Este documento discute varios temas relacionados con la seguridad física y ambiental de la información. Explica que a pesar de las inversiones en medidas de seguridad como firewalls, la seguridad de la información depende en gran medida de los usuarios. También describe posibles amenazas como acceso no autorizado, daños, robo o filtración de información. Finalmente, propone controles como cerraduras, cámaras, registros de acceso y guardias de seguridad para proteger los sistemas físicamente.
1. Msc. Ing. Juan Pablo Barriga Sapiencia
“Las organizaciones gastan millones de dólares en firewalls y
dispositivos de seguridad, pero tiran el dinero porque
ninguna de estas medidas cubre el eslabón más débil de la
cadena de seguridad: la gente que usa y administra los
ordenadores” K. Mitnick
6. SEGURIDAD FISICA Y AMBIENTAL
Acceso no autorizado
Daño, vandalismo o robo de equipos o documentos
Copia o visualización de información sensible
Alteración de equipos e información sensible
Revelación de información sensible
Desastres naturales
8. A.9 Seguridad física y ambiental
A9.1 Áreas seguras
A9.1.1 Perímetro de seguridad física
Se debe utilizar perímetros de seguridad
(barreras tales como paredes y puertas de ingreso
controlado o recepcionistas) para proteger áreas que
contienen información y medios de procesamiento de
información.
SI
A9.1.2 Controles de entrada físicos
Se deben proteger las áreas seguras mediante controles
de entrada apropiados para asegurar que sólo se
permita acceso al personal autorizado.
SI
A9.1.3
Seguridad de oficinas,
habitaciones y medios
Se debe diseñar y aplicar seguridad física en las
oficinas, habitaciones y medios.
SI
A9.1.4
Protección contra amenazas
externas y ambientales
Se debe diseñar y aplicar protección física contra daño
por fuego, inundación, terremoto, explosión, disturbios
civiles y otras formas de desastre natural o creado por el
hombre.
SI
A9.1.5 Trabajo en áreas seguras Se debe diseñar y aplicar protección física y
lineamientos para trabajar en áreas seguras.
Parcial
A9.1.6
Áreas de acceso público, entrega
y carga
Se deben controlar los puntos de acceso como las
áreas de entrega y descarga y otros puntos donde
personas no-autorizadas pueden ingresar a los locales, y
cuando fuese posible, se deben aislar de los medios de
procesamiento de la información para evitar un acceso
no autorizado.
NO
No se cuenta con
un área de
entrega y carga de
mercancía.
9. A9.2 SEGURIDAD DE LOS EQUIPOS
A9.2.1
Ubicación y protección de
equipos
Los equipo de deben estar ubicados o protegidos
para reducir el riesgo debido a amenazas o peligros
del entorno y las oportunidades de acceso no
autorizado.
SI
A9.2.2 Servicio de suministros
Los equipo de deben estar protegidos contra fallas en
el suministro de energía y otras anomalías causadas
en los servicios de suministro
SI
A9.2.3 Seguridad del cableado
el cableado de energía eléctrica y
telecomunicaciones que trasporta datos o presta
soporte a los servicios de información deben estar
protegidos contra interrupciones o daños
SI
A9.2.4 Mantenimiento de los equipos El equipo debe ser mantenido correctamente para
permitir su continua disponibilidad e integridad
SI
A9.2.5
Seguridad de los equipos fuera
de las instalaciones
Se debe aplicar seguridad al equipo fuera-del-
local tomando en cuenta los diferentes riesgos de
trabajar fuera del local de la organización.
SI
A9.2.6
Seguridad de la reutilización o
eliminación de los equipos
Todos los ítems de equipo que contengan medios de
almacenaje deben ser chequeados para asegurar
que se haya removido o sobre-escrito de manera
segura cualquier data confidencial y software con
licencia antes de su eliminación.
SI
A9.2.7 Retiro de activos
Control
Equipos, información o software no deben ser
sacados fuera de la propiedad sin previa
autorización.
SI
10. LO QUE PASA
Bitácoras en papel de acceso al centro de datos
Cámaras de seguridad
Control de acceso
Gafetes
Portátiles Robadas en las oficinas
Computadoras sin contraseñas
Control físico de equipos
Contraseñas por defecto
Se deben realizar pruebas periódicas de que todo está seguro AUDITORIA
11. SEGURIDAD AMBIENTAL EJEMPLO:
EXTINTORES DE INCENDIO
Revisar mensualmente
Ubicación visible, fácil acceso libre de
obstáculos
Altura no mayor a 1.5m del piso a la parte
superior del extintor
Elegir el tipo adecuado y el tamaño
12. LOCK PICKING
Lockpicking es el arte de abrir cerraduras sin su llave original
utilizando ganzúas u otro tipo de métodos no destructivos. Es una
forma de abrir cerraduras causando menos daños que con la
fuerza bruta.
13. INGENIERÍA SOCIAL
El arte del engaño obtener información manipulando a las personas
Todos queremos ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.
14. PIGGYBACKING
Consiste simplemente en seguir a un usuario autorizado hasta un
área restringida y acceder a la misma gracias a la autorización
otorgada a dicho usuario
15. DUMPSTER DIVING
La búsqueda de información valiosa en la basura es una
práctica que puede resultar riesgosa para una empresa. Allí van
a parar muchos datos importantes que figuran en notas,
documentos confidenciales, configuraciones, e-mails,
memorandos internos, computadoras en desuso, entre otras
cosas.
16. SHOULDER SURFING
La práctica de mirar por encima del hombro de una persona.
Cualquiera situado cerca de una persona que está accediendo
a un sistema puede leer más o menos claramente una clave
tecleada.
17. EAVESDROPPING
“parar la oreja”. En este caso, se trata de una técnica para
capturar información privilegiada afinando el oído cuando se
está cerca de conversaciones privadas.
18. KEY LOGGERS LÓGICOS Y FÍSICOS
VIDEO LOGGERS
CONTRASEÑAS POR DEFECTO
DISPOSITIVOS MÓVILES PERDIDOS
MEMORIAS USB PERDIDAS
CÁMARAS DE SEGURIDAD
20. ¿QUE REVISAR?
Alrededores de la compañía
Edificio
Recepción
Servidores - Data Center
Estaciones de trabajo
Control de Acceso – biométricos
Cableado
Acceso remoto
Cerraduras
21. FASES DE LA AUDITORIA FÍSICA - EDPAA
Fase 1 : Alcance de la auditoria
Fase 2: Adquisición de información general
Fase 3 : Administración y planificación
Fase 4 : Plan de auditoria
Fase 5 : Resultado de las pruebas
Fase 6 : conclusiones y comentarios
Fase 7 : Borrador del informe
Fase 8 : Discusión con los responsables del área
Fase 9 : Informe Final
22. PROBLEMAS EXPOSICIONES AMBIENTALES
Fallo total (apagón)
Voltaje severamente reducido (caída de voltaje)
Sobre voltaje
Interferencia electromagnética (EMI)
23. CONTROLES PARA EXPOSICIONES AMBIENTALES
Paneles de alarmas
Detectores de agua
Extintores manuales de incendio
Alarmas manuales de incendios
Detectores de humo
Sistemas de supresión de incendios
Ubicación estratégica de la sala de datos
Protectores de voltaje
SAI - UPS
24. PROBLEMAS DE ACCESO FISICO
Acceso no autorizado
Daño, vandalismo o robo de documentos
Copia o visualización de información sensible
Alteración de equipos o información sensible
Revelación de información sensible
Chantaje
Fraude
25. CONTROLES ACCESO FÍSICO
Cerraduras (pestillo, electrónicas, biométricas)
Registros manuales y digitales
Tarjetas de identificación
Cámaras de vigilancia
Guardias de seguridad
Acceso controlado de visitantes
Bloqueo de estaciones de trabajo
Punto único de entrada controlado
Sistema de alarma
Distribución segura de informes
Ventanas