Según [B$^+$88], la seguridad física de los sistemas informáticos
consiste en la aplicación de barreras físicas y procedimientos de
control como medidas de prevención y contramedidas contra las amenazas a los
recursos y la información confidencial. Más claramente, y particularizando
para el caso de equipos Unix y sus centros de operación, por `seguridad
física' podemos entender todas aquellas mecanismos - generalmente de
prevención y detección - destinados a proteger físicamente cualquier
recurso del sistema; estos recursos son desde un simple teclado hasta una
cinta de backup con toda la información que hay en el sistema, pasando
por la propia CPU de la máquina.
Desgraciadamente, la seguridad física es un aspecto olvidado con
demasiada frecuencia a la hora de hablar de seguridad informática en general;
en muchas organizaciones se suelen tomar medidas para prevenir o detectar
accesos no autorizados o negaciones de servicio, pero rara vez para prevenir
la acción de un atacante que intenta acceder físicamente a la sala de
operaciones o al lugar donde se depositan las impresiones del sistema. Esto
motiva que en determinadas situaciones un atacante se decline por aprovechar
vulnerabilidades físicas en lugar de lógicas, ya que posiblemente le
sea más fácil robar una cinta con una imagen completa del sistema que
intentar acceder a él mediante fallos en el software. Hemos de ser
conscientes de que la seguridad física es demasiado importante como para
ignorarla: un ladrón que roba un ordenador para venderlo, un incendio o un
pirata que accede sin problemas a la sala de operaciones nos pueden hacer mucho
más daño que un intruso que intenta conectar remotamente con una máquina
no autorizada; no importa que utilicemos los más avanzados medios de cifrado
para conectar a nuestros servidores, ni que hayamos definido una política
de firewalling muy restrictiva: si no tenemos en cuenta factores
físicos, estos esfuerzos para proteger nuestra información no van a
servir de nada. Además, en el caso de organismos con requerimientos de
seguridad medios, unas medidas de seguridad físicas ejercen un efecto
disuasorio sobre la mayoría de piratas: como casi todos los atacantes de
los equipos de estos entornos son casuales (esto
es, no tienen interés específico sobre nuestros equipos, sino sobre
cualquier equipo), si notan a través de medidas físicas que
nuestra organización está preocupada por la seguridad probablemente
abandonarán el ataque para lanzarlo contra otra red menos protegida.
Aunque como ya dijimos en la introducción este proyecto no puede
centrarse en el diseño de edificios resistentes a un terremoto o en la
instalación de alarmas electrónicas, sí que se van a intentar comentar
ciertas medidas de prevención y detección que se han de tener en cuenta a
la hora de definir mecanismos y políticas para la seguridad de nuestros
equipos. Pero hemos de recordar que cada sitio es diferente, y por tanto
también lo son sus necesidades de seguridad; de esta forma, no se pueden dar
recomendaciones específicas sino pautas generales a tener en cuenta, que
pueden variar desde el simple sentido común (como es el cerrar con llave la
sala de operaciones cuando salimos de ella) hasta medidas mucho más
complejas, como la prevención de radiaciones electromagnéticas de los
equipos o la utilización de degaussers. En entornos habituales
suele ser suficiente con un poco de sentido común para conseguir una
mínima seguridad física; de cualquier forma, en cada institución se
ha de analizar el valor de lo que se quiere proteger y la probabilidad de las
amenazas potenciales, para en función de los resultados obtenidos diseñar
un plan de seguridad adecuado. Por ejemplo, en una empresa ubicada en
Valencia quizás parezca absurdo hablar de la prevención ante terremotos
(por ser esta un área de bajo riesgo), pero no sucederá lo mismo en una
universidad situada en una zona sísmicamente activa; de la misma forma, en
entornos de I+D es absurdo hablar de la prevención ante un ataque nuclear,
pero en sistemas militares esta amenaza se ha de tener en cuenta3.1.
© 2002 Antonio Villalón Huerta
