Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos

Enlace a la red social de Facebook Enlace a la red social de Twitter Enlace al canal de Inteco-Cert en el portal de videos YouTube

Enlace al canal de Inteco-Cert en Scribd Enlace al canal de Inteco-Cert en Slideshare

Encuesta de Calidad de INTECO-CERT

  • 1.- ¿Ha encontrado en el portal de INTECO-CERT la información que buscaba? *
  • 2.- ¿Dicha información le ha resultado útil / interesante? *

Comunicaciones y Accesos

COMUNICACIONES

El edificio

El caso de las comunicaciones del edificio ocurre de forma análoga al apartado de energía, el principal objetivo debe ser buscar la mayor redundancia posible.

En la actualidad, las redes de datos y de voz son prácticamente la misma, por lo que se debe realizar un buen estudio del despliegue, ya que esto afectara directamente al nivel de seguridad.

En la mayor parte de los casos los ISP firman un contrato en el que garantizan un nivel de conectividad con una tasa fija de fallos, por lo que ajustar la calidad del servicio dentro del presupuesto disponible es un punto a tener en cuenta.

Por último es necesario también tener en cuenta el cableado, ya que existe una amplia variedad de soluciones y la seguridad también es aplicable, ya que unos cables no protegidos son susceptibles de sufrir cortes, intercepciones, sabotajes, etc.

La totalidad de la estructura se ve ocupada por los cables, por lo que la variedad de tipos es muy amplia ya que va desde los cables de alimentación o el cable telefónico, hasta el cable coaxial o la fibra óptica.

A nivel de datos, existen cables de seguridad que evitan las interferencias y cualquier tipo de monitorización, mediante sistemas de tubos herméticamente cerrados, pueden detectar diferencias de presión y activar una alarma.

Hardware

En este punto nos referiremos a la red en general y no a los dispositivos como elementos individuales de dicha red. Asimismo, se debe planificar cuidadosamente el diseño de la red y su seguridad ya que tenga esta el tamaño que tenga, su correcto funcionamiento y por lo tanto su seguridad serán fundamentales.

Al igual que en las comunicaciones del edificio, aquí también se estudiara el cableado, ya que este podría llegar a ser determinante a la hora de una caída de la red o un sabotaje.

Para poder disponer de una red fiable es fundamental la existencia y correcta configuración de todos los elementos de red –enrutadores, switches, concentradores o módems-, además se tendrá en cuenta el acceso a todos estos elementos, desde los más centrales hasta los más periféricos de la red.

ACCESOS

El edificio

El control de acceso al propio edificio es uno de los ejemplos más clásicos de la seguridad física y uno de los primeros puntos a tener en cuenta al realizar cualquier Plan de Seguridad.

Se trata del elemento de seguridad que más ataques recibe por parte de intrusos, propios y ajenos, que pueden intentar acceder, no solo desde las puertas principales o las ventanas –cuya apertura sería recomendable que estuviese controlada electrónicamente-, sino también desde los accesos de mantenimiento, los sistemas de ventilación o las zonas de evacuación de emergencia.

Además, hay que tener en cuenta los diferentes tipos de usuario que acceden al edificio y aplicar correctamente las diferentes políticas, no tiene el mismo nivel de acceso un empleado, que un contratista o una visita. Para ello es recomendable el uso de tarjetas –RFID, inteligentes, según proceda-, e incluso de sistemas biométricos para el personal propio que controle y regule la entrada y salida de las zonas más críticas.

Se deben tener en cuenta no solo la estructura exterior, sino que además se deben proteger los elementos más críticos: armarios, equipos informáticos o racks, ya sea mediante puertas de seguridad autocerrables, controles de acceso a diferentes zonas o incluso mediante rondas de vigilancia, ya que un intruso que accediese al interior podría tener mucho tiempo disponible para forzar las medidas de seguridad.

Hay que tener en cuenta dos regímenes de funcionamiento en el acceso a las diferentes áreas del edificio así como al propio edificio - diurno y nocturno – ya que es necesario establecer diferentes niveles de seguridad.

Los trabajadores deben ser conscientes de las diferentes áreas de seguridad y cuando traten con personal ajeno a la organización, conocer la normativa básica al respecto: acompañamiento continuo, identificación visible, etc.

Hardware

En este apartado podemos distinguir dos niveles:

  • Físico

El acceso a estos dispositivos debe estar regulado en función de las necesidades de cada departamento, los usuarios y los grupos de usuarios.

Los equipos más importantes tales como: routers, cortafuegos, switches, servidores, etc., estarán ubicados en armarios o habitaciones que posean un control de acceso: tarjetas, biométrico, llaves, etc.

El Hardware es el que más posibilidades tiene de recibir alguna acción hostil, que se pueden distinguir en:

  • Robos: mayoritariamente, los equipos informáticos suelen tener un valor relativamente alto y el material depositado en las zonas de stock o los equipos de las zonas de equipamiento mas valioso pueden ser fácilmente sustraibles.
  • Fraude: Muchas empresas pierden grandes cantidades de dinero cada año no solo en impacto directo del fraude, sino en imagen frente a la opinión pública, clientes y autoridades.
  • Sabotajes: Son de los más difíciles de contener ya que hay que contar con que el saboteador –externo o interno- lo realiza con dolo, por lo que hay que tener en cuenta la posibilidad de un intento de acceso forzado –lógico y/o físico -.
  • Lógico

Además de la lógica instalación de software de seguridad, la limitación mediante software de los equipos –en función del trabajo que desarrolle la PYME puede llegar a ser muy engorroso de configurar-, aquí juega un papel importante la sensibilización de los usuarios, los cuales mediante una buena planificación de la Formación Continua deben tener no solo conocimientos adecuados de seguridad informática, sino un correcto conocimiento de las normas de acceso o el uso de los equipos, haciendo hincapié en la seguridad de los datos y las comunicaciones, ya que son los propios trabajadores el mejor aliado para mejorar la seguridad de la empresa

Además de esto es importante realizar una monitorización continua mediante el almacenaje de logs o IDS o IPS ya que no se debe descartar que un atacante tenga tiempo suficiente para realizar ataques de fuerza bruta a nuestros sistemas.

Debemos destacar la seguridad de los equipos de usuario –de sobremesa, portátiles, dispositivos móviles- ya que también forman un conjunto de especial protección porque son los equipos más expuestos a posibles fugas de información e incluso ataques intencionados por parte de usuarios autorizados, por lo que su monitorización, e incluso limitación –dentro de los límites de la ley- o la limitación en el uso de unidades de almacenamiento: discos portátiles, llaves USB, DVD, etc., es muy relevante.