SEGURIDAD FISICA Y LOGICA

Los elementos de seguridad sobre los que ms se puede influir son los relacionados con la
seguridad fsica y lgica. Adems, deben darse las dos simultneamente. De nada servira
proteger fsicamente los equipos si no disponen de antivirus, pero de modo semejante sera
igualmente intil proteger los equipos con un cortafuegos si cualquier usuario no autorizado
puede apagar el equipo que proporciona un cierto servicio, generando un ataque de
denegacin de ese servicio.

Todos estos elementos de seguridad son eslabones de una nica cadena de seguridad, que se
romper por el eslabn ms dbil.

SEGURIDAD FSICA
La seguridad fsica consiste en la aplicacin de contramedidas tales como barreras fsicas o
procedimientos de control que prevengan amenazas contra los recursos que se pretenden
proteger, disminuyendo los riesgos.

Entre los peligros intencionales por acciones hostiles se pueden citar los siguientes:

- Robos:
El robo no slo implica la sustraccin del hardware sin la dedicacin del tiempo de
mquina (tiempo de proceso) a funciones que no estn previstas robando su tiempo
de produccin.
- Fraudes:
Los equipos pueden convertirse en las herramientas apropiadas para cometer fraudes,
lo que debe ser vigilado e impedido (o al menos registrado) por la gestin de la
seguridad.
- Sabotajes:
El ataque puede producirse desde dentro de la misma organizacin.

CONTROL FSICO DE ACCESO

Se trata de estudiar cmo ser el acceso del personal a los equipos. El control de acceso no
slo requiere la capacidad de identificacin de usuarios sino que debe proveer los mecanismos
automticos o domticos para asociar la identificacin de un sujeto con la apertura selectiva
de puertas, el registro de acceso o la gestin de la respuesta de acceso en funcin de un
horario. Las medidas de control fsico de acceso deben ser conocidas por todos ya que tienen
un propsito disuasorio. Algunas de las tcnicas de control de acceso son las siguientes:

- Utilizar personal de seguridad

- Detectores de metales
- Utilizacin de sistemas biomtricos
- Sistemas de verificacin automtica de firma
- Sistemas de proteccin electrnica
SEGURIDAD LGICA
La seguridad lgica consiste en la aplicacin de barreras y procedimientos que protejan el
acceso a los datos y aplicaciones a personas o agentes autorizados para ello, descartando a los
dems. Las tcnicas de seguridad lgica persiguen los siguientes objetivos:

- Restringir el acceso a los activos informticos de software

- Garantizar que todo usuario puede acceder a los datos o aplicaciones que necesita y
slo a esos
- Asegurar que con cada informacin o dato con el que se trabaje se emplea el
procedimiento adecuado y no alternativas no autorizadas.
- Cuidar la integridad, confidencialidad y no repudio en las comunicaciones de mensajes.
- Buscar alternativas redundantes para situaciones de fallos en equipos, por ejemplo,
lneas de transmisin alternativas, pero controladas.
- Tener la capacidad de restaurar los sistemas de informacin en poco tiempo despus
de un incidente a partir de backups, si fuera necesario.
- Implementar sistemas redundantes de reparto de carga y alta disponibilidad.
- Garantizar la continuidad del negocio.

EL CONTROL LGICO DE ACCESO

Estos controles se pueden aplicar en el sistema operativo, en las aplicaciones, en las bases de
datos o en cualquier elemento de software sobre los que se puedan definir alguno de los
objetivos descritos anteriormente.

Adems, hay que tener en cuenta cul ser el procedimiento por el que un usuario puede
solicitar un permiso para el acceso a un activo de software y cmo se decidir si se le concede
o no. Esto suele ser complicado porque requiere la intervencin activa de varios
departamentos, no necesariamente tcnicos, como el de RRHH, que define el perfil laboral de
solicitante, lo que a veces genera fricciones entre el personal tcnico y el administrador.

El Instituto Tecnico para Estandares y Tecnologia (NIST) ha resumido los siguientes estndares
de seguridad que se refieren a los requisitos mnimos de seguridad de cualquier sistema:

- Identificacin y autenticacin: Todo usuario debe ser identificado antes de concederle

acceso mediante un proceso de autenticacin suficientemente seguro
- Roles: Define el perfil de necesidades y obligaciones del usuario, como por ejemplo,
contable, programador, gerencia, etc. En fucin del rol que desempee en la
organizacin tendr acceso o no a determinados servicios.
- Transacciones: Para realizar ciertas operaciones delicadas es necesario disparar un
procedimiento de seguridad especfico, por ejemplo, disponer de una contrasea o un
token de seguridad, o slo se pueden realizar desde ciertos equipos, etc.
- Limitaciones a los servicios: Son los procesos de autorizacin que se siguen de una
autenticacin de usuario, que le autorizan a consumir ciertos servicios en funcin de
su rol en la organizacin.
- Modalidad de acceso: El acceso al dato ser de lectura, ejecucin, borrado, etces
decir, la modalidad de acceso define las operaciones permitidas sobre los datos y las
aplicaciones.
- Ubicacin y horario: Establece las restricciones de acceso a los recursos en funcin de
un horario o calendario, o desde ciertas ubicaciones. Por ejemplo, ciertas operaciones
slo se pueden hacer desde la red interna y nunca desde la externa.
- Control de acceso interno: Contraseas, mtodos aceptables de cifrado, listas de
control de acceso (ACL), etc.
- Control de acceso externo: Paso por cortafuegos, pasarelas de comunicaciones,
creacin de tneles, etc.