seguridad física
DESCRIPTION
Seguridad FisicaTRANSCRIPT
SEGURIDAD FISICA
Ing. Yolfer Hernández
Seguridad y Auditoria de Sistemas
Seguridad Física:• Definición, Riesgos, control de accesos• Exposiciones físicas y del medio ambiente.• Controles físicos y del medio ambiente.
Ejemplo: Protección mediante llaves de hardware
Temario - Seguridad Física
“La seguridad física es la aplicación de barreras físicas, procedimientos de control y de seguridad, como medidas prevención y corrección ante las amenazas o riesgos de los recursos informáticos, dentro y alrededor del Centro de Procesamiento, incluyendo a los que acceden en forma remota”.
Seguridad Física - Definición
Fuentes:- Huerta, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v.10.- ISO 17799 - British Standard [BS] 7799
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc.; la seguridad de la misma será nula si no se ha previsto como combatir un incendio.La seguridad física es uno de los aspectos menos considerados a la hora del diseño de un sistema informático, por ejemplo la detección de un atacante interno que intenta a acceder físicamente a una sala de operaciones.Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.
Seguridad Física
Exposiciones físicas y del medio ambiente
Instalaciones a ser protegidas:• Salas de Programación.• Sala de Centro de Cómputo, Data-Center• Librerías de programas, procedimientos.• Suministros y cuartos de almacenamiento.• Facilidades de almacenamiento de archivos
de respaldo Off-Site.
Exposiciones físicas y del medio ambiente
• Sala de control de Monitoreo.• Sala de racks de comunicaciones.• Equipo de telecomunicaciones.• Computadoras personales.• Fuentes de poder.• Líneas dedicadas.• Redes de Area Local.
1. Incendios
2. Inundaciones
3. Condiciones Climatológicas
4. Sismos
5. Señales de Radar
6. Instalaciones Eléctricas
7. Ergometría
Amenazas del Entorno
Acciones Hostiles
1. Robo2. Fraude3.Sabotaje4.Terrorismo5.Actos vandálicos
Tipos de Riesgos
NCPI – Infraestructura física de red crítica
Políticas de Seguridad en los puestos de trabajo
Selección de Personal
Acuerdos de Confidencialidad
Capacitación en seguridad de la información
Seguridad en el puesto: Escritorios y pantallas, extracción de pertenencias (activos), etc.
Controles Generales
Perímetro que cuenta con barreras de seguridad y controles de entradas apropiados para el procesamiento y tratamiento de información critica para la organización.Controles en:- Barreras, Puertas controladas- Controles físicos de entrada- Seguridad de Oficinas despachos y recursos- Procedimientos de trabajo en áreas seguras, etc.
Control perimetral y zonal
1. Utilización de Guardias 2. Utilización de Detectores de
Metales 3. Utilización de Sistemas
Biométricos 4. Verificación Automática de Firmas5. Seguridad con Animales 6. Protección Electrónica
Control de Accesos
Control de Accesos
• Bolting Door Locks (Llave de metal).
• Combination Door Locks (cipher locks) , keypad numerico o dial
• Electronic Door Locks (magnetico o chip en tarjeta plastica).
• Logged Entry (numero de ingreso pregrabado no editable).
• Photo IDs.• Video Cameras.• Controlled Visitors Access• Deadman Doors (doble puerta controlada).• Alarm System
Los equipos deben estar físicamente protegidos de las amenazas y riesgos del entorno para disminuir el riesgo de accesos no autorizados a los datos y protegerlo contra pérdidas o daños.
Controles en:
- Instalación y protección de los equipos
- Suministro eléctrico
- Seguridad del cableado
- Mantenimiento de los equipos
- Seguridad de los equipos fuera de los locales de la empresa
- Seguridad en el re-uso o eliminación de equipos.
Controles en los equipos
Controles de Instalaciones
• Detectores de Agua• Extinguidores Hand-held• Detectores de humo.• Sistemas automaticos de apaga incendios• Localizacion estratégica de sala de CC.• Inspeccciones regulares de Bomberos
Las tareas asociadas: Identificación de Riesgos y controles
asociados para protección ambiental y seguridad física.
Prueba de Controles.
Evaluación de la seguridad física del medio ambiente.
Medidas de ajuste.
Evaluación de Controles
RESPUESTA A INCIDENTES Y ANOMALÍAS
• Comunicación de incidentes• Comunicación de debilidades en materia
de seguridad• Comunicación de anomalías del software• Aprendiendo de los incidentes• Proceso disciplinario
Data Centers
La implementación de un Data Center considera:- Infraestructura instalaciones. Construcción y subsistemas como de climatización, eléctrico, protección contra incendios y otros.- Ubicación y Acceso- Infraestructura TI: hardware, software y telecomunicaciones. - Redundancia. - Adicionalmente considerar aspectos como recursos humanos y procesos asociados con capacidad de mantener funcionamiento en caso de accidentes o desastres naturales
El standard TIA-942 (Telecomunication Infrastructure Standard for Data Centers) incluye un Anexo informativo sobre los Grados de Disponibilidad ( Tier ).
Norma ANSI/TIA 942: (Telecomunications Industry Association)Es un edificio o porción de un edificio cuya función primaria es alojar una sala de cómputo y sus áreas de soporte, que permite el almacenamiento, manejo y distribución de los datos e información organizada alrededor de un área de conocimiento o un negocio particular.
Data Centers
TierIV – Certificación de Fiabilidad y Seguridad en Diseño y ConstrucciónTier 1: Centro de datos Básico: Disponibilidad del 99.671% (28.8 hras off)Tier 2: Centro de datos Redundante: Disponibilidad del 99.741% (20 hras off)Tier 3: Centro de datos Concurrentemente Mantenibles: Disponibilidad del 99.982%. (1.6h)Tier 4: Centro de datos Tolerante a fallos: Disponibilidad del 99.995%. (0.8 hras off)Consideraciones:-Mantenimiento sin afectar servicios críticos-Soportar evento no planificado de “peor escenario” sin impacto crítico en carga-Múltiples líneas de distribución eléctrica-Refrigeración de múltiples componentes redundantes-Cortinas cortafuegos para protección de incendios-Instalaciones críticas en sobre rasante, para evitar inundaciones
Ejm. Data Center BBVA Tres Cantos – España 3.Mar.2012 1ero en España y 13avo en el mundo22.Ago.2012 Telconet – Ecuador, primero en LatinoAmerica http://uptimeinstitute.com/TierCertification/certMaps.php
Data Center del futuro
Conclusiones
Tener controlado el ambiente y acceso físico permite:
• Disminuir siniestros
• Trabajar mejor manteniendo la sensación de seguridad
• Descartar falsas hipótesis si se produjeran incidentes
• Tener los medios para luchar contra accidentes
Conclusiones
• Hoy día pueden operar los sistemas de seguridad lógica y física en conjunto, comunicando y compartiendo datos para dar respuestas costo efectivas a una seguridad incrementada.
• Pronto serán predominante aceptables solo aquellos sistemas plenamente integrados en 1 única interfase de gerenciamiento de identidades de usuarios.
• E$ recomendable con$iderar aquellos que habilitan e$ta integración.