El estudio del edificio donde se encuentra ubicado el hardware y los dispositivos que han de soportar nuestras aplicaciones es el primer paso en cualquier estudio de seguridad física, y también suele ser el más problemático, puesto que nos encontramos con un entorno ya construido, no modificable y que suele tener un uso compartido por nuestros sistemas hardware y otro tipo de sistemas. Se intentará siempre resaltar todos los fallos de seguridad que se puedan encontrar, y se tendrá en cuenta si estos son subsanables o inherentes a la estructura del edificio. En cualquier caso se realizará un informe de las posibilidades de modificación para subsanar fallos y de las precauciones que sea posible tomar para minimizar los riesgos de seguridad física cuando no sea posible subsanarlos.
También suele ser interesante estudiar el impacto económico de las modificaciones que aconsejemos puesto que la entidad física de los sistemas que vamos a supervisar suele implicar un gasto considerable si han de realizarse modificaciones de cualquier tipo. Nunca se debe dejar de lado ningún defecto que observemos al realizar el estudio, pero es aceptable el dejar a consideración de la empresa las modificaciones que impliquen un gasto considerable. Deberá en este caso intentar buscar formas alternativas de minimizar los riesgos o recurrir en su caso a aseguradoras que puedan atenuar la gravedad de un incidente que implique a instalaciones del edificio.
El primero de los puntos que debemos observar al realizar el estudio del edificio es el suministro de energía. Debemos centrarnos en los sistemas de suministro de energía que puedan afectar a los sistemas que queremos proteger, dejando de lado otras consideraciones como la disponibilidad de servicios para el personal y similares. Por ejemplo es asunto nuestro la disponibilidad de aire acondicionado en la Sala de Computación, pero no lo es la disponibilidad en la Sala de Reuniones.
El suministro de energía suele tener dos partes, una parte externa que provee y gestiona la compañía eléctrica y que llega justo hasta el punto donde se encuentra el sistema de tarificación, detrás del cual se suele encontrar nuestro sistema de protecciones y todo nuestro cableado y dispositivos, la parte interna.
La parte externa está protegida por un fusible y un limitador de potencia que instala la compañía eléctrica y que deben estar calculados para la potencia que vaya a consumir nuestro edificio. Normalmente no deberemos preocuparnos por estos dispositivos, que suelen estar sobredimensionados para evitar cortes de energía y que tienen como principal función la protección de la red eléctrica de la compañía. Por otro lado deberemos observar la disponibilidad del suministro de energía a nuestro edificio, teniendo en cuenta la redundancia que pueda tener la red eléctrica y por tanto nuestro suministro eléctrico. Esta información es posible obtenerla llamando al teléfono de información de la compañía eléctrica, que nos informará de la redundancia de la red para nuestro sector en concreto, que suele depender del número de lineas de media o alta tensión de que disponga la compañía en la subestación para proveer de energía al sector donde se encuentre nuestro edificio. Este es un punto donde no podemos actuar de ninguna forma, simplemente podemos advertir a la empresa para la que realizamos el trabajo de consultoría de las posibilidades de que se produzca un corte eléctrico general.
Otro aspecto a tener en cuenta es la posible redundancia que estructuralmente se pueda proporcionar al edificio. Este suele ser un aspecto complicado, pues no es común el tener más de una conexión eléctrica para un edificio. Con todo, el sistema ideal sería el que proporcionara redundancia por medio del suministro de energía eléctrica por dos compañías diferentes que operen en el mismo sector, lo que es una opción a considerar para sistemas críticos. Es posible solicitar este tipo de servicios a través de algunas compañías eléctricas y es imposible en otras, pero si necesita este tipo de servicio recomiendeló y soliciteló, puede ser esencial para sistemas críticos. La disponibilidad de este sistema suele ser nula en la mayoría de los sitios, pues aunque se cuente con un mercado de energía liberalizado que permita la contratación del suministro eléctrico eligiendo entre varias compañías la red eléctrica que ha de transportar esa energía hasta nuestro edificio suele ser propiedad de una de las compañías o de propiedad estatal, con lo que no tendríamos redundancia en el suministro de energía.
La opción más común para proporcionar redundancia en el sistema de suministro de energía es la utilización de generadores eléctricos (grupos electrógenos), que funcionan con combustible y pueden proporcionar energía a todo un edificio durante un periodo largo de tiempo durante un corte de energía o una interrupción del suministro por un desastre natural. Estos sistemas son bastante comunes en los hospitales y son una buena opción (aunque cara) de asegurar el suministro de energía eléctrica.
El suministro de gas y agua es menos crítico que el suministro de energía eléctrica para la seguridad de los sistemas hardware del edificio. Debe tenerse en cuenta el suministro de gas porque algunos sistemas de calefacción funcionan con gas, y pueden ser necesarios en climas muy fríos para mantener una temperatura mínima en nuestros centros de datos. El frío no suele ser un problema para los sistemas hardware, por lo que el gas no será una preocupación en la mayor parte de los casos.
Otro punto a comprobar debe ser la posibilidad de que un intruso malintencionado quiera cortar nuestro suministro eléctrico. Para esto debe de comprobarse que no es fácil el acceso a los cables que proporcionan energía eléctrica al edificio, por lo menos en un recorrido razonable desde nuestro edificio hasta la caja de conexiones más cercana.
Es imprescindible comprobar que existen todos los dispositivos de protección necesarios para el edificio y la disponibilidad de estos para todo el edificio y para cada planta de este, de forma que pueda aislarse un problema eléctrico lo máximo que sea posible. Idealmente deberíamos tener protecciones en cada planta e incluso en cada sección de cada planta, de forma que un problema eléctrico afecte lo mínimo posible a los sistemas de hardware y a la red. Los sistemas que consuman gran potencia, como los grandes sistemas UPS deberían tener su propia protección, normalmente interna en forma de fusibles u otro tipo de protecciones.
Todos los dispositivos de protección deben estar homologados y la instalación debe cumplir con el reglamento de baja tensión del país donde nos encontremos. Esto nos asegurará una cierta protección contra dispositivos e instalaciones defectuosos. Es importante asegurarnos de que la instalación eléctrica cumple estas condiciones, solicitando la documentación necesaria para comprobarlo. En casos muy críticos se puede contratar a especialistas en sistemas eléctricos que realicen un estudio eléctrico del edificio, del suministro y de las protecciones.
El caso de los sistemas de comunicaciones del edificio es similar al del suministro eléctrico, deberemos buscar la mayor seguridad y protección en los sistemas y además siempre que sea posible tener redundancia en los sistemas de comunicaciones para preveer el caso de que uno de los enlaces falle.
Los sistemas de comunicaciones suelen ser de dos tipos: públicos y privados. La mayoría de los edificios usarán sistemas públicos de comunicaciones, como puede ser la red telefónica para el transporte de voz y datos o las conexiones ADSL/DSL/Cable/etc que usan medios compartidos para la transmisión de datos. Es mucho menos común el uso de sistemas privados de comunicaciones como lineas telefónicas o de datos dedicadas o enlaces de microondas entre edificios.
Para los sistemas públicos debemos estudiar sobre todo si existe algún tipo de redundancia en las comunicaciones, puesto que las compañías telefónicas que suelen ser las que proveen los servicios no suelen proporcionar ningún tipo de certeza de que nuestras comunicaciones van a mantenerse, por lo que estamos a expensas de las averías o fallos que se puedan producir en las redes públicas para tener comunicaciones. Las comunicaciones telefónicas son necesarias para permitir el fallo de alguna de estas. Téngase en cuenta que las centralitas suelen tener una única conexión por lo que solo proveen un enlace de comunicaciones compartido por varias lineas telefónicas, si nos falla la conexión nos fallará el acceso telefónico de todos los sistemas telefónicos conectados a la centralita. Es aconsejable por tanto mantener más de una linea y además con diferentes compañías, de forma que tengamos siempre comunicación telefónica aunque alguna de las compañías falle. Es un sistema bastante común en grandes edificios y no debería tener más complicaciones. Es bastante común que las compañías que usan la red telefónica clásica compartan el medio físico para mandar los datos, medio físico que será propiedad pública o de una de las compañías, pero en cambio las compañías de cable suelen tener su propia red para proporcionar la conectividad, por lo que puede ser interesante la contratación de una linea con una compañía tradicional y otra con una compañía de cable para tener dos redes independientes.
Para los sistemas de datos tipo ADSL/DSL/Cable debemos buscar también la redundancia en los sistemas, manteniendo varias conexiones con varios proveedores para mantener siempre un enlace de datos seguro puesto que ninguno nos asegurará una conexión cien por cien fiable. Es necesario que el departamento de administración de red tenga en cuenta esta estructura para poder enrutar el tráfico de forma que si uno de los enlaces falla los datos se transmitan por otro enlace de otra compañía. Esta estructura de acceso a redes es muy común en grandes instalaciones y no debería haber problema en su estudio o en recomendar su instalación.
Para los sistemas privados las consideraciones de seguridad son algo menos severas que para los sistemas compartidos. La compañía que nos suministra el servicio nos asegurará las conexiones con una tasa fija de porcentaje de fallo en el tiempo, lo que nos permite planificar más fácilmente la seguridad del enlace, pues tenemos la seguridad de que el enlace se mantendrá. Lo mismo se aplica para los sistemas de comunicaciones privadas entre edificios usando microondas, donde nosotros mismos podemos asegurar la comunicación y no dependemos de la disponibilidad de una red pública. Para estos sistemas privados se puede realizar un estudio contratando a personal especializado en el estudio de estos enlaces y en su ajuste. Siempre es aconsejable complementar estos sistemas privados con un sistema de comunicación público para proporcionar redundancia en el caso de que nuestro enlace falle.
Se comprobará también la seguridad física del cableado (o la visibilidad de los tambores de microondas en su caso) comprobando que un intruso malintencionado no pueda seccionar los cables de comunicaciones que van desde la centralita más cercana hasta nuestro edificio. Hay que tener en cuenta que esta sección de cable es propiedad de la compañía que proporciona el servicio, por lo que necesitaremos llegar a un acuerdo con esta si queremos realizar algún tipo de modificación en este cable.
Debemos tener en cuenta que el edificio tiene una serie de accesos obvios y otros no tan obvios que un intruso puede usar para entrar en nuestras instalaciones. Los obvios son las puertas principales de acceso y las ventanas que se encuentran cercanas a la calle. Los no tan obvios son las puertas de servicio, las ventanas superiores, las claraboyas, los accesos de mantenimiento o los sistemas de ventilación o calefacción.
Debemos realizar un estudio de la estructura del edificio, incluyendo si es necesario el estudio de los planos arquitectónicos de este si es necesario. Es imprescindibles ser paranoicos en este aspecto de la seguridad física del edificio, puesto que un intruso dentro del edificio es la mayor amenaza que podemos tener, incluso con todos nuestros sistemas de seguridad física desplegados. Nuestros sistemas de seguridad física pueden ser difíciles de sobrepasar, pero un intruso con el suficiente tiempo y que pueda usar la fuerza bruta sobre nuestros armarios o racks sin ser detectado tendrá siempre todas las de ganar. Debemos por todos los medios impedir el acceso a los potenciales intrusos, ya sea mediante la utilización de rejillas resistentes en las zonas de acceso y cerraduras de seguridad en las puertas y ventanas de acceso, o ya sea mediante la contratación de una vigilancia suficiente para asegurar que ningún intruso pueda acceder al edificio sin que sea detectado. El nivel de paranoia que debemos emplear para aconsejar estas medidas de seguridad es directamente proporcional a lo críticos que sean los datos que debemos proteger. No es lo mismo un simple edificio de oficinas que la central de un banco, por ejemplo. En el primero aconsejaremos cerraduras de seguridad, rejillas y vigilancia general del edificio, en el segundo aconsejaremos todo tipo de medidas de seguridad físicas como puertas blindadas, rejas de acero o rejillas soldadas, y además vigilancia mediante personas y cámaras en cada una de las plantas del edificio y sobre todo en las salas de máquinas que puedan contener datos críticos o sistemas que puedan dejar el sistema de computación del edificio inutilizado.
Podemos realizar una distinción entre la vigilancia en horas de oficina y cuando el edificio está cerrado. En las primeras centraremos nuestra atención en la vigilancia de los accesos al edificio, utilizando tarjetas de identificación para nuestros empleados y para el personal que deba acceder a zonas con seguridad y controlando a todas las personas que entren y salgan del edificio. Cuando el edificio está cerrado centraremos nuestra atención en la vigilancia por medio de cámaras, en los accesos menos obvios al edificio y en las posibilidades de que un intruso pueda forzar algún medio de entrada al edificio.
Es posible contratar a un especialista en puertas y cerraduras para comprobar la seguridad de los accesos al edificio y dentro del edificio. También es posible aplicar alguna de las Lock Picking Guides que se encuentran en Internet si somos los suficientemente hábiles como para comprobar una cerradura por nosotros mismos, aunque es muy posible que sea más sencillo y eficaz la contratación de un especialista.
Si contamos en el edificio con un centro de computación o datacenter deberemos comprobar la seguridad física específica de esa habitación en concreto, por ser esta crítica para nuestros sistemas. Un centro de computación debe tener unas características especiales en cuanto a seguridad que no son necesarias en otros puntos del edificio. Debe tener un sistema de acceso suficientemente seguro, preferiblemente con una puerta blindada y siempre que sea posible con personal de vigilancia que compruebe el acceso por medio de tarjetas de identificación o medios similares. También es posible el uso de sistemas de identificación biométrica, por medio de claves temporales tipo Opie o similares. El acceso físico debe ser todo lo seguro que sea posible, vigilando que la puerta sea lo suficientemente sólida y la cerradura los suficientemente segura. No es difícil el estudio de seguridad física del acceso a un datacenter, pero es complicado el crear un sistema seguro de control de acceso, siendo aconsejable el tener personal de vigilancia que compruebe las identificaciones de forma inequívoca y que apunte en un sistema todos los accesos que se produzcan al datacenter.
En cuanto a la estructura física deberemos tener un suministro eléctrico asegurado, para lo que tomaremos las medidas que hemos indicado más arriba para el edificio, incluido un panel de protecciones para el datacenter que pueda protegerlo y aislarlo de otras secciones del edificio. Deberemos tener también un sistema de conexión a la red corporativa asegurado, mediante varias conexiones redundantes que permitan que una falle y que el edificio pueda seguir accediendo al centro de computación. Si el sistema debe tener conexión a redes públicas se proporcionará una conexión redundante que permita el fallo de al menos una de las vías de acceso.
Es imprescindible un sistema de aire acondicionado si tenemos suficiente hardware en el centro de computación. Es aconsejable tener algún método de monitorización de la temperatura y la humedad de la sala para mantener unas condiciones óptimas para los equipos que mantengamos en la sala de computación. También es imprescindible un sistema de detección de incendios, que pueda avisar rápidamente al personal encargado si se produce algún incendio en la sala. Siempre que sea posible se tendrá alimentación redundante para todo el sistema de computación y luego para cada equipo en particular.
El estudio de la estructura del edificio es beneficioso para todos los demás estudios que vayamos a realizar sobre la seguridad física del edificio. Siempre que sea posible estudiaremos los planos del edificio para observar la estructura, el reparto del espacio dentro del edificio, los accesos, los sistemas de seguridad (salidas de emergencia, sistemas antiincendios, etc), el suministro de energía, las canalizaciones de agua y gas, etc.
En lugares donde sea probable la incidencia de terremotos se estudiará especialmente la estructura física del edificio y los sistemas de seguridad implementados para tales casos. Se puede pedir ayuda a un arquitecto para que estudie los planos del edificio y pueda señalarnos los puntos más críticos o que debamos vigilar.
Los sistemas de seguridad contra incendios y otros desastres naturales deben ser instalados normalmente cuando el edificio es construido, y son difíciles de instalar después. En nuestro caso estudiaremos la disponibilidad de sistemas de detección y prevención de incendios, de rotura de tuberías o escapes de agua y en el caso de disponer de antenas de cualquier tipo o sistemas de comunicaciones como tambores de microondas estudiaremos la resistencia de estos a vientos fuertes.
Los sistemas de detección de incendios pueden ser instalados después de construido el edificio y no suponen una gran inversión, pueden avisar rápidamente de pequeños incendios y permitir al personal el sofocarlos antes de que alcancen mayor entidad. Puesto que el agua es enemigo del hardware informático no podemos implantar ningún tipo de sistema para sofocar incendios basado en agua, es preferible el comprobar que se dispone de suficientes extintores de CO2 o de espuma.
Como hemos dicho otro problema para el hardware informático es el agua. La rotura de una tubería puede producir un verdadero desastre en el sistema informático de una empresa, estropeando todos los sistemas de una red, por lo que es aconsejable la instalación de detectores de líquidos a ras de suelo para detectar rápidamente cualquier fuga de agua.
En cualquier caso siempre que tengamos un sistema de computación lo suficientemente crítico ninguno de estos sistemas puede sustituir al personal de vigilancia, que deberá velar por la seguridad física de los sistemas también en estos aspectos, para lo que deberá tener una serie de protocolos claros a seguir cuando se produce una de estas contingencias.
Consideraciones éticas aparte debemos tener en cuenta que una parte esencial del sistema computacional de una empresa o edificio son los administradores, las personas que usan el sistema y en general los empleados de la empresa. Por eso dentro del estudio de la seguridad física del sistema debemos tener en cuenta a las personas, manteniendo una serie de planes claros e inequívocos de evacuación de estos si se produce cualquier tipo de desastre dentro del edificio. Como consultores de seguridad estudiaremos los planes existentes para este tipo de evacuaciones, teniendo en cuenta que sean realmente aplicables en un momento de desconcierto general como puede ser un incendio y que sean el máximo de eficaces.
De nada sirve mantener un perfecto sistema de backups si cuando es necesario restaurarlos estos no están disponibles. La seguridad física de las cintas o dispositivos de backup debe ser una preocupación para un consultor en seguridad física, y por tanto se debe tener previsto cualquier incidente que se pueda producir, como incendios, terremotos, robos y así cualquier evento que se nos pueda ocurrir.
Los armarios ignífugos son eficaces hasta cierto punto contra los incendios. Si estos son de pequeña magnitud probablemente nuestros backups sobrevivirán, pero si tenemos un incendio de cierta entidad la temperatura que se alcanzará dentro del armario destruirá los datos de los backups, por lo que son sólo relativamente eficaces contra este tipo de eventos. Lo mismo es aplicable para los terremotos y otros accidentes naturales.
El sistema más eficaz para mantener los backups seguros es mantenerlos fuera del edificio, o al menos mantener una copia de estos, ya sea en otro edificio o en un centro de almacenamiento de backups. Estos últimos son centros que proporcionan almacenamiento de las cintas de backup con todas las medidas de seguridad física imaginables y que son una buena alternativa a el mantenimiento de los backups cerca de las máquinas de las que se ha hecho backup. Puede contratarse uno de estos servicios y mandar los backups o copias de estos a uno de estos servicios, que velará por la seguridad de nuestros backups. Normalmente este tipo de servicios se encarga de ir a la empresa en los periodos de tiempo concertados para recoger las cintas de backup.
Otra alternativa es mantener backups distribuidos, replicando los backups entre edificios o entre sistemas informáticos, para prevenir la perdida de datos por culpa de un problema de seguridad física en alguno de los sistemas o edificios.
Una opción que siempre deberemos considerar cuando realizamos estudios de seguridad física es la posibilidad de mantener varias copias de los datos e incluso tener redundancia para los servidores corporativos. Con los nuevos sistemas de almacenamiento distribuido es sencillo mantener los datos sincronizados en varias localizaciones, con lo que disminuye enormemente la probabilidad de pérdida de datos. Y teniendo suficiente ancho de banda de red para interconexionar los sistemas corporativos de varios edificios podemos tener redundancia de los servidores de datos o aplicaciones, con lo que podremos tener la seguridad de que nuestros sistemas informáticos siempre estarán disponibles, aunque no sea en la localización física que estamos estudiando.
La redundancia de servidores y del almacenamiento de los datos, sobre todo cuando está situada en diferentes edificios mejora la seguridad física de un sistema de computación en gran medida, y es una opción a tener en cuenta incluso aunque implementemos otro tipo de sistemas de seguridad física en el edificio.
Los sistemas de gestión y los servidores de aplicaciones comerciales distribuidos son caros y difíciles de mantener hoy en día, pero es posible implementar mediante software libre sistemas distribuidos con precios razonables y con un gran rendimiento. Algunas grandes empresas están liberando bajo licencias de software libre sistemas de gestión de datos distribuidos que pueden ser de gran ayuda en estos casos. Para los sistemas de almacenamiento distribuido existen varias opciones tanto de software libre como de software comercial, por lo que sólo deberemos ocuparnos de tener el sistema adecuado y el ancho de banda suficiente para poder replicar los datos.
El único punto de fallo con estos sistemas es el enlace de comunicación entre los sistemas a replicar, sobre todo cuando manejamos datos críticos. Para solucionar esto debemos aplicar otro tipo de redundancia, tanto en los sistemas como en los enlaces de red entre sistemas, como hemos explicado más arriba.
En el punto anterior hablábamos principalmente de redundancia entre sistemas de gestión o servidores de aplicaciones, así como de redundancia en el almacenamiento de datos. En este vamos a hablar de algo diferente, el estudio de sistemas de computación distribuidos localizados en diferentes edificios, con o sin replicación de datos.
Lo que antes se volvía un punto a nuestro favor ahora se vuelve un punto en nuestra contra. Al tener varios sistemas distribuidos en varios edificios deberemos realizar el estudio de seguridad física para cada uno de los edificios en todos los aspectos que puedan afectar a nuestros servidores. Esto supone más trabajo para el consultor en seguridad física, pero proporciona a la empresa una forma de aprovechar óptimamente su capacidad de calculo y almacenamiento de datos e incluso de de centralizar sistemas y servicios antes dispersos.
La elección de un sistema de alojamiento para backups es una decisión del personal de administración, teniendo en cuenta una serie de razones como la necesidad disponibilidad inmediata de los backups o el tiempo que estos deben almacenarse. Como regla general deberemos mantener al menos una copia de los backups principales fuera del edificio, o incluso mantener fuera todos los backups. Como hemos indicado en la sección dedicada a los backups existen empresas dedicadas al almacenamiento de datos que proveerán a nuestros backups de todas las medidas de seguridad física necesarias. Medidas como el almacenamiento de los backups en el domicilio particular de los administradores son contraproducentes, pues no suelen tener ni las medidas de seguridad necesarias ni la capacidad de mantener un entorno óptimo para los backups.
En el mundo hacker es una práctica común el marcado de edificios para indicar que en determinado edificio es posible acceder a la red o a los datos corporativos mediante técnicas de hacking, sobre todo con la cada vez mayor implantación de tecnología inalámbrica para la transmisión de datos, y que permite el acceso a los datos en bruto e incluso la comunicación desde el exterior de la empresa.
Deberá estudiarse la fachada del edificio de forma que no encontremos signos de Warchalking u otro tipo de marcado sospechoso. El Warchalking es una técnica de marcado que mediante símbolos realizados con tiza en la fachada de un edificio indica que el edificio cuenta con una red wireless y las características de esta, como pueda ser la posibilidad de obtener una IP valida por medio de DHCP desde fuera del edificio utilizando un portátil con una tarjeta wireless, la posibilidad de acceder a la red interna de la empresa por este método o la salida a Internet a través de la red de la empresa. El Warchalking es extremadamente peligroso, pues expone las vulnerabilidades que un hacker haya encontrado en nuestra red a cualquier otro intruso que pase por delante de nuestro edificio.
La primera medida contra el marcado y el Warchalking es la implementación de plena seguridad en la red interna de la empresa, incluso evitando tecnologías que permitan el acceso indiscriminado a nuestros datos desde el exterior como las redes wireless. Como el tener plena seguridad informática es siempre un objetivo difícil de cumplir y debemos tener en cuenta que siempre será necesaria la vigilancia por parte del personal de seguridad o de control de accesos a posibles signos de marcado o Warchalking.
Los símbolos de Warchalking cambian con el tiempo e incluso son diferentes entre diferentes escuelas de hackers, por lo que deberemos sospechar de cualquier marca o símbolo que encontremos en el edificio y que pueda tener algún sentido. Si encontramos signos manifiestos de Warchalking tendremos que asumir que además del riesgo en la seguridad física que supone el Warchalking que hemos detectado tenemos un problema de seguridad informática, porque sabemos que alguien se ha preocupado de marcarnos como objetivo de ataques que son en teoría posibles.