Evaluación de la seguridad física

Los distintos niveles de robustez y fiabilidad de los productos destinados a la seguridad física no son siempre fáciles de determinar. En unos casos existen normas y procedimientos de homologación que permiten conocer el nivel de resistencia de un cristal, una cerradura, una puerta o una cámara inífuga a las distintas amenazas a las que se halla expuesta. En otros casos hay que atender a las especificaciones técnicas del material (dureza del acero, temperatura de fusión, etc.) o a los niveles de resistencia establecidos unilateralmente por el fabricante.

Por ejemplo, en el caso de cerraduras y candados, hay fabricantes que acuden a homologaciones y otros que establecen su propia escala de seguridad. En un caso concreto, analizado en una auditoría, el fabricante había establecido una escala del 1 al 15 y aseguraba que el producto ofrecía los siguientes niveles de resistencia:

- Nivel 13 de resistencia a la congelación y fractura mediante gas licuado.

- Nivel 14 de resistencia al corte mediante sierra convencional.

- Nivel 15 de resistencia al corte mediante cizalla o herramienta similar.

- Nivel 15 de resistencia a la acción de un taladro sobre el bombín.

- Nivel 15 de resistencia al uso de ganzúas o llaves falsas.

Algunos fabricantes acuden a la homologación A2p (APSAD) y a las normas VDMA, NFPA, etc.

En cualquier caso, hay que reconocer que, mientras en el análisis de la seguridad lógica el auditor puede realizar pruebas directamente sobre el sistema (análisis de la robustez de las contraseñas, comprobación de privilegios, pruebas de intrusión, etc.) en el análisis de la seguridad física el margen de maniobra es menor y hay que acudir a información facilitada por el fabricante. Ante la dificultad para realizar pruebas de resistencia sin destruir o dañar el material instalado, deberán tenerse en cuenta las homologaciones, normas técnicas, certificaciones y especificaciones facilitadas por el fabricante, así como el nivel de confianza que ofrece la marca.

Comentarios

Me hace bastante gracia la curiosa línea divisoria que parece existir entre el mundo real y el mundo del "debería ser". Leo entretenido el blog y cuando llego a la frase "hay que acudir a la información facilitada por el fabricante" no puedo evitar sonreir. Por alguna extraña razón me recuerda a otra estupenda frase que dice "si lo dice la tele, será verdad".

Como lo dice el fabricante, pues tendremos que fiarnos de lo que dice pese a que una y otra vez los "hombres malos" se empeñan en demostrar que si, que el fabricante puede decir lo que quiera pero que ellos te abren cualquier cerrojo en menos de 30 segundos. Cualquier cerrojo.

Entiendo que nuestro negocio se base en establecer una serie de principios sólidos sobre los que operar (leyes, estándares, acuerdos) pero no puedo dejar de criticar nuestra complacencia al no plantearnos la procedencia de dichas bases.

En este caso se trata de seguridad física pero el hecho no se limita a ella. Si la Comisión Europea se basa en un comité de expertos para redactar y pasar determinada Directiva, lo menos que debemos hacer es juzgar a esos expertos y considerar seriamente que las opiniones en las que se basa toda la legislación europea en materia de seguridad, informática o física, pueden no ser las mas correctas.

Aunque parezca increible, la tele no siempre dice la verdad.

Publicado por: Luis García-Villalba | 23/06/09 en 12:16

Tienes toda la razón, Luis. Por eso al final hablo de la confianza que ofrece la marca. En cualquier caso, parece que no nos quedará otra opción que recurrir a pruebas de laboratorio, o incluso contratar a los "malos", como ya se hace en las pruebas de intrusión en sistemas y redes.

Gracias por el comentario,

Javier

Publicado por: Xavier Ribas | 23/06/09 en 13:02