1. Prof. Ing. Edith Urdaneta

2.  El estudio de la seguridad física se suele dividir en
dos grandes bloques: Seguridad física y
Seguridad lógica
 Hoy en día la línea que separa ambos bloques es
cada vez más difusa debido a que todos los
elementos de las salvaguardas técnicas se
utilizan tanto para proteger activos de carácter
físico como lógico.

3.  Todas las amenazas a la que está sometido un
CPD, así como las medidas de protección y
salvaguarda que se implantan en dicho sistema
para garantizar la seguridad de información, se
puede encuadrar en alguno de estos 2 bloques,
por ello de habla de:
 Amenaza de carácter lógico => Seguridad lógica
 Amenaza de carácter físico => Seguridad física

4. Confidenciality
Integrity Availability

5.  Seguridad física tiene que garantizar la
disponibilidad e integridad de equipos y datos,
mientras que la seguridad lógica se centra casi
exclusivamente en datos y añade un agravante
más: la pérdida de confidencialidad e integridad,
que no suele existir en los ataques físicos.

6. Las amenazas de tipo lógico suelen comprometer:
Confidencialidad, Integridad y Disponibilidad
Las amenazas de tipo físico suelen comprometer en
mayor medida la Disponibilidad aunque, también
existen algunas que amenazan la Confidencialidad e
Integridad

7.  La seguridad lógica es la rama de la seguridad
más conocida y a la que generalmente se le
otorga mayor importancia, pero hay que tener en
cuenta que los grandes incidentes de seguridad,
–los que ponen en peligro la continuidad de
servicios y hasta la existencia de la organización
que los sufre- suelen estar comprendidos en el
ámbito de la seguridad física

8.  Dentro del ámbito de la seguridad física es
sobradamente conocido el grave impacto de los
desastres naturales
 Sin olvidar que un ataque lógico a un CPD puede
comprometer su funcionamiento y dejarlo fuera
de servicio durante un tiempo + o – largo, un
ataque físico puede dejarlo inoperativo para
siempre

9.  Para poder realizar un ataque lógico es necesaria
una serie de herramientas y medios técnicos,
además de conocimientos tecnológicos de cierto
nivel
 Para llevar a cabo un ataque físico, en la mayoría
de los casos no suele ser necesario disponer de
grandes medios, ni tener grandes conocimientos
específicos

10.  La amenaza más grave a la que está sujeto el HW es
un ataque malintencionado y se suele dirigir contra
el elemento más débil –habitualmente con menos
protección- y que más impacto causa a la
organización cuando es destruido
 Por ello las salvaguardas a aplicar en contra de este
tipo de ataques son:
 Zonas de acceso restringido
 Vigilantes armados
 Detectores de intrusos

11.  Evitar
 Retrasar
 Detectar
 Defender (respuesta activa contra el hecho)

12. Línea
Consiste en….
1era Evitar y retrasar la materialización de la amenaza
2da Medidas de seguridad física que permitan
detectar los incidentes e informar de los mismos
3era Controles implantados minimicen los impactos
en caso de materialización de las amenazas y
permitan responder adecuadamente ante los
incidentes de seguridad física

13.  La seguridad física también debe basarse en el
principio de defensa en profundidad => conjunto
escalonado de medidas de seguridad que la
garanticen y permitan una respuesta apropiada
ante incidentes

14. Obtener un adecuado grado de Seguridad Física que evite
el Fallo o aminore sus consecuencias:
 Control localización edificio donde está el CPD
 Control localización CPD dentro del edificio
 Sistemas contra incendios
 Control de accesos
 Duplicidad de medios
 Duplicidad de localizaciones
 Definir un Plan de Contingencia adecuado
 …

15. Ejecutar fielmente el Plan de Contingencia:
 Plan de Recuperación frente a un Desastres (algo que
llega a interrumpir el servicio)
 Análisis previo de Riesgos Críticos en función de la
Tolerancia soportada
 Establecer Periodo Crítico de Recuperación
 Ordenar por Criticidad las Aplicaciones y su necesidad de
ser “levantadas”
 Sistemas de Back-up (no necesariamente CPD alternativo)
 ….
 Posible existencia de un CPD alternativo

16. Coberturas externas:
 Seguros…

17.  Si queremos disponer de una referencia de
buenas prácticas en el campo de auditoría y
control de los CPD podemos utilizar COBiT
(Control Objectives for Information and related
Technology), entre cuyos controles se
contemplan aquellos relacionados con la
seguridad física

18.  El dominio Entrega y Soporte de la versión 4 de
COBiT contempla aspectos relativo a la gestión de
seguridad y continuidad de las operaciones e incluye
un objetivo de control de alto nivel específico para la
seguridad física y del Entorno: DS 12 Gestión del
Entorno Físico
 Este objetivo de control hace hincapié en que para
una adecuada protección de elementos/personas
que componen el CPD y CPD son necesarias
instalaciones bien diseñadas y gestionadas

19.  Los procesos de gestión del entorno físico deben
incluir la definición de los requisitos que deben
cumplir :
 Los edificios y localizaciones donde vayan a residir los
elementos de nuestro CPD y CPD,
 La selección de locales e instalaciones
 Diseño de los procesos necesarios para supervisar los
factores ambientales
 Gestionar el acceso físico a las instalaciones y recursos

20.  Una gestión adecuada y efectiva del entorno reduce
la frecuencia de las interrupciones del
funcionamiento habitual del negocio, ocasionadas
por daños a los equipos y al personal
 Según COBIT el objetivo de control de alto nivel
DS12 es un control sobre el proceso deTI y gestión
del entorno físico que satisface el requisito de
negocio deTI: proteger los activos deTI y la
información del negocio, minimizando el riesgo de
una interrupción del servicio

21.  Este objetivo de control está dirigido a
proporcionar y mantener un entorno físico
adecuado para proteger los activos deTI contra
acceso, daño o robo.
 Para ello es necesario implementar medidas de
seguridad física, así como seleccionar y gestionar
las instalaciones donde residen los elementos del
CPD

22.  Así mismo es necesario medir su efectividad,
para lo cual se utilizan los siguientes indicadores:
 Tiempo sin servicio ocasionado por incidentes
relacionados con el entorno físico
 Número de incidentes ocasionados por fallos o
vulnerabilidades de seguridad física
 Frecuencia de la revisión y evaluación de los riesgos
físicos

23.  El objetivo de control de alto nivel se
descompone en los 5 objetivos que se verán a
continuación:
 Selección y diseño de los centros de proceso de datos
 Medidas de seguridad física
 Acceso físico
 Protección contra factores ambientales
 Gestión de instalaciones

24.  Debe realizarse teniendo en cuenta tanto los
riesgos asociados a desastres naturales como a
los provocados por el hombre
 También se debe considerar la legislación
aplicable, como las leyes y los reglamentos
relativos a la seguridad y salud en el trabajo

25.  Deben estar alineadas con el requerimiento del
negocio
 Deben incluir pero no limitarse a:
 Establecimiento de un perímetro y zonas de seguridad
 Ubicación de los equipos críticos
 Zonas de carga y descarga
 Deben definirse las responsabilidades relativas a
procedimientos de supervisión, informe y
resolución de incidentes de seguridad física

26.  Se deben definir e implementar procedimientos
para otorgar, limitar el acceso a locales, edificios
y áreas de acuerdo a las necesidades del negocio,
incluyendo los accesos en caso de emergencia
 El acceso a locales, edificios y áreas debe:
 Justificarse
 Autorizarse
 Registrarse
 Supervisarse
Esto es aplicable a todas las personas
que acceden las instalaciones: personal,
clientes, proveedores, visitantes.

27.  Se deben implementar medidas de protección
contra factores ambientales
 Deben instalarse dispositivos y equipos
adecuados para la supervisión y control de
entorno

28.  Debe incluir la gestión de equipos de
comunicaciones y de suministro de energía, de
acuerdo con :
 las leyes y reglamentos aplicables
 Los requerimientos técnicos y del negocio
 Las especificaciones de los proveedores
 Requisitos relativos a la seguridad y salud en el trabajo

29.  Esta norma se refiere a las buenas prácticas para
la gestión de la seguridad de la información. Lo
que propone esta norma se incluye en 2 apartes:
 Seguridad física y del entorno
 Control de acceso

30.  Perímetro de seguridad
 Control físicos de entrada
 Seguridad de oficinas, despachos e instalaciones
 Protección contra amenazas externas y
ambientales
 Trabajo en áreas seguras
 Área de acceso público y áreas de carga/descarga

31.  Instalación y protección de equipos
 Suministro eléctrico
 Seguridad del cableado
 Mantenimiento de equipos
 Seguridad de los equipos fuera de los locales de la
organización
 Seguridad en la reutilización, enajenación o
desechos de equipos
 Salida de las instalaciones

32.  Política de control de acceso
 Gestión de accesos a usuarios
 Gestión de privilegios
 Revisión de derechos de acceso de usuarios
 Equipo informático de usuario desatendido
 Política de limpieza de escritorio y pantalla
 Informática móvil y comunicaciones

33.  A la hora de diseñar e implantar un plan de
seguridad física es necesario realizar un análisis
de riesgos, para ellos determinaremos las
amenazas existentes y calcularemos el nivel de
riesgo intrínseco al que estamos expuestos e
implantaremos las salvaguardas necesarias para
alcanzar el nivel de riesgo asumido por la
organización

34.  A continuación se referirá como desarrollar un
par de controles de alto nivel con sus
correspondientes controles detallados, para que
sirva de ejemplo de como desarrollar el resto:
 Perímetro de seguridad física
 Control de entrada

35.  Para implementar este control de alto nivel,
debemos detallar un serie de controles de bajo nivel
organizados por capas
 La existencia de un perímetro de seguridad implica
la necesidad de unas medidas de protección del
perímetro, el acceso al interior del perímetro debe
realizarse a través de un área vigilada, con una clara
separación del perímetro de las áreas que no se
encuentran bajo nuestra responsabilidad y sean
gestionadas por terceros

36.  Desarrollo del control:
 Perímetro de seguridad física:
 Protección del perímetro:
 Perímetro claramente definido con una valla o muro
 Construcción resistente
 Puertas de acceso
 Puertas de acceso reforzado
 Puertas de acceso blindadas
 Mínimo # de entradas

37.  Ventanas
 Cristales opacos
 Protección de conductos y aberturas
 Sistema de detección de intrusión perimetral
 Sistema de circuito cerrado deTV
 Separación de áreas gestionadas por terceros

38.  Para implantar un control de entrada adecuado
hay que tener presente que es necesario
desplegar una serie de controles detallados que
garanticen un adecuado control de los accesos
físicos a las instalaciones, por ej.: una gestión de
cierre de oficinas y locales

39.  Desarrollo de Control:
 Control de los acceso físicos
 Control de los accesos:
 Procedimiento de control de acceso
 Verificación previa de las autorizaciones de acceso del
personal
 Registro de los accesos
 Revisión periódica del registro de accesos
 Investigación de cualquier sospecha o intento de acceso
físico no autorizado

40.  Sistema automáticos de control de acceso:
 Alimentación redundante
 Mecanismo de identificación
 Basado en PIN o token
 Basado en token y PIN
 Basado en biometría
 Basado en biometría y token
 Revisión y mantenimiento periódicos
 Sistema de detección de intrusión centralizado
 Instalación por empresa autorizada
 Alimentación redundante
 Atendido por el personal
 Protección de sabotaje …..

41.  Procura lograr la integridad de los activos
humanos, materiales y lógicos de un CPD a
través de la minimización del Riesgo de Fallo
físico y garantizar la continuidad del servicio
verificando la existencia de los controles internos
requeridos.
 Como cualquier auditoría, hay que seguir el
circuito: Riesgo  Control  Pruebas

42.  Políticas, Normas y Planes de Seguridad emitidos por la Empresa o por
Instituciones Públicas
 Auditorías anteriores
 Contratos de Seguros, de Proveedores y de Mantenimiento
 Entrevistas con el personal del CPD (incluyendo seguridad)
 Actas e Informes de peritos o consultores externos (p.e. seguridad
estructural del edificio)
 Pan de Contingencia y valoración de sus Pruebas
 Informes sobre accesos y visitas
 Informes sobre evacuaciones previas (simulacros y reales)
 Políticas de Personal
 Inventarios de Soportes (en especial copias de seguridad y cómo
recuperarlas)

43.  La auditoría de seguridad física aplican los mismo
principios y procedimientos que cualquier otro tipo
de auditoría.
 Igualmente las herramientas que se utilizan son las
habituales en los procesos de auditoría
 Las diferencias apreciables son:
 Estamos auditando algo material que podemos ver y tocar
 Los controles a auditar son complejos y pertenecen a
diferentes áreas de conocimiento, la mayoría fuera del
campo habitual de los informáticos

44. Por lo antes expuesto es necesario que el auditor
disponga de una formación multidisciplinar básica
–que le permita comprender y verificar el
funcionamiento de los controles de SF-y de la
colaboración de expertos en las diferentes ramas o
materias implicadas en los controles de seguridad
física para verificar en profundidad un control
determinado

45.  Las preguntas formuladas aquí son un ejemplo
como se puede construir una batería de
preguntas para obtener evidencia del grado de
implantación de los controles de seguridad física
en una organización
 En este caso el criterio que se ha seguido para
agrupar los controles es el origen de la amenaza,
otra manera de organizar el cuestionario es
según la organización que lo propone

46. Categoría Ejemplo de pregunta
Procedimientos generales Existe una política de seguridad física en la empresa y
está actualizada?
Control de acceso Se ha realizado un estudio de riesgo de intrusión en el
edificio?
Incendio Se ha realizado un estudio de los riesgos de incendio
que cubra tanto la prevención como la protección?
Agua Se ha hecho un estudio a cerca de la posibilidad de
inundaciones en la zona?
Suministro eléctrico Existe un sistema de alimentación ininterrumpida?
Comunicaciones Existen sistemas de comunicación alternativos en caso
de avería o fallo?
HW/SW Existe un control de configuración del HW y del SW?

47.  La seguridad física y su auditoría son
imprescindibles para poder garantizar la CIA de
los CPD y comunicaciones
 Para la ejecución de un ataque físico contra la
información y los sistemas que la almacenan
procesan o transmiten no son necesarios grandes
conocimientos técnicos ni grandes inversiones, lo
único necesario es la voluntad de hacer daño y la
ocasión para intentarlo

48.  Los fenómenos naturales (terremotos,
inundaciones, tormentas, etc.) y sus efectos,
representan una de las mayores amenazas físicas
a las que estás expuestos los CPD
 A la auditoría física también le son aplicables las
buenas prácticas y procedimientos generales de
la auditoría de sistemas

49.  Para afrontar con éxito una auditoría de la
seguridad física, el auditor necesita una
formación básica multidisciplinar que le permita
verificar y comprender el funcionamiento de los
controles de seguridad física y contar con la
ayuda y soporte de los expertos en las materias
concretas, para poder auditar los aspectos
técnicos de los controles