2. Proteger tu información de amenazas físicas

Tabla de contenido

...Loading Table of Contents...

    No importa cuanto esfuerzo hayas puesto en construir una barrera digital alrededor de tu computadora, todavía puedes despertar una mañana y hallar que esta, o una copia de la información en ella, se ha perdido, ha sido robada, o dañada por cualquier serie de accidentes desafortunados o actos maliciosos. Cualquier cosa desde una sobretensión transitoria a una ventana abierta o una taza de café derramada puede conducirte a una situación en la cual todos tus datos se pierdan y no seas capaz de utilizar tu computadora. Una cuidadosa evaluación del riesgo, un consistente esfuerzo para mantener una computadora sin problemas y una política de seguridad pueden evitar este tipo de desastre.

    Contexto

    Shingai y Rudo son una vieja pareja casada con muchos años de experiencia, que ayudan a la población infectada con el VIH en Zimbabwe a mantener su acceso a medicación apropiada. Están postulando para obtener una subvención para comprar nuevas computadoras y equipo de red para su oficina. Dado que viven en una región que es muy turbulenta, tanto en términos políticos como de infraestructura, ellos y sus potenciales fundadores quieren garantizar que su nuevo hardware estará seguro, no sólo de los piratas informáticos (hackers) y los virus, sino también de ser confiscado o padecer tormentas eléctricas, picos eléctricos y otros desastres similares. Ellos le consultaron a Otto, un técnico en computadoras local, para que les ayude a concebir un plan para reforzar la seguridad física de las computadoras y de los equipos de red que planean adquirir si su solicitud de subvención tiene respuesta.

    ¿Qué puedes aprender de este capítulo?

    • Unos cuantos ejemplos de las muchas amenazas físicas a tu computadora y a la información que se halla almacenada en ella.
    • Cómo asegurar tu computadora de la mejor forma contra estas amenazas
    • Cómo crear un entorno operativo sin problemas para las computadoras y los equipos de red
    • Que debes considerar cuando creas un plan de seguridad para las computadoras en tu oficina.

    Evaluar tus riesgos

    Muchas organizaciones subestiman la importancia de mantener seguras sus oficinas y su equipamiento físico. Como resultado de ello, a menudo carecen de una clara política que describa qué medidas deben tomarse para proteger las computadoras y los dispositivos de almacenamiento contra robos, condiciones climáticas extremas, accidentes, y otras amenazas físicas. La importancia de dichas políticas puede parecer obvia, pero el formularlas adecuadamente puede ser más complicado de lo que parece. Muchas organizaciones, por ejemplo, tienen buenas cerraduras en las puertas de sus oficinas — y muchas incluso tienen sus ventanas aseguradas — pero si no prestan atención al número de llaves que han sido creadas, y quiénes las tienen, su información sensible se mantendrá vulnerable.

    Shingai: Deseamos colocar un breve resumen de nuestra política de seguridad en esta solicitud de subvención, pero también necesitamos asegurarnos que la política es adecuada en si. ¿Qué debemos incluir en ella?

    Otto: Me temo que no puedo recomendarle una solución general al reto de la seguridad física. Los detalles de una buena política casi siempre dependen de las circunstancias individuales de la organización en particular. Sin embargo, aquí le brindo algunas consejos generales: cuando intente elaborar un plan, debe observar su ambiente de trabajo de manera cuidadosa y pensar creativamente sobre dónde podrían estar sus puntos débiles y qué puede hacer para fortalecerlos.

    Cuando estés evaluando los riesgos y las vulnerabilidades que tú y tu organización afrontan, debes evaluar varios niveles diferentes en los que tus datos pueden estar amenazados.

    • Considera los canales de comunicación que usas y cómo lo haces. Ejemplos de ello pueden incluir cartas físicas, faxes, teléfonos fijos, teléfonos móviles, correos electrónicos y mensajes a través de Skype.
    • Considera cómo almacenas información importante. Los discos duros de las computadoras, los correos electrónicos y los servidores web, las memorias extraíbles USB, los discos duros externos con conexión USB, los CDs y DVDs, los teléfonos móviles, el papel impreso y las notas manuscritas.
    • Considera donde están ubicados físicamente estos artículos. Pueden estar en la oficina, en la casa, en un bote de basura afuera o, en forma creciente, 'en algún lugar de la Internet.' En este último caso, podría ser todo un reto determinar la ubicación física actual de una pieza particular de información.

    Ten en cuenta que la misma pieza de información podría ser vulnerable a distintos niveles. De la misma manera en que podrías confiar en un software antivirus para proteger los contenidos de una memoria extraíble USB de software malicioso (malware), también debes confiar en un plan de seguridad física detallado para proteger la misma información del robo, perdida o destrucción. Aunque algunas prácticas de seguridad, tales como tener una buena política de mantener copias de seguridad fuera del lugar de trabajo, son útiles contra amenazas digitales y físicas, otras son claramente más específicas.

    Cuando decides llevar tu memoria extraíble USB en el bolsillo o sellada en una bolsa plástica al fondo de tu maleta, estás tomando una decisión de seguridad física, aún cuando la información que tratas de proteger sea digital. Como es normal, la política correcta depende en gran parte de la situación. ¿Estás caminando a través de un pueblo o a través de una frontera? ¿Alguien estará cargando tu bolso o mochila? ¿Está lloviendo? Estas son algunas preguntas que debes tener en cuenta cuando tomes una decisión como esta.

    Proteger tu información de intrusos físicos

    Los individuos maliciosos que buscan tener acceso a tu información sensible representan una clase importante de amenaza física. Sería un error asumir que ésta es la única amenaza física a la seguridad de tu información, pero sería aún peor el ignorarla. Existen varios pasos que puedes tomar para ayudar a reducir el riesgo de intrusión física. Las categorías y sugerencias que se presentan a continuación, muchas de las cuales pueden funcionar tanto para tu domicilio como para tu oficina, representan una base sobre la cual puedes desarrollar otras de acuerdo a tu particular situación de seguridad física.

    Alrededor de la Oficina

    • Conoce a tus vecinos. Dependiendo del clima de seguridad en tu país y en tu vecindario, una de dos cosas puede ser posibles. Ya sea que, puedas volverlos aliados que te ayudarán a cuidar tu oficina, o personas a las que debes añadir a tu lista de amenazas potenciales y de las cuales debes ocuparte en tu plan de seguridad.
    • Revisa como proteges todas tus puertas, ventanas y otros puntos de entrada que conduzcan a tu oficina.
    • Considera instalar una cámara de vigilancia o una alarma con sensor de movimiento.
    • Trata de crear un área de recepción, donde los visitantes puedan ser atendidos antes de que ingresen a la oficina, y una sala de reuniones que esté separada de los espacios de trabajo.

    En la Oficina

    • Protege los cables de red haciéndolos pasar por dentro de la oficina.
    • Mantén bajo llave los dispositivos de red como servidores, enrutadores (routers), interruptores, concentradores (hubs), y módems en habitaciones o gabinetes seguros. Un intruso con acceso físico a dicho equipo puede instalar software malicioso (malware) capaz de robar datos en tránsito o atacar otras computadoras en la red incluso después de que se haya ido. En algunas circunstancias es preferible esconder los servidores, computadoras y otro equipo en áticos, en cielorasos falsos, o incluso con un vecino, y utilizarlos a través de una conexión inalámbrica.
    • Si tienes una red inalámbrica, es esencial que asegures tu punto de acceso de modo que los intrusos no puedan unirse a tu red o vigilar tu tráfico. Si estas utilizando una red inalámbrica insegura, cualquiera con una computadora portátil en tu vecindario se convierte en un intruso potencial. Es una definición inusual de riesgo 'físico', pero ayuda el considerar que un individuo malicioso que pueda vigilar tu red inalámbrica tiene el mismo acceso que uno que pueda ingresar furtivamente en tu oficina y conectar un cable ethernet. Los pasos necesarios para asegurar una red inalámbrica variaran, dependiendo de tu punto de acceso, tu hardware y software, pero son raramente difíciles de seguir.

    En tu área de trabajo

    • Debes ubicar con cuidado la pantalla de tu computadora, tanto en tu escritorio como cuando estás fuera de la oficina, con el fin de evitar que otros lean los que se muestra en ella. En la oficina, esto significa considerar la ubicación de las ventanas, puertas abiertas y el área de espera de los invitados, si es que cuentas con una.
    • La mayoría de las torres de computadoras de escritorio tiene una ranura donde puedes colocar un candado que impedirá a alguien sin una llave tenga acceso a su interior. Si tienes torres como esta en la oficina, debes colocarles candados de modo que los intrusos no puedan alterar el hardware interno. Esta característica debe ser considerada cuando vayas a comprar nuevas computadoras.
    • Utiliza un cable de seguridad de cierre, cuando sea posible, para evitar que intrusos puedan robar las computadoras. Esto es especialmente importante para computadoras portátiles y pequeñas computadoras de escritorio que pueden ser escondidas en una bolsa o bajo un abrigo.

    Software y configuraciones relacionadas a la seguridad física

    • Asegúrate que cuando reinicies tu computadora, ésta te solicite una contraseña antes de permitirte ejecutar un software y acceder a archivos. Si no lo hace, puedes habilitar esta opción en Windows haciendo clic en el Menú de Inicio, Configuración, seleccionar el Panel de Control, y doble clic en Cuentas de Usuario. En la pantalla de Cuentas de Usuario, selecciona tu cuenta y haz clic en Crear una Contraseña. Elige una contraseña segura como se aborda en el capítulo 3. Crear y mantener contraseñas seguras, ingresa tu contraseña, confírmala, haz clic en Crear Contraseña y haz clic en Sí, Hacerla Privada (Make Private).
    • Existen algunas opciones en el BIOS de tu computadora que son pertinentes para la seguridad física. Primero, debes configurar tu computadora de modo que no arranque desde un dispositivo USB, CD-ROM o DVD. Segundo, debes fijar una contraseña en el mismo BIOS, de modo que un intruso no pueda simplemente deshacer la configuración previa. Nuevamente, asegúrate de elegir una contraseña segura.
    • Si confías en una base de datos de contraseñas seguras, como se aborda en el capítulo 3, para almacenar tus contraseñas de Windows o del BIOS para una computadora en particular, asegúrate de no guardar una única copia de la base de datos en dicha computadora.
    • Adquiere el hábito de cerrar tu cuenta cada vez que te alejes de tu computadora. En Windows, puedes hacer esto rápidamente manteniendo presionada la tecla con el logo de Windows y presionando la tecla L. Ello solo funcionará si has creado una contraseña para tu cuenta, como se describió anteriormente.
    • Cifra la información sensible en tus computadoras y dispositivos de almacenamiento en tu oficina. Dirígete al capítulo 4. Proteger los archivos sensibles en tu computadora para obtener detalles e indicaciones adicionales en las Guías Prácticas pertinentes.

    Rudo: Estoy un poco nervioso en cuanto a equivocarme en el BIOS. ¿Podría arruinar mi computadora si cometo algún error?

    Otto: Sí puedes, al menos temporalmente. De hecho, las opciones que desearías cambiar son muy simples, pero la pantalla del BIOS puede ser un poco intimidante, y es posible dejar tu computadora temporalmente incapaz de arrancar si cometes algún error. En general, si no te sientes cómodo trabajando en el BIOS, debes pedir a alguien con mayor experiencia con computadoras que te ayude.

    Dispositivos Portátiles

    • Mantén tu computadora portátil, tu teléfono móvil y otros dispositivos portátiles que contengan información sensible todo el tiempo contigo, especialmente si estas viajando o te estas alojando en un hotel. El viajar con un cable de seguridad para computadora portátil es una buena idea, aunque a veces es difícil encontrar un objeto apropiado al cual puedas fijarlo. Recuerda que las horas de toma de alimentos son a menudo aprovechadas por los ladrones, muchos de los cuales han aprendido a revisar habitaciones de hotel en busca de computadoras portátiles durante las horas del día cuando estas están probablemente sin vigilancia.
    • Si tienes una computadora portátil, una tablet o dispositivo móvil, trata de evitar ponerlos a vista de todos. No hay necesidad de mostrar a los ladrones que estás llevando una valioso hardware contigo o de mostrarles a los individuos que pudieran desear acceder a tus datos que tu mochila contiene un disco duro lleno de información. Evita usar tus dispositivos portátiles en áreas públicas, y considera llevar tu computadora portátil en algo que no se vea como una bolsa para computadoras portátiles.

    Mantener un ambiente sano para el hardware de tu computadora

    Como muchos dispositivos electrónicos, las computadoras son muy sensibles. No se adaptan bien a suministros eléctricos inestables, temperaturas extremas, polvo, altos grados de humedad o tensión mecánica. Existen muchas cosas que puedes hacer para proteger tu computadora y elementos de red de dichas amenazas:

    • Los problemas eléctricos tales como sobrecargas de energía, apagones y bajas de tensión pueden causar daño físico a una computadora. Las irregularidades como éstas pueden 'arruinar' tu disco duro, dañar la información que contiene, o dañar físicamente los componentes eléctricos en tu computadora.
      • Si puedes costearlas, debes instalar dispositivos de Corriente Eléctrica Ininterrumpida (UPS por sus siglas en inglés) en las computadoras más importantes de tu oficina. Un UPS estabiliza el suministro eléctrico y provee energía temporal en caso de apagón.
      • Cuando las UPSs se consideran inapropiadas o muy costosas, puedes proporcionar filtros de energía o protectores contra sobretensiones, cualquiera de los cuales ayudará a proteger tus equipos de sobrecargas de energía.
      • Prueba tu red eléctrica antes de conectar equipos importantes a ella. Trata de usar enchufes que tengan tres ranuras, una de ellas 'a tierra.' Y, si es posible, tómate un día o dos para ver cómo se comporta el sistema eléctrico en una nueva oficina cuando está dando energía a dispositivos baratos, tales como lámparas y ventiladores, antes de poner tus computadoras en riesgo.
    • Para protegerse contra los accidentes en general, evita colocar hardware importante en pasillos, áreas de recepción, u otras ubicaciones de fácil acceso. Los UPSs, filtros de energía, protectores contra sobretensiones, regletas y cables de extensión — particularmente aquellos conectados a los servidores y al equipo en red — deben estar ubicados donde no puedan ser apagados por un traspié accidental.
    • Si tienes acceso a cables de computadora, regletas y extensiones de alta calidad, debes comprar suficientes para servir a toda la oficina y contar con algunos extras. Las regletas que se desprenden de los enchufes de las paredes y producen chispas constantemente son más que molestos. Pueden ser muy perjudiciales para la seguridad física de cualquier computadora que esté conectada a estos. Ello puede conducir a que usuarios frustrados aseguren sus cables sueltos a las regletas utilizando cinta adhesiva, lo cual crea un obvio peligro de incendio.
    • Si mantienes alguna de tus computadoras dentro de un gabinete, asegúrate que tengan ventilación adecuada, porque sino se pueden sobrecalentar.
    • Las computadoras no debe estar ubicadas cerca de radiadores, rejillas de la calefacción, aire acondicionado u otros mecanismos con conductos

    Crear tu política de seguridad física

    Una vez que hayas evaluado las amenazas y las vulnerabilidades que tú y tu organización afrontan, debes considerar los pasos que se deben tomar para mejorar su seguridad física. Es conveniente crear una política de seguridad detallada poniendo por escrito estos pasos. El documento resultante servirá como una guía general para ti, tus colegas y cualquier persona nueva en tu organización. Este documento también debe proporcionar una lista de verificación de acciones a ser tomadas ante la ocurrencia de varias emergencias de seguridad física. Todos los involucrados deben tomarse el tiempo necesario para leerlo, implementarlo y cumplir con estas normas de seguridad. Ellos también deben ser alentados a realizar preguntas y proponer sugerencias de cómo mejorar el documento.

    Tu política de seguridad física puede contener varias secciones, dependiendo de las circunstancias:

    • Una política de ingreso a la oficina que aborde los sistemas de alarma, cuantas llaves existen y quienes las tienen, cuando se admiten invitados en la oficina, quienes tienen el contrato de limpieza y otros asuntos pertinentes
    • Una política sobre que partes de la oficina deben estar restringidas a visitantes autorizados.
    • Un inventario de tu equipo, incluyendo los números de serie y las descripciones físicas.
    • Un plan para la disposición segura de papeles que contengan información sensible
    • Procedimientos de emergencia relacionados a:
      • Quién debe ser notificado en caso de que información sensible sea revelada o extraviada
      • A quién contactar en caso de incendio, inundación, u otro desastre natural.
      • Cómo ejecutar ciertas reparaciones clave de emergencia.
      • Cómo contactar con las compañías u organizaciones que proporcionan servicios tales como energía eléctrica, agua y acceso a Internet.
      • Cómo recuperar información de tu sistema de respaldo externo. Puedes hallar consejos más detallados sobre copias de respaldo en el capítulo 5. Recuperar información perdida.

    Tu política de seguridad debe ser revisada y modificada periódicamente para reflejar cualquier cambio en la política que se haya realizado desde la última revisión. Y por supuesto, no olvides respaldar tu documento de política de seguridad junto con el resto de tu información importante. Dirígete a la sección de Lecturas Adicionales para mayor información sobre la creación de una política de seguridad.

    Lecturas Adicionales

    Referencias

    [1] www.frontlinedefenders.org/manual/en/esecman
    [2] www.frontlinedefenders.org/manuals