controles ambientales y controles de acceso fisico - seguridad física

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS Controles Ambientales y Controles de Acceso Fsico: Seguridad fsica,

Ing. Percy Bravo Balden


REAS SEGURASPermetro de Seguridad Control de Accesos Oficinas y Despachos El Trabajo en reas Seguras Zonas de Carga


OBJETIVO DE LAS REAS SEGURAS Impedir accesos no autorizados, daos e interferencia en las sedes e informacin de la empresa, por lo que se recomienda la implementacin de polticas de escritorios y pantallas limpias para reducir estos riesgos, adems las instalaciones de procesamiento de informacin crtica o sensible deben estar en reas protegidas con un permetro de seguridad definido por: vallas y controles de acceso apropiados. La proteccin debe ser proporcional a los riesgos identificados.


PERMETRO DE SEGURIDAD


PROTECCIN FSICALa proteccin fsica, puede llevarse a cabo mediante la creacin de diversas barreras fsicas Las sedes de la organizacin D O N D E Cada barrera establece un permetro de seguridad y cada uno de los cuales incrementa la proteccin total provista

Las instalaciones de procesamiento de informacin


QU ES UN PERMETRO DE SEGURIDAD? Un permetro de seguridad es algo delimitado por una barrera. Por Ej.

Una ParedUna puerta con acceso mediante tarjeta

Una persona en escritorio

Una oficina de recepcin atendida por personas

El emplazamiento y la fortaleza de cada barrera dependern de los resultados de una evaluacin de riesgos.

LINEAMIENTOS Y CONTROLESEl permetro de seguridad debe estar claramente definido Fsicamente slido


Es decir, no deben existir aberturas en el permetro o reas fciles de irrumpirpor ej., mediante mecanismos de control, vallas, alarmas, cerraduras, etc.

El permetro de un edificio o rea que contenga instalaciones de procesamiento de informacinTodas las puertas exteriores deben ser protegidas contra accesos no autorizados Debe existir un rea de recepcin atendida por personal u otros medios de control de acceso fsico al rea o edificio

Donde

El acceso a las distintas reas y edificios debe estar restringido exclusivamente al personal autorizado


LINEAMIENTOS Y CONTROLESLas barreras fsicas deben, si es necesario, extenderse desde el piso hasta el techo, a fin de impedir el ingreso no autorizado y la contaminacin ambiental por ejemplo, el ingreso de terceros, incendios e inundaciones.

Todas las puertas de incendio de un permetro de seguridad deben tener alarma y cerrarse automticamente.


CONTROLES DE ACCESO FSICO


Las reas protegidas deben ser resguardadas por adecuados controles de acceso que permitan garantizar que slo se admite el paso de personal autorizado a los sistemas de informacin y a las instalaciones de la empresa.

QU PERMITEN LOS CONTROLES DE ACCESO?

CONTROLESLos visitantes de reas protegidas deben ser supervisados o inspeccionados Y


Se debe permitir el acceso con La fecha y horario de su ingreso y egreso Slo propsitos especficos y autorizados, instruyndose al deben ser visitante sobre los avisos de registrados seguridad del rea y las tcticas de emergencia.

El acceso a la informacin sensible, y a las instalaciones donde son procesadas

d e b es e r

Controlado y limitado exclusivamente a las personas autorizadas. Se deben utilizar controles de autenticacin

E Tarjeta y nmero de j e identificacin personal, para m autorizar y validar todos los p accesos. l o

CONTROLESDebe mantenerse una pista protegida que permita auditar todos los accesos Todo el personal debe exhibir alguna identificacin visible y se lo debe alentar a cuestionar la presencia de desconocidos no escoltados y a quien no exhiba una identificacin


Se deben revisar y actualizar peridicamente los derechos de acceso a las reas protegidas




Daos ocasionados por :

Medidas de seguridad para las oficinas e instalaciones:


Se deben considerar los siguientes controles:Buena ubicacin de las instalaciones, en lugares donde no pueda acceder el pblico.

Puertas y Ventanas aseguradas, edificio con vigilancia continua.


Desarrollo de tareas en reas protegidas Para incrementar la seguridad de un rea protegida pueden requerirse controles y lineamientos adicionales. Esto incluye controles para el personal o terceras partes que trabajan en el rea protegida, as como para las actividades de terceros que tengan lugar all. Se debern tener en cuenta los siguientes puntos:

Puntos a considerar:El personal slo debe tener conocimiento de la existencia de un rea protegida, o de las actividades que se llevan a cabo dentro de la misma, segn el criterio de necesidad de conocer.Se debe evitar el trabajo no controlado en las reas protegidas tanto por razones de seguridad como para evitar la posibilidad de que se lleven a cabo actividades maliciosas. Las reas protegidas desocupadas deben ser fsicamente bloqueadas y peridicamente inspeccionadas. El personal del servicio de soporte externo debe tener acceso limitado a las reas protegidas o a las instalaciones de procesamiento de informacin sensible. A menos que se autorice expresamente, no debe permitirse el ingreso de equipos fotogrficos, de vdeo, audio u otro tipo de equipamiento que registre informacin


Aislamiento de las reas de entrega y carga


Acceso a personal identificado y autorizado.

reas de entrega diseadas para la fcil entrega del suministro.Qu Hacer? Puertas exteriores deben estar cerradas o aseguradas. El material debe ser inspeccionado y registrado antes de su ingreso y posterior uso.


Ubicacin y Proteccin del Equipamiento


Seguridad de los EquiposOBJETIVO

Reducir los riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado


Seguridad de los Equipos Las instalaciones se deben ubicar en un lugar de fcil supervisin Minimizar el acceso innecesario a las reas de trabajo Establecer polticas dentro de las instalaciones de los sistemas de informacin. Controles para minimizar el riesgo de amenazas potenciales Los tems que requieren proteccin especial deben ser aislados Monitorear las condiciones Ambientales


Seguridad de los Equipos Proteccin especial para los instrumentos ubicados en reas industriales. Considerar el impacto de un eventual desastre que tenga lugar en zonas prximas a la sede de la organizacin.


Riesgos de amenazas potenciales


SUMINISTROS DE ENERGIA

El equipo debe estar protegido

Contra posibles fallas elctricas y debe contar Con un adecuado suministro de energa De acuerdo a las especificaciones del Proveedor o fabricante

a) mltiples bocas de suministro para evitar un nico punto de falla en el suministro de energa

b)suministro de energaininterrumpible (UPS) c)generador de respaldo.


SEGURIDAD DEL CABLEADO

Las lneas de energa elctrica y telecomunicaciones que se conectan con las instalaciones de procesamiento de informacin deben ser subterrneas, siempre que sea posible, o sujetas a una adecuada proteccin alternativa. El cableado de red debe estar protegido contra interceptacin no autorizada o dao. Los cables de energa deben estar separados de los cables de comunicaciones para evitar interferencias.


Entre los controles adicionales a considerar para los sistemas sensibles o crticos se encuentran los siguientes instalacin de conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspeccin. uso de rutas o medios de transmisin alternativos uso de cableado de fibra ptica iniciar barridos para eliminar dispositivos no autorizados conectados a los cables.


Mantenimiento de Equipos

Debe ser en forma adecuada para asegurar su disponibilidad e integridad.


Seguridad Fuera

Debe ser autorizado por el nivel gerencial


Reutilizacin y Mantenimiento

Deben de ser controlados para asegurar que han sido eliminados o sobrescritos antes de su baja.


Controles Generales


Objetivo.Impedir la exposicin de la informacin a:2

Robos.

1

3

Fallos en las instalaciones de procesamiento.

Riesgos.

Clasificacin:


CONTROLES GENERALES

1) Poltica de escritorios y pantallas limpias

2) Salidas de Equipos o Informacin

1.- Poltica de escritorios AUDITORIA DE SISTEMAS y pantallas limpias.a)Proteger Adopcin de poltica de escritorios limpios Documentos en papel Dispositivos de almacenamiento removibles

b)

Adopcin de poltica de pantallas limpias

a) Acceso no

Reducir riesgos

autorizado

b) Prdida o daoinformacin

de la

AUDITORIA DE SISTEMAS Poltica de escritorios y pantallas limpias.-

Informacin

E X P U E S T A

Daos o destrozos

Escritorio

Medidas para evitar daos o destrozos en caso de haber desastres.1


Documentos en papel y medios informticos

Almacenados 2 Informacin sensible

Medidas para evitar daos o destrozos en caso de haber desastres.No3


Si

Computadoras personales e impresoras

4 Puntos de recepcin y envo de correo

Proteger

Medidas para evitar daos o destrozos en caso de haber desastres.5 Fotocopiadoras Deben estar Bloqueadas


6

Informacin sensible y confidencial

Una vez Impresa

Debe Retirarse


2.- Salidas de Equipos o Informacin1)

Equipamiento

Informacin

Software

No deben ser retirados de la organizacinsin

Autorizacin


2.- Salidas de Equipos o Informacin

1) Loggedout Debern ser: 2) Logged in

Equipos

HABLEMOS DE SEGURIDAD FSICA Y DEL ENTORNO!!!!!! Y si no lo hacemos, estemos preparados...



BIBLIOGRAFIASeguridad Fsica y del Entorno

controles ambientales y controles de acceso fisico - seguridad física

Documents