Auditoria Seguridad Fisica

Descargar como pptx, pdf o txt
Descargar como pptx, pdf o txt
Está en la página 1de 33

LA DE RIA ISICA ITO D F UD modificar el estilo de Haga clic para IDA A UR subttulo del patrn SEG

5/11/12

SEGURIDAD FISICA VS SEGURIDAD LOGICA


El estudio de la seguridad se suele dividir en dos bloques seguridad lgica y seguridad fsica Las amenazas de tipo lgico comprometen la confidencialidad, integridad y disponibilidad aunque tambin en el fsico existe amenaza de confidencialidad. La seguridad lgica es la rama de la seguridad informtica mas conocida y con mayor importancia, pero hay que tener en cuenta los incidentes que lo 5/11/12

Si un ataque lgico a un sistema puede comprometer su funcionamiento y dejarlo fuera durante un periodo de tiempo largo un ataque fsico puede dejarlo inoperando. Para realizar un ataque lgico es necesario una serie de herramientas y medios tcnicos con un costo importante adems de conocimientos tecnolgicos. Para llevar a cabo un ataque fsico, no suele disponer de grandes medios ni tener conocimientos especficos. 5/11/12

COBIT- DS 12 GESTION DEL ENTORNO FISICO


COBIT es una referencia buena en prcticas de campo de auditora y control de sistemas, entre los diferentes controles que contempla se encuentran los relacionados con la seguridad fsica Contempla los aspectos relativos de la gestin de la seguridad y la continuidad de las operaciones con un control de alto nivel especfico para la seguridad fsica y el entorno
5/11/12

El entorno fsico debe incluir la definicin de los requisitos que deban cumplir los edificios y localizaciones donde vallan a estar los elementos del sistema, la seleccin de locales e instalaciones, as como el diseo de los procesos necesarios para supervisar los factores ambientales y gestionar el acceso fsico de la instalacin

5/11/12

El objetivo de Cobit es el control del nivel DS12 que satisface el requisito del negocio de las Tecnologas de Informacin (TI). El control est dirigido a proporcionar y mantener un entorno fsico adecuado para proteger los activos de TI contra acceso dao o robo, para ellos es necesario implementar elementos de seguridad fsica, es necesario 3 factores

5/11/12

Tiempo sin servicio ocasionado por incidentes relacionado con el entorno fsico Nmero de incidentes ocasionado por fallos o vulnerabilidad de seguridad fsica Frecuencia de la revisin y evolucin de los riesgos fsicos.

5/11/12

DS 12.1 SELECCION Y DISEO DE LOS CENTROS DE PROCESOS DE DATOS

DS 12.2 MEDIDAS DE SEGURIDAD FISICA Se implementa la seguridad fsica

Debe realizarse teniendo en cuenta tanto riesgos asociados a los desastres naturales como a los provocados por el hombre, considerando la legislacin aplicable, leyes y reglamentos relativos a la seguridad y salud del trabajo.

alienadas con requerimientos del negocio. Deben incluir pero no limitarse al establecimiento de un permetro de seguridad, la 5/11/12

DS 12.3 ACCESO FISICO


Se debe implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas de acuerdo a las necesidades del negocio incluyendo acceso de emergencia el acceso debe justificarse y supervisarse, es aplicable para todas las personas que acceden a las instalaciones incluyendo personal propio, cliente proveedores o visitantes

Se debe gestionar las instalaciones incluyendo los equipos de comunicaciones y de suministro de energa, de acuerdo a los requerimientos tcnicos y del negocio, especificaciones de proveedores y requisitos relativos a la seguridad a la salud del trabajo.

DS 12.4 GESTION DE LAS INSTALACIONES

5/11/12

SEGURIDAD FISICA Y DEL ENTORNO

Permetro de seguridad: Protege las reas donde se almacenan soportes de informacin o que albergan instalaciones de proceso de datos. Controles fsicos de entrada: Cuentan con controles adecuados para garantizar que solo accede a ellas el personal autorizado

5/11/12

Seguridad de oficinas, despachos e instalaciones: Se disean y aplican normas de seguridad fsica para proteger todo tipo de instalaciones Proteccin contra amenazas externas y ambientales: Se implementan medidas de proteccin contra los daos organizados por catstrofes naturales Trabajo en rea segura: Se implementan los procedimientos y medidas de seguridad fsica aplicables al trabajo en reas seguras

5/11/12

reas de acceso pblico, carga y descargas: En estos y otros puntos donde existe la posibilidad de que se produzca el acceso a personas no autorizadas se ponen controles y si es posible aislarlos de las instalaciones de proceso de datos Instalacin y proteccin de los equipos: Se debe instalar en reas seguras y protegidos para reducir los riesgos provenientes de las amenazad del entorno accesos no autorizados y otros de carcterfsico Suministro elctrico: Se establece 5/11/12 medidas de proteccin a cortes de

Mantenimiento de equipo: Debe mantenerse de forma adecuada para asegurar su disponibilidad e integridad Seguridad de los equipos fuera de los locales de la organizacin: Se establecen medidas que se encuentren fuera de las instalaciones de la organizacin, teniendo en cuenta los riesgos inherentes a la utilizacin de equipos fuera de las instalaciones Seguridad en la reutilizacin, enajenacin, o desechado de equipos: Todo lo que contenga medios de almacenamiento deben ser controlados para asegurar que tanto los datos 5/11/12

COTROL DE ACCESO
Poltica de control de acceso: Se basa en los requisitos de seguridad del negocio, dicha poltica debe incluir el control de acceso fsico Gestin de acceso de usuarios: Es un procedimiento formal de registros de altas y bajas para garantizar el acceso y la revocacin de acceso a todos los sistemas y servicio de informacin Gestin de privilegios: Debe restringirse y controlar la asignacin y uso de privilegios 5/11/12

5/11/12

Revisin de derechos de acceso de usuario: Establece una revisin peridica de los derechos de acceso a usuarios utilizando un procedimiento formal Equipo informtico de usuario desatendido: Se establece medidas de seguridad para garantizar que los equipos desatendidos tienen proteccin apropiada Polticas de limpieza de escritorio pantalla: Se establece una poltica de escritorio limpio de papeles, de medios extrables y de pantalla limpia Informtica mvil y comunicaciones:

CRITERIOS DE SEGURIDAD FISICA


Se debe situar el equipo que soporta la aplicacin as como la informacin en reas seguras y protegidas adecuadamente. Debe definir de forma proporcionada las medidas que garanticen la seguridad de los locales a proteger en relacin con requisitos de seguridad de la informacin que se almacene o procese.

5/11/12

Se construyen barreras fsicas del suelo al techo para prevenir entradas no autorizadas o contaminacin del entorno Se debe construir las instalaciones discretamente y minimizar las indicaciones sobre su propsito evitando signos que identifiquen la presencia de las actividades No informar al personal que est implicado en las actividades que se hace dentro del rea

5/11/12

5/11/12

*Elctricas: Realizacin de un proyecto elctrico, que las lneas sean independientes, la seguridad de las personas y equipos mediante un diseo de los cuadros elctricos y protecciones diferenciales *Incendios: Vigilando la sealizacin, prohibiciones de fumar, no acumulacin de papel y no ocupacin de vas de salida de emergencia, alarma y extincin de incendios *Climatizacin: Sistema de control de la temperatura y de la humedad *Agua: Sistema de deteccin y evaluacin

RECOMENDACIONES
*Superar las reas de carga y descarga, en caso de no ser posible establecer los controles adecuados para impedir acceso no autorizado *Restringir los accesos al rea de carga y descarga fuera del edificio al personal autorizado

5/11/12

*Considerar medidas adicionales para sistemas sensibles o crticos como: instalacin de conductos blindados, salas cerradas, Uso de rutas o medios de transmisin alternativos *Situar equipos en reas seguras, distancia de los accesos a pblico de las zonas con aproximacin directa de vehculos pblicos *Definir permetros de seguridad con las correspondientes barreras de controles de entrada, en proteccin fsica impedir acceso no autorizados a interferencias

5/11/12

CRITERIOS DE SOPORTE DE INFORMACION


Se desarrolla y aplica procedimientos de seguridad que contemplen la autenticidad, confidencialidad, integridad y disponibilidad. Se debe elegir un lugar de almacenamiento adecuado para los soportes de informacin, ficheros a los que haya que aplicar medidas de niel alto, hacer respaldo del mismo, mantener un registro de entrada y salida para tener un control exacto del usuario y sus actividades. 5/11/12

*los documentos, y medidas de almacenamiento debe guardarse en armarios cuando no se usen * La informacin crtica estar bajo llave * Los ordenadores y terminales deben estar protegidos por contraseas Se debe verificar que los usuarios cumplen las recomendaciones sobre los equipos protegidos, para borrar los datos realizar mediante mecanismo adecuado

5/11/12

RECOMENDACIONES
*Proteger la entrada y salida del correo *Considerar que la denominacin de la seguridad aparezca sealada en los soportes Se debe reflejar el nivel de seguridad en todas las paginas incluyendo la caratula, el nivel de seguridad puede estar situado en cualquier parte solo debe de estar visible Etiquetar cada soporte elctrico transportable con el mximo nivel de 5/11/12 seguridad que la informacin contenga.

CONTROLES DE SEGURIDAD FISICA

A la hora de implantar un plan de seguridad fsica, es necesario realizar un anlisis de riesgos, para ello determinares las amenazas existentes, e implantaremos las salvaguardas necesarias para alcanzar el nivel de riesgo asumido.

5/11/12

PERIMETRO DE SEGURIDAD
Para implantar este control debemos detallar una serie de controles de bajo nivel organizados por capas. La existencia de un permetro de seguridad fsica implica la necesidad de unas medidas de proteccin de permetro: el acceso al interior del permetro debe realzarse a travs de un rea vigilada, con una clara separacin de nuestro permetro que no se encuentran bajo nuestra responsabilidad y sean gestionadas por terceros. 5/11/12

DESARROLLO DEL CONTROL

Permetro de seguridad fsica

Proteccin del permetro


Permetro definido con una valla, muro o similar. Construccin resistente. Puertas de acceso.

Cristales

opacos. Proteccin de conductos y aberturas. Sistema de deteccin de intrusin perimetral. Sistema de circuito cerrado de TV.
5/11/12

Acceso a travs de un rea de recepcin. Separacin de reas gestionadas por

CONTROL DE ENTRADA.

Para implantar un control de entrada adecuado, hay que tener presente que es necesario desplegar una serie de controles detallados que garanticen un adecuado control de los accesos fsico a las instalaciones, como por ejemplo, una gestin del cierre de oficinas y locales lo que implica la implantacin de un control sobre la custodia de las llaves de las mismas.

5/11/12

DESARROLLO DEL CONTROL.

Control de los accesos


Procedimientos

de control de accesos. Verificacin previa de las autorizaciones de accesos del personal. Registro de los accesos. Revisin peridica del registro de accesos. Investigacin de cualquier sospecha o intento de acceso fsico no autorizado. Sistema automtico de control de accesos:
Alimentacin redundante. Mecanismos no identificados. PIN o token. 5/11/12 Token y PIN.

Sistema de deteccin de intrusin centralizado:


Instalacin

por empresa autorizada. Alimentacin redundante. Atendido por personal. Proteccin contra sabotajes. Verificacin peridica del funcionamiento. Mantenimiento peridico.

Salidas y procedimientos de emergencias garantizadas que solamente el personal autorizado puede acceder a las instalaciones.

5/11/12

Control de visitas
Necesaria

una autorizacin previa. comprobacin de la identidad de la visita. Registro entrada/salida. Supervisin y escolta de movimientos y actividades de los visitantes. Revisin peridica del registro de visitas.

Pases o identificadores.
Es

obligatorio el uso de identificaciones, Empleo de diferentes tipos de identificadores. Dselo difcil de falsificar. Incluir fotografa de la persona a la que se emiten.
5/11/12

Acceso cerrado fuera de las horas de trabajo. Locales y oficinas se cerraran y controlaran peridicamente. Control de llaves, combinaciones o dispositivos de seguridad.
Inventario:

Registro de llaves. Registro de combinaciones. Identificacin del responsable. Revisin peridica del inventario

5/11/12

Es una de las partes en las que se puede dividir la auditoria de sistemas, por tanto en la planificacin y ejecucin de la mismo son de aplicacin los mismos principios u procedimientos que en cualquier otro tipo de auditoria Las dos diferencias apreciables son:

EJECUCION DE LA AUDITORIA DE LA SEGURIDAD FISICA.

5/11/12

La primera es que estamos auditando algo fsico, algo material que podemos ver y tocar lo que facilita la obtencin y documentacin de las evidencias. La segunda es que los controles a auditar don complejo y pertenecen a informticos, siendo en algunos casos ms propios de arquitectos y de ingenieros industriales.

5/11/12

También podría gustarte