Evaluacin del Hardware

3.1 Finalidad de la evaluacin del Hardware.

Se encarga de verificar la seguridad no solamente en lo operativo de
los componentes materiales del ordenador, sino de todo lo relativo a
los aspectos fsicos concernientes al departamento de procesos de
datos
Fines de la evaluacin entorno al Hardware
v Revisar los informes de la direccin sobre la utilizacin del hardware
v Revisar si el equipo se utiliza por el personal autorizado
v Examinar los estudios de adquisicin, seleccin y evolucin del
hardware
v Comprobar las condiciones ambientales
v Revisar el inventario del hardware
v Verificar los procedimientos de seguridad fsica
v Examinar los controles de acceso fsico
v Revisar la seguridad fsica de los componentes de los datos entre los
perifricos y el ordenador
v Comprobar los procedimientos de prevencin /deteccin/correccin
frente a cualquier tipo de desastre
SEGURIDAD FISICA
Cuando se quiere tener un equipo seguro es importante considerar
todos los aspectos que estn involucrados. Uno de los ms
importantes es la seguridad que se brinda en el entorno donde est
ubicado el equipo.
Medidas de seguridad fsica
v Acceso fsico
v Desastres Naturales
v Alteraciones del entorno

3.2 REQUERIMIENTOS PARA LA EVALUACIN DE HARDWARE

Objetivo:
Comprobar que existan los contratos de seguro necesarios para el
hardware y software de la empresa (elementos requeridos para el
funcionamiento continuo de las aplicaciones bsicas).
HARDWARE: Si la empresa tiene aspectos predefinidos para la
evaluacin del hardware, se tomarn en cuenta esos lineamientos.
Qu se evala?
Distribucin del hardware (ubicacin fsica)
Registro del hardware instalado, dado de baja, proceso de
adquisicin, etc.
Uso del mismo: desarrollo, operacin, mantenimiento, monitoreo
y toma de decisiones.
Acceso al hardware (llaves de seguridad)
Bitcoras de uso (quin, cuando, para qu, entre otros puntos)

3.3 La administracin
La solucin de administracin de auditora en hardware interna le
ayuda a planificar, ejecutar y hacer un seguimiento de las auditoras
internas para realizar lo siguiente:

Brindar apoyo a las polticas de gobierno y administracin de

riesgos de su organizacin.

Mejorar la calidad y la efectividad de su proceso de auditoras

internas.

Aumentar la capacidad de ejecucin y supervisin de su

departamento de auditoras internas.
Los departamentos de auditora interna tienen que garantizar que las
polticas de administracin de hardware y riesgos son efectivas y
preparan el camino para la mejora continua; al tiempo que hacen
frente a presupuestos ms estrechos y recursos limitados.
La solucin de administracin de auditora interna se dise para
dar apoyo a los gerentes de auditora interna a lo largo del proceso de
auditora interna, con una interfaz personalizada para cada perfil de
usuario que puede configurarse para ajustarse a la estructura de su
departamento de auditora interna. En la administracin de hardware

se pretende establecer un control para su correcta administracin. Con

la implementacin de los sistemas de hardware en las empresas, se
debe llevar una administracin en cuanto a quin realizar las
actividades especficas.
1. Etapa de preparacin
Puede crear un plan anual de auditora interna a partir de los
resultados de auditoras anteriores, planes de accin ya
implementados, la cobertura de los procesos de negocios y las
unidades de negocios, y los riesgos de su organizacin. Se establece
una correspondencia entre la informacin que ingresa sobre las
habilidades y la disponibilidad de sus auditores internos y los niveles
de habilidades requeridos para cada auditora en particular. Esto
garantiza que su personal se asigna de la manera ms efectiva posible
segn su plan de auditora interna y sus objetivos. Y las herramientas
grficas de nuestra solucin hacen que desarrollar planes de
auditoras y designar el personal sea an ms fcil.
2. Fase de ejecucin
La recopilacin de datos se simplifica ya que las observaciones
pueden respaldarse con documentos adjuntos. La solucin tambin
produce pruebas a modo de cuestionarios, los cuales pueden
completarse en el software, y resume sus resultados. En la solucin,
se realiza un seguimiento del progreso de las auditoras y una revisin
de los resultados del cuestionario. El anlisis, la consolidacin y la
comunicacin de los resultados de la auditora se llevan a cabo
mediante un flujo de trabajo de validacin en cada paso. El informe
final de la auditora se genera automticamente. Todos estos pasos
tambin pueden realizarse sin tener conexin a Internet.
3. Fase de seguimiento
Las recomendaciones se crean directamente en la solucin y se
suman a los resultados de las pruebas de auditora. Los planes de
accin se disean segn las deficiencias que identificaron las
auditoras. Los informes y paneles, disponibles en formatos estndar
que pueden personalizarse fcilmente, le ayudan a hacer un
seguimiento de las recomendaciones.
3.4 Instalacin

Cuando hablamos de auditora lo primero que nos viene a la cabeza

es una pregunta: por qu necesito auditar un ordenador? Son varios
los motivos por los que no slo es importante sino necesario, hacer un
seguimiento de los equipos informticos con los que trabajamos.
La primera razn es para saber qu hardware tenemos instalado.
Cuando compramos un equipo sabemos perfectamente lo que tiene,
pero en las empresas es habitual que con el uso diario falle algo y se
cambie un componente. Tambin es frecuente que para mejorar el
rendimiento se aada memoria o un disco duro por ejemplo. Todos
estos cambios hacen que con el tiempo, el ordenador inicial que
compramos no se parezca en mucho al que actualmente tenemos.
Con un buen programa de auditora se puede conocer el hardware que
hay instalado lo que nos facilita la tarea a la hora de planear futuras
ampliaciones o mejoras.
Otra razn es conocer los programas que tenemos instalados. A lo
largo de la vida de un equipo es frecuente que instalemos y
desinstalemos programas. Esto no slo repercute en el rendimiento
del equipo sino que en muchas ocasiones es frecuente que las
instalaciones dejen ficheros residentes que no se borran por completo
(ocupan espacio y ya no son necesarios).
Con la proliferacin de Internet, virus y ataques externos es necesario
tener en cuenta una buena poltica de seguridad en nuestras
mquinas para prevenir y no tener que preocuparnos cuando ya las
cosas se han estropeado. En la lnea de la prevencin tambin estn
las auditoras, ya que permiten conocer lo que hay en cada momento
en nuestro equipo de tal forma que podamos detectar por ejemplo
programas extraos que no hayamos instalado nosotros.
La seguridad no solo consiste en ver los programas que hay
instalados. Un buen programa de auditora permitir monitorizar una
red de ordenadores, de tal forma que podamos averiguar qu equipos
forma parte de la red, qu usuarios tienen privilegios de acceso y
ciertos parmetros de la configuracin de la red. El conjunto de esta
informacin es vital a la hora de proteger nuestros equipos de ataques
informticos y facilita la labor, ya que no hay que ir equipo a equipo
mirando estos datos. La mayora de los programas de auditora
permitirn conocer esta informacin desde un servidor centralizado.
Finalmente un motivo ms para auditar equipos o redes de equipos es
la realizacin de estadsticas que permitan medir el rendimiento
haciendo estudios comparativos entre informes.

3.5 Operacin y seguridad

Abarcan todo el ambiente de la operacin del equipo central de

computacin y dispositivos de almacenamiento, la administracin de la
cintoteca y la operacin de terminales y equipos de comunicacin por
parte de los usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el
Centro de Cmputo durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos por
parte de funcionarios del PAD
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a planes y
objetivos.
Acciones a seguir:
El acceso al centro de cmputo debe contar con las seguridades
necesarias para reservar el ingreso al personal autorizado

Implantar claves o password para garantizar operacin de consola

y equipo central (mainframe), a personal autorizado.

Formular polticas respecto a seguridad, privacidad y proteccin de

las facilidades de procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de violacin y como
responder ante esos eventos.

Mantener un registro permanente (bitcora) de todos los procesos

realizados, dejando constancia de suspensiones o cancelaciones de
procesos.

Los operadores del equipo central deben estar entrenados para

recuperar o restaurar informacin en caso de destruccin de archivos.

Los backups no deben ser menores de dos (padres e hijos) y

deben guardarse en lugares seguros y adecuados, preferentemente
en bvedas de bancos.

Se deben implantar calendarios de operacin a fin de establecer

prioridades de proceso.

Todas las actividades del Centro de Computo deben normarse

mediante manuales, instructivos, normas, reglamentos, etc.

El proveedor de hardware y software deber proporcionar lo

siguiente:

o Manual de operacin de equipos

o Manual de lenguaje de programacin
o Manual de utilitarios disponibles
o Manual de Sistemas operativos

Las instalaciones deben contar con sistema de alarma por

presencia de fuego, humo, as como extintores de incendio,
conexiones elctricas seguras, entre otras.

Instalar equipos que protejan la informacin y los dispositivos en

caso de variacin de voltaje como: reguladores de voltaje, supresores
pico, UPS, generadores de energa.

Contratar plizas de seguros para proteger la informacin, equipos,

personal y todo riesgo que se produzca por casos fortuitos o mala
operacin.
3.6 Determinar el nivel de Aplicacin de alguna de las normas
consideradas para la auditoria del hardware.
El entorno fsico del hardware
Entendemos como entorno fsico del hardware el entorno en el que
est situado nuestro hardware, dispositivos de red y centros de
computacin. Es el paso siguiente en el estudio de la seguridad fsica
al estudio de la edicin. Supone el estudio de la localizacin del
hardware, el acceso fsico que las personas puedan tener a este, todo
el cableado que interconecta el hardware o que le provee de energa,
el control de la temperatura y dems condiciones climticas del
entorno donde se encuentra el hardware, el estudio del tipo de
montaje de este hardware dentro de nuestra infraestructura y los
mtodos de administracin y gestin del hardware y de su entorno.
Suministro de energa para el hardware
Despus de haber estudiado el suministro de energa al edicio
debemos realizar un estudio del suministro de energa a los centros de
computacin o en el entorno inmediato donde se encuentra situado

nuestro hardware. Es imprescindible el asegurar un suministro estable

y continuo de energa elctrica al hardware, utilizando normalmente
sistemas UPS (Sistema de suministro ininterrumpido de energa) que
regularn la tensin evitando los picos de voltaje que pueda traer la
red y proporcionarn un tiempo de autonoma por medio de bateras
en caso de cortes del suministro elctrico.
Hay que tener en cuenta siempre que no solo es necesario proveer de
un suministro estable y continuo de energa a los ordenadores y a los
sistemas de almacenamiento, deberemos proporcionar el mismo
tratamiento al hardware de red, incluidos concentradores, enrutadores,
pasarelas y todos los dispositivos que sean necesarios para el
funcionamiento normal de la empresa. Estas medidas pueden incluir
tambin otro tipo de hardware como impresoras lser o
fotocopiadoras.
Para evitar puntos de fallo es conveniente el no depender nicamente
de un sistema UPS para todo el hardware a proteger, siendo ms
conveniente la instalacin de varios UPS que puedan suministrar
energa a parte del sistema en el caso de que uno de los UPS fallara.
Seguridad Fsica como ups y las protecciones que proporcionan al
hardware y se recomendar en su caso la instalacin de ms sistemas
UPS o la redundancia de alguno de ellos.
Deber estudiarse tambin las protecciones como fusibles,
automticos y diferenciales que tengamos en cada una de las
concentraciones de hardware, como centros de computacin, racks o
armarios con varios sistemas montados.

Acceso fsico al hardware

El acceso fsico al hardware sea este computadoras o dispositivos de
red deber ser restringido, teniendo en cuenta las necesidades de
cada departamento o usuario. Se debe hacer aqu una distincin entre
los equipos de red y servidores departamentales o corporativos y las
mquinas de usuario nal.
Los equipos de red importantes como routers, pasarelas y
concentradores debern estar en un lugar donde exista un control de
acceso, ya sea mediante vigilancia por medio de personas o mediante
el aislamiento de las salas o armarios donde estos se encuentren por
medio de cerraduras o sistemas de control de acceso mediante

tarjetas, claves o control biomtrico. Para cada acceso deber

relejarse una entrada en un sistema de control que puede ser desde
un simple libro donde se vayan apuntando las personas y el acceso
que han tenido a los equipos hasta un sistema informtico que deje
reejado en sus logs el acceso al hardware y quien lo ha hecho. Es
importante controlar y reejar siempre en los apuntes quien ha
accedido al hardware, con qu motivo y las medicaciones fsicas o
lgicas que en su caso pueda haber realizado sobre este hardware.
Los dispositivos de red que permitan un acceso remoto debern ser
protegidos por medio de claves y cortafuegos para limitar el acceso a
las personas que tienen a su cargo la administracin de estos
sistemas. Se deber proveer la posibilidad de que intrusos o atacantes
intenten cambiar la conguracin del hardware de red, sobre todo en
el caso de enrutadores
Los dispositivos y servidores situados fuera de los centros de datos o
de computacin o en las zonas departamentales debern ser
protegidos mediante armarios o racks cerrados con llave y deber
imponerse una poltica en el departamento de acceso a estos
sistemas.
Seguridad Fsica:
Es importante que en todos los casos siempre tengamos una persona
encargada del control del acceso al hardware y que tenga
responsabilidades asociadas a este cometido. Puede tratarse de los
mismos administradores, de los usuarios (mediante polticas de
acceso) o de personal contratado para este cometido. Estas personas
debern responsabilizarse personalmente de todos los accesos al
hardware que se produzcan y apuntar en los libros o logs
detalladamente todas las manipulaciones realizadas.
Un punto poco conocido pero muy a tener en cuenta en la seguridad
fsica de los sistemas es el control de acceso del personal de
mantenimiento del edicio. El personal de limpieza, de mantenimiento
del edicio y personal similar debe pasar por los mismos sistemas de
control de acceso que los administradores o usuarios de las mquinas.
Todo el mundo confa en el personal de limpieza o de mantenimiento,
probablemente todo el mundo los conoce y llevan aos trabajando en
la empresa, pero si nuestros datos son sucientemente crticos
haremos bien en desconar de todo el mundo, y tambin de ellos.
Alguien puede ofrecer una cantidad de dinero o extorsionar de alguna

forma al personal para que extraiga datos o provoque daos en el

hardware, todo depende de lo importante que sean nuestros datos y
de su valor econmico. Incluso pueden producir daos graves por
simple desconocimiento, pues no es la primera vez que el personal de
limpieza desenchufa un servidor crtico de la empresa para enchufar la
aspiradora. Y no es una broma, ocurre de verdad. Lo ideal es que
personal de vigilancia acompae al personal de limpieza y
mantenimiento cuando este deba acceder a los centros de
computacin o a los sitios donde estn alojados servidores o sistemas
de almacenamiento de datos. Tambin se puede usar otro tipo de
control de acceso como tarjetas o sistemas biomtricos, que
prevengan este tipo de comportamientos.
Interaccin del hardware con el suministro de energa y agua
Aunque parte de la seguridad fsica del edicio deber tambin
tenerse en cuenta en los centros de computacin o de
almacenamiento de datos la seguridad fsica asociada a las
canalizaciones de energa y agua. Las canalizaciones de energa
pueden provocar cortocircuitos o fallos que provoquen incendios y las
canalizaciones de agua pueden romperse y estropear el hardware. Se
deber estudiar que estas canalizaciones cumplan las normas que al
efecto deben seguirse en cada pas, pues existen reglamentos que
indican la distancia a la que deben de estar estas canalizaciones unas
de otras y de los dispositivos elctricos como el hardware.
Se puede usar aqu dispositivos de monitorizacin como detectores de
humo o de lquidos, que debern situarse estratgicamente para
proporcionar una mxima supercie de cobertura y sobre todo para
proteger a los sistemas ms crticos. Puede ser aconsejable en
algunos casos mantener los sistemas crticos o redundantes en varias
habitaciones, disminuyendo as la posibilidad de que una contingencia
de este tipo pueda afectar a un grupo grande de mquinas, y deber
aprovecharse la estructura fsica del edicio para proveer aislamiento
entre estas salas o secciones donde se ha de situar el hardware. La
mayora de las veces es preferible mantener algo ms de cableado
que mantener todo el hardware en una misma localizacin fsica
donde est expuesta a situaciones de riesgo como incendios o
inundaciones.
Los sistemas de backup y almacenamiento de datos debern estar en
localizaciones seguras dentro del edicio y lejos de canalizaciones de

energa o agua, por ser crtico su funcionamiento para la seguridad de

los datos. Como en casi todos los casos la redundancia en estos
sistemas, sobre todo si tenemos varios
Sistemas de control del hardware y su integridad
Los sistemas de control de las condiciones de trabajo del hardware
suelen ir integradas en los racks o armarios que usemos para
protegerlos, indicando normalmente una serie de parmetros como la
temperatura de trabajo, la humedad relativa del ambiente dentro del
rack o armario y otros parmetros. Los sistemas UPS de cierta entidad
suelen tener algn medio de monitorizacin remota mediante SNMP o
avisos de algn tipo. Deber estudiarse la implantacin de racks,
armarios y sistemas UPS que proporcionen monitorizacin de las
condiciones de funcionamiento del hardware para mantener las
mquinas en un nivel ptimo de seguridad y para poder reaccionar
rpidamente cuando se produce algn problema.
La integridad del hardware debe ser vigilada normalmente mediante
software, ya sea mediante software de monitorizacin o sistemas de
gestin de redes basados en SNMP. Por esto es muy interesante que
nuestros dispositivos de red dispongan de funcionalidad SNMP
suciente para poder monitorizar la salud de los dispositivos y su
estado. En condiciones normales de funcionamiento ser suciente
con un sistema de monitorizacin a travs de la red que permita ver si
los dispositivos estn funcionando correctamente y cumpliendo con su
cometido, en los sistemas crticos puede ser necesaria una
monitorizacin adicional por medio de personal que verique que los
racks y armarios estn funcionando correctamente y que los
dispositivos de red estn fsicamente protegidos.
Seguridad contra incendios y otros desastres a nivel de hardware
La seguridad contra incendios y otros desastres ha sido tratada a nivel
estructural anteriormente, pero ahora hablaremos de la seguridad a
nivel de hardware, que proporcionar un segundo nivel de proteccin
fsica. Lo ms normal es usar racks o armarios ignfugos para proteger
a los sistemas contra pequeos incendios o desastres naturales,
aunque deberemos tener siempre en mente que la temperatura que se
alcanzar en un incendio en los racks y dentro de los armarios
ignfugos es suciente para destruir el hardware y los datos que este
hardware pueda contener. Nada es ms ecaz contra este tipo de
imprevistos que un sistema ecaz de backup, donde los backups sean
guardados fuera del edicio o al menos fuera de la seccin que

contiene el hardware o los dispositivos de almacenamiento de datos.

La ecacia de un sistema de backup es una cuestin de seguridad
informtica, por lo que no la trataremos aqu, simplemente haremos
notar que un backup no es ecaz si no est disponible cuando ocurre
un incidente y es necesaria su restauracin. La frecuencia de los
backups tambin es un factor a tener en cuenta, puesto que no
siempre es posible el llevar fuera del edicio o seccin los backups en
un espacio de tiempo sucientemente corto como para asegurar la
mnima perdida de datos y trabajo cuando se produce un desastre de
este tipo. Los backups remotos son una opcin a tener en cuenta en
estos casos, usando sistemas que realizan backups a travs de red en
mquinas situadas en otros edicios, posiblemente con replicacin de
los datos, para mantener varias copias de los datos y los backups y
proveer as la contingencia de un incendio o un desastre natural en
uno de los edicios.
La implementacin de los sistemas de seguridad contra incendios,
inundaciones, terremotos y dems desastres naturales deber ser ms
estricta cuantos ms crticos sean los datos que debemos proteger. Se
debe mantener un equilibrio entre el presupuesto dedicado a la
seguridad fsica para este tipo de eventos y las prdidas que puedan
darse si uno de estos eventos se produce. Estas prdidas pueden ser
econmicas, en horas de trabajo o en la integridad de datos crticos
como datos econmicos, datos de clientes o proveedores y datos
secretos referidos a la empresa o a nuestros clientes o proveedores.
En el caso de que los datos sean crticos e irrecuperables o que su
perdida pueda daar la imagen corporativa de la empresa se emplear
todo el presupuesto necesario para mantener copias de los datos
distribuidas en varios edicios, mediante sistemas de backup o
almacenamiento distribuido, porque est ser el nico sistema que nos
asegurar el mantener siempre copias de los datos fsicamente
seguras.
Planes de evacuacin de hardware y equipos.
Aunque no sea muy comn es interesante estudiar la posibilidad de
que el hardware deba ser evacuado del edicio por diversas razones.
Es posible que tengamos que mover nuestro sistema a otro edicio por
razones corporativas o que debamos hacerlo por razones de fuerza
mayor, como desastres naturales, incendios parciales o cualquier otra
contingencia imaginable. Para proveer este tipo de evacuacin

deberemos crear un plan de evacuacin del hardware que nos permita

llevar los equipos crticos a otro edicio o departamento en un mnimo
de tiempo y siguiendo un plan predeterminado que tenga en cuenta la
importancia de cada sistema.
Deberemos tener en cuenta al realizar el estudio y el plan de
evacuacin la importancia de los equipos y sobre todo de los datos
que albergan estos equipos, de forma que los equipos y datos ms
importantes sean evacuados primero, y los menos importantes puedan
esperar. Se deber plantear la necesidad de tener personal preparado
para este cometido y la facilidad con que estos datos se pueden mover
de un lugar a otro.
Lo principal normalmente en una empresa ser evacuar los datos
corporativos (datos de la empresa, datos de facturacin y contabilidad,
del personal que trabaja en la empresa, de los clientes y de los
proveedores), que estarn en forma de discos duros, sistemas de
almacenamiento NAS o cintas de backups. Para los discos duros se
facilita enormemente su evacuacin si se dispone de discos duros
hotswap (extraccin en caliente) que puedan extraerse fcilmente del
equipo y tengan una cierta proteccin fsica contra golpes o
movimientos bruscos. Para los sistemas NAS se intentar que estos
tengan tambin discos hotswap o que sean fcilmente desmontables y
transportables. Las cintas de backup suelen ser fciles de transportar,
pero deber tenerse en cuenta que son sensibles a los campos
magnticos y a las temperaturas extremas.
El plan de evacuacin debe continuar con la evacuacin de los
backups y datos de trabajo de los usuarios para perder el mnimo de
horas de trabajo posibles. Se debe tener en cuenta que normalmente
es ms caro el tiempo de trabajo del personal que trabaja en la
empresa que la infraestructura informtica de esta, por lo que antes de
evacuar otro tipo de equipos debern evacuarse los datos de trabajo
del personal. Despus se podrn evacuar todos los dems equipos
que sean posible, teniendo en cuenta las consideraciones que la
empresa encuentre ms importantes, que pueden ser el valor
econmico de los equipos, la necesidad de disponibilidad inmediata de
una infraestructura mnima para continuar.
El entorno de trabajo del personal y su interaccin con el hardware.
Deber tenerse en cuenta cuando se estudie el entorno de trabajo del
personal de la empresa la formacin que este personal ha recibido
sobre seguridad informtica y fsica de los sistemas sobre los que
debe trabajar o que estn localizados en su entorno ms cercano. Es

fundamental que los empleados tengan los conocimientos necesarios

para mantener el entorno del hardware fsicamente seguro, y para esto
debern crearse normas de acceso y de uso de los dispositivos
hardware que el empleado deba manipular, poniendo especial
hincapi en la seguridad de los datos y de su propio trabajo.
Tendremos en cuenta dos tipos de trabajadores para nuestro estudio:
los trabajadores con responsabilidad en la administracin del hardware
y software y los usuarios nales de estos sistemas.
Para los administradores deberemos crear unas normas de acceso y
uso de los dispositivos servidores y de red donde se expliquen
claramente los pasos que se debern seguir para acceder al hardware
y realizar modicaciones sobre este. Para este personal es esencial el
conocimiento de las implicaciones en la seguridad fsica de los
sistemas que su trabajo diario pueda tener y las medidas de
precaucin que debern tomar para implementar esta seguridad. Se
debe crear junto con el personal de administracin las normas a seguir
para acceder y modicar el hardware y el software. Esto es importante
pues nuestras ideas sobre las medidas que han de tomarse para
asegurar fsicamente los sistemas pueden chocar frontalmente con las
prcticas necesarias en la administracin normal del sistema. Los
administradores deben por tanto implicarse en crear las normas de
seguridad fsica, haciendo notar las normas que puedan entorpecer su
trabajo y la mejor forma de realizar las prcticas de administracin sin
afectar a la seguridad fsica del sistema. Una vez creadas las normas
y aprobadas por el personal de administracin deber
responsabilizarse ya sea a una persona o el conjunto del equipo de
administracin de la seguridad del sistema, implicando as a todo el
personal de administracin en las prcticas de seguridad de la red.
Las normas consideradas para la auditoria del hardware.
Las normas una vez aprobadas debern ser prcticamente
inamovibles, y cualquier caso excepcional que tenga implicaciones
sobre la seguridad fsica de los sistemas deber ser observado con
lupa y aceptado por una persona con capacidad de decisin ejecutiva
y con los conocimientos tcnicos necesarios para aprobar o denegar
una determinada prctica puntual. Es muy aconsejable que todo
acceso o modicacin sobre el hardware quede reejado de alguna

forma para que pueda ser comprobado posteriormente en el supuesto

de fallos o problemas de funcionamiento del sistema.
Para los usuarios nales de los sistemas se debe crear una normativa
de uso de la red y del hardware, donde se indicar de forma clara y
fcil de entender y cumplir las normas que se deben seguir para el uso
de los dispositivos hardware y de la red corporativa. Respecto a la red
corporativa haremos notar que las normas se referirn a el acceso
fsico a las bocas de red, a los concentradores y al cableado de red,
no a el uso informtico que se realice de la red, para lo que deber
elaborarse otra normativa por parte del personal de administracin y
que no tendr relacin con la seguridad fsica. Puede ser conveniente
la imparticin de un seminario donde se explique a los usuarios las
normas que deben seguir para evitar la manipulacin del hardware y el
acceso a este.
Es complicado el implicar totalmente a los usuarios nales en la
seguridad tanto fsica como informtica de las mquinas y la red, en
determinados casos por falta de informacin o capacidad tcnica y en
otros por errores o intentos de manipulacin para llevar a cabo
prcticas en principio prohibidas o desaconsejadas en la normativa de
la red pero que el usuario puede encontrar atractivas. Debemos ser
conscientes de que el peso de la responsabilidad de mantener la
seguridad fsica de los sistemas informticos del usuario nal debe
recaer sobre el equipo de administracin y sobre nosotros como
consultores. Todo error o manipulacin que un usuario nal realice
sobre el hardware o la red es responsabilidad nuestra, pues debemos
proveer todos los casos posibles que se puedan dar y que puedan
afectar a la seguridad del sistema. En caso de tener una normativa
que los empleados deben cumplir, estando estos debidamente
informados, y sobre todo si se tiene la certeza de que determinada
manipulacin del hardware o de la red ha sido hecha a sabiendas de
las implicaciones en la seguridad deberemos en su caso avisar al
infractor y si la conducta se repite deberemos comunicar la infraccin a
la persona que tenga capacidad ejecutiva para imponer sanciones
sobre el usuario.
Planicacin de espacio para hardware y dispositivos.
Montaje en racks
Una mala planicacin del espacio destinado a contener nuestro
hardware o nuestros dispositivos de red puede llevarnos a prcticas
contrarias a la consecucin de una buena seguridad fsica. Por

ejemplo si no hemos planicado suciente espacio en uno de nuestros

armarios o racks para montar un dispositivo de red podemos vernos
obligados a montar este dispositivo fuera del armario con lo que
cualquiera podr acceder a las conexiones y puertos del dispositivo.
Es aconsejable sobredimensionar los armarios y racks de montaje de
equipos en el momento de su compra prebendo futuras ampliaciones
que impliquen la instalacin de nuevos equipos o dispositivos de red,
esto solo puede hacerse normalmente en el momento de la compra,
obligndonos en otro caso a adquirir otro armario o rack si nos
quedamos sin espacio. Es un punto a tener en cuenta cuando se
planica una nueva red o cuando se va a ampliar una red existente.
Si observamos que existen dispositivos de red, servidores NAS o
servidores de aplicaciones fuera de los racks protegidos con llave o de
los armarios ignfugos se aconsejar siempre la compra de nuevos
armarios para contener estos dispositivos.
Uno de los aspectos que se suelen descuidar cuando se adquieren o
montan racks o armarios ignfugos es la ubicacin de los UPS. Los
UPS debern ir dentro de los armarios, por ser un punto de fallo de
todo el sistema y por tanto un sistema a proteger con especial
cuidado.
Se aconseja siempre la instalacin de dispositivos de control de la
temperatura y de la humedad del entorno. El factor ms crtico en los
datacenters y en los racks y armarios ignfugos suele ser la
temperatura, siendo la humedad un factor secundario slo a tener en
cuenta en climas muy determinados donde la humedad pueda afectar
a los equipos.
Para prevenir una excesiva temperatura en los centros de datos y en
los racks y armarios lo fundamental es tener una correcta ventilacin y
en el caso de habitaciones que alberguen una gran cantidad de
mquinas la instalacin de aparatos de aire acondicionado. A mayor
temperatura menor tiempo entre fallos para todos los dispositivos
electrnicos, incluidos los ordenadores, los dispositivos de red y
cualquier sistema que genere por si mismo calor. Es fundamental que
los ordenadores que montemos tengan una ventilacin interior
suciente, incluyendo ventiladores para los discos duros y una fuente
de alimentacin correctamente ventilada. Tambin son convenientes
las cajas que incorporan uno o varios ventiladores para refrigerar las
mquinas.
En el caso de los racks por su mayor masicacin y por ser los
dispositivos ms pequeos y con una mayor integracin de

componentes la ventilacin se convierte en un punto importante a

tener en cuenta. Existen racks y armarios ventilados que permiten
tener las mquinas en un punto de funcionamiento ptimo.
Es importante que adems de tomar las medidas necesarias para
tener la temperatura dentro de unos lmites aceptables tengamos un
sistema de monitorizacin de la temperatura. Este sistema puede ser
un simple termmetro electrnico en la sala de computacin o en los
racks y armarios o un sistema de adquisicin de datos conectado a un
termmetro que pueda mandar datos de la temperatura a un
ordenador que nos permita realizar la monitorizacin. Un ejemplo de
un sistema de este tipo son los diversos aparatos que existen para su
integracin con el software Nagios y que nos permiten mediante
plugins de Nagios la monitorizacin de la temperatura de cualquier
sistema, avisndonos cuando supera los lmites preestablecidos.
Debe congurarse tambin correctamente la BIOS de los ordenadores
para que monitoricen correctamente la temperatura interna y avisen si
esta supera los lmites marcados. Lo mismo para la velocidad de giro
de los ventiladores, que redunda al n y al cabo en la temperatura que
el hardware adquirir.

La seguridad fsica del hardware

La seguridad fsica del hardware es el ltimo punto a estudiar por un

consultor de seguridad fsica. En nuestro mtodo de ir de lo global a lo
especfico llegamos ahora a la parte ms especfica del sistema, al
propio hardware. Aqu la seguridad fsica se torna ms ardua, puesto
que los sistemas informticos suelen estar cercanos al usuario final o
al mismo administrador, por lo que estn expuestos a un mayor peligro
de mal uso o uso malintencionado. Puesto que aqu no podemos
confiar plenamente en el cumplimiento de polticas o normativas de
uso de las mquinas y como estas mquinas estn ms expuestas a
intrusos ajenos al personal de la empresa que hayan superado los
controles de acceso de niveles superiores debemos configurar estas
mquinas y dispositivos de red de forma que sea lo ms complicado
posible el realizar manipulaciones sobre ellos, tanto a nivel.
Es inevitable que el personal tenga acceso fsico a las mquinas sobre

las que deben trabajar, y en algunos casos incluso a los dispositivos

de red. Cuando el usuario debe usar el hardware directamente, como
usando disqueteras, CDROMs o similares la mquina que alberga
estos dispositivos debe estar cercana al usuario. Lo mismo es
aplicable para los servidores y dispositivos de red y los
administradores de sistemas, para poder realizar su trabajo tienen que
tener normalmente acceso fsico a los dispositivos de red.
Teniendo en cuenta este factor debemos intentar mediante el estudio
de la red y de las aplicaciones que han de correr los usuarios finales el
mantener al menos los servidores y los dispositivos de red lejos del
usuario final, en racks, armarios o centros de datos. Los usuarios
podrn acceder a sus datos a travs de la red local y mantener los
datos importantes a salvo, aunque el hardware donde van a trabajar
este desprotegido por estar en su puesto de trabajo. Los sistemas
NAS y otros sistemas de almacenamiento de datos o servidores de
aplicaciones pueden ayudar en esto.
Por tanto la idea es mantener al menos los datos y el trabajo del
usuario fuera de la mquina donde el usuario va a trabajar.
Deberemos instar al personal de administracin para que organice el
sistema de forma que los usuarios finales trabajen directamente sobre
servidores de ficheros y servidores de aplicaciones, manteniendo as
los datos a salvo de errores o manipulaciones del hardware. Bien
estudiado este sistema puede suponer un ahorro adicional en
hardware en las estaciones de trabajo del usuario final, que podrn ser
menos complicadas en su constitucin y ms sencillas de administrar.
Racks y armarios

Sobre los racks y armarios ya hemos hablado bastante. Tengamos en

cuenta todo lo que hemos comentado sobre su entorno, su
localizacin y las consideraciones que debemos tomar para su
adquisicin y montaje. Adems de todo esto debemos tener en cuenta
que estos armarios y racks deben contener mquinas y dispositivos de
red, y que esto implica otro nivel de seguridad fsica que debemos

estudiar. En concreto deberemos estudiar que mquinas se incluyen

en que racks y lo mismo para los dispositivos de red. Esto evitar que
un supuesto intruso o usuario malintencionado que intente reconectar
las mquinas o dispositivos del rack para realizar acciones no
permitidas lo tenga ms difcil. Si mantenemos en un rack los
servidores de ficheros, en otro los de aplicaciones y en otro los
dispositivos de red tendremos la seguridad de que un supuesto intruso
no podr trucar nuestra red para acceder con los permisos de unas
mquinas
a
otras.
Hay que tener especial cuidado con los racks que contienen
dispositivos de red, pues con la actual tendencia a construir VLANs
por medio de concentradores que implementan este servicio podemos
tener el peligro de que un usuario realice cambios en el cableado de
red y tenga acceso a redes a las que no debera tener acceso. Es muy
importante tambin el proteger en los concentradores los puertos
donde se pueden conectar sniffers de red, pues proveen a un
supuesto intruso de un arma imbatible para obtener datos de nuestra
red. Lo mismo es aplicable a las conexiones serie que puedan tener
estos dispositivos y que nos permitan la administracin remota de los
dispositivos, pues la seguridad del control de acceso en estos puertos
no suele ser tan fuerte como cuando se accede mediante telnet o
interface web.
Las cajas de las computadoras
Las cajas de las computadoras suelen ser un quebradero de cabeza
para todo consultor de seguridad fsica, porque nos vienen impuestas
por el hardware que se ha adquirido y es difcil el convencer a una
empresa de que las cambie por otras ms seguras.
La caja normal de una computadora no provee ningn tipo de
seguridad contra un supuesto acceso a su interior por un intruso, todo
lo contrario, cada vez se hacen ms fciles de abrir... Hay varias
soluciones que se pueden aplicar para mejorar la seguridad de estos
sistemas. La primera y ms simple sera el sellado de la caja, que al
menos nos alertar si algn intruso ha accedido a su interior. Deber
instruirse al personal de mantenimiento para que ponga y quite los

sellos cuando tengan que realizar algn tipo de manipulacin dentro

de la caja. Otra solucin es el taladrar y poner un candado o sistema
similar en la caja que impida su apertura, aunque esto es difcil, puesto
que lo que suele buscar un supuesto intruso son los datos contenidos
en el disco duro, y para eso con abrir parcialmente la caja le basta. Se
puede sellar con silicona los tornillos de la caja o todo el borde de la
tapa para impedir su apertura, pero esto ser un problema si tenemos
que realizar cualquier tipo de mantenimiento dentro de la caja. Otra
opcin ms radical todava (pero no inverosmil) es la soldadura de la
tapa de la caja con el armazn, esto asegurar la seguridad de la caja,
pero si hay que realizar algn tipo de mantenimiento.

Bibliografa
.ideasoft.
(4
de
marzo
de
2006).
Obtenido
de
https://www.ideasoft.biz/wiki/display/O3BI/Requerimientos+de+Hardwa
re+y+Software+para+O3+BI
informatica. (15 de Febrero de 2006). Obtenido de http://inginformatica.esy.es/uncategorized/unidad-3/
monografias.
(5
de
Octubre
de
2011).
Obtenido
de
http://www.monografias.com/trabajos7/ceproc/ceproc.shtml#ixzz3Xbh
mlsj2
orion2020.
(17
de
Mayo
de
2006).
Obtenido
de http://orion2020.org/archivo/performance/TI_SIAuditoria.html
scribd.
(5
de
Diciembre
de
2007).
Obtenido
de
http://www.scribd.com/doc/280062/Auditoria-TI-y-Evaluacion-de-laSeguridad