ISO-27001: LOS CONTROLES

Al escuchar la palabra Control, automticamente viene a la mente la idea de

alarma, hito, evento, medicin, monitorizacin, etc.. se piensa en algo muy
tcnico o accin. En el caso de este estndar, el concepto de Control, es mucho
(pero mucho) ms que eso, pues abarca todo el conjunto de acciones,
documentos, medidas a adoptar, procedimientos, medidas tcnicas, etc.
Un Control es lo que permite garantizar que cada aspecto, que se valor con un
cierto riesgo, queda cubierto y auditable, de muchas formas posibles.

A.9 SEGURIDAD FSICA Y DEL ENTORNO

Este grupo cubre trece controles y tambin se encuentra subdividido en:

- reas de seguridad: Seguridad fsica y perimetral, control fsico de entradas,

seguridad de locales edificios y recursos, proteccin contra amenazas externas y
del entorno, el trabajo en reas de seguridad, accesos pblicos, reas de entrega
y carga.
- Seguridad de elementos: Ubicacin y proteccin de equipos, elementos de
soporte a los equipos, seguridad en el cableado, mantenimiento de equipos,
seguridad en el equipamiento fuera de la organizacin, seguridad en la
redistribucin o reutilizacin de equipamiento, borrado de informacin y/o software.

A juicio del autor, uno de los mejores resultados que se pueden obtener en la
organizacin de una infraestructura de seguridad de la informacin, est en
plantearla siempre por niveles. Tal vez no sea necesario hacerlo con el detalle de
los siete niveles del modelo ISO/OSI, pero s por lo menos de acuerdo al modelo
TCP/IP que algunos consideran de cuatro (Integrando fsico y enlace) y otros de
cinco niveles.

Nuevamente el criterio de este autor, aprecia que es correcto considerar

separadamente el nivel fsico con el de enlace, pues presentan vulnerabilidades
muy diferentes. Si se presenta entonces el modelo de cinco niveles, se puede
organizar una estructura de seguridad contemplando medidas y acciones por cada
uno de ellos, dentro de las cuales se puede plantear, por ejemplo, lo siguiente:

Aplicacin: Todo tipo de aplicaciones.

Transporte: Control de puertos UDP y TCP.
Red: Medidas a nivel protocolo IP e ICMP, tneles de nivel 3.
Enlace: Medidas de segmentacin a nivel direccionamiento MAC, tablas
stticas y fijas en switchs, control de ataques ARP, control de broadcast y
multicast a nivel enlace, en el caso WiFi: verificacin y control de
enlace y puntos de acceso, 802.X
(Varios), empleo de tneles de nivel 2, etc.
 Fsico: Instalaciones, locales, seguridad perimetral, CPDs, gabinetes de
comunicaciones, control de acceso fsico, conductos de comunicaciones,
cables, fibras pticas, radio enlaces, centrales telefnicas (Tema a
desarrollar en este)

Como se puede apreciar, este es una buena lnea de pensamiento para plantear
cada una de las actividades y evitar que se solapen algunas de ellas y/o que
queden brechas de seguridad.

En el caso fsico, es conveniente tambin separar todas ellas, por lo menos en los
siguientes documentos:
Documentacin de control de accesos y seguridad perimetral general, reas de
acceso y entrega de materiales y documentacin, zonas pblicas, internas y
restringidas, responsabilidades y obligaciones del personal de seguridad fsica.
Documentacin de CPDs: Parmetros de diseo estndar de un CPD, medidas
de proteccin y alarmas contra incendios/humo, cadas de tensin,
inundaciones, control de climatizacin (Refrigeracin y ventilacin), sistemas
vigilancia y control de accesos, limpieza, etc.
Documentacin y planos de instalaciones, canales de comunicaciones,
cableado, enlaces de radio, pticos u otros, antenas, certificacin de los
mismos, etc.
Empleo correcto del material informtico y de comunicaciones a nivel fsico: Se
debe desarrollar aqu cuales son las medidas de seguridad fsica que se debe
tener en cuenta sobre los mismos (Ubicacin, acceso al mismo, tensin
elctrica, conexiones fsicas y hardware permitido y prohibido, manipulacin de
elementos, etc.). No se incluye aqu lo referido a seguridad lgica.
Seguridad fsica en el almacenamiento y transporte de material informtico y
de comunicaciones: Zonas y medidas de almacenamiento, metodologa a
seguir para el ingreso y egreso de este material, consideraciones particulares
para el transporte del mismo (dentro y fuera de la organizacin), personal
autorizado a recibir, entregar o sacar material, medidas de control. No se
incluye aqu lo referido a resguardo y recuperacin de informacin que es
motivo de otro tipo de procedimientos y normativa.
Documentacin de baja, redistribucin o recalificacin de elementos:
Procedimientos y conjunto de medidas a seguir ante cualquier cambio en el
estado de un elemento de Hardware (Reubicacin, cambio de rol, venta,
alquiler, baja, destruccin, comparticin con terceros, incorporacin de nuevos
mdulos, etc.).
 Seguridad Fsica

La seguridad fsica hace referencia a las barreras fsicas y mecanismos de control

en el entorno de un sistema informtico, para proteger el hardware de amenazas
fsicas. La seguridad fsica se complementa con la seguridad lgica.asi mismo los
mecanismos de seguridad fsica deben resguardar de amenazas producidas tanto
por el hombre como por la naturaleza.

Es muy importante ser consciente que por ms que nuestra empresa sea la ms
segura desde el punto de vista de ataques externos, Hackers, virus, etc.
(conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto
como combatir un incendio.

La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de

un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se
prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a
acceder fsicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar
una cinta de la sala, que intentar acceder va lgica a la misma.

TIPOS DE DESASTRES

No ser la primera vez que se mencione en este trabajo, que cada sistema es
nico y por lo tanto la poltica de seguridad a implementar no ser nica. Este
concepto vale, tambin, para el edificio en el que nos encontramos. Es por ello
que siempre se recomendarn pautas de aplicacin general y no procedimientos
especficos. Para ejemplificar esto: valdr de poco tener en cuenta aqu, en Entre
Ros, tcnicas de seguridad ante terremotos; pero s ser de mxima utilidad en
Los ngeles, EE.UU.

Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por
el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el
centro.

Las principales amenazas que se prevn en la seguridad fsica son:

1. Desastres naturales, incendios accidentales tormentas e inundaciones.

2. Amenazas ocasionadas por el hombre.
3. Disturbios, sabotajes internos y externos deliberados.

No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener
la mxima seguridad en un sistema informtico, adems de que la solucin sera
extremadamente cara.
A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta
con llave o cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en
cualquier entorno.

A continuacin se analizan los peligros ms importantes que se corren en un

centro de procesamiento; con el objetivo de mantener una serie de acciones a
seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y
correccin de los diferentes tipos de riesgos.

1. Incendios: Los incendios son causados por el uso inadecuado de combustibles,

fallas de instalaciones elctricas defectuosas y el inadecuado almacenamiento y
traslado de sustancias peligrosas.

El fuego es una de las principales amenazas contra la seguridad. Es considerado

el enemigo nmero uno de las computadoras ya que puede destruir fcilmente los
archivos de informacin y programas.

Desgraciadamente los sistemas anti fuego dejan mucho que desear, causando
casi igual dao que el propio fuego, sobre todo a los elementos electrnicos. El
dixido de carbono, actual alternativa del agua, resulta peligroso para los propios
empleados si quedan atrapados en la sala de cmputos.

Los diversos factores a contemplar para reducir los riesgos de incendio a los que
se encuentra sometido un centro de cmputos son:

El rea en la que se encuentran las computadoras debe estar en un local

que no sea combustible o inflamable.
El local no debe situarse encima, debajo o adyacente a reas donde se
procesen, fabriquen o almacenen materiales inflamables, explosivos, gases
txicos o sustancias radioactivas.
Las paredes deben hacerse de materiales incombustibles y extenderse
desde el suelo al techo.
Debe construirse un "falso piso" instalado sobre el piso real, con materiales
incombustibles y resistentes al fuego.
No debe estar permitido fumar en el rea de proceso.
Deben emplearse muebles incombustibles, y cestos metlicos para
papeles. Deben evitarse los materiales plsticos e inflamables.
El piso y el techo en el recinto del centro de cmputo y de almacenamiento
de los medios magnticos deben ser impermeables.

Seguridad del Equipamiento

Es necesario proteger los equipos de cmputo instalndolos en reas en las
cuales el acceso a los mismos slo sea para personal autorizado. Adems, es
necesario que estas reas cuenten con los mecanismos de ventilacin y deteccin
de incendios adecuados.

Para protegerlos se debe tener en cuenta que:

La temperatura no debe sobrepasar los 18 C y el limite de humedad no

debe superar el 65% para evitar el deterioro.
Los centros de cmputos deben estar provistos de equipo para la extincin
de incendios en relacin al grado de riesgo y la clase de fuego que sea
posible en ese mbito.
Deben instalarse extintores manuales (porttiles) y/o automticos
(rociadores).

2. Inundaciones
Se las define como la invasin de agua por exceso de escurrimientos superficiales
o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea
natural o artificial.
Esta es una de las causas de mayores desastres en centros de cmputos.

3. Condiciones Climatolgica Normalmente se reciben por anticipado los avisos

de tormentas, tempestades, tifones y catstrofes ssmicas similares. Las
condiciones atmosfricas severas se asocian a ciertas partes del mundo y la
probabilidad de que ocurran est documentada.

Terremotos

Estos fenmenos ssmicos pueden ser tan poco intensos que solamente
instrumentos muy sensibles los detectan o tan intensos que causan la destruccin
de edificios y hasta la prdida de vidas humanas. El problema es que en la
actualidad, estos fenmenos estn ocurriendo en lugares donde no se los
asociaba. Por fortuna los daos en las zonas improbables suelen ser ligeros.

4. Seales de Radar
La influencia de las seales o rayos de radar sobre el funcionamiento de una
computadora ha sido exhaustivamente estudiada desde hace varios aos.
Los resultados de las investigaciones ms recientes son que las seales muy
fuertes de radar pueden inferir en el procesamiento electrnico de la informacin,
pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor.
Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del
centro de procesamiento respectivo y, en algn momento, estuviera apuntando
directamente hacia dicha ventana.
5. Instalaciones Elctricas: Trabajar con computadoras implica trabajar con
electricidad. Por lo tanto esta una de las principales reas a considerar en la
seguridad fsica. Adems, es una problemtica que abarca desde el usuario
hogareo hasta la gran empresa.

En la medida que los sistemas se vuelven ms complicados se hace ms

necesaria la presencia de un especialista para evaluar riesgos particulares y
aplicar soluciones que estn de acuerdo con una norma de seguridad industrial.

Cableado

Los cables que se suelen utilizar para construir las redes locales van del cable
telefnico normal al cable coaxial o la fibra ptica. Algunos edificios de oficinas ya
se construyen con los cables instalados para evitar el tiempo y el gasto posterior, y
de forma que se minimice el riesgo de un corte, rozadura u otro dao accidental.

Los riesgos ms comunes para el cableado se pueden resumir en los siguientes:

Interferencia: estas modificaciones pueden estar generadas por cables de

alimentacin de maquinaria pesada o por equipos de radio o microondas.
Los cables de fibra ptica no sufren el problema de alteracin (de los datos
que viajan a travs de l) por accin de campos elctricos, que si sufren los
cables metlicos.
Corte del cable: la conexin establecida se rompe, lo que impide que el flujo
de datos circule por el cable.
Daos en el cable: los daos normales con el uso pueden daar el
apantallamiento que preserva la integridad de los datos transmitidos o
daar al propio cable, lo que hace que las comunicaciones dejen de ser
fiables.

Pisos de Placas Extrables

Los cables de alimentacin, comunicaciones, interconexin de equipos,

receptculos asociados con computadoras y equipos de procesamiento de datos
pueden ser, en caso necesario, alojados en el espacio que, para tal fin se dispone
en los pisos de placas extrables, debajo del mismo.

Sistema de Aire Acondicionado

Se debe proveer un sistema de calefaccin, ventilacin y aire acondicionado

separado, que se dedique al cuarto de computadoras y equipos de proceso de
datos en forma exclusiva.
Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial
de incendios e inundaciones, es recomendable instalar redes de proteccin en
todo el sistema de caera al interior y al exterior, detectores y extinguidores de
incendio, monitores y alarmas efectivas.

Trastornos seos y/o Musculares

Una de las maneras de provocar una lesin sea o muscular es obligar al cuerpo a
ejecutar movimientos repetitivos y rutinarios, y esta posibilidad se agrava
enormemente si dichos movimientos se realizan en una posicin incorrecta o
antinatural.

En el ambiente informtico, la operacin del teclado es un movimiento repetitivo y

continuo, si a esto le sumamos el hecho de trabajar con una distribucin ineficiente
de las teclas, el diseo antinatural del teclado y la ausencia (ahora atenuada por el
uso del mouse) de movimientos alternativos al de tecleado, tenemos un potencial
riesgo de enfermedades o lesiones en los msculos, nervios y huesos de manos y
brazos.

En resumen, el lugar de trabajo debe estar diseado de manera que permita que
el usuario se coloque en la posicin ms natural posible. Como esta posicin
variar de acuerdo a los distintos usuarios, lo fundamental en todo esto es que el
puesto de trabajo sea ajustable, para que pueda adaptarse a las medidas y
posiciones naturales propias de cada operador.

Trastornos Visuales

Los ojos, sin duda, son las partes ms afectadas por el trabajo con computadoras.

La pantalla es una fuente de luz que incide directamente sobre el ojo del operador,
provocando, luego de exposiciones prolongadas el tpico cansancio visual,
irritacin y lagrimeo, cefalea y visin borrosa.

Si a esto le sumamos un monitor cuya definicin no sea la adecuada, se debe

considerar la exigencia a la que se sometern los ojos del usuario al intentar
descifrar el contenido de la pantalla. Adems de la fatiga del resto del cuerpo al
tener que cambiar la posicin de la cabeza y el cuello para acercar los ojos a la
misma.

Para prevenir los trastornos visuales en los operadores podemos tomar recaudos
como:
 Tener especial cuidado al elegir los monitores y placas de vdeo de las
computadoras.
Usar de pantallas antirreflejo o anteojos con proteccin para el monitor, es
una medida preventiva importante y de relativo bajo costo, que puede
solucionar varios de los problemas antes mencionados.

La Salud Mental

La carga fsica del trabajo adopta modalidades diferentes en los puestos

informatizados. De hecho, disminuye los desplazamientos de los trabajadores y
las tareas requieren un menor esfuerzo muscular dinmico, pero aumenta, al
mismo tiempo, la carga esttica de acuerdo con las posturas inadecuadas
asumidas.

Por su parte, la estandarizacin y racionalizacin que tiende a acompaar la

aplicacin de las PCs en las tareas de ingreso de datos, puede llevar a la
transformacin del trabajo en una rutina inflexible que inhibe la iniciativa personal,
promueve sensaciones de hasto y monotona y conduce a una prdida de
significado del trabajo.

Adems, el estrs informtico est convirtindose en una nueva enfermedad

profesional relacionada con el trabajo, provocada por la carga mental y psquica
inherente a la operacin con los nuevos equipos.

Los efectos del estrs pueden encuadrarse dentro de varias categoras:

Los efectos fisiolgicos inmediatos, caracterizados por el incremento de la

presin arterial, el aumento de la frecuencia cardiaca, etc.
Los efectos psicolgicos inmediatos hacen referencia a la tensin,
irritabilidad, clera, agresividad, etc. Estos sentimientos pueden, a su vez,
inducir ciertos efectos en el comportamiento tales como el consumo de
alcohol y psicofrmacos, el hbito de fumar, etc.
Tambin existen consecuencias mdicas a largo plazo, tales como
enfermedades coronarias, hipertensin arterial, lceras ppticas,
agotamiento; mientras que las consecuencias psicolgicas a largo plazo
pueden sealar neurosis, insomnio, estados crnicos de ansiedad y/o
depresin, etc.
La apata, sensaciones generales de insatisfaccin ante la vida, la prdida
de la propia estima, etc., alteran profundamente la vida personal, familiar y
social del trabajador llevndolo, eventualmente, al aislamiento, al
ausentismo laboral y la prdida de la solidaridad social.
Acciones Hostiles

1. Robo
Las computadoras son posesiones valiosas de las empresas y estn
expuestas, de la misma forma que lo estn las piezas de stock e incluso el
dinero.
Es frecuente que los operadores utilicen la computadora de la empresa
para realizar trabajos privados o para otras organizaciones y, de esta
manera, robar tiempo de mquina.
La informacin importante o confidencial puede ser fcilmente copiada.
Muchas empresas invierten millones de dlares en programas y archivos de
informacin, a los que dan menor proteccin que la que otorgan a una
mquina de escribir o una calculadora.
El software, es una propiedad muy fcilmente sustrable y las cintas y
discos son fcilmente copiados sin dejar ningn rastro
2. Fraude
Cada ao, millones de dlares son sustrados de empresas y, en muchas
ocasiones, las computadoras han sido utilizadas como instrumento para
dichos fines.
Sin embargo, debido a que ninguna de las partes implicadas (compaa,
empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que
ms bien pierden en imagen, no se da ninguna publicidad a este tipo de
situaciones.
3. Sabotaje
El peligro ms temido en los centros de procesamiento de datos, es el
sabotaje. Empresas que han intentado implementar programas de
seguridad de alto nivel, han encontrado que la proteccin contra el
saboteador es uno de los retos ms duros. Este puede ser un empleado o
un sujeto ajeno a la propia empresa.
Fsicamente, los imanes son las herramientas a las que se recurre, ya que
con una ligera pasada la informacin desaparece, aunque las cintas estn
almacenadas en el interior de su funda de proteccin. Una habitacin llena
de cintas puede ser destruida en pocos minutos y los centros de
procesamiento de datos pueden ser destruidos sin entrar en ellos.
Adems, suciedad, partculas de metal o gasolina pueden ser introducidos
por los conductos de aire acondicionado. Las lneas de comunicaciones y
elctricas pueden ser cortadas, etc.

Control de Accesos

El control de acceso no slo requiere la capacidad de identificacin, sino tambin

asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado
en restricciones de tiempo, rea o sector dentro de una empresa o institucin.
1. Utilizacin de Guardias: Control de Personas

El Servicio de Vigilancia es el encargado del control de acceso de todas las

personas al edificio. Este servicio es el encargado de colocar los guardias en
lugares estratgicos para cumplir con sus objetivos y controlar el acceso del
personal.

A cualquier personal ajeno a la planta se le solicitar completar un formulario de

datos personales, los motivos de la visita, hora de ingreso y de egreso, etc.

El uso de credenciales de identificacin es uno de los puntos ms importantes del

sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y
egreso del personal a los distintos sectores de la empresa.

2. Utilizacin de Detectores de Metales

El detector de metales es un elemento sumamente prctico para la revisin de
personas, ofreciendo grandes ventajas sobre el sistema de palpacin manual.
La sensibilidad del detector es regulable, permitiendo de esta manera establecer
un volumen metlico mnimo, a partir del cual se activar la alarma.
La utilizacin de este tipo de detectores debe hacerse conocer a todo el personal.
De este modo, actuar como elemento disuasivo.

3. Utilizacin de Sistemas Biomtricos: Definimos a la Biometra como "la parte

de la biologa que estudia en forma cuantitativa la variabilidad individual de los
seres vivos utilizando mtodos estadsticos".

La Biometra es una tecnologa que realiza mediciones en forma electrnica,

guarda y compara caractersticas nicas para la identificacin de personas.

La forma de identificacin consiste en la comparacin de caractersticas fsicas de

cada persona con un patrn conocido y almacenado en una base de datos. Los
lectores biomtricos identifican a la persona por lo que es (manos, ojos, huellas
digitales y voz).
CONCLUSIONES

Evaluar y controlar permanentemente la seguridad fsica del edificio es la base

para o comenzar a integrar la seguridad como una funcin primordial dentro de
cualquier organismo.

Tener controlado el ambiente y acceso fsico permite:

disminuir siniestros
trabajar mejor manteniendo la sensacin de seguridad
descartar falsas hiptesis si se produjeran incidentes
tener los medios para luchar contra accidentes

Las distintas alternativas estudiadas son suficientes para conocer en todo

momento el estado del medio en el que nos desempeamos; y as tomar
decisiones sobre la base de la informacin brindada por los medios de control
adecuados.

Estas decisiones pueden variar desde el conocimiento de la reas que recorren

ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.