Nivel Físico

El primer factor considerado, y el más evidente debe ser asegurar el sustrato físico del objeto a proteger. Es preciso establecer un perímetro de seguridad a proteger, y esta protección debe adecuarse a la importancia de lo protegido.

La defensa contra agentes nocivos conlleva tanto medidas proactivas (limitar el acceso) como normativas de contingencia (que hacer en caso de incendio) o medidas de recuperación (realizar copias de seguridad). El grado de seguridad solicitado establecerá las necesidades: desde el evitar el café y el tabaco en las proximidades de equipos electrónicos, hasta el establecimiento de controles de acceso a la sala de equipos.

Lo más importante es recordar que quien tiene acceso físico a un equipo tiene control absoluto del mismo. Por ello sólo deberían accederlo aquellas personas que sea estrictamente necesario.

Amenaza no Intencionada (Desastre Natural)

El siguiente ejemplo ilustra una posible situación:

Una organización no cuenta con sistemas de detección y protección de incendios en la sala de servidores. El Administrador del sistema deja unos papeles sobre el aire acondicionado de la sala. Durante la noche el acondicionador se calienta y se inicia un incendio que arrasa con la sala de servidores y un par de despachos contiguos.

Directivas:

1. Predecir Ataque/Riesgo: Incendio
2. Amenaza: Desastre natural. Incendio
3. Ataque: No existe.
4. Estrategia Proactiva:
   1. Predecir posibles daños: pérdida de equipos e información.
   2. Determinar y minimizar vulnerabilidades: protección contra incendios.
   3. Evaluar planes de contingencia: backup de la información.
5. Estrategia Reactiva:
   1. Evaluar daños: perdida de hardware e información.
   2. Determinar su origen y repararlos: bloqueo del aire acondicionado.
   3. Documentar y aprender
   4. Implementar plan de contingencia: recuperar backups.
6. Examinar resultados y eficacia de la directiva: Ajustar la directiva con los nuevos conceptos incorporados.