Académique Documents
Professionnel Documents
Culture Documents
Acceso fsico
Desastres naturales
Alteraciones del entorno
Acceso fsico
Si alguien que desee atacar un sistema tiene acceso fsico al mismo todo el resto de medidas de seguridad
implantadas se convierten en intiles.
Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por
ejemplo reinicindolo con un disco de recuperacin que nos permita cambiar las claves de los usuarios.
Este ltimo tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante,
generalmente si se controla el PC de un usuario autorizado de la red es mucho ms sencillo atacar otros
equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevencin (control de
acceso a los recursos) y de deteccin (si un mecanismo de prevencin falla o no existe debemos al menos
detectar los accesos no autorizados cuanto antes).
Para la prevencin hay soluciones para todos los gustos y de todos los precios:
Analizadores de retina
Tarjetas inteligentes
Videocmaras
Vigilantes jurados, etc.
Para la deteccin de accesos se emplean medios tcnicos, como cmaras de vigilancia de circuito cerrado o
alarmas, aunque en muchos entornos es suficiente con qu las personas que utilizan los sistemas se
conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les
resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no
adecuados.
Desastres naturales
Adems de los posibles problemas causados por ataques realizados por personas, es importante tener en
cuenta que tambin los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los
contemplamos en nuestra poltica de seguridad y su implantacin.
Algunos desastres naturales a tener en cuenta:
Terremotos y vibraciones
Tormentas elctricas
Inundaciones y humedad
Incendios y humos
Los terremotos son el desastre natural menos probable en la mayora de organismos, hay varias cosas que
se pueden hacer sin un desembolso elevado y que son tiles para prevenir problemas causados por
pequeas vibraciones:
o Explotabilidad define cun complicado puede llegar a ser para un atacante aprovechar el fallo.
Cuenta a su vez con tres parmetros, Vector, Complejidad y nivel de Autenticacin. Cada uno a su
vez con varios valores posibles.
o El grupo Impacto define qu grado de acceso a los datos podra obtener el atacante. Se define a
travs de tres valores a su vez, confidencialidad: (si el atacante puede leer aquello que no debera).
Integridad (si el atacante puede escribir o modificar aquello que no debera) y Disponibilidad (si el
servicio o mquina puede seguir funcionando despus de ser atacado).
o El grupo Temporal cuenta tambin con tres parmetros. Mide ciertas propiedades que influyen en
cmo se percibe la vulnerabilidad a lo largo del tiempo y por tanto, son susceptibles de cambios.
Explotabilidad: Indica si es sencillo aprovechar la vulnerabilidad. Nivel de Remedio: Si existe o no
existe una solucin y Confianza de la informacin: O sea, si la informacin sobre la vulnerabilidad es
oficial o no.
CVRF (Common Vulnerability Reporting Framework)
Finalmente, el CVRF se trata de un estndar reciente, que pretende dar uniformidad a la forma en la que se
avisa de vulnerabilidades de software a un programador o compaa que crea un programa. Con este
mtodo se persigue que, cuando un investigador o empresa cree haber encontrado un fallo de seguridad
en un programa, se le proporcione al fabricante la informacin precisa, rigurosa y adecuada para que
pueda confirmarlo, entenderlo y sobre todo, parchearlo de forma eficaz.
Este estndar es muy reciente y su adopcin es todava limitada. Hoy en da, cada investigador tiene su
propio criterio a la hora de reportar una vulnerabilidad, pero los datos que se proporcionan suelen ser los
descritos ms arriba: causa, consecuencia, impacto, mdulo, etc.