Auditoría a La Seguridad Física

8/15/2019 Auditoría a La Seguridad Física

1/22

AUDITORÍA A LA SEGURIDAD FÍSICA

MATERIAL PREPARADO PARA CICLO II-2015

POR DANIEL NEHEMÍAS REYES LOPEZ Y

JOSÉ FELIPE MEJÍA

AUDITORÍA DE SISTEMAS. ESCUELA DE CONTADURÍA PÚBLICA,FACULTAD DE CIENCIAS ECONÓMICAS, UNIVERSIDAD DE ELSALVADOR.


2/22

AUDITORÍA DE LA SEGURIDAD FÍSICA

Son todas aquellas medidas deseguridad aplicables a un sistemade información, que traten deproteger a este y a su entornotanto de las amenazas decarácter físico procedentes de lanaturaleza, de los propios medios

técnicos y de las personas.


3/22

SEGURIDAD FÍSICA VS SEGURIDAD

LÓGICA

Todas las amenazas a las que se somete un sistema y susmedidas de salvaguarda garantizan la seguridad de información,

se enfocan en estos bloques.

Las amenazas lógicas suelen comprometer la Confidencialidad,Integridad y Disponibilidad de la Información. Las físicas atacanen mayor medida la Disponibilidad, aunque de vez en cuando

amenazan las otras dos.


4/22

NORMAS BÁSICAS DE LA SEGURIDAD

FÍSICA Evitar

Retrasar

Detectar

Defender Principio de la defensa de profundidad

Primer línea evita y retrasa la materialización de las amenazas.

Segunda línea permite detectar incidentes e informar

Tercera línea construye controles implantados que minimizan impactos cuando sematerializan


5/22

COBIT . PROCESOS CATALIZADORES

GESTIÓN DEL ENTORNO FÍSICOEs necesario medir la efectividad de los planes utilizando losindicadores de:

Tiempo sin servicio ocasionado por incidentes relacionados conel entorno físico

Número de incidentes ocasionados por fallos o vulnerabilidadesde seguridad física

Frecuencia de revisión y evaluación de los riesgos físicos


6/22

GESTIÓN DEL ENTORNO FÍSICO

La selección y diseños de los centros de procesos de datos debenrealizarse teniendo en cuenta todos los riesgos asociados a

desastres naturales como los provocados, legislación aplicable,leyes y reglamentos relativos a seguridad y salud en el trabajo

Deben implementarse medidas alineadas con el entorno delnegocio

Deben definirse procedimientos para otorgar, limitar y revocar elacceso a locales, edificios y áreas de acuerdo con las necesidades

del negocio, este debe justificarse, autorizarse, registrarse y

supervisarse


7/22

ISO 27002: 2005 SEGURIDAD FÍSICA Y DEL

ENTORNO Perímetro de la seguridad: deben evaluarse para protegerse las áreas donde

se almacenan soportes de información Controles físicos de entrada Seguridad de oficinas, despachos e instalaciones Protección contra amenazas externas y ambientales Trabajo en áreas seguras Áreas de acceso público, carga y descarga Instalación y protección de los equipos Suministro eléctrico Seguridad del cableado

Mantenimiento de equipos Seguridad de los equipos fuera de los locales Seguridad en la reutilización, enajenación o desechado de equipos Salida de instalaciones


8/22

ISO 27002: 2005 SEGURIDAD FÍSICA Y DEL

ENTORNO

• Política de control de acceso• Gestión de accesos de usuarios

• Gestión de privilegios• Revisión de derechos de acceso a usuarios• Equipo informáticos de usuario desatendido• Políticas de limpieza de escritorio y pantalla• Informática móvil y comunicaciones

Elauditorevaluará


9/22

OTROS FACTORES A EVALUAR

Verificar la construcción de barreras físicas del suelo al techo.

Ventanas y puertas en áreas seguras, barreras adicionales y perimetralescon requisitos de seguridad

Evaluar como la empresa protege la amenaza de choque eléctrico,incendios, climatización, agua, interferencias, agentes químicos, entreotros


10/22

PERÍMETRO DE SEGURIDAD FÍSICA

Protección del perímetro debidamente señalizado

Construcción resistente

Puertas de acceso reforzadas, blindadas o acorazadas

Mínimo de número de entradas

Ventanas de fácil acceso con cristales blindados, barrotes rejas odetectores de rotura

Cristales opacos

Protección de conductos y aberturas, cielo falso, conductos de aire

Sistema de detección de intrusos

Sistema de circuito cerrado de TV (CCTV)


11/22


Mecanismo de identificación mediante PIN, token, biometría ocombinación de ambas

Contratos de mantenimiento, seguros y garantías

Control de visitas (autorización para acceso, comprobación de laidentidad, registro de entrada/salida, escolta y revisión del registro devisitas)


12/22


Obligatoriedad de uso de identificadores en el interior del recinto

Procedimientos adecuados para emisión, control, registro, baja ycancelación de identificadores

Empleo de diferentes tipos de identificadores con diseño difícil defalsificar, con fotografía y accesos cerrados en horas no laborales

Verificación de control de llaves, combinaciones o dispositivos deseguridad


13/22

INGENIERÍA SOCIAL COMO AMENAZA YPRUEBAS DE AUDITORÍA

Imitación a través de llamadas telefónicas

Dumpster diving (recolección urbana)

Shoulder surfing (sniffing sobre el hombro)

Piggybaking Técnicas de convencimiento

keyloggers


14/22

DISPOSITIVOS MÓVILES Y SEGURIDADFÍSICA

Dispositivos deben ser controlados por ser amenazas para capturardatos

Verificar que exista plan de acciones como amonestaciones por uso dedispositivos en los sitios de trabajo, deshabilitación de puertos USB u

otros, encriptar información Bluetooth desactivado, al igual que el infrarrojos

Contraseñas y medios de respaldo en línea

Llaves o candados, seguros, garantías, inventarios con ID´s


15/22

OTROS PROCEDIMIENTOS DE AUDITORÍA

Revisar políticas, procedimientos y estándares escritos

Revisar políticas de seguridad de acceso lógico

Verificar que exista concienciación y entrenamiento formal de seguridad

Procedimientos para los usuarios de la información y cómo guardan losdatos

Políticas de autorizaciones documentadas


16/22

OTROS PROCEDIMIENTOS DE AUDITORÍA

Evaluación de controles sobre recursos deproducción

Bitácora y reporte de las violaciones de accesoa las computadoras

Seguimiento a las violaciones de acceso

Evasión de seguridad y controlescompensatorios


17/22

EN GENERAL ¿QUÉ ABARCA SEGURIDADFÍSICA?

Programación Centro de cómputo Consolas y terminales de operador Cintoteca interna y externa Salas de almacenamiento y suministros Sala de control de entradas y salidas Closet de comunicaciones Equipo de telecomunicaciones Microcomputadoras y computadoras personales Fuentes de energía Impresoras Redes de área local


18/22

PRUEBAS DE CUMPLIMIENTO

Verificar las consideraciones de diseño de instalaciones: Paredes: resistencia al fuego

Techo: peso y resistencia al fuego

Piso: peso y no conductividad

Ventanas: a pruebas de rupturas Puertas: resistencia a fuego y violación

Sistema contra incendios

Tuberías

Fuentes de energía

Planes de contingencia y simulacros


19/22

PROCEDIMIENTOS DE CONTROL

Panel de control de alarmas

Detectores de humedad

Extintores manuales de incendio

Alarmas manuales de incendio

Detectores de humo

Sistema de supresión de incendios

Ubicación estratégica del centro de cómputo

Inspección periódica por bomberos

Paredes, piso y techo falsos a prueba de incendio

Protección de voltaje, UPS

Interruptor de energía de emergencia

Cableado y páneles resistentes al fuego

Prohibición de comer, fumar y beber dentro de instalaciones

Material de oficina resistente al fuego Ventilación adecuada


20/22


Ubicación estratégica de alarmas de incendio, que sea audible yconectada a alguna estación monitoreada

Los detectores de humo deberán estar en techo falso o bajo el mismo,audibles, conectados a estaciones, con suministro de energía suficientes

y complemento de sistema de supresión de incendio


21/22


Que el sistema de supresión de incendios posea rociadores de tuberíaseca, cargada o Halón (elimina oxígeno)

En los controles de humedad y temperatura que la humedad semantenga en un 40 y 60%, uso de alfombras y spray antiestáticas

Las paredes resistentes al fuego y que eviten propagación


22/22


Verificación del papel de guardias de seguridad, que posean fianza,solvencias, disponibles, entrenados para prevenir ingeniería social

Uso de animales: perros que sean leales, confiables, relación costobeneficio, atención veterinaria, seguro y responsabilidad

Escolta de visitantes Fianzas de personal de mantenimiento

Documents

Auditoría a La Seguridad Física