Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenido
Introduccin
Aplicacin de la tecnologa
Dispositivos de control de
acceso
10
El factor humano
12
13
Conclusin
15
Recursos
16
Apndice
17
Glosario
19
Introduccin
> Infraestructura
fsica del centro
de datos
La seguridad fsica es parte
de la Infraestructura fsica del
centro de datos (DCPI) porque
tiene la funcin directa de
maximizar la disponibilidad del
sistema (tiempo de actividad).
Lo hace reduciendo el tiempo
de inactividad por accidentes
o sabotaje debido a la presencia
de personas no necesarias
o malintencionadas.
Definicin del
problema
reas de visitantes
Oficinas
Data
vault Mech.
Offices
Plano de
seguridad
mostrando la
seguridad
escalonada
Deliveries
and service
Deliv.
Rack
Employee parking
Imagen 1
room
Room
Data center
BUILDING
Employee
car entrance
Common
areas
Foot entrance
for visitors
GROUNDS
Fence
Vistor Parking
"Depth of Security"
Concentric areas to
protect data center
= Access point
Aplicacin de la
tecnologa
Qu tienes
Qu sabes
Quin eres
PIN
ID #
Imagen 2
Qu tienes, qu sabes,
quin eres
SSN #
Physical traits
Passwords
and PINs
What You
Know
Who You
Are
Dispositivos
de control
de acceso
Capacidad de reprogramacin
Resistencia a la falsificacin
Tipo de interaccin con el lector de tarjetas: pasada, insercin, contacto, sin contacto
(proximidad)
Falsa aceptacin. Reconocimiento errneo, ya sea por confundir a un usuario con otro
o por aceptar a un impostor como usuario legtimo.
Los ndices de fallos pueden ajustarse cambiando el umbral (qu grado de exactitud es
suficiente) para declarar una coincidencia, aunque la disminucin de un ndice de fallos
aumentara el otro.
Los criterios a la hora de elegir una funcin biomtrica son el coste del equipo, los ndices
de fallos (tanto de falso rechazo como de falsa aceptacin) y la aceptacin del usuario,
que significa qu grado de intrusin, incomodidad o incluso peligro percibe el usuario
del procedimiento. Por ejemplo, se considera que los escneres de retina tienen poca
aceptacin de los usuarios porque el ojo tiene que estar a una distancia de 2,5 a 5 cm del
escner con un LED dirigido al ojo.
Imagen 3
Exploracin de la mano
Otros elementos
del sistema de
seguridad
El diseo del sistema de seguridad se centra en dispositivos para identificar y filtrar personas
en los puntos de entrada control de acceso que es todo lo que se necesitara si la
identificacin tuviera una fiabilidad del 100% y se admitiera una confianza total en las
intenciones de las personas admitidas y en la perfeccin fsica de paredes, puertas,
ventanas, cierres y techos infranqueables. Para cubrir los inevitables fallos por errores
o sabotaje, los sistemas de seguridad suelen incorporar mtodos adicionales de proteccin,
supervisin y recuperacin.
10
Cmaras de vigilancia
Las cmaras fijas pueden utilizarse para cosas tales como grabar matrculas en los puntos
de entrada de vehculos o, junto con los sensores de pisadas, grabar a las personas en
puntos crticos.
Las cmaras de circuito cerrado de TV (CCTV) visibles u ocultas vigilan el interior o el
exterior, sirven como medida disuasoria y permiten analizar la grabacin despus de un
incidente. Pueden utilizarse varios tipos de vistas de cmara: fija, giratoria o controlada
a distancia. Al colocar cmaras hay que considerar lo siguiente:
11
Guardas de seguridad
A pesar de todos los avances tecnolgicos en el campo de la seguridad fsica, los expertos
estn de acuerdo en que el mejor mtodo para controlar el acceso es un equipo de
inspectores de seguridad. Los guardas ofrecen la capacidad de vigilancia de todos los
sentidos humanos ms la posibilidad de responder con movilidad e inteligencia a incidentes
sospechosos, no habituales o desastrosos.
La International Foundation for Protection Officers (IFPO) es una organizacin sin nimo
de lucro que tiene el objetivo de facilitar la formacin y certificacin estandarizada de
inspectores de seguridad. El Manual de formacin de supervisores de seguridad es una gua
de referencia para los inspectores de seguridad y el personal a su cargo.
Sensores y alarmas
Todo el mundo est familiarizado con los sistemas de alarma tradicionales de casas y edificios:
sensores de movimiento, sensores de calor, sensores de contacto (puerta cerrada), y similares.
Los sistemas de alarma de los centros de datos podran utilizar otras clases de sensores:
barreras de rayos lser, sensores de pisadas, sensores tctiles, sensores de vibraciones.
Los centros de datos tambin podran tener algunas reas en las que se prefiera una alarma
silenciosa a una alarma audible con el fin de pillar in fraganti a los supuestos delincuentes.
Si los sensores estn en red, pueden vigilarse y controlarse de forma remota mediante
un sistema de gestin, que tambin podra incluir datos de movimiento del personal de
los dispositivos de control de acceso (consultar seccin anterior, Gestin del sistema
de seguridad).
Visitantes
En el diseo de cualquier sistema de seguridad debe considerarse el control de visitantes.
Las soluciones tpicas son repartir tarjetas de identificacin temporales o tarjetas para reas
de baja seguridad y exigir acompaamiento para reas de alta seguridad. La presencia de
habitculos de seguridad (para impedir que dos personas traspasen un punto de entrada
con solo una autorizacin) requerira la posibilidad de cancelacin temporal o la emisin de
credenciales de visitante que le franqueasen el paso.
El factor
humano
La tecnologa no puede hacer sola todo el trabajo, sobre todo desde que recurrimos a ella para
realizar lo que es esencialmente una tarea humana: evaluar la identidad y las intenciones de las
personas. Como las personas son una parte importante del problema de seguridad, tambin
forman parte de la solucin: la capacidad y falibilidad de las personas las cualifican no solo
como el eslabn ms dbil, sino tambin como el apoyo ms fuerte.
12
Eleccin de
la solucin
correcta:
tolerancia al
riesgo frente
a coste
El mejor sistema de seguridad es el que consigue equilibrar por una parte el riesgo y el dao
potencial de que haya personas donde no deben y por otra los gastos y molestias de las
medidas de seguridad para mantenerlos fuera.
13
Coste del equipo. Las limitaciones del presupuesto normalmente limitan el uso extensivo
de equipos de identificacin de alta confianza. La solucin habitual es implementar una
variedad de tcnicas apropiadas para los
diversos niveles de seguridad.
Combinacin de tecnologas.
La fiabilidad de identificacin en
cualquier nivel puede aumentarse
combinando tecnologas de bajo
coste, teniendo al nivel ms interior
la proteccin combinada de todos los
dems permetros concntricos que
lo incluyen.
Compatibilidad hacia atrs. Es compatible el nuevo diseo con los elementos del
antiguo sistema existente? Mantener todo o parte de un sistema existente puede
reducir enormemente el coste de implantacin.
Imagen 4
Equilibrio entre prdida
potencial y coste de
seguridad conocido
Damage to reputation
or customer goodwill
Productivity loss
during downtime
POTENTIAL LOSS
from people being in
the wrong place
Maintenance of
security equipment
Day-to-day inconvenience of
security protocols
KNOWN COST
of keeping people out
14
Conclusin
A medida que proliferan los centros de datos y los sitios de alojamiento web, la necesidad
de seguridad fsica en las instalaciones es exactamente igual de importante que la necesidad
de ciberseguridad de las redes. Los intrusos que falsifican su identidad o sus intenciones
pueden causar enormes daos, desde la inutilizacin fsica de equipos crticos hasta el
lanzamiento de ataques de software en un teclado no seguro. Incluso los errores normales
del personal bienintencionado suponen una seria amenaza diariamente, y pueden
minimizarse limitando el acceso a solo el personal estrictamente esencial.
Hay tecnologas, cada vez menos caras, para implantar amplias soluciones basadas en
los principios de identificacin Qu tienes, Qu sabes y Quin eres. Combinando una
evaluacin de la tolerancia al riesgo con un anlisis de los requisitos de acceso y tecnologas
disponibles, puede disearse un sistema de seguridad eficaz que ofrezca un equilibrio
realista entre proteccin y coste.
15
Recursos
16
Apndice
Enlace al
White Paper 81
Seleccin del emplazamiento
para instalaciones de
importancia crtica
Site la puerta del centro de datos de forma que solo quede cerca de la puerta el trfico
que entra y sale del centro de datos.
Utilice puertas y marcos de acero, con puertas macizas en lugar de huecas. Asegrese
de que las bisagras no pueden quitarse desde el exterior.
Las paredes del centro de datos deben utilizar materiales ms slidos que los tpicos
paneles de roca utilizados para las paredes interiores. Pueden incrustarse sensores en
las paredes para detectar la manipulacin.
El espacio utilizado para el centro de datos no debe colindar con ninguna pared exterior.
Deje lneas de visin largas y despejadas para cualquier cmara o puesto de seguridad
del centro de datos.
Utilice barreras para impedir la visin desde el exterior de las entradas y otras reas
canalizaciones, los montacargas y otras posibles aberturas que puedan utilizarse para
conseguir acceder. Debern instalarse rejillas antirrobo en todas las aberturas que tengan
una anchura superior a 30,5 cm con el fin de impedir la entrada de un ser humano.
Evite crear espacios que puedan utilizarse para ocultar personas o cosas. Por ejemplo,
el espacio que hay debajo de los suelos elevados puede ser un lugar donde ocultarse.
Compruebe que estos lugares estn bien cerrados y no son fcilmente reconocibles al
andar por las instalaciones.
Instale cerraduras y alarmas de puerta en todos los puntos de acceso del tejado de
Tome nota de todos los conductos externos de fontanera, cableado, HVAC, etc.,
Considere la situacin del centro de datos dentro del edificio cuando actualice unas
17
18
Glosario
Control de acceso
Control de la entrada de personas a edificios, salas y racks, y control del uso de teclados
y equipos, mediante el uso de dispositivos automatizados que leen la informacin almacenada
en un objeto, como una tarjeta (qu tienes ), reciben un cdigo o una contrasea (qu sabes )
o reconocen un rasgo fsico mediante anlisis biomtrico (quin eres ).
Punto de acceso
Un lugar dentro del permetro de una rea segura en el que hay una puerta y algn tipo de
mtodo de control de acceso para filtrar usuarios que intentan entrar en la rea.
Disponibilidad
Una prediccin calculada de un porcentaje de autonoma de la red. Para instalaciones de
misin crtica, el objetivo es conseguir los cinco nueves o el 99,999%, menos de 5 minutos
de inactividad al ao.
Cerradura biomtrica
Una cerradura que se controla mediante un escner biomtrico.
Biometra
Determinacin de la identidad personal utilizando la tecnologa para medir rasgos fsicos
o de comportamiento, por ejemplo, la huella digital.
Cerradura cifrada
Una cerradura que se abre pulsando sus botones en una secuencia especfica. Se diferencia
de una cerradura con cdigo que normalmente solo tiene 4-5 botones, y cada botn solo
puede pulsarse una vez. La cerradura cifrada, con botones metlicos, era el precursor
mecnico de la cerradura con cdigo electrnico actual con un teclado de tipo telfono.
19
Seguridad escalonada
Permetros concntricos de seguridad que pueden tener mtodos de acceso distintos o cada
vez ms restrictivos. Una rea interior est protegida tanto por sus propios mtodos de
acceso como por los de las reas que la rodean y a las que debe entrarse primero.
Geometra facial
Uno de los rasgos fsicos que puede medir la tecnologa biomtrica: la posicin relativa de
ojos, nariz y boca en la cara.
Falsa aceptacin
En identificacin biomtrica, el resultado errneo de identificar a alguien que no est en la
base de datos de personas conocidas. Es una de las dos formas en que puede fallar la
identificacin biomtrica; la otra es el falso rechazo.
Falso rechazo
En identificacin biomtrica, el resultado errneo de no identificar a una persona conocida.
Es una de las dos formas en que puede fallar la identificacin biomtrica; la otra es la falsa
aceptacin.
FAR
ndice de falsa aceptacin. En un dispositivo biomtrico, el porcentaje de lecturas que son
una falsa aceptacin.
FRR
ndice de falso rechazo. En un dispositivo biomtrico, el porcentaje de lecturas que son un
falso rechazo.
20
Exploracin de la mano
Una tcnica de identificacin biomtrica que mide la geometra tridimensional de la mano:
forma de los dedos y grosor de la mano.
iButton
Un microchip similar a los utilizados en las tarjetas inteligentes pero incrustado en un botn
redondo de acero inoxidable de aproximadamente 1,25 cm de dimetro y que puede ponerse
en un llavero o en una pieza de joyera. Los iButtons son extremadamente resistentes, pero
(desde mayo de 2004) no estn disponibles con tecnologa RFID para uso sin contacto.
IFPO
International Foundation for Protection Officers. Una organizacin sin nimo de lucro fundada
con el objetivo de ofrecer formacin estandarizada y certificacin a los inspectores de
seguridad. El Manual de formacin de supervisores de seguridad es una gua de referencia
para los inspectores de seguridad y el personal a su cargo.
Niveles de seguridad
El rango de proteccin, de menor a mayor, ofrecido en los permetros concntricos el
menos seguro es el permetro ms exterior (como la entrada al edificio) y el ms seguro es
el permetro ms interior (como el acceso a un rack).
Gestionable
Que puede supervisarse y controlarse a distancia. Los dispositivos de control de acceso
gestionables pueden comunicarse con un sistema de gestin remoto para supervisar
(quin entra y sale, y cundo), controlar (configurar el dispositivo para permitir el acceso
a determinadas personas en determinados momentos), y dar la alarma (notificacin de
repetidos intentos de acceso infructuosos o fallos del dispositivo).
21
Gestin
Comunicacin automatizada con dispositivos remotos para supervisar, controlar y dar
la alarma. Tradicionalmente llamada automatizacin de edificios o automatizacin
domstica, el nuevo trmino gestin hace referencia a la comunicacin basada en red
con todos los elementos de un centro de datos, incluido el propio equipo de TI (servidores,
dispositivos de almacenamiento, telecomunicaciones y dispositivos de red) y la
infraestructura fsica (potencia, refrigeracin proteccin contra incendios y seguridad).
Esclusa
Un habitculo de tipo burbuja con puertas seguras a la entrada y a la salida, y espacio para
una sola persona ente las puertas. Es una solucin a los fallos de seguridad denominada
colarse con cmplice o colarse sin cmplice, en los que una persona no autorizada pasa
libremente por un punto de acceso detrs de a una persona autorizada que abre la puerta.
DCPI
Infraestructura fsica del centro de datos. Elementos de la infraestructura fsica de un centro de
datos (distinta de la infraestructura de TI como enrutadores y gestores de almacenamiento) que
contribuyen directamente a la disponibilidad garantizando un funcionamiento ininterrumpido.
DCPI incluye potencia, refrigeracin, extincin de incendios y seguridad fsica.
Necesito saber
Un nivel de seguridad muy alto, con acceso limitado a personas que tienen una necesidad
especfica e inmediata de estar en la rea segura (para acceder a un dato particular,
por ejemplo), y con acceso solo durante el tiempo en el que existe esa necesidad.
Seguridad fsica
Proteccin de instalaciones fsicas de accidentes o sabotaje causados por la presencia de
personas no autorizadas o malintencionadas. Un sistema de seguridad fsica siempre incluye
dispositivos de control de acceso para el filtrado automatizado en los puntos de entrada
ms un sistema de alarma basado en sensores. La proteccin adicional puede incluir
cmaras de vigilancia y guardias de seguridad. (Seguridad fsica suele utilizarse de forma
ms general para referirse a la proteccin de todo tipo de daos fsicos, incluido el mal
tiempo, terremotos y atentados con bomba. En este documento solo hace referencia a la
proteccin de problemas causados por personas no autorizadas dentro de las instalaciones.)
22
Tarjeta prox
Tarjeta de proximidad
Una tarjeta de control de acceso que tiene un transmisor/receptor RFID incorporado que
le permite comunicarse con un lector a una distancia de un metro.
Exploracin retinal
Una tcnica de identificacin biomtrica que explora el patrn de vasos sanguneos de la
retina del ojo.
RFID
Identificacin por radiofrecuencia. Comunicacin entre tarjeta y lector sin contacto fsico.
La tecnologa RFID es lo que hace que funcionen las tarjetas de proximidad, las tarjetas
de vecindad, y las tarjetas inteligentes sin contacto. El chip RFID es alimentado por un
campo electromagntico desde el lector, por lo que no necesita batera.
Tarjeta inteligente
Un tipo de tarjeta de control de acceso que almacena informacin en un microchip. El chip
no solo almacena datos, sino que puede realizar clculos e intercambiar datos con el lector.
Se lee tocando el lector con la tarjeta para que los contactos elctricos se alineen; vase
tambin tarjeta inteligente sin contacto.
Soporte inteligente
Pequeos objetos de cualquier forma que contienen el mismo tipo de chip utilizado en una
tarjeta inteligente. Los soportes inteligentes suelen ser objetos pequeos (testigos) que
pueden ponerse en un llavero o llevarse como una pieza de joyera.
Ingeniera social
El uso de la astucia para manipular a las personas y conseguir que relajen sus procedimientos
de seguridad, por ejemplo, que revelen sus contraseas, dejen las llaves o abran las puertas.
23
Plantilla
plantilla En biometra, una transformacin computada de una exploracin de escner; sigue
siendo nica del individuo pero ocupa mucho menos espacio de almacenamiento. Es la
plantilla, no la exploracin real, la que se almacena en la base de datos de usuario o en el
chip de una tarjeta inteligente, para su comparacin con una exploracin real tomada en
un punto de acceso.
Umbral
En biometra, el parmetro ajustable por el usuario que puede utilizarse para ajustar los dos
ndices de fallo (falsa aceptacin y falso rechazo). Como representa el grado de exactitud
que es suficiente para declarar una coincidencia, al disminuir un ndice de fallos aumenta
el otro.
Testigo
Un pequeo objeto con un microchip que lleva la informacin de identificacin personal.
El testigo se pone en contacto con el lector o simplemente se acerca si incluye tecnologa RFID.
Tarjeta de vecindad
Una tarjeta de control de acceso que tiene un transmisor/receptor RFID incorporado que
le permite comunicarse con un lector a una distancia de un metro.
Reconocimiento de voz
En biometra, una representacin digital de la voz de un usuario utilizada para compararla
con la voz en vivo del usuario en el punto de acceso.
Tarjeta Weigand
Un tipo de tarjeta de control de acceso que incorpora cables especialmente tratados
y magnetizados para almacenar informacin; se lee pasando la tarjeta por un lector.
Qu tienes
En control de acceso, cualquier mtodo de identificacin basado en un objeto que uno
posee, como una tarjeta o un testigo. Es la categora de identificacin menos segura, ya
que no hay garanta de que el objeto est siendo utilizado por la persona correcta.
24
Qu sabes
En control de acceso, cualquier mtodo de identificacin basado en algo que uno sabe,
como un cdigo numrico o una contrasea. Es ms fiable que qu tienes, pero pueden
revelarse a alguien o escribirse y que alguien los descubra.
Quin eres
En control de acceso, cualquier mtodo de identificacin basado en un rasgo biolgico o de
comportamiento nico de cada persona. Es la categora ms segura de identificacin porque
es muy difcil falsificar el rasgo, aunque no es 100% fiable porque existe el riesgo de errores
de lectura o interpretacin. Otro nombre para este tipo de identificacin es biometra.
25