Los elementos de seguridad sobre los que ms se puede influir son los relacionados con la
seguridad fsica y lgica. Adems, deben darse las dos simultneamente. De nada servira
proteger fsicamente los equipos si no disponen de antivirus, pero de modo semejante sera
igualmente intil proteger los equipos con un cortafuegos si cualquier usuario no autorizado
puede apagar el equipo que proporciona un cierto servicio, generando un ataque de
denegacin de ese servicio.
Todos estos elementos de seguridad son eslabones de una nica cadena de seguridad, que se
romper por el eslabn ms dbil.
SEGURIDAD FSICA
La seguridad fsica consiste en la aplicacin de contramedidas tales como barreras fsicas o
procedimientos de control que prevengan amenazas contra los recursos que se pretenden
proteger, disminuyendo los riesgos.
Entre los peligros intencionales por acciones hostiles se pueden citar los siguientes:
- Robos:
El robo no slo implica la sustraccin del hardware sin la dedicacin del tiempo de
mquina (tiempo de proceso) a funciones que no estn previstas robando su tiempo
de produccin.
- Fraudes:
Los equipos pueden convertirse en las herramientas apropiadas para cometer fraudes,
lo que debe ser vigilado e impedido (o al menos registrado) por la gestin de la
seguridad.
- Sabotajes:
El ataque puede producirse desde dentro de la misma organizacin.
Se trata de estudiar cmo ser el acceso del personal a los equipos. El control de acceso no
slo requiere la capacidad de identificacin de usuarios sino que debe proveer los mecanismos
automticos o domticos para asociar la identificacin de un sujeto con la apertura selectiva
de puertas, el registro de acceso o la gestin de la respuesta de acceso en funcin de un
horario. Las medidas de control fsico de acceso deben ser conocidas por todos ya que tienen
un propsito disuasorio. Algunas de las tcnicas de control de acceso son las siguientes:
Estos controles se pueden aplicar en el sistema operativo, en las aplicaciones, en las bases de
datos o en cualquier elemento de software sobre los que se puedan definir alguno de los
objetivos descritos anteriormente.
Adems, hay que tener en cuenta cul ser el procedimiento por el que un usuario puede
solicitar un permiso para el acceso a un activo de software y cmo se decidir si se le concede
o no. Esto suele ser complicado porque requiere la intervencin activa de varios
departamentos, no necesariamente tcnicos, como el de RRHH, que define el perfil laboral de
solicitante, lo que a veces genera fricciones entre el personal tcnico y el administrador.
El Instituto Tecnico para Estandares y Tecnologia (NIST) ha resumido los siguientes estndares
de seguridad que se refieren a los requisitos mnimos de seguridad de cualquier sistema: