La Seguridad Física

Por seguridad física se entienden los riesgos y la protección de la infraestructura: los equipos de computación, periféricos e instalaciones de apoyo.

Cuando se ocupan PC de bajo costo, la protección de infraestructura se concentra en aquellos componentes que almacenan datos. La pérdida de la información es normanlemte  mucho mas costosa que la perdida de cualquier otro componente tal como pantallas, teclados o impresoras. Por lo mismo donde se deben concentrar los esfuerzos es en proteger los dispositivos de almacenamiento fijos: típicamente los discos duros. 

La actual tendencia al uso de discos de 20 gigabytes o más presenta un gran factor de riesgo para la integridad de la información. Los discos duros pueden ser accidentalmente borrados, formateados, destruidas sus particiones o su estructura de archivos o, lo que es peor, pueden sufrir un daño físico irrecuperable. Lamentablemente a mayor capacidad y velocidad de acceso, mas propensos están los discos duros a sufrir daño físico.

Un disco duro puede fallar por causas eléctricas o mecánicas. un peak de sobretensión producido por un repentino corte o reestablecimiento de la energía eléctrica puede quemar cualquiera de los componentes de los circuitos controladores. Un golpe, inundación, variación de temperatura sobre cierto rango o el simple uso diario puede causar fallas mecánicas que hacen que el disco deje de girar  o que los cabezales de lectura no puedan posicionarse correctamente.

Si la falla ha sido eléctrica (controlador quemado) y si se tiene otro disco idéntico en buen estado se pueden intercambiar los board de controladoras y así recuperar la información (grabándola a un CD por ejemplo). Si la falla ha sido mecánica es muy difícil que se pueda recuperar información.

 Contramedidas para fallas del disco duro

  • Evitar el uso de discos duros de capacidad muy grande a menos que sea absolutamente necesario, es mejor usar dos o mán unidades menores destinando una de ellas como "unidad espejo" que guarde una copia exacta y actualizada de la imformación más valiosa
  • Cuando se deban usar unidades grandes por el volúmen de los datos usar unidades RAID (conjunto redundante de discos económicos) que guarden la información repetida en distintas unidades de disco económico.
  • Prevenir condiciones extremas de temperatura y riesgo de inundación en las instalaciones.
  • Contar con una línea de suministro eléctrico estabilizada, sin sobrecarga, con buena tierra y con protectores de peak de sobretensión.
  • Instalar los equipos en lugares  a salvo de golpes y caídas

El acceso no autorizado

Demtro de los riesgos de infraestructua se encuentra el de acceso no autorizado, que puede provenir de diversas circunstancias:

  • Personal dentro de la propia organización accediendo a equipos de colegas o a información para la cuan no cuentan con autorización
  • Personal autorizado que pasa información inadvertidamente
  • Personal autorizado que saca información maliciosamente
  • Personal de servicio (aseo, secretaría, etc.)
  • Personal de servicio técnico
  • Ladrones o espías enviados expresamente a robar información

Como regla general e ha determinado que la mayor parte de los accesos autorizados proviene desde dentro de la propia organización, ya sea maliciosa o inadvertidamente. Un empleado puede pasar varios años descontento de su trabajo sin que se note o se le de demasiada importancia, estos empleados descontentos son el principal riesgo para la confidencialidad de la información, así como las prácticas descuidadas en el manejo de password y la mantención de información accesible a cualquiera que encienda el equipo. Un computador personal debiese ser tan bien cuidado como la propia billetera y dentro de la organización debe existir una política de responsabilidades efectiva y bien conocida en cuanto al cuidado del acceso a los datos del equipo de cada cual.

Contramedidas para el acceso no autorizado

  • Responsabilidad efectiva de cada empleado en la confidencialidad de sus contraseñas: revelar una contraseña personal incluso a un colega debe ser considerado falta grave dentro de la politica instituional
  • Difusión constante sobre los daños que puede acarrear relajar el cumplimiento de las políticas de seguridad
  • Existen diversos programas de auditoría o surveyors que van registrando las actividades diarias de cada uno de los usuarios, muchos cortafuegos también cumlen de manera más limitada estas funciones, ambos son útiles para evitar que maliciosamente se robe información
  • Finalmente la medida mas importante contra el robo de información es el uso de volúmenes de disco encriptados con utilitarios tales como el PGP Disk, esto impide los riesgos de filtración del personal de aseo, secretarias o de servicio técnico