Cuando oigas entorno físico piensa que se están refiriendo a los espacios donde se encuentran los equipos informáticos y los espacios circundantes a ellos, puertas, cerraduras, ventanas,…. La presencia de mecanismos de seguridad en el entorno físico de un sistema de información constituye una garantía para los datos, pero al mismo tiempo pueden constituir un problema si no están bien instalados, configurados o mantenidos.

Un sitio oficial, un instituto o una empresa, son buenos ejemplos de edificios que albergan equipos informáticos. Cualquier edificio cuenta con unas determinadas instalaciones iniciales, por ejemplo, el cableado eléctrico. Conocer cuáles son esas instalaciones con las que el edificio cuenta y verificar que cumplen las normas de seguridad, es el primer paso para minimizar los riesgos que acechan al hardware de la empresa, el instituto, etc.

Si todos los servidores están en un único lugar, entonces, ése será el lugar que hay que defender y proteger. Te diré que el entorno físico donde se encuentran los equipos informáticos como servidores y armarios de comunicación se suele llamar centro de proceso de datos (CPD) o datacenter.

Puede ser tan pequeño como un armario de comunicaciones o tan grande como la empresa decida. ¿Te imaginas cómo es de grande el CPD de Google? Las medidas de seguridad tendrán que ser acordes con el tamaño del CPD. Si sólo tienes un armario de comunicaciones, pues con saber quién tiene la llave solucionado. Ahora bien, si es todo un edificio, entonces, tendremos que vigilar, quién entra y sale, cuándo lo hace, qué zonas puede visitar…

En esta unidad estudiarás desde las medidas más conocidas contra incendios, hasta los sistemas de control de acceso más complejos.

Chema Alonso, es un experto en seguridad y uno de los fundadores de Informática64, una empresa afincada en Móstoles en el año 2000 cuya especialidad es la seguridad informática, ya sean auditorías, formación o consultoría. Suele decir, Chema Alonso, que “La seguridad de una empresa es tan fuerte como el punto donde menos está segura. SPOF, Single Point of Failure, en español se podría traducir como único punto de fallo.”, Con esto, quiere decir que hay que tener asegurados en la empresa todos los elementos de la misma.

Si se trata de asegurar físicamente los ordenadores, servidores o armarios de comunicaciones, tendremos que tener en cuenta dónde están y quién tiene acceso a ellos. Además de analizar cuán importante es alguno, (o todos), de nuestros equipos o servidores, y tener previsto cualquier fallo que pudiera afectarle. Desde que se va la luz, hasta un terremoto, pasando por un incendio, inundación, robo… Todos estos SPOF es lo que llamamos entorno físico.

No conviene que olvides que hoy en día, los ladrones utilizan viejas técnicas para robar servidores. Así que esa contraseña que tanto estuviste pensando y que tan segura era para tu administrador o root pasan a un segundo plano. Alguien se ha llevado físicamente el servidor, y en algunos casos, simplemente usando una sierra eléctrica para acceder al servidor y llevárselo a su casa.

El control de acceso de personas es algo que probablemente te resulte familiar, pues son cada vez más frecuentes los guardias de seguridad en los edificios oficiales que solicitan el DNI para entrar y te proporcionan una tarjeta de visitante. Ahora bien, hay otros métodos más eficientes si los que acceden al edificio lo hacen habitualmente. Los más utilizados son las tarjetas magnéticas, que permiten el acceso a determinadas zonas. Pero hay otros en el mercado como los lectores de huella digital o de iris, o cualquier otro elemento biométrico. Otro elemento preventivo son las cámaras de vigilancia para video vigilancia o tele vigilancia.

También podría darse el caso de una combinación de dos o más de estos sistemas. Esta seguridad es activa, puesto que las medidas son principalmente preventivas, es decir, evitar que pueda suceder algo. Ahora bien, algunas de estas medidas son a la vez correctivas. Por ejemplo, las grabaciones de las cámaras pueden servir para identificar posteriormente a los intrusos que se saltaron el puesto de control del edificio.

Recuerda, lo que afirmábamos en la unidad anterior: La seguridad absoluta es imposible, por eso hablaremos siempre de fiabilidad.

Quizá el acceso de personas al recinto se entienda mejor con un ejemplo práctico:

El acceso de personas al recinto industrial de las afueras de Madrid: Toda persona que accede al recinto deberá hacerlo por la puerta principal y la persona de recepción deberá cumplir las siguientes etapas:

1. Identificación de la(s) persona(s) visitante(s) y de la persona/sección a la que se desea acceder.
2. Comunicación telefónica con la persona/sección destinataria para que dé su conformidad al acceso. Ésta deberá enviar a alguien para que reciba y acompañe al visitante o hacerlo personalmente.
3. Cumplimentación del registro de Control de accesos de personas (código...) que deberá firmarlo la visita comprometiéndose al cumplimiento de las normas generales de seguridad.
4. Entrega de:
   • Hoja de visita que deberá firmar la persona visitada. En el reverso de esta hoja se indica la información básica sobre cuestiones y normas generales de seguridad del centro.
   • Tarjeta identificativa de persona que deberá adherirse en un sitio visible y cuya numeración coincidirá con la de la hoja de visita.
   • Los medios de protección necesarios, en los casos que se requieran.
   • A la salida la persona visitante deberá entregar al personal de recepción la hoja de visita firmada por la persona visitada y la tarjeta identificativa. Se registrará la hora de salida en el registro de Control de accesos de personas.

Bueno, ahora vamos a proteger nuestros datos de una posible sustracción de los mismos, es decir, evitar que las personas que pasen cerca o al lado de nuestros equipos, tengan acceso a ellos. En nuestros ordenadores, tenemos almacenados nuestra preciada información, esencial para el buen funcionamiento de la empresa.

El objetivo es proteger los datos de intrusos e intrusas y el modo de realizarlo es instalar alarmas para detectar la presencia de personas no autorizadas en las áreas significativas, es decir, en las zonas donde está almacenada la información. Normalmente, equipos y/o discos duros.

Los sistemas de alarmas están compuestos por:

Elementos de los sistemas de alarmas

Elemento del sistema de alarma.	Descripción.
Módulo central.	Es el sistema electrónico controlador de todos los elementos del sistema. A él están todos conectados y desde él podremos configurar la activación y desactivación del sistema, así como el modo de aviso cuando una alarma se produce.
Detectores.	Son detectores de volumen, humo, temperatura, anhídrido carbónico, etc. Generalmente detecta los cambios que en estas variables se producen. Los sistemas son detección que utilizan pueden ser infrarrojos, microondas, ultrasonidos o frecuencias de sonido cuando se trata de detectar rotura de cristales.
Sistemas inalámbricos o de cableado.	Es el sistema de comunicación de los distintos componentes con el módulo central.
Baterías autónomas o de emergencia.	Baterías autónomas son aquellas que proporcionan alimentación eléctrica a los elementos no conectados a la corriente eléctrica. Baterías de emergencia son aquellas que se ponen en funcionamiento cuando no hay corriente eléctrica.
Contactos magnéticos.	En puertas o ventanas detectan la apertura de las mismas, tienen un cierto retraso por si el que ha abierto la puerta no es un intruso y desactiva la alarma en esos pocos segundos. De no ser así, la alarma salta.
Avisador telefónico.	Un modo de avisar de una intrusión es la recepción de un mensaje en el móvil o de una llamada de voz de un número concreto, ambos alertan de intrusión pues son efectuadas por el avisador telefónico cuando se produce una anomalía.
Pulsadores de emergencia.	Son activadores de la alarma por personas, por ejemplo, un dependiente o dependienta puede tener un pulsador de emergencia debajo del mostrador si detecta la entrada de un sospechoso o sospechosa a su comercio.
La alarma.	Es normalmente acústica y visual, situada en un lugar poco accesible por las personas y protegida de los elementos meteorológicos si está en el exterior.

Aunque no es muy recomendable manipular los magnetotérmicos para realizar “demostraciones”, este ejemplo nos deja claro que existe una dependencia funcional de los equipos informáticos de la corriente eléctrica como única fuente de energía. Por tanto, tendremos que considerar a ésta como un elemento más de la seguridad en el entorno físico.

Teniendo esto en cuenta, distinguimos entre:

• Red eléctrica externa: Cuya función es el suministro de energía desde la subestación de distribución hasta los usuarios finales (medidor del cliente). De la seguridad de ésta se ocupa la compañía suministradora y en esta instalación tendremos que fijarnos en la protección del cableado visible y la no existencia de algún punto vulnerable, es decir, alguna parte del cableado accesible fácilmente por las personas. Cualquier modificación en este sentido debe ser solicitada a la compañía suministradora.
• Red eléctrica interna: Esta red pertenece a la empresa o persona propietaria del inmueble y debe de tener la potencia suficiente para hacer funcionar todo el sistema sin riesgo de cortes de suministro por exceso de consumo. Debe estar montada con elementos homologados y cumplir las normas españolas (UNE, Norma Europea aprobada por la Agencia Española de Normalización y Acreditación, más conocida como AENOR) y europeas. (EN, acrónimo de European Norms, es decir normas europeas aprobadas por el comité Europeo de Normalización o CEN). La potencia eléctrica, P, es el producto de V *I (Voltaje*Intensidad), es decir, la suma de todas las intensidades necesarias en todos los equipamientos nos daría como resultado al multiplicarlo por V (230 voltios en baja tensión) la potencia necesaria para suministro de todos nuestros equipamientos.
• Personas: Podemos considerarlas parte del sistema eléctrico. Como usuarios o usuarias que son del mismo, tienen que estar protegidos de las descargas que pudieran producirse mediante la instalación de tomas de tierra.

Consulta el Real Decreto 842/2002 en el BOE - Modificado a 10 de Abril de 2019, Boletín Oficial del Estado donde se aprueba el Reglamento Electrotécnico de baja tensión, es decir 230 Voltios(V) y 50 Hertzios (Hz).

Seguro que alguna vez estabas trabajando en casa, escribiendo algo con el procesador de textos cuando de repente, se fue la luz. En cuanto la luz volvió comprobaste qué parte no se había almacenado y tuviste que volver a teclearlo. Si tuvieras una empresa y todos los datos de clientes y productos estuvieran almacenados en un ordenador, esos datos serán sensibles, no podrías permitir que por un apagón se perdieran datos, es necesario tomar más medidas, pues la información almacenada en los equipos es crítica. Un apagón puede destruir la mecánica o la electrónica de un disco duro. Perder la información del disco duro de nuestra empresa con clientes y pedidos no es algo que quieres que pase. Además, si alguien en el momento que se fue la luz estaba tramitando un pedido, ¿cómo quedó la transacción?, ¿qué parte de los datos están almacenada?

Hay que tener en cuenta que el apagón no está llevando a situaciones no deseadas por el simple hecho de que “se fue la luz”. No es algo que pase todos los días, pero ocurre de tarde en tarde y no podemos prevenir cuándo y cómo será el próximo apagón.

Debes tener en cuenta esa posibilidad para defender a tu equipo de daños materiales y estar seguro que las transacciones no han terminado de forma traumática, sino que todo está controlado. Para ello, el o los equipos con datos sensibles deben contar con suministro eléctrico adicional. Estas son las soluciones que existen en el mercado para este problema:

• Grupo electrógeno: Es un generador de corriente eléctrica, independiente del suministro de la red eléctrica. Generan corriente a partir de gasóleo y pueden mantener en funcionamiento los sistemas informáticos críticos en situaciones de falta de suministro eléctrico. Por ejemplo, El centro de procesos de datos del gobierno de Cantabria dispone de un grupo electrógeno para mantener en funcionamiento el centro de proceso de datos a pleno rendimiento en caso de un fallo en el suministro eléctrico, siempre que el grupo electrógeno disponga de gasóleo, claro.
• SAI o Sistemas de alimentación ininterrumpida: Dada la importancia de estos elementos como protectores frente a disfunciones del suministro de energía eléctrica lo trataremos en la siguiente unidad con mayor profundidad.
• Luces de emergencia: Son luces en las puertas y zonas de evacuación del edificio que se encienden sólo en el caso de fallar el suministro eléctrico y proporcionan al personal la iluminación necesaria para abandonar el edificio y/o resolver los problemas que han causado el apagón.

Sabes que nosotros y las personas en general nos encontramos a gusto entre 20 y 25 ºC. Sin embargo, los ordenadores tienen un rango mayor de temperatura de trabajo, pues pueden hacerlo entro los 9º y los 33º. Buscaremos una temperatura ideal para ambos, personas y ordenadores, si es necesario que las personas estén también en el recinto.

Tienes que tener en cuenta que la climatización de las zonas de ordenadores sea agradable para las personas y, al mismo tiempo, no poner el riesgo el buen funcionamiento de los equipos.

Si por el contrario estamos hablamos de data centers, las salas se suelen llamar salas frías, puesto que la temperatura y humedad en estas salas dedicadas únicamente a equipamiento sólo tienen que tener en cuenta las condiciones en la que los equipos trabajan mejor. Los rasgos de temperatura de los componentes electrónicos son de 20º a 30º centígrados, y la humedad relativa entre 15% y 80%, siempre que la temperatura no pase de los 30º. Más allá de los 70º centígrados los sistemas no funcionan y si la temperatura supera el 90% a 30º, tampoco funcionan. Para recordar un poco mejor estos datos te propongo que veas la siguiente escena:

Luego en la mayor parte de los casos habrá que refrigerar. Se refrigera para mantener las condiciones operativas de los equipos reducir los fallos del hardware y obtener una máxima duración.

• Temperatura mínima-máxima.
• Humedad relativa.

Existen diferentes soluciones de climatización, que pueden ir desde un simple aparato de aire acondicionado a una refrigeración directa de los elementos electrónicos. Aquí puedes las más utilizadas en los CPDs:

1. Climatización por falso suelo. Es el sistema más frecuente de climatización en CPD. Los CPD´s normalmente disponen de suelo técnico, por lo tanto, el sistema de refrigeración más habitual es el de impulsión de aire frio. El aire frio que sale por las rejillas, colocadas en los pasillos fríos, pasa a través de los servidores y retorna caliente a los acondicionadores a través de la parte superior de los mismos.
2. Climatización InRow (entre Rack). Para minimizar la mezcla de aire entre pasillos fríos y calientes, los equipos de refrigeración se instalan entre Racks, consiguiendo mayor eficiencia energética en un CPD de múltiple pasillos. Estos aspiran el aire del pasillo caliente, lo filtran, enfrían y lo impulsan al pasillo frío. Es decir, se alternan pasillos fríos y calientes consiguiendo un flujo de aire horizontal. El sistema de refrigeración se adapta a cualquier distribución de sala. Por sus características, es muy buena solución para el acondicionamiento en climatización de CPD medianos, que no superan los 100 m2 y que cuentan con un máximo de 30 racks.
3. Climatización de precisión complementaria para servidores de alta densidad. Este sistema de refrigeración no es suficiente si en los racks se acumulan gran cantidad de servidores. Son los llamados servidores de alta densidad. Para estos casos sería necesario climatización de precisión directa del rack o una climatización directa del chip, pero claro, esto es el futuro. Esta climatización está diseñada, sólo hay que empezar a construirla. Tendremos que estar preparados para localizar la refrigeración en el punto verdaderamente sensible de los equipos, sus chips o tarjetas.

Para defender a nuestros equipos del polvo podemos aislarlos, ventilar el lugar o controlar el contenido de la atmósfera en la que se encuentran:

• Ventilación: Un sistema de ventilación natural o bien instalar purificadores de aire que retienen en sus filtros el polvo suspendido.
• Aislamiento integral: Si se trata de un CPD se convierte en una zona muy sensible por lo que se hace necesario aislarlo del polvo y otras partículas como veremos más adelante.
• Pureza del aire: Para saber lo puro es el aire en una estancia, podemos instalar detectores de gases que sean capaces de detectar desde el oxígeno, al metano entre otros muchos más.

Cuando se trate de ordenadores, debemos defendernos de fugas de agua, filtraciones de lluvia o cualquier otro tipo de inundaciones, pues el agua les causa daños, a veces, irreparables. ¿Qué tenemos que hacer? :

• Sistemas de desviación: Los grifos y salidas de agua deben estar lejos de las salas con equipos informáticos, y además, contar con sistemas de desviación y absorción del agua en caso de escapes de agua.
• Sistemas de salvaguarda: Los equipos físicamente deben alejarse de las ventanas y si están sobre el suelo, elevarlos.
• Sistemas de detección: Si queremos asegurarnos de que el agua no va a dañar nuestros sistemas podemos incluir detectores de agua en aquellos lugares a los que ésta llegaría en primer término en caso de fuga, que suele ser, en el suelo, en las paredes o en el techo.

El fuego puede producir daños en los equipos informáticos irreparables, así que tendremos que tomar medidas pasivas y activas. La causa más probable de incendio en un equipo o CPD es el sistema eléctrico.

Podemos defendernos del fuego con medidas de seguridad pasiva:

• Barreras: Evitan la propagación del fuego.
• Vías de evacuación: ofrecen a las personas la posibilidad de abandonar el edificio en caso de incendio.
• Extintores: Y/o otros elementos para detener el fuego cuando éste se halla declarado.

Después de haber nombrado varias veces un CPD en esta unidad, vamos a estudiarlo más en detalle.

Un CPD es un centro de procesos de datos, normalmente se trata de una sala cuyas dimensiones dependerán de las de la empresa u organización a la que pertenezca. Por ejemplo, la Universidad de Cantabria sitúo su centro de cálculo en una habitación del rectorado en un principio, pues sólo albergaban la base de datos de profesorado, alumnado y PAS en ella. Ahora bien, a medida que fueron aumentado los servicios ofrecidos por la universidad, como la matrícula vía internet, el reconocimiento del alumnado por su tarjeta de estudiante, el control de las aulas de informática, etc.., El espacio se fue quedando pequeño. Entonces, el CPD se alojó en un edificio colindante en una sala fría que ocupaba todo un sótano.

En un CPD podemos encontrar el cableado de red, servidores, discos duros, cortafuegos, ordenadores, copias de seguridad, y todos aquellos elementos que forman parte del sistema informático de la empresa.

En un CPD debemos mantener la disponibilidad de la información, proteger su integridad y salvaguardar siempre la confidencialidad. Seguro que estos conceptos te resultan familiares, pues los has visto en la unidad anterior.

Verás ahora cuáles son las medidas de seguridad que se han de tomas en el entorno del DATACENTER. Algunas ya las conocemos, pero otras nos resultarán totalmente nuevas.

Cuando un CPD es construido pretende ser el lugar donde la información va a ser almacenada. Como ya sabes, los datos es lo más crítico y sensible y, por lo tanto, tendremos que aplicar todas las medidas de seguridad que ya conoces:

• Integridad.
• Confidencialidad.
• Disponibilidad.

Procurando que puedan cumplirse las tres simultáneamente y tendremos en cuenta lo dispuesta en la LOPDGDD que ya conoces de la unidad anterior.

Nunca empezaríamos una casa por el tejado, dice un refrán, pues esto es lo mismo que ocurre con un centro de datos, antes de nada hay que saber cuáles son las condiciones del entorno en el cual lo vamos a instalar. Veamos qué debemos tener en cuenta. Para decidir la infraestructura, antes tenemos que estudiar las condiciones geológicas en el entorno de nuestro CPD.

Tipos de infraestructuras.

Infraestructura	Debido a	Explicación
Construcción antisísmica.	Probabilidad de terremoto.	Por ejemplo si se trata de una zona con alto riesgo de terremotos, la construcción tendrá que ser sobre pilares o antisísmica.
Aislamiento térmico.	Altas y/o bajas temperaturas.	Los muros y las ventanas exteriores estarán aislados térmicamente del exterior, así las condiciones de temperatura exterior no afectarán al interior del edificio, o al menos mitigarán su efecto.
Paredes.	Polvo y fuego.	En el interior las paredes tendrán tratamiento ignífugo y anti polvo.
Suelos.	Peso de los equipos de comunicación. Inundaciones.	El suelo tendrá una alta capacidad de carga, lo que quiere decir que podrá soportar el peso de los armarios de comunicación que se almacenen en el CPD. Y además si instalamos dobles suelos añadiremos protección frente a inundaciones y electrocuciones.

¿Has viajado alguna vez en metro? Seguro que nos hemos comprado un billete con una banda magnética que al introducirla en el torno de control de paso nos permite acceder ya a cualquier metro y línea enlazando unos metros con otros, siempre que no salgas al exterior, claro.

Un Control de Accesos no es más que un mecanismo que en función de la identificación ya autentificada, permite acceder a recintos, datos o recursos.

Cada vez más, se hace necesario controlar, gestionar y monitorizar los movimientos de las personas que entran y salen de nuestras instalaciones.

Las medidas de seguridad de un DATACENTER dependerán de las dimensiones del mismo, vamos a enumerar todas las medidas de control de acceso conocidas que en un DATACENTER se pueden establecer:

• Personal de seguridad: éste es un recurso de un alto coste que sólo las grandes empresas pueden abordar.
• Control de acceso a zonas interiores: Por ejemplo, cuando aparcas en un parking subterráneo, recibes la tarjeta de entrada que te permite el acceso y en la que se encuentra grabada la hora de ingreso en el parking.
• Lectores de matrículas: Siguiendo con el ejemplo del parking, en la tarjeta, además, se graba también la matrícula del coche.
• Blindar las puertas en las áreas críticas. En muchas comunidades autónomas es obligatorio que existan estas puertas para proteger algunas zonas en caso de incendio, por ejemplo, puertas ignífugas.
• Sistemas biométricos: Que reconocen a las personas de la misma forma, o parecida a cómo lo hacemos nosotros normalmente, rasgos faciales, color de ojos….
• Control de acceso personal y/o electrónico al CPD y nuevo control en las distintas zonas: si el sistema que estamos defendiendo es crítico, deberíamos de defender también el acceso a determinadas zonas del mismo con sistemas de seguridad, por ejemplo, mediante códigos en puertas.

Siguiendo con el refranero español: dos mejor que una. Si se trata de servidores en los cuales la información es crítica, qué mejor que tener la información duplicada por si uno de los equipos se estropea, poder tener otro que entre en servicio inmediatamente. Los elementos redundantes que tenemos deben de existir de forma ideal son:

• Un CPD de respaldo, es un edificio que contenga exactamente lo mismo que el CPD original, es decir, yo tengo dos CPD´s igualitos y, ademá,s situados en diferentes localización, como dicen los ingleses "just in case", es decir, si se diera el caso de que uno de ellos no pudiera dar servicio, el otro, que es una réplica de éste, entraría en funcionamiento tan solo en unas horas. Como en el caso del DATA CENTER H1 de THE PLANET que vimos en el punto 3 de esta misma unidad.
• Diferentes proveedores de internet, ya que si en alguno de ellos se produce una avería, se podría utilizar el otro. Por ejemplo en España, puedes tener contratada una línea con telefónica y otra con ONO, así la probabilidad de que el acceso a internet no falle es mucho más baja que en el caso de tener varias líneas con el mismo operador.
• El control de la temperatura, la humedad y el filtrado del aire, también tiene que tener salvaguarda, para que en caso de fallar el sistema principal, entre en funcionamiento el sistema secundario.
• En caso de fuego, habrá que tener en cuenta todos los posibles orígenes del fuego para adoptar las medidas necesarias de detección y extinción.
• En cuanto a la acometida eléctrica, también conviene tener más de una compañía proveedora. Si una de ellas falla o se produce un apagón, disponemos de la otra compañía. En algunos lugares, si no existen dos compañías, deben tener un generador independiente que suministre electricidad al CPD.

Un centro de datos suele tener las dimensiones de una fábrica en una gran nave. Para poner en marcha un centro de datos se necesitan una gran cantidad de servidores, normalmente en granjas o en racks dentro de armarios de comunicación. Estos armarios de comunicación o estas granjas producen una gran cantidad de calor, por lo que hay que enfriar las salas en las que se encuentran.

Además, consumen gran cantidad de energía eléctrica, por lo que la “acometida” a estos centros de datos no suele de ser de baja tensión, como la de nuestras casas, sino de media tensión, como la de las empresas. Por lo tanto, también tendrán que disponer de un transformador de esa media tensión a baja tensión. Esto supone una gran inversión en infraestructura.

Así que la seguridad en estos centro de datos abarca casi todos los aspectos vistos hasta ahora.

Vas a empezar por ver los dispositivos que controlan el acceso. Para saber qué cantidad de elementos de seguridad tenemos que utilizar, es imprescindible valorar el impacto que la pérdida de datos y/o hardware supondría para la empresa. Este impacto puede ser económico, de imagen de empresa y/o personales.

Según el impacto que la pérdida de datos vaya a atener tendremos que escoger diferentes sistemas electrónicos, mecánicos y/o biométricos. Estos sistemas se pueden clasificar en autónomos y dependientes:

• Los sistemas independientes son aquellos que no necesitan una conexión a internet, se auto gestionan. También se llaman autónomos, la ventaja de estos sistemas es que su coste es muy reducido.
• En contraposición nos encontramos con los sistemas dependientes que necesitan una conexión a internet pues es desde el servidor desde donde son gestionados.

Si un sistema autónomo tiene la posibilidad de que mediante un dispositivo adicional conectado a él se puede conectar a internet, entonces el sistema se denomina autónomo convertible.

Y vas a terminar estudiando el personal de vigilancia, éstos tienen unas funciones establecidas por ley y diferenciada según sea subcontratada a:

1. Otra empresa.
2. Personal de vigilancia de la propia empresa.

Imagina que acabas de abrir el periódico y te encuentras este anuncio: “Se precisa persona de 40 a 55 años, buen trato y buena presencia para Vigilancia en portón de entrada del complejo para el control de personas y vehículos. Imprescindible trabajar sábados, domingos y festivos de 10:00 a 20:00. Días libres únicamente entre semana. Meses de enero, febrero y parte de Marzo. Importante que viva en zona cercana a Parque Juan Carlos I.”

S busca una persona que vigile la entrada a un recinto, estas personas se encargan de controlar el acceso a un determinado espacio. Deben hacerlo en las horas en las que el establecimiento está abierto, esto incluye fines de semana. Es por tanto una de las soluciones más caras para una empresa. Contratar personas para vigilar el acceso, pero asimismo es una de las más eficaces.

Te interesará saber que la normativa sobre competencias del personal de vigilancia y control se encuentra recogida en Ley 5/2014, de 4 de abril, de Seguridad Privada. En ella se describe el reglamento de Seguridad Privada.

• Tarjetas:

  Es el sistema más extendido en Data Center. El sistema consiste en proporcionar acceso a las personas que posean una tarjeta de entrada que la empresa les suministra con la que se controla el acceso, incluso en intervalos de tiempo y se identifica a las personas que acceden al mismo tiempo.

  Tipos de tarjetas:

  • Tarjetas de contacto. Las tarjetas magnéticas son leídas por contacto. Es un sistema muy económico y sencillo de instalar pero la banda magnética se degrada con cada lectura. Además, son muy sensibles al calor y a campos magnéticos, con lo cual, su deterioro es rápido.
  • Las tarjetas de proximidad funcionan por RFID (Radio frecuencia) y pueden ser leídas desde 15 centímetros las de corto alcance, hasta 2 metros, las de largo alcance. La Radio frecuencia es ventajosa pues al no producirse contacto no hay desgaste de las tarjetas por rozamiento, y es un sistema muy cómodo pues con llevar la tarjeta en el bolsillo el sistema detecta la misma sin necesidad de moverla de su ubicación.
• Teclados:
  

  Son casi siempre numéricos, en ellos se introduce un código para acceder al recinto. Pueden ser digitales y mecánicos, estos últimos muy difundidos en el Reino Unido. Los electrónicos necesitan una batería o estar conectados a la red, pues la cerradura asociada también es eléctrica.

  En estos teclados-cerradura, la contraseña debería de cambiarse con cierta asiduidad, pues es la misma para todos los usuarios y usuarias.

  Un ejemplo de cerradura mecánica puede ser el portal de casa o el portón del garaje. Tienen la desventaja que no se identifican a las personas que acceden, sólo se controla el acceso a los que conocen la contraseña.

Buscando una alternativa a las tarjetas de magnéticas, aparecieron las llaves electrónicas de contacto, resistentes a campos electromagnéticos y al calor. Además, van bien aisladas en carcasas metálicas, cubiertos de material plástico. Este las hace invulnerables al polvo y la suciedad. Al ser del tamaño de una llave, las puedes llevar en el mismo llavero con las otras llaves.

Se llaman las Smart Locks de la empresa KwikSet, y es una familia de productos que permitirá que desde cualquier parte del mundo puedas:

• Cerrar o abrir la cerradura.
• Verificar si la cerradura está abierta o cerrada.
• Ver los horarios cuando ésta fue abierta/cerrada.
• Recibir notificaciones por email cuando es abierta/cerrada.

Además, puedes asignar diferentes códigos para diferentes personas, lo que significa que no solo puedes saber los horarios en cuando las diferentes puertas son abiertas y/o cerradas, sino que también por quien.

Como ya sabes, los teclados y tarjetas tienen como misión principal permitir el acceso, mediante la apertura de la puerta en la que están situados.

Según las características de estos teclados y/o tarjetas podemos hacer una identificación del acceso asignando diferentes contraseñas a cada usuario y usuaria.

Y podemos avanzar en complejidad con horarios de apertura para determinados usuarios y usuarias y almacenamiento de intentos frustrados de acceso si estos elementos están conectados a un ordenador.

Los teclados siempre se encuentran junto a las puertas y son visibles para poder introducir la contraseña de acceso. Sin embargo, las tarjetas pueden tener lectores mecánicos para su lectura o lectores por radio-frecuencia invisibles para el usuario.

Por supuesto, también cabe la posibilidad de que ambos sistemas se presenten combinados, es decir, un sistema de acceso por tarjeta. Una vez reconocida la tarjeta, solicite el código de la misma, estos sistemas combinados proporcionan una doble seguridad, puesto que si la tarjeta se extravía, alguien desconocido no puede acceder al edificio con ella, porque desconoce el código a teclear.

De esta forma estamos haciendo un reconocimiento de la persona que accede y además autenticando su identidad.

Voy a intentar aclarar la palabra autenticar, pues la vamos a utilizar de ahora en adelante y no es un error, sino un nuevo concepto. Autenticar es dar fe de la verdad de un hecho o documento con autoridad legal. Por ejemplo, si tú llevas el DNI de ese amigo o esa amiga, al que casualmente te pareces mucho, podrías pasar por él o ella. Si además del DNI, te piden firmar, entonces, no es tan fácil que te hagas pasar por él o ella, puesto que tendrías que también imitar su firma. Luego cuando hablamos de autenticación nos referimos al procedimiento de comprobación de la identidad del usuario.

Ahora te reto a que reflexiones sobre las formas que conoces para identificar a las personas. La forma más antigua es porque ya le conoces. Es decir, identificas sus rasgos personales con esa persona. Otra forma habitual de identificación es por contraseña, por ejemplo, tu usuario y contraseña en el equipo de casa. Y la última forma de identificar a las personas es por algo que llevan, por ejemplo, el DNI. Pues bien, al DNI, a la contraseña y a los rasgos personales se les llama entidades. Luego estamos realizando la autenticación (diciendo que la persona que porta la entidad es la que dice ser) a través de una entidad.

Si generalizamos, una entidad es:

• Algo que tienes. Por ejemplo la llave de casa.
• Algo que sabes. El PIN de tu tarjeta de crédito.
• Algo que eres. Alto o alta, delgado o delgada, ojos azules…

Si buscas biometría en el diccionario encontrarás que es el estudio de los métodos que permiten reconocer a seres humanos fundamentándose en factores genéticos o en determinados rasgos físicos o de conducta.

Pero si de personas estamos hablando, tendremos que tener en cuenta que las personas, pierden o extravían lo que poseen, o bien, olvidan o confunden lo que memorizan. Con lo cual, hay que tener en cuenta que ambas autenticaciones tienen problemas:

Podemos afirmar pues que el problema es que NO se puede distinguir al usuario impostor con posesión y/o conocimiento del medio de seguridad utilizado (password, PIN, etc.).

Es cuando para resolver el problema podríamos utilizar los rasgos (físicos) de las personas.

Podremos escoger dos tipos de rasgos:

• Rasgos fisiológicos: huellas dactilares, geometría de la mano/dedo, iris, ADN, etc.
• Rasgos del comportamiento: voz, firma, modo de teclear, modo de andar, etc.

  Este tipo de autenticación se llama autenticación biométrica y casi todo son ventajas:

  • No pueden ser sustraídos, perdidos, olvidados o descolocados.
  • Representan una manifestación tangible de lo que alguien es.

Tú eres capaz de reconocer a un amigo instantáneamente, de frente, de perfil, e incluso sólo viendo la parte de atrás de su cabeza, y esto lo haces, aparentemente, sin esfuerzo, abres tus ojos e interpretas el mundo que ves a través de ellos. Puedes entonces pensar que nuestro sistema sensorial es un pequeño científico que genera hipótesis sobre el mundo. Eso precisamente, es lo que queremos que hagan los sistemas de detección biométricos. Que distingan los rasgos de las personas tal y cómo en ellas están definidas. Pero claro, tendremos que escoger uno de estos rasgos y para que sea científicamente válido tendrá que cumplir unas determinadas condiciones:

• Universalidad: Toda persona debe poseer dicho rasgo biométrico.
• Unicidad: Personas distintas deben poseer rasgos diferenciados / distintos.
• Permanencia: El rasgo debe ser invariante con el tiempo a corto plazo.
• Perennidad: El rasgo debe ser perpetuo, es decir, invariante con el tiempo a largo plazo (vida de la persona).
• Mensurabilidad: El rasgo debe poder ser caracterizado cuantitativamente.

Por cumplir estas características, algunos de estos rasgos biométricos son utilizados por la policía para identificar a las personas desde hace décadas. Vas a ver cómo algunos de ellos se pueden utilizar para controlar el acceso de personas. Te preguntarás si alguno de estos rasgos podrá ser fiable, es decir, que no pueda ser truncado o utilizado de forma fraudulenta. A esto se le llama un sistema robusto, y cómodo, además de rápido para los usuarios. Por último, no tiene que ser peligroso para la salud y/o la integridad física de las personas.

Es igual de importante que los otros tres aspectos citados que la forma de reconocimiento de las personas sean aceptados por éstas de forma voluntaria. Por tanto, la caracterización de los sistemas biométricos se hace en función de:

• Rendimiento: precisión en el proceso de identificación.
• Aceptabilidad: grado de aceptación/rechazo personal y social del sistema biométrico.
• Evitabilidad: capacidad de eludir el sistema mediante procedimientos fraudulentos.

Ahora tendrás que escoger con qué magnitud biométrica te quedas. Y tendrás que decidir si el sistema es lo suficientemente bueno para usarse como identificador de personas o como respaldo de otro sistema de identificación adicional. Por ejemplo, podemos solicitar una identificación adicional a los estudiantes que portan la tarjeta universitario inteligente. Puede ser la huella dactilar. Con esta nueva medida, no hay posibilidad de intercambio de las tarjetas. La persona queda identificada (por su nombre) y autenticada (por su huella dactilar).

Para saber lo bueno que es un sistema biométrico y poder compararlo con otro, establecemos tres variables. En conjunto nos darán la velocidad de reconocimiento de la persona (tiempo de verificación), cuántas veces confunde a una persona autorizada con otra que no lo está (falsa aceptación) o, al revés, no permite el acceso a una persona autorizada aún cuando ésta es quién dice ser (falso rechazo):

• Tasa de falso rechazo: Posibilidad de que un dispositivo biométrico no reconozca a una persona autorizada.
• Tasa de falsa aceptación: Probabilidad de que un dispositivo biométrico permita entrar a una persona no autorizada.
• Tiempo de verificación / desempeño: Tiempo de verificación es el tiempo que tarde el sistema en identificar al individuo una vez que éste ha presentado la variable biométrica al lector. Desempeño es el tiempo total que la persona emplea en el control de acceso, desde que llega al lugar hasta que es admitida y tecleado su código y el sistema de apertura se ha puesto en funcionamiento.

Cuando en el instituto le pidieron a Iván que buscara una solución al chequeo de horarios y control de asistencia del personal al TSCI para evitar que un visitante marque la entrada de otro pensó que la mejor opción era implementar un sistema que utilizara un lector de Huellas digitales. Con ella, podrá marcar la hora de entrada y salida de los visitantes ya que se puede utilizar tanto en puertas como en ordenadores, como segundo sistema de verificación. Además, del sistema de usuario y la contraseña.

Huellas

La huella es la misma a lo largo de la vida. Aunque heridas en los dedos pueden impedir una lectura correcta de la misma y sí que cambia de tamaño, creciendo la huella a medida que persona se desarrolla. Suelen tener una tasa de falso rechazo menor del 1% y una tasa de falsa aceptación del 0.0001%. Un promedio de tiempo de verificación de 0.5 segundos. Es el sistema más barato del mercado para control de acceso.

Manos

Los sistemas de reconocimiento que utilizan la mano, la pueden utilizar de diferentes maneras. El sistema más fiable es el que utiliza el entramado de venas de ella, que es el mismo a lo largo de la vida de la persona y es diferente en todo el mundo.

Otros sistemas utilizan la geometría de la mano, su tamaño, forma de la palma y de los dedos.

La mano es leída con maquinaría óptica. Esta maquinaria lleva asociado unos algoritmos que crean patrones a partir de los datos leídos. Esta maquinaria está integrada en un lector de control de acceso en el cual se introduce la mano.

La tasa de falso rechazo es la misma que la tasa de falsa aceptación y la tasa de error: 0,1%. El tiempo de verificación ronda el segundo.

Los últimos sistemas de reconocimiento de la mano introducen un sistema que evalúa una imagen tridimensional de parte de la misma, por ejemplo cuatro dedos y parte de la palma de la mano. Estos sistemas son los más utilizados dentro del control de acceso de personas.

Ojos

El iris es la parte del ojo que tiene color y es inalterable a lo largo de la vida, como también lo son las venas de la retina del ojo. Ambos son usados para la identificación de las personas. El reconocimiento de las venas de la retina del ojo se utiliza desde 1982 y tiene un 0.4% de tasa de falso rechazo. Sin embargo, la tasa de aceptación es de 0,001%. El tiempo de verificación oscila entre 1.5 y 4 segundos, esta variación depende del número de usuarios y usuarias y puede funcionar de forma autónoma o en red e ir asociada al uso de tarjetas. Sin embargo, los datos del reconocimiento del iris, se utilizan desde 1994 con unas estadísticas mucho mejores: menos de 0,001% de tasa de falso rechazo y falsa aceptación. El tiempo de verificación es entorno a 2segundos y puede funcionar de forma autónoma o en red.

Voz

¿Reconoces las voces de tus amigos y familiares al teléfono? Se puede reconocer la voz utilizando los tonos graves y agudos, las distintas vibraciones de la laringe o los tonos nasales para reconocer la identidad de las personas. Muchas compañías han intentado realizar sistemas de reconocimiento de voz, pero son pocas las que actualmente se encuentran en el mercado. Para reconocer la voz se colocan teléfonos en los puntos de acceso que se enlazan con un ordenador central, que es el que realiza la verificación. Es un sistema que no puede funcionar de forma autónoma, debe funcionar siempre en red y del que no hay estadísticas sobre tasas de falso rechazo o falsa aceptación. El tiempo de verificación se estima en 1,5 segundos.

Son tantos los métodos biométricos que hay en el mercado que encontrar cuál es el que más nos conviene resulta difícil. Decidirse por uno en concreto supone haberlos comparado con los otros. Para compararlos tenemos que conocer datos concretos y comparables de cada uno de ellos.

Puedes utilizar las variables conocidas de fiabilidad, facilidad de uso y aceptación. Y complementarlas con los usos habituales de esos sistemas. Otra característica importante para decidir es ver cuáles son las interferencias o inconvenientes que presentan cada una de ellas. Y por último, si el sistema identifica a la persona, o identifica y además “autentica”, es decir, comprueba que la persona es quién dice ser.

	Ojo - Iris.	Huellas dactilares.	Geometría de la mano.	Voz.
Fiabilidad.	Muy Alta.	Alta.	Alta.	Alta.
Facilidad de uso.	Media.	Alta.	Alta.	Alta.
Prevención de ataques.	Muy Alta.	Alta.	Alta.	Media.
Aceptación.	Media.	Media.	Alta.	Alta.
Identificación y autenticación.	Ambas.	Ambas.	Autenticación.	Autenticación.
Interferencias.	Gafas.	Suciedad, heridas, asperezas.	Artritis, reumatismo.	Ruido, resfriados.
Utilización.	Instalaciones nucleares, servicios médicos, centros penitenciarios.	Policía, industrial.	General.	Accesos remotos en bancos o bases de datos.

Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque el costo de la seguridad total es muy alto, recuerda que hablaremos de fiabilidad.

Al igual que la universidad de Cantabria, algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologías. El fin es obtener el mayor provecho y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.

En este sentido, las Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concienciar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos.

De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere:

• Un alto compromiso con la organización.
• Agudeza técnica para establecer posibles fallos y debilidades.
• Constancia para renovar y actualizar dicha política.
• Considerar el dinámico ambiente que rodea las organizaciones modernas.

Llegados a este punto podemos definir una "Política de Seguridad" como un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales lo que está y lo que no está permitido en el área de seguridad durante la/las operación/es general/es del sistema.

Si abrimos la puerta de nuestra casa y nos encontramos dentro una persona que no conocemos, en seguida nos surgen algunas preguntas, ¿quién es esa persona?, ¿cómo ha entrado en la casa y cuándo entró?, o ¿cuánto tiempo lleva dentro de la casa?

Claro que podemos añadir preguntas cuando estas tres hayan sido contestadas, pero quién, cuándo y cómo son las tres preguntas fundamentales cuya respuesta será lo que conforme la política de seguridad. Quién entra, cómo ha entrado y cuándo entró y salió de las dependencias de nuestro de centro de datos o del lugar que deseamos proteger.

Si hablamos de informática, lo que tenemos que proteger es el lugar donde se encuentran los datos y recursos que compartimos.

El caso más habitual en las empresas es un NAS (Network Attached Storage) es el nombre dado a la tecnología de almacenamiento dedicada a compartir la capacidad de almacenamiento de un computador con ordenadores personales o servidores clientes a través de una red. Aquí, los empleados y empeladas guardan sus ficheros personales y comparten información. Quién, cuándo y cómo accede a ese NAS es algo que debe ser controlado por el administrador en función de la política de seguridad establecida por la empresa. Por ejemplo, en la tabla puedes ver una de las normas más elementales para el NAS, el horario en el que los empleados y empleadas pueden acceder a él. Este horario normalmente coincide con el horario de la empresa. Fuera de él, el empleado o empleada no debería necesitar dicha información, por tanto, es una norma general de seguridad cerrar el acceso a ese usuario cuando no lo va a usar.

La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán".

La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema. Pero, ante todo, una política de seguridad es una forma de comunicarse con los usuarios y usuarias. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas y debe:

• Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a ésta no se la ha cerrado con llave.
• Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
• Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
• Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.

Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.

No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados y empleadas. Es más bien una descripción de lo que deseamos proteger y el porqué. En este sentido, las Políticas definen "qué" se debe proteger en el sistema, mientras que los Procedimientos de Seguridad deben describir "cómo" se debe conseguir dicha protección.

En definitiva, si comparamos las Políticas de Seguridad con las Leyes en un Estado de Derecho, los Procedimientos serían el equivalente a los Reglamentos aprobados para desarrollar y poder aplicar las Leyes. Y serán completados ambos documentos con los procedimientos de seguridad donde se detallen los pasos necesarios para implementar cada operación.

Quizás en este momento te sea de gran utilidad ver un ejemplo de política de seguridad, junto con los procedimientos y las tareas que éstas llevan asociadas en el plan de seguridad.

Y ahora vamos a crear una política de seguridad, la tarea se hace más sencilla si tenemos en mente un ejemplo. Imaginemos el servidor web de un instituto. En este servidor web se encuentran alojadas la página web del instituto, de la biblioteca y un gestor de contenidos o intranet.

• Primer paso: Lo más recomendable es crear unas guías de cómo realizar cada una de las tareas para aquellas personas que las llevan a cabo. Al mismo tiempo crear otras guías para usuarios con las directrices de lo que se considera un uso aceptable del sistema. Además, hay que instalar el hardware y software necesario para reforzarlas con otras que indiquen cuál es la forma que se espera que los usuarios. Por otra parte, habrán de instalarse y configurarse el hardware o software de seguridad necesario.
• Segundo paso: Definir claramente las responsabilidades exigidas al personal con acceso al sistema: técnicos, analistas y programadores, usuarios finales, directivos, personal externo a la organización.
• Tercer paso: Debe cumplir con las exigencias del entorno legal.
• Cuarto paso: Revisar de forma periódica las políticas de seguridad para poder adaptarlas a las nuevas exigencias de la organización y del entorno tecnológico y legal.
• Quinto paso: Aplicación del principio de "Defensa en profundidad": definición e implantación de varios niveles o capas de seguridad.
• Sexto paso: Asignación de los mínimos privilegios. Los servicios, las aplicaciones y usuarios del sistema deberían tener asignados los mínimos privilegios necesarios para que puedan realizar sus tareas. La política por defecto debe ser aquella en la que todo lo que no se encuentre expresamente permitido en el sistema estará prohibido. Las aplicaciones y servicios que no sean estrictamente necesarios deberían ser eliminados de los sistemas informáticos.
• Séptimo paso: Configuración robusta ante fallos. Los sistemas deberían ser diseñados e implementados para que, en caso de fallo, se situaran en un estado seguro y cerrado, en lugar de en uno abierto y expuesto a accesos no autorizados.
• Octavo paso: Las Políticas de Seguridad no deben limitarse a cumplir con los requisitos impuestos por el entorno legal o las exigencias de terceros, sino que deberían estar adaptadas a las necesidades reales de cada organización. Es importante que se reflejen las características específicas de cada empresa o institución en las políticas, pues los entornos de una a otra pueden ser muy cambiantes.

Cuando definitivamente Iván se dispuso a implantar la política de seguridad tuvo en cuenta los recursos, instalaciones y procesos a los que afectaba, marcando claramente los objetivos y prioridades.

La Dirección en todo momento le ayudó a identificar todos los elementos que forman parte de la política, tanto elementos físicos como lógicos. Analizó y gestionó los posibles riesgos, asignó responsabilidades, definió qué se puede y qué no se puede hacer si eres un usuario o usuaria del sistema.

Por otra parte, identificó las medidas, normas y procedimientos de seguridad a implantar, y cómo gestionar los incidentes. Para ello, diseñó un plan de contingencia cumpliendo en todo momento la legislación vigente, y por último, definió las posibles violaciones y las consecuencias derivadas del incumplimiento de las políticas de seguridad.

Otro factor importante es determinar qué personas están implicadas en las Políticas de seguridad y no menos importantes son los documentos que hay que crear, en los cuales debe figurar información similar a la reflejada en este formulario:

En los procedimientos será necesario especificar además de lo arriba indicado, estos otros conceptos:

• Descripción detallada de las actividades que se deben ejecutar.
• Personas o departamentos responsables de su ejecución.
• Momento y/o lugar en que deben realizarse.
• Controles para verificar su correcta ejecución.

Todo ha de estar bien inventariado, desde los recursos hardware, como ordenadores hasta los lugares donde la información está almacenada, bases de datos, archivos, documentos, etc. Por tanto, la implantación de los distintos elementos de las Políticas de Seguridad requiere de un inventario previo y del mantenimiento de un registro actualizado de los recursos del sistema informático. El conjunto de recursos que podrás encontrar en la organización son: equipamiento de hardware y de comunicaciones, software, datos, documentación, manuales, consumibles, etc.

Asimismo, será necesario que identifiques los distintos puntos de acceso a la red y los tipos de conexiones utilizadas, tales como:

• Centros de tratamiento y locales donde se encuentren ubicados los servidores/computadoras o se localizan medios de almacenamiento con copias de los datos.
• Puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso a los ficheros con datos de carácter personal.
• Servidores, computadoras personales, laptops, agendas electrónicas, impresoras y otro equipamiento informático.
• Sistemas operativos y aplicaciones informáticas instaladas.
• Infraestructura de red de datos y de comunicaciones de la organización.
• Documentación y manuales de las aplicaciones y dispositivos del sistema informático.
• Bases de datos, archivos y documentos…

El inventario de los distintos recursos te facilitará el posterior análisis de las vulnerabilidades del sistema informático, identificando los posibles objetivos de los ataques o intentos de intrusión.

Es importante que distingas entre los servicios ofrecidos para las usuarias y usuarios internos y para los externos. Así, los responsables de la organización podrán definir las condiciones de uso aceptable para cada uno de estos servicios. También las áreas o departamentos se van a encargar de ofrecer los distintos servicios y qué personas serán las responsables de administrar y supervisar cada uno de estos servicios.

Realización de pruebas y auditorías periódicas.

La realización de pruebas y auditorías periódicas de seguridad constituyen un elemento de gran importancia para poder comprobar la adecuada implantación de las directrices y medidas definidas en las Políticas de Seguridad.

¿Te has planteado ya realizar una política de seguridad? A veces es mejor empezar por un plan de seguridad sencillo, por ejemplo, la política de seguridad de tu portátil (suponiendo que tengas uno). Seguro que hay políticas no escritas sobre el mismo. Como quién es el responsable de autorizar el acceso al mismo, bueno dicho así suena extraño, pero casi seguro que esa persona eres tú. Es decir, tú dices quién puede usar o no el ordenador. ¿Y si un amigo o amiga te lo pidiera prestado? ¿Le harías algunas advertencias o le avisarías para que no hiciera determinadas acciones con él? Evidentemente, quieres que cuando te lo devuelva, esté igual que se lo dejaste…, bueno pues todos estos aspectos son los mismos que hay que considerar en las políticas de seguridad.

Vamos a ponernos manos a la obra, ahora tenemos que desarrollar la política de seguridad. Son muchos los aspectos que tenemos que considerar, así que lo haremos analizando cada uno de ellos: personal, adquisición de productos, instalaciones… Y dentro de cada uno de ellos, desglosaremos todos los aspectos posibles, explicando con mayor profundidad los más habituales.