seguridad fisica ing. yolfer hernández, cia seguridad y auditoria de sistemas ciclo 2009-0

SEGURIDAD FISICA

Ing. Yolfer Hernández, CIA

Seguridad y Auditoria de Sistemas

Ciclo 2009-0

Seguridad Física:• Definición, Riesgos, control de accesos• Exposiciones físicas y del medio ambiente.• Controles físicos y del medio ambiente.

Ejemplo: Protección mediante llaves de hardware

Temario - Seguridad Física

“La seguridad física es la aplicación de barreras físicas, procedimientos de control y de seguridad, como medidas prevención y corrección ante las amenazas o riesgos de los recursos informáticos, dentro y alrededor del Centro de Procesamiento, incluyendo a los que acceden en forma remota”.

Seguridad Física - Definición

Fuentes:- Huerta, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10.- ISO 17799 - British Standard [BS] 7799

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc.; la seguridad de la misma será nula si no se ha previsto como combatir un incendio.La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos se prevén, otros, no, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma.Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

Seguridad Física

1. Incendios

2. Inundaciones

3. Condiciones Climatológicas

4. Sismos

5. Señales de Radar

6. Instalaciones Eléctricas

7. Ergometría

Tipos de Riesgos

Acciones Hostiles

1. Robo2. Fraude3.Sabotaje4.Terrorismo5.Actos vandálicos

Areas Seguras.

Perímetro que cuenta con barreras de seguridad y controles de entradas apropiados para el procesamiento y tratamiento de información critica para la organización.Controles en:- Barreras, Puertas controladas- Controles físicos de entrada- Seguridad de Oficinas despachos y recursos- Procedimientos de trabajo en áreas seguras, etc.

Seguridad Física

Seguridad en los equipos:

Los equipos deben estar físicamente protegidos de las amenazas y riesgos del entorno para disminuir el riesgo de accesos no autorizados a los datos y protegerlo contra pérdidas o daños.

Controles en:

- Instalación y protección de los equipos

- Suministro eléctrico

- Seguridad del cableado

- Mantenimiento de los equipos

- Seguridad de los equipos fuera de los locales de la empresa

- Seguridad en el re-uso o eliminación de equipos.

Seguridad Física

Controles Generales:

Políticas de puesto de trabajo despejado y bloqueo de pantalla

Extracción de pertenencias (activos)

Seguridad Física

Exposiciones físicas y del medio ambiente

Instalaciones a ser protegidas:• Area de Programación .• Sala de Cómputo• Librerías de cintas, cintas, discos y todos

los medios magnéticos.• Suministros y cuartos de almacenamiento.• Facilidades de almacenamiento de archivos

de respaldo Off-Site.

Exposiciones físicas y del medio ambiente

• Sala de control de Entrada /Salida.• Armario de comunicaciones.• Equipo de telecomunicaciones.• Computadoras personales.• Fuentes de poder.• Líneas dedicadas.• Redes de Area Local.

Las tareas asociadas con los controles físicos y ambientales incluyen lo sgte:

Evaluación de los controles de seguridad física y ambiental

Prueba de Controles sobre protección ambiental y seguridad física.

Evaluación de la seguridad física del medio ambiente.

Considerar todos los componentes de los ambientes de procesamiento

Objetivos

1. Utilización de Guardias 2. Utilización de Detectores de

Metales 3. Utilización de Sistemas

Biométricos 4. Verificación Automática de Firmas5. Seguridad con Animales 6. Protección Electrónica

Control de Accesos

Controles físicos

• Bolting Door Locks (Llave de metal).

• Combination Door Locks (cipher locks) , keypad numerico o dial

• Electronic Door Locks (magnetico o chip en tarjeta plastica).

• Biometric Door Locks.• Logged Entry (numero de ingreso pregrabado no editable).

• Photo IDs.• Video Cameras.

• Security Guards.• Controlled Visitors Access• Bonded Maintenace Personnel (Vigilantes autorizados)

• Deadman Doors (doble puerta controlada).• Alarm System

Controles de medio ambiente

• Detectores de Agua• Extinguidores Hand-held• Detectores de humo.• Sistemas automaticos de apaga incendios• Localizacion estratégica de sala de CC.• Inspeccciones regulares de Bomberos

Otros productos de seguridad física

Identificación con radio-frecuencias

Llaves de hardware

Filtros de privacidad

Protección mediante llaves de hardware

Para puerto USB

Para puerto paralelo

Las llaves de hardware permiten

Establecer un anillo de seguridad física alrededor de las aplicaciones.

Controlar la ejecución de software entregado como demos o brindado a intermediarios.

Establecer mecanismos de acceso a partes de la aplicación a partir de elementos programados en la llave.

Protección mediante llaves de hardware

Aplicación protegida

Driver de la llave

Llave de hardware

La aplicación consulta al driver

El Driver envía la consulta a la llave

Driver envía la respuesta

a la aplicación

La llave genera la

respuesta a la consulta

Tipos de Protección

Integrada: El programador incorpora código de consulta a la llave.

Automática:Se utiliza un utilitario para crear un anillo de seguridad alrededor del ejecutable.Permite establecer fechas de expiración, límite de ejecuciones de la aplicación y contadores

Conclusiones

Tener controlado el ambiente y acceso físico permite:

• Disminuir siniestros

• Trabajar mejor manteniendo la sensación de seguridad

• Descartar falsas hipótesis si se produjeran incidentes

• Tener los medios para luchar contra accidentes