UNIDAD III Auditora de la Seguridad Fsica

3 . 1 . C O N C E P T O D E S E G U R I D A D F S I C A .

3 . 2 . R E A S A R E V I S A R .

3 . 3 . E V A L U A C I N D E R I E S G O S .

3 . 4 . F U E N T E S A U T I L I Z A R .

Acero Medina, Chavarra Guzmn, Cruz Magallanes, Daz lvarez

3.1. Concepto de seguridad fsica.

La auditoria fsica, interna oexterna, no es sino una sola

La Auditora Informticaes el proceso derecoger, agrupar yevaluar evidencias paradeterminar si un sistemainformatizadosalvaguarda los activos.externa, no es sino una sola

auditoria parcial, por lo queno difiere de la auditoriageneral ms que en elalcance de la misma. Mantiene la

integridad de losdatos, lleva a caboeficazmente los finesde la organizacin yutiliza eficientementelos recursos.

Introduccin

La parte fsica en la informtica ha tenido una importancia relativa y,

adems, esta ocupando un lugar en la mesa.

En informtica lo fsico no solo se En informtica lo fsico no solo se refiriere al hardware, es un soporte tangible del software, es decir, es todo cuanto rodea o incluye al

ordenador.

La auditoria es el medio que proporciona la seguridad fsica en el mbito en el que se va ha realizar la

labor.

Objetivos

Se dice que proteger los datos es el objetivo primordial de la seguridad

Como sabemos, la seguridad fsica es ms ampliaComo sabemos, la seguridad fsica es ms ampliay alcanza otros conceptos entre los que puedehaber alguno que supere en importancia los datos.

Entonces los objetivos basados en una lgica "de fuera hacia adentro" quedan indicados as:

Objetivos

Edificios InstalacionesEdificios Instalaciones

Equipamiento y telecomunicaciones

Datos y personas.

Seguridad Fsica

Garantiza la integridad de los activos humanos,lgicos y material de un CPD.

No estn claras los lmites , dominios yresponsabilidades de los tres tipos de seguridad queresponsabilidades de los tres tipos de seguridad quea los usuarios les interesa: seguridad lgica, seguridadfsica y seguridad de las comunicaciones.

SeguridadLa seguridad fsica noes mas que aquellaque garantiza laintegridad de losactivos humanos,materiales lgicos y

Ejecutar un Plan decontingencia adecuado.Analizando los riesgos delsistema, de las aplicaciones,estableciendo los objetivos denuestra seguridad,determinando las prioridadesdel proceso, y, adems,materiales lgicos y

materiales de unCPD. Se debe teneren cuenta en laseguridad fsica losiguiente:

Obtener y mantener un nivel adecuado deseguridad fsica sobre los activos; como laubicacin del edificio, potencia elctrica,seguridad de los medios de informacin.

del proceso, y, adems,asignar las capacidades decomunicaciones y deservicios.

Seguridad

Para centros de proceso yequipamiento, reconstruccin demedios software, gastos extras, entreotros.

Las tcnicas y las herramientas bsicas de la auditoriano se diferencian, y, adems, sabemos que su fin esobtener evidencias fsicas.

Las tcnicas y las herramientas bsicas de la auditoriano se diferencian, y, adems, sabemos que su fin esobtener evidencias fsicas.

*Observacin de las instalaciones,

TECNICAS

Tcnicas y herramientas

*Entrevistas con directivos y personal. Consultas con tcnicos yauditores.

*Observacin de las instalaciones,sistemas, cumplimientos de normas.

*Revisin analtica de: Documentos de construcciones,seguridad fsica; polticas y normas; procedimientos deseguridad fsica; contratos de seguro y mantenimiento.

Tcnicas y herramientas

HERRAMIENTAS

Cuaderno de campo/

grabadora de audio.

Su uso debe ser discreto y siempre con el consentimiento del personal.

audio.

Mquina fotogrfica/

cmara de vdeo.

3.2 reas de la seguridad fsica

Edificio: Edificio: Debe encargarse a peritos especializados

Las reas en que el auditor chequea directamente :Las reas en que el auditor chequea directamente :

Personal, planes de auditoria, historia de auditorias fsicas.

Organigrama de la empresa Organigrama de la empresa Dependencias orgnicas, funcionales y jerrquicas. Separacin de funciones y rotacin del personal Da la primera y ms amplia visin del Centro de Proceso

Las reas en que el auditor chequea directamente :Las reas en que el auditor chequea directamente :

Auditora Interna Auditora Interna

3.2 reas de la seguridad fsica

Director o responsable de la seguridad integral

Administracin de la seguridad Administracin de la seguridad

Director o responsable de la seguridad integral Responsable de la seguridad informtica Administradores de redes Administradores de Base de datos Responsables de la seguridad activa y pasiva del

entorno fsico

Normas, procedimientos y planes existentes

3.2 reas de la seguridad fsica

Entorno en donde se encuentra el CPDSala de Host

Centro de proceso de datos e instalaciones Centro de proceso de datos e instalaciones

Sala de Host Sala de operadores Sala de impresoras Cmara acorazada Oficinas Almacenes Instalaciones elctricas Aire acondicionado

3.2 reas de la seguridad fsica

Equipos y comunicaciones Equipos y comunicaciones

Host, terminales, computadores personales, equiposde almacenamiento masivo de datos, impresoras,

medios y sistemas de telecomunicaciones.

3.2 reas de la seguridad fsica

Accesos seguros

Seguridad fsica del personal Seguridad fsica del personal

Accesos seguros Salidas seguras Medios y rutas de evacuacin, extincin de

incendios, sistemas de bloqueos de puertas y

ventanas

Normas y polticas emitidas y distribuidas al personalreferente al uso de las instalaciones por el personal

3.2 reas de la seguridad fsica

Todas las reas son importantes, pero en cuestin de seguridad las reas ms vulnerables son:

ORGANIGRAMAORGANIGRAMA: : Con el se conocen cada una de las dependencias. AUDITORIA AUDITORIA INTERNA: INTERNA: Esta es la encargada de guardar las normas, los

procedimientos y planes de la seguridad fsica.

ADMINISTRACION ADMINISTRACION DE LA SEGURIDAD: DE LA SEGURIDAD: Deben existir algunas dependencias, cargos y responsabilidades como son; un director de seguridad integral e

informtico, un administrador de redes y base de datos, y un responsable

de la seguridad pasiva y activa en el entorno fsico.

3.2 reas de la seguridad fsica

Todas las reas son importantes, pero en cuestin de seguridad las reas ms vulnerables son:

CENTRO CENTRO DE PROCESO DE DATOS: DE PROCESO DE DATOS: Son las instalaciones. EQUIPOS EQUIPOS Y COMUNICACIONES: Y COMUNICACIONES: Son los elementos principales

de computacin como son; servidores, host, terminales,

impresoras etc.

SEGURIDAD SEGURIDAD FISICA DEL PERSONAL: FISICA DEL PERSONAL: Entradas y salidas del personal seguras.

ZONAS DE SEGURIDAD

Una zona de seguridad es cualquier instalacincon un permetro definido dentro de la queexiste un control y unas condiciones deproteccin especficas. Desde el punto de vistade la proteccin de la informacin clasificadade la proteccin de la informacin clasificadase distinguen dos tipos:

Zona de acceso restringido. Zona administrativa de proteccin.

ZONA DE ACCESO RESTRINGIDO (ZAR)

Son instalaciones donde se almacena omaneja informacin clasificada, normalmentede grado CONFIDENCIAL o equivalente osuperior, por lo que debern contar con lassuperior, por lo que debern contar con lasmedidas y procedimientos de seguridadadecuados y suficientes, para asegurar laproteccin de la informacin clasificada entodo momento.

CLASIFICACION DE ZAR

REA CLASE I.Zona en la que se maneja y almacenainformacin clasificada de tal forma que lainformacin clasificada de tal forma que laentrada a la zona supone, el acceso a personaldebidamente habilitado y autorizado.

CLASIFICACION DE ZAR

REA CLASE II.Zona en la que se maneja y almacenainformacin clasificada de tal forma que puedaestar protegida del acceso de personas noestar protegida del acceso de personas noautorizadas mediante controles establecidosinternamente, por lo que se podr admitir laentrada a personal visitante debidamentecontrolado.

ZONA ADMINISTRATIVA DE PROTECCION

Son instalaciones con un permetro claramentedefinido dentro del cual existe un control de laspersonas, material y vehculos. En estas zonaspersonas, material y vehculos. En estas zonasadministrativas de proteccin slo se manejary almacenar informacin hasta el grado deDIFUSIN LIMITADA o equivalente.

3.3 EVALUACIN RIESGOS

Un riesgo se refiere a condiciones ocircunstancias futuras que tendrnun impacto adverso si se llega a

Un riesgo es un problema potencial que no se ha presentado an.

un impacto adverso si se llega apresentar.

EVALUACIN DE RIESGO

La evaluacin de riesgos identifica las amenazas,vulnerabilidades y riesgos de la informacin, sobre laplataforma tecnolgica de una organizacin, con elfin de generar un plan de implementacin de losfin de generar un plan de implementacin de loscontroles que aseguren un ambiente informticoseguro, bajo los criterios de disponibilidad,confidencialidad e integridad de la informacin.

Administracin de Riesgos

La administracin de riesgos en un marco amplio implicaque las estrategias, procesos, personas, tecnologa yconocimiento estn alineados para manejar toda laincertidumbre que una organizacin enfrenta.

ES INEVITABLE QUE EXISTA ALGUN GRADO DE RIESGO ES INEVITABLE QUE EXISTA ALGUN GRADO DE RIESGO

Es necesario en este sentido tener encuenta lo siguiente:

La evaluacin de los riesgosinherentes a los diferentessubprocesos de la Auditora.

En Consecuencia

subprocesos de la Auditora. La evaluacin de las amenazas o

causas de los riesgos. Los controles utilizados para

minimizar las amenazas o riesgos. La evaluacin de los elementos del

anlisis de riesgos.

Cmo llevar a cabo una evaluacin de riesgos

Paso 1. Identificacin de los riesgos y de los trabajadoresexpuestos

Paso 2. Evaluacin de riesgos y asignacin de prioridades a losmismos

Paso 3. Planificacin de las medidas preventivas necesarias

Paso 4. Adopcin de las medidas

Paso 5. Seguimiento y revisin

PREGUNTAS QUE PODEMOS HACER

Qu puede ir mal? Con qu frecuencia puede ocurrir? Cules seran sus consecuencias? Qu fiabilidad tienen las respuestas a las tres primeras

preguntas? Se est preparado para abrir las puertas del negocio sin

sistemas, por un da, una semana, cuanto tiempo? Se est preparado para abrir las puertas del negocio sin

sistemas, por un da, una semana, cuanto tiempo? Cul es el costo de una hora sin procesar, un da, una

semana...? Se tiene forma de detectar a un empleado deshonesto en el

sistema? Se tiene control sobre las operaciones de los distintos sistemas?

Cuantas personas dentro de la empresa, (sin considerar suhonestidad), estn en condiciones de inhibir el procesamientode datos?

A que se llama informacin confidencial y/o sensitiva? La informacin confidencial y sensitiva permanece as en los

sistemas?sistemas? La seguridad actual cubre los tipos de ataques existentes y est

preparada para adecuarse a los avances tecnolgicosesperados?

A quien se le permite usar que recurso?

Quin es el propietario del recurso? y quin es el usuario conmayores privilegios sobre ese recurso?

Cules sern los privilegios y responsabilidades del Cules sern los privilegios y responsabilidades delAdministrador vs. la del usuario?

Cmo se actuar si la seguridad es violada?

El riesgo R se evala mediante la medicin dedos parmetros: la magnitud de la prdida o dao posible L

la probabilidad p que dicha prdida o dao llegue a la probabilidad p que dicha prdida o dao llegue aocurrir.

La probabilidad que una vulnerabilidadpotencial pueda ser explotada por una fuentede amenaza puede ser clasificada en:

Identificacin de Vulnerabilidades

Para la identificacin de vulnerabilidades sobre laplataforma de tecnologa, se utilizan herramientascomo listas de verificacin y herramientas desoftware que determinan vulnerabilidades a nivel delsistema operativo y firewall:

Seguridad Fsica. Monitoreo ambiental Control de acceso Desastres naturales Control de incendios Inundaciones

Identificacin de Vulnerabilidades

Seguridad en las conexiones a Internet. Polticas en el Firewall VPN Deteccin de intrusos

Seguridad en la infraestructura de comunicaciones. Seguridad en la infraestructura de comunicaciones. Routers Switches Firewall Hubs RAS

Seguridad en Sistema Operacionales(Unix, Windows) Correo Electrnico

De control

Que es aquel que existe y que se propicia por falta decontrol de las actividades de la empresa y puedegenerar deficiencias del Sistema de Control Interno.

Es aquel que se asume por parte de los auditores que

TIPOS DE RIESGO

De deteccin

Es aquel que se asume por parte de los auditores queen su revisin no detecten deficiencias en el Sistemade Control Interno.

Inherente

Son aquellos que se presentan inherentes a lascaractersticas del Sistema de Control Interno.

Las empresas modernas tiene dentro de sus principalesintereses el enfrentamiento de manera activa a losriesgos que afectan su estabilidad y Seguridad Integral.De esta manera es importante la bsqueda dealternativas que permitan el tratamiento de stosRiesgos de manera consciente y razonada, de aqu

Actualidad

Riesgos de manera consciente y razonada, de aquque una de las tcnicas ms utilizadas, es la tcnicagerencial, que nos va posibilitar la manera integraldetectar, evaluar y manejar los riesgos de prdidas alos que se enfrenta la empresa moderna.

Gestin de Riesgos

Para cumplir con la gestin de riesgos el Analista deRiesgos despliega acciones propias de la direcciny gestin de la empresa con la especificidad delas ciencias y tcnicas aplicables a los riesgos y lasherramientas para su gestin. Como parteherramientas para su gestin. Como partefundamental de esa labor directiva debe procurarla mxima coordinacin con todas las reasoperativas de la empresa en la circulacin fluida dela informacin que tenga relacin con los riesgos.

3.4 Fuentes a Utilizar

. Polticas Normas y planes de seguridad Auditorias Anteriores, generales o parciales

Contratos de seguros de proveedores y de mantenimiento

.mantenimiento

Actas e informes de tcnicos y consultores

. Informes de acceso y visitas Polticas del personal

3.4 Fuentes a Utilizar

.

Inventarios de soportes, procedimientos de archivos, controles de salida, recuperacin de soporte, control de copias, etc..

Revisin del Hardware

Listar todo el hardware Especificar su utilizacin

Hacer estadsticas de uso y personas Modificaciones (cada equipo debe tener una Modificaciones (cada equipo debe tener una

bitcora de su vida)

Probar el hardware Comprobar su vida real, etc.

Revisin del Software

Solicitar los planos del software Solicitar programas operativos Solicitar programas de aplicacin

Solicitar bases de datos Hacer las pruebas del S.O con expertos, y con los Hacer las pruebas del S.O con expertos, y con los

operadores (observar las reacciones)

Revisin de la vida til del software Responsables del proyecto Diseadores

Revisin del Software

Probadores Fundamentos de aplicacin Analizar su uso