SlideShare una empresa de Scribd logo

Semana 11 controles y auditoría de la seguridad física

Descargar como PPSX, PDF
E
edithua

El documento habla sobre la seguridad física y lógica en los centros de procesamiento de datos (CPD). Explica que ambos tipos de seguridad se entrelazan debido a que las amenazas pueden ser tanto físicas como lógicas. También menciona las principales amenazas a cada tipo de seguridad y las medidas de protección correspondientes.

Educación
1 de 49
Prof. Ing. Edith Urdaneta
 El estudio de la seguridad física se suele dividir en dos grandes bloques: Seguridad física y Seguridad lógica  Hoy en día la línea que separa ambos bloques es cada vez más difusa debido a que todos los elementos de las salvaguardas técnicas se utilizan tanto para proteger activos de carácter físico como lógico.
 Todas las amenazas a la que está sometido un CPD, así como las medidas de protección y salvaguarda que se implantan en dicho sistema para garantizar la seguridad de información, se puede encuadrar en alguno de estos 2 bloques, por ello de habla de:  Amenaza de carácter lógico => Seguridad lógica  Amenaza de carácter físico => Seguridad física
Confidenciality Integrity Availability
 Seguridad física tiene que garantizar la disponibilidad e integridad de equipos y datos, mientras que la seguridad lógica se centra casi exclusivamente en datos y añade un agravante más: la pérdida de confidencialidad e integridad, que no suele existir en los ataques físicos.
Las amenazas de tipo lógico suelen comprometer: Confidencialidad, Integridad y Disponibilidad Las amenazas de tipo físico suelen comprometer en mayor medida la Disponibilidad aunque, también existen algunas que amenazan la Confidencialidad e Integridad
 La seguridad lógica es la rama de la seguridad más conocida y a la que generalmente se le otorga mayor importancia, pero hay que tener en cuenta que los grandes incidentes de seguridad, –los que ponen en peligro la continuidad de servicios y hasta la existencia de la organización que los sufre- suelen estar comprendidos en el ámbito de la seguridad física
 Dentro del ámbito de la seguridad física es sobradamente conocido el grave impacto de los desastres naturales  Sin olvidar que un ataque lógico a un CPD puede comprometer su funcionamiento y dejarlo fuera de servicio durante un tiempo + o – largo, un ataque físico puede dejarlo inoperativo para siempre
 Para poder realizar un ataque lógico es necesaria una serie de herramientas y medios técnicos, además de conocimientos tecnológicos de cierto nivel  Para llevar a cabo un ataque físico, en la mayoría de los casos no suele ser necesario disponer de grandes medios, ni tener grandes conocimientos específicos
 La amenaza más grave a la que está sujeto el HW es un ataque malintencionado y se suele dirigir contra el elemento más débil –habitualmente con menos protección- y que más impacto causa a la organización cuando es destruido  Por ello las salvaguardas a aplicar en contra de este tipo de ataques son:  Zonas de acceso restringido  Vigilantes armados  Detectores de intrusos
 Evitar  Retrasar  Detectar  Defender (respuesta activa contra el hecho)
Línea Consiste en…. 1era Evitar y retrasar la materialización de la amenaza 2da Medidas de seguridad física que permitan detectar los incidentes e informar de los mismos 3era Controles implantados minimicen los impactos en caso de materialización de las amenazas y permitan responder adecuadamente ante los incidentes de seguridad física
 La seguridad física también debe basarse en el principio de defensa en profundidad => conjunto escalonado de medidas de seguridad que la garanticen y permitan una respuesta apropiada ante incidentes
Obtener un adecuado grado de Seguridad Física que evite el Fallo o aminore sus consecuencias:  Control localización edificio donde está el CPD  Control localización CPD dentro del edificio  Sistemas contra incendios  Control de accesos  Duplicidad de medios  Duplicidad de localizaciones  Definir un Plan de Contingencia adecuado  …
Ejecutar fielmente el Plan de Contingencia:  Plan de Recuperación frente a un Desastres (algo que llega a interrumpir el servicio)  Análisis previo de Riesgos Críticos en función de la Tolerancia soportada  Establecer Periodo Crítico de Recuperación  Ordenar por Criticidad las Aplicaciones y su necesidad de ser “levantadas”  Sistemas de Back-up (no necesariamente CPD alternativo)  ….  Posible existencia de un CPD alternativo
Coberturas externas:  Seguros…
 Si queremos disponer de una referencia de buenas prácticas en el campo de auditoría y control de los CPD podemos utilizar COBiT (Control Objectives for Information and related Technology), entre cuyos controles se contemplan aquellos relacionados con la seguridad física
 El dominio Entrega y Soporte de la versión 4 de COBiT contempla aspectos relativo a la gestión de seguridad y continuidad de las operaciones e incluye un objetivo de control de alto nivel específico para la seguridad física y del Entorno: DS 12 Gestión del Entorno Físico  Este objetivo de control hace hincapié en que para una adecuada protección de elementos/personas que componen el CPD y CPD son necesarias instalaciones bien diseñadas y gestionadas
 Los procesos de gestión del entorno físico deben incluir la definición de los requisitos que deben cumplir :  Los edificios y localizaciones donde vayan a residir los elementos de nuestro CPD y CPD,  La selección de locales e instalaciones  Diseño de los procesos necesarios para supervisar los factores ambientales  Gestionar el acceso físico a las instalaciones y recursos
 Una gestión adecuada y efectiva del entorno reduce la frecuencia de las interrupciones del funcionamiento habitual del negocio, ocasionadas por daños a los equipos y al personal  Según COBIT el objetivo de control de alto nivel DS12 es un control sobre el proceso deTI y gestión del entorno físico que satisface el requisito de negocio deTI: proteger los activos deTI y la información del negocio, minimizando el riesgo de una interrupción del servicio
 Este objetivo de control está dirigido a proporcionar y mantener un entorno físico adecuado para proteger los activos deTI contra acceso, daño o robo.  Para ello es necesario implementar medidas de seguridad física, así como seleccionar y gestionar las instalaciones donde residen los elementos del CPD
 Así mismo es necesario medir su efectividad, para lo cual se utilizan los siguientes indicadores:  Tiempo sin servicio ocasionado por incidentes relacionados con el entorno físico  Número de incidentes ocasionados por fallos o vulnerabilidades de seguridad física  Frecuencia de la revisión y evaluación de los riesgos físicos
 El objetivo de control de alto nivel se descompone en los 5 objetivos que se verán a continuación:  Selección y diseño de los centros de proceso de datos  Medidas de seguridad física  Acceso físico  Protección contra factores ambientales  Gestión de instalaciones
 Debe realizarse teniendo en cuenta tanto los riesgos asociados a desastres naturales como a los provocados por el hombre  También se debe considerar la legislación aplicable, como las leyes y los reglamentos relativos a la seguridad y salud en el trabajo
 Deben estar alineadas con el requerimiento del negocio  Deben incluir pero no limitarse a:  Establecimiento de un perímetro y zonas de seguridad  Ubicación de los equipos críticos  Zonas de carga y descarga  Deben definirse las responsabilidades relativas a procedimientos de supervisión, informe y resolución de incidentes de seguridad física
 Se deben definir e implementar procedimientos para otorgar, limitar el acceso a locales, edificios y áreas de acuerdo a las necesidades del negocio, incluyendo los accesos en caso de emergencia  El acceso a locales, edificios y áreas debe:  Justificarse  Autorizarse  Registrarse  Supervisarse Esto es aplicable a todas las personas que acceden las instalaciones: personal, clientes, proveedores, visitantes.
 Se deben implementar medidas de protección contra factores ambientales  Deben instalarse dispositivos y equipos adecuados para la supervisión y control de entorno
 Debe incluir la gestión de equipos de comunicaciones y de suministro de energía, de acuerdo con :  las leyes y reglamentos aplicables  Los requerimientos técnicos y del negocio  Las especificaciones de los proveedores  Requisitos relativos a la seguridad y salud en el trabajo
 Esta norma se refiere a las buenas prácticas para la gestión de la seguridad de la información. Lo que propone esta norma se incluye en 2 apartes:  Seguridad física y del entorno  Control de acceso
 Perímetro de seguridad  Control físicos de entrada  Seguridad de oficinas, despachos e instalaciones  Protección contra amenazas externas y ambientales  Trabajo en áreas seguras  Área de acceso público y áreas de carga/descarga
 Instalación y protección de equipos  Suministro eléctrico  Seguridad del cableado  Mantenimiento de equipos  Seguridad de los equipos fuera de los locales de la organización  Seguridad en la reutilización, enajenación o desechos de equipos  Salida de las instalaciones
 Política de control de acceso  Gestión de accesos a usuarios  Gestión de privilegios  Revisión de derechos de acceso de usuarios  Equipo informático de usuario desatendido  Política de limpieza de escritorio y pantalla  Informática móvil y comunicaciones
 A la hora de diseñar e implantar un plan de seguridad física es necesario realizar un análisis de riesgos, para ellos determinaremos las amenazas existentes y calcularemos el nivel de riesgo intrínseco al que estamos expuestos e implantaremos las salvaguardas necesarias para alcanzar el nivel de riesgo asumido por la organización
 A continuación se referirá como desarrollar un par de controles de alto nivel con sus correspondientes controles detallados, para que sirva de ejemplo de como desarrollar el resto:  Perímetro de seguridad física  Control de entrada
 Para implementar este control de alto nivel, debemos detallar un serie de controles de bajo nivel organizados por capas  La existencia de un perímetro de seguridad implica la necesidad de unas medidas de protección del perímetro, el acceso al interior del perímetro debe realizarse a través de un área vigilada, con una clara separación del perímetro de las áreas que no se encuentran bajo nuestra responsabilidad y sean gestionadas por terceros
 Desarrollo del control:  Perímetro de seguridad física:  Protección del perímetro:  Perímetro claramente definido con una valla o muro  Construcción resistente  Puertas de acceso  Puertas de acceso reforzado  Puertas de acceso blindadas  Mínimo # de entradas
 Ventanas  Cristales opacos  Protección de conductos y aberturas  Sistema de detección de intrusión perimetral  Sistema de circuito cerrado deTV  Separación de áreas gestionadas por terceros
 Para implantar un control de entrada adecuado hay que tener presente que es necesario desplegar una serie de controles detallados que garanticen un adecuado control de los accesos físicos a las instalaciones, por ej.: una gestión de cierre de oficinas y locales
 Desarrollo de Control:  Control de los acceso físicos  Control de los accesos:  Procedimiento de control de acceso  Verificación previa de las autorizaciones de acceso del personal  Registro de los accesos  Revisión periódica del registro de accesos  Investigación de cualquier sospecha o intento de acceso físico no autorizado
 Sistema automáticos de control de acceso:  Alimentación redundante  Mecanismo de identificación  Basado en PIN o token  Basado en token y PIN  Basado en biometría  Basado en biometría y token  Revisión y mantenimiento periódicos  Sistema de detección de intrusión centralizado  Instalación por empresa autorizada  Alimentación redundante  Atendido por el personal  Protección de sabotaje …..
 Procura lograr la integridad de los activos humanos, materiales y lógicos de un CPD a través de la minimización del Riesgo de Fallo físico y garantizar la continuidad del servicio verificando la existencia de los controles internos requeridos.  Como cualquier auditoría, hay que seguir el circuito: Riesgo  Control  Pruebas
 Políticas, Normas y Planes de Seguridad emitidos por la Empresa o por Instituciones Públicas  Auditorías anteriores  Contratos de Seguros, de Proveedores y de Mantenimiento  Entrevistas con el personal del CPD (incluyendo seguridad)  Actas e Informes de peritos o consultores externos (p.e. seguridad estructural del edificio)  Pan de Contingencia y valoración de sus Pruebas  Informes sobre accesos y visitas  Informes sobre evacuaciones previas (simulacros y reales)  Políticas de Personal  Inventarios de Soportes (en especial copias de seguridad y cómo recuperarlas)
 La auditoría de seguridad física aplican los mismo principios y procedimientos que cualquier otro tipo de auditoría.  Igualmente las herramientas que se utilizan son las habituales en los procesos de auditoría  Las diferencias apreciables son:  Estamos auditando algo material que podemos ver y tocar  Los controles a auditar son complejos y pertenecen a diferentes áreas de conocimiento, la mayoría fuera del campo habitual de los informáticos
Por lo antes expuesto es necesario que el auditor disponga de una formación multidisciplinar básica –que le permita comprender y verificar el funcionamiento de los controles de SF-y de la colaboración de expertos en las diferentes ramas o materias implicadas en los controles de seguridad física para verificar en profundidad un control determinado
 Las preguntas formuladas aquí son un ejemplo como se puede construir una batería de preguntas para obtener evidencia del grado de implantación de los controles de seguridad física en una organización  En este caso el criterio que se ha seguido para agrupar los controles es el origen de la amenaza, otra manera de organizar el cuestionario es según la organización que lo propone
Categoría Ejemplo de pregunta Procedimientos generales Existe una política de seguridad física en la empresa y está actualizada? Control de acceso Se ha realizado un estudio de riesgo de intrusión en el edificio? Incendio Se ha realizado un estudio de los riesgos de incendio que cubra tanto la prevención como la protección? Agua Se ha hecho un estudio a cerca de la posibilidad de inundaciones en la zona? Suministro eléctrico Existe un sistema de alimentación ininterrumpida? Comunicaciones Existen sistemas de comunicación alternativos en caso de avería o fallo? HW/SW Existe un control de configuración del HW y del SW?
 La seguridad física y su auditoría son imprescindibles para poder garantizar la CIA de los CPD y comunicaciones  Para la ejecución de un ataque físico contra la información y los sistemas que la almacenan procesan o transmiten no son necesarios grandes conocimientos técnicos ni grandes inversiones, lo único necesario es la voluntad de hacer daño y la ocasión para intentarlo
 Los fenómenos naturales (terremotos, inundaciones, tormentas, etc.) y sus efectos, representan una de las mayores amenazas físicas a las que estás expuestos los CPD  A la auditoría física también le son aplicables las buenas prácticas y procedimientos generales de la auditoría de sistemas
 Para afrontar con éxito una auditoría de la seguridad física, el auditor necesita una formación básica multidisciplinar que le permita verificar y comprender el funcionamiento de los controles de seguridad física y contar con la ayuda y soporte de los expertos en las materias concretas, para poder auditar los aspectos técnicos de los controles

Recomendados

LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
La Auditoria FíSica
La Auditoria FíSicaLa Auditoria FíSica
La Auditoria FíSicaguesta5bc77
 
Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatosBlanca Lopez
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 

Recomendados

LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
La Auditoria FíSica
La Auditoria FíSicaLa Auditoria FíSica
La Auditoria FíSicaguesta5bc77
 
Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatosBlanca Lopez
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Físicaauli_torres
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Dictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasDictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasJose Alvarado Robles
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaMartin Zǝlɐzuoƃ
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Físicajosmal 7
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaLeidy Andrea Sanchez
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Seguridad física
Seguridad físicaSeguridad física
Seguridad físicaEliecer Espinosa
 
Auditoria ITIL
Auditoria ITILAuditoria ITIL
Auditoria ITILOsvaldo Gonzalez Guardia
 
Auditing SOX ITGC Compliance
Auditing SOX ITGC ComplianceAuditing SOX ITGC Compliance
Auditing SOX ITGC Complianceseanpizzy
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 
Seguridad fisica
Seguridad fisicaSeguridad fisica
Seguridad fisicaoswaldo chomba
 
Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Isabel Mantino
 

Más contenido relacionado

La actualidad más candente

Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Físicaauli_torres
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Dictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasDictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasJose Alvarado Robles
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Físicajosmal 7
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaLeidy Andrea Sanchez
 
Auditing SOX ITGC Compliance
Auditing SOX ITGC ComplianceAuditing SOX ITGC Compliance
Auditing SOX ITGC Complianceseanpizzy
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 

La actualidad más candente (20)

Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Física
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Dictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemasDictamen de la auditoria de sistemas
Dictamen de la auditoria de sistemas
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemas
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informática
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Física
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisa
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Seguridad física
Seguridad físicaSeguridad física
Seguridad física
 
Auditoria ITIL
Auditoria ITILAuditoria ITIL
Auditoria ITIL
 
Auditing SOX ITGC Compliance
Auditing SOX ITGC ComplianceAuditing SOX ITGC Compliance
Auditing SOX ITGC Compliance
 
Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y Sistemas
 

Destacado

Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Isabel Mantino
 
Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisicasandybanez
 
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]Websec México, S.C.
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 
Silabo de NTICs complemento
Silabo de NTICs complementoSilabo de NTICs complemento
Silabo de NTICs complementoDiego Palma
 
Exposicion modelos de control
Exposicion modelos de controlExposicion modelos de control
Exposicion modelos de controlYuddy Motta
 
Redacción de informes
Redacción de informesRedacción de informes
Redacción de informeslululady_123
 
SIG, Crimen y Seguridad. Análisis, Predicción y Prevención del Fenómeno Criminal
SIG, Crimen y Seguridad. Análisis, Predicción y Prevención del Fenómeno CriminalSIG, Crimen y Seguridad. Análisis, Predicción y Prevención del Fenómeno Criminal
SIG, Crimen y Seguridad. Análisis, Predicción y Prevención del Fenómeno CriminalARuizGar
 
Curso informe escrito de estadias tsu
Curso informe escrito de estadias tsuCurso informe escrito de estadias tsu
Curso informe escrito de estadias tsupryscyla Vital
 
Analisis criminal en la empresa privada.
Analisis criminal en la empresa privada.Analisis criminal en la empresa privada.
Analisis criminal en la empresa privada.cavalim
 
Casuistica en seguridad fisica
Casuistica en seguridad fisicaCasuistica en seguridad fisica
Casuistica en seguridad fisicaoswaldo chomba
 
Informe policial sobre Cascos
Informe policial sobre CascosInforme policial sobre Cascos
Informe policial sobre Cascosasturesinfo
 

Destacado (20)

Seguridad fisica
Seguridad fisicaSeguridad fisica
Seguridad fisica
 
Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005
 
Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisica
 
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
Seguridad física, mira mamá, como Jason Bourne [GuadalajaraCON 2013]
 
seguridad física
seguridad física seguridad física
seguridad física
 
Seguridad fisica
Seguridad fisicaSeguridad fisica
Seguridad fisica
 
Analisis De Seguridad
Analisis De SeguridadAnalisis De Seguridad
Analisis De Seguridad
 
¿Qué es una botnet?
¿Qué es una botnet?¿Qué es una botnet?
¿Qué es una botnet?
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
Da consultores
Da consultoresDa consultores
Da consultores
 
Consultoria seguridad angel olleros 00
Consultoria seguridad angel olleros 00Consultoria seguridad angel olleros 00
Consultoria seguridad angel olleros 00
 
Versos
VersosVersos
Versos
 
Silabo de NTICs complemento
Silabo de NTICs complementoSilabo de NTICs complemento
Silabo de NTICs complemento
 
Exposicion modelos de control
Exposicion modelos de controlExposicion modelos de control
Exposicion modelos de control
 
Redacción de informes
Redacción de informesRedacción de informes
Redacción de informes
 
SIG, Crimen y Seguridad. Análisis, Predicción y Prevención del Fenómeno Criminal
SIG, Crimen y Seguridad. Análisis, Predicción y Prevención del Fenómeno CriminalSIG, Crimen y Seguridad. Análisis, Predicción y Prevención del Fenómeno Criminal
SIG, Crimen y Seguridad. Análisis, Predicción y Prevención del Fenómeno Criminal
 
Curso informe escrito de estadias tsu
Curso informe escrito de estadias tsuCurso informe escrito de estadias tsu
Curso informe escrito de estadias tsu
 
Analisis criminal en la empresa privada.
Analisis criminal en la empresa privada.Analisis criminal en la empresa privada.
Analisis criminal en la empresa privada.
 
Casuistica en seguridad fisica
Casuistica en seguridad fisicaCasuistica en seguridad fisica
Casuistica en seguridad fisica
 
Informe policial sobre Cascos
Informe policial sobre CascosInforme policial sobre Cascos
Informe policial sobre Cascos
 

Similar a Semana 11 controles y auditoría de la seguridad física

Auditoria fisica
Auditoria fisicaAuditoria fisica
Auditoria fisica1416nb
 
Seguridad física y protección en centros de cómputo .pptx
Seguridad física y protección en centros de cómputo .pptxSeguridad física y protección en centros de cómputo .pptx
Seguridad física y protección en centros de cómputo .pptxIESTPPISCO
 
La Seguridad Fisica Primera Parte
La Seguridad Fisica Primera ParteLa Seguridad Fisica Primera Parte
La Seguridad Fisica Primera Partebrenda carolina
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 
Seg Inf Sem03
Seg Inf Sem03Seg Inf Sem03
Seg Inf Sem03lizardods
 
Lisby Seguridad Fisica y Logica Jose Marquez
Lisby Seguridad Fisica y Logica Jose MarquezLisby Seguridad Fisica y Logica Jose Marquez
Lisby Seguridad Fisica y Logica Jose MarquezJoseMarquez010711
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1RUBENP0RTILL0
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría FísicaMAC Cartuche
 
Enfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadEnfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadalexia almonte
 
seguridad de computo en la nube
seguridad de computo en la nubeseguridad de computo en la nube
seguridad de computo en la nubemargarita torres
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
SEGURIDAD FISICA ANTISECUESTROS KPIS.pptx
SEGURIDAD FISICA ANTISECUESTROS KPIS.pptxSEGURIDAD FISICA ANTISECUESTROS KPIS.pptx
SEGURIDAD FISICA ANTISECUESTROS KPIS.pptxrobertoplazamayorga
 

Similar a Semana 11 controles y auditoría de la seguridad física (20)

Auditoria fisica
Auditoria fisicaAuditoria fisica
Auditoria fisica
 
Seguridad física y protección en centros de cómputo .pptx
Seguridad física y protección en centros de cómputo .pptxSeguridad física y protección en centros de cómputo .pptx
Seguridad física y protección en centros de cómputo .pptx
 
La Seguridad Fisica Primera Parte
La Seguridad Fisica Primera ParteLa Seguridad Fisica Primera Parte
La Seguridad Fisica Primera Parte
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informatica
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisica
 
Lisby
LisbyLisby
Lisby
 
Seg Inf Sem03
Seg Inf Sem03Seg Inf Sem03
Seg Inf Sem03
 
Lisby Seguridad Fisica y Logica Jose Marquez
Lisby Seguridad Fisica y Logica Jose MarquezLisby Seguridad Fisica y Logica Jose Marquez
Lisby Seguridad Fisica y Logica Jose Marquez
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Física
 
Enfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadEnfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridad
 
seguridad de computo en la nube
seguridad de computo en la nubeseguridad de computo en la nube
seguridad de computo en la nube
 
Auditoria fisica
Auditoria fisicaAuditoria fisica
Auditoria fisica
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
 
SEGURIDAD FISICA ANTISECUESTROS KPIS.pptx
SEGURIDAD FISICA ANTISECUESTROS KPIS.pptxSEGURIDAD FISICA ANTISECUESTROS KPIS.pptx
SEGURIDAD FISICA ANTISECUESTROS KPIS.pptx
 

Más de edithua

Administración de redes
Administración de redesAdministración de redes
Administración de redesedithua
 
Semana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisionesSemana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisionesedithua
 
Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)edithua
 
Semana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de swSemana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de swedithua
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónedithua
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 

Más de edithua (7)

Administración de redes
Administración de redesAdministración de redes
Administración de redes
 
Semana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisionesSemana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisiones
 
Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)
 
Semana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de swSemana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de sw
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 

Último

La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxAleParedes11
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptELENA GALLARDO PAÚLS
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfMaryRotonda1
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfMARIAPAULAMAHECHAMOR
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinavergarakarina022
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 

Último (20)

Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
 
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.pptDE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdf
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Herramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdfHerramientas de Inteligencia Artificial.pdf
Herramientas de Inteligencia Artificial.pdf
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karina
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 

Semana 11 controles y auditoría de la seguridad física

  • 1. Prof. Ing. Edith Urdaneta
  • 2.  El estudio de la seguridad física se suele dividir en dos grandes bloques: Seguridad física y Seguridad lógica  Hoy en día la línea que separa ambos bloques es cada vez más difusa debido a que todos los elementos de las salvaguardas técnicas se utilizan tanto para proteger activos de carácter físico como lógico.
  • 3.  Todas las amenazas a la que está sometido un CPD, así como las medidas de protección y salvaguarda que se implantan en dicho sistema para garantizar la seguridad de información, se puede encuadrar en alguno de estos 2 bloques, por ello de habla de:  Amenaza de carácter lógico => Seguridad lógica  Amenaza de carácter físico => Seguridad física
  • 5.  Seguridad física tiene que garantizar la disponibilidad e integridad de equipos y datos, mientras que la seguridad lógica se centra casi exclusivamente en datos y añade un agravante más: la pérdida de confidencialidad e integridad, que no suele existir en los ataques físicos.
  • 6. Las amenazas de tipo lógico suelen comprometer: Confidencialidad, Integridad y Disponibilidad Las amenazas de tipo físico suelen comprometer en mayor medida la Disponibilidad aunque, también existen algunas que amenazan la Confidencialidad e Integridad
  • 7.  La seguridad lógica es la rama de la seguridad más conocida y a la que generalmente se le otorga mayor importancia, pero hay que tener en cuenta que los grandes incidentes de seguridad, –los que ponen en peligro la continuidad de servicios y hasta la existencia de la organización que los sufre- suelen estar comprendidos en el ámbito de la seguridad física
  • 8.  Dentro del ámbito de la seguridad física es sobradamente conocido el grave impacto de los desastres naturales  Sin olvidar que un ataque lógico a un CPD puede comprometer su funcionamiento y dejarlo fuera de servicio durante un tiempo + o – largo, un ataque físico puede dejarlo inoperativo para siempre
  • 9.  Para poder realizar un ataque lógico es necesaria una serie de herramientas y medios técnicos, además de conocimientos tecnológicos de cierto nivel  Para llevar a cabo un ataque físico, en la mayoría de los casos no suele ser necesario disponer de grandes medios, ni tener grandes conocimientos específicos
  • 10.  La amenaza más grave a la que está sujeto el HW es un ataque malintencionado y se suele dirigir contra el elemento más débil –habitualmente con menos protección- y que más impacto causa a la organización cuando es destruido  Por ello las salvaguardas a aplicar en contra de este tipo de ataques son:  Zonas de acceso restringido  Vigilantes armados  Detectores de intrusos
  • 11.  Evitar  Retrasar  Detectar  Defender (respuesta activa contra el hecho)
  • 12. Línea Consiste en…. 1era Evitar y retrasar la materialización de la amenaza 2da Medidas de seguridad física que permitan detectar los incidentes e informar de los mismos 3era Controles implantados minimicen los impactos en caso de materialización de las amenazas y permitan responder adecuadamente ante los incidentes de seguridad física
  • 13.  La seguridad física también debe basarse en el principio de defensa en profundidad => conjunto escalonado de medidas de seguridad que la garanticen y permitan una respuesta apropiada ante incidentes
  • 14. Obtener un adecuado grado de Seguridad Física que evite el Fallo o aminore sus consecuencias:  Control localización edificio donde está el CPD  Control localización CPD dentro del edificio  Sistemas contra incendios  Control de accesos  Duplicidad de medios  Duplicidad de localizaciones  Definir un Plan de Contingencia adecuado  …
  • 15. Ejecutar fielmente el Plan de Contingencia:  Plan de Recuperación frente a un Desastres (algo que llega a interrumpir el servicio)  Análisis previo de Riesgos Críticos en función de la Tolerancia soportada  Establecer Periodo Crítico de Recuperación  Ordenar por Criticidad las Aplicaciones y su necesidad de ser “levantadas”  Sistemas de Back-up (no necesariamente CPD alternativo)  ….  Posible existencia de un CPD alternativo
  • 17.  Si queremos disponer de una referencia de buenas prácticas en el campo de auditoría y control de los CPD podemos utilizar COBiT (Control Objectives for Information and related Technology), entre cuyos controles se contemplan aquellos relacionados con la seguridad física
  • 18.  El dominio Entrega y Soporte de la versión 4 de COBiT contempla aspectos relativo a la gestión de seguridad y continuidad de las operaciones e incluye un objetivo de control de alto nivel específico para la seguridad física y del Entorno: DS 12 Gestión del Entorno Físico  Este objetivo de control hace hincapié en que para una adecuada protección de elementos/personas que componen el CPD y CPD son necesarias instalaciones bien diseñadas y gestionadas
  • 19.  Los procesos de gestión del entorno físico deben incluir la definición de los requisitos que deben cumplir :  Los edificios y localizaciones donde vayan a residir los elementos de nuestro CPD y CPD,  La selección de locales e instalaciones  Diseño de los procesos necesarios para supervisar los factores ambientales  Gestionar el acceso físico a las instalaciones y recursos
  • 20.  Una gestión adecuada y efectiva del entorno reduce la frecuencia de las interrupciones del funcionamiento habitual del negocio, ocasionadas por daños a los equipos y al personal  Según COBIT el objetivo de control de alto nivel DS12 es un control sobre el proceso deTI y gestión del entorno físico que satisface el requisito de negocio deTI: proteger los activos deTI y la información del negocio, minimizando el riesgo de una interrupción del servicio
  • 21.  Este objetivo de control está dirigido a proporcionar y mantener un entorno físico adecuado para proteger los activos deTI contra acceso, daño o robo.  Para ello es necesario implementar medidas de seguridad física, así como seleccionar y gestionar las instalaciones donde residen los elementos del CPD
  • 22.  Así mismo es necesario medir su efectividad, para lo cual se utilizan los siguientes indicadores:  Tiempo sin servicio ocasionado por incidentes relacionados con el entorno físico  Número de incidentes ocasionados por fallos o vulnerabilidades de seguridad física  Frecuencia de la revisión y evaluación de los riesgos físicos
  • 23.  El objetivo de control de alto nivel se descompone en los 5 objetivos que se verán a continuación:  Selección y diseño de los centros de proceso de datos  Medidas de seguridad física  Acceso físico  Protección contra factores ambientales  Gestión de instalaciones
  • 24.  Debe realizarse teniendo en cuenta tanto los riesgos asociados a desastres naturales como a los provocados por el hombre  También se debe considerar la legislación aplicable, como las leyes y los reglamentos relativos a la seguridad y salud en el trabajo
  • 25.  Deben estar alineadas con el requerimiento del negocio  Deben incluir pero no limitarse a:  Establecimiento de un perímetro y zonas de seguridad  Ubicación de los equipos críticos  Zonas de carga y descarga  Deben definirse las responsabilidades relativas a procedimientos de supervisión, informe y resolución de incidentes de seguridad física
  • 26.  Se deben definir e implementar procedimientos para otorgar, limitar el acceso a locales, edificios y áreas de acuerdo a las necesidades del negocio, incluyendo los accesos en caso de emergencia  El acceso a locales, edificios y áreas debe:  Justificarse  Autorizarse  Registrarse  Supervisarse Esto es aplicable a todas las personas que acceden las instalaciones: personal, clientes, proveedores, visitantes.
  • 27.  Se deben implementar medidas de protección contra factores ambientales  Deben instalarse dispositivos y equipos adecuados para la supervisión y control de entorno
  • 28.  Debe incluir la gestión de equipos de comunicaciones y de suministro de energía, de acuerdo con :  las leyes y reglamentos aplicables  Los requerimientos técnicos y del negocio  Las especificaciones de los proveedores  Requisitos relativos a la seguridad y salud en el trabajo
  • 29.  Esta norma se refiere a las buenas prácticas para la gestión de la seguridad de la información. Lo que propone esta norma se incluye en 2 apartes:  Seguridad física y del entorno  Control de acceso
  • 30.  Perímetro de seguridad  Control físicos de entrada  Seguridad de oficinas, despachos e instalaciones  Protección contra amenazas externas y ambientales  Trabajo en áreas seguras  Área de acceso público y áreas de carga/descarga
  • 31.  Instalación y protección de equipos  Suministro eléctrico  Seguridad del cableado  Mantenimiento de equipos  Seguridad de los equipos fuera de los locales de la organización  Seguridad en la reutilización, enajenación o desechos de equipos  Salida de las instalaciones
  • 32.  Política de control de acceso  Gestión de accesos a usuarios  Gestión de privilegios  Revisión de derechos de acceso de usuarios  Equipo informático de usuario desatendido  Política de limpieza de escritorio y pantalla  Informática móvil y comunicaciones
  • 33.  A la hora de diseñar e implantar un plan de seguridad física es necesario realizar un análisis de riesgos, para ellos determinaremos las amenazas existentes y calcularemos el nivel de riesgo intrínseco al que estamos expuestos e implantaremos las salvaguardas necesarias para alcanzar el nivel de riesgo asumido por la organización
  • 34.  A continuación se referirá como desarrollar un par de controles de alto nivel con sus correspondientes controles detallados, para que sirva de ejemplo de como desarrollar el resto:  Perímetro de seguridad física  Control de entrada
  • 35.  Para implementar este control de alto nivel, debemos detallar un serie de controles de bajo nivel organizados por capas  La existencia de un perímetro de seguridad implica la necesidad de unas medidas de protección del perímetro, el acceso al interior del perímetro debe realizarse a través de un área vigilada, con una clara separación del perímetro de las áreas que no se encuentran bajo nuestra responsabilidad y sean gestionadas por terceros
  • 36.  Desarrollo del control:  Perímetro de seguridad física:  Protección del perímetro:  Perímetro claramente definido con una valla o muro  Construcción resistente  Puertas de acceso  Puertas de acceso reforzado  Puertas de acceso blindadas  Mínimo # de entradas
  • 37.  Ventanas  Cristales opacos  Protección de conductos y aberturas  Sistema de detección de intrusión perimetral  Sistema de circuito cerrado deTV  Separación de áreas gestionadas por terceros
  • 38.  Para implantar un control de entrada adecuado hay que tener presente que es necesario desplegar una serie de controles detallados que garanticen un adecuado control de los accesos físicos a las instalaciones, por ej.: una gestión de cierre de oficinas y locales
  • 39.  Desarrollo de Control:  Control de los acceso físicos  Control de los accesos:  Procedimiento de control de acceso  Verificación previa de las autorizaciones de acceso del personal  Registro de los accesos  Revisión periódica del registro de accesos  Investigación de cualquier sospecha o intento de acceso físico no autorizado
  • 40.  Sistema automáticos de control de acceso:  Alimentación redundante  Mecanismo de identificación  Basado en PIN o token  Basado en token y PIN  Basado en biometría  Basado en biometría y token  Revisión y mantenimiento periódicos  Sistema de detección de intrusión centralizado  Instalación por empresa autorizada  Alimentación redundante  Atendido por el personal  Protección de sabotaje …..
  • 41.  Procura lograr la integridad de los activos humanos, materiales y lógicos de un CPD a través de la minimización del Riesgo de Fallo físico y garantizar la continuidad del servicio verificando la existencia de los controles internos requeridos.  Como cualquier auditoría, hay que seguir el circuito: Riesgo  Control  Pruebas
  • 42.  Políticas, Normas y Planes de Seguridad emitidos por la Empresa o por Instituciones Públicas  Auditorías anteriores  Contratos de Seguros, de Proveedores y de Mantenimiento  Entrevistas con el personal del CPD (incluyendo seguridad)  Actas e Informes de peritos o consultores externos (p.e. seguridad estructural del edificio)  Pan de Contingencia y valoración de sus Pruebas  Informes sobre accesos y visitas  Informes sobre evacuaciones previas (simulacros y reales)  Políticas de Personal  Inventarios de Soportes (en especial copias de seguridad y cómo recuperarlas)
  • 43.  La auditoría de seguridad física aplican los mismo principios y procedimientos que cualquier otro tipo de auditoría.  Igualmente las herramientas que se utilizan son las habituales en los procesos de auditoría  Las diferencias apreciables son:  Estamos auditando algo material que podemos ver y tocar  Los controles a auditar son complejos y pertenecen a diferentes áreas de conocimiento, la mayoría fuera del campo habitual de los informáticos
  • 44. Por lo antes expuesto es necesario que el auditor disponga de una formación multidisciplinar básica –que le permita comprender y verificar el funcionamiento de los controles de SF-y de la colaboración de expertos en las diferentes ramas o materias implicadas en los controles de seguridad física para verificar en profundidad un control determinado
  • 45.  Las preguntas formuladas aquí son un ejemplo como se puede construir una batería de preguntas para obtener evidencia del grado de implantación de los controles de seguridad física en una organización  En este caso el criterio que se ha seguido para agrupar los controles es el origen de la amenaza, otra manera de organizar el cuestionario es según la organización que lo propone
  • 46. Categoría Ejemplo de pregunta Procedimientos generales Existe una política de seguridad física en la empresa y está actualizada? Control de acceso Se ha realizado un estudio de riesgo de intrusión en el edificio? Incendio Se ha realizado un estudio de los riesgos de incendio que cubra tanto la prevención como la protección? Agua Se ha hecho un estudio a cerca de la posibilidad de inundaciones en la zona? Suministro eléctrico Existe un sistema de alimentación ininterrumpida? Comunicaciones Existen sistemas de comunicación alternativos en caso de avería o fallo? HW/SW Existe un control de configuración del HW y del SW?
  • 47.  La seguridad física y su auditoría son imprescindibles para poder garantizar la CIA de los CPD y comunicaciones  Para la ejecución de un ataque físico contra la información y los sistemas que la almacenan procesan o transmiten no son necesarios grandes conocimientos técnicos ni grandes inversiones, lo único necesario es la voluntad de hacer daño y la ocasión para intentarlo
  • 48.  Los fenómenos naturales (terremotos, inundaciones, tormentas, etc.) y sus efectos, representan una de las mayores amenazas físicas a las que estás expuestos los CPD  A la auditoría física también le son aplicables las buenas prácticas y procedimientos generales de la auditoría de sistemas
  • 49.  Para afrontar con éxito una auditoría de la seguridad física, el auditor necesita una formación básica multidisciplinar que le permita verificar y comprender el funcionamiento de los controles de seguridad física y contar con la ayuda y soporte de los expertos en las materias concretas, para poder auditar los aspectos técnicos de los controles