Seguridad Fsica.

Normativas corporativas
Alvaro Hernndez Orence
Universidad Simn Bolvar
Maestra en Ciencias de la Computacin
Caracas, Venezuela
horence@gmail.com
Resumen
La seguridad informtica depende tambin de la seguridad fsica. La seguridad fsica representa un factor clave para
las compaas e instituciones en general, dado que teniendo acceso a las instalaciones, o comprometiendo la
integridad fsica de los equipos, se puede obtener acceso lgico y/o causar un dao que comprometa la prestacin del
servicio o la informacin almacenada. Por ello se deben reducir los riesgos de prdida, robo o corrupcin de la
informacin, as como los riesgos relacionados con la infraestructura, los datos, los medios y los equipos. Otro aspecto
fundamental es la proteccin de las personas, intereses, bienes y los conocimientos de la compaa; los activos ms
valiosos para las empresas son sus empleados. Todo esto conllevar a asegurar un alto nivel de seguridad que permita
al organismo continuar operando.
Palabras Claves: seguridad fsica, normativas corporativas, amenazas, controles, centro de datos.

los riesgos relacionados con la infraestructura, los datos,

los medios y los equipos.
Las medidas fsicas y sus procedimientos asociados
servirn para salvaguardar y protegerse contra daos,
prdidas y robos; todo esto en conjunto es lo que
permitir a la empresa continuar operando. La
implementacin de controles que desalientan a los
atacantes, buscar convencerlos de que el costo de
perpetrar el ataque es mayor que el valor que obtendrn
por el ataque.
As, el objetivo de los responsables de la seguridad
fsica ser anticipar los peligros que implica operar en un
medio ambiente determinado, para luego implementar los
controles que mitiguen los riesgos asociados y reduzcan
las brechas de seguridad, evitando que sujetos
malintencionados exploten alguna vulnerabilidad que
comprometa
la
confidencialidad,
integridad
y
disponibilidad de los recursos y la informacin manejada
por la entidad. Se debe impedir el acceso no autorizado,
daos e interferencia en las instalaciones e informacin de
la organizacin, as como prevenir prdidas por
exposiciones al riesgo de los activos e interrupcin de las
actividades de la organizacin.

1 Introduccin
El mundo de la seguridad fsica antecede por siglos a
las TIC (Tecnologas de la Informacin y Comunicacin),
y los encargados de la misma se han dedicado a proteger
los activos fsicos usando cerraduras, sistemas de
vigilancia y sistemas de alarmas. Las personas
responsables de la seguridad fsica estn adems
entrenadas en prevencin de crmenes y en
investigaciones policacas.
Se expondrn los principios fundamentales de la
Seguridad Fsica. Las protecciones se clasifican en capas;
as existen: barreras externas (cercas, muros, puertas, etc.)
y barreras internas (sistemas de control de acceso). Estas
protecciones o medidas intentarn mitigar los riesgos
relacionados con los peligros fsicos existentes en el
entorno en el que se ubica la empresa y sus recursos.
Toda empresa debe plasmar en un documento las
normativas que lograrn alinear a su personal con la
finalidad de resguardar sus activos fsicos y de
informacin.
2 Seguridad Fsica: Concepto y componentes

3 Amenazas y riesgos

La Seguridad Fsica est relacionada con la

proteccin, ante aquellos elementos existentes en el
ambiente que rodea a los equipos e infraestructura, de los
sistemas de informacin. La importancia de este tpico
radica en que, teniendo acceso a las instalaciones, o
comprometiendo la integridad fsica de los equipos, se
puede obtener acceso lgico y/o causar un dao que
comprometa la prestacin del servicio o la informacin
almacenada. Por ello se deben reducir los riesgos de
prdida, robo o corrupcin de la informacin, as como

Antes de que se pueda implementar cualquier tipo de

control o medida de proteccin, es primordial identificar y
analizar los diferentes aspectos del entorno que
constituyen una amenaza a la infraestructura
computacional. Luego de listar los riesgos y amenazas, se
deben ponderar los niveles de criticidad de los activos
junto con las probabilidades de ocurrencia del siniestro o
ataque.
Las amenazas, vulnerabilidades y contramedidas

relacionadas con la proteccin fsica de los activos de

informacin sensibles de la empresa, deben ser estudiadas
y analizadas, para garantizar la seguridad de la
informacin, y con ello la continuidad operativa. Por ello
se pueden clasificar las amenazas dependiendo de su
naturaleza y de los componentes de seguridad afectados:

De naturaleza humana:
Interrupcin en la provisin de servicios
informticos-Disponibilidad.
Dao fsico-Disponibilidad.
Divulgacin no autorizada de informacinConfidencialidad.
Prdida de control del sistema-Integridad.
Robo (fsico)-Confidencialidad, Integridad
y Disponibilidad.

Administracin de la seguridad. Est

relacionado con el registro de eventos de
auditora, y con los procedimientos
necesarios para el correcto funcionamiento
de los procesos y de la gestin de incidentes
o fallos.
Control del personal. Es generalmente
gestionado por el rea de Recursos
Humanos, el cual se encarga de las
revisiones pre-contratacin, el seguimiento
continuo de los empleados y las revisiones
o evaluaciones peridicas de desempeo.

Controles fsicos y tcnicos:

Guardias. Utilizados para la vigilancia y el
control perimetral; alta movilidad, capaces
de aprender y tomar decisiones, lo que
todava no puede ser replicado en
dispositivos automatizados. Son vulnerables
a ataques de Ingeniera Social; requieren
entrenamiento y pueden resultar costosos.
Perros. Leales y confiables para la
proteccin perimetral; agudos sentidos del
olfato y odo. Acarrean costos de
mantenimiento.
Cercas y verjas. Delimitan la zona y dividen
los espacios internos de los externos. Evitan
incursiones de intrusos ocasionales, pero
pueden resultar intiles ante intrusos
determinados o motivados.
Iluminacin. Contribuye a la proteccin del
permetro,
desalentando
a
intrusos
ocasionales y facilitando las labores de
vigilancia.
Cerraduras. Incluyen mecanismos que
implementan combinaciones mecnicas o
electrnicas que restringen la entrada y/o
salida de personas.
CCTV. Circuitos cerrados de televisin son
usados en conjunto con los guardias para
reforzar la vigilancia de los espacios,
pudindose adems grabar los eventos que
ocurren para una posterior revisin y
anlisis.
Control de acceso. Consiste en el empleo de
tarjetas o carnets a los que se les puede
incorporar uno o varios elementos: una
fotografa del portador (autorizado), un
cdigo de barras, una codificacin
magntica, un circuito integrado (chip).
Otra forma de autenticacin es la
biomtrica, que se basa en "algo que la
persona es", en lugar de algo que se posee o
que se conoce; comnmente se utiliza el
reconocimiento basado en: escaneo de
retina, escaneo de iris, mapeo de mano
(geometra o venas), huellas dactilares,
patrones de escritura y de voz.

Los ataques de este tipo se originan luego de

encontrarse y explotarse vulnerabilidades relativas al
control de acceso, conllevando a incursiones no
autorizadas a edificios y salas, accesos no autorizado a
servidores y equipos, interrupciones del suministro
elctrico, entre otros.
Es por ello que los fenmenos sociales/humanos
(disturbios, sabotajes, vandalismo, terrorismo, guerras,
espionaje, etc.) no pueden dejarse a un lado bajo ninguna
circunstancia, tampoco menospreciarse.
De naturaleza ambiental-Integridad y Disponibilidad:
Temperatura y humedad. Variaciones
considerables de calor o fro.
Incendio, gases y humo.
Agua y lquidos. Escapes, goteras,
inundacin.
Otros fenmenos naturales/ambientales:
nevadas, terremotos, rayos, tornados, etc.
4 Protecciones y controles
Es necesario entonces tomar las medidas adecuadas
para reducir los riesgos existentes en la periferia y dentro
de la misma organizacin, atenuando los efectos
perjudiciales. Los controles pueden ser tanto
administrativos como tcnicos, buscando siempre
asegurar el nivel ptimo de resguardo de los sistemas de
informacin.
Controles administrativos:
Planificacin de las instalaciones. Implica la
seleccin de un sitio seguro para la
instalacin, tomando en cuenta aspectos
como: visibilidad y discrecin de la
edificacin, ubicacin o localizacin,
frecuencia de los desastres naturales,
facilidades para el transporte y vas de
acceso, servicios externos (bomberos,
polica, hospitales, etc.), diseo de la
instalacin en s (paredes, techos y pisos,
suministro elctrico, acondicionamiento de
humedad y temperatura, entre otros).

Espacio, estructura y diagrama de distribucin.

El inmueble del centro de datos es muy costoso, por
lo tanto, los diseadores deben asegurarse de que haya
suficiente espacio y que se use prudentemente. Esta tarea
requerir asegurarse de que el clculo del espacio
necesario considere crecimientos o expansiones futuras.
Un centro de datos debe tener las siguientes reas
funcionales clave: uno o ms cuartos de entrada, un rea
de distribucin principal (MDA), una o ms reas de
distribucin horizontal (HDA), un rea de distribucin de
zona (ZDA), un rea de distribucin de equipos.
La siguiente figura muestra la distribucin y la
relacin entre las diferentes reas:

Fig. 1. Autenticacin biomtrica

Detectores de intrusos. Identifican intentos

de penetrar hacia zonas restringidas,
utilizando sensores basados en rayos de luz
u ondas sonoras que detectan tanto la
presencia de intrusos como el sonido que
estos generan.
Alarmas. Complementan a los dispositivos
de deteccin, indicando al personal de
vigilancia o a quien se encuentre en las
cercanas que pudiese existir una violacin
de los espacios protegidos.
Control de inventario. Registro actualizado
de equipos y sistemas computacionales, que
prevn el dao o robo de los mismos. Se
utilizan sellos o candados para asegurar el
contenido de los CPU; se implementa
tambin el control de puertos y perifricos.
Adems, las laptops deben dejarse
aseguradas al mobiliario a travs de
cordones; procurando mantener siempre el
disco duro cifrado con el fin de resguardar
la informacin que ste contiene.
Manejo de medios de almacenamiento. Los
dispositivos tales como memorias USB,
CD, DVD, cintas, discos externos, diskettes,
hojas
impresas,
deben
manejarse
cuidadosamente; nunca dejarlos expuestos u
olvidados en sitios desprotegidos. Al
momento de no necesitarlos o de llegar al
final del tiempo de vida til, deben ser
desechados, despus de haber borrado
completamente
la
informacin
que
contenan; se recomienda formatear varias
veces los discos y destruir las hojas de papel
impresas; esto evita ataques de Revisin de
basura.

Fig. 2. Estructura funcional de un Centro de Datos

Las paredes deben ser completas, es decir, desde el

piso hasta el techo, sin ventanas. El piso puede ser slido
o elevado, considerndose principalmente lo relacionado
con la no-conductividad de los materiales, el peso que
pueden soportar, y la tasa de resistencia al fuego. Todo el
recinto debe soportar al menos una hora de fuego.
Respecto a las puertas, tambin deben soportar incendios
prolongados, e incorporar sistemas de control de acceso y
alarmas; se recomienda usar las llamadas "puertas
trampa", que consisten en un par de puertas separadas por
un espacio intermedio que encierra a la persona,
tenindose que cerrar la primera puerta para poder abrir la
segunda.
Administracin de cables.
Los sistemas de cableado altamente confiables y
resistentes cumplen con los siguientes principios: usan
racks comunes en toda la distribucin principal y las reas
de distribucin horizontal para simplificar el montaje del
rack y brindar un control unificado de los cables; se
instalan administradores de cables vertical y horizontal,
comunes y extensos dentro de y entre los racks para
garantizar una administracin de cables eficaz y prever un
crecimiento ordenado; se instalan extensas trayectorias
para cables (por arriba y por debajo de piso) para
garantizar una administracin de cables eficaz y prever
escalabilidad ordenada; los cables UTP y coaxiales se
separan de la fibra en las trayectorias horizontales para
evitar aplastarla. Los cables elctricos van en bandejas de
cables y la fibra en canales montados en bandejas; el

5 Estructura de un Centro de Datos

El centro de datos o centro de cmputo es un recurso
clave; es el espacio en el que residen los servidores de
procesamiento, los servidores de datos y los equipos de
comunicacin. Es por ello que deben ser estructuras
robustas y confiables. Igualmente deben considerarse
temas como la flexibilidad, dado que tienen que permitir
el dimensionamiento o la restructuracin de la
infraestructura computacional, y la adaptacin a nuevas
tecnologas de mantenimiento, como la proteccin contra
incendios o la regulacin de la temperatura.

tendido de la fibra se hace en un sistema de canales para

evitar que se dae. Un tendido de cables ptimo consiste
en extensas trayectorias de cables superiores y por debajo
de piso; el trayecto por debajo de piso se emplear para el
cableado permanente, mientras que el trayecto superior
servir para el cableado temporal.

humedad aumenta el potencial de dao debido a

electricidad esttica, generando desde prdida de
informacin en discos hasta deterioro permanente de los
chips.

Suministro de energa.
La electricidad es la parte vital de un centro de datos;
un corte de energa elctrica de apenas una fraccin de
segundo es suficiente para ocasionar una falla en algn
servidor. Para satisfacer los exigentes requerimientos de
disponibilidad de servicio, los centros de datos hacen todo
lo posible para garantizar un suministro de energa clara,
estable y confiable. Los procedimientos normales
incluyen: dos o ms alimentaciones de energa
provenientes del proveedor de servicio; suministro de
alimentacin ininterrumpida (UPS, bateras); circuitos
mltiples para los sistemas de cmputo, comunicaciones y
enfriamiento
(redundancia);
generadores
en-sitio
(plantas).

La Seguridad Corporativa tiene por objeto la

proteccin de las personas, los intereses, los bienes y el
conocimiento de la compaa ante las agresiones internas
y externas que pudieran sobrevenir, adoptando las
medidas preventivas y reactivas oportunas y fomentando
una cultura de seguridad en este campo. Las normativas y
polticas que se desarrollen e implanten servirn para
concientizar al recurso humano acerca de la importancia
que tiene el cumplimiento de las normas de seguridad.
Una gran parte del xito en un plan corporativo de
seguridad se basa en el elemento humano que interacta
con los dems elementos que lo integran, como son
procesos, controles, normatividad y sistemas electrnicos.
No basta con tener un equipo de personas dedicadas a
velar por la seguridad de la empresa; cada uno de los
empleados juega un papel fundamental en la proteccin
integral de la empresa como un todo. Debe prevalecer una
mentalidad preventiva ms que una reactiva
Los sistemas y equipos son confiables, pero no
infalibles, y son realmente las personas, entrenadas en los
componentes y normas de la seguridad corporativa, las
que harn la diferencia. Es indispensable que todo el
personal tenga capacitacin al nivel que requiera su
posicin y responsabilidades en la actuacin que se espera
de su parte dentro del plan de seguridad: seguir las
normas de control de acceso, seguridad de la informacin
sensitiva, deteccin de situaciones de riesgo, etc.
Entre las mejores prcticas relacionadas con este
tpico se tiene la realizacin de campaas de
concientizacin del personal, exponindoles las amenazas
que existen en el entorno laboral y la importancia que
tiene el cuidado de la informacin confidencial de la
institucin. Se incluyen ciclos de charlas informativas,
publicacin (correo electrnico, intranet, etc.) de las
normativas corporativas de seguridad.
El contenido estndar de una normativa corporativa
de seguridad de la informacin debe cubrir los siguientes
puntos:
Organizacin y responsables de la seguridad
interna; identificacin y asignacin de
funciones.
Obligaciones del personal.
Seguridad Fsica y del entorno.
Identificacin y autenticacin. Control de
acceso.
Uso de los sistemas de informacin.
Clasificacin y tratamiento de la
informacin.
Monitoreo y Auditora.
Redes y proteccin de las comunicaciones.
Control de software.
Gestin de incidencias. Respaldo y
recuperacin.

5 Normativas para la Seguridad Corporativa

Refrigeracin.
La concentracin de equipos en espacios reducidos
ocasiona un aumento considerable de temperatura, debido
al calor que estos generan. La instalacin de sistemas de
refrigeracin adecuados junto a una buena circulacin de
aire permiten el control de los altos niveles de calor. Para
favorecer la circulacin de aire, la industria ha adoptado
un procedimiento conocido como "pasillo caliente/pasillo
fro", en el cual los racks de los equipos se disponen en
filas alternas de pasillos calientes y fros; en el pasillo fro
los racks de los equipos se disponen frente a frente,
mientras que en el pasillo caliente estn dorso contra
dorso. Las placas perforadas en el piso elevado de los
pasillos fros permiten que llegue aire fro al frente de los
equipos; este aire fro envuelve al equipo y se expulsa por
la parte trasera hacia el pasillo caliente, el cual no posee
placas perforadas para evitar que se mezclen el aire
caliente con el fro.

Fig. 3. Esquema pasillo caliente/pasillo fro

Humedad.
El rango de humedad ideal para la normal operacin
de los sistemas est delimitado entre el 40% y el 60%.
Una mayor humedad se puede crear condensacin sobre
los componentes computacionales y corrosin de las
conexiones elctricas; contrariamente, un menor nivel de

 Continuidad del negocio

Se debe prestar especial atencin al cumplimiento de
los procesos de identificacin de cada empleado,
verificando que porten su carnet en un lugar visible, y que
no permitan el acceso a personas ajenas a la institucin,
las cuales podran emplear Ingeniera Social para ganar
acceso fsico, explotando la confianza o la ingenuidad de
un usuario legtimo.
Se recomienda a los encargados de la seguridad
efectuar de forma continua los denominados Paseos por
la oficina, con el objetivo de revisar y comprobar que:
La informacin confidencial o sensitiva de
la compaa no se encuentra sobre
escritorios o en lugares de acceso pblico
(por ej. impresoras).
Las estaciones de trabajo se encuentren
desconectadas de la red, deslogueadas,
bloqueadas o apagadas.
Las oficinas se encuentren cerradas con
llave.
Las puertas de las salidas de emergencia
(escaleras) se encuentren cerradas.
Los escritorios, armarios y gabinetes se
encuentren cerrados.
Los diskettes, cintas de datos, CDs, y otros
medios de almacenamiento de informacin
se encuentran debidamente guardados
(nunca expuestos).

Referencias
Fennelly, Lawrence, 2004, Effective Physical
Security, Elsevier, Third Edition, USA.
Krutz, R. Vines, R., 2001, The CISSP Prep Guide,
Wiley, USA.
http://www.iso.org
http://www.cissp.com
http://iso27002.wiki.zoho.com/09SeguridadF%C3%
ADsicayEntorno.html
http://enriquedinfosec.blogspot.com/2008/01/seguridad-fisica-seguridadempresarial.html
http://www.ifp.uiuc.edu/minhdo/publications/tompspie.pdf
http://www.cliatec.com/blog/construccion-cpd-ydiseno-cpd-el-centro-de-datos-optimo/
http://www.scribd.com/doc/74787776/ComoDisenar-Un-Data-Center-Adc
http://www.manualdeseguridad.com.mx/aprende_a_
protegerte/seguridad_corporativa/index.asp
http://tienda.bibliotecadeseguridad.com/LaSeguridad-Corporativa-Nuevos-Retos-Nuevas-Exigencias
http://www.forodeseguridad.com/artic/segcorp/7210.
htm

6 Conclusiones y consideraciones
La Seguridad Fsica se compone de capas;
previniendo inicialmente ataques e intrusiones al
permetro de la empresa y seguidamente accesos no
autorizados a las reas internas de la instalacin.
Para lograr un elevado nivel de seguridad, primero
deben determinarse los potenciales peligros y amenazas
presentes en el entorno.
Dado que la implementacin de controles acarrea
grandes gastos en infraestructura, equipos y personal,
alcanzar un balance equilibrado entre los niveles
adecuados de proteccin y los costos de estos controles es
una tarea difcil; no se quiere gastar en demasa, pero
tampoco se desea dejar brechas de seguridad ocasionadas
por la poca inversin de recursos. Una estrategia vlida,
aparte de mitigar los riesgos, es la de asumir las posibles
consecuencias de la vulneracin de una debilidad.
Es de vital importancia contar con las instalaciones
ptimas para el funcionamiento del Centro de Datos,
puesto que alberga todo el hardware que soporta el
procesamiento y la informacin que permite a la empresa
mantenerse en el negocio.
Se debe educar al personal que labora en la empresa,
incluyendo necesariamente temas relativos a la seguridad
integral, tanto de las personas, como de los sistemas de
informacin. Es importante recordar que una cadena se
rompe por el eslabn ms dbil y, normalmente, este
eslabn suele ser el elemento humano, por lo cual deber
tener una particular importancia en cualquier Plan de
Seguridad Corporativa.