U3-AuditoriaSeguridadFisica

43
UNIDAD III Auditoría de la Seguridad Física 3.1. CONCEPTO DE SEGURIDAD FÍSICA. 3.2. ÁREAS A REVISAR. 3.3. EVALUACIÓN DE RIESGOS. 3.4. FUENTES A UTILIZAR. Acero Medina, Chavarría Guzmán, Cruz Magallanes, Díaz Álvarez

Transcript of U3-AuditoriaSeguridadFisica

  • UNIDAD III Auditora de la Seguridad Fsica

    3 . 1 . C O N C E P T O D E S E G U R I D A D F S I C A .

    3 . 2 . R E A S A R E V I S A R .

    3 . 3 . E V A L U A C I N D E R I E S G O S .

    3 . 4 . F U E N T E S A U T I L I Z A R .

    Acero Medina, Chavarra Guzmn, Cruz Magallanes, Daz lvarez

  • 3.1. Concepto de seguridad fsica.

    La auditoria fsica, interna oexterna, no es sino una sola

    La Auditora Informticaes el proceso derecoger, agrupar yevaluar evidencias paradeterminar si un sistemainformatizadosalvaguarda los activos.externa, no es sino una sola

    auditoria parcial, por lo queno difiere de la auditoriageneral ms que en elalcance de la misma. Mantiene la

    integridad de losdatos, lleva a caboeficazmente los finesde la organizacin yutiliza eficientementelos recursos.

  • Introduccin

    La parte fsica en la informtica ha tenido una importancia relativa y,

    adems, esta ocupando un lugar en la mesa.

    En informtica lo fsico no solo se En informtica lo fsico no solo se refiriere al hardware, es un soporte tangible del software, es decir, es todo cuanto rodea o incluye al

    ordenador.

    La auditoria es el medio que proporciona la seguridad fsica en el mbito en el que se va ha realizar la

    labor.

  • Objetivos

    Se dice que proteger los datos es el objetivo primordial de la seguridad

    Como sabemos, la seguridad fsica es ms ampliaComo sabemos, la seguridad fsica es ms ampliay alcanza otros conceptos entre los que puedehaber alguno que supere en importancia los datos.

    Entonces los objetivos basados en una lgica "de fuera hacia adentro" quedan indicados as:

  • Objetivos

    Edificios InstalacionesEdificios Instalaciones

    Equipamiento y telecomunicaciones

    Datos y personas.

  • Seguridad Fsica

    Garantiza la integridad de los activos humanos,lgicos y material de un CPD.

    No estn claras los lmites , dominios yresponsabilidades de los tres tipos de seguridad queresponsabilidades de los tres tipos de seguridad quea los usuarios les interesa: seguridad lgica, seguridadfsica y seguridad de las comunicaciones.

  • SeguridadLa seguridad fsica noes mas que aquellaque garantiza laintegridad de losactivos humanos,materiales lgicos y

    Ejecutar un Plan decontingencia adecuado.Analizando los riesgos delsistema, de las aplicaciones,estableciendo los objetivos denuestra seguridad,determinando las prioridadesdel proceso, y, adems,materiales lgicos y

    materiales de unCPD. Se debe teneren cuenta en laseguridad fsica losiguiente:

    Obtener y mantener un nivel adecuado deseguridad fsica sobre los activos; como laubicacin del edificio, potencia elctrica,seguridad de los medios de informacin.

    del proceso, y, adems,asignar las capacidades decomunicaciones y deservicios.

  • Seguridad

    Para centros de proceso yequipamiento, reconstruccin demedios software, gastos extras, entreotros.

  • Las tcnicas y las herramientas bsicas de la auditoriano se diferencian, y, adems, sabemos que su fin esobtener evidencias fsicas.

    Las tcnicas y las herramientas bsicas de la auditoriano se diferencian, y, adems, sabemos que su fin esobtener evidencias fsicas.

    *Observacin de las instalaciones,

    TECNICAS

    Tcnicas y herramientas

    *Entrevistas con directivos y personal. Consultas con tcnicos yauditores.

    *Observacin de las instalaciones,sistemas, cumplimientos de normas.

    *Revisin analtica de: Documentos de construcciones,seguridad fsica; polticas y normas; procedimientos deseguridad fsica; contratos de seguro y mantenimiento.

  • Tcnicas y herramientas

    HERRAMIENTAS

    Cuaderno de campo/

    grabadora de audio.

    Su uso debe ser discreto y siempre con el consentimiento del personal.

    audio.

    Mquina fotogrfica/

    cmara de vdeo.

  • 3.2 reas de la seguridad fsica

    Edificio: Edificio: Debe encargarse a peritos especializados

    Las reas en que el auditor chequea directamente :Las reas en que el auditor chequea directamente :

    Personal, planes de auditoria, historia de auditorias fsicas.

    Organigrama de la empresa Organigrama de la empresa Dependencias orgnicas, funcionales y jerrquicas. Separacin de funciones y rotacin del personal Da la primera y ms amplia visin del Centro de Proceso

    Las reas en que el auditor chequea directamente :Las reas en que el auditor chequea directamente :

    Auditora Interna Auditora Interna

  • 3.2 reas de la seguridad fsica

    Director o responsable de la seguridad integral

    Administracin de la seguridad Administracin de la seguridad

    Director o responsable de la seguridad integral Responsable de la seguridad informtica Administradores de redes Administradores de Base de datos Responsables de la seguridad activa y pasiva del

    entorno fsico

    Normas, procedimientos y planes existentes

  • 3.2 reas de la seguridad fsica

    Entorno en donde se encuentra el CPDSala de Host

    Centro de proceso de datos e instalaciones Centro de proceso de datos e instalaciones

    Sala de Host Sala de operadores Sala de impresoras Cmara acorazada Oficinas Almacenes Instalaciones elctricas Aire acondicionado

  • 3.2 reas de la seguridad fsica

    Equipos y comunicaciones Equipos y comunicaciones

    Host, terminales, computadores personales, equiposde almacenamiento masivo de datos, impresoras,

    medios y sistemas de telecomunicaciones.

  • 3.2 reas de la seguridad fsica

    Accesos seguros

    Seguridad fsica del personal Seguridad fsica del personal

    Accesos seguros Salidas seguras Medios y rutas de evacuacin, extincin de

    incendios, sistemas de bloqueos de puertas y

    ventanas

    Normas y polticas emitidas y distribuidas al personalreferente al uso de las instalaciones por el personal

  • 3.2 reas de la seguridad fsica

    Todas las reas son importantes, pero en cuestin de seguridad las reas ms vulnerables son:

    ORGANIGRAMAORGANIGRAMA: : Con el se conocen cada una de las dependencias. AUDITORIA AUDITORIA INTERNA: INTERNA: Esta es la encargada de guardar las normas, los

    procedimientos y planes de la seguridad fsica.

    ADMINISTRACION ADMINISTRACION DE LA SEGURIDAD: DE LA SEGURIDAD: Deben existir algunas dependencias, cargos y responsabilidades como son; un director de seguridad integral e

    informtico, un administrador de redes y base de datos, y un responsable

    de la seguridad pasiva y activa en el entorno fsico.

  • 3.2 reas de la seguridad fsica

    Todas las reas son importantes, pero en cuestin de seguridad las reas ms vulnerables son:

    CENTRO CENTRO DE PROCESO DE DATOS: DE PROCESO DE DATOS: Son las instalaciones. EQUIPOS EQUIPOS Y COMUNICACIONES: Y COMUNICACIONES: Son los elementos principales

    de computacin como son; servidores, host, terminales,

    impresoras etc.

    SEGURIDAD SEGURIDAD FISICA DEL PERSONAL: FISICA DEL PERSONAL: Entradas y salidas del personal seguras.

  • ZONAS DE SEGURIDAD

    Una zona de seguridad es cualquier instalacincon un permetro definido dentro de la queexiste un control y unas condiciones deproteccin especficas. Desde el punto de vistade la proteccin de la informacin clasificadade la proteccin de la informacin clasificadase distinguen dos tipos:

    Zona de acceso restringido. Zona administrativa de proteccin.

  • ZONA DE ACCESO RESTRINGIDO (ZAR)

    Son instalaciones donde se almacena omaneja informacin clasificada, normalmentede grado CONFIDENCIAL o equivalente osuperior, por lo que debern contar con lassuperior, por lo que debern contar con lasmedidas y procedimientos de seguridadadecuados y suficientes, para asegurar laproteccin de la informacin clasificada entodo momento.

  • CLASIFICACION DE ZAR

    REA CLASE I.Zona en la que se maneja y almacenainformacin clasificada de tal forma que lainformacin clasificada de tal forma que laentrada a la zona supone, el acceso a personaldebidamente habilitado y autorizado.

  • CLASIFICACION DE ZAR

    REA CLASE II.Zona en la que se maneja y almacenainformacin clasificada de tal forma que puedaestar protegida del acceso de personas noestar protegida del acceso de personas noautorizadas mediante controles establecidosinternamente, por lo que se podr admitir laentrada a personal visitante debidamentecontrolado.

  • ZONA ADMINISTRATIVA DE PROTECCION

    Son instalaciones con un permetro claramentedefinido dentro del cual existe un control de laspersonas, material y vehculos. En estas zonaspersonas, material y vehculos. En estas zonasadministrativas de proteccin slo se manejary almacenar informacin hasta el grado deDIFUSIN LIMITADA o equivalente.

  • 3.3 EVALUACIN RIESGOS

    Un riesgo se refiere a condiciones ocircunstancias futuras que tendrnun impacto adverso si se llega a

    Un riesgo es un problema potencial que no se ha presentado an.

    un impacto adverso si se llega apresentar.

  • EVALUACIN DE RIESGO

    La evaluacin de riesgos identifica las amenazas,vulnerabilidades y riesgos de la informacin, sobre laplataforma tecnolgica de una organizacin, con elfin de generar un plan de implementacin de losfin de generar un plan de implementacin de loscontroles que aseguren un ambiente informticoseguro, bajo los criterios de disponibilidad,confidencialidad e integridad de la informacin.

  • Administracin de Riesgos

    La administracin de riesgos en un marco amplio implicaque las estrategias, procesos, personas, tecnologa yconocimiento estn alineados para manejar toda laincertidumbre que una organizacin enfrenta.

    ES INEVITABLE QUE EXISTA ALGUN GRADO DE RIESGO ES INEVITABLE QUE EXISTA ALGUN GRADO DE RIESGO

  • Es necesario en este sentido tener encuenta lo siguiente:

    La evaluacin de los riesgosinherentes a los diferentessubprocesos de la Auditora.

    En Consecuencia

    subprocesos de la Auditora. La evaluacin de las amenazas o

    causas de los riesgos. Los controles utilizados para

    minimizar las amenazas o riesgos. La evaluacin de los elementos del

    anlisis de riesgos.

  • Cmo llevar a cabo una evaluacin de riesgos

    Paso 1. Identificacin de los riesgos y de los trabajadoresexpuestos

    Paso 2. Evaluacin de riesgos y asignacin de prioridades a losmismos

    Paso 3. Planificacin de las medidas preventivas necesarias

    Paso 4. Adopcin de las medidas

    Paso 5. Seguimiento y revisin

  • PREGUNTAS QUE PODEMOS HACER

    Qu puede ir mal? Con qu frecuencia puede ocurrir? Cules seran sus consecuencias? Qu fiabilidad tienen las respuestas a las tres primeras

    preguntas? Se est preparado para abrir las puertas del negocio sin

    sistemas, por un da, una semana, cuanto tiempo? Se est preparado para abrir las puertas del negocio sin

    sistemas, por un da, una semana, cuanto tiempo? Cul es el costo de una hora sin procesar, un da, una

    semana...? Se tiene forma de detectar a un empleado deshonesto en el

    sistema? Se tiene control sobre las operaciones de los distintos sistemas?

  • Cuantas personas dentro de la empresa, (sin considerar suhonestidad), estn en condiciones de inhibir el procesamientode datos?

    A que se llama informacin confidencial y/o sensitiva? La informacin confidencial y sensitiva permanece as en los

    sistemas?sistemas? La seguridad actual cubre los tipos de ataques existentes y est

    preparada para adecuarse a los avances tecnolgicosesperados?

    A quien se le permite usar que recurso?

  • Quin es el propietario del recurso? y quin es el usuario conmayores privilegios sobre ese recurso?

    Cules sern los privilegios y responsabilidades del Cules sern los privilegios y responsabilidades delAdministrador vs. la del usuario?

    Cmo se actuar si la seguridad es violada?

  • El riesgo R se evala mediante la medicin dedos parmetros: la magnitud de la prdida o dao posible L

    la probabilidad p que dicha prdida o dao llegue a la probabilidad p que dicha prdida o dao llegue aocurrir.

  • La probabilidad que una vulnerabilidadpotencial pueda ser explotada por una fuentede amenaza puede ser clasificada en:

  • Identificacin de Vulnerabilidades

    Para la identificacin de vulnerabilidades sobre laplataforma de tecnologa, se utilizan herramientascomo listas de verificacin y herramientas desoftware que determinan vulnerabilidades a nivel delsistema operativo y firewall:

    Seguridad Fsica. Monitoreo ambiental Control de acceso Desastres naturales Control de incendios Inundaciones

  • Identificacin de Vulnerabilidades

    Seguridad en las conexiones a Internet. Polticas en el Firewall VPN Deteccin de intrusos

    Seguridad en la infraestructura de comunicaciones. Seguridad en la infraestructura de comunicaciones. Routers Switches Firewall Hubs RAS

    Seguridad en Sistema Operacionales(Unix, Windows) Correo Electrnico

  • De control

    Que es aquel que existe y que se propicia por falta decontrol de las actividades de la empresa y puedegenerar deficiencias del Sistema de Control Interno.

    Es aquel que se asume por parte de los auditores que

    TIPOS DE RIESGO

    De deteccin

    Es aquel que se asume por parte de los auditores queen su revisin no detecten deficiencias en el Sistemade Control Interno.

    Inherente

    Son aquellos que se presentan inherentes a lascaractersticas del Sistema de Control Interno.

  • Las empresas modernas tiene dentro de sus principalesintereses el enfrentamiento de manera activa a losriesgos que afectan su estabilidad y Seguridad Integral.De esta manera es importante la bsqueda dealternativas que permitan el tratamiento de stosRiesgos de manera consciente y razonada, de aqu

    Actualidad

    Riesgos de manera consciente y razonada, de aquque una de las tcnicas ms utilizadas, es la tcnicagerencial, que nos va posibilitar la manera integraldetectar, evaluar y manejar los riesgos de prdidas alos que se enfrenta la empresa moderna.

  • Gestin de Riesgos

  • Para cumplir con la gestin de riesgos el Analista deRiesgos despliega acciones propias de la direcciny gestin de la empresa con la especificidad delas ciencias y tcnicas aplicables a los riesgos y lasherramientas para su gestin. Como parteherramientas para su gestin. Como partefundamental de esa labor directiva debe procurarla mxima coordinacin con todas las reasoperativas de la empresa en la circulacin fluida dela informacin que tenga relacin con los riesgos.

  • 3.4 Fuentes a Utilizar

    . Polticas Normas y planes de seguridad Auditorias Anteriores, generales o parciales

    Contratos de seguros de proveedores y de mantenimiento

    .mantenimiento

    Actas e informes de tcnicos y consultores

    . Informes de acceso y visitas Polticas del personal

  • 3.4 Fuentes a Utilizar

    .

    Inventarios de soportes, procedimientos de archivos, controles de salida, recuperacin de soporte, control de copias, etc..

  • Revisin del Hardware

    Listar todo el hardware Especificar su utilizacin

    Hacer estadsticas de uso y personas Modificaciones (cada equipo debe tener una Modificaciones (cada equipo debe tener una

    bitcora de su vida)

    Probar el hardware Comprobar su vida real, etc.

  • Revisin del Software

    Solicitar los planos del software Solicitar programas operativos Solicitar programas de aplicacin

    Solicitar bases de datos Hacer las pruebas del S.O con expertos, y con los Hacer las pruebas del S.O con expertos, y con los

    operadores (observar las reacciones)

    Revisin de la vida til del software Responsables del proyecto Diseadores

  • Revisin del Software

    Probadores Fundamentos de aplicacin Analizar su uso