Hackers: Una amenaza invisible

Hackers: SEGURDIDAD FISICA

Msc. Ing. Juan Pablo Barriga SapienciaLas organizaciones gastan millones de dlares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabn ms dbil de la cadena de seguridad: la gente que usa y administra los ordenadores K. Mitnick

http://www.informador.com.mx/1968/hackers

Tipos de seguridadSEGURIDAD LOGICASEGURIDAD DE LAS COMUNICACIONESSEGURIDAD FISICA Y AMBIENTAL

SEGURIDAD FISICA Y AMBIENTALAcceso no autorizadoDao, vandalismo o robo de equipos o documentosCopia o visualizacin de informacin sensibleAlteracin de equipos e informacin sensibleRevelacin de informacin sensibleDesastres naturales

Iso 27002 (9) o ISO 27001 (A9)A.9Seguridad fsica y ambientalA9.1reas segurasA9.1.1Permetro de seguridad fsicaSe debe utilizar permetros de seguridad(barreras tales como paredes y puertas de ingreso controlado o recepcionistas) para proteger reas que contienen informacin y medios de procesamiento de informacin.SIA9.1.2Controles de entrada fsicosSe deben proteger las reas seguras mediante controles de entrada apropiados para asegurar que slo se permita acceso al personal autorizado.SIA9.1.3Seguridad de oficinas, habitaciones y medios

Se debe disear y aplicar seguridad fsica en lasoficinas, habitaciones y medios.SIA9.1.4Proteccin contra amenazas externas y ambientales

Se debe disear y aplicar proteccin fsica contra dao por fuego, inundacin, terremoto, explosin, disturbios civiles y otras formas de desastre natural o creado por el hombre.SIA9.1.5Trabajo en reas seguras

Se debe disear y aplicar proteccin fsica ylineamientos para trabajar en reas seguras.ParcialA9.1.6reas de acceso pblico, entrega y cargaSe deben controlar los puntos de acceso como las reas de entrega y descarga y otros puntos donde personas no-autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislar de los medios de procesamiento de la informacin para evitar un acceso no autorizado.NONo se cuenta con un rea de entrega y carga de mercanca.A9.2SEGURIDAD DE LOS EQUIPOSA9.2.1Ubicacin y proteccin de equipos Los equipo de deben estar ubicados o protegidos para reducir el riesgo debido a amenazas o peligros del entorno y las oportunidades de acceso no autorizado.SIA9.2.2Servicio de suministrosLos equipo de deben estar protegidos contra fallas en el suministro de energa y otras anomalas causadas en los servicios de suministroSIA9.2.3Seguridad del cableado

el cableado de energa elctrica y telecomunicaciones que trasporta datos o presta soporte a los servicios de informacin deben estar protegidos contra interrupciones o daos SIA9.2.4Mantenimiento de los equiposEl equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridadSIA9.2.5Seguridad de los equipos fuera de las instalacionesSe debe aplicar seguridad al equipo fuera-del- local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organizacin.SIA9.2.6Seguridad de la reutilizacin o eliminacin de los equiposTodos los tems de equipo que contengan medios de almacenaje deben ser chequeados para asegurar que se haya removido o sobre-escrito de manera segura cualquier data confidencial y software con licencia antes de su eliminacin.SIA9.2.7Retiro de activosControlEquipos, informacin o software no deben ser sacados fuera de la propiedad sin previa autorizacin.SIlo que pasaBitcoras en papel de acceso al centro de datosCmaras de seguridad Control de accesoGafetes Porttiles Robadas en las oficinasComputadoras sin contraseasControl fsico de equipos Contraseas por defecto

Se deben realizar pruebas peridicas de que todo est seguro AUDITORIA

Seguridad ambiental ejemplo: Extintores de incendioRevisar mensualmente Ubicacin visible, fcil acceso libre de obstculosAltura no mayor a 1.5m del piso a la parte superior del extintorElegir el tipo adecuado y el tamao

Lock PickingLockpicking es el arte de abrir cerraduras sin su llave original utilizando ganzas u otro tipo de mtodos no destructivos. Es una forma de abrir cerraduras causando menos daos que con la fuerza bruta.

Ingeniera SocialEl arte del engao obtener informacin manipulando a las personasTodos queremos ayudar.El primer movimiento es siempre de confianza hacia el otro.No nos gusta decir No.A todos nos gusta que nos alaben.piggybackingConsiste simplemente en seguir a un usuario autorizado hasta un rea restringida y acceder a la misma gracias a la autorizacin otorgada a dicho usuario

Dumpster divingLa bsqueda de informacin valiosa en la basura es una prctica que puede resultar riesgosa para una empresa. All van a parar muchos datos importantes que figuran en notas, documentos confidenciales, configuraciones, e-mails, memorandos internos, computadoras en desuso, entre otras cosas.

Shoulder surfingLa prctica de mirar por encima del hombro de una persona.Cualquiera situado cerca de una persona que est accediendo a un sistema puede leer ms o menos claramente una clave tecleada.

eavesdroppingparar la oreja. En este caso, se trata de una tcnica para capturar informacin privilegiada afinando el odo cuando se est cerca de conversaciones privadas.

Key loggers lgicos y fsicosvideo loggerscontraseas por defectodispositivos mviles perdidosmemorias usb perdidascmaras de seguridad

Ciber security envolved https://www.youtube.com/watch?v=l_XOrcBxy-E

Que revisar?Alrededores de la compaaEdificioRecepcinServidores - Data CenterEstaciones de trabajoControl de Acceso biomtricosCableadoAcceso remotoCerradurasFases de la auditoria fsica - EDPAAFase 1 : Alcance de la auditoriaFase 2: Adquisicin de informacin generalFase 3 : Administracin y planificacinFase 4 : Plan de auditoriaFase 5 : Resultado de las pruebasFase 6 : conclusiones y comentariosFase 7 : Borrador del informeFase 8 : Discusin con los responsables del reaFase 9 : Informe FinalProblemas exposiciones ambientalesFallo total (apagn)Voltaje severamente reducido (cada de voltaje)Sobre voltajeInterferencia electromagntica (EMI)Controles para exposiciones ambientalesPaneles de alarmasDetectores de aguaExtintores manuales de incendioAlarmas manuales de incendiosDetectores de humoSistemas de supresin de incendiosUbicacin estratgica de la sala de datosProtectores de voltajeSAI - UPSProblemas de acceso fisicoAcceso no autorizadoDao, vandalismo o robo de documentosCopia o visualizacin de informacin sensibleAlteracin de equipos o informacin sensibleRevelacin de informacin sensibleChantajeFraude

Controles acceso fsicoCerraduras (pestillo, electrnicas, biomtricas)Registros manuales y digitalesTarjetas de identificacinCmaras de vigilanciaGuardias de seguridadAcceso controlado de visitantesBloqueo de estaciones de trabajoPunto nico de entrada controladoSistema de alarmaDistribucin segura de informesVentanas

Gracias!!!Hasta la prxima

Hasta la prxima