin.
Para ayudar a las personas encargadas de elaborar y de implementar medidas,
instrucciones y procedimientos coherentes tendientes a garantizar la seguridad
tanto de los bienes fsicos como lgicos.

Definicin de Poltica

Es importante que demos a entender desde el comienzo el trmino poltica, puesto
que es un trmino muy utilizado en seguridad informtica, algunas veces usado
correctamente y otras veces no. La pregunta que tendramos que hacernos es: Qu
entendemos cuando decimos poltica, estndar, mejor prctica, gua y
procedimiento? Daremos una breve explicacin de cada uno de los trminos y de una
manera jerrquica.

95
Poltica

Declaracin general de principios que presenta la posicin de la
administracin para un rea de control definida. Las polticas se elaboran con
el fin de que tengan aplicacin a largo plazo y guen el desarrollo de reglas y
criterios ms especficos que aborden situaciones concretas. Las polticas son
desplegadas y soportadas por estndares, mejores prcticas, procedimientos y
guas.

Las polticas deben ser pocas, deben ser apoyadas y aprobadas por las
directivas de la organizacin y deben ofrecerle direccionamiento completo a
un conjunto importante de departamentos.

Por definicin, las polticas son obligatorias y la incapacidad o imposibilidad
para cumplir una poltica exige que se apruebe una excepcin.

Estndar

Regla que especifica una accin o respuesta que se debe seguir a un sistema
dado. Los estndares son orientaciones obligatorias que buscan hacer cumplir
las polticas. Los estndares sirven como especificaciones para la
implementacin de las polticas, son diseadas para promover la
implementacin de las polticas de alto nivel de la organizacin antes de crear
nuevas polticas.

Mejor Prctica

Es una regla de seguridad especfica a una plataforma que es aceptada a
travs de la industria al proporcionar el enfoque a una implementacin de
seguridad concreta.

96
Las mejores prcticas son establecidas para asegurar que las caractersticas de
seguridad de sistemas utilizados con regularidad estn configurados y
administrados de manera uniforme, garantizando un nivel consistente de
seguridad a travs de la organizacin.

Gua

Una gua es una declaracin general utilizada para recomendar o sugerir un
enfoque para implementar polticas, estndares y buenas prcticas.

Las guas son esencialmente recomendaciones que deben considerarse al
implementar la seguridad. Aunque no son obligatorias, sern seguidas a
menos que existan argumentos documentados y aprobados para no hacerlo.

Procedimiento

Los procedimientos definen especficamente cmo las polticas, estndares,
mejores prcticas y guas sern implementados en una situacin dada. Los
procedimientos son dependientes de la tecnologa o de los procesos y se
refieren a plataformas, aplicaciones o procesos especficos. Son utilizados
para delinear los pasos que deben ser seguidos por un departamento para
implementar la seguridad relacionada a dicho proceso o sistema especfico.

Generalmente los procedimientos son desarrollados, implementados y
supervisados por el dueo del proceso o del sistema.

Los procedimientos seguirn las polticas de la organizacin, los estndares,
las mejores prcticas y las guas tan cerca como les sea posible y a la vez se
ajustarn a los requerimientos procedimentales o tcnicos establecidos dentro
de la organizacin donde ellos se aplican.

97

Figura 3.1 Esquema jerrquico en el manejo de los trminos

Un ejemplo de los requerimientos de seguridad interrelacionados, sera:

1. En el nivel ms alto, se puede elaborar una poltica para toda la
organizacin que obligue a garantizar seguridad en el correo electrnico
cuyo contenido sea informacin confidencial.
2. Esta poltica podra ser soportada por varios estndares, incluyendo por
ejemplo, que los mensajes de este tipo sean enviados utilizando algn
sistema de criptografa aprobado por la organizacin y que sean borrados de
manera segura despus de su envo.
3. Una mejor prctica de este ejemplo podra ser relacionada sobre la manera
de configurar el correo sobre un tipo especfico de sistema, ya sea este
Windows, Linux, Solaris, etc., con el fin de garantizar el cumplimiento de la
poltica y del estndar.
4. Los procedimientos podran especificar requerimientos para que la poltica
y los estndares que la soportan, sean aplicados en un departamento
especfico, por ejemplo el departamento de Sistemas Informticos.
5. Finalmente, las guas podran incluir informacin sobre tcnicas,
configuraciones y secuencias de comandos recomendadas que deben seguir
los usuarios para asegurar la informacin confidencial enviada y recibida a
travs del servicio de correo electrnico.

98
Elementos claves de una poltica

Para resolver las necesidades de una organizacin, una buena poltica debe:

Ser fcil de entender. A menudo, las polticas, los estndares y los
procedimientos son escritos por sujetos expertos en el tema y los presentan
para su uso de manera general. Este material comnmente se escribe en un
nivel universitario cuando el nivel medio de lectura y de comprensin en el
lugar de trabajo es el de un nivel de secundaria.

Ser aplicable. Al crear la poltica, el escritor puede investigar otras
organizaciones y copiar la documentacin de stas. Lo que realmente se debe
hacer es asegurarse de que lo que se escribe va de acuerdo a las necesidades
de su organizacin.

Que se pueda hacer. La organizacin y sus empleados todava pueden
encontrar objetivos de negocios si la poltica se implementa? Muchas
organizaciones han escrito la ltima poltica de seguridad, slo para averiguar
que era tan restrictiva que la misin de la organizacin se puso en riesgo.

Que sea ejecutable. No escribir una poltica contraproducente como El uso
de el telfono provisto por la compaa slo es para llamadas del negocio.
Para muchas organizaciones, sta puede ser de hecho la poltica, pero casi
todo telfono se usa a diario para llamadas personales. Lo que podra hacer
una mejor poltica es decir Los telfonos provistos por la compaa son para
ser usados para funciones aprobadas por la administracin. Esto abre alguna
latitud y todava satisface la necesidad comercial.

Que se pueda aplicar en fases. Puede ser necesario permitir a la organizacin
leer y digerir la poltica antes de que tome efecto. Muchas organizaciones
publican una poltica y entonces exigen a las unidades comerciales someter un
plan de cumplimiento dentro de un nmero especfico de das despus de la
publicacin. Esto proporciona a los gerentes de las unidades comerciales un
99
perodo de tiempo para revisar la poltica, determinar donde su organizacin
podra ser deficiente, y entonces someter a un itinerario para su cumplimiento.
Estas cartas de cumplimiento normalmente se mantienen en un archivo y se
hacen disponibles al personal de la auditoria.

Ser proactiva. Estado de lo que debe ser hecho: no entrar en la va de hacer
declaraciones como Usted no debe! Intente declarar lo que puede hacerse y
lo que se espera de los empleados.

Evitar absolutos. Nunca diga nunca. Sea diplomtico y entienda la manera
polticamente correcta de decir las cosas. Al discutir las sanciones para el
incumplimiento, alguna organizacin ha declarado que "empleados que violan
esta poltica estarn sujetos a las sanciones disciplinarias e incluso el despido
sin aviso previo", cuando la poltica pudiera decir algo como, "Empleados
encontrados en el incumplimiento de esta poltica, sern juzgados por la
violacin de los Estndares de Conducta del Empleado. Este ltimo usa un
acercamiento ms amable.

Que encuentre los objetivos del negocio. Los profesionales de seguridad
deben aprender que los controles deben llevar a la organizacin a un nivel
aceptable de riesgo. Cien por ciento de seguridad es cero por ciento de
productividad. Siempre que los controles o polticas impactan los objetivos
comerciales o misin o la organizacin, entonces los controles y poltica
perdern. Trabaje para entender que la poltica existe para apoyar el negocio,
no lo contrario.

Etapas en el desarrollo de una poltica
Dentro del desarrollo de una poltica de seguridad existen 11 etapas que se tienen que
seguir durante su ciclo de vida, estas etapas pueden ser agrupadas en 4 fases:

Fase de Desarrollo.- durante esta fase, la poltica es creada, revisada y
aprobada.
100
Fase de Implementacin.- en esta fase la poltica es comunicada y acatada, o
en el peor de los casos, no cumplida por alguna excepcin.
Fase de Mantenimiento.- Aqu los usuarios deben ser concientes de la
importancia de la poltica, su cumplimiento debes ser monitoreado, se debe
garantizar su cumplimiento y se l debe dar mantenimiento (actualizacin).
Fase de Eliminacin.- La poltica se retira cuando ya no se la necesita ms.


Figura 3.2 Fases en el ciclo de vida de una Poltica de Seguridad

Estas fases se deben cumplir de manera obligatoria durante el ciclo de vida de una
poltica de seguridad.
Fase de Desarrollo Creacin
Planificacin, investigacin, documentacin y coordinacin de la poltica

La creacin de una poltica es la funcin ms fcil de entender en el ciclo de
vida de desarrollo de una poltica de seguridad. La creacin de una poltica
implica identificar por qu se necesita la poltica (requerimientos legales,
regulaciones tcnicas u operacionales); determinar el alcance y la
aplicabilidad de la poltica, los roles y las responsabilidades inherentes a la
aplicacin de la poltica y garantizar la factibilidad de su implementacin.
101

La creacin de una poltica tambin incluye la investigacin para determinar
los requerimientos organizacionales para desarrollar las polticas (qu
autoridades deben aprobarla, con quin se debe coordinar el desarrollo y los
estndares de formato de redaccin a seguir) y la investigacin de las mejores
prcticas en la vida real para su aplicabilidad a las necesidades
organizacionales actuales.
De esta etapa se tendr como resultado la documentacin formal de la poltica
de acuerdo con los procedimientos y estndares de la organizacin.

Fase de Desarrollo Revisin
Evaluacin independiente de la poltica

Una vez que la documentacin de la poltica ha sido creada e iniciada la
coordinacin, sta debe ser presentada y remitida a un individuo o grupo
independiente para su evaluacin antes de que pueda ser aprobada, ya se a de
manera formal o informal, exponiendo cualquier punto que pueda ser
relevante para la revisin, explicando su objetivo, el contexto y los beneficios
potenciales de la poltica y por qu esta es necesaria.

Los beneficios de que la poltica sea revisada independientemente pueden ser:

Aumento de credibilidad de la poltica gracias a la informacin
recibida de diferentes especialistas del grupo de revisin.
Apoyo ms amplio para las polticas a travs de un incremento en el
nmero de involucrados.

Como parte de retroalimentacin, es necesario que el creador de las polticas
recopile los comentarios y recomendaciones para poder realizar los cambios,
efectuar ajustes y las revisiones necesarias en la poltica para obtener una
versin final lista para su aprobacin.

102
Fase de Desarrollo Aprobacin
Obtener la aprobacin de las polticas por parte de la directiva

El objetivo de esta etapa es obtener el apoyo administrativo de la
organizacin, a travs de la firma de una persona que sea autoridad dentro de
la entidad.

La aprobacin permite iniciar la implementacin de la poltica. Requiere que
el creador de la poltica haga una seleccin de la autoridad de aprobacin, que
coordine con dicho funcionario, presente las recomendaciones emitidas
durante la etapa de revisin y haga el esfuerzo para que sea aceptada por la
administracin.

Puede ocurrir una aprobacin temporal por incertidumbre de la autoridad de
aprobacin.

Fase de Implementacin Comunicacin

Difundir la poltica

Una vez que la poltica haya sido aprobada de manera formal, se procede a
difundirla a todos los miembros de la organizacin o a quienes sean afectados
directamente por la poltica.

La etapa de comunicacin implica determinar el alcance y el mtodo inicial
de distribucin de la poltica, teniendo en cuenta factores como: ubicacin
geogrfica, idioma, cultura y lnea de mando que ser utilizada para la
comunicacin de la poltica.

Esta etapa tiene que ser planificada para poder determinar los recursos
necesarios y el enfoque que debe ser seguido para mejorar la visibilidad y el
entendimiento de la poltica.
103
Fase de Implementacin Cumplimiento
Implementar la poltica

Dentro de esta etapa se incluyen actividades que se relacionan con la
ejecucin de la poltica, lo que implica trabajar con otras personas de la
organizacin para interpretar cul es la mejor manera de implementar la
poltica en diversas situaciones y departamentos.

La etapa de cumplimiento tiene que asegurar que la poltica sea entendida por
aquellas personas que requieren implementarla, monitorearla, hacerle
seguimiento, reportar regularmente su cumplimiento y medir el impacto de la
poltica en las operaciones diarias.

Una de las actividades a realizar es la elaboracin de informes para la
administracin, reportando el estado de la implementacin de la poltica.

Fase de Implementacin Excepciones

Gestionar las situaciones donde la implementacin de la poltica no es
posible

No todas las polticas pueden ser cumplidas de la manera en que se pens al
comienzo, ya sea por falta de personal, problemas de coordinacin, etc.
Solamente, cuando los casos lo ameriten, es probable que se requieran
excepciones a la poltica para permitir a ciertas personas o departamentos el
no cumplimiento de la misma.

Se deber establecer un proceso para garantizar que las solicitudes de
excepciones sean: registradas, seguidas, evaluadas, enviadas para su
aprobacin o desaprobacin, documentadas y vigiladas en el periodo de
tiempo establecido para dicha excepcin. Este proceso tambin debe permitir
104
excepciones permanentes a la poltica, al igual que la no aplicacin temporal
por circunstancias de corta duracin.

Fase de Mantenimiento Concienciacin
Garantiza la concienciacin continuad de la poltica

La etapa de concienciacin comprende esfuerzos continuos que tienen que
realizarse para garantizar que las personas estn concientes de la poltica y la
estn cumpliendo. Esto se hace al tener definidas las necesidades de los
diversos grupos de la organizacin en relacin con la adhesin de la poltica.

Se determinarn los mtodos de concienciacin ms efectivos para cada
grupo, como por ejemplo: reuniones informativas, cursos de entrenamiento,
correos electrnicos, etc., y el desarrollo y difusin de material de
concienciacin: afiches, circulares, presentaciones, etc.

Dentro de esta etapa se trata de integrar el cumplimiento de la poltica y
retroalimentacin sobre el control realizado para su cumplimiento. La tarea
final es medir la concienciacin de los miembros de la organizacin con la
poltica y ajustar los esfuerzos de acuerdo con los resultados de las
actividades medidas.

Fase de Mantenimiento Monitoreo
Seguimiento y reporte del cumplimiento de la poltica

La etapa de monitoreo es realizada para seguir y reportar la efectividad de los
esfuerzos en el cumplimiento de la poltica. Esta informacin se obtiene de la
observacin de los empleados y personal administrativo, mediante
evaluaciones, revisiones, inspecciones y de las actividades realizadas en
respuesta a los incidentes.
105
Dentro de esta etapa se incluyen actividades continuas para monitorear y
verificar el cumplimiento o no de la poltica a travs de mtodos formales o
informales y el reporte a las autoridades apropiadas.

Fase de Mantenimiento Garanta de cumplimiento

Afrontar las contravenciones de la poltica

En esta etapa se incluyen las respuestas de la administracin a actos u
omisiones que tengan como resultado contravenciones de la poltica, con la
finalidad de prevenir que sigan ocurriendo. Esto significa que una vez que
una contravencin sea identificada, la accin correctiva debe ser determinada
y aplicada a los procesos (revisin del proceso y mejoramiento), a la
tecnologa (actualizacin) y a las personas (accin disciplinaria) involucrados
en la contravencin, con el fin de reducir a posibilidad de que vuelva a
ocurrir.

Se recomienda incluir informacin sobre las acciones correctivas de forma
adelantada, para garantizar el cumplimiento en la etapa de concienciacin.

Fase de Mantenimiento Mantenimiento

Asegurar que la poltica est actualizada

La etapa de mantenimiento est relacionada con el proceso de garantizar la
vigencia y la integridad de la poltica. Esto significa hacer seguimiento a las
tendencias de cambios (en la tecnologa, en los procesos, en las personas, en
la organizacin, en el enfoque del negocio, etc.) que puede afectar la poltica;
documentndolos en la poltica y registrando las actividades de cambio.

106
Esta etapa tambin garantiza la disponibilidad continuada de la poltica para
todas las partes afectadas por ella, al igual que el mantenimiento de la
integridad de la poltica a travs de un control de versiones efectivo.

Cuando se requieran cambios a la poltica, las etapas realizadas antes, deben
ser revistas, muy en particular las etapas de revisin, aprobacin,
comunicacin y garanta de cumplimiento.

Fase de Mantenimiento Retiro

Prescindir de la poltica cuando no se la necesite ms

Despus que la poltica ha cumplido con su finalidad y ya no es necesaria,
entonces debe ser retirada, por ejemplo en el caso de que la empresa cambi
de tecnologa a la cual se aplicaba dicha poltica, o se cre una nueva poltica
que reemplaz a una anterior.

Esta etapa corresponde a la fase de eliminacin del ciclo de vida de la
poltica, adems que es la etapa final del ciclo. Esta funcin implica retirar
una poltica superflua (innecesaria o sobrante) del inventario de polticas
activas para evitar confusiones, archivarla para futuras referencias y
documentar la informacin sobre la decisin de retirar la poltica, es decir, la
justificacin, quin la autoriz, la fecha, etc.

Como se dijo al inicio de esta seccin, estas 11 etapas deben seguirse durante el ciclo
de vida de una poltica especfica de manera obligatoria, incluso algunas de ellas
deben ser ejecutadas de manera cclica, en particular las etapas de mantenimiento,
concienciacin, monitoreo y garanta de cumplimiento.

107
Prcticas recomendadas para escribir una poltica

Sin importar que una poltica se presente formal o informalmente, sta debe incluir
12 tpicos:

1. La declaracin de la poltica (cul es la posicin de la administracin o
qu es lo que se desea regular).
2. Nombre y cargo de quien autoriza o aprueba la poltica.
3. Nombre del departamento, del grupo o de la persona que es el autor o el
proponente de la poltica.
4. Especificar a quin va dirigida la poltica, es decir, quien la debe acatar
y quin es el responsable de garantizar el cumplimiento.
5. Indicadores para saber si se cumple o no la poltica.
6. Referencias a otras polticas y regulaciones en las cuales se soporta o
con cuales tiene relacin.
7. Enunciar el proceso para solicitar excepciones.
8. Describir los pasos para solicitar cambios o actualizaciones a la poltica.
9. Explicar qu acciones se seguirn en caso de contravenir la poltica.
10. Fecha a partir de la cual tiene vigencia la poltica.
11. Fecha cuando se revisar la conveniencia y la obsolescencia de la
poltica.
12. Incluir la direccin del correo electrnico, la pgina Web (si es que la
posee) y el telfono de la o las personas que se pueden contactar en caso
de preguntas o sugerencias.

Otras prcticas que se recomiendan seguir, son:

1 Uso de lenguaje sencillo, evitar lenguaje tcnico hasta donde sea
posibile.
2 Escribir la poltica como si se fuera a utilizar siempre.
3 Escribir la poltica de tal forma que pueda leerlo cualquier miembro de
la organizacin.
108
4 Se debe evitar describir tcnicas o mtodos particulares que definan una
sola forma de hacer las cosas.
5 Cuando se requiera, hacer referencia explcita y clara a otros
departamentos de la organizacin.
6 Seguir un formato de presentacin establecido por la organizacin (si es
que la tiene).

Aspectos importantes para definir responsabilidades en el desarrollo
de polticas

En muchas ocasiones se asume que el rea de Seguridad Informtica ya sea un
grupo o un individuo sea la encargada de adelantar la mayora de las etapas en el
ciclo de vida de una poltica y que tambin acte como el proponente para la mayora
de las polticas relacionadas con la proteccin de los activos informticos.

Por diseo, el rea de Seguridad Informtica tiene la responsabilidad a largo plazo y
debe ejecutar las tareas diarias para asegurar los activos de la informacin y por
tanto, debe ser el dueo y debe ejercer el control centralizado sobre las polticas,
estndares, mejores prcticas, procedimientos y guas relacionados con seguridad
informtica.

Pero en ningn caso, el rea de Seguridad Informtica debe ser el proponente de
todas las polticas relacionadas con seguridad, ni tampoco debe realizar todas las
etapas de desarrollo en el ciclo de vida de la poltica. Por ejemplo, los dueos de los
sistemas de informacin deben tener la responsabilidad de establecer los
requerimientos necesarios para implementar las polticas de la organizacin para sus
propios sistemas. Cuando existan requerimientos de seguridad en cierto
departamento que deben cumplir con polticas de nivel superior, su proponente debe
ser el departamento que tiene inters en garantizar la efectividad de dicha poltica.

Aunque el proponente de una poltica tiene una responsabilidad continua sobre el
ciclo de vida completo de la poltica, hay varios factores que influyen sobre la
determinacin y decisin de quin o qu departamento tienen responsabilidad directa
109
para realizar etapas especficas del ciclo de vida de la poltica en una organizacin.
Entre estos factores se incluyen:

Separacin de tareas

El principio de separacin de tareas debe ser aplicado para determinar la
responsabilidad de una etapa en particular, para garantizar que los chequeos y
ajustes necesarios sean aplicados.

Para promover una perspectiva ms amplia y diferente, un directivo o un
grupo que sea independiente del proponente, debe revisar la poltica, y una
directiva superior al proponente, debe encargarse de aprobar la poltica. O,
para disminuir los posibles conflictos de intereses, se deben invitar a grupos u
organizaciones de auditoria, para que stas realicen una evaluacin
independiente del cumplimiento de las polticas para ser consistentes con el
principio de separacin de tareas.

Eficiencia

Por razones de eficiencia, departamentos diferentes al proponente deben tener
alguna responsabilidad para la realizacin de ciertas etapas del ciclo de vida
del desarrollo de una poltica. Por ejemplo, la difusin y la comunicacin de
la poltica, sera mejor realizada si se encomendara al departamento
encargado de estas funciones dentro de la organizacin, por ejemplo: la
Secretara.

Por otra parte, los esfuerzos de concienciacin seran asignados a un
departamento de capacitacin, en este saco sera el Departamento de
Recursos Humanos an cuando ocurrir que el personal de dicho
departamento no est capacitado especficamente para la labor de
concienciacin de la poltica de seguridad . En este ltimo caso, sera mejor
que desarrolle sta tarea el Departamento de Informtica.
110
Alcance del control

Normalmente, el proponente de la poltica slo puede jugar un papel limitado
en el monitoreo y en la garanta del cumplimiento de la poltica debido a que
l no puede estar en todos los sitios en todo momento, donde sta debe ser
implementada.

Los directores de cada departamento, por su ubicacin jerrquica, estn cerca
de las personas (empleados o clientes) a quienes afectan la poltica de
seguridad y por tanto estn en una mejor posicin para monitorear de manera
efectiva y garantizar el cumplimiento de la poltica. Por tanto, deben asumir
la responsabilidad de estas etapas. Estos funcionarios pueden garantizar que
la poltica est siendo seguida y que las contravenciones se manejan de
manera adecuada.

Autoridad

La efectividad de una poltica, a menudo, puede ser juzgada por su visibilidad
y el nfasis que la administracin de la organizacin coloque. La efectividad
de una poltica, en muchos casos, depende de la autoridad en la cual la
poltica se soporta.
Para que una poltica tenga un soporte en toda la organizacin, el directivo
que la aprueba debe tener un reconocido grado de autoridad sobre una gran
parte de la organizacin. En consecuencia, la aceptacin y el cumplimiento de
las polticas de seguridad informtica tienen mayor probabilidad de darse
cuando la autoridad que las aprueba es de nivel superior.

Conocimiento

La ubicacin del proponente en la organizacin puede inducir a deficiencias
en el conocimiento del entorno en el cual la poltica ser implementada,
entorpeciendo su efectividad.
111

El empleo de un comit que realice la evaluacin de polticas puede ofrecer
un entendimiento ms amplio de las operaciones que afectar la poltica. Un
organismo de este tipo puede ayudar a garantizar que la poltica sea escrita
con el fin de promover su aceptacin y su implementacin exitosa y pueda ser
til para prever problemas de implementacin y para evaluar efectivamente
situaciones donde excepciones a la poltica pueden ser justificadas.

De acuerdo con el alcance de la poltica, la labor de evaluacin puede ser
realizada por un comit perteneciente a la organizacin.
Aplicabilidad

Finalmente, a aplicabilidad de la poltica tambin afecta la responsabilidad en
las etapas de desarrollo del ciclo de vida de la poltica. Qu reas de la
organizacin son afectados por la poltica? La poltica se aplica a un solo
departamento, solo a usuarios de una tecnologa en particular o a toda la
organizacin?

Si la aplicabilidad de una poltica est limitada a un solo departamento,
entonces la administracin de dicho departamento debe tener su propia
poltica. Sin embargo, si la poltica es aplicable a toda la organizacin,
entonces un departamento de alto nivel debe asumir la responsabilidad en
relacin con la poltica.
Responsabilidades en el modelo de ciclo de vida de la poltica

Para garantizar que todas las etapas del ciclo de vida de la poltica sean realizadas de
manera apropiada y las responsabilidades para su ejecucin sean asignadas
adecuadamente, la organizacin debe establecer un marco de referencia para facilitar
el entendimiento, promover la aplicacin consistente, establecer una estructura
112
jerrquica para soportar mutuamente los distintos niveles de polticas, y acomodar
efectivamente los frecuentes cambios tecnolgicos y organizacionales.



1
1
3


E
T
A
P
A
P
O
L

T
I
C
A
S
E
S
T

N
D
A
R
E
S

Y

B
U
E
N
A
S

P
R

C
T
I
C
A
S

G
U

A
S

P
R
O
C
E
D
I
M
I
E
N
T
O
S

C
r
e
a
c
i

n

D
e
p
a
r
t
a
m
e
n
t
o

d
e

I
n
f
o
r
m

t
i
c
a

D
e
p
a
r
t
a
m
e
n
t
o

d
e

I
n
f
o
r
m

t
i
c
a
,

i
n
g
e
n
i
e
r
o
s

c
o
n

c
o
n
o
c
i
m
i
e
n
t
o

e
n

e
l

r
e
a

D
e
p
a
r
t
a
m
e
n
t
o

d
e

I
n
f
o
r
m

t
i
c
a
,

i
n
g
e
n
i
e
r
o
s

c
o
n

c
o
n
o
c
i
m
i
e
n
t
o

e
n

e
l

r
e
a

D
e
p
a
r
t
a
m
e
n
t
o

q
u
e

l
o
s

p
r
o
p
o
n
e

R
e
v
i
s
i

n

C
o
m
i
t

d
e

e
v
a
l
u
a
c
i

n

d
e

p
o
l

t
i
c
a
s

C
o
m
i
t

d
e

e
v
a
l
u
a
c
i

n

d
e

p
o
l

t
i
c
a
s

C
o
m
i
t

d
e

e
v
a
l
u
a
c
i

n

d
e

p
o
l

t
i
c
a
s

r
e
a

d
e

S
e
g
u
r
i
d
a
d

I
n
f
o
r
m

t
i
c
a

y

d
i
r
e
c
t
o
r

d
e

d
e
p
a
r
t
a
m
e
n
t
o

A
p
r
o
b
a
c
i

n

G
e
r
e
n
t
e

G
e
r
e
n
t
e

G
e
r
e
n
t
e

D
i
r
e
c
t
i
v
o

d
e
l

r
e
a

C
o
m
u
n
i
c
a
c
i

n

S
e
c
r
e
t
a
r

a

S
e
c
r
e
t
a
r

a

S
e
c
r
e
t
a
r

a

D
e
p
a
r
t
a
m
e
n
t
o

q
u
e

l
o
s

p
r
o
p
o
n
e

C
u
m
p
l
i
m
i
e
n
t
o

E
m
p
l
e
a
d
o
s

y

p
e
r
s
o
n
a
l

a
d
m
i
n
i
s
t
r
a
t
i
v
o

E
m
p
l
e
a
d
o
s

y

p
e
r
s
o
n
a
l

a
d
m
i
n
i
s
t
r
a
t
i
v
o

E
m
p
l
e
a
d
o
s

y

p
e
r
s
o
n
a
l

a
d
m
i
n
i
s
t
r
a
t
i
v
o

E
m
p
l
e
a
d
o
s

y

p
e
r
s
o
n
a
l

a
d
m
i
n
i
s
t
r
a
t
i
v
o

E
x
c
e
p
c
i
o
n
e
s

C
o
m
i
t

d
e

e
v
a
l
u
a
c
i

n

d
e

p
o
l

t
i
c
a
s

C
o
m
i
t

d
e

e
v
a
l
u
a
c
i

n

d
e

p
o
l

t
i
c
a
s

N
o

a
p
l
i
c
a

D
i
r
e
c
t
i
v
o

d
e
l

r
e
a

C
o
n
c
i
e
n
c
i
a
c
i

r
e
a

d
e

S
e
g
u
r
i
d
a
d

I
n
f
o
r
m

t
i
c
a

y

D
e
p
a
r
t
a
m
e
n
t
o

d
e

R
e
c
u
r
s
o
s

H
u
m
a
n
o
s

r
e
a

d
e

S
e
g
u
r
i
d
a
d

I
n
f
o
r
m

t
i
c
a

y

D
e
p
a
r
t
a
m
e
n
t
o

d
e

R
e
c
u
r
s
o
s

H
u
m
a
n
o
s

r
e
a

d
e

S
e
g
u
r
i
d
a
d

I
n
f
o
r
m

t
i
c
a

y

D
e
p
a
r
t
a
m
e
n
t
o

d
e

R
e
c
u
r
s
o
s

H
u
m
a
n
o
s

J
e
f
e

d
e

d
e
p
a
r
t
a
m
e
n
t
o

M
o
n
i
t
o
r
e
o

F
u
n
c
i
o
n
a
r
i
o
s

c
o
n

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

s
u
p
e
r
v
i
s
i

n
,

r
e
a

d
e

S
e
g
u
r
i
d
a
d

I
n
f
o
r
m

t
i
c
a

y

g
r
u
p
o
s

d
e

a
u
d
i
t
o
r
i
a

F
u
n
c
i
o
n
a
r
i
o
s

c
o
n

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

s
u
p
e
r
v
i
s
i

n
,

r
e
a

d
e

S
e
g
u
r
i
d
a
d

I
n
f
o
r
m

t
i
c
a

y

g
r
u
p
o
s

d
e

a
u
d
i
t
o
r
i
a

F
u
n
c
i
o
n
a
r
i
o
s

c
o
n

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

s
u
p
e
r
v
i
s
i

n
,

r
e
a

d
e

S
e
g
u
r
i
d
a
d

I
n
f
o
r
m

t
i
c
a

y

g
r
u
p
o
s

d
e

a
u
d
i
t
o
r
i
a

F
u
n
c
i
o
n
a
r
i
o
s

c
o
n

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

s
u
p
e
r
v
i
s
i

n

y

p
e
r
s
o
n
a
s

a
s
i
g
n
a
d
a
s

d
e
n
t
r
o

d
e
l

d
e
p
a
r
t
a
m
e
n
t
o
,

r
e
a

d
e

S
e
g
u
r
i
d
a
d

I
n
f
o
r
m

t
i
c
a

y

g
r
u
p
o
s

d
e

a
u
d
i
t
o
r
i
a

G
a
r
a
n
t
i
z
a
r

c
u
m
p
l
i
m
i
e
n
t
o

F
u
n
c
i
o
n
a
r
i
o
s

c
o
n

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

s
u
p
e
r
v
i
s
i

n

F
u
n
c
i
o
n
a
r
i
o
s

c
o
n

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

s
u
p
e
r
v
i
s
i

n

N
o

a
p
l
i
c
a

F
u
n
c
i
o
n
a
r
i
o
s

c
o
n

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d
e
s

d
e

s
u
p
e
r
v
i
s
i

n

a
s
i
g
n
a
d
o
s

e
n

e
l

d
e
p
a
r
t
a
m
e
n
t
o

M
a
n
t
e
n
i
m
i
e
n
t
o

D
e
p
a
r
t
a
m
e
n
t
o

d
e

I
n
f
o
r
m

t
i
c
a

D
e
p
a
r
t
a
m
e
n
t
o

d
e

I
n
f
o
r
m

t
i
c
a

D
e
p
a
r
t
a
m
e
n
t
o

d
e

I
n
f
o
r
m

t
i
c
a

D
e
p
a
r
t
a
m
e
n
t
o

q
u
e

l
o
s

p
r
o
p
o
n
e

R
e
t
i
r
o

D
e
p
a
r
t
a
m
e
n
t
o

d
e

I
n
f
o
r
m

t
i
c
a

D
e
p
a
r
t
a
m
e
n
t
o

d
e

I
n
f
o
r
m

t
i
c
a

D
e
p
a
r
t
a
m
e
n
t
o

d
e

I
n
f
o
r
m

t
i
c
a

D
e
p
a
r
t
a
m
e
n
t
o

q
u
e

l
o
s

p
r
o
p
o
n
e

M
o
d
e
l
o

d
e

r
e
s
p
o
n
s
a
b
i
l
i
d
a
d

p
o
r

e
t
a
p
a

p
a
r
a

c
a
d
a

t
i
p
o

d
e

p
o
l

t
i
c
a


114
El cuadro anterior proporciona una orientacin para asignar responsabilidades a cada
etapa de desarrollo de una poltica de acuerdo al nivel de requerimiento. En general,
este modelo propone que la responsabilidad para las etapas relacionadas con las
polticas, estndares, mejores prcticas y guas seas similares en muchos aspectos.
El rea de Seguridad Informtica debe servir como proponente para la mayora de
polticas, estndares, mejores prcticas y guas relacionadas con la seguridad de los
recursos de informacin de la organizacin, en colaboracin con profesionales que
tengan conocimientos en el rea tcnica especfica.

Dentro de sus posibilidades, el rea de Seguridad Informtica debe realizar las
etapas de creacin, concienciacin, mantenimiento y retiro para las polticas de
seguridad de cada nivel. Sin embargo, hay excepciones a este principio general, por
ejemplo: aun cuando tiene un impacto importante sobre la seguridad informtica, es
ms eficiente que el Departamento de Recursos Humanos sea quien proponga las
polticas y los estndares relacionados con seguridad informtica para contratar
nuevo empleados.

Las responsabilidades para las etapas relacionadas con el desarrollo de
procedimientos de seguridad son diferentes de las propuestas para las polticas,
estndares, mejores prcticas y guas. El cuadro anterior muestra que los
proponentes para los procedimientos estn por fuera del rea de Seguridad
Informtica (un enfoque descentralizado), basados en la aplicabilidad limitada de
dichos procedimientos a cierto departamento. Aunque los procedimientos se crean e
implementan de manera descentralizada (en varias etapas), estos deben ser
consistentes con las polticas de seguridad de mayor nivel; por tanto deben ser
revisados por el rea de Seguridad Informtica de la organizacin al igual que por el
funcionario superior del departamento. Adicionalmente, el Departamento de
Seguridad y los grupos de auditoria deben ofrecer retroalimentacin al proponente
sobre el cumplimiento de los procedimientos cuando se estn conduciendo revisiones
y auditorias.

La asignacin de responsabilidades mostrada en el cuadro anterior se entiende mejor
si se explora el modelo propuesto de acuerdo con las etapas del ciclo de vida:

115
Creacin. En la mayora de las organizaciones rea de Seguridad Informtica
debe servir como proponente de todas las polticas relacionadas con seguridad
que engloban toda la organizacin y debe ser la responsable para crear estas
polticas, estndares, mejores prcticas y guas. Con el fin de garantizar la
pertinencia de las polticas, es recomendable que en la organizacin estas
polticas sean elaboradas en conjunto con los profesionales conocedores del
rea tcnica especfica. Sin embargo, las actividades necesarias, para
implementar guas y requerimientos de alto nivel deben ser realizadas por
cada departamento proponente para la cual los procedimientos aplicarn ya
que son especficos a la estructura y a la operacin del departamento
especfico.

Revisin. El establecimiento de un comit de evaluacin de polticas
proporciona un foro de amplio espectro para revisar y evaluar la viabilidad de
polticas, estndares, mejores prcticas y guas que afectan a toda la
organizacin. La responsabilidad del comit de evaluacin es garantizar que
las POLTICAS, ESTNDARES, mejores prcticas y guas estn bien
redactadas, sean comprensibles, estn coordinadas y sean viables en trminos
de las personas, procesos y tecnologas que afecta. Debido al volumen y el
nmero de departamentos involucrados, es muy probable que un comit
central de evaluacin de polticas no pueda revisar todos los procedimientos
desarrollados por todos los departamentos proponentes. Sin embargo, los
procedimientos requieren una revisin similar y el proponente debe buscar un
igual que los revise o disear un proceso de revisin por otros departamentos
o, en ltimo caso, solicitar una revisin por el rea de Seguridad Informtica.

Aprobacin. La diferencia ms importante entre las responsabilidades con las
polticas, con los estndares, con las mejores prcticas o con las guas, es el
nivel de aprobacin requerido para cada uno y el alcance de su
implementacin. Las polticas de seguridad que afectan toda la organizacin
deben ser firmadas por el gerente para garantizar el nivel necesario de nfasis
y visibilidad a estas (quiz el tipo ms importante de polticas). Ya que los
estndares, las mejores prcticas y las guas son diseadas para cumplir una
poltica especfica, estos deben ser aprobados con la firma de un directivo
116
subordinado del gerente, quien tendr la responsabilidad de implementar la
poltica. El director de informtica, normalmente, ser el responsable de
aprobar este tipo de polticas. Igualmente, los procedimientos de seguridad
deben ser aprobados por la directiva que tiene la responsabilidad
administrativa directa del departamento para el cual aplican dichos
procedimientos.

Comunicacin. La Secretara debera asumir la responsabilidad de la etapa de
comunicacin de las polticas que aplican a toda la organizacin. Cuando sea
una poltica que no cubra toda la entidad, el proponente debe asumir la
responsabilidad de comunicar los procedimientos de seguridad, pero hasta
donde sea posible debe buscar el apoyo de la Secretara.

Cumplimiento. Los mandos medios y empleados para quienes las polticas de
seguridad son aplicables son los principales jugadores en la implementacin y
garanta inicial del cumplimiento de polticas que hayan sido publicadas
recientemente. En el caso de las polticas, estndares, mejores prcticas y
guas que afectan a toda la organizacin, esta responsabilidad se extiende a
todos los funcionarios con responsabilidades de supervisin, empleados, y
personal administrativo a quien aplique. En relacin con los procedimientos
de seguridad, esta responsabilidad estar limitada a los jefes y a los empleados
del departamento donde apliquen los procedimientos.

Excepciones. En todos los niveles de una organizacin, habr situaciones
potenciales que impedirn el cumplimiento total de una poltica. Es importante
que el proponente de la poltica o un individuo o grupo con una autoridad
igual o superior revise las excepciones. El comit de evaluacin de polticas
puede ser efectivo en investigar las solicitudes de excepciones recibidas de los
departamentos que no pueden cumplir con polticas, estndares, y mejores
prcticas. Ya que las guas son, por definicin, recomendaciones o
sugerencias y no son obligatorias; solicitudes formales de excepcin en su
aplicacin no son necesarias (aunque es recomendable que existan argumentos
documentados y aprobados para no seguirlas). En el caso de los
117
procedimientos de seguridad, el directivo que aprob el procedimiento debe
tambin servir como autoridad para aprobar las excepciones relacionadas.

Concienciacin. Para la mayora de organizaciones, el rea de Seguridad
Informtica est idealmente ubicada para administrar la etapa de
concienciacin en seguridad y debe por tanto tener la responsabilidad de esta
etapa en el caso de las polticas, estndares, mejores prcticas y guas que
afectan a toda la organizacin. Sin embargo, el equipo de seguridad
informtica debe realizar esta etapa en coordinacin con el departamento de
Recursos Humanos (capacitacin) de la organizacin para garantizar unidad
en el esfuerzo y en el ptimo uso de los recursos. El directivo o jefe de
departamento proponente de los procedimientos debe responsabilizarse para
concienciar a los empleados de los procedimientos de seguridad que estn a su
cargo. Dentro de lo posible, esto debe ser realizado con el consejo y la
asistencia del rea de Seguridad Informtica.

Monitoreo. La responsabilidad para monitorear el cumplimiento de las
polticas, estndares, mejores prcticas y guas que son aplicables a toda la
organizacin es compartida entre los empleados, directivos, jefes
departamentales, grupos de auditoria y el rea de Seguridad Informtica.
Cada empleado que est sujeto a los requerimientos de seguridad debe ayudar
en el monitoreo del cumplimiento reportando las desviaciones que observe.
Aunque no deberan estar involucrados en la garanta de cumplimiento de las
polticas, el rea de Seguridad Informtica y los grupos de auditoria pueden
jugar un papel importante en el cumplimiento del monitoreo. Incluye el
cumplimiento del monitoreo de procedimientos propios de departamentos
mediante reportes de las contravenciones dirigidos al proponente con el fin de
que se adelante la accin apropiada.

Garanta de cumplimiento. La responsabilidad de garantizar el
cumplimiento de los requerimientos de seguridad est en los funcionarios con
responsabilidades de supervisin sobre los empleados afectados por la
poltica. Por supuesto, esto no aplica para las guas, que por diseo no son
obligatorias. Los jefes responsables de los departamentos en las cuales se
118
aplican los procedimientos de seguridad son los garantes de su cumplimiento.
La regla general es que cada persona que tenga autoridad para supervisar a
otras personas debe ser el funcionario que garantice el cumplimiento de la
poltica de seguridad. Por tanto, en ningn caso el rea de Seguridad
Informtica ni los grupos de auditoria deben asignrsele autoridad en lugar
de o en adicin a el jefe. Aunque el rea de Seguridad Informtica no
debe estar involucrado directamente en las acciones de garanta de
cumplimiento, es importante que est enterada, para reportar las acciones
correctivas de tal forma que esta informacin pueda ser integrada en los
esfuerzos de la etapa de concienciacin.

Mantenimiento. Debido a su responsabilidad en el programa de seguridad
informtica de la organizacin, el rea de Seguridad Informtica es la que
mejor est posicionada para dar seguimiento a las polticas, estndares,
mejores prcticas y guas que tengan aplicabilidad en toda la organizacin
para garantizar que estn actualizadas y disponibles a todos los afectados. En
los niveles inferiores de la organizacin, el departamento proponente, como
dueo de los procedimientos de seguridad, debe realizar el mantenimiento de
los procedimientos que ellos desarrollaron.

Retiro. Cuando una poltica, estndar, mejor prctica o gua no se necesita
ms, debe ser retirada. El proponente del requerimiento debe tener la
responsabilidad de retirarlo. Normalmente el equipo de seguridad informtica
realizar esta funcin con las polticas de seguridad que afectan toda la
organizacin, en tanto el departamento que es el dueo de los procedimientos
de seguridad debe tener la responsabilidad de retirar el procedimiento.

119
Creacin de Polticas de Seguridad
Polticas de seguridad para ambientes fsicos
1

Para un mejor entendimiento de estas polticas, subdividiremos las reas fsicas en
reas de impacto, en otras palabras, en donde puede surgir un problema de seguridad,
las reas se conformarn de la siguiente manera:

El edificio
El entorno fsico del hardware

El edificio

El estudio del edificio donde se encuentra ubicado el hardware y los dispositivos que
han de soportar nuestras aplicaciones es el primer paso en cualquier estudio de
seguridad fsica, y tambin suele ser el ms problemtico, puesto que nos
encontramos con un entorno ya construido, no modificable y que suele tener un uso
compartido por nuestros sistemas hardware y otro tipo de sistemas. Se intentar
siempre resaltar todos los fallos de seguridad que se puedan encontrar, y se tendr en
cuenta si estos son subsanables o inherentes a la estructura del edificio. En cualquier
caso se realizar un informe de las posibilidades de modificacin para subsanar fallos
y de las precauciones que sea posible tomar para minimizar los riesgos de seguridad
fsica cuando no sea posible subsanarlos.

Los suministros de energa del edificio

El primero de los puntos que debemos observar al realizar el estudio del edificio es el
suministro de energa. Debemos centrarnos en los sistemas de suministro de energa



1
LPEZ HERNNDEZ, Jos Mara. Seguridad Fsica COMO. S/L. S/F.
120
que puedan afectar a los sistemas que queremos proteger, dejando de lado otras
consideraciones como la disponibilidad de servicios para el personal y similares. Por
ejemplo es asunto nuestro la disponibilidad de aire acondicionado en la Sala de
Computacin, pero no lo es la disponibilidad en la Sala de Reuniones.

Por otro lado deberemos observar la disponibilidad del suministro de energa a
nuestro edificio, teniendo en cuenta la redundancia que pueda tener la red elctrica y
por tanto nuestro suministro elctrico. Esta informacin es posible obtenerla
llamando al telfono de informacin de la compaa elctrica, que nos informar de
la redundancia de la red para nuestro sector en concreto, que suele depender del
nmero de lneas de media o alta tensin de que disponga la compaa en la
subestacin para proveer de energa al sector donde se encuentre nuestro edificio.
Este es un punto donde no podemos actuar de ninguna forma, simplemente podemos
advertir a la empresa para la que realizamos el trabajo de consultora de las
posibilidades de que se produzca un corte elctrico general.

La opcin ms comn para proporcionar redundancia en el sistema de suministro de
energa es la utilizacin de generadores elctricos (grupos electrgenos), que
funcionan con combustible y pueden proporcionar energa a todo un edificio durante
un periodo largo de tiempo durante un corte de energa o una interrupcin del
suministro por un desastre natural. Estos sistemas son bastante comunes en los
hospitales y son una buena opcin (aunque cara) de asegurar el suministro de energa
elctrica.

Otro punto a comprobar debe ser la posibilidad de que un intruso malintencionado
quiera cortar nuestro suministro elctrico. Para esto debe de comprobarse que no es
fcil el acceso a los cables que proporcionan energa elctrica al edificio, por lo
menos en un recorrido razonable desde nuestro edificio hasta la caja de conexiones
ms cercana.

Es imprescindible comprobar que existen todos los dispositivos de proteccin
necesarios para el edificio y la disponibilidad de estos para todo el edificio y para
cada planta de este, de forma que pueda aislarse un problema elctrico lo mximo
que sea posible. Idealmente deberamos tener protecciones en cada planta e incluso
121
en cada seccin de cada planta, de forma que un problema elctrico afecte lo mnimo
posible a los sistemas de hardware y a la red. Los sistemas que consuman gran
potencia, como los grandes sistemas UPS deberan tener su propia proteccin,
normalmente interna en forma de fusibles u otro tipo de protecciones.

Todos los dispositivos de proteccin deben estar homologados y la instalacin debe
cumplir con el reglamento de baja tensin del pas. Esto nos asegurar una cierta
proteccin contra dispositivos e instalaciones defectuosos. Es importante asegurarnos
de que la instalacin elctrica cumple estas condiciones, solicitando la
documentacin necesaria para comprobarlo. En casos muy crticos se puede contratar
a especialistas en sistemas elctricos que realicen un estudio elctrico del edificio,
del suministro y de las protecciones.

Los enlaces de comunicaciones del edificio

El caso de los sistemas de comunicaciones del edificio es similar al del suministro
elctrico, deberemos buscar la mayor seguridad y proteccin en los sistemas y
adems siempre que sea posible tener redundancia en los sistemas de
comunicaciones para prever el caso de que uno de los enlaces falle.

Los sistemas de comunicaciones suelen ser de dos tipos: pblicos y privados. La
mayora de los edificios usarn sistemas pblicos de comunicaciones, como puede
ser la red telefnica para el transporte de voz y datos o las conexiones
ADSL/DSL/Cable/etc., que usan medios compartidos para la transmisin de datos.
Es mucho menos comn el uso de sistemas privados de comunicaciones como lneas
telefnicas o de datos dedicadas o enlaces de microondas entre edificios. Para los
sistemas pblicos debemos estudiar sobre todo si existe algn tipo de redundancia en
las comunicaciones, puesto que las compaas telefnicas que suelen ser las que
proveen los servicios no suelen proporcionar ningn tipo de certeza de que nuestras
comunicaciones van a mantenerse, por lo que estamos a expensas de las averas o
fallos que se puedan producir en las redes pblicas para tener comunicaciones. Las
comunicaciones telefnicas son necesarias para permitir el fallo de alguna de estas.

122
Tngase en cuenta que las centralillas suelen tener una nica conexin por lo que
solo proveen un enlace de comunicaciones compartido por varias lneas telefnicas,
si nos falla la conexin nos fallar el acceso telefnico de todos los sistemas
telefnicos conectados a la centralilla. Es aconsejable por tanto mantener ms de una
lnea, de forma que tengamos siempre comunicacin telefnica. Es un sistema
bastante comn en grandes edificios y no debera tener ms complicaciones. Es
bastante comn que las compaas que usan la red telefnica clsica compartan el
medio fsico para mandar los datos, medio fsico que ser propiedad pblica o de una
de las compaas, pero en cambio las compaas de cable suelen tener su propia red
para proporcionar la conectividad, por lo que puede ser interesante la contratacin de
una lnea con una compaa tradicional y otra con una compaa de cable para tener
dos redes independientes.

Para los sistemas de datos tipo ADSL/DSL/Cable debemos buscar tambin la
redundancia en los sistemas, manteniendo varias conexiones con varios proveedores
para mantener siempre un enlace de datos seguro puesto que ninguno nos asegurar
una conexin cien por cien fiable. Es necesario que el departamento de
administracin de red tenga en cuenta esta estructura para poder enrutar el trfico de
forma que si uno de los enlaces falla, los datos se transmitan por otro enlace de otra
compaa. Esta estructura de acceso a redes es muy comn en grandes instalaciones
y no debera haber problema en su estudio o en recomendar su instalacin.

Para los sistemas privados las consideraciones de seguridad son algo menos severas
que para los sistemas compartidos. La compaa que nos suministra el servicio nos
asegurar las conexiones con una tasa fija de porcentaje de fallo en el tiempo, lo que
nos permite planificar ms fcilmente la seguridad del enlace, pues tenemos la
seguridad de que el enlace se mantendr. Lo mismo se aplica para los sistemas de
comunicaciones privadas entre edificios usando microondas, donde nosotros mismos
podemos asegurar la comunicacin y no dependemos de la disponibilidad de una red
pblica. Para estos sistemas privados se puede realizar un estudio contratando a
personal especializado en el estudio de estos enlaces y en su ajuste. Siempre es
aconsejable complementar estos sistemas privados con un sistema de comunicacin
pblico para proporcionar redundancia en el caso de que nuestro enlace falle.

123
Los accesos fsicos al edificio

Debemos tener en cuenta que el edificio tiene una serie de accesos obvios y otros no
tan obvios que un intruso puede usar para entrar en nuestras instalaciones. Los
obvios son las puertas principales de acceso y las ventanas que se encuentran
cercanas a la calle. Los no tan obvios son las puertas de servicio, las ventanas
superiores, los accesos de mantenimiento o los sistemas de ventilacin o calefaccin.

Debemos realizar un estudio de la estructura del edificio, incluyendo si es necesario
el estudio de los planos arquitectnicos de este si es necesario. Es imprescindible ser
paranoicos en este aspecto de la seguridad fsica del edificio, puesto que un intruso
dentro del edificio es la mayor amenaza que podemos tener, incluso con todos
nuestros sistemas de seguridad fsica desplegados. Nuestros sistemas de seguridad
fsica pueden ser difciles de sobrepasar, pero un intruso con el suficiente tiempo y
que pueda usar la fuerza bruta sobre nuestros armarios o racks sin ser detectado
tendr siempre todas las de ganar.

Debemos por todos los medios impedir el acceso a los potenciales intrusos, ya sea
mediante la utilizacin de rejillas resistentes en las zonas de acceso y cerraduras de
seguridad en las puertas y ventanas de acceso, o ya sea mediante la contratacin de
una vigilancia suficiente para asegurar que ningn intruso pueda acceder al edificio
sin que sea detectado. El nivel de paranoia que debemos emplear para aconsejar estas
medidas de seguridad es directamente proporcional a lo crticos que sean los datos
que debemos proteger. No es lo mismo un simple edificio de oficinas que la central
de un banco, por ejemplo. En el primero aconsejaremos cerraduras de seguridad,
rejillas y vigilancia general del edificio, en el segundo aconsejaremos todo tipo de
medidas de seguridad fsicas como puertas blindadas, rejas de acero o rejillas
soldadas, y adems vigilancia mediante personas y cmaras en cada una de las
plantas del edificio y sobre todo en las salas de mquinas que puedan contener datos
crticos o sistemas que puedan dejar el sistema de computacin del edificio
inutilizado.

Podemos realizar una distincin entre la vigilancia en horas de oficina y cuando el
edificio est cerrado. En las primeras centraremos nuestra atencin en la vigilancia
124
de los accesos al edificio, utilizando tarjetas de identificacin para nuestros
empleados y para el personal que deba acceder a zonas con seguridad y controlando
a todas las personas que entren y salgan del edificio. Cuando el edificio est cerrado
centraremos nuestra atencin en la vigilancia por medio de cmaras, en los accesos
menos obvios al edificio y en las posibilidades de que un intruso pueda forzar algn
medio de entrada al edificio.

Es posible contratar a un especialista en puertas y cerraduras para comprobar la
seguridad de los accesos al edificio y dentro del edificio.

El acceso al centro de computacin

Si contamos en el edificio con un centro de computacin o datacenter deberemos
comprobar la seguridad fsica especfica de esa habitacin en concreto, por ser esta
crtica para nuestros sistemas. Un centro de computacin debe tener unas
caractersticas especiales en cuanto a seguridad que no son necesarias en otros puntos
del edificio. Debe tener un sistema de acceso suficientemente seguro,
preferiblemente con una puerta blindada y siempre que sea posible con personal de
vigilancia que compruebe el acceso por medio de tarjetas de identificacin o medios
similares. Tambin es posible el uso de sistemas de identificacin biomtrica. El
acceso fsico debe ser todo lo seguro que sea posible, vigilando que la puerta sea lo
suficientemente slida y la cerradura los suficientemente segura. No es difcil el
estudio de seguridad fsica del acceso a un data center, pero es complicado el crear
un sistema seguro de control de acceso, siendo aconsejable el tener personal de
vigilancia que compruebe las identificaciones de forma inequvoca y que apunte en
un sistema todos los accesos que se produzcan al data center.

En cuanto a la estructura fsica deberemos tener un suministro elctrico asegurado,
para lo que tomaremos las medidas que hemos indicado ms arriba para el edificio,
incluido un panel de protecciones para el data center que pueda protegerlo y aislarlo
de otras secciones del edificio. Deberemos tener tambin un sistema de conexin a la
red corporativa asegurado, mediante varias conexiones redundantes que permitan que
una falle y que el edificio pueda seguir accediendo al centro de computacin. Si el
125
sistema debe tener conexin a redes pblicas se proporcionar una conexin
redundante que permita el fallo de al menos una de las vas de acceso.

Es imprescindible un sistema de aire acondicionado si tenemos suficiente hardware
en el centro de computacin. Es aconsejable tener algn mtodo de monitorizacin
de la temperatura y la humedad de la sala para mantener unas condiciones ptimas
para los equipos que mantengamos en la sala de computacin. Tambin es
imprescindible un sistema de deteccin de incendios, que pueda avisar rpidamente
al personal encargado si se produce algn incendio en la sala. Siempre que sea
posible se tendr alimentacin redundante para todo el sistema de computacin y
luego para cada equipo en particular.

La seguridad contra incendios y otros desastres

Los sistemas de seguridad contra incendios y otros desastres naturales deben ser
instalados normalmente cuando el edificio es construido, y son difciles de instalar
despus. En nuestro caso estudiaremos la disponibilidad de sistemas de deteccin y
prevencin de incendios, de rotura de tuberas o escapes de agua.

Los sistemas de deteccin de incendios pueden ser instalados despus de construido
el edificio y no suponen una gran inversin, pueden avisar rpidamente de pequeos
incendios y permitir al personal el sofocarlos antes de que alcancen mayor entidad.
Puesto que el agua es enemigo del hardware informtico no podemos implantar
ningn tipo de sistema para sofocar incendios basados en agua, es preferible el
comprobar que se dispone de suficientes extintores de CO2 o de espuma.

Como hemos dicho otro problema para el hardware informtico es el agua. La rotura
de una tubera puede producir un verdadero desastre en el sistema informtico de una
empresa, estropeando todos los sistemas de una red, por lo que es aconsejable la
instalacin de detectores de lquidos a ras de suelo para detectar rpidamente
cualquier fuga de agua.

126
En cualquier caso siempre que tengamos un sistema de computacin lo
suficientemente crtico ninguno de estos sistemas puede sustituir al personal de
vigilancia, que deber velar por la seguridad fsica de los sistemas tambin en estos
aspectos, para lo que deber tener una serie de protocolos claros a seguir cuando se
produce una de estas contingencias.
Planes de evacuacin del personal

Consideraciones ticas aparte debemos tener en cuenta que una parte esencial del
sistema computacional de una empresa o edificio son los administradores, las
personas que usan el sistema y en general los empleados de la empresa. Por eso
dentro del estudio de la seguridad fsica del sistema debemos tener en cuenta a las
personas, manteniendo una serie de planes claros e inequvocos de evacuacin de
estos si se produce cualquier tipo de desastre dentro del edificio. Tenemos que
estudiar los planes existentes para este tipo de evacuaciones, teniendo en cuenta que
sean realmente aplicables en un momento de desconcierto general como puede ser un
incendio y que sean el mximo de eficaces.

Seguridad fsica de los respaldos

De nada sirve mantener un perfecto sistema de backups si cuando es necesario
restaurarlos estos no estn disponibles. La seguridad fsica de las cintas o
dispositivos de backup debe ser una preocupacin para un administrador en
seguridad fsica, y por tanto se debe tener previsto cualquier incidente que se pueda
producir, como incendios, terremotos, robos y as cualquier evento que se nos pueda
ocurrir.

Los armarios ignfugos son eficaces hasta cierto punto contra los incendios. Si estos
son de pequea magnitud probablemente nuestros backups sobrevivirn, pero si
tenemos un incendio de cierta magnitud, la temperatura que se alcanzar dentro del
armario destruir los datos de los backups, por lo que son slo relativamente eficaces
contra este tipo de eventos. Lo mismo es aplicable para los terremotos y otros
accidentes naturales.

127
El sistema ms eficaz para mantener los backups seguros es mantenerlos fuera del
edificio, o al menos mantener una copia de estos, ya sea en otro edificio o en un
centro de almacenamiento de backups. Estos ltimos son centros que proporcionan
almacenamiento de las cintas de backup con todas las medidas de seguridad fsica
imaginables y que son una buena alternativa al mantenimiento de los backups cerca
de las mquinas de las que se ha hecho backup. Puede contratarse uno de estos
servicios y mandar los backups o copias de estos a uno de estos servicios, que velar
por la seguridad de nuestros backups. Normalmente este tipo de servicios se encarga
de ir a la empresa en los periodos de tiempo concertados para recoger las cintas de
backup.

Otra alternativa es mantener backups distribuidos, replicando los backups entre
edificios o entre sistemas informticos, para prevenir la prdida de datos por culpa de
un problema de seguridad fsica en alguno de los sistemas o edificios.

Sistemas de redundancia de servidores y almacenamiento de datos

Una opcin que siempre deberemos considerar cuando realizamos estudios de
seguridad fsica es la posibilidad de mantener varias copias de los datos e incluso
tener redundancia para los servidores corporativos. Con los nuevos sistemas de
almacenamiento distribuido es sencillo mantener los datos sincronizados en varias
localizaciones, con lo que disminuye enormemente la probabilidad de prdida de
datos. Y teniendo suficiente ancho de banda de red para interconexionar los sistemas
corporativos de varios edificios podemos tener redundancia de los servidores de
datos o aplicaciones, con lo que podremos tener la seguridad de que nuestros
sistemas informticos siempre estarn disponibles, aunque no sea en la localizacin
fsica que estamos estudiando.

La redundancia de servidores y del almacenamiento de los datos, sobre todo cuando
est situada en diferentes edificios mejora la seguridad fsica de un sistema de
computacin en gran medida, y es una opcin a tener en cuenta incluso aunque
implementemos otro tipo de sistemas de seguridad fsica en el edificio.

128
Los sistemas de gestin y los servidores de aplicaciones comerciales distribuidos son
caros y difciles de mantener hoy en da, pero es posible implementar mediante
software libre, sistemas distribuidos con precios razonables y con un gran
rendimiento. Algunas grandes empresas estn liberando bajo licencias de software
libre sistemas de gestin de datos distribuidos que pueden ser de gran ayuda en estos
casos. Para los sistemas de almacenamiento distribuido existen varias opciones tanto
de software libre como de software comercial, por lo que slo deberemos ocuparnos
de tener el sistema adecuado y el ancho de banda suficiente para poder replicar los
datos.

El nico punto de fallo con estos sistemas es el enlace de comunicacin entre los
sistemas a replicar, sobre todo cuando manejamos datos crticos. Para solucionar esto
debemos aplicar otro tipo de redundancia, tanto en los sistemas como en los enlaces
de red entre sistemas.

Control de marcado de edificios y Warchalking

En el mundo hacker es una prctica comn el marcado de edificios para indicar que
en determinado edificio es posible acceder a la red o a los datos corporativos
mediante tcnicas de hacking, sobre todo con la cada vez mayor implantacin de
tecnologa inalmbrica para la transmisin de datos, y que permite el acceso a los
datos en bruto e incluso la comunicacin desde el exterior de la empresa.

Deber estudiarse la fachada del edificio de forma que no encontremos signos de
Warchalking u otro tipo de marcado sospechoso. El Warchalking es una tcnica de
marcado que mediante smbolos realizados con tiza en la fachada de un edificio
indica que el edificio cuenta con una red wireless y las caractersticas de esta, como
pueda ser la posibilidad de obtener una IP vlida por medio de DHCP desde fuera del
edificio utilizando una porttil con una tarjeta wireless, la posibilidad de acceder a la
red interna de la empresa por este mtodo o la salida a Internet a travs de la red de la
empresa.
129
El Warchalking es extremadamente peligroso, pues expone las vulnerabilidades que
un hacker haya encontrado en nuestra red a cualquier otro intruso que pase por
delante de nuestro edificio.

La primera medida contra el marcado y el Warchalking es la implementacin de
plena seguridad en la red interna de la empresa, incluso evitando tecnologas que
permitan el acceso indiscriminado a nuestros datos desde el exterior como las redes
wireless. Como el tener plena seguridad informtica es siempre un objetivo difcil de
cumplir y debemos tener en cuenta que siempre ser necesaria la vigilancia por parte
del personal de seguridad o de control de accesos a posibles signos de marcado o
Warchalking.

Los smbolos de Warchalking cambian con el tiempo e incluso son diferentes entre
diferentes escuelas de hackers, por lo que deberemos sospechar de cualquier marca o
smbolo que encontremos en el edificio y que pueda tener algn sentido. Si
encontramos signos manifiestos de Warchalking tendremos que asumir que adems
del riesgo en la seguridad fsica que supone el Warchalking que hemos detectado
tenemos un problema de seguridad informtica, porque sabemos que alguien se ha
preocupado de marcarnos como objetivo de ataques que son en teora posibles.

El entorno fsico del hardware

Entendemos como entorno fsico del hardware el entorno en el que est situado
nuestro hardware, dispositivos de red y centros de computacin. Es el paso siguiente
en el estudio de la seguridad fsica al estudio del edificio. Supone el estudio de la
localizacin del hardware, el acceso fsico que las personas puedan tener a este, todo
el cableado que interconecta el hardware o que le provee de energa, el control de la
temperatura y dems condiciones climticas del entorno donde se encuentra el
hardware, el estudio del tipo de montaje de este hardware dentro de nuestra
infraestructura y los mtodos de administracin y gestin del hardware y de su
entorno.

130
Comunicaciones: Interconexin de redes y sistemas

En este momento del estudio de la seguridad fsica deberemos centrarnos sobre todo
en la estructura fsica general de la red y no en los dispositivos en concreto.
Deberemos comenzar estudiando el diseo de la red del edificio, observando las
troncales de red que intercomunicarn las diferentes plantas y secciones del edificio.
Intentaremos centrarnos en la estructura fsica y no lgica de la red, buscando los
puntos de fallo que puedan afectar a toda la red.

El primer paso a estudiar es buscar los puntos de fallo que puedan provocar una cada
total de la red, estudiando los grandes enrutadores que proporcionan conexin con el
exterior, donde deberemos buscar dispositivos fiables y dotados de redundancia tanto
en su estructura fsica interior como en la funcionalidad que proporcionan,
incorporando varias conexiones preferiblemente con varios proveedores que nunca
dejen a nuestra red troncal sin conexin al exterior. Se estudiar el entorno donde
estn situados los dispositivos enrutadores, observando que cumplan con todas las
normas y que dispongan de un suministro continuo y estable de energa.

El siguiente punto a estudiar es el cableado de la red, comenzando por la red troncal.
La red troncal suele ser Ethernet Grueso en sistemas antiguos y Gigabit Ethernet en
los sistemas ms modernos. En ambos casos deberemos estudiar el cableado
mediante dispositivos al efecto y observando mediante planos o esquemas como han
sido entubados y distribuidos por el edificio. En el caso de redes troncales de fibra
ptica necesitaremos instrumental especfico para el estudio de la red y de las
interconexiones que esta pueda tener, y es posible que necesitemos contratar a
personal especializado si queremos estudiar la fiabilidad del medio fsico, lo que no
suele ser necesario, pues realizando un estudio de la velocidad de conexin entre los
diferentes concentradores en cada planta o departamento y con los enrutadores que
dan conexin al exterior podremos comprobar la salud del medio fsico. Debe
estudiarse el tipo de fibra ptica instalada y la calidad del cableado, observando la
documentacin que hayan dejado los instaladores de la red troncal.

131
El tercer punto a estudiar es la posibilidad de fallo de los concentradores que
conectan la red troncal con los concentradores de los distintos departamentos o
secciones dentro del edificio. Lo ms comn es encontrar uno de estos dispositivos
por planta, al cual se conectan todos los dems concentradores proporcionando
conexin a las distintas redes departamentales del edificio. Para estos concentradores
se debern tomar las mismas precauciones que para los enrutadores principales,
proporcionando siempre que sea posible redundancia en las conexiones entre la red
troncal y los concentradores de las redes departamentales.

El cuarto punto son los concentradores que interconectan las redes locales
departamentales con los concentradores conectados a la red troncal. Estos
dispositivos son menos crticos que los anteriores, puesto que un fallo en ellos slo
afectara a la red local departamental a la que proveen conexin. Para estos
concentradores no suele ser necesario proporcionar redundancia, simplemente
cuidaremos de que se encuentran en un entorno no hostil y correctamente
alimentados.

Para todos los dispositivos indicados se estudiar su ubicacin y el acceso que un
intruso pueda tener a ellos, sobre todo deberemos tener control de acceso a los
enrutadores principales y tambin a los concentradores de cada planta, que son
crticos en la seguridad fsica de todo el sistema.

Se deber estudiar tambin la posibilidad de que un intruso malintencionado
provoque algn tipo de fallo en la red cortando el cableado de red o manipulando
alguno de los dispositivos de red. Contra la contingencia de un corte en el cableado
de red es interesante la posibilidad en edificios nuevos de que el cableado de red sea
integrado en la estructura del edificio, aunque esto siempre supondr una merma en
las posibilidades de ampliacin de la red. En otro caso deberemos procurar que los
cables de red estn lo ms agrupados posible para facilitar su vigilancia. Se
entubarn siempre que sea posible los cables de red utilizando medios rgidos que no
sean fciles de seccionar. Los dispositivos de red estarn tambin agrupados y
preferiblemente protegidos en armarios ignfugos o racks con ventilacin suficiente
que permita una fcil vigilancia.

132
Acceso fsico al hardware

El acceso fsico al hardware sea este computadoras o dispositivos de red deber ser
restringido, teniendo en cuenta las necesidades de cada departamento o usuario. Se
debe hacer aqu una distincin entre los equipos de red y servidores departamentales
o corporativos y las mquinas de usuario final.

Los equipos de red importantes como routers, pasarelas y concentradores debern
estar en un lugar donde exista un control de acceso, ya sea mediante vigilancia por
medio de personas o mediante el aislamiento de las salas o armarios donde estos se
encuentren por medio de cerraduras o sistemas de control de acceso mediante
tarjetas, claves o control biomtrico. Para cada acceso deber reflejarse una entrada
en un sistema de control que puede ser desde un simple libro donde se vayan
apuntando las personas y el acceso que han tenido a los equipos hasta un sistema
informtico que deje reflejado en sus logs el acceso al hardware y quien lo ha hecho.
Es importante controlar y reflejar siempre en los apuntes quien ha accedido al
hardware, con que motivo y las modificaciones fsicas o lgicas que en su caso pueda
haber realizado sobre este hardware. Los dispositivos de red que permitan un acceso
remoto debern ser protegidos por medio de claves y cortafuegos para limitar el
acceso a las personas que tienen a su cargo la administracin de estos sistemas. Se
deber prever la posibilidad de que intrusos o atacantes intenten cambiar la
configuracin del hardware de red, sobre todo en el caso de enrutadores y
concentradores que proporcionen funcionalidad de VPN, para esto se seguirn las
medidas de seguridad informtica indicadas para cada caso, que dependern del tipo
de dispositivo y de sus posibilidades de configuracin. Es esencial el control fsico
de estos dispositivos porque algunos de ellos permiten el acceso a la configuracin
por medio de conexin a puertos serie y proporcionan una seguridad menor cuando
se accede de esta forma. Se deber prever tambin la posibilidad de atacantes con el
tiempo suficiente para realizar ataques de fuerza bruta sobre las claves de los
sistemas o denegaciones de servicio por medio de envo de trfico masivo o
construido contra los dispositivos. Se debe prever tambin la posibilidad hoy en da
de que estos dispositivos sean hackeados, pues muchos de estos dispositivos tienen
su propio sistema operativo o estn directamente basados en hardware estndar que
es ms susceptible a ser atacado por medio de ataques informticos. Incluso las ms
133
modernas impresoras lser cuentan con su propio sistema operativo, que puede ser
hackeado y que puede proveer a un atacante de un medio de acceso a la red
prcticamente no tenido nunca en cuenta por los administradores encargados de la
seguridad.

Para los servidores departamentales o corporativos se deber tener en cuenta las
mismas premisas que para los dispositivos de red y adems las propias de cualquier
computadora que necesite una seguridad fsica e informtica. Se tendr en cuenta
tambin la localizacin fsica de las mquinas y en su caso se proveer el mismo
control de acceso que para los dispositivos de red importantes.

Una de las medidas ms eficaces contra los ataques tanto fsicos como informticos
sobre todo este tipo de sistemas es la monitorizacin continua de los dispositivos
mediante sistemas de monitorizacin basados en hardware o software. Los
administradores de la red y de los servidores debern mantener bajo observacin
estos dispositivos mediante esta monitorizacin buscando fallos y deber evaluarse
en cada caso si el fallo ha sido fortuito o se ha debido a algn tipo de manipulacin
sobre el hardware o sobre el software de los dispositivos.

Las mquinas de usuario final donde han de trabajar los empleados son
paradjicamente las ms importantes y las mas difciles de proteger, porque
normalmente han de estar situadas en el entorno del usuario, donde estn expuestas a
los errores o manipulaciones que un usuario poco cuidadoso o mal informado pueda
realizar sobre ellas. A nivel corporativo puede ser interesante algn tipo de
monitorizacin tambin de estas mquinas para detectar fallos o manipulaciones del
hardware o el software. La localizacin de estas mquinas deber ser idealmente
centralizada, en forma de racks o de armarios donde se agrupen las mquinas y
donde se pueda controlar el acceso a estas, siempre que los usuarios finales no deban
manipular fsicamente las mquinas, como en el caso de utilizacin de lectores de
CD-ROM, grabadoras de CDs o disqueteras. Se intentar siempre que sea posible
que el usuario final trabaje de forma remota sobre los servidores de la empresa,
implementando soluciones de acceso remoto a las aplicaciones y los datos, o
manteniendo como hemos dicho las mquinas en una localizacin segura donde el
usuario no pueda manipularlas.
134
Localizacin fsica del hardware

La localizacin fsica del hardware puede afectar enormemente a la seguridad fsica
del sistema, pues un sistema donde las mquinas estn expuestas a la manipulacin
del usuario final o de supuestos intrusos ser un sistema poco seguro. Es aconsejable
mantener los dispositivos de red y los servidores en un lugar centralizado, idealmente
un centro de datos donde podamos tener las medidas de seguridad fsica y donde el
control de acceso permita saber quien, cuando y porqu ha accedido fsicamente a
alguno de los dispositivos.

Se aconseja el uso de armarios ignfugos correctamente ventilados con racks donde
se instalarn los dispositivos de red y los servidores, correctamente cableados y
teniendo en cuenta la seguridad fsica de este cableado. Estos armarios deben tener
cerraduras lo suficientemente seguras para impedir el acceso a un supuesto intruso
malintencionado y con la capacidad de realizar Lock Picking (Manipulacin de
cerraduras). El acceso a los armarios deber estar controlado y se deber crear una
poltica de acceso a los mismos. Siempre que se realice algn tipo de ampliacin de
equipos o modificacin del hardware en los armarios por personal externo a la
empresa o al departamento encargado de la administracin del hardware, deber
dejarse muy claro mediante una serie de polticas de acceso lo que puede o no puede
hacerse.

Siempre que sea posible se prever la posibilidad de atacantes o intrusos
malintencionados que tengan acceso fsico al hardware, pues aunque tomemos todas
las medidas posibles contra el acceso fsico al hardware siempre deberemos asegurar
tambin el mismo hardware en previsin de accesos no deseados.

Control de acceso al hardware. Control de acceso del personal

El control de acceso al hardware se realizar preferiblemente mediante personal que
verifique mediante algn tipo de identificacin a las personas que tienen permiso
para acceder al hardware o mediante dispositivos electrnicos (claves, sistemas
biomtricos) o fsicos (puertas blindadas, cerraduras seguras, etc.) que permitan
135
controlar quien tiene acceso al hardware y quien no. Es muy til en estos casos tener
una poltica clara y concisa sobre quien, como, cuando y para que puede tener acceso
al hardware. Estas normativas debern ser conocidas por todo el personal con acceso
al hardware y debern estar plasmadas sobre papel para poder ser consultadas en
caso de duda.

Siempre ser preferible la intervencin de personal encargado del acceso al hardware
que la utilizacin de llaves, tarjetas o dispositivos electrnicos, pues estos ltimos
son ms susceptibles de ser burlados mediante varios sistemas, mientras que los
primeros simplemente debern ser entrenados para evitar el Hacking Social y para
seguir la poltica de acceso al hardware de manera estricta. En sistemas muy crticos
se puede poner personal de vigilancia o cmaras para controlar el acceso al hardware.
La rigidez de las polticas de acceso al hardware son inversamente proporcionales a
la facilidad de administracin de los sistemas, pero normalmente son necesarias si
queremos mantener una poltica de seguridad fsica alta.

Los dispositivos y servidores situados fuera de los centros de datos o de computacin
o en las zonas departamentales debern ser protegidos mediante armarios o racks
cerrados con llave y deber imponerse una poltica en el departamento de acceso a
estos sistemas.

Es importante que en todos los casos siempre tengamos una persona encargada del
control del acceso al hardware y que tenga responsabilidades asociadas a este
cometido. Puede tratarse de los mismos administradores, de los usuarios (mediante
polticas de acceso) o de personal contratado para este cometido. Estas personas
debern responsabilizarse personalmente de todos los accesos al hardware que se
produzcan y apuntar en los libros o logs detalladamente todas las manipulaciones
realizadas.

Un punto poco conocido pero muy a tener en cuenta en la seguridad fsica de los
sistemas es el control de acceso del personal de mantenimiento del edificio. El
personal de limpieza, de mantenimiento del edificio y personal similar deben pasar
por los mismos sistemas de control de acceso que los administradores o usuarios de
las mquinas. Todo el mundo confa en el personal de limpieza o de mantenimiento,
136
probablemente todo el mundo los conoce y llevan aos trabajando en la empresa,
pero si nuestros datos son suficientemente crticos haremos bien en desconfiar de
todo el mundo, y tambin de ellos. Alguien puede ofrecer una cantidad de dinero o
extorsionar de alguna forma al personal para que extraiga datos o provoque daos en
el hardware, todo depende de lo importante que sean nuestros datos y de su valor
econmico. Incluso pueden producir daos graves por simple desconocimiento, pues
no es la primera vez que el personal de limpieza desenchufa un servidor crtico de la
empresa para enchufar la aspiradora. Y no es una broma, ocurre de verdad. Lo ideal
es que personal de vigilancia acompae al personal de limpieza y mantenimiento
cuando este deba acceder a los centros de computacin o a los sitios donde estn
alojados servidores o sistemas de almacenamiento de datos. Tambin se puede usar
otro tipo de control de acceso como tarjetas o sistemas biomtricos, que prevengan
este tipo de comportamientos.

Sistemas de control del hardware y su integridad

Los sistemas de control de las condiciones de trabajo del hardware suelen ir
integradas en los racks o armarios que usemos para protegerlos, indicando
normalmente una serie de parmetros como la temperatura de trabajo, la humedad
relativa del ambiente dentro del rack o armario y otros parmetros. Los sistemas UPS
de cierta entidad suelen tener algn medio de monitorizacin remota mediante
SNMP o avisos de algn tipo. Deber estudiarse la implantacin de racks, armarios y
sistemas UPS que proporcionen monitorizacin de las condiciones de
funcionamiento del hardware para mantener las mquinas en un nivel ptimo de
seguridad y para poder reaccionar rpidamente cuando se produce algn problema.

La integridad del hardware debe ser vigilada normalmente mediante software, ya sea
mediante software de monitorizacin o sistemas de gestin de redes basados en
SNMP. Por esto es muy interesante que nuestros dispositivos de red dispongan de
funcionalidad SNMP suficiente para poder monitorizar la salud de los dispositivos y
su estado. En condiciones normales de funcionamiento ser suficiente con un sistema
de monitorizacin a travs de la red que permita ver si los dispositivos estn
funcionando correctamente y cumpliendo con su cometido, en los sistemas crticos
137
puede ser necesaria una monitorizacin adicional por medio de personal que
verifique que los racks y armarios estn funcionando correctamente y que los
dispositivos de red estn fsicamente protegidos.

Planes de evacuacin de hardware y equipos

Aunque no sea muy comn es interesante estudiar la posibilidad de que el hardware
deba ser evacuado del edificio por diversas razones. Es posible que tengamos que
mover nuestro sistema a otro edificio por razones corporativas o que debamos
hacerlo por razones de fuerza mayor, como desastres naturales, incendios parciales o
cualquier otra contingencia imaginable. Para prever este tipo de evacuacin
deberemos crear un plan de evacuacin del hardware que nos permita llevar los
equipos crticos a otro edificio o departamento en un mnimo de tiempo y siguiendo
un plan predeterminado que tenga en cuenta la importancia de cada sistema.

Deberemos tener en cuenta al realizar el estudio y el plan de evacuacin la
importancia de los equipos y sobre todo de los datos que albergan estos equipos, de
forma que los equipos y datos ms importantes sean evacuados primero, y los menos
importantes puedan esperar. Se deber plantear la necesidad de tener personal
preparado para este cometido y la facilidad con que estos datos se pueden mover de
un lugar a otro.

Lo principal normalmente en una empresa ser evacuar los datos corporativos (datos
de la empresa, datos de facturacin y contabilidad, del personal que trabaja en la
empresa, de los clientes y de los proveedores), que estarn en forma de discos duros,
sistemas de almacenamiento NAS o cintas de backups. Para los discos duros se
facilita enormemente su evacuacin si se dispone de discos duros hotswap
(extraccin en caliente) que puedan extraerse fcilmente del equipo y tengan una
cierta proteccin fsica contra golpes o movimientos bruscos. Para los sistemas NAS
se intentar que estos tengan tambin discos hotswap o que sean fcilmente
desmontables y transportables. Las cintas de backup suelen ser fciles de transportar,
pero deber tenerse en cuenta que son sensibles a los campos magnticos y a las
temperaturas extremas.
138

El plan de evacuacin debe continuar con la evacuacin de los backups y datos de
trabajo de los usuarios para perder el mnimo de horas de trabajo posibles. Se debe
tener en cuenta que normalmente es ms caro el tiempo de trabajo del personal que
trabaja en la empresa que la infraestructura informtica de sta, por lo que antes de
evacuar otro tipo de equipos debern evacuarse los datos de trabajo del personal.
Despus se podrn evacuar todos los dems equipos que sea posible, teniendo en
cuenta las consideraciones que la empresa encuentre ms importantes, que pueden
ser el valor econmico de los equipos, la necesidad de disponibilidad inmediata de
una infraestructura mnima para continuar con el trabajo o la necesidad de disponer
de un sistema mnimo para la prestacin de servicios a clientes y proveedores.

El entorno de trabajo del personal y su interaccin con el hardware

Deber tenerse en cuenta cuando se estudie el entorno de trabajo del personal de la
empresa, la formacin que este personal ha recibido sobre seguridad informtica y
fsica de los sistemas sobre los que debe trabajar o que estn localizados en su
entorno ms cercano. Es fundamental que los empleados tengan los conocimientos
necesarios para mantener el entorno del hardware fsicamente seguro, y para esto
debern crearse normas de acceso y de uso de los dispositivos hardware que el
empleado deba manipular, poniendo especial hincapi en la seguridad de los datos y
de su propio trabajo. Tendremos en cuenta dos tipos de trabajadores para nuestro
estudio: los trabajadores con responsabilidad en la administracin del hardware y
software y los usuarios finales de estos sistemas.

Para los administradores se debern crear unas normas de acceso y uso de los
dispositivos servidores y de red donde se expliquen claramente los pasos que se
debern seguir para acceder al hardware y realizar modificaciones sobre este. Para
este personal es esencial el conocimiento de las implicaciones en la seguridad fsica
de los sistemas que su trabajo diario pueda tener y las medidas de precaucin que
debern tomar para implementar esta seguridad. Se debe crear junto con el personal
de administracin las normas a seguir para acceder y modificar el hardware y el
software. Los administradores deben por tanto implicarse en crear las normas de
139
seguridad fsica, haciendo notar las normas que puedan entorpecer su trabajo y la
mejor forma de realizar las prcticas de administracin sin afectar a la seguridad
fsica del sistema. Una vez creadas las normas y aprobadas por el personal de
administracin, deber responsabilizarse ya sea a una persona o el conjunto del
equipo de administracin de la seguridad del sistema, implicando as a todo el
personal de administracin en las prcticas de seguridad de la red. Las normas una
vez aprobadas debern ser prcticamente inamovibles, y cualquier caso excepcional
que tenga implicaciones sobre la seguridad fsica de los sistemas deber ser
observado con lupa y aceptado por una persona con capacidad de decisin ejecutiva
y con los conocimientos tcnicos necesarios para aprobar o denegar una determinada
prctica puntual. Es muy aconsejable que todo acceso o modificacin sobre el
hardware quede reflejado de alguna forma para que pueda ser comprobado
posteriormente en el supuesto de fallos o problemas de funcionamiento del sistema.

Para los usuarios finales de los sistemas se debe crear una normativa de uso de la red
y del hardware, donde se indicar de forma clara y fcil de entender y cumplir las
normas que se deben seguir para el uso de los dispositivos hardware y de la red
corporativa. Respecto a la red corporativa haremos notar que las normas se referirn
al acceso fsico a las bocas de red, a los concentradores y al cableado de red, no al
uso informtico que se realice de la red, para lo que deber elaborarse otra normativa
por parte del personal de administracin y que no tendr relacin con la seguridad
fsica. Puede ser conveniente la imparticin de un seminario donde se explique a los
usuarios las normas que deben seguir para evitar la manipulacin del hardware y el
acceso a ste.

Es complicado el implicar totalmente a los usuarios finales en la seguridad tanto
fsica como informtica de las mquinas y la red, en determinados casos por falta de
informacin o capacidad tcnica y en otros por errores o intentos de manipulacin
para llevar a cabo prcticas en principio prohibidas o desaconsejadas en la normativa
de la red pero que el usuario puede encontrar atractivas. Debemos ser conscientes de
que el peso de la responsabilidad de mantener la seguridad fsica de los sistemas
informticos del usuario final debe recaer sobre el equipo de administracin y sobre
los creadores de las polticas. Todo error o manipulacin que un usuario final realice
sobre el hardware o la red es responsabilidad, pues se debe prever todos los casos
140
posibles que se puedan dar y que puedan afectar a la seguridad del sistema. En caso
de tener una normativa que los empleados deben cumplir, estando estos debidamente
informados, y sobre todo si se tiene la certeza de que determinada manipulacin del
hardware o de la red ha sido hecha a sabiendas de las implicaciones en la seguridad
se deber en su caso avisar al infractor y si la conducta se repite deberemos
comunicar la infraccin a la persona que tenga capacidad ejecutiva para imponer
sanciones sobre el usuario.

Planificacin de espacio para hardware y dispositivos. Montaje en racks

Una mala planificacin del espacio destinado a contener el hardware o los
dispositivos de red puede llevar a prcticas contrarias a la consecucin de una buena
seguridad fsica. Por ejemplo si no se ha planificado suficiente espacio en uno de los
armarios o racks para montar un dispositivo de red podemos vernos obligados a
montar este dispositivo fuera del armario con lo que cualquiera podr acceder a las
conexiones y puertos del dispositivo.

Es aconsejable sobredimensionar los armarios y racks de montaje de equipos en el
momento de su compra, esto es, prever futuras ampliaciones que impliquen la
instalacin de nuevos equipos o dispositivos de red, esto solo puede hacerse
normalmente en el momento de la compra, obligando en otro caso a adquirir otro
armario o rack si se queda sin espacio. Es un punto a tener en cuenta cuando se
planifica una nueva red o cuando se va a ampliar una red existente.

Si se observa que existen dispositivos de red, servidores NAS o servidores de
aplicaciones fuera de los racks protegidos con llave o de los armarios ignfugos se
aconsejar siempre la compra de nuevos armarios para contener estos dispositivos.

Uno de los aspectos que se suelen descuidar cuando se adquieren o montan racks o
armarios ignfugos es la ubicacin de los UPS. Los UPS debern ir dentro de los
armarios, por ser un punto de fallo de todo el sistema y por tanto un sistema a
proteger con especial cuidado.

141
Control de la temperatura y la humedad del entorno. Monitorizacin

Se aconseja siempre la instalacin de dispositivos de control de la temperatura y de
la humedad del entorno. El factor ms crtico en los datacenters y en los racks y
armarios ignfugos suele ser la temperatura, siendo la humedad un factor secundario
slo a tener en cuenta en climas muy determinados donde la humedad pueda afectar
a los equipos.

Para prevenir una excesiva temperatura en los centros de datos y en los racks y
armarios lo fundamental es tener una correcta ventilacin y en el caso de
habitaciones que alberguen una gran cantidad de mquinas, la instalacin de aparatos
de aire acondicionado. A mayor temperatura menor tiempo entre fallos para todos los
dispositivos electrnicos, incluidos los ordenadores, los dispositivos de red y
cualquier sistema que genere por si mismo calor. Es fundamental que los
ordenadores montados tengan una ventilacin interior suficiente, incluyendo
ventiladores para los discos duros y una fuente de alimentacin correctamente
ventilada. Tambin son convenientes las cajas que incorporan uno o varios
ventiladores para refrigerar las mquinas.

En el caso de los racks por su mayor masificacin y por ser los dispositivos ms
pequeos y con una mayor integracin de componentes la ventilacin se convierte en
un punto importante a tener en cuenta. Existen racks y armarios ventilados que
permiten tener las mquinas en un punto de funcionamiento ptimo.

Es importante que adems de tomar las medidas necesarias para tener la temperatura
dentro de unos lmites aceptables se tenga un sistema de monitorizacin de la
temperatura. Este sistema puede ser un simple termmetro electrnico en la sala de
computacin o en los racks y armarios o un sistema de adquisicin de datos
conectado a un termmetro que pueda mandar datos de la temperatura a un
ordenador que permita realizar la monitorizacin. Un ejemplo de un sistema de este
tipo son los diversos aparatos que existen para su integracin con el software Nagios,
que permiten mediante plugins de Nagios la monitorizacin de la temperatura de
cualquier sistema, avisando cuando algn equipo supera los lmites preestablecidos.
142
Debe configurarse tambin correctamente la bios de los ordenadores para que
monitoricen correctamente la temperatura interna y avisen si sta supera los lmites
marcados. Lo mismo para la velocidad de giro de los ventiladores, que redunda al fin
y al cabo en la temperatura que el hardware adquirir.

Mquinas y dispositivos de escritorio

Los ordenadores y dispositivos de escritorio (Impresoras, faxes, pequeos
concentradores, concentradores USB, etc.) son uno de los puntos ms difciles de
controlar por los administradores de seguridad fsica, pues dependen totalmente del
uso o mal uso que el usuario final pueda realizar de ellos o sobre ellos. La nica
solucin en este caso es la implantacin de una poltica clara y comprensible para el
usuario final de uso de los dispositivos que estn a su cargo. Es importante
responsabilizar de alguna forma al usuario final del hardware que est a su cargo, sin
que esto suponga una carga aadida a su trabajo normal. Encontrar el punto justo
entre la facilidad y flexibilidad en el uso de los dispositivos a cargo del usuario final
y la seguridad fsica de estos dispositivos no siempre es fcil de encontrar, pero sta
es la tarea del administrador de seguridad fsica.

Cuando el usuario final tenga que tener acceso directo al hardware (disqueteras,
CDROMS, impresoras, etc.) lo ms conveniente es la creacin de una poltica de uso
del hardware, donde el usuario pueda saber exactamente lo que puede o no puede
hacer.

Servidores y dispositivos concentradores, enrutadores y pasarelas

La seguridad fsica que se implemente para estos dispositivos, como servidores y
dispositivos de red, debe ser directamente proporcional a la importancia de estos, y
es tarea del administrador de seguridad informarse de la importancia que cada
dispositivo tiene dentro del conjunto. No es lo mismo un concentrador de un
departamento que el router principal que proporciona la conexin a Internet.
Tampoco es lo mismo un servidor de backups que un servidor de ficheros. El
143
primero puede dejarnos sin backups y sin cierta seguridad, pero el segundo dejar la
red y por tanto las mquinas de los usuarios finales paralizadas, perdiendo gran
cantidad de tiempo de trabajo hasta reponer el servicio.

Por tanto, se debe proteger estos dispositivos segn su importancia real. Para los
dispositivos crticos lo ideal es mantenerlos alejados del personal o de posibles
intrusos en salas con una correcta seguridad y control de acceso, as como con
temperatura y otras condiciones ptimas y siempre que sea posible monitorizadas.
Para los dispositivos menos crticos puede ser ms interesante el mantenerlos ms
cerca del usuario final en armarios cerrados o en racks bajo llave.

Cableado elctrico

Se debe tener en cuenta la seguridad fsica el cableado elctrico en dos vertientes
principales, las dos relacionadas pero independientes.

La primera de ellas es el cableado que proporciona energa a los sistemas
computacionales y dispositivos de red (e incluso otro tipo de dispositivos como
impresoras lser o faxes) y que deben de cumplir como mnimo las normas aplicables
a este tipo de cableado segn el pas donde se encuentren, normalmente el
reglamento de baja tensin. Esto implica que los cables no se encuentren cerca de
conducciones de agua y otra serie de apartados que se pueden consultar en los
reglamentos de baja tensin. Esto por supuesto es el mnimo admisible. A partir de
aqu se deben buscar los posibles fallos que hipotticamente pudieran producirse
dentro del cableado. Por ejemplo, hay que estudiar que los enchufes y clavijas donde
se conectan los dispositivos cumplen con las normativas aplicables y que no existe
peligro de que pueda saltar una chispa entre terminales. Otro punto a estudiar es el
dimetro y la calidad del cableado, para lo cual puede asesorar un electricista,
calculando la potencia mxima que va a consumir un determinado sistema
alimentado por un cableado y calculando a partir de ah la seccin y calidad del cable
que debe instalarse. Debe sobredimensionarse siempre este factor por las posibles
sobretensiones de la red y para prevenir sobrecargas en el cableado si se aaden ms
dispositivos al sistema.
144
La segunda de las vertientes son las conducciones ajenas a los sistemas
computacionales y que puedan afectar negativamente al funcionamiento de estos.
Todo el cableado elctrico, sobre todo el que transporta una gran cantidad de energa
elctrica (soporta mucha potencia) produce trastornos electromagnticos en su
entorno. Los ordenadores y dispositivos de red, e incluso el cableado de red son
bastante sensibles a este tipo de alteraciones electromagnticas, por lo que el
cableado ajeno a los sistemas que deba transportar una gran potencia est lejos de
cableado elctrico del cableado de red y de los ordenadores y dispositivos de red. Un
correcto aislamiento de este cableado puede mitigar este problema en gran medida.
En caso de duda siempre se puede consultar a personal especializado que puede
realizar mediciones de campo sobre los cables e indicarnos si pueden producir algn
tipo de alteracin sobre los sistemas.

Cableado telefnico

Se debe observar que el cableado telefnico tiene la calidad y est homologado segn
la normativa del pas. Se debe tener tambin en cuenta de mantenerlo lejos del
cableado elctrico que transporte mucha potencia. Por lo dems el cableado de
telefona no suele dar ningn tipo de problemas, ms que los puramente fsicos como
seccionamientos del cable, conectores mal montados o defectuosos y cosas as.

Como con el cableado de red deberemos proteger de alguna forma el cableado de
telefona, para prever la posible actuacin de un intruso malintencionado que pueda
seccionar el cable y dejar sin comunicacin. Es fundamental poder comprobar el
cableado mediante aparatos fabricados a tal efecto de forma sencilla, para detectar
roturas o seccionamientos del cable si se tiene el cable protegido por algn tipo de
entubado o integrado en la estructura del edificio.

Cableado de redes

El cableado de redes es ms sensible a las perturbaciones electromagnticas que el
cableado de telefona, por transportar datos a una mayor frecuencia. Asumimos que
145
estamos hablando de cable tipo ethernet del comnmente instalado hoy en da. Un
caso diferente sera el antiguo cableado coaxial, que se recomienda sustituir por el
nuevo cableado ethernet o el cableado de fibra ptica, que no sufre perturbaciones
electromagnticas y que tiene como nico punto dbil a estudiar su fragilidad, que no
permite determinadas instalaciones, as como la mayor complejidad de sus
conectores.

En el caso del cableado ethernet normal a 10M o 100M que se suele instalar en las
redes departamentales o locales se deber estudiar el cableado, observando que est
protegido mediante entubado o integrado en la estructura del edificio, adems de
observar que no se encuentre cercano a conducciones de electricidad de alta potencia
que puedan crear interferencias electromagnticas sobre el cableado de red. Se
debern tomar las medidas precisas para evitar el supuesto seccionamiento del cable
por parte de un intruso malintencionado y un mtodo de comprobacin mediante
dispositivos de comprobacin de redes que nos permita encontrar posibles fallos en
el cableado.

Es importante que todo el cableado y los conectores estn homologados, cumplan
con la normativa aplicable y sean de la mxima calidad, que pueden ser CAT6 o
CAT7.

Llaves, cerraduras y armarios

La seguridad fsica de los armarios y racks es bsicamente la de sus cerraduras y
llaves, pues aunque se puede estudiar la fortaleza fsica del armario es poco probable
que un supuesto atacante se ponga a forcejear un armario o rack para acceder a su
interior. Sobre todo cuando tiene otros mtodos para hacerlo.

Las llaves y cerraduras dan una falsa seguridad al administrador de sistemas. La gran
mayora de los armarios y racks que se comercializan tienen cerraduras y llaves muy
simples que pueden ser abiertas por cualquiera con un poco de habilidad y el material
y los conocimientos necesarios. Solo debe estudiar las varias Lock Picking Guides
que existen en Internet y que ensean como abrir todo tipo de cerraduras, incluso las
146
que tienen varios cilindros. El administrador de seguridad fsica deber siempre
aconsejar el uso de llaves de varios cilindros, similares a las que se encuentran en las
puertas blindadas, que son prcticamente imposibles de abrir mediante tcnicas de
Lock Picking.

No hay nada mejor para darse cuenta de las implicaciones en seguridad fsica e
informtica de las tcnicas de Lock Picking que bajarse de Internet el documento The
MIT Lock Picking Guide o cualquiera de los documentos de Lock Picking que
existen en Internet. Aunque al principio la tcnica puede ser complicada y difcil de
implementar en una cerradura real puede estar seguro que si un intruso ha decidido
aplicar estas tcnicas sobre su armario o rack tendr la prctica y los conocimientos
necesarios para tener xito en su empresa.

La nica solucin es el adquirir armarios y racks con cerraduras seguras, que tengan
al menos tres cilindros o que tengan cerraduras similares a las de las puertas
blindadas. Solo esto nos asegurar que ningn intruso podr acceder a nuestros
dispositivos.

Cmaras de seguridad y su monitorizacin

Las cmaras de seguridad son un elemento imprescindible si se tienen a cargo
sistemas realmente crticos para los supuestos intrusos o hackers. Esto incluye todos
los sistemas que alberguen datos econmicos, nmeros de tarjetas de crdito, datos
de clientes o proveedores, datos personales de nuestros clientes, etc. Si se tienen
centros de datos que almacenan datos de este tipo o cualquier tipo de datos crticos
para el funcionamiento de la empresa o secretos, debern tener personal de vigilancia
contratado. Este personal deber contar con cmaras de seguridad que les permita
monitorizar el edificio ante la posibilidad de intrusos o de actuaciones sospechosas
del personal. Lo ideal es tener personal de vigilancia presencial en el centro de datos
para el control de acceso y luego personal de vigilancia encargado de la
monitorizacin de las cmaras de vigilancia.

147
Deben tener en cuenta las cuestiones relativas a la privacidad del personal cuando
instalen o aconsejen instalar cmaras de vigilancia. Normalmente deben poner en
conocimiento de los empleados la existencia de estas cmaras, su localizacin y su
funcin de vigilancia.

Control de ventanas y visibilidad desde el exterior

Uno de los errores en seguridad fsica ms comunes que se suelen observar en
entornos reales es la visibilidad desde el exterior de los monitores y teclados de los
usuarios que estn trabajando dentro del edificio. Esto es un fallo de seguridad fsica
muy importante, pues un intruso malintencionado puede observar desde una ventana
o desde el exterior del edificio como el personal teclea sus passwords personales o
datos secretos o crticos para la empresa. Este es un caso muy comn en las oficinas
de los bancos, que suelen estar situadas en las primeras plantas de los edificios y
tienen normalmente grandes fachadas de cristal que permiten la visibilidad al interior
por parte de cualquier intruso.

La solucin es muy sencilla. Basta con elegir la localizacin de los monitores y
teclados fuera del alcance de un supuesto observador exterior. No se aconseja en
principio la instalacin de cortinillas o sistemas similares si no es imprescindible,
porque casi siempre con una recolocacin de los escritorios de los empleados o de
sus sistemas informticos basta para proporcionar una seguridad fsica suficiente en
este caso.

Control de desechos y basura

A quin puede importarle nuestra basura? Le preguntar seguramente el jefe de
administradores cuando le indique que quiere estudiar la colocacin de los
contenedores de basura de la empresa y los mtodos de destruccin de
documentacin. A cualquier intruso, deber responderle usted. Y esto es tan cierto
como que se producen continuamente fallos de seguridad en las empresas por medio
148
de hacking social que tienen como origen una mala gestin de los desechos y la
basura.

Pensemos solo por un momento lo que puede obtener un posible intruso del
contenedor de basura de una empresa: Documentacin secreta sin destruir, nmeros
y claves de empleado, nmeros de la seguridad social, planos de la empresa o de la
red, datos tcnicos de la red y de los sistemas informticos de la empresa, datos sobre
los empleados y la estructura administrativa de la empresa, nmeros de telfono
internos, datos sobre la jerarqua administrativa de la empresa, y as hasta el infinito.
Datos, datos, datos... Un posible intruso puede usar todos estos datos para realizar
todo tipo de hacking social sobre sus empleados y departamentos, usndolos para
identificarse mediante llamadas a telfonos internos y solicitar datos que
normalmente no se daran si no fuera porque el interlocutor nos est dando datos que
no debera saber si no trabajara en la empresa. Este tipo de ataques de hacking social
son cada vez ms comunes y deben ser una preocupacin principal para un
administrador de seguridad fsica.

Hay que ser tajantes con este tema. Todos los documentos internos de la empresa
deben de ser destruidos mediante mquinas que existen para esta tarea. Debe elegirse
mquinas que destruyan totalmente los documentos, nada de tiras gruesas de papel
que pueden volver a unirse con suficiente paciencia, cuanto ms destruidos queden
los documentos mejor. La incineracin de los documentos es por supuesto la opcin
ideal. Adems debe de crearse una poltica de destruccin de documentacin que
todos los empleados debern cumplir, responsabilizndose cada uno de los datos y
documentacin que desechen.

Polticas de seguridad para ambientes lgicos

La prctica de seguridad de la informacin utiliza los principios y mecanismos
discutidos con anterioridad. La seguridad en ambientes lgicos explora la aplicacin
de estas ideas y herramientas en cuatro escenas diferentes. A continuacin se
discuten soluciones que incluyen varios niveles de seguridad. Empezando con las
149
consideraciones de la poltica, se desarrolla una arquitectura de seguridad y despliega
los mecanismos apropiados para proporcionar el nivel deseado de seguridad.

Seguridad de la red

Considera un conjunto que debe proporcionar acceso pblico a alguna informacin,
pero limita el acceso a otra informacin aun dentro de la organizacin. Se deriva en
partes de configuracin de una red y mecanismos de seguridad que apoyan la
poltica.

Las metas de una instalacin, y su poltica de seguridad, dictan la funcionalidad
requerida del sitio. La distribucin de funcionalidad a lo largo de la red del sitio es
crtica para mejorar la seguridad del mismo. La funcionalidad de cada parte de la red
controla la naturaleza y configuracin de cada host en la red.

A continuacin se aplican algunos de los principios y conceptos de seguridad de la
informacin a una situacin particular.

Las metas de la poltica de seguridad pueden ser:

Datos relacionados a los planes de la compaa sern mantenidos
confidenciales. En particular, los datos corporativos sensibles, como datos
involucrados en los productos potenciales en vas de desarrollo, deben slo
estar disponible a aqullos que necesitan saber.

Cuando un cliente proporciona datos (como un nmero de tarjeta de crdito)
como parte de una compra, los datos, y toda la informacin sobre el cliente,
deben estar disponibles a aquellos que llenan la orden. Los analistas de la
organizacin pueden obtener estadsticas sobre un nmero de rdenes para
propsitos de planificacin.

Declasificacin de datos sensibles requiere el consentimiento de los oficiales
de la compaa y abogados.
150

Nuestra meta es disear una infraestructura de red que rena requisitos como
estos. Empezamos analizando las metas de la poltica para que nosotros
podamos hacerlas precisas.

Chequeo del trfico de la red

Permite conocer el comportamiento del trfico en la red, al detectar
variaciones que pueden ser sntoma de mal uso de la misma.
Esta tarea debe indicar el/los programas que se ejecuten, con qu intervalos,
con qu reglas de trabajo, quin se encarga de procesar y/o monitorear los
datos generados por ellos y cmo se acta en consecuencia.
Monitoreo de los volmenes de correo

Permite conocer los volmenes del trfico de correo o la cantidad de mails
en trnsito. Dicho proceso se encuentra realizado por programas que llevan
las estadsticas, generando reportes con la informacin pedida. El
conocimiento de esta informacin permite conocer, entre otras cosas, el uso
de los medios de comunicacin, y si el servidor est siendo objeto de un
spam.

Como en el caso anterior, debe estar explicitado quin es el encargado del
mantenimiento y del anlisis de los datos generados, y qu hacer cuando se
detectan variaciones.
Monitoreo de conexiones activas

Este proceso se efecta con el objeto de prevenir que algn usuario deje su
terminal abierta y sea posible que alguien use su cuenta. El procedimiento es
151
ejecutado por medio de programas que monitorean la actividad de las
conexiones de usuarios.

Cuando detecta que una terminal tiene cierto tiempo inactiva, cierra la
conexin y genera un log con el acontecimiento.

Verificacin de las mquinas de los usuarios

Esta poltica permitir encontrar programas que no deberan estar en las
mquinas de los usuarios y que, por su carcter, pueden traer problemas de
licencias y fuente potencial de virus. La poltica contendr procedimientos, en
los que se debe explicitar los mtodos que se van a utilizar para la
verificacin, las acciones ante los desvos y quin/quines lo llevarn a cabo.
Monitoreo de los puertos en la red

Permite saber qu puertos estn habilitados en la red, y, en algunos casos,
chequear la seguridad de los mismos. Se deber describir qu programas se
deben ejecutar, con qu reglas, quin estar a cargo de llevarlo a cabo y qu
hacer ante las desviaciones detectadas.

Seguridad del sistema

La configuracin del sistema y la administracin confa en muchos principios de
seguridad y certidumbre.

Se examinan varias reas de administracin del sistema en base a los requisitos de
seguridad. Nuestra meta es instalar, y administrar, as como asegurar un sistema
como sea posible.

152
El rol de una poltica de seguridad en el desarrollo del sistema levanta algunos
problemas. El primero es el realismo y consistencia de la poltica. Una poltica de
seguridad debe ser consistente con los requisitos de la organizacin. El segundo
problema es la dificultad de asegurar que una poltica es internamente consistente.
Agravando este problema es la manera de expresin de la poltica. Si la poltica
puede expresarse matemticamente, uno puede aplicar tcnicas matemticas para
determinar su consistencia interna. En la prctica, pocas polticas pueden expresarse
as. Analizando las polticas actuales en uso en un sitio requiere tcnicas y
metodologas que no se han desarrollado todava.

Modificacin de archivos

Se debe realizar esta tarea con el fin de detectar la modificacin no autorizada
y la integridad de los archivos, adems, permite la traza de las modificaciones
realizadas. Al igual que en los casos anteriores, debe estar bien determinada
la responsabilidad de quin es el encargado del seguimiento y de actuar en
caso de alarmas.
Resguardo de copias de seguridad

Se debe indicar claramente dnde se deben guardar las copias de seguridad y
los pasos a seguir en caso de problemas. Para lograr esto, deben estar
identificados los roles de las personas que interactan con el rea, a fin de que
cada uno sepa qu hacer ante la aparicin de problemas.
Seguridad del usuario

La seguridad del usuario muestra cmo los componentes de una poltica del sitio y la
poltica personal de un usuario llevan a dicho usuario a configurar su ambiente para
proporcionar proteccin a sus programas y datos.

153
Aunque los sistemas de computacin proporcionan mecanismos de seguridad y
polticas que pueden proteger a los usuarios en un buen nivel, los usuarios tambin
deben tomar precauciones de seguridad por una variedad de razones. Primero,
aunque el sistema controla el lmite el acceso de usuarios no autorizados al sistema,
algunos controles a menudo no son efectivos y no pueden prevenir tales accesos.
Segundo, alguien con acceso al sistema puede querer atacar a un usuario autorizado,
por ejemplo, leyendo los datos confidenciales o privados o alterando los archivos. El
xito de tales ataques puede depender del fracaso de la vctima para tomar ciertas
precauciones. Finalmente, los usuarios pueden advertir problemas con sus cuentas.
Entonces el administrador del sistema puede investigarlo.

Alta de cuenta de usuario

Cuando un elemento de la organizacin requiere una cuenta de operacin en el
sistema, debe llenar un formulario que contenga, al menos los siguientes datos:

Nombre y Apellido
Puesto de trabajo
Jefe inmediato superior que avale el pedido
Descripcin de los trabajos que debe realizar en el sistema
Consentimiento de que sus actividades son susceptibles de ser auditadas en
cualquier momento y de que conoce las normas de buen uso de los
recursos (para lo cual, se le debe dar una copia de tales normas).
Explicaciones breves, pero claras de cmo elegir su password.

As mismo, este formulario debe tener otros elementos que conciernen a la parte
de ejecucin del rea encargada de dar de alta la cuenta, datos como:
Tipo de cuenta
Fecha de caducidad
Fecha de expiracin
Datos referentes a los permisos de acceso (por ejemplo, tipos de permisos
a los diferentes directorios y/o archivos)

154
Si tiene o no restricciones horarias para el uso de algunos recursos y/o para el
ingreso al sistema.

Baja de cuenta de usuario

Se lleva a cabo cuando se aleja un elemento de la organizacin o cuando
alguien deja de trabajar por un determinado tiempo (licencia sin goce de
sueldo, vacaciones, viajes prolongados, etc.). En base a la explicacin anterior
hay, entonces, dos tipos de alejamientos: permanente y parcial.

Aqu, es necesario definir un circuito administrativo a seguir, y que como
todos los componentes de la poltica de seguridad, debe estar fuertemente
apoyado por la parte gerencial de la organizacin.

Un ejemplo de este circuito, podra ser: ante el alejamiento de un elemento de
la organizacin, la gerencia de personal (o la seccin encargada de la
administracin de los RRHH), debe informar en un formulario de
Alejamiento de personal, todos los datos del individuo que ha dejado la
organizacin, as como de la posicin que ste ocupaba y el tipo de
alejamiento (permanente o no).Una vez llegada la informacin al
departamento encargado de la administracin de sistemas, se utiliza para dar
de baja o inhabilitar la cuenta del usuario.

La definicin de si se da de baja o se inhabilita es algo importante pues, si se
da de baja, se deberan guardar y eliminar los archivos y directorios del
usuario, mientras que si slo se inhabilita, no pasa de esa accin. Si el
alejamiento del individuo no era permanente, al volver a la organizacin, la
seccin que haba informado anteriormente de la ausencia, debe comunicar su
regreso, por medio de un formulario dando cuenta de tal hecho para volver a
habilitar la cuenta al individuo.

155
Programas de seguridad
El software en los sistemas implementa muchos mecanismos que apoyan la
seguridad. Algunos de estos mecanismos residen en el sistema operativo,
considerando que otros residen en la aplicacin y programas del sistema

Empieza con los requerimientos para un programa. Las consideraciones de la poltica
fluyen de estos requerimientos y del ambiente en que el programa ser usado, y de
stas consideraciones de la poltica se desarrollan los mecanismos de seguridad que
el programa debe implementar.

Desafortunadamente los programadores no son perfectos. Ellos cometen errores.
Estos errores pueden tener consecuencias desastrosas en programas que cambian los
dominios de las protecciones. Los atacantes que se aprovechan de estos errores
pueden adquirir privilegios extras (como el acceso a una cuenta del sistema como
root o administrador). Ellos pueden romper el normal funcionando del sistema
anulando o alterando servicios sobre los que no deberan tener control. Podran leer
archivos a los cuales no deberan tener acceso. As que el problema de evitar estos
errores, o agujeros de seguridad, es un problema necesario para asegurar que los
programas y sistema funcionen como son requeridos.

Programa para determinar buenas contraseas

Aunque no lo parezca, la verificacin de palabras claves efectivas no es algo
frecuente en casi ninguna organizacin. El procedimiento debe explicar las
normas para elegir una contrasea:

Se debe explicitar:

La cantidad de caracteres mnimo que debe tener,
No tiene que tener relacin directa con las caractersticas del usuario.
Debe constar de caracteres alfanumricos, maysculas, minsculas,
nmeros y smbolos de puntuacin.
156
Determinar, si es posible, el seguimiento de las palabras claves (llevar
registros de las palabras claves anteriores elegidas por el usuario).

Una vez que el usuario ha elegido su contrasea, se le debe correr un
programa crackeador para tener idea de cun segura es, en base al tiempo
que tarda en romper la palabra.

Sistema de verificacin de accesos

Debe explicar la forma de realizar las auditoras de los archivos logsticos de
ingresos a fin de detectar actividades anmalas. Tambin debe detectar el
tiempo entre la auditora y cmo actuar en caso de detectar desviaciones.

Normalmente, este trabajo es realizado por programas a los que se les dan
normativas de qu y cmo comparar. Escanean archivos de log con
diferentes fechas tomando en cuenta las reglas que se le han dado. Ante la
deteccin de un desvo, generan reportes informando el mismo.

Debe quedar perfectamente indicado quin es el responsable del
mantenimiento de estos programas y cmo se acta cuando se generan
alarmas.

Una poltica ms que se puede mencionar y que no se engloba dentro de ests 4 reas
que hemos definido, sera:

Cmo dar a publicidad las nuevas normas de seguridad

Casi siempre no es tenida en cuenta. Sin embargo, en una organizacin es muy
importante dar a conocer las ltimas modificaciones realizadas a las polticas y
procedimientos de tal manera que nadie pueda poner como excusa que no conoca
las modificaciones. En ella, debe describirse la forma de realizar la publicidad de las
157
modificaciones: puede ser mediante un mail, por exposicin en transparencias, por
notificacin expresa, etc.; quin estar a cargo de la tarea y las atribuciones que tiene.

Es fundamental tener en cuenta este ltimo punto ya que un porcentaje de los
problemas de seguridad, segn est demostrado en estudios de mercado, proviene del
desconocimiento de las normas y/o modificaciones a ellas por parte de los usuarios.

Recomendaciones para establecer el nivel mnimo de seguridad
necesario para una PYMES

Estructura de seguridad en niveles

Hemos visto la necesidad de usar estructuras de seguridad en niveles por las
siguientes razones:

Aumentar la posibilidad de que se detecten los intrusos.
Disminuir la oportunidad de que los intrusos logren su propsito.

Este es el grfico que muestra la estructura de seguridad en niveles propuesto, en
donde las capas superiores son las ms importantes de proteger.



Figura 3.3 Estructura de seguridad en niveles

158
Identificacin de amenazas ataques tanto de INSIDERS como
OUTSIDERS

Nivel Amenaza
Datos Visualizacin, cambio o modificacin de la
informacin.
Consulta de los archivos del sistema.
Sustitucin o modificacin de los archivos de
aplicacin.
Aplicacin Prdida de la aplicacin.
Ejecucin de cdigo malintencionado.
Uso no deseado de las aplicaciones.
Servidor Configuracin insegura del sistema operativo.
Acceso no supervisado.
Distribucin de virus.
Explotacin de la debilidad del sistema operativo.
Red Interna Acceso no autorizado a los sistemas.
Rastreo de paquetes desde la red.
Acceso a todo el trfico de la red.
Permetro Ataque a la red corporativa.
Ataque a los servicios de Internet.
Ataque desde Internet.
Seguridad Fsica Daar el hardware.
Quitar o robar hardware.
Gua, Procedimientos y
Concienciacin
Usuarios ignorantes.
Suplantacin de identidad.
Acceso no autorizado a instalaciones.

159
Infraestructura de defensa bsica propuesta

Nivel Solucin
Datos Cifrar los archivos, utilizando un sistema de
encriptacin.
Limitar el acceso a los datos creando Listas de
Control de Acceso ACL.
Crear planes de copias de seguridad y recuperacin
de datos.
o Polticas de Seguridad.
o Planes de Contingencia.
Aplicacin Habilitar nicamente los servicios requeridos
(mnimo privilegio).
Configurar las opciones de seguridad de las
aplicaciones.
Instalar actualizaciones de seguridad para las
aplicaciones.
Instalar y actualizar software antivirus.
Ejecutar las aplicaciones con el menor privilegio.
Evitar las configuraciones por defecto.
Servidor Implementar autenticacin.
Reforzar la seguridad del sistema operativo.
Instalar actualizaciones de seguridad.
Implementar sistemas de auditora.
Deshabilitar o quitar los servicios innecesarios.
Instalar y mantener software antivirus.
Red Interna Implementar autenticacin mutua.
Segmentar la red.
Cifrar las comunicaciones de red.
Bloquear los puertos de comunicacin innecesarios.
Controlar el acceso a los dispositivos de red.
Firmar los paquetes de red.
Permetro Crear redes Privadas Virtuales VPNs.
Habilitar y configurar un firewall.
Actualizar el software del firewall.
Habilitar nicamente los puertos necesarios para la
comunicacin.
Seguridad Fsica Cerrar las puertas e instalar alarmas.
Emplear personal de seguridad.
Aplicar procedimientos de acceso.
Limitar los dispositivos de entrada de datos.
o Laptops.
o Pen drives, etc.
Utilizar herramientas de acceso para mejorar la
seguridad.
o Cmaras de vigilancia.
o Sensores de movimiento, etc.
160
Guas, Procedimientos y
Concienciacin
Dictar cursos de capacitacin y seguridad a los
usuarios.
o Procedimiento de solicitud de dispositivos.
o Gua de seguridad del acceso fsico.
o Gua de confidencialidad de la informacin
del usuario.

161
Conclusiones

Todas las organizaciones, sin importar su tamao, ameritan contar con polticas de
seguridad informtica, con el fin de salvaguardar su bien ms preciado: su
informacin.

La seguridad informtica depende de la articulacin eficiente de varios factores,
uno de los cuales es ese conjunto de polticas de seguridad informtica, las cuales
representan el marco normativo para el establecimiento de cualquier solucin de
seguridad para las organizaciones.

Algunos dicen que la seguridad informtica es un problema de personas, mientras
que otros dicen que es un problema de tecnologa, y podra decirse que ambos
tienen razn. Pero antes de que se pueda hacer algo al respecto, la gerencia debe
involucrarse en la seguridad informtica, asignar suficientes recursos y comunicar
claramente a todos los integrantes de su equipo que la seguridad informtica
realmente s es importante. Muchas encuestas indican que aqullos que ejercen la
seguridad informtica piensan que la llave para alcanzar el xito de la seguridad
informtica es la participacin de la alta gerencia.

Las polticas no slo son distintas, sino que se encuentran a un nivel mucho ms
alto que los procedimientos. La declaracin de una poltica describe los
lineamientos generales que deben seguirse para atender un problema especfico,
mientras que los procedimientos dictan los pasos operativos especficos o los
mtodos manuales que los trabajadores deben emplear para lograr un objetivo
dado.

La gerencia en toda organizacin tiene que aclarar sus intenciones con respecto a
la operacin de los computadores y las redes. Si la gerencia dedica tiempo a
preparar una poltica de seguridad informtica y su correspondiente
documentacin, entonces al presentarse el momento que sea necesaria la accin
disciplinaria, la demanda o la litigacin, la organizacin no estar sujeta a estos
162
mismos problemas legales. Las polticas adems representan para la gerencia una
manera relativamente barata y directa de definir el comportamiento correcto.
Todo el personal de la organizacin, tiene la responsabilidad de la seguridad
informtica y de acatar las disposiciones que contengan. Adems, se tiene que
asegurar que todo el personal, entienda las polticas de seguridad de la
organizacin.