Las Empresas Modernas y la Seguridad Informática:
Seguridad Física.
Enrique Daltabuit
Noviembre 2007
Choque de Culturas.
La seguridad física se ocupa de la protección de los activos de una organización. El mundo de la seguridad física antecede por siglos a las TIC, y los encargados se dedican a proteger los activos físicos usando cerraduras, sistemas de vigilancia y sistemas de alarmas. Las personas encargadas de la seguridad física están entrenadas en prevención de crímenes y en investigaciones policíacas. Es difícil que acepten la tecnología de seguridad informática que se ha desarrollado en los últimos 50 años para proteger la información. Por otra parte los responsables de las redes corporativas de datos no han sido capacitados en las estructuras de proyección de las instalaciones y las personas. Se produce en las instituciones un choque cultural entre estos dos grupos. (Schultz, E.(2006)).
La seguridad física esta basada en el uso de dispositivos y mecanismos de seguridad. Los principales son: (Teumin, (2005))
Control de acceso electrónico a equipo e instalaciones mediante
Tarjetas magnéticas
Tarjetas inteligentes
Identificación Biométrica
Sistemas Identificación por radiofrecuencia (RFI- radio frequency identification)
Sistemas de circuito cerrado de televisión (CCTV-closed circuit televisión)
Sistemas de sensores y alarmas
Sistemas de vigilancia ambiental
Sistemas de vigilancia del personal.
Todos los dispositivos que se utilizan en estas tareas tienen sus propios sistemas de administración y control. Cada uno de estos sistemas usa un método de comunicación propio, ya sea mediante cables, fibra óptica o métodos inalámbricos.
Modernización
Al incorporarse nuevas tecnologías a este mundo (cerraduras electrónicas, vigilancia por televisión, etc.), se han implantado sin pensar en las tecnologías de la información y comunicaciones. Su incorporación a las redes corporativas de comunicación de datos no era una opción y mucho menos una prioridad.
Durante la última década el protocolo de Internet (Internet Protocol, IP) se ha convertido en el estándar de las redes corporativas. El uso de un protocolo común en todas las redes de transmisión de información reduce los requerimientos de cableado, tiempo de puesta en marcha, costo y facilidad de administración. Por eso hoy, para reducir costos, mejorar la efectividad y hacer mejor uso de la inversión en tecnología estos dispositivos modernos relacionados con la seguridad física, como por ejemplo cámaras de televisión de circuito cerrado y lectores de tarjetas, se están integrando a las redes corporativas. (Gampati, V,(2005)). Además este tipo de innovaciones permite la vigilancia remota de los dispositivos y el uso de equipos de respuesta inmediata externos. (Bernard, R., (2004)). Estos nuevos sistemas de seguridad requieren conocimientos que van más allá del entrenamiento del personal de seguridad.
Por ejemplo se puede emplear la tecnología del proceso de información hoy en día para monitoreo de alarmas avanzadas basadas en situaciones de excepción por CCTV, como detección de humo e incendios y reconocimiento de rostros. Si se emplean mecanismos de control de acceso en las puertas se generan automáticamente registros de asistencia y puntualidad relacionados con las funciones de nomina. También se pueden automatizar el entrenamiento y capacitación del personal. Se obtienen además beneficios adicionales tales como supervisar el funcionamiento de operaciones de almacenamiento y embarque. Simplemente se usan los dispositivos y sistemas en formas distintas a las originales.
Consecuencias
Esto introduce una complejidad de funcionamiento y administración que hay que tomar en cuenta. Además hay que tener disponibles los recursos necesarios. Por ejemplo el uso CCTV dentro de las redes corporativas demanda recursos que también hay que tomar en cuenta. Por ejemplo si se requiere usar flujos de televisión en formato común intermedio (common intermediate format) lo cual significa 30 cuadros por segundo con 288 líneas y 352 pixeles por línea, hay que tener disponible 500 kbs por flujo (combinaciones cámara-observador) y si se almacena la información 24 horas al día, 7 días a la semana se generaran 36 gigabytes de información a la semana, por cada cámara.
Las preocupaciones que produce esta convergencia se pueden resumir en la siguiente lista
· Los riesgos a los sistemas de seguridad física se incrementan.
· Los sistemas se están implantando en formas que los exponen a Internet.
· Los sistemas se han sofisticado y son mas difíciles de controlar
· Los fabricantes no han incorporado la seguridad de comunicaciones en sus diseños.
· Los sistemas de seguridad física se instalan y administran fuera de la esfera de influencia de los responsables de las telecomunicaciones
· Hay confusión respecto a los estándares que se deben aplicar
· La auditoria de los sistemas convergentes es difícil.
La presencia de los dispositivos empleados en la seguridad física junto con los que se emplean en la seguridad lógica ha causado la instalación de múltiples sistemas de comunicación. La acumulación de estos diversos sistemas de comunicación y su falta de flexibilidad ha impulsado a los fabricantes a emplear los estándares de comunicación más usados y prácticos. Esto reduce el costo pues se adquieren componentes y tecnologías usadas por millones de instalaciones. Los estándares que hoy se emplean para enlazar a los dispositivos con sus sistemas de administración son el protocolo ethernet y el conjunto de protocolos TCP/IP.
Estos son característicos de las telecomunicaciones en las redes corporativas de transmisión de datos. El uso común de medios de transmisión reduce el tiempo y costo del cableado. El uso de las TIC permite una interfaz de usuario más amigable y ampliamente disponible, las paginas de Web. Hoy casi todos los dispositivos mencionados han adoptado este enfoque.
Es ilustrativo visualizar la tarea de esta manera.
Control de Acceso
El mundo del control de acceso lógico siempre ha sido parte de las tecnologías de la información. Desde los inicios del cómputo de tiempo compartido en cualquiera de sus versiones los usuarios emplean sistemas de santo y seña, y cada uno tiene un nombre de usuario y una contraseña. Frecuentemente los puntos de acceso para los usuarios estaban protegidos por sistemas de seguridad física. Últimamente esto ha cambiado pues se ha generalizado el acceso remoto a sistemas de información.
Ahora los sistemas de control de acceso físico descansan en las redes corporativas. Todas las tecnologías desarrolladas para el control de acceso se unen. Por ello un aspecto importante de la seguridad convergente es el control de acceso. Esto ha llevado al uso de:(Imprivata, (2006))
· Tarjetas multifuncionales que se usan tanto para el acceso físico como el acceso lógico. Pueden ser del tipo que se basa en bandas magnéticas, o código de barras o identificación de radiofrecuencia. El uso de estos tipos de tarjetas no impide que una persona no autorizada logre acceder a los recursos cuando se pierde una tarjeta o cuando es robada.
· Autenticadores biométricos. La biometría es el uso automatizado de características fisiológicas o conductuales de una persona para determinar o verificar su identidad La biometría fisiológica esta basada en medidas o datos de partes del cuerpo humano. Las más importantes son la medida de las huellas dactilares, el iris, la retina, la voz, la mano y el rostro La biometría conductual se basa en la medida o datos de acciones de una persona, e indirectamente en sus características físicas. Las más importantes son el uso de un teclado y la firma de la persona.
· Sistemas de administración de identidades, en los cuales se almacenan los datos de todos los usuarios que requieren usar los recursos de cómputo y también poder entrar a las instalaciones.
- Sistemas de bitácoras consolidadas que reciben datos de las aplicaciones computacionales, de las redes informáticas y de los sistemas de control de acceso físico. Por consiguiente hay que lograr traducir los datos generados por los diversos dispositivos a un formato común y también poder resolver las ambigüedades y contradicciones de las identidades.
Seguridad
El control de dispositivos de seguridad física mediante la red corporativa puede dar lugar a vulnerabilidades graves. Una forma de evitarlas es colocando a todos los dispositivos de seguridad dentro de una red local virtual.
Referencias
Bernard, R., (2004) The Convergence of Physical Security and IT: Broad Convergence - IT, Security & Building Controls, Security Technology & Design Magazine, http://www.go-rbcs.com/Convergence_7.htm
Gampati, V..,(2005) Convergence of Enterprise Security Organizations, The Alliance for
Imprivata,(2006) BRIDGING THE GREAT DIVIDE:The Convergence of Physical and Logical Security Imprivata, Inc. http://www.imprivata.com/content870.html
Schultz, E.(2006), Convergent Security Risks in Physical Security Systems and IT Infrastructures, The
Teumin, D. J.(2005) Industrial Network Security, Instrumentation Society of
1 comentarios:
Este es un comentario de prueba
Publicar un comentario en la entrada