La primera línea de defensa, garantía de seguridad física de los equipos

Opinión: Una gran empresa afectada por ciberdelincuentes debió gastar US$148 millones para recuperarse del incidente. ¿Pero qué ocurre con una pequeña o mediana empresa?

Año tras año es cada vez más frecuente que los hackers alrededor del mundo logren obtener acceso a información confidencial. Esta tendencia en alza es una realidad preocupante para los clientes y costosa para las empresas afectadas.  Por ejemplo, en una fuga de datos en noviembre de 2013, cibercriminales robaron más de 40 millones de números de tarjetas de crédito de los servidores de la empresa  detallista estadounidense Target Corporation  y, casi un año después, la corporación estima que ha gastado US$148 millones para recuperarse del  incidente.

No importa que tan grande o pequeña pueda ser una empresa, una cifra tan alta asustaría a los ejecutivos de cualquier compañía  y con noticias recientes tales como que un grupo de hackers rusos sustrajeron 1200 millones de nombres de usuario y contraseñas de varios sitios web populares, muchos CIOs y propietarios de empresas se están preguntando cómo pueden mejorar la seguridad de la información de sus clientes.

Las corporaciones grandes tienen sistemas complejos y personal destinado exclusivamente a la seguridad y desde hace tiempo están dedicados al tema, pero para una empresa pequeña, con menos recursos, puede ser difícil saber dónde comenzar. Aunque las cifras que oímos sobre el cibercrimen parecen alarmantes, la pérdida de información en los ambientes de trabajo puede prevenirse tomando en consideración solo unos cuantos pasos simples, además de la incorporación de algunos equipos y dispositivos  a los sistemas tecnológicos existentes.

La primera línea de defensa de un departamento de TI debe ser garantizar que los servidores, y otros equipos críticos de TI, estén físicamente seguros. La PCI (siglas en inglés de Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago), una asociación de las compañías más grandes de tarjetas de crédito, desarrolló un conjunto de requerimientos para todas las compañías que procesan, almacenan o transmiten información de tarjetas de débito, crédito o cajeros ATM  para asegurar que los datos de sus clientes se mantengan en un nivel de seguridad óptimo.

Entre otras cosas, estas normas exigen que las compañías que procesan pagos aseguren físicamente todos sus medios informáticos. Esto se puede lograr al incorporar racks que cumplan con los estándares establecidos por la PCI tales como, por ejemplo,  gabinetes para la instalación en pared con cerraduras. Estos gabinetes deben tener, además de las cerraduras, puertas resistentes y  paneles laterales robustos para evitar el acceso no autorizado, sin dejar de permitir la ventilación adecuada para evitar el sobre calentamiento del equipamiento almacenado en su interior. Al tomar en cuenta esta consideración, todos los racks que cumplan con el estándar de la PCI se encuentran resguardados evitando de esta forma ser forzados, saboteados o accedidos sin autorización.

Es también importante considerar la seguridad de cada aspecto de una infraestructura de TI más allá de los servidores. Con frecuencia algunos dispositivos tecnológicos, como los KVMs (iniciales en inglés de Teclado, Video y Mouse), son ignorados cuando se evalúan situaciones de riesgo. Para mejorar la seguridad de estos dispositivos, la NIAP (acrónimo de Sociedad Nacional de Garantía de la Información de los Estados Unidos), junto con otras 25 agencias internacionales miembros del Acuerdo de Reconocimiento de Criterios Comunes, estandarizaron los requisitos que los productos tecnológicos deben cumplir para ser certificados con el Evaluation Assurance Level 2 (Segundo Nivel de Evaluación de Seguridad, EAL2+). El EAL2+ es un grado de confianza tan estricto que es el criterio que usan las autoridades de los Estados Unidos para permitir o no la utilización de productos en sus agencias de gobierno.

Algunas de las características de los KVMs EAL2+ incluyen: la imposibilidad de abrirlo sin que éste quede inoperable, la incapacidad para de conectar dispositivos USB no autorizados en cualquiera de sus  puertos, el  aislamiento de la información entre puertos y el diseño de un búfer (memoria intermedia) seguro, lo cual significa que el KVM no tiene memoria y la del teclado es borrada automáticamente después de la transmisión de datos.

Estas características, junto con otros aspectos técnicos, protegen la información y prevén que no se vea comprometida o en peligro.  Además de las agencias gubernamentales, muchas empresas que manejan información sensible pueden también beneficiarse de estas características mejoradas de seguridad.

Por Tripp Lite, empresa que fabrica y diseña  productos de protección de energía, conectividad e infraestructura para centros de datos

Ilustración: Tatiana Popova © Shutterstock.com


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022