Auditoria Seguridad Fisica
Auditoria Seguridad Fisica
Auditoria Seguridad Fisica
5/11/12
Si un ataque lgico a un sistema puede comprometer su funcionamiento y dejarlo fuera durante un periodo de tiempo largo un ataque fsico puede dejarlo inoperando. Para realizar un ataque lgico es necesario una serie de herramientas y medios tcnicos con un costo importante adems de conocimientos tecnolgicos. Para llevar a cabo un ataque fsico, no suele disponer de grandes medios ni tener conocimientos especficos. 5/11/12
El entorno fsico debe incluir la definicin de los requisitos que deban cumplir los edificios y localizaciones donde vallan a estar los elementos del sistema, la seleccin de locales e instalaciones, as como el diseo de los procesos necesarios para supervisar los factores ambientales y gestionar el acceso fsico de la instalacin
5/11/12
El objetivo de Cobit es el control del nivel DS12 que satisface el requisito del negocio de las Tecnologas de Informacin (TI). El control est dirigido a proporcionar y mantener un entorno fsico adecuado para proteger los activos de TI contra acceso dao o robo, para ellos es necesario implementar elementos de seguridad fsica, es necesario 3 factores
5/11/12
Tiempo sin servicio ocasionado por incidentes relacionado con el entorno fsico Nmero de incidentes ocasionado por fallos o vulnerabilidad de seguridad fsica Frecuencia de la revisin y evolucin de los riesgos fsicos.
5/11/12
Debe realizarse teniendo en cuenta tanto riesgos asociados a los desastres naturales como a los provocados por el hombre, considerando la legislacin aplicable, leyes y reglamentos relativos a la seguridad y salud del trabajo.
alienadas con requerimientos del negocio. Deben incluir pero no limitarse al establecimiento de un permetro de seguridad, la 5/11/12
Se debe gestionar las instalaciones incluyendo los equipos de comunicaciones y de suministro de energa, de acuerdo a los requerimientos tcnicos y del negocio, especificaciones de proveedores y requisitos relativos a la seguridad a la salud del trabajo.
5/11/12
Permetro de seguridad: Protege las reas donde se almacenan soportes de informacin o que albergan instalaciones de proceso de datos. Controles fsicos de entrada: Cuentan con controles adecuados para garantizar que solo accede a ellas el personal autorizado
5/11/12
Seguridad de oficinas, despachos e instalaciones: Se disean y aplican normas de seguridad fsica para proteger todo tipo de instalaciones Proteccin contra amenazas externas y ambientales: Se implementan medidas de proteccin contra los daos organizados por catstrofes naturales Trabajo en rea segura: Se implementan los procedimientos y medidas de seguridad fsica aplicables al trabajo en reas seguras
5/11/12
reas de acceso pblico, carga y descargas: En estos y otros puntos donde existe la posibilidad de que se produzca el acceso a personas no autorizadas se ponen controles y si es posible aislarlos de las instalaciones de proceso de datos Instalacin y proteccin de los equipos: Se debe instalar en reas seguras y protegidos para reducir los riesgos provenientes de las amenazad del entorno accesos no autorizados y otros de carcterfsico Suministro elctrico: Se establece 5/11/12 medidas de proteccin a cortes de
Mantenimiento de equipo: Debe mantenerse de forma adecuada para asegurar su disponibilidad e integridad Seguridad de los equipos fuera de los locales de la organizacin: Se establecen medidas que se encuentren fuera de las instalaciones de la organizacin, teniendo en cuenta los riesgos inherentes a la utilizacin de equipos fuera de las instalaciones Seguridad en la reutilizacin, enajenacin, o desechado de equipos: Todo lo que contenga medios de almacenamiento deben ser controlados para asegurar que tanto los datos 5/11/12
COTROL DE ACCESO
Poltica de control de acceso: Se basa en los requisitos de seguridad del negocio, dicha poltica debe incluir el control de acceso fsico Gestin de acceso de usuarios: Es un procedimiento formal de registros de altas y bajas para garantizar el acceso y la revocacin de acceso a todos los sistemas y servicio de informacin Gestin de privilegios: Debe restringirse y controlar la asignacin y uso de privilegios 5/11/12
5/11/12
Revisin de derechos de acceso de usuario: Establece una revisin peridica de los derechos de acceso a usuarios utilizando un procedimiento formal Equipo informtico de usuario desatendido: Se establece medidas de seguridad para garantizar que los equipos desatendidos tienen proteccin apropiada Polticas de limpieza de escritorio pantalla: Se establece una poltica de escritorio limpio de papeles, de medios extrables y de pantalla limpia Informtica mvil y comunicaciones:
5/11/12
Se construyen barreras fsicas del suelo al techo para prevenir entradas no autorizadas o contaminacin del entorno Se debe construir las instalaciones discretamente y minimizar las indicaciones sobre su propsito evitando signos que identifiquen la presencia de las actividades No informar al personal que est implicado en las actividades que se hace dentro del rea
5/11/12
5/11/12
*Elctricas: Realizacin de un proyecto elctrico, que las lneas sean independientes, la seguridad de las personas y equipos mediante un diseo de los cuadros elctricos y protecciones diferenciales *Incendios: Vigilando la sealizacin, prohibiciones de fumar, no acumulacin de papel y no ocupacin de vas de salida de emergencia, alarma y extincin de incendios *Climatizacin: Sistema de control de la temperatura y de la humedad *Agua: Sistema de deteccin y evaluacin
RECOMENDACIONES
*Superar las reas de carga y descarga, en caso de no ser posible establecer los controles adecuados para impedir acceso no autorizado *Restringir los accesos al rea de carga y descarga fuera del edificio al personal autorizado
5/11/12
*Considerar medidas adicionales para sistemas sensibles o crticos como: instalacin de conductos blindados, salas cerradas, Uso de rutas o medios de transmisin alternativos *Situar equipos en reas seguras, distancia de los accesos a pblico de las zonas con aproximacin directa de vehculos pblicos *Definir permetros de seguridad con las correspondientes barreras de controles de entrada, en proteccin fsica impedir acceso no autorizados a interferencias
5/11/12
*los documentos, y medidas de almacenamiento debe guardarse en armarios cuando no se usen * La informacin crtica estar bajo llave * Los ordenadores y terminales deben estar protegidos por contraseas Se debe verificar que los usuarios cumplen las recomendaciones sobre los equipos protegidos, para borrar los datos realizar mediante mecanismo adecuado
5/11/12
RECOMENDACIONES
*Proteger la entrada y salida del correo *Considerar que la denominacin de la seguridad aparezca sealada en los soportes Se debe reflejar el nivel de seguridad en todas las paginas incluyendo la caratula, el nivel de seguridad puede estar situado en cualquier parte solo debe de estar visible Etiquetar cada soporte elctrico transportable con el mximo nivel de 5/11/12 seguridad que la informacin contenga.
A la hora de implantar un plan de seguridad fsica, es necesario realizar un anlisis de riesgos, para ello determinares las amenazas existentes, e implantaremos las salvaguardas necesarias para alcanzar el nivel de riesgo asumido.
5/11/12
PERIMETRO DE SEGURIDAD
Para implantar este control debemos detallar una serie de controles de bajo nivel organizados por capas. La existencia de un permetro de seguridad fsica implica la necesidad de unas medidas de proteccin de permetro: el acceso al interior del permetro debe realzarse a travs de un rea vigilada, con una clara separacin de nuestro permetro que no se encuentran bajo nuestra responsabilidad y sean gestionadas por terceros. 5/11/12
Cristales
opacos. Proteccin de conductos y aberturas. Sistema de deteccin de intrusin perimetral. Sistema de circuito cerrado de TV.
5/11/12
CONTROL DE ENTRADA.
Para implantar un control de entrada adecuado, hay que tener presente que es necesario desplegar una serie de controles detallados que garanticen un adecuado control de los accesos fsico a las instalaciones, como por ejemplo, una gestin del cierre de oficinas y locales lo que implica la implantacin de un control sobre la custodia de las llaves de las mismas.
5/11/12
de control de accesos. Verificacin previa de las autorizaciones de accesos del personal. Registro de los accesos. Revisin peridica del registro de accesos. Investigacin de cualquier sospecha o intento de acceso fsico no autorizado. Sistema automtico de control de accesos:
Alimentacin redundante. Mecanismos no identificados. PIN o token. 5/11/12 Token y PIN.
por empresa autorizada. Alimentacin redundante. Atendido por personal. Proteccin contra sabotajes. Verificacin peridica del funcionamiento. Mantenimiento peridico.
Salidas y procedimientos de emergencias garantizadas que solamente el personal autorizado puede acceder a las instalaciones.
5/11/12
Control de visitas
Necesaria
una autorizacin previa. comprobacin de la identidad de la visita. Registro entrada/salida. Supervisin y escolta de movimientos y actividades de los visitantes. Revisin peridica del registro de visitas.
Pases o identificadores.
Es
obligatorio el uso de identificaciones, Empleo de diferentes tipos de identificadores. Dselo difcil de falsificar. Incluir fotografa de la persona a la que se emiten.
5/11/12
Acceso cerrado fuera de las horas de trabajo. Locales y oficinas se cerraran y controlaran peridicamente. Control de llaves, combinaciones o dispositivos de seguridad.
Inventario:
Registro de llaves. Registro de combinaciones. Identificacin del responsable. Revisin peridica del inventario
5/11/12
Es una de las partes en las que se puede dividir la auditoria de sistemas, por tanto en la planificacin y ejecucin de la mismo son de aplicacin los mismos principios u procedimientos que en cualquier otro tipo de auditoria Las dos diferencias apreciables son:
5/11/12
La primera es que estamos auditando algo fsico, algo material que podemos ver y tocar lo que facilita la obtencin y documentacin de las evidencias. La segunda es que los controles a auditar don complejo y pertenecen a informticos, siendo en algunos casos ms propios de arquitectos y de ingenieros industriales.
5/11/12