auditoria a la seguridad fisica de si

LOGO

AUDITORIA A LA SEGURIDAD FISICA

PARA SISTEMAS DE INFORMACION

Israel Rosales Marcó

www.cosimti.com

COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA

Introducción

La seguridad más obvia de todas…

Sin la seguridad física, ninguna otra medida de seguridad puede considerarse eficaz.

Estos elementos de CONTROL pueden servir como precedente y evidencia en casos legales.


Antecedentes

- Se cree que el candado fue inventado por los egipcios hace mas de 4,000 años.

- Seguridad fisica describe las medidas que evitan o detectan ataques de acceso a recursos o información almacenada en medios fisicos.


Norma ISO

El estandar ISO 27001 en SGSI, en el punto

A.9.1.1 Perimetro de Seguridad Fisica, indica:

Control

Los perimetros de seguridad (barreras como

paredes, puertas de entrada cotroladas por

tarjetas, escritorios de recepcion manejados por

personas) deben ser usados para proteger

areas que contienen informacion e instalaciones

de procesamiento de informacion.


Norma ISO

La ISO 27001 en su punto A.9.1.2 Controles de

entrada fisica, indica:

Control

Las areas seguras deben ser protegidas por

controles de entrada apropiados para asegurar

que solo personal autorizado tenga acceso

permitido.


• Las oficinas que se encuentran alrededor de la ER no generen riesgo.

• Controles de acceso físico a la ER

• Controles contra incendios (sensores, extintores de fuego, alarmas)

• Controles ambientales HVAC

• Control de organización de equipos

• Controles de disuasivos

Visita de inspección

para verificar:

Seguridad Perimetral a ER


La sala de equipos debe estar lo mas al centro posible (anillo 0)

Seguridad en Profundidad


Controles de Acceso Fisico

Tarjeta de Visita Recepción Mantraps

Tarjeta de

Aproximación

Cámaras

infrarrojas Lector de Huella Foto Ingreso

Registro de Salida

La Sala de Equipos no debe tener ventanas al exterior del

departamento de TI


Seguridad contra Fuego

Practica 1


Controles contra Incendios

Detextintor

automático

Luz de Emergencia Rociador de

Tubería

Seca

Sensores (Humo, fuego

y temperatura) Piso y

techo

Extintores

Manuales

(ABCD)

Gases como HALON y CO2 no son

permitidos

Abortar (FP)

Puerta Ignífuga

(Vidrio)


Calefacción, Ventilación y Aire Acondicionado.

Controles Ambientales - HVAC

Alta Humedad – Condensación (corrosión)

Alta Sequedad y Polución – Estática

2 Aires Acondicionado

de PRECISIÓN

(rotativos)

Segundo Display para

Registro de Humedad Y

Temperatura

Aire de Confort

(contingencia)

Alertas por

SNMP


Controles de Organización de Equipos

Peinado de cables Piso Falso

(ignífugo)

Organizadores Rieles Escalera

Linternas

Espacios (Pasillos Frios)


Controles de Electricidad

Provisión redundante de Energía


Controles Disuasivos

Señalética y

Etiquetado

Advertencia de Atención

Advertencia de

Peligro

Advertencias de Prohibición


El Servidor, por ser el factor mas importante

de cualquier red, debe tener un alto nivel de

seguridad.

Servidores

El servidor debe estar Enclosure y asegurado para

evitar movimiento físico.

Deshabilitar booteo de floppy disk y CD-ROM en el server, si es posible evitar que tengan estos drives.


El sistema más eficaz para mantener los backups

seguros es mantenerlos fuera del edificio

Backups afuera


Manual de Funciones del Oficial de Seguridad Física

Planes de Contingencia en los que participa activamente.

Norma de Asignación de claves y llaves.

Manual de procedimientos para:

Asignación de claves y llaves.

Control de ingreso y salida de personas.

Mantenimiento de equipos de seguridad.

Control de apertura y cierre de oficinas.

Solicitud de videos de seguridad.

Provisión de equipos de seguridad para sucursales.

Revisión diaria de funcionamiento de cámaras de seguridad.

Pruebas periódicas de equipos de alarma.

Documentacion


Ataques Físicos

Keyloggers físicos (demo)

Dumpster diving

Rogue Access Points

Modems y dispositivos USB

Shoulder Surfing

Piggybacking

Impersonation

Robo de laptops


Entendiendo Seguridad Fisica

La mayoria de las acciones de seguridad fisica intentan proteger la computadora de condiciones climaticas, incluso mas que la protección contra intrusos.

Describe las medidas a tomar para proteccion de personas, activos criticos, y sistemas contra amenazas deliberadas o accidentales.

Las personas provocan accidentes y cometen errores. Ejem: Rotulaciones incorrectas de equipos.


Controles de Seguridad Física

Pueden ser tres:

1) Físicos.- Son tomadas para asegurar activos. Ej.: Personal de seguridad.

2) Técnicos.- Son tomados para asegurar servicios y elementos que soportaTI.

3) Operacionales.- Procedimientos tomados antes de realizar alguna operacion para analizar y evaluar amenazas.


Controles en el Perímetro Externo

Paredes y Vallas

Puertas

CCTV con Cámaras infrarrojas

Vidrios polarizados en determinadas zonas.

Guardias de seguridad

Alarmas

Cercas electrificadas (< 0.1 mA)

VideoPorteros


Controles en el Perímetro de Acceso

Landscaping/senderos.- Patrones de tránsito para

guiar el flujo

Conos y Bollards


Controles en el Perímetro Interno

Iluminación

CCTV con monitoreo

Sensores de movimiento

Botones de Pánico

Alarma de ladrones

Chapas y candados

Guardias


Registro

Gafete

Escolta

Inspección

Salida

Pruebas de visitantes


Control Interno para Cámaras de Seguridad

Administración de Cámaras de Seguridad:

- Calidad de imagen y grabación

- Ángulo de ubicación y resolución a distancia.

- Configuración para sensibilidad de grabación.

- Escudos de filmación

- Sincronización de fecha y hora con el CORE

- Mantener almacenado el formato ORIGINAL, por un

tiempo normado.

- Backups de videograbaciones


Procedimientos para videograbaciones

¿Cómo se clasificarán y catalogarán las

VIDEOGRABACIONES para facilitar la

recuperación?

¿Quién tendrá acceso a las grabaciones?

¿Cuál es el procedimiento de acceso a las

imágenes?

Formularios?

¿Por cuánto tiempo se conservarán las

cintas antes de destruirlas?


PC Vs. DVR

VENTAJAS PC - El backup de grabaciones es mas rapido

- Facil monitoreo remoto

- Mejor control de grabaciones

- Facil de adicionar mas camaras

- Puede ser utilizado para brindar otros servicios similares

DESVENTAJAS DVR - El backup de grabaciones es bastante

lento

- Requiere mayores especificaciones para monitoreo remoto (plugins).

- Menor control de grabaciones

- Compleja actualizacion de fimware y software

DVR - Se puede implementar en espacios

reducidos

- Mas seguro ante virus

- Es un equipo dedicado.

PC - Requiere mayor espacio fisico

- Existe mayor riesgo de virus

- Susceptible a manipulacion de

usuarios no autorizados

- Menos resistente a cortes de

electricidad


Zonas restringidas

Acceso restringido a las areas de alto voltaje;

transformadores, Motor/Generador de electricidad,

Salas de UPSs.

Asegurar cajas de distribución de electricidad,

distribución de líneas telefónicas, tableros eléctricos y

de térmicos.

Racks para switches de distribución (backbone).


No debe ser obvio externamente, su acceso

es limitado al menor número de personas

Bajo Perfil de Instalaciones de TI


Estaciones de Trabajo

Este es el área donde la mayoría de los empleados trabaja.

Los empleados deben ser capacitados sobre seguridad física.

El área de trabajo puede ser físicamente asegurada tomando los siguientes pasos:

- Política de escritorios limpios

- Norma y procedimiento para el correcto apagado

- de la PC

- Contar con CCTV dirigido sobre todo a puertas

- Bloqueo de pantalla con contraseñas luego

de unos minutos sin actividad.

- Diseño Layout para estaciones de trabajo

- Evitar drives de medios removibles

- Picadora de papeles y medios magnéticos

- Inspecciones y entrevistas sobre ergonomia en el espacio de trabajo


Puntos críticos

Maquinas de Fax cerca del área de recepción deben ser bloqueadas cuando el personal no está.

Faxes obtenidos deben ser archivados debidamente.

Medios removibles no deben ser dejados en lugares públicos, y medios corruptos deben ser físicamente destruidos

Fotocopiadoras

Almacenar los materiales peligrosos o combustibles en lugares seguros


Dispositivos Biométricos

Ciencia y tecnología para análisis de datos biológicos.

Dispositivos biométricos consisten de un lector o dispositivos de escaneo, software que convierte la información escaneada en formato digital, y una ubicación de datos para ser analizada. BD que almacene datos biométricos para comparación con los previamente almacenados.

Algunos son:

- Lector de huella

- Escaneo de rostro.

- Escaneo de retina.

- Reconocimiento de voz


Técnicas de identificación biométrica

Lector de Huella

Crestas y surcos en la superficie de un dedo de la mano

se utilizan para identificar a una persona, las cuales

son únicas.

Estructura de Venas

El espesor y la ubicación de las venas son

analizadas para identificar personas


Técnicas de identificación biometrica

Escaneo de Retina

Análisis de la capa de vasos sanguíneos en

la parte posterior del ojo

Escaneo de Iris

Análisis de la parte coloreada del ojo

suspendido detrás de la córnea


Mecanismos de Autenticación

Algo que tu ERES:

- Uso de técnicas biométricas

Algo que tu CONOCES:

- Basado en el sistema tradicional de passwords

Algo que tu TIENES:

- Smart cards, token, matriz de coordenadas, etc.


Mecanismos Biometricos

Lectores de huellas son falsificados con facilidad. (Video)

Sistemas de reconocimiento de rostro pueden ser engañados con técnicas de enmascaramiento.

Reconocimiento de firma y geometría de la mano tienen problemas de coincidir con grandes BD.

Escaneo de retina puede dificultar exactitud si el usuario no se centra en un punto dado de exploración.

Máquinas para escaneo de Iris son muy caras en relación

Dinámica de la voz es propensa a la inexactitud ya que se basa en la producción de una plantilla de voz que se compara con una frase pronunciada


Medidas de precisión en Sistemas

Biometricos

FRR – Tasa de Rechazo FALSO

FAR – Tasa de Aceptación FALSO

CER – Tasa de Error Cruzado.


Smart Card y Token

Smart Card, tarjeta de plastico del tamaño de

una tarjeta de credito con un chip embebido que

puede ser cargado con datos.

Un Token es un pequeño dispositivo hardware

que el propietario lleva para acceder de manera

autorizada a la red. Provee un nivel extra de

seguridad, con método conocido como doble

factor de autenticación.


- Asignar una persona que será responsable de observar el mantenimiento de equipos. No dejar solos a los técnicos de la empresa de mantenimiento.

- Equipos informáticos en almacén también deben ser contabilizados.

- La limpieza de ER debe ser autorizada por el Gerente de Sistemas, este a su vez debe asignar un responsable que esta tarea se cumpla con normalidad.

- Evitar la ejecución de trabajos por parte de terceros sin supervisión

- Limitar el acceso a las áreas de depósito, solo a personal autorizado.

Mantenimiento de equipos


Wiretapping

Es la acción de escuchar secretamente las

conversaciones de otras personas conectando

un dispositivo escuchador para su teléfono.

Wiretap es un dispositivo que puede interpretar

ciertos patrones como sonido.

Inspeccionar rutinariamente todos los cables

que llevan los datos .

Proteger los cables usando cables blindados (Ej.

SFTP)

Nunca dejar los cables expuestos


Candados

Candados son usados para restringir acceso

físico a un activo.

Se lo incluye en puertas, ventanas, vehículos,

gabinetes, etc.

Tienen una gran variedad de niveles de

seguridad.

Pueden ser mecánicos o eléctricos


Lock Picking

Es el arte de desasegurar un candado sin uso de su

llave. (video)

Para evitar lock Picking:

- Usar un candado de buena calidad.

- No prestar las llaves a cualquiera, como

proveedores, técnicos, etc. Porque pueden

duplicar la llave.

- No revelar los códigos de candado.


Buena Practica:

Contratar a un especialista en puertas y

cerraduras para comprobar la seguridad de los

accesos

Al edificio y dentro del edificio

Lock Picking


Marcado de Edificios


Warchalking


Robo de Laptops

Utilizar Cable Acerado

Encriptación: TrueCrypt o bitlocker

El funcionario que sale con laptop debe ir

todo el tiempo acompañado del mismo.

No etiquetarlo con distintivos de la

empresa u otros que llamen la atención.

Tener mayor precaución en terminales de

buses, aeropuertos , hoteles, restaurants y

otros de turismo.

No llevarlo en el maletero del taxi.


Tecnologia Espía

Hacen mas complejo los procedimientos de

seguridad física.


Gestión de puertos USB

Herramientas:

DeviceLock, DeviceWall

Antivirus Bundle.

GFI EndPoint

CheckPoint


Existe una cobertura y

experiencia de seguros para

los gastos asociados con

algún evento de seguridad:

desastre, incendio, atraco,

etc.

Salida de Emergencia


Preguntas tipo

1. ¿La política de seguridad de información que

establece “a cada persona se le debe leer su

etiqueta en cada puerta controlada” trata cuál

de los métodos de ataque siguientes?

A. Piggybacking

B. Shoulder surfing

C. Dumpster diving

D. Impersonation


2. ¿cuál de los siguientes dispositivos de control

de acceso físico serían MÁS eficaces para una

instalación de alta seguridad?

A. Lector de tarjeta de proximidad

B. Escáner de huella de mano

C. Carné de identificación con foto

activado por rayo láser

D. Lector de tarjeta magnética


3. ¿Cuál de los controles siguientes es el MÁS

efectivo sobre el acceso de visitantes a un centro

de datos?

A. Los visitantes son escoltados

B. Se requieren distintivos de visitante

C. Los visitantes firman a la entrada

D. Los visitantes son vigilados donde están

por operadores


4. El auditor de SI se entera de que cuando el equipo fue

traído al centro de datos por un proveedor, el interruptor de

emergencia de corte de la energía fue presionado de

manera accidental y el UPS se activó. ¿Cuál de las

siguientes recomendaciones de auditoría debe el auditor

de SI sugerir?

A. Reubicar el interruptor de corte de la energía

B. Instalar cubiertas de protección

C. Escoltar a los visitantes

D. Registrar las fallas ambientales

LOGO Gracias !!

Israel Rosales Marco

[email protected]

[email protected]

mailto:[email protected]

mailto:[email protected]

auditoria a la seguridad fisica de si

Documents