5to dominio
Post on 26-Jul-2015
115 Views
Preview:
TRANSCRIPT
SEGURIDAD FÍSICA Y DEL ENTORNO
ALUMNA: OCAÑA ESCOBAR Jesenia Beatriz
SEGURIDAD FÍSICA Y DEL ENTORNO
Responde a la necesidad de proteger las áreas, el equipo
y controles generales
ÁREAS SEGURAS
OBJETIVOS
Evitar el acceso físico no autorizado, daños o intromisiones en las
instalaciones y a la información de la organización.
PRÍNCIPIOS
Los servicios de procesamiento de información sensible deberían ubicarse en áreas seguras y protegidas en un perímetro de seguridad definido por barreras y controles de entrada adecuados. Debe estar protegidas físicamente contra accesos no autorizados, daños e interferencias.
CONTROL: Los perímetros de seguridad
(como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deberían utilizarse para proteger las áreas que contengan información y recursos para su procesamiento.
SOLUCIÓN:ASIS INTERNATIONAL:
SISTESEG:
PERIMETRO DE SEGURIDAD FÍSICA
Ejemplo de política de seguridad física en español de SISTESEG
Guía en inglés sobre medidas de seguridad física
CONTROLES FÍSICOS DE ENTRADA
Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que garanticen el acceso únicamente al personal autorizado.
CONTROL: SOLUCIÓN:APC
INTECO
Documento técnico en inglés de APC sobre control de acceso físico a infraestructuras críticas
Guía de INTECO y Anova sobre el uso de video vigilancia en distintos entornos, la legislación aplicable y sus implicaciones en materia de protección de datos personales.
SEGURIDAD DE OFICINAS, DESPACHOS Y RECURSOS
CONTROL: SOLUCIÓN:
Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.
CNI
OFICINA NACIONAL DE SEGURIDAD
NS/03: Seguridad física de instalaciones de almacenamiento de información clasificada en la administración pública española. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España.
OR-ASIP-01-01.02: Orientaciones para el plan de protección de una zona de acceso restringido. Oficina Nacional de Seguridad de España.
OR-ASIP-01-02.02: Orientaciones para la constitución de zonas de acceso restringido. Oficina Nacional de Seguridad de España.
PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y DEL ENTORNO
CONTROL:
Se debería designar y aplicar medidas de protección física contra incendio, inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano
SOLUCIÓN:
APC: Documento técnico en inglés de APC sobre protección contra incendios en infraestructuras críticas.
Diversos documentos técnicos de APC en inglés y español sobre refrigeración de CPDs.
UPTIME
INSTITUTE: The Uptime Institute es una organización que publica
estándares y mantiene un esquema de certificación para la mejora del grado de disponibilidad de centros de proceso de datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV).
CONTROL: Se debería diseñar y aplicar
protección física y pautas para trabajar en las áreas seguras.
TRABAJOS EN AREAS SEGURAS
ÁREAS AISLADAS DE CARGAS Y DESCARGAS
CONTROL:
Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la información.
SEGURIDAD DE LOS EQUIPOS
OBJETIVOS
Evitar la pérdida, daño, robo o puesta en peligro de los activos y interrupción de las actividades de la organización.
. Deberían protegerse los equipos contra las amenazas físicas y ambientales. La protección del equipo es necesaria para reducir el riesgo de acceso no autorizado a la información y su protección contra pérdida o robo.Así mismo, se debería considerar la ubicación y eliminación de los equipos.Se podrían requerir controles especiales para la protección contra amenazas físicas y para salvaguardar servicios de apoyo como energía eléctrica e infraestructura del cableado
PRÍNCIPIOS
INSTALACIÓN Y PROTECCIÓN DE EQUIPOS
.
El equipo debería situarse y protegerse para reducir el
riesgo de materialización de las amenazas del entorno, así
como las oportunidades de acceso no autorizado
CONTROL:
APC
Uptime Institute
TIA
NFPA
Documentos técnicos de APC en inglés y español sobre arquitectura de CPDs.Documentos técnicos de APC en inglés sobre monitorización y control de CPDs
The Uptime Institute es una organización que publica estándares y mantiene un esquema de certificación para la mejora del grado de disponibilidad de centros de proceso de datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV).
Estándar de la Telecommunications Industry Association en inglés que establece requisitos para las infraestructuras de comunicaciones en centros de proceso de datos.
NFPA 75 es el estándar de la National Fire Protection Association para la protección de equipos TI: construcción de edificios, protección anti-incendios, sistemas de extinción, sistemas eléctricos, refrigeración, etc. Versiones en inglés y en español.NFPA 76 es el estándar de la National Fire Protection Association para la protección contra incendios de instalaciones de telecomunicaciones. Versiones en inglés y en español.Larga lista de estándares relacionados con la seguridad contra el fuego de
la National Fire Protection Association. Versiones en inglés y en español.
SOLUCIÓN:
ANIXTER
Guía en inglés de la empresa Anixter sobre infraestructuras de centros de proceso de datos.
SUMINISTRO ELÉCTRICO
Se deberían proteger los equipos contra fallos en el
suministro de energía u otras anomalías eléctricas en los equipos de apoyo.
CONTROL:
APC
T2APP
Documento técnico de APC con explicaciones sobre tipos de SAI (sistemas de alimentación ininterrumpida)Documentos técnicos de APC sobre alimentación eléctrica, SAIs, eficiencia, distintos tipos de cálculos, etc.
Documento técnico de T2APP sobre problemas de suministro eléctrico, soluciones, cálculo de la carga, tipos de SAI (sistemas de alimentación ininterrumpida), mantenimiento de un SAI, etc.
SOLUCIÓN:
SEGURIDAD DEL CABLEADO
Se debería proteger el cableado de energía y de telecomunicaciones que
transporten datos o soporten servicios de información contra
posibles interceptaciones o daños.
CONTROL:
TIA
ANIXTER
Guía técnica en inglés de la empresa Anixter que resume el contenido de diferentes estándares de cableado de redes.Guía técnica en inglés de la empresa Anixter de instalación de cableado de redes.Guía técnica en inglés de la empresa Anixter de cableado de redes en plantas industriales.
Estándar de la Telecommunications Industry Association en inglés que establece requisitos para las infraestructuras de comunicaciones en centros de proceso de datos.
SOLUCIÓN:
MANTENIMIENTO DE EQUIPOS
Se deberían mantener adecuadamente los
equipos para garantizar su continua disponibilidad e
integridad.
CONTROL:
APC
CCleaner
System Ninja
Documento técnico de APC en español sobre mantenimiento preventivo de CPDs
Herramienta para la limpieza de Windows. Protección en privacidad online and aporta rapidez y seguridad en los ordenadores
Herramienta para la limpieza de Windows eliminado todo tipo de archivos temporales como cachés de juegos, historiales, cookies, dumps de memoria, archivos abiertos recientemente. Dispone de funcionalidades extras como un administrador de procesos, un lector de hashes, información detallada sobre el hardware y un gestor de programas de inicio, útil para eliminar programas innecesarios que se cargan con Windows consumiendo recursos.
SOLUCIÓN:
SEGURIDAD DE EQUIPOS FUERA DE LOS LOCALES DE LA ORGANIZACIÓN
Se debería aplicar seguridad a los equipos que se encuentran
fuera de los locales de la organización considerando los
diversos riesgos a los que están expuestos.
CONTROL:
INTECO
Wikipedia
OSI
Symantec
Guía de Inteco para proteger y usar de forma segura el teléfono móvil
Consideraciones sobre Kensington lock para equipos portátiles
Consejos de seguridad para portátiles de la Oficina de Seguridad del Internauta.
Consejos de Symantec para la protección contra el robo de portátiles.
SOLUCIÓN:
SEGURIDAD EN LA REUTILIZACIÓN O ELIMINACIÓN DE EQUIPOS
Debería revisarse cualquier elemento del equipo que contenga dispositivos de
almacenamiento con el fin de garantizar que cualquier dato
sensible y software con licencia se haya eliminado o sobrescrito con seguridad
antes de la eliminación
CONTROL:
DARIK'S BOOT AND NUKE
Heidi-Eraser
Hardwipe
Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita- auto arrancable que permite hacer un borrado seguro del disco duro completo de un equipo (operación que no sería posible si se inicia el equipo con el sistema operativo instalado en ese mismo disco).
Herramienta open source de borrado seguro
Herramienta gratuita de borrado seguro.
SOLUCIÓN:
NATIONAL SECURITY AGENCY
NIST
Los productos de estas listas reunen los requisitos especificos de la NSA para la desinfección, destrucción o eliminización de dispositivos que contengan información sensible o clasificada.
La guía número 88 de la serie NIST SP800 ayuda a las organizaciones en la implementación de un programa de sanitización de medios con las técnicas adecuadas y aplicables y los controles para la desinfección y eliminación teniendo en cuenta la clasificación de seguridad de la confidencialidad del sistema asociado.
INTECO
Guía sobre almacenamiento y borrado seguro de información: aborda cuestiones como por qué se debe controlar la información en la empresa, cómo se almacena dicha información en los dispositivos de almacenamiento más comunes, en qué consiste la recuperación en caso de pérdida y qué debe hacerse si se quiere eliminar de modo permanente la información. Disponible la guía completa en castellano e inglés y la reseña de la misma en catalán, euskera, gallego y valenciano.
TRASLADOS DE ACTIVOS
No deberían sacarse equipos, información o software fuera del local
sin una autorización
CONTROL:
top related