El primer factor considerado, y
el más evidente debe ser asegurar el sustrato físico del objeto a proteger. Es
preciso establecer un perímetro de seguridad a proteger, y esta protección debe
adecuarse a la importancia de lo protegido.
La defensa contra agentes nocivos
conlleva tanto medidas proactivas (limitar el acceso) como normativas de
contingencia (que hacer en caso de incendio) o medidas de recuperación (realizar
copias de seguridad). El grado de seguridad solicitado establecerá las
necesidades: desde el evitar el café y el tabaco en las proximidades de equipos
electrónicos, hasta el establecimiento de controles de acceso a la sala de
equipos.
Lo más importante es recordar que
quien tiene acceso físico a un equipo tiene control absoluto del mismo. Por
ello sólo deberían accederlo aquellas personas que sea estrictamente necesario.
Amenaza no Intencionada (Desastre
Natural)
El siguiente ejemplo ilustra una posible
situación:
Una organización no cuenta con
sistemas de detección y protección de incendios en la sala de servidores. El
Administrador del sistema deja unos papeles sobre el aire acondicionado de la
sala. Durante la noche el acondicionador se calienta y se inicia un incendio
que arrasa con la sala de servidores y un par de despachos contiguos.
Directivas:
Predecir Ataque/Riesgo: Incendio
Amenaza: Desastre natural.
Incendio
Ataque: No existe.
Estrategia Proactiva:
Predecir posibles daños: pérdida
de equipos e información.
Determinar y minimizar
vulnerabilidades: protección contra incendios.
Evaluar planes de contingencia:
backup de la información.
Estrategia Reactiva:
Evaluar daños: perdida de
hardware e información.
Determinar su origen y repararlos:
bloqueo del aire acondicionado.
Documentar y aprender
Implementar plan de contingencia:
recuperar backups.
Examinar resultados y eficacia de
la directiva: Ajustar la directiva con los nuevos conceptos incorporados.
No hay comentarios:
Publicar un comentario