Upload
tanya-lopez-lopez
View
217
Download
0
Embed Size (px)
Citation preview
8/15/2019 Auditoría a La Seguridad Física
1/22
AUDITORÍA A LA SEGURIDAD FÍSICA
MATERIAL PREPARADO PARA CICLO II-2015
POR DANIEL NEHEMÍAS REYES LOPEZ Y
JOSÉ FELIPE MEJÍA
AUDITORÍA DE SISTEMAS. ESCUELA DE CONTADURÍA PÚBLICA,FACULTAD DE CIENCIAS ECONÓMICAS, UNIVERSIDAD DE ELSALVADOR.
8/15/2019 Auditoría a La Seguridad Física
2/22
AUDITORÍA DE LA SEGURIDAD FÍSICA
Son todas aquellas medidas deseguridad aplicables a un sistemade información, que traten deproteger a este y a su entornotanto de las amenazas decarácter físico procedentes de lanaturaleza, de los propios medios
técnicos y de las personas.
8/15/2019 Auditoría a La Seguridad Física
3/22
SEGURIDAD FÍSICA VS SEGURIDAD
LÓGICA
Todas las amenazas a las que se somete un sistema y susmedidas de salvaguarda garantizan la seguridad de información,
se enfocan en estos bloques.
Las amenazas lógicas suelen comprometer la Confidencialidad,Integridad y Disponibilidad de la Información. Las físicas atacanen mayor medida la Disponibilidad, aunque de vez en cuando
amenazan las otras dos.
8/15/2019 Auditoría a La Seguridad Física
4/22
NORMAS BÁSICAS DE LA SEGURIDAD
FÍSICA Evitar
Retrasar
Detectar
Defender Principio de la defensa de profundidad
Primer línea evita y retrasa la materialización de las amenazas.
Segunda línea permite detectar incidentes e informar
Tercera línea construye controles implantados que minimizan impactos cuando sematerializan
8/15/2019 Auditoría a La Seguridad Física
5/22
COBIT . PROCESOS CATALIZADORES
GESTIÓN DEL ENTORNO FÍSICOEs necesario medir la efectividad de los planes utilizando losindicadores de:
Tiempo sin servicio ocasionado por incidentes relacionados conel entorno físico
Número de incidentes ocasionados por fallos o vulnerabilidadesde seguridad física
Frecuencia de revisión y evaluación de los riesgos físicos
8/15/2019 Auditoría a La Seguridad Física
6/22
GESTIÓN DEL ENTORNO FÍSICO
La selección y diseños de los centros de procesos de datos debenrealizarse teniendo en cuenta todos los riesgos asociados a
desastres naturales como los provocados, legislación aplicable,leyes y reglamentos relativos a seguridad y salud en el trabajo
Deben implementarse medidas alineadas con el entorno delnegocio
Deben definirse procedimientos para otorgar, limitar y revocar elacceso a locales, edificios y áreas de acuerdo con las necesidades
del negocio, este debe justificarse, autorizarse, registrarse y
supervisarse
8/15/2019 Auditoría a La Seguridad Física
7/22
ISO 27002: 2005 SEGURIDAD FÍSICA Y DEL
ENTORNO Perímetro de la seguridad: deben evaluarse para protegerse las áreas donde
se almacenan soportes de información Controles físicos de entrada Seguridad de oficinas, despachos e instalaciones Protección contra amenazas externas y ambientales Trabajo en áreas seguras Áreas de acceso público, carga y descarga Instalación y protección de los equipos Suministro eléctrico Seguridad del cableado
Mantenimiento de equipos Seguridad de los equipos fuera de los locales Seguridad en la reutilización, enajenación o desechado de equipos Salida de instalaciones
8/15/2019 Auditoría a La Seguridad Física
8/22
ISO 27002: 2005 SEGURIDAD FÍSICA Y DEL
ENTORNO
• Política de control de acceso• Gestión de accesos de usuarios
• Gestión de privilegios• Revisión de derechos de acceso a usuarios• Equipo informáticos de usuario desatendido• Políticas de limpieza de escritorio y pantalla• Informática móvil y comunicaciones
Elauditorevaluará
8/15/2019 Auditoría a La Seguridad Física
9/22
OTROS FACTORES A EVALUAR
Verificar la construcción de barreras físicas del suelo al techo.
Ventanas y puertas en áreas seguras, barreras adicionales y perimetralescon requisitos de seguridad
Evaluar como la empresa protege la amenaza de choque eléctrico,incendios, climatización, agua, interferencias, agentes químicos, entreotros
8/15/2019 Auditoría a La Seguridad Física
10/22
PERÍMETRO DE SEGURIDAD FÍSICA
Protección del perímetro debidamente señalizado
Construcción resistente
Puertas de acceso reforzadas, blindadas o acorazadas
Mínimo de número de entradas
Ventanas de fácil acceso con cristales blindados, barrotes rejas odetectores de rotura
Cristales opacos
Protección de conductos y aberturas, cielo falso, conductos de aire
Sistema de detección de intrusos
Sistema de circuito cerrado de TV (CCTV)
8/15/2019 Auditoría a La Seguridad Física
11/22
PERÍMETRO DE SEGURIDAD FÍSICA
Mecanismo de identificación mediante PIN, token, biometría ocombinación de ambas
Contratos de mantenimiento, seguros y garantías
Control de visitas (autorización para acceso, comprobación de laidentidad, registro de entrada/salida, escolta y revisión del registro devisitas)
8/15/2019 Auditoría a La Seguridad Física
12/22
PERÍMETRO DE SEGURIDAD FÍSICA
Obligatoriedad de uso de identificadores en el interior del recinto
Procedimientos adecuados para emisión, control, registro, baja ycancelación de identificadores
Empleo de diferentes tipos de identificadores con diseño difícil defalsificar, con fotografía y accesos cerrados en horas no laborales
Verificación de control de llaves, combinaciones o dispositivos deseguridad
8/15/2019 Auditoría a La Seguridad Física
13/22
INGENIERÍA SOCIAL COMO AMENAZA YPRUEBAS DE AUDITORÍA
Imitación a través de llamadas telefónicas
Dumpster diving (recolección urbana)
Shoulder surfing (sniffing sobre el hombro)
Piggybaking Técnicas de convencimiento
keyloggers
8/15/2019 Auditoría a La Seguridad Física
14/22
DISPOSITIVOS MÓVILES Y SEGURIDADFÍSICA
Dispositivos deben ser controlados por ser amenazas para capturardatos
Verificar que exista plan de acciones como amonestaciones por uso dedispositivos en los sitios de trabajo, deshabilitación de puertos USB u
otros, encriptar información Bluetooth desactivado, al igual que el infrarrojos
Contraseñas y medios de respaldo en línea
Llaves o candados, seguros, garantías, inventarios con ID´s
8/15/2019 Auditoría a La Seguridad Física
15/22
OTROS PROCEDIMIENTOS DE AUDITORÍA
Revisar políticas, procedimientos y estándares escritos
Revisar políticas de seguridad de acceso lógico
Verificar que exista concienciación y entrenamiento formal de seguridad
Procedimientos para los usuarios de la información y cómo guardan losdatos
Políticas de autorizaciones documentadas
8/15/2019 Auditoría a La Seguridad Física
16/22
OTROS PROCEDIMIENTOS DE AUDITORÍA
Evaluación de controles sobre recursos deproducción
Bitácora y reporte de las violaciones de accesoa las computadoras
Seguimiento a las violaciones de acceso
Evasión de seguridad y controlescompensatorios
8/15/2019 Auditoría a La Seguridad Física
17/22
EN GENERAL ¿QUÉ ABARCA SEGURIDADFÍSICA?
Programación Centro de cómputo Consolas y terminales de operador Cintoteca interna y externa Salas de almacenamiento y suministros Sala de control de entradas y salidas Closet de comunicaciones Equipo de telecomunicaciones Microcomputadoras y computadoras personales Fuentes de energía Impresoras Redes de área local
8/15/2019 Auditoría a La Seguridad Física
18/22
PRUEBAS DE CUMPLIMIENTO
Verificar las consideraciones de diseño de instalaciones: Paredes: resistencia al fuego
Techo: peso y resistencia al fuego
Piso: peso y no conductividad
Ventanas: a pruebas de rupturas Puertas: resistencia a fuego y violación
Sistema contra incendios
Tuberías
Fuentes de energía
Planes de contingencia y simulacros
8/15/2019 Auditoría a La Seguridad Física
19/22
PROCEDIMIENTOS DE CONTROL
Panel de control de alarmas
Detectores de humedad
Extintores manuales de incendio
Alarmas manuales de incendio
Detectores de humo
Sistema de supresión de incendios
Ubicación estratégica del centro de cómputo
Inspección periódica por bomberos
Paredes, piso y techo falsos a prueba de incendio
Protección de voltaje, UPS
Interruptor de energía de emergencia
Cableado y páneles resistentes al fuego
Prohibición de comer, fumar y beber dentro de instalaciones
Material de oficina resistente al fuego Ventilación adecuada
8/15/2019 Auditoría a La Seguridad Física
20/22
PROCEDIMIENTOS DE CONTROL
Ubicación estratégica de alarmas de incendio, que sea audible yconectada a alguna estación monitoreada
Los detectores de humo deberán estar en techo falso o bajo el mismo,audibles, conectados a estaciones, con suministro de energía suficientes
y complemento de sistema de supresión de incendio
8/15/2019 Auditoría a La Seguridad Física
21/22
PROCEDIMIENTOS DE CONTROL
Que el sistema de supresión de incendios posea rociadores de tuberíaseca, cargada o Halón (elimina oxígeno)
En los controles de humedad y temperatura que la humedad semantenga en un 40 y 60%, uso de alfombras y spray antiestáticas
Las paredes resistentes al fuego y que eviten propagación
8/15/2019 Auditoría a La Seguridad Física
22/22
PROCEDIMIENTOS DE CONTROL
Verificación del papel de guardias de seguridad, que posean fianza,solvencias, disponibles, entrenados para prevenir ingeniería social
Uso de animales: perros que sean leales, confiables, relación costobeneficio, atención veterinaria, seguro y responsabilidad
Escolta de visitantes Fianzas de personal de mantenimiento