La conversación sobre la seguridad de las infraestructuras IT suele centrarse en las, cada vez más sofisticadas, técnicas empleadas por los ciberdelincuentes para acceder, de manera remota, a nuestros datos. Sin embargo, hay otros riesgos a los que nos enfrentamos, ya tengamos un CPD de varios cientos de metros cuadrados o una pequeña estancia en la oficina que cumple las funciones de sala fría. Inauguramos pues, con esta publicación, una serie de artículos en los que pretendemos poner el foco en esas otras amenazas que están ahí, aunque no siempre las vemos.
Y empezaremos hablando del acceso físico, de la posibilidad de que un agente malintencionado pueda llegar hasta el lugar en el que almacenamos y procesamos nuestros datos. Y, claro, una vez allí pueda copiarlos, modificarlos, borrarlos… En el momento en el que alguien esté dentro, nuestros esfuerzos por garantizar la seguridad habrán sido en vano.
MS Recomienda
Así pues, ¿Cómo es posible que hagamos una inversión de ciento o miles de euros en seguridad, y que sin embargo la cerradura de la sala fría se pueda abrir con una tarjeta de crédito o una cartulina? No estoy hablando de crear una cámara acorazada, claro, pero sí de proteger el acceso con algunas medidas sencillas, no especialmente costosas y muy, muy efectivas.
Ofuscación de la ubicación
Tanto si hablamos de una pequeña sala como en lo referido a una nave industrial reacondicionada como CPD, es más que recomendable que solo las personas implicadas en su gestión conozcan la ubicación exacta. Aún recuerdo la primera vez que visité el CPD de un gigante europeo del hosting y el cloud: su aspecto exterior era un perfecto exponente de decadencia industrial, no parecía un lugar abandonado, pero por poco.
Nadie, al ver ese exterior, podría suponer que su interior albergaba muchos cientos de miles de euros en infraestructura, y un valor incalculable en datos almacenados en esa infraestructura. Ni delincuentes de amplio espectro ni ciberdelincuentes interesados en darle una sangrienta dentellada a ese CPD saben dónde está, así que la vía física queda descartada para ellos.
Tipo de puerta
En cuartos de servidores, a diferencia de las puertas de las salas de reuniones, el office, la cafetería, etcétera, cuya misión es dar acceso a espacios segregados, la puerta de acceso a la sala fría debe ser una herramienta efectiva de bloqueo de los accesos no autorizados. Así pues, no está de más comprobar si la que tenemos ya ofrece, per sé, un razonable nivel de protección.
Piensa que, a partir de un determinado nivel de valor de lo que se almacena ahí dentro, un ataque de fuerza brutal literal, puede compensar. Si no se trata de una puerta lo suficientemente robusta, quizá ha llegado el momento de sustituirla.
Sistemas de control de acceso
Lo mínimo, desde luego, es una cerradura segura, todo lo que esté por debajo de eso es una insensatez que debe ser solventada de inmediato. Y aunque una cerradura segura puede valer, los riesgos de seguridad de una llave ( es un sistema de un único factor, se pierden, se rompen, pueden ser fácilmente duplicadas, etcétera) hacen que, a partir de determinado punto, no sean la mejor elección posible.
En su lugar, podemos optar por sistemas de dos o incluso tres factores, que combinan elementos físicos con identificación biométrica y claves, una macedonia de seguridad que deja un buen sabor de boca y, en contra de lo que puedas pensar, no resulta nada indigesta. Sea como fuere, debemos descartar los sistemas de un único factor, por seguro que nos parezca.
También, a la hora de elegir un sistema de control de acceso, es muy recomendable que optemos por soluciones conectadas y administrables de manera remota pero que, al tiempo, garanticen la persistencia del servicio ante hipotéticos cortes del suministro eléctrico, la conectividad, etcétera. Algunos de estos sistemas, además, guardan un log con todos los accesos e intentos fallidos, una información que puede resultar muy útil en determinadas circunstancias.
Sensor de movimiento
Una cosa que siempre me fascinó de la primera entrega de Mission Imposible era que, entre las medidas de seguridad a las que se enfrentaba Ethan Hunt (Tom Cruise) para acceder al ordenador supersecreto y superpoderoso,
No había un sensor de movimiento. ¿En serio? ¿Decenas de miles de dólares invertidos en sistemas pioneros de seguridad, pero olvidaron poner algo tan sencillo que ya se puede ver hasta en los aseos públicos y los rellanos de los edificios?
No seas como las autoridades gubernamentales de las que dependía esa sala, instala detectores de presencia. Son extremadamente fiables y, aunque no impiden el acceso a tu sala fría o CPD, sí que te alertan inmediatamente de que algo ocurre, lo que te permitirá adoptar medidas de respuesta desde el primer momento.
Videovigilancia
En algunos casos es posible que, pese a las medidas de seguridad anteriores, un asaltante consiga acceder a nuestro espacio protegido. Si esto llega a ocurrir, tener un registro en vídeo de la incursión nos resultará útil por diferentes razones:
- Ver cómo interactúa con los dispositivos nos puede poner sobre la pista de las acciones que ha llevado a cabo. ¿Ha volcado datos a un dispositivo externo? ¿Ha accedido a la configuración de algún servidor? ¿Ha modificado el cableado? Cada acción puede apuntar a una intencionalidad distinta.
- Es probable que el asaltante ya cuente con la presencia de cámaras y, por lo tanto, oculte su identidad con un pasamontañas, una bandana, etcétera. No obstante, y especialmente si hay sido un ataque llevado a cabo por alguien “de dentro”, su identificación puede ser factible por otros factores.
Control de seguridad
Llegados a cierto punto, tiene todo el sentido plantearse si merece la pena contratar los servicios de una compañía de seguridad con personal especializado que se responsabilice de controlar el acceso a la infraestructura. Esta medida no tiene sentido, claro, si hablamos de una sala fría de seis metros cuadrados con un par de servidores, un router y poco más y, sin embargo, es tan imprescindible que da hasta vértigo no contemplarla si hablamos de un gran CPD segregado de nuestras instalaciones.
La clave está en, ¿cuándo pasa a ser necesario? La respuesta viene dada por el valor de los datos que almacenamos, sí, pero también del lucro cesante o, incluso, las pérdidas que nos puede ocasionar un ataque exitoso. Determinar el nivel de riesgo al que nos enfrentamos es un ejercicio complejo, pero que nos permitirá saber hasta dónde pueden llegar otros para acceder a nuestros sistemas, sea con la finalidad que sea.
Fuente:https://www.muyseguridad.net