SEGURIDAD FISICA

Ing. Yolfer Hernández

Seguridad y Auditoria de Sistemas

Seguridad Física:• Definición, Riesgos, control de accesos• Exposiciones físicas y del medio ambiente.• Controles físicos y del medio ambiente.

Ejemplo: Protección mediante llaves de hardware

Temario - Seguridad Física

“La seguridad física es la aplicación de barreras físicas, procedimientos de control y de seguridad, como medidas prevención y corrección ante las amenazas o riesgos de los recursos informáticos, dentro y alrededor del Centro de Procesamiento, incluyendo a los que acceden en forma remota”.

Seguridad Física - Definición

Fuentes:- Huerta, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10.- ISO 17799 - British Standard [BS] 7799

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc.; la seguridad de la misma será nula si no se ha previsto como combatir un incendio.La seguridad física es uno de los aspectos menos considerados a la hora del diseño de un sistema informático, por ejemplo la detección de un atacante interno que intenta a acceder físicamente a una sala de operaciones.Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

Seguridad Física

Exposiciones físicas y del medio ambiente

Instalaciones a ser protegidas:• Salas de Programación.• Sala de Centro de Cómputo, Data-Center• Librerías de programas, procedimientos.• Suministros y cuartos de almacenamiento.• Facilidades de almacenamiento de archivos

de respaldo Off-Site.

Exposiciones físicas y del medio ambiente

• Sala de control de Monitoreo.• Sala de racks de comunicaciones.• Equipo de telecomunicaciones.• Computadoras personales.• Fuentes de poder.• Líneas dedicadas.• Redes de Area Local.

1. Incendios

2. Inundaciones

3. Condiciones Climatológicas

4. Sismos

5. Señales de Radar

6. Instalaciones Eléctricas

7. Ergometría

Amenazas del Entorno

Acciones Hostiles

1. Robo2. Fraude3.Sabotaje4.Terrorismo5.Actos vandálicos

Tipos de Riesgos

NCPI – Infraestructura física de red crítica

Políticas de Seguridad en los puestos de trabajo

Selección de Personal

Acuerdos de Confidencialidad

Capacitación en seguridad de la información

Seguridad en el puesto: Escritorios y pantallas, extracción de pertenencias (activos), etc.

Controles Generales

Perímetro que cuenta con barreras de seguridad y controles de entradas apropiados para el procesamiento y tratamiento de información critica para la organización.Controles en:- Barreras, Puertas controladas- Controles físicos de entrada- Seguridad de Oficinas despachos y recursos- Procedimientos de trabajo en áreas seguras, etc.

Control perimetral y zonal

1. Utilización de Guardias 2. Utilización de Detectores de

Metales 3. Utilización de Sistemas

Biométricos 4. Verificación Automática de Firmas5. Seguridad con Animales 6. Protección Electrónica

Control de Accesos

Control de Accesos

• Bolting Door Locks (Llave de metal).

• Combination Door Locks (cipher locks) , keypad numerico o dial

• Electronic Door Locks (magnetico o chip en tarjeta plastica).

• Logged Entry (numero de ingreso pregrabado no editable).

• Photo IDs.• Video Cameras.• Controlled Visitors Access• Deadman Doors (doble puerta controlada).• Alarm System

Los equipos deben estar físicamente protegidos de las amenazas y riesgos del entorno para disminuir el riesgo de accesos no autorizados a los datos y protegerlo contra pérdidas o daños.

Controles en:

- Instalación y protección de los equipos

- Suministro eléctrico

- Seguridad del cableado

- Mantenimiento de los equipos

- Seguridad de los equipos fuera de los locales de la empresa

- Seguridad en el re-uso o eliminación de equipos.

Controles en los equipos

Controles de Instalaciones

• Detectores de Agua• Extinguidores Hand-held• Detectores de humo.• Sistemas automaticos de apaga incendios• Localizacion estratégica de sala de CC.• Inspeccciones regulares de Bomberos

Las tareas asociadas: Identificación de Riesgos y controles

asociados para protección ambiental y seguridad física.

Prueba de Controles.

Evaluación de la seguridad física del medio ambiente.

Medidas de ajuste.

Evaluación de Controles

RESPUESTA A INCIDENTES Y ANOMALÍAS

• Comunicación de incidentes• Comunicación de debilidades en materia

de seguridad• Comunicación de anomalías del software• Aprendiendo de los incidentes• Proceso disciplinario

Data Centers

La implementación de un Data Center considera:- Infraestructura instalaciones. Construcción y subsistemas como de climatización, eléctrico, protección contra incendios y otros.- Ubicación y Acceso- Infraestructura TI: hardware, software y telecomunicaciones. - Redundancia. - Adicionalmente considerar aspectos como recursos humanos y procesos asociados con capacidad de mantener funcionamiento en caso de accidentes o desastres naturales

El standard TIA-942  (Telecomunication Infrastructure Standard for Data Centers) incluye un Anexo informativo sobre los Grados de Disponibilidad ( Tier ).

Norma ANSI/TIA 942: (Telecomunications Industry Association)Es un edificio o porción de un edificio cuya función primaria es alojar una sala de cómputo y sus áreas de soporte, que permite el almacenamiento, manejo y distribución de los datos e información organizada alrededor de un área de conocimiento o un negocio particular.

Data Centers

TierIV – Certificación de Fiabilidad y Seguridad en Diseño y ConstrucciónTier 1: Centro de datos Básico: Disponibilidad del 99.671% (28.8 hras off)Tier 2: Centro de datos Redundante: Disponibilidad del 99.741% (20 hras off)Tier 3: Centro de datos Concurrentemente Mantenibles: Disponibilidad del 99.982%. (1.6h)Tier 4: Centro de datos Tolerante a fallos: Disponibilidad del 99.995%. (0.8 hras off)Consideraciones:-Mantenimiento sin afectar servicios críticos-Soportar evento no planificado de “peor escenario” sin impacto crítico en carga-Múltiples líneas de distribución eléctrica-Refrigeración de múltiples componentes redundantes-Cortinas cortafuegos para protección de incendios-Instalaciones críticas en sobre rasante, para evitar inundaciones

Ejm. Data Center BBVA Tres Cantos – España 3.Mar.2012 1ero en España y 13avo en el mundo22.Ago.2012 Telconet – Ecuador, primero en LatinoAmerica http://uptimeinstitute.com/TierCertification/certMaps.php

Data Center del futuro

Conclusiones

Tener controlado el ambiente y acceso físico permite:

• Disminuir siniestros

• Trabajar mejor manteniendo la sensación de seguridad

• Descartar falsas hipótesis si se produjeran incidentes

• Tener los medios para luchar contra accidentes

Conclusiones

• Hoy día pueden operar los sistemas de seguridad lógica y física en conjunto, comunicando y compartiendo datos para dar respuestas costo efectivas a una seguridad incrementada.

• Pronto serán predominante aceptables solo aquellos sistemas plenamente integrados en 1 única interfase de gerenciamiento de identidades de usuarios.

• E$ recomendable con$iderar aquellos que habilitan e$ta integración.