Introducció a la Seguretat de la Informació 4
Als mòduls anteriors d’aquest curs d’introducció a la Seguretat de la Informació, hem vist els conceptes bàsics, la gestió de la Seguretat i la Seguretat en Xarxes. En aquest quart mòdul es parlarà d’amenaces, components i perímetre; de datacenters i de tests bàsics de seguretat física.
Amenaces, components i perímetre
Respecte a les amenaces físiques, n’hi ha de diferents naturaleses:
- Humana externa (al carrer/a la oficina – interacció humana)
- Ambiental externa (un desastre natural)
- Humana interna (intencionals o no)
- Ambiental interna (dins l’empresa/casa)
La regla número 1 de la seguretat física és protegir la vida humana, de manera que s’ha de començar a dotar de seguretat a les coses des del seu disseny. Després s’ha de protegir els béns i les persones (alarmes, sistemes anti-incendis, etc.). Com el castell i la seva fossa, que estableix una barrera de protecció entre la població del castell i els possibles intrussos.
Avui, a les empreses, hi ha valles, accessos amb vigilants, identificacions, càmeres, etc. que intenten garantir la seva seguretat. En cas de ser una casa, un sistema d’alarma o tenir uns bons panys i portes, serien mesures a prendre per assegurar la llar.
La seguretat ambiental té a veure amb la qualitat de l’aire, ventilació, evacuació, etc. S’han de gestionar i preveure possibles amenaces i preparar un pla d’actuació.
La defensa en capes o de profunditat: com les cebes. Si una mesura falla, tinc la resta de les capes per protegir l’actiu. A la seguretat física, el perímetre d’entrada seria el primer filtre de seguretat fins arribar al datacenter, que emmagatzema les dades de la infraestructura tecnològica i és un actiu valuós que s’ha de protegir.
Hem de tenir en compte l’accés físic als racks dels servidors, com estan distribuïts els cables, la ventilació, vetllar per la combustibilitat i la conductivitat, il·luminació, alimentació, etc…També necessitarem protocols de seguretat per accedir físicament al datacenter i auditar els backup per tenir control sobre qui realitza accions. A més d’on van els racks, s’ha de tenir en compte l’alçada de l’habitació, el tipus de portes i finestres, què hi ha rere les altres parets amb les que toca el datacenter, etc.
Preveure un sistema d’energia elèctrica alternativa ens pot ajudar a no deixar de donar servei en cas de caiguda del sistema elèctric convencional. Si no tinc llum, no puc tenir control del sistema i, per tant, un tall elèctric pot convertir-se en una situació crítica.
Incendis i tests
Els sistemes de detecció d’incendis es treballen en la fase de prevenció. Hi poden haver alarmes manuals o automàtiques, extintors o aspersors automàtics.
Una cosa que no es té en compte sovint són les escombraries: on s’hi poden llençar documents amb informació confidencial i de la que cal tenir cura.
Un test físic i ràpid és donar una volta per l’oficina: als escriptoris hi ha papers amb informació que pot ser extraíble? Hi ha pendrives amb informació que potser és confidencial? Hi ha usuaris oberts als ordinadors? Hi ha accessos, armaris i calaixos que poden ser accessibles? I així, anar fent…