Este documento describe los componentes de la seguridad física y ambiental para proteger los sistemas de información. Describe 11 componentes de la seguridad física como mantener áreas seguras, proteger equipos, controlar el acceso físico y proteger oficinas e instalaciones. También describe amenazas externas como desastres naturales e internas como robos, daños, fraude y sabotaje que pueden comprometer la seguridad.

1. INSTITUTO TECNOLOGICO SUPERIOR DE LERDO<br />LICENCIATURA EN INFORMATICA<br />AUDITORIA INFORMATICA<br />UNIDAD 3<br />SEGURIDAD FISICA Y LOGICA<br />BRENDA CAROLINA PEREZ IBARRA<br />I.S.C. E.D. M.E. Ricardo Bustamante González<br />8 SEM 27/abril/10<br />TAREA 1: en forma diminuta documentar los componentes de la seguridad física, así mismo de la seguridad ambiental.<br />Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos --generalmente de prevención y detección-- destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. <br />Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta. <br />Componentes o acciones de la seguridad física:<br />1.- mantener las áreas seguras perímetro de seguridad física controles de acceso físico protección de oficinas, recintos e instalaciones trabajo en áreas seguras acceso a las áreas de distribución y recepción de carga <br />2.- seguridad del equipo protección del equipo y copias de seguridad protección contra fallas de energía seguridad del cableado mantenimiento de equipo, seguridad de equipos fuera de instalaciones controles al desechar o rehusar equipo<br />3.- mantener el área segura perímetro físico como establecer el perímetro físico creación de diversas barreras o medidas de control físico como: ubicar áreas dentro área de construcción físicamente sólida con mecanismos de control, vallas, alarmas, cerraduras. Un área de recepción atendida por personal o controles de acceso físico. Incluir barreras físicas adicionales desde el piso (real) hasta el techo (real) para contaminación ambiental. <br />4.- mantener el área segura perímetro físico alrededor de: instalaciones de procesamiento de información de suministro de energía eléctrica de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información <br />5.- mantener el área segura controles de acceso físico supervisar o inspeccionar a los visitantes a áreas protegidas y registrar la fecha y horario de su ingreso y egreso. Controles de autenticación para autorizar y validar todos los accesos. Ejemplos: personal de guardia con listado de personas habilitadas o por tarjeta magnética o inteligente y número de identificación personal (pin), etc. <br />6.- mantener el área segura controles de acceso físico identificación unívoca visible para todo el personal del área protegida y no permitir la presencia de desconocidos no escoltados. Revisar y actualizar en forma periódica los derechos de acceso a las áreas protegidas, documentados y firmados por el responsable de la unidad organizativa de la que dependa. Revisar los registros de acceso a las áreas protegidas y revisar derechos en forma periódica <br />7.- mantener el área segura protección de oficinas, recintos e instalaciones ubicar las instalaciones críticas en lugares a los cuales no pueda acceder personal no autorizado. Mantener un señalamiento mínimo, sin signos obvios, exteriores o interiores en instalaciones criticas. Ubicar el equipamiento de soporte, por ejemplo: impresoras, fotocopiadoras, máquinas de fax, dentro del área protegida. Las puertas y ventanas cerradas cuando no haya vigilancia, con protección externa a las ventanas si amerita <br />8.- mantener el área segura protección de oficinas, recintos e instalaciones implementar los siguientes mecanismos de control para la detección de intrusos: separar las instalaciones de procesamiento de información de aquellas administradas por terceros. Restringir el acceso público a las guías telefónicas y listados de teléfonos internos. Almacenar los materiales peligrosos o combustibles en lugares seguros. Almacenar los equipos redundantes y la información de resguardo (back up) en un sitio seguro y distante del lugar de procesamiento<br />9.- mantener el área segura trabajo en áreas seguras dar a conocer al personal las áreas protegidas sólo si es necesario para el desarrollo de sus funciones. Evitar la ejecución de trabajos por parte de terceros sin supervisión. Bloquear físicamente e inspeccionar periódicamente las áreas protegidas desocupadas. Limitar el acceso al personal del servicio de soporte externo a las áreas protegidas se mantendrá un registro de todos los accesos de personas ajenas. <br />10.- mantener el área segura trabajo en áreas seguras pueden requerirse barreras y perímetros adicionales para controlar el acceso físico entre áreas con diferentes requerimientos de seguridad. Impedir el ingreso de equipos de computación móvil, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información sin autorización. Prohibir comer, beber y fumar dentro de las instalaciones de procesamiento de la información. <br />11.- mantener el área segura acceso a las áreas de distribución y recepción de carga limitar el acceso a las áreas de depósito sólo al personal autorizado. La descarga de suministros se hace sin que el personal que realiza la entrega acceda a otros sectores del edificio. Proteger todas las puertas exteriores del depósito cuando se abre la puerta interna. Inspeccionar el material entrante. Registrar el material entrante. <br />Componentes o acciones de la seguridad ambiental<br />Seguridad ambiental: se refiere a los procedimientos existentes para controlar que efectos ambientales perjudiquen el procesamiento, los equipamientos y el personal. Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos.<br />Cubre trece controles y se encuentra subdividido en:<br />Áreas de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de locales edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga.<br />Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software.<br />TAREA 2: DOCUMENTAR LOS TIPOS DE AMENAZAS Y EJEMPLOS DE ELLAS (5 EJEMPLOS) QUE PUEDAN PERTURBAR LA SEGURIDAD FISICA.<br />AMENAZAS EXTERNAS<br />Desastres naturales (incluye a problemas o amenazas inconsideradas por las personas)<br />Incendios (cuando por descuido se quema basura al lado del centro de computo, o simplemente paso accidentalmente fuera de estas áreas)<br />Tormentas ( cuando llueve demasiado fuerte ya que puede ocasionar un corto circuito por la fuerza de la lluvia)<br />Inundaciones (invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial)<br />Señales de radar (as señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor)<br />AMENAZAS HUMANAS<br />Robo (cualquier persona externa o interna puede robar un dispositivo)<br />Daños al equipo (golpear el equipo de computo o dispositivo)<br />Darle mal uso al equipo<br />Fraude (personal se encarga de sacarle mas dinero a quien esta comprando producto “engaño”)<br />Sabotaje (lo hace una persona interna o externa a la empresa, las cintas pueden ser destruidas en pocos minutos y un centro de procesamiento puede ser destruido sin entrar a el)<br />AMENAZAS INTERNAS<br />Fallas provocadas por el personal para reiterar el equipo<br />Robo de información (realizada por empleados o personal interno dentro del contexto de la confianza)<br />Destrucción (puede ser de cableado para la red o simplemente dispositivos de las computadoras)<br />Copia o difusión (muchas de las veces pueden instalar programas piratas y ellos quedarse con el original o simplemente piratean el original y se quedan con la copia)<br />Robo (pueden robar cualquier cosa que este a su alcance ya sea empleado o personal de la empresa)<br />