AUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS Controles Ambientales y Controles de Acceso Fsico: Seguridad fsica,
Ing. Percy Bravo Balden
AUDITORIA DE SISTEMAS
REAS SEGURASPermetro de Seguridad Control de Accesos Oficinas y Despachos El Trabajo en reas Seguras Zonas de Carga
AUDITORIA DE SISTEMAS
OBJETIVO DE LAS REAS SEGURAS Impedir accesos no autorizados, daos e interferencia en las sedes e informacin de la empresa, por lo que se recomienda la implementacin de polticas de escritorios y pantallas limpias para reducir estos riesgos, adems las instalaciones de procesamiento de informacin crtica o sensible deben estar en reas protegidas con un permetro de seguridad definido por: vallas y controles de acceso apropiados. La proteccin debe ser proporcional a los riesgos identificados.
AUDITORIA DE SISTEMAS
PERMETRO DE SEGURIDAD
AUDITORIA DE SISTEMAS
PROTECCIN FSICALa proteccin fsica, puede llevarse a cabo mediante la creacin de diversas barreras fsicas Las sedes de la organizacin D O N D E Cada barrera establece un permetro de seguridad y cada uno de los cuales incrementa la proteccin total provista
Las instalaciones de procesamiento de informacin
AUDITORIA DE SISTEMAS
QU ES UN PERMETRO DE SEGURIDAD? Un permetro de seguridad es algo delimitado por una barrera. Por Ej.
Una ParedUna puerta con acceso mediante tarjeta
Una persona en escritorio
Una oficina de recepcin atendida por personas
El emplazamiento y la fortaleza de cada barrera dependern de los resultados de una evaluacin de riesgos.
LINEAMIENTOS Y CONTROLESEl permetro de seguridad debe estar claramente definido Fsicamente slido
AUDITORIA DE SISTEMAS
Es decir, no deben existir aberturas en el permetro o reas fciles de irrumpirpor ej., mediante mecanismos de control, vallas, alarmas, cerraduras, etc.
El permetro de un edificio o rea que contenga instalaciones de procesamiento de informacinTodas las puertas exteriores deben ser protegidas contra accesos no autorizados Debe existir un rea de recepcin atendida por personal u otros medios de control de acceso fsico al rea o edificio
Donde
El acceso a las distintas reas y edificios debe estar restringido exclusivamente al personal autorizado
AUDITORIA DE SISTEMAS
LINEAMIENTOS Y CONTROLESLas barreras fsicas deben, si es necesario, extenderse desde el piso hasta el techo, a fin de impedir el ingreso no autorizado y la contaminacin ambiental por ejemplo, el ingreso de terceros, incendios e inundaciones.
Todas las puertas de incendio de un permetro de seguridad deben tener alarma y cerrarse automticamente.
AUDITORIA DE SISTEMAS
CONTROLES DE ACCESO FSICO
AUDITORIA DE SISTEMAS
Las reas protegidas deben ser resguardadas por adecuados controles de acceso que permitan garantizar que slo se admite el paso de personal autorizado a los sistemas de informacin y a las instalaciones de la empresa.
QU PERMITEN LOS CONTROLES DE ACCESO?
CONTROLESLos visitantes de reas protegidas deben ser supervisados o inspeccionados Y
AUDITORIA DE SISTEMAS
Se debe permitir el acceso con La fecha y horario de su ingreso y egreso Slo propsitos especficos y autorizados, instruyndose al deben ser visitante sobre los avisos de registrados seguridad del rea y las tcticas de emergencia.
El acceso a la informacin sensible, y a las instalaciones donde son procesadas
d e b es e r
Controlado y limitado exclusivamente a las personas autorizadas. Se deben utilizar controles de autenticacin
E Tarjeta y nmero de j e identificacin personal, para m autorizar y validar todos los p accesos. l o
CONTROLESDebe mantenerse una pista protegida que permita auditar todos los accesos Todo el personal debe exhibir alguna identificacin visible y se lo debe alentar a cuestionar la presencia de desconocidos no escoltados y a quien no exhiba una identificacin
AUDITORIA DE SISTEMAS
Se deben revisar y actualizar peridicamente los derechos de acceso a las reas protegidas
AUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS
Daos ocasionados por :
Medidas de seguridad para las oficinas e instalaciones:
AUDITORIA DE SISTEMAS
Se deben considerar los siguientes controles:Buena ubicacin de las instalaciones, en lugares donde no pueda acceder el pblico.
Puertas y Ventanas aseguradas, edificio con vigilancia continua.
AUDITORIA DE SISTEMAS
Desarrollo de tareas en reas protegidas Para incrementar la seguridad de un rea protegida pueden requerirse controles y lineamientos adicionales. Esto incluye controles para el personal o terceras partes que trabajan en el rea protegida, as como para las actividades de terceros que tengan lugar all. Se debern tener en cuenta los siguientes puntos:
Puntos a considerar:El personal slo debe tener conocimiento de la existencia de un rea protegida, o de las actividades que se llevan a cabo dentro de la misma, segn el criterio de necesidad de conocer.Se debe evitar el trabajo no controlado en las reas protegidas tanto por razones de seguridad como para evitar la posibilidad de que se lleven a cabo actividades maliciosas. Las reas protegidas desocupadas deben ser fsicamente bloqueadas y peridicamente inspeccionadas. El personal del servicio de soporte externo debe tener acceso limitado a las reas protegidas o a las instalaciones de procesamiento de informacin sensible. A menos que se autorice expresamente, no debe permitirse el ingreso de equipos fotogrficos, de vdeo, audio u otro tipo de equipamiento que registre informacin
AUDITORIA DE SISTEMAS
Aislamiento de las reas de entrega y carga
AUDITORIA DE SISTEMAS
Acceso a personal identificado y autorizado.
reas de entrega diseadas para la fcil entrega del suministro.Qu Hacer? Puertas exteriores deben estar cerradas o aseguradas. El material debe ser inspeccionado y registrado antes de su ingreso y posterior uso.
AUDITORIA DE SISTEMAS
Ubicacin y Proteccin del Equipamiento
AUDITORIA DE SISTEMAS
Seguridad de los EquiposOBJETIVO
Reducir los riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado
AUDITORIA DE SISTEMAS
Seguridad de los Equipos Las instalaciones se deben ubicar en un lugar de fcil supervisin Minimizar el acceso innecesario a las reas de trabajo Establecer polticas dentro de las instalaciones de los sistemas de informacin. Controles para minimizar el riesgo de amenazas potenciales Los tems que requieren proteccin especial deben ser aislados Monitorear las condiciones Ambientales
AUDITORIA DE SISTEMAS
Seguridad de los Equipos Proteccin especial para los instrumentos ubicados en reas industriales. Considerar el impacto de un eventual desastre que tenga lugar en zonas prximas a la sede de la organizacin.
AUDITORIA DE SISTEMAS
Riesgos de amenazas potenciales
AUDITORIA DE SISTEMAS
SUMINISTROS DE ENERGIA
El equipo debe estar protegido
Contra posibles fallas elctricas y debe contar Con un adecuado suministro de energa De acuerdo a las especificaciones del Proveedor o fabricante
a) mltiples bocas de suministro para evitar un nico punto de falla en el suministro de energa
b)suministro de energaininterrumpible (UPS) c)generador de respaldo.
AUDITORIA DE SISTEMAS
SEGURIDAD DEL CABLEADO
Las lneas de energa elctrica y telecomunicaciones que se conectan con las instalaciones de procesamiento de informacin deben ser subterrneas, siempre que sea posible, o sujetas a una adecuada proteccin alternativa. El cableado de red debe estar protegido contra interceptacin no autorizada o dao. Los cables de energa deben estar separados de los cables de comunicaciones para evitar interferencias.
AUDITORIA DE SISTEMAS
Entre los controles adicionales a considerar para los sistemas sensibles o crticos se encuentran los siguientes instalacin de conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspeccin. uso de rutas o medios de transmisin alternativos uso de cableado de fibra ptica iniciar barridos para eliminar dispositivos no autorizados conectados a los cables.
AUDITORIA DE SISTEMAS
Mantenimiento de Equipos
Debe ser en forma adecuada para asegurar su disponibilidad e integridad.
AUDITORIA DE SISTEMAS
Seguridad Fuera
Debe ser autorizado por el nivel gerencial
AUDITORIA DE SISTEMAS
Reutilizacin y Mantenimiento
Deben de ser controlados para asegurar que han sido eliminados o sobrescritos antes de su baja.
AUDITORIA DE SISTEMAS
Controles Generales
AUDITORIA DE SISTEMAS
Objetivo.Impedir la exposicin de la informacin a:2
Robos.
1
3
Fallos en las instalaciones de procesamiento.
Riesgos.
Clasificacin:
AUDITORIA DE SISTEMAS
CONTROLES GENERALES
1) Poltica de escritorios y pantallas limpias
2) Salidas de Equipos o Informacin
1.- Poltica de escritorios AUDITORIA DE SISTEMAS y pantallas limpias.a)Proteger Adopcin de poltica de escritorios limpios Documentos en papel Dispositivos de almacenamiento removibles
b)
Adopcin de poltica de pantallas limpias
a) Acceso no
Reducir riesgos
autorizado
b) Prdida o daoinformacin
de la
AUDITORIA DE SISTEMAS Poltica de escritorios y pantallas limpias.-
Informacin
E X P U E S T A
Daos o destrozos
Escritorio
Medidas para evitar daos o destrozos en caso de haber desastres.1
AUDITORIA DE SISTEMAS
Documentos en papel y medios informticos
Almacenados 2 Informacin sensible
Medidas para evitar daos o destrozos en caso de haber desastres.No3
AUDITORIA DE SISTEMAS
Si
Computadoras personales e impresoras
4 Puntos de recepcin y envo de correo
Proteger
Medidas para evitar daos o destrozos en caso de haber desastres.5 Fotocopiadoras Deben estar Bloqueadas
AUDITORIA DE SISTEMAS
6
Informacin sensible y confidencial
Una vez Impresa
Debe Retirarse
AUDITORIA DE SISTEMAS
2.- Salidas de Equipos o Informacin1)
Equipamiento
Informacin
Software
No deben ser retirados de la organizacinsin
Autorizacin
AUDITORIA DE SISTEMAS
2.- Salidas de Equipos o Informacin
1) Loggedout Debern ser: 2) Logged in
Equipos
HABLEMOS DE SEGURIDAD FSICA Y DEL ENTORNO!!!!!! Y si no lo hacemos, estemos preparados...
AUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS
BIBLIOGRAFIASeguridad Fsica y del Entorno
Top Related