top of page

Seguridad física en Data Centers, principales consideraciones


La seguridad física es la que representa un conjunto de medidas y sistemas que se desarrollan en tres niveles: • Seguridad pasiva o estructural • Seguridad preventiva • Seguridad activa Teniendo en cuenta que las fallas de origen físico pueden ser la causa principal de una situación de emergencia en los ambientes de procesamiento de datos, el estudio de la seguridad física se transforma en un aspecto tan importante como el adecuado dimensionamiento del hardware, la calidad y flexibilidad del software y el exacto procesamiento de los datos de esa instalación, por ello debemos tener en cuenta las siguientes consideraciones en la protección de las instalaciones: 1. Definir un perímetro de seguridad o área protegida que contenga al Data Center; establecer un área donde se implementarán medidas de protección que garanticen cierto grado de seguridad, como por ejemplo, barreras físicas. 2. Controles en las áreas protegidas:

  • Dar conocimiento de la existencia de un área protegida, o de las actividades que se llevan a cabo dentro de la misma, sólo al personal estrictamente necesario e involucrado;

  • Controlar el trabajo en las áreas protegidas tanto por razones de seguridad como para evitar la posibilidad de que se lleven a cabo actividades maliciosas;

  • Bloquear físicamente las áreas protegidas desocupadas e inspeccionarlas periódicamente;

  • Brindar acceso limitado a las áreas protegidas o a las instalaciones de procesamiento de información sensible al personal del servicio de soporte externo;

  • Prohibir el ingreso de equipos fotográficos, de video, audio u otro tipo de equipamiento que registre información.

3. Construir barreras físicas: Paredes, sistemas de detección automática de incendio y alarmas, humo e inundación, cerraduras, sistemas automáticos de autenticación de usuarios, etc. 4. Verificar el perímetro de seguridad: Realizar pruebas de penetración de las barreras físicas, para determinar su fortaleza. 5. Determinar qué personas tienen acceso al Data Center 6. Determinar uno o varios métodos de autenticación de usuarios: Autenticar usuarios implica verificar a los usuarios que intentan acceder al Data Center, comprobando que estos sean quienes dicen ser, y tengan los permisos adecuados. 7. Registrar la hora de ingreso y egreso de cada usuario que recurra al Data Center: Separar


físicamente el área de procesamiento de información de las áreas de entrega y carga de materiales; Si estas áreas se mantienen separadas por barreras físicas, se evitan graves intrusiones y hurtos de información. 8. Identificar y separar el área de procesamiento de información sensible (por ejemplo, PCI o datos de salud) del resto de la información de clasificación más baja. 9. Señalización discreta del edificio: Establecer una forma de identificación de sectores dentro del edificio de manera discreta y ofrecer una señalización mínima, sin signos obvios, exteriores o interiores, que identifiquen la presencia de actividades de procesamiento de información. 10. Implementación de sistemas de detección de intrusos: Implementar adecuados sistemas de detección de intrusos que se instalan según estándares profesionales y probarlos periódicamente. Estos sistemas comprenden todas las puertas exteriores y ventanas accesibles. Las áreas vacías deben tener alarmas activadas en todo momento. Les dejo un link a este White Paper de ANIXER, que puede servirles: http://enews.anixter.com/risk-management-best-practices-technology-brief?utm_campaign=ECS%20Data%20Center%20Infrastructure%20as%20a%20Platform

Abrazo, Fabián

StartFragment

EndFragment


Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB

http://fabiandescalzo.wix.com/seguridadinformacion

https://www.linkedin.com/in/fabiandescalzo

http://www.slideshare.net/fabiandescalzo

https://twitter.com/fabiandescalzo

Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page