Auditoría de seguridad física… el algodón no engaña

Un compañero me contaba el otro día una anécdota que me llamó la atención. Él había llevado a cabo la consultoría para la implantación de un SGSI en una entidad y se encontraba en pleno proceso de acompañamiento en la auditoría de certificación. Y entonces llegó el ansiado momento de revisar los controles asociados al apartado A.9 Seguridad física y ambiental. La hora de estirar las piernas y hacer una visita al CPD. Todo estaba bajo control, el CPD cumplía con todo lo que requería la norma… incluso más. Avanzaron inexorablemente hacía esa estancia, mientras la sonrisa de alguien que se sabe triunfador se reflejaba en sus rostros (Obviamente no en el del auditor). Tras acceder a su CPD con su flamante control de acceso biométrico, no sabían lo que les esperaba. En ese momento el auditor cogió un paño y lo paso por el rack, sus siguientes palabras fueron: “sabían ustedes que el polvo puede causar averías de equipos bien por generar cargas electroestáticas, o por dificultar la refrigeración de los mismos…”

Esta anécdota era meramente introductoria para hablar de un tema que a menudo dejamos en segundo plano cuando se trata de auditorías de sistemas de información, siendo objeto del alcance únicamente como parte de una auditoria de la norma ISO 27002, RDLOPD, ENS, entre otras. Me refiero concretamente a las auditorías de seguridad física. Rara es la vez que se lleva a cabo una auditoría de seguridad física per se.

En esta entrada trataremos de hacer una relación de las cosas que deberían ser objeto de revisión en una auditoría de seguridad física, para esto se tomarán como referencia las medidas de seguridad física recogidas en el RDLOPD, ISO 27002, ENS y la TIA 942. De acuerdo a la estructura definida en el dominio 9 Seguridad física y ambiental, según la norma ISO 27002.

Perímetro de seguridad física: en este control deberemos valorar si se ha definido un perímetro de seguridad, así como la identificación de zonas que tengan acceso restringido, como puede ser el CPD. Este perímetro debe delimitar de forma efectiva el acceso a las instalaciones de la entidad. Si bien, cabe mencionar aspectos que suelen pasar desapercibidos como la seguridad de los ventanales que pueden dar acceso a las instalaciones, cuartos de comunicaciones o incluso acceso a equipos externos de climatización.

Controles físicos de entrada: por simplificarlo de alguna manera, básicamente haría referencia a que las estancias o dispositivos de almacenamiento con acceso restringido dispongan de dispositivos de control de acceso (ya sea llave una llave o un escáner de retina), un registro de estos accesos, la gestión de estos permisos de acceso, así como la identificación del personal que accede a las instalaciones.

Seguridad de las oficinas, despachos e instalaciones: se deberán revisar aspectos de prevención de riesgos laborales y limitar la identificación y la información sobre las instalaciones con acceso restringido.

Protección contra las amenazas externas y de origen ambiental: este apartado tiene por objeto la revisión de las medidas de seguridad aplicadas a las principales amenazas, es decir, incendios e inundaciones. En cuanto a incendios deben revisarse los sistemas de detección y extinción de incendios, y además habría que comprobar si el material que forman los muros y puertas de acceso proporciona protección RF adecuada. Por lo que respecta a posibles inundaciones habría que tener en cuenta, la ubicación (planta) de las estancias, las canalizaciones que crucen las salas y los sistemas de desagüe. No obstante deberán contemplarse otras amenazas inherentes a la localización de las instalaciones como terremotos, huracanes, revueltas sociales y terrorismo.

Trabajo en áreas seguras: es necesario revisar que únicamente el personal vinculado con las áreas seguras tengan conocimiento de su existencia, que no se permita trabajar en áreas seguras a personal no autorizado sin supervisión, como por ejemplo proveedores. Por último se debe verificar la prohibición de grabación o toma de imágenes al personal no autorizado.

Áreas de acceso público y de carga y descarga: verificación de la existencia de zonas de carga y descarga de material al que únicamente tenga acceso personal autorizado, cuyo acceso sea restringido y este aislado del resto de zonas. Revisión del procedimiento de verificación de material entrante, y del procedimiento de registro de entrada y salida de material.

Emplazamiento y protección de equipos: existen tres aspectos principales a revisar en este apartado. En primer lugar el referente al emplazamiento y distribución de los sistemas de información, cuya ubicación deberá facilitar la manipulación y operación de equipos, teniendo en cuenta aspectos como la distribución de racks, la disposición de suelo y techo técnico, canalizaciones aéreas, resistencia de cargas de la planta, o aspectos como el espacio libre de la puerta de acceso al CPD, de acuerdo con las recomendaciones de la TIA 942. En segundo lugar, la protección a amenazas físicas como pueden ser sistemas para minimizar riesgos derivados del polvo, humo u otros agentes químicos volatilizados. Por último, aspectos referentes a la protección ambiental como sistemas de climatización, dispositivos de medición de temperatura y humedad, sistemas de extracción de calor, así como la propia disposición de una distribución de los racks que posibilite la existencia de pasillo fríos y calientes mejorando la eficacia térmica del sistema de climatización.

Instalaciones de suministro: por lo que respecta a las instalaciones de suministro se debe verificar la resiliencia de los sistemas de acondicionamiento de aire (sistemas de climatización duplicados), suministro eléctrico (SAI, grupo electrógeno, líneas de suministro provenientes de distintas acometidas) y suministro de servicios de voz.

Seguridad en el cableado: esto implicará la verificación de que se emplea cableado adecuado como puede ser apantallado o blindado, que el cableado de comunicaciones y de suministro eléctrico van por distintas canalizaciones para evitar acoplamientos, que existe un sistema para el etiquetado de cableado, así como un mapa del mismo.

Mantenimiento de equipos: este punto contempla la existencia de un mantenimiento tanto preventivo como correctivo de sistemas que dan soporte al CPD, como extinción, climatización, suministro eléctrico, etc. A su vez se deberá revisar la trazabilidad de dichos mantenimientos.

Seguridad de los equipos fuera de las instalaciones: para evaluar este control, es necesario considerar la existencia de una normativa que cubra el uso de equipos fuera de las instalaciones.

Reutilización o retirada segura: será necesario revisar la existencia de un procedimiento que recoja la reutilización y retirada de equipos, el cual deberá contemplar el borrado seguro de la información albergada en los mismos.

Retirada de materiales: En este apartado se verificará que únicamente el personal autorizado podrá sacar equipos e información fuera de la entidad.

Este ha sido un pequeño repaso de que cosas se deberían revisar a la hora de llevar a cabo una auditoría física. No obstante, como todo, cuanto más azúcar más dulce y recomiendo a nuestros lectores que quieran profundizar en el ámbito de la seguridad física de los CPDs la lectura de la norma TIA 942. Por último, me gustaría destacar que la adecuación de un CPD es costosa en términos económicos, y que la implantación de medidas de seguridad debe ser proporcional a los riesgos existentes, por eso les recomendamos encarecidamente un análisis de riesgos previo.

Comments

  1. Extender el ejemplo de inicio del artículo indicando que, además de la seguridad física y control ambiental en los equipos con carencias típicas como la falta de monitorización básica en humedad y temperaturas, limpieza en equipos TI y en partes de sistemas electromecánicos entre las más habituales, señalar las situaciones que más me llaman la atención personalmente y que se localizan y afectan al personal técnico, expuesto a riesgos físicos y que se tiene aceptado comunmente tanto por gerencias como el propio personal aún a riesgo de la salud de las personas.

    Fugas de agua reales o posibles por tuberías no identificadas que cruzan las salas, SAIs con baterías en sitios inadecuados o poco ventilados, cableado eléctrico en malas condiciones y/o no adecuado a las instalaciones (las salas técnicas no son el salón de casa), puertas de acceso de entrada/salida a salas técnicas sin barras quitamiedos para poder salir sin problemas del espacio, extintores de polvo inadecuados para fuegos en entornos con componentes eléctricos, entre los más habituales.
    TIA es siempre una buena referencia al ser la primera que trató de considerar de manera integral la sala TI con las áreas de soporte; existen adicionalmente otros esquemas de relevancia y que incluso amplian en el alcance de TIA como BICSI-002 (http://iso27000.es/otros.html#section4b)

  2. Muy interesante para todo aquel que quiera empezar a saber lo que hace falta para llevar a cabo una auditoría física.