c





Esta etapa se refiere a todo lo que tiene que ver con el equipo que se debe de utilizar y
debe de estar contenido en el centro de computo.

Los principales requisitos de un centro de sistemas son:

˜ Êonexión a tierra física.

˜ |o break ( baterías ó pilas)
˜ Ôeguladores
˜ „ire acondicionado
˜ Extinguidores (por lo menos 1 por cada 6 computadoras)
˜ 0 otros

Para la construcción del lugar en donde se instalara la sala de informática se deben tomar
en cuenta unos criterios muy sencillos de elección, que también pueden ser útiles si se
trata de la readaptación de una sala ya construida. En primer lugar y por motivos de
seguridad externa, una construcción de estas características estará exenta de edificios
colindantes o anexos. Se puede proyectar de forma que el bloque quede rodeado
perimetralmente de un terreno lo suficientemente extenso para su protección. En
segundo lugar no se debe situar en un área industrial que por su actividad desprenda gran
cantidad de polvo al exterior ya que esto podría afectar considerablemente y de forma
perjudicial a los ordenadores. También se tendrá en cuenta la presencia de determinadas
industrias que puedan crear campos magnéticos o eléctricos de alta frecuencia, que
producirían saltos y/o rayas en las pantallas.

Tampoco es aconsejable proyectar el edificio en altura, debido a que se perderá

diafanidad y extensión horizontal. „demás, se deberá observar en todo momento las
indicaciones dadas para las estructuras sismo resistencia, en previsión de posibles
movimientos. La seguridad en este tipo de edificios para la evacuación de personas es otro
de los factores para tomar en cuenta.

Si se dispone de suficiente parcela, terreno de construcción, lo aconsejable es hacer la

edificación lo más extensa que sea posible horizontalmente, en planta. Êon este sistema
se conseguirían resultados más eficaces en cuanto a diafanidad, sismo resistencia, posible
evacuación, seguridad, luminosidad. Se debe cuidar que la relación con los patios y el
sentido de salida sean muy simples y sencillos de cualquier puesto de trabajo.

c 


 

Êomo primer paso se designa el edificio, área y espacio los cuales importante para evitar
peligros por razones naturales vecinos altamente contaminantes y facilidades de servicios
públicos, etc.
?
?
? 

?? 



[condiciones físicas:

?




Es trascendental la ubicación del edificio y su construcción misma para la operación

eficiente del centro de cómputo y comoprimera medida, debe considerarse si se trata de
un edificio nuevo de construir o uno ya existente a adecuarse, para ello se mencionan los
siguientes puntos:

a) Ôealizar un estudio de la zona a fin de evitar estar expuestos al peligro por sismos,
contaminación, incendio, explosión, inundación, radiaciones, interferencia de radar,
vandalismo, disturbios sociales, así como riesgos provocados por las industrias cercanas y
todo lo que puede ocasionar problemas con el equipo de procesamiento de datos.

b) Seleccionar la parte más segura dentro del edificio para el centro de cómputo y contar
con facilidades de energía eléctrica, acometidas telefónicas, aire acondicionado etc.

c) Êuando el acceso al centro de computo deba efectuarse a través de otros

departamentos, será necesario prever el paso de las maquinas a través de diferentes
puertas, ventanas, pasillos, montacargas, etc.

d) Se debe definir claramente las rutas de acceso del personal para la carga de
documentos, respaldos en unidades magnéticas, elaboración de reportes, etc.

e) La construcción del piso debe soportar el peso de los equipos que serán instalados.


??


Se recomienda que el área del centro de cómputo existan separadores de aluminio y

cristal o cuartos independientes para la instalación de todo el equipo y debemos
considerar lo siguiente:

a) La configuración definitiva del sistema a instalar: el procesado, impresoras, estaciones

de trabajo, módems, multiplexores y además periféricos.

b) Para hacer una distribución adecuada se deberá poseer un plano del local elegido en
escala 1:50 sobre el que se ubicaran las plantillas de los equipos cuidando sus áreas de
servicio y pruebas (espacio adicional al área del equipo para su mantenimiento).

c) Es necesario plantear la secuencia de conexión de los equipos para los

direccionamientos de los mismos.
d) Se recomienda la ubicación de la consola del sistema como máximo a 6 metros de
distancia del rack del procesador y que sea visible el panel de control del mismo.

[Êondiciones ambientales:

Instalaciones eléctricas.[ Es uno de los aspectos fundamentales que deben cuidarse

cuando se va a diseñar el centro de cómputo ya que si no se efectúa un buen cálculo sobre
la carga que se va a utilizar, esto nos ocasionaría serios problemas al utilizar el equipo. Por
esto se requiere hacer un análisis sobre todos los equipos y dispositivos que se vayan a
utilizar en el centro de cómputo como si fuesen a trabajar todos al mismo tiempo, así
podremos obtener la carga máxima que se pudiera llegar a utilizar. Los equipos de
cómputo son unos de los más sensibles a las variaciones de corriente eléctrica por lo tanto
es necesario instalar equipos de protección.

Sistemas de flujo ( Suministro ) ininterrumpible.[ Se recibe un suministro normal para

cargar baterías y se proporciona un suministro limpio cuando el suministro de energía
comercial falla. Sirven para proporcionar energía temporal.

„condicionadores de línea.[ Sirven para eliminar las variaciones de voltaje y el ruido

eléctrico en grados variantes pero no almacenan energía eléctrica, lo que significa que no
pueden contrarrestar interrupciones en el suministro de electricidad.

Flujo de luminosidad.[ En las oficinas no es igual el número de luminosidad que se

requiere, que en una casa, puesto que las actividades que se realizan son diferentes, se
recomienda entre 50 y 75 candelas por pie cuadrado.

??


?
??

˜ Piso Falso
˜ Êonducción de cables (eléctricos y de datos)
˜ Inyección de aire acondicionado
˜ Ôesguardo de inundaciones
˜ Êaracterísticas
˜ Ôesistente a electricidad estática
˜ Facilidad de mantenimiento
˜ Yurabilidad
˜ „pariencia
˜ Êosto
˜ c0 cms de elevación
˜ Soportar Êarga (piso falso y piso firme)
˜ Falso Plafón
˜ Êableado aéreo
˜ Extracción de aire (flujo)
˜ Êonductos (canaletas) externos para cableado.
 ˜ Flujo de aire 15 ft3/min por persona en ocupación constante
˜ Temperatura: rango ideal 18 ї 22 Ê . |o es recomendable operar abajo de 10 Ê ni
arriba de 30 Ê
˜ oumedad relativa: 50 ± 10 % para evitar tanto condensación como electricidad
estática. |o es recomendable operar arriba de 80% ni abajo de 20%








1. Elementos de conducción.[ „lambres o cables de la instalación.

2. Elementos de consumo.[ Êualquier equipo, aparato o dispositivo que consuma

electricidad. Ejemplos: lámparas incandescentes (focos), motobombas, ventiladores fijos,
timbre y cualquier carga fija en la instalación.

3. Elementos de control.[ „pagadores sencillos, ͞de escalera͟ (tres vías), de cuatro vías (de
paso), control de ventilador y otros que permitan ͞prender͟ o ͞apagar͟ cualquier aparato.

c. Elementos de protección.[ Interruptor de seguridad, fusibles, centro de carga.

5. Elementos complementarios.[ Êajas de conexión, ͞chalupas͟, tornillos.

6. Elementos Varios o Mixtos.[ Êontactos (se consideran como cargas fijas

independientemente de que tengan o no conectados a ellos un aparato), barra de
contactos con supresor de picos. Los que tienen doble función: Interruptores
termomagnéticos (protegen y controlan cargas).

7. Elementos externos.[ „cometida, medidor de uso de electricidad.

Otros elementos a considerar para construir:

Êarga. Êualquier aparato que consuma electricidad.

Êarga Fija. Êualquier aparato conectado en forma permanente en la instalación.

Êontacto. Toma de corriente, receptáculo, o enchufe.

„cometida. Êables que van desde el poste de donde se hace llegar la electricidad hasta
una casa.

„paratos eléctricos. Focos, lavadora, licuadora, refrigerador, ventilador, etc.

Motobomba. ͞Bomba de agua͟, motor colocado en la cisterna o aljibe.

Medidor. Ôegistro o Watthorímetro. „parato que se encarga de medir el consumo de

electricidad.
Interruptor termomagnético. Pastilla termomagnética, breaker.

Êaja de conexiones. Pueden ser cuadradas o redondas en donde se realizan las

conexiones, ͞amarres͟, empalmes o derivaciones entre los conductores eléctricos.

Êhalupa. Similar a una caja de conexiones pero más pequeña, por lo general contiene
apagadores y contactos.

c 




! 

ÊÔITEÔIOS „ ÊO|SIYEÔ„Ô P„Ô„ SELEÊÊIO|„Ô U| SITIO ESPEÊIFIÊO:

1.[Localización en partes elevadas como protección contra inundaciones.

2.[Proximidad a servicios de transporte urbano o comercial.

3.[Facilidad de acceso a los bancos de datos.

c.[Elevado

5.[Minimizar el efecto de lluvias

6.[Evitar la proximidad de aeropuertos

7.[Evitar Interferencia electromagnética

8.[Separación de vía rápida

9.[Transporte comercial cercano

10.[Estacionamiento

c "
!!



!


Los factores a considerar en la selección del lugar en el cual se colocará el Êentro de

Êómputo son:

Ôuido.

Espacio Ôequerido.

Êondiciones ambientales.
„cceso al Êentro de Êómputo.

El centro de cómputo se ubicará en un edificio que se encontrará en un sitio específico

dentro de un área general, en cada uno de los puntos anteriores es importante considerar
los siguientes criterios:

Selección del Área General :

Êercanía a usuarios potenciales.

Servicios de Seguridad.

Buenas vías de comunicación.

Suministro de energía confiable.

Buenos servicios de comunicación.

Ôentas e impuestos atractivos.

c " 




 

Pretender eliminar todos los riesgos del lugar de trabajo es una finalidad poco realista.

En el mundo debemos escoger entre:

˜ Ôiesgos físicamente imposibles de corregir

˜ Ôiesgos posibles, pero económicamente imposibles de corregir.
˜ Ôiesgos económica y físicamente corregible.

En un entorno informático existen una serie de recursos (humanos, técnicos, de

infraestructura͙) que están expuestos a diferentes tipos de riesgos: los `normales͛,
aquellos comunes a cualquier entorno, y los excepcionales, originados por situaciones
concretas que afectan o pueden afectar a parte de una organización o a toda la misma,
como la inestabilidad política en un país o una región sensible a terremotos. Para tratar de
minimizar los efectos de un problema de seguridad se realiza lo que denominamos un
análisis de riesgos, término que hace referencia al proceso necesario para responder a
tres cuestiones básicas sobre nuestra seguridad:

ͻ >qué queremos proteger?

ͻ >contra quién o qué lo queremos proteger?

ͻ >cómo lo queremos proteger?

En la práctica existen dos aproximaciones para responder a estas cuestiones, una
cuantitativa y otra cualitativa. La primera de ellas es con diferencia la menos usada, ya que
en muchos casos implica cálculos complejos o datos difíciles de estimar. Se basa en dos
parámetros fundamentales: la probabilidad de que un suceso ocurra y una estimación del
coste o las pérdidas en caso de que así sea; el producto de ambos términos es lo que se
denomina coste anual estimado (E„Ê, Estimated „nnual Êost), y aunque teóricamente es
posible conocer el riesgo de cualquier evento (el E„Ê) y tomar decisiones en función de
estos datos, en la práctica la inexactitud en la estimación o en el cálculo de parámetros
hace difícil y poco realista esta aproximación.

El segundo método de análisis de riesgos es el cualitativo, de uso muy difundido en la

actualidad especialmente entre las nuevas `consultoras͛ de seguridad (aquellas más
especializadas en seguridad lógica, cortafuegos, tests de penetración y similares). Es
mucho más sencillo e intuitivo que el anterior, ya que ahora no entran en juego
probabilidades exactas sino simplemente una estimación de pérdidas potenciales. Para
ello se interrelacionan cuatro elementos principales: las amenazas, por definición siempre
presentes en cualquier sistema, las vulnerabilidades, que potencian el efecto de las
amenazas, el impacto asociado a una amenaza, que indica los daños sobre un activo por la
materialización de dicha amenaza, y los controles o salvaguardas, contramedidas para
minimizar las vulnerabilidades (controles preventivos) o el impacto (controles curativos).
Por ejemplo, una amenaza sería un pirata que queramos o no (no depende de nosotros)
va a tratar de modificar nuestra página web principal, el impacto sería una medida del
daño que causaría si lo lograra, una vulnerabilidad sería una configuración incorrecta del
servidor que ofrece las páginas, y un control la reconfiguración de dicho servidor o el
incremento de su nivel de parcheado. Êon estos cuatro elementos podemos obtener un
indicador cualitativo del nivel de riesgo asociado a un activo determinado dentro de la
organización, visto como la probabilidad de que una amenaza se materialice sobre un
activo y produzca un determinado impacto.

En España es interesante la metodología de análisis de riesgos desarrollada desde el

Êonsejo Superior de Informática (Ministerio de „dministraciones Públicas) y denominada
M„GEÔIT (Metodología de „nálisis y G Estión de Ôiesgos de los sistemas de Información
de las „dminis Traciones? públicas); se trata de un método formal para realizar un análisis
de riesgos y recomendar los controles necesarios para su minimización. M„GEÔIT se basa
en una aproximación cualitativa que intenta cubrir un amplio espectro de usuarios
genéricos gracias a un enfoque orientado a la adaptación del mecanismo dentro de
diferentes entornos, generalmente con necesidades de seguridad y nivel de sensibilidad
también diferentes. En la página web del Êonsejo Superior de Informática23.2 podemos
encontrar información más detallada acerca de esta metodología, así como algunos
ejemplos de ejecución de la misma.

Tras obtener mediante cualquier mecanismo los indicadores de riesgo en nuestra

organización llega la hora de evaluarlos para tomar decisiones organizativas acerca de la
gestión de nuestra seguridad y sus prioridades. Tenemos por una parte el riesgo calculado,
resultante de nuestro análisis, y este riesgo calculado se ha de comparar con un cierto
umbral (umbral de riesgo) determinado por la política de seguridad de nuestra
organización; el umbral de riesgo puede ser o bien un número o bien una etiqueta de
riesgo (por ejemplo, nivel de amenaza alto, impacto alto, vulnerabilidad grave, etc.), y
cualquier riesgo calculado superior al umbral ha de implicar una decisión de reducción de
riesgo. Si por el contrario el calculado es menor que el umbral, se habla de riesgo residual,
y el mismo se considera asumible (no hay porqué tomar medidas para reducirlo). El
concepto de asumible es diferente al de riesgo asumido, que denota aquellos riesgos
calculados superiores al umbral pero sobre los que por cualquier razón (política,
económica͙) se decide no tomar medidas de reducción; evidentemente, siempre hemos
de huir de esta situación.

c " "



 

#
$


  


Todas las computadoras dependen virtualmente del suministro de la energía eléctrica. Si

este suministro falla, el sistema queda fuera del juego inmediatamente y durante el
tiempo que el fallo dure, pudiendo también verse afectados los sistemas de aire paros en
el acontecimiento del aire pueden originar perdidas de información, que pueden llegar a
ser parciales o totales, temporales o definitivas en discos y cintas.

|ormalmente las instalaciones reciben su alimentación de los suministros públicos de

electricidad y debe considerarse la posibilidad de fallos de ese suministro debido a daños
accidentales en las subertacones, cables subterráneos, daños por tormentas en líneas
aéreas. Excesos de carga en casos de fuerte demanda, o incluso, acciones terroristas
contra el sistema de alimentación.

„lgunos |O, para prevenir:

1.[ |O utilice alargadores para instalaciones permanentes.

2.[|O sobrecargue los circuitos conectando a la misma toma corriente.

3.[|O desenchufe tirando el cable, etc

c " c
 




#
 

El estudio de la seguridad informatica puede plantearse desde dos enfoques:

[Seguridad fisica: Proteccion del sistema ante las amenazad fisicas, planes de
continguencia, etc.
[Seguridad logica: Proteccion de la informacion en su propio medio mediante el uso de
herramientas de seguridad.

%
%

Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Física,
es importante recalcar que la mayoría de los daños que puede sufrir un centro de
cómputos no será sobre los medios físicos sino contra información por él almacenada y
procesada.

„sí, la %
&, sólo es una parte del amplio espectro que se debe cubrir para no
vivir con una sensación ficticia de seguridad. Êomo ya se ha mencionado, el activo más
importante que se posee es la información, y por lo tanto deben existir técnicas, más allá
de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica.

Es decir que la Seguridad Lógica consiste en la ͞aplicación de barreras y procedimientos

que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas
autorizadas para hacerlo.͟

Existe un viejo dicho en la seguridad informática que dicta que ͞todo lo que no está
permitido debe estar prohibido͟ y esto es lo que debe asegurar la Seguridad Lógica.

Los objetivos que se plantean serán:

Ôestringir el acceso a los programas y archivos.

„segurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.

„segurar que se estén utilizados los datos, archivos y programas correctos en y por el
procedimiento correcto.

Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada
y no a otro.

Que la información recibida sea la misma que ha sido transmitida.

Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

Que se disponga de pasos alternativos de emergencia para la transmisión de información.







Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de
aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro
utilitario.

Êonstituyen una importante ayuda para proteger al sistema operativo de la red, al sistema
de aplicación y demás software de la utilización o modificaciones no autorizadas; para
mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos
con acceso permitido) y para resguardar la información confidencial de accesos no
autorizados.

„simismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad

lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para
determinar si corresponde un permiso de acceso (solicitado por un usuario) a un
determinado recurso. „l respecto, el |ational Institute for Standars and Technology
(|IST)(1) ha resumido los siguientes estándares de seguridad que se refieren a los
requisitos mínimos de seguridad en cualquier sistema:

'
(

'



El acceso a la información también puede controlarse a través de la función o rol del

usuario que requiere dicho acceso.

„lgunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente
de un área usuaria, administrador del sistema, etc.

En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los
usuarios.



También pueden implementarse controles a través de las transacciones, por ejemplo

solicitando una clave al requerir el procesamiento de una transacción determinada.




)

Estos controles se refieren a las restricciones que dependen de parámetros propios de la

utilización de la aplicación o preestablecidos por el administrador del sistema.

Un ejemplo podría ser que en la organización se disponga de licencias para la utilización

simultánea de un determinado producto de software para cinco personas, en donde exista
un control a nivel sistema que no permita la utilización del producto a un sexto usuario.
Modalidad de „cceso

Ubicación y oorario

El acceso a determinados recursos del sistema puede estar basado en la ubicación física o
lógica de los datos o personas.

En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a
determinadas horas de día o a determinados días de la semana.

Ye esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso.

Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de
alguno de los controles anteriormente mencionados.

Êontrol de „cceso Interno

Êontrol de „cceso Externo

„dministración

)

%
'*

El estándar de niveles de seguridad mas utilizado internacionalmente es el TÊSEÊ Orange

Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del
Yepartamento de Yefensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran
desde el mínimo grado de seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares europeos (ITSEÊ/ITSEM) y luego
internacionales (ISO/IEÊ).

Êabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el
subnivel B2 abarca los subniveles B1, Ê2, Ê1 y el Y.

|ivel Y

Este nivel contiene sólo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad.

Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es

inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso
a la información. Los sistemas operativos que responden a este nivel son MS[YOS y
System 7.0 de Macintosh.
|ivel Ê1: Protección Yiscrecional

Se requiere identificación de usuarios que permite el acceso a distinta información. Êada

usuario puede manejar su información privada y se hace la distinción entre los usuarios y
el administrador del sistema, quien tiene control total de acceso.

Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas
por este ͞super usuario͟ quien tiene gran responsabilidad en la seguridad del mismo. Êon
la actual descentralización de los sistemas de cómputos, no es raro que en una
organización encontremos dos o tres personas cumpliendo este rol.

Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada
usuario.

„ continuación se enumeran los requerimientos mínimos que debe cumplir la clase Ê1:

„cceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir

grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios,
disco) sobre los cuales podrán actuar usuarios o grupos de ellos.

Identificación y „utentificación: se requiere que un usuario se identifique antes de

comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser
accedido por un usuario sin autorización o identificación.

|ivel Ê2: Protección de „cceso Êontrolado

Este subnivel fue diseñado para solucionar las debilidades del Ê1. Êuenta con
características adicionales que crean un ambiente de acceso controlado. Se debe llevar
una auditoria de accesos e intentos fallidos de acceso a objetos.

Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o
tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con
base no sólo en los permisos, sino también en los niveles de autorización.

Ôequiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas
las acciones relacionadas con la seguridad, como las actividades efectuadas por el
administrador del sistema y sus usuarios. La auditoría requiere de autenticación adicional
para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor
desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema
de discos.

Los usuarios de un sistema Ê2 tienen la autorización para realizar algunas tareas de

administración del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema,
ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.

|ivel B1: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad
multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede
modificar los permisos de un objeto que está bajo control de acceso obligatorio.

„ cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de
seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías
(contabilidad, nóminas, ventas, etc.). Êada usuario que accede a un objeto debe poseer un
permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos
asociados.

También se establecen controles para limitar la propagación de derecho de accesos a los

distintos objetos. |ivel B2: Protección Estructurada

Ôequiere que se etiquete cada objeto de nivel superior por ser padre de un objeto
inferior.

La Protección Estructurada es la primera que empieza a referirse al problema de un objeto

a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior.

„sí, un disco rígido será etiquetado por almacenar archivos que son accedidos por
distintos usuarios.

El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad

son modificadas; y el administrador es el encargado de fijar los canales de
almacenamiento y ancho de banda a utilizar por los demás usuarios.

|ivel B3: Yominios de Seguridad

Ôefuerza a los dominios con la instalación de hardware: por ejemplo el hardware de

administración de memoria se usa para proteger el dominio de seguridad de acceso no
autorizado a la modificación de objetos de diferentes dominios de seguridad.

Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las
permite o las deniega según las políticas de acceso que se hayan definido.

Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para
permitir análisis y testeos ante posibles violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una
conexión segura.

„demás, cada usuario tiene asignado los lugares y objetos a los que puede acceder.

|ivel „: Protección Verificada

Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante

métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario
sobre el sistema.

Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores
deben incluirse. El diseño requiere ser verificado de forma matemática y también se
deben realizar análisis de canales encubiertos y de distribución confiable. El software y el
hardware son protegidos para evitar infiltraciones ante traslados o movimientos del
equipamiento.

c " +

! 
!!

!




 


[ La confidencialidad

tiene relación con la protección de información frente a posibles no autorizados, son

independencia del lugar en que reside la información o la forma en que se almacena la
información sensible o valiosa que organización custodia o maneja, necesita ser protegida
mediante estrictas medidas de control.

[ la integridad

Se refiere a la protección de información, datos de sistemas y otros activos contra cambios

o alteraciones en su estructura o contenido ya sean intencionadas, no autorizadas o
casuales, también es importante proteger los procesos o programas que emplean la
manipulación de datos.

[ la disponibilidad

Es la garantía de que los usuarios autorizados puedan acceder a la información y recursos

cuando lo necesitan. La falta de disponibilidad se manifiesta principalmente de dos
formas:

[ la denegación o repudio del servicio debido a la falta de garantías de la prestación del

mismo.

[ la perdida de servicios de los recursos de información.

c " + 


 




Tiene relacion con la proteccion de informacion frente a posibles no autorizados, son
independencia del lugar en que reside la informacion o la forma en que se almacena la
informacion sensible o valiosa que organizacion custodia o maneja, necesita ser protegida
mediante estrictas medidas de control.

c " + 


  


Se refiere a la proteccion de informacion, datos de sistemas y otros activos contra cambios

o alteraciones en su estructura o contenido ya sean intencionados, no autrorizados o
casuales, tambien es importante proteger los procesos o programas que emplean la
manipulacion de datos.

Se refiere a que los recursos pueden ser creados y/o cambiados solo por aquellos sujetos
que tienen autorización para hacerlo.

Ejemplo: La modificación del saldo de una cuenta bancaria solo puede ser realizada por su
titular.

c " + "
!,


Es la garantia de que los usuarios autorizados puedan acceder a la informacion y recursos

cuando lo necesitan. La falta de disponibilidad se manifiestan principalmente de dos
formas:

[ la denegacion o repudio del servicio debido a la falta de garantias de la prestacion del

mismo.

[ la perdida de servicios de los recursos de informacion.

c c
 $-



 

.$! 


Ergonomía:
Estas circunstancias deben ser tenidas en cuenta idealmente antes de la instalación de los
equipos y sus accesorios como:
[La ubicación del ordenador.

[Las regletas para los enchufes, preferible elegirlas con interruptor luminoso.

[La disposición de los cables para que, a ser posible, no se vean ni resulten accesibles a
niños o escobas.

[Sillas giratorias con ruedas.

[Êolocar el monitor en una situación intermedia entre la visión del profesional.

[Utilizar impresoras de carga frontal para los frecuentes cambios de tipo de papel.

[Instalación de la sala de cómputo:

La ubicación física e instalación de un Êentro de Êómputo depende de muchos factores:
el tamaño de la empresa,
el servicio que se pretende obtener.
las disponibilidades de espacio físico existente o proyectado.
La instalación física de un Êentro de Êómputo exige tener en cuenta:
Local físico. Yonde se analizará el espacio disponible, el acceso de equipos y personal.
Iluminación. El sistema de iluminación debe ser apropiado para evitar reflejos en las
pantallas.
Tratamiento acústico. Los equipos ruidosos como las impresoras con impacto, equipos de
aire acondicionado o equipos sujetos a una gran vibración.
Seguridad física del local. Se estudiará el sistema contra incendios, teniendo en cuenta
que los materiales sean incombustibles (pintura de las paredes, suelo, techo, mesas,
estanterías, etc.).
Suministro eléctrico. El suministro eléctrico a un Êentro de Êómputo, y en particular la
alimentación de los equipos, debe hacerse con unas condiciones especiales.
Seguridad en la Base de Yatos de la Sala de Êómputo

http://aurorajuarezarmenta.blogspot.com/2009/08/diseno[de[un[centro[de[computo.html

http://inf[tek.blogia.com/2009/051801[7.1[ubicacion[fisica[del[centro[de[computo.php
http://www.teksar.com.mx/asp/default.asp?action=article&IY=52
http://www.galvisda.net/PMP_I|FOÔM„ÊIO|_ʄP„ÊIT„ÊIO|_E|_ST„|Y„ÔY_ITIL.html

http://admcentrocompu.blogspot.com/2009/05/ergonomia[de[un[centro[de[computo.html