Seguridad Física
-
Upload
gianfranco-palma-caffo-vega -
Category
Documents
-
view
16 -
download
0
description
Transcript of Seguridad Física
![Page 1: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/1.jpg)
SEGURIDAD FISICA
Ing. Yolfer Hernández
Seguridad y Auditoria de Sistemas
![Page 2: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/2.jpg)
Seguridad Física:• Definición, Riesgos, control de accesos• Exposiciones físicas y del medio ambiente.• Controles físicos y del medio ambiente.
Ejemplo: Protección mediante llaves de hardware
Temario - Seguridad Física
![Page 3: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/3.jpg)
“La seguridad física es la aplicación de barreras físicas, procedimientos de control y de seguridad, como medidas prevención y corrección ante las amenazas o riesgos de los recursos informáticos, dentro y alrededor del Centro de Procesamiento, incluyendo a los que acceden en forma remota”.
Seguridad Física - Definición
Fuentes:- Huerta, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10.- ISO 17799 - British Standard [BS] 7799
![Page 4: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/4.jpg)
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc.; la seguridad de la misma será nula si no se ha previsto como combatir un incendio.La seguridad física es uno de los aspectos menos considerados a la hora del diseño de un sistema informático, por ejemplo la detección de un atacante interno que intenta a acceder físicamente a una sala de operaciones.Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.
Seguridad Física
![Page 5: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/5.jpg)
Exposiciones físicas y del medio ambiente
Instalaciones a ser protegidas:• Salas de Programación.• Sala de Centro de Cómputo, Data-Center• Librerías de programas, procedimientos.• Suministros y cuartos de almacenamiento.• Facilidades de almacenamiento de archivos
de respaldo Off-Site.
![Page 6: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/6.jpg)
Exposiciones físicas y del medio ambiente
• Sala de control de Monitoreo.• Sala de racks de comunicaciones.• Equipo de telecomunicaciones.• Computadoras personales.• Fuentes de poder.• Líneas dedicadas.• Redes de Area Local.
![Page 7: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/7.jpg)
1. Incendios
2. Inundaciones
3. Condiciones Climatológicas
4. Sismos
5. Señales de Radar
6. Instalaciones Eléctricas
7. Ergometría
Amenazas del Entorno
![Page 8: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/8.jpg)
Acciones Hostiles
1. Robo2. Fraude3.Sabotaje4.Terrorismo5.Actos vandálicos
![Page 9: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/9.jpg)
Tipos de Riesgos
NCPI – Infraestructura física de red crítica
![Page 10: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/10.jpg)
Políticas de Seguridad en los puestos de trabajo
Selección de Personal
Acuerdos de Confidencialidad
Capacitación en seguridad de la información
Seguridad en el puesto: Escritorios y pantallas, extracción de pertenencias (activos), etc.
Controles Generales
![Page 11: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/11.jpg)
Perímetro que cuenta con barreras de seguridad y controles de entradas apropiados para el procesamiento y tratamiento de información critica para la organización.Controles en:- Barreras, Puertas controladas- Controles físicos de entrada- Seguridad de Oficinas despachos y recursos- Procedimientos de trabajo en áreas seguras, etc.
Control perimetral y zonal
![Page 12: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/12.jpg)
1. Utilización de Guardias 2. Utilización de Detectores de
Metales 3. Utilización de Sistemas
Biométricos 4. Verificación Automática de Firmas5. Seguridad con Animales 6. Protección Electrónica
Control de Accesos
![Page 13: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/13.jpg)
Control de Accesos
• Bolting Door Locks (Llave de metal).
• Combination Door Locks (cipher locks) , keypad numerico o dial
• Electronic Door Locks (magnetico o chip en tarjeta plastica).
• Logged Entry (numero de ingreso pregrabado no editable).
• Photo IDs.• Video Cameras.• Controlled Visitors Access• Deadman Doors (doble puerta controlada).• Alarm System
![Page 14: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/14.jpg)
Los equipos deben estar físicamente protegidos de las amenazas y riesgos del entorno para disminuir el riesgo de accesos no autorizados a los datos y protegerlo contra pérdidas o daños.
Controles en:
- Instalación y protección de los equipos
- Suministro eléctrico
- Seguridad del cableado
- Mantenimiento de los equipos
- Seguridad de los equipos fuera de los locales de la empresa
- Seguridad en el re-uso o eliminación de equipos.
Controles en los equipos
![Page 15: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/15.jpg)
Controles de Instalaciones
• Detectores de Agua• Extinguidores Hand-held• Detectores de humo.• Sistemas automaticos de apaga incendios• Localizacion estratégica de sala de CC.• Inspeccciones regulares de Bomberos
![Page 16: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/16.jpg)
Las tareas asociadas: Identificación de Riesgos y controles
asociados para protección ambiental y seguridad física.
Prueba de Controles.
Evaluación de la seguridad física del medio ambiente.
Medidas de ajuste.
Evaluación de Controles
![Page 17: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/17.jpg)
RESPUESTA A INCIDENTES Y ANOMALÍAS
• Comunicación de incidentes• Comunicación de debilidades en materia
de seguridad• Comunicación de anomalías del software• Aprendiendo de los incidentes• Proceso disciplinario
![Page 18: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/18.jpg)
Data Centers
La implementación de un Data Center considera:- Infraestructura instalaciones. Construcción y subsistemas como de climatización, eléctrico, protección contra incendios y otros.- Ubicación y Acceso- Infraestructura TI: hardware, software y telecomunicaciones. - Redundancia. - Adicionalmente considerar aspectos como recursos humanos y procesos asociados con capacidad de mantener funcionamiento en caso de accidentes o desastres naturales
El standard TIA-942 (Telecomunication Infrastructure Standard for Data Centers) incluye un Anexo informativo sobre los Grados de Disponibilidad ( Tier ).
Norma ANSI/TIA 942: (Telecomunications Industry Association)Es un edificio o porción de un edificio cuya función primaria es alojar una sala de cómputo y sus áreas de soporte, que permite el almacenamiento, manejo y distribución de los datos e información organizada alrededor de un área de conocimiento o un negocio particular.
![Page 19: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/19.jpg)
Data Centers
TierIV – Certificación de Fiabilidad y Seguridad en Diseño y ConstrucciónTier 1: Centro de datos Básico: Disponibilidad del 99.671% (28.8 hras off)Tier 2: Centro de datos Redundante: Disponibilidad del 99.741% (20 hras off)Tier 3: Centro de datos Concurrentemente Mantenibles: Disponibilidad del 99.982%. (1.6h)Tier 4: Centro de datos Tolerante a fallos: Disponibilidad del 99.995%. (0.8 hras off)Consideraciones:-Mantenimiento sin afectar servicios críticos-Soportar evento no planificado de “peor escenario” sin impacto crítico en carga-Múltiples líneas de distribución eléctrica-Refrigeración de múltiples componentes redundantes-Cortinas cortafuegos para protección de incendios-Instalaciones críticas en sobre rasante, para evitar inundaciones
Ejm. Data Center BBVA Tres Cantos – España 3.Mar.2012 1ero en España y 13avo en el mundo22.Ago.2012 Telconet – Ecuador, primero en LatinoAmerica http://uptimeinstitute.com/TierCertification/certMaps.php
![Page 20: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/20.jpg)
Data Center del futuro
![Page 21: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/21.jpg)
Conclusiones
Tener controlado el ambiente y acceso físico permite:
• Disminuir siniestros
• Trabajar mejor manteniendo la sensación de seguridad
• Descartar falsas hipótesis si se produjeran incidentes
• Tener los medios para luchar contra accidentes
![Page 22: Seguridad Física](https://reader030.fdocumento.com/reader030/viewer/2022033105/563db977550346aa9a9d9759/html5/thumbnails/22.jpg)
Conclusiones
• Hoy día pueden operar los sistemas de seguridad lógica y física en conjunto, comunicando y compartiendo datos para dar respuestas costo efectivas a una seguridad incrementada.
• Pronto serán predominante aceptables solo aquellos sistemas plenamente integrados en 1 única interfase de gerenciamiento de identidades de usuarios.
• E$ recomendable con$iderar aquellos que habilitan e$ta integración.