View
222
Download
0
Category
Preview:
Citation preview
Seguridad Física en un centro de Cómputos
Danilo KonkolowiczMartín PérezRodrigo Sellustti
Definición
"Aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"
Citas
“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún sí, yo no apostaría mi vida por él”
Gene Spaford
“La seguridad de un sistema de cómputo se da cuando: Hay confianza en él El comportamiento del software es el esperado La información almacenada es inalterada y accesible”
Mario Farias-Elinos
“Given time, money, and motivation, any security system can be compromised”
Clasificación de Riesgos
Desastres Naturales
Desastres ocacionados por el hombre
Desastres Naturales
Incendios Inundaciones Instalación Eléctrica Ergonometría
Incendios
Alternativas para combatirlos: Agua, Dióxido de Carbono.
Incendio > Calor (Máx. 21 º C.) Impacto Observaciones del Auditor
Inundaciones
Por que pueden llegar a ocurrir. Inundación > Humedad (Máx. 65%.) Impacto Observaciones del Auditor
Instalaciones Eléctricas
Cables > Incendio | Picos de Alto Voltaje | Daños |
Interferencias Redes de datos de fácil acceso físico >
Intrusos > Baja confiabilidad de la información
Cortes de Luz Impacto Observaciones del Auditor
Ergonometría “La ergonometría es una disciplina que se ocupa de estudiar
la forma en que interactúa el cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa interacción sea lo menos agresiva y traumática posible. “
Factores: (Ambiente incómodo de trabajo | tareas
exigentes | horario de trabajo excesivo) > (lesiones físicas | agotamiento físico y/o
mental) >mal estar general del trabajador
Impacto Observaciones del Auditor
Desastres ocasionados por el hombre
Acceso al centro de cómputos
Personal no capacitado
Acciones hostiles
Acceso al centro de cómputos Control de acceso requiere correcta
identificación Procedimiento de acceso correcto Acceso por áreas Acceso por horario Control de visitas Restricción de objetos
Ingreso (sabotaje) Egreso (robo)
Tipos de controles de acceso Guardias de seguridad Detectores de metal Sistema biométricos. Permiten la identificación
de personas por características físicas Emisión de calor Huellas digitales Verificación de voz Vérificación de patrones oculares
Controles para seguridad física del lugar Detectores y dispositivos conectados a central
de respuesta que reaccionan a incidentes y dan aviso
Tipos de dispositivos Detectores infrarrojos y de micro’ondas Detectores de aberturas, roturas de vidrios y
vibraciones Detectores ultrasónicos Circuitos cerrados de televisión
Impacto Pérdida de activos
SustracciónDaños de equipamiento e información
Pérdida de confiabilidad, integridad y disponibilidad de información, fallas operativas del centro de cómputos, perdida de equipamiento
Observaciones del auditor Control de acceso tomando en cuenta áreas y
horarios Control de acceso a objetos Dispositivos de detección para seguridad extra Adecuado control de visitas Personal del centro de cómputos informado de
restricciones Personal de seguridad infrmado y capacitado Registro de accesos al centro de cómputos
Personal no capacitado Problemas causados de forma no intencional por
personal no capacitado Personal que trabaja en el centro de cómputos
idóneo en su tarea, estar capacitado en: las herramientas que utiliza el hardware que manipula
Personal de limpieza o seguridad Personal capacitado para situaciones de
emergencia
Impacto Pérdida de activos
Daños de equipamiento e información
Pérdida de confiabilidad, integridad y disponibilidad de información, fallas operativas del centro de cómputos, ya sea por daños en la información o el equipamiento
Observaciones del auditor Personal de cómputos debidamente
capacitado Personal no técnico que accede al centro
de cómputos debidamente capacitado Plan de capacitación de emergencias y
personal capacitado para actuar frente a una situación de emergencia
Acciones hostiles Robos
De hardware De tiempo cómputo De información
Fraudes Dejan al descubierto fallas en la seguridad lógica de
los datos Sabotaje
Se pueden utilizar elementos externos al centro de cómputos, por ejemplo imanes
Impacto Pérdida de activos
Sustracción de equipamiento o informaciónDaños de equipamiento e información
Pérdida de confiabilidad, integridad y disponibilidad de información, fallas operativas del centro de cómputos, pérdida de equipamiento
Observaciones del auditor Control de acceso a personas y objetos en
ingresos y egresos Adecuada restricción de acceso y
acciones sobre los datos Adecuada restricción de acciones y
acceso con el equipamiento Seguimiento de acciones que se realizan
sobre datos sensibles Sistema de respaldos adecuado
Observaciones generales de la Seguridad Física
Plan de Seguridad Fisica:Documento FormalRevisado una vez al añoTodo documentado (personas, fechas,
cambios, etc.)El auditor debe constatar que se cumpla todo
lo que dice en este documento
Relacion Seguridad Fisica - SCI
Los controles fomentan un incremento de efectividad y eficiencia
Los controles promueven una acentuación en la confiabilidad de los sistemas
Evaluacion de riesgos Seguridad – Tarea realizada por todos
Conclusión
Seguirdad absoluta?? Costos Security Trade Off
La auditoria
Recommended