La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

DATA CENTER Como optimizar la gestión del control de accesos y vigilancia del CPD María Carmen Llena Bafaluy Gobierno de Aragón Noviembre 2007.

Presentaciones similares


Presentación del tema: "DATA CENTER Como optimizar la gestión del control de accesos y vigilancia del CPD María Carmen Llena Bafaluy Gobierno de Aragón Noviembre 2007."— Transcripción de la presentación:

1 DATA CENTER Como optimizar la gestión del control de accesos y vigilancia del CPD María Carmen Llena Bafaluy Gobierno de Aragón Noviembre 2007

2 Como optimizar la gestión del control de accesos y vigilancia del CPD Temario: I.Cuáles son las soluciones disponibles hoy en el mercado II.Control de accesos: Biometría, reconocimiento de voz… III.¿Qué medidas es importante implantar? IV.¿Quién va a entrar y para qué? V.¿Qué medidas de seguridad son imprescindibles?

3 Gestión del control de accesos y vigilancia del CPD Impedir accesos no autorizados, daños e interferencia a las sedes e información de la empresa Los CPDs deben estar ubicados en áreas protegidas y controles de acceso apropiados. Acceso restringido y controlado Es necesario controlar: –Acceso no autorizado a equipos, instalaciones, materiales y documentaciones. –Vigilancia contra el espionaje, sabotaje, daños o ladrones –Y prevención contra desastres naturales Necesidades: –Evaluar riesgos –Tener una política de acceso ( al equipo, instalaciones, materiales y documentaciones) –Conocer los diferentes elementos de acceso físico –Tener mecanismos de control de personal (identificación)

4 Gestión del control de accesos y vigilancia del CPD Error en el control de accesos CPD puede suponer pérdidas: –Disponibilidad de servicio –Financieras ó económicas –Prestigio de la empresa –Repercusiones legales –De credibilidad ó de la ventaja competitiva –Chantaje –Espionaje industrial …

5 Gestión del control de accesos y vigilancia del CPD Pasos en el Proceso de Gestión de Riesgos

6 Gestión del control de accesos y vigilancia del CPD Desastres naturales: –Fuego –Fallos de los controladores de entorno –Terremoto –Pérdida de líquidos –Relámpagos –Interrupción de suministro eléctrico El Factor humano, estadísticas: –72% robos, fraudes, sabotajes y accidentes son causados por los empleados de la propia compañía –20% consultores que tienen acceso a los edificios, sistema y información –5-8% a gente externa

7 Gestión del control de accesos y vigilancia del CPD Consecuencias violación del acceso al CPD: –Entrada no autorizada –Obtención de acreditaciones falsas –Modificación o supresión de datos internos –Robo de información secreta de la empresa, de equipos ó material –Chantaje –Fraude

8 Objetivos control de accesos y vigilancia del CPD Proteger a las personas, bienes y activos Garantizar la continuidad del negocio Proporcionar un entorno de confianza –Seguridad de los procesos de negocio –Confianza de clientes, empleados y socios –Identificación de nuevas oportunidades de negocio Cumplir el marco legal

9 Enfoque control de accesos y vigilancia del CPD 1.Cumplimiento legal y estándares 2.Políticas, normativas y procedimientos 3.Sistemas electrónicos de protección 4.Tarjetas de identificación y acreditación 5.Cerraduras y claves – jerarquización 6.Control de identidad y presencia 7.Logging de visitas y accesos autorizados 8.Centro de control de alarmas e incidencias 9.Protección y salvaguarda

10 ITIL gestión de servicios TI

11 ISO 17799: gestión de la seguridad de la información Política de seguridad Estructura organizativa de la seguridad Gestión de activos Seguridad de los RR.HH. Seguridad de los RR.HH. Seguridad física y del entorno Seguridad física y del entorno Gestión de operaciones y comunicaciones Gestión de operaciones y comunicaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas Adquisición, desarrollo y mantenimiento de sistemas Gestión de incidencias de seguridad Continuidad del negocio Cumplimiento legislación

12 Gestión de identidades: identificar y verificar con exactitud

13 Componentes clave de una solución integrada Comunicación IP – Dispositivos IP Wireless e integración de sistemas móviles Almacenamiento para gestionar gran cantidad de imágenes y contenidos de vídeo Gestión de identidades basado en Roles para acceder a activos físicos y de información Integración con aplicaciones existentes y futuras: estandarización

14 La integración requiere estandarización Soluciones integradas complejas requieren interfaces estándar –Los dispositivos tradicionales (cerraduras, lectores de tarjetas, cámaras, etc) utilizan normalmente protocolos propietarios difícilmente integrables –Sistemas de control de acceso físico cada vez usan más protocolos comunes (LDAP) aunque mantienen componentes propietarios debido a la falta de estándares Las nuevas tecnologías (biométrics) requieren estándares internacionales para alcanzar el mercado masivo El uso creciente de TI impulsa la adopción de estándares (de red, de vídeo, etc.)

15 Aplicar mejores prácticas Un plan claro que incluya objetivos y expectativas Desarrollo de un conjunto de políticas corporativas Que involucre a toda la empresa Clara definición del proceso de cómo los equipo de seguridad física y TI trabajan juntos ante un incidente Adecuar nivel de riesgo y nivel de seguridad, conscientemente Uso de los métodos de autenticación en tantas aplicaciones como sea posible Centralizar la gestión de credenciales y la provisión de identidades. Integrar con el sistema de RRHH Asegurarse de que la nueva infraestructura cumple estándares y protocolos IP Construye relaciones a largo plazo con los proveedores

16 Cuáles son las soluciones disponibles hoy en el mercado Mecanismos de control de personal. Métodos con tarjetas o tokens ó dispositivos biométricos Token es un objeto que lleva el usuario para autentificar su identidad. Propósito: validar al usuario para entrar al sistema

17 Tarjetas de acceso Tarjeta, dispositivo electrónico que contiene información codificada Tokens de reto-respuesta. El usuario facilita un objeto que posea (el token) y una información que conoce Dumb Cards: identificación mediante foto e información sensible Smart Cards: esta tarjeta requiere que el usuario entre un número de identificación personal (PIN)

18 Tipos de Tarjetas de Acceso Tarjetas de identificación fotográfica, se comprueban visualmente Tarjetas codificadas ópticamente contienen pequeños puntos grabados con láser que representan ceros y unos binarios que contienen el número de identificación codificado del individuo. Las tarjetas de circuitos eléctricos contienen un circuito impreso. Las tarjetas magnéticas, contienen partículas magnéticas que contienen, en forma codificada, el número de identificación permanente del usuario. Las tarjetas de barras metálicas contienen filas de barras de cobre. La presencia o ausencia de estas barras determinan el código.

19 Dispositivos Biométricos La biometría es una tecnología de seguridad basada en el reconocimiento de una característica física e intransferible de las personas, como por ejemplo la huella digital y firma. Los dispositivos biométricos utilizan algún tipo de dispositivo de entrada de datos, como una cámara de video, un escáner de retina, o un micrófono, para obtener información que es única para el individuo. En este proceso de autentificación se utiliza una representación digitalizada de las características biométricas del usuario (huellas digitales, voz, etc.). Los datos no cambian y no son necesariamente secretos. Las ventajas de este proceso de autentificación es que facilita datos inequívocamente correctos a los dispositivos de entrada. En teoría, los métodos biométricos son mucho más seguros que las tarjetas de identificación, tokens, etc. Los dispositivos biométricos utilizan un patrón identificador que posea cada individuo y que no pueda transferir. La biometría es INDIVIDUAL e INTRANSFERIBLE y nos permite AUTENTIFICAR ES quien dice SER

20 Dispositivos Biométricos. Parámetros generales 1.Intransferible 2.Escalable (a nivel de software y de instalación) 3.Cómodo para el usuario ya que no debe recordar una multitud de passwords 4.Seguro: uno de los mejores métodos de autenticación en los sistemas informáticos 5.Soluciona el problema de la transferibilidad de los passwords 6.Evita ataques de fuerza bruta 7.El password biométrico es mucho más robusto que una contraseña 8.Reconoce la responsabilidad del usuario en sus acciones

21 Dispositivos Biométricos. Pasos del proceso 1.Inscripción: se capturan diferentes muestras de las características biométricas de un individuo (como una imagen o una grabación) mediante un dispositivo de adquisición (p.ej.: un escáner o una cámara). 2.Plantilla de referencia: se hace una mediana las muestras capturadas y se las procesa para crear una plantilla de referencia que se almacena en forma de secuencias binarias. La cantidad de datos almacenados cambia según la tecnología seleccionada, pero normalmente está entre los 10 y los bytes. Una gran ventaja es que no es posible recrear la muestra a partir de la plantilla. Esta información se almacena en una base de datos en el propio dispositivo capturador, o en una tarjeta smart. 3.Verificación: se captura una muestra de la persona que intenta acceder a las instalaciones, se crea una plantilla y se compara con la plantilla de referencia almacenada. Como la muestra almacenada es una mediana, la coincidencia nunca es perfecta, por la cual cosa se debe establecer un umbral.

22 Dispositivos Biométricos.

23 Tipos de Dispositivos Biométricos. 1.Fisiológicas: Escaneo de huellas digitales Geometría de la Mano Escaneo de Retina Escaneo de Iris Reconocimiento Facial Forma de las venas ADN 2.Comportamentales Reconocimiento de Voz Reconocimiento de Firma Forma de teclear

24 ¿Qué medidas es importante implantar? 1.Perímetro de seguridad física 2.Controles de acceso físico 3.Protección de instalaciones 4.Desarrollo de tareas en áreas protegidas 5.Aislamiento en áreas de entrega y carga 6.Protección de equipamiento 7.Suministro de energía 8.Seguridad del cableado 9.Mantenimiento de equipos 10.Seguridad del equipamiento fuera del ámbito de la organización

25 Perímetro de seguridad física 1.El perímetro de seguridad debe estar claramente definido. 2.El perímetro debe ser físicamente sólido. Las paredes externas del área deben ser de construcción sólida y todas las puertas que comunican con el exterior deben ser adecuadamente protegidas contra accesos no autorizados, por ej., mediante mecanismos de control, vallas, alarmas, cerraduras, etc. 3.Debe existir un área de recepción atendida por personal u otros medios de control de acceso físico al área o edificio. El acceso a las distintas áreas y edificios debe estar restringido exclusivamente al personal autorizado. 4.Las barreras físicas deben, si es necesario, extenderse desde el piso (real) hasta el techo (real), a fin de impedir el ingreso no autorizado y la contaminación ambiental, por ejemplo, la ocasionada por incendio e inundación. 5.Todas las puertas de incendio de un perímetro de seguridad deben tener alarma y cerrarse automáticamente.

26 Controles de acceso físico 1.Los visitantes de áreas protegidas deben ser supervisados o inspeccionados y la fecha y horario de entrada y salida deben ser registrados. Sólo se debe permitir el acceso a los mismos con propósitos específicos y autorizados. 2.El acceso debe ser controlado y limitado exclusivamente a las personas autorizadas. Se deben utilizar controles de autenticación para autorizar y validar todos los accesos. Debe mantenerse un registro protegido que permita auditar todos los accesos. 3.Se debe requerir que todo el personal exhiba alguna forma de identificación visible. 4.Se deben revisar y actualizar periódicamente los derechos de acceso a las áreas protegidas.

27 Controles de acceso físico Las políticas de Acceso son las normas y procedimientos que regulan la forma en que una empresa o organización preserva, dispone y administra los riesgos de daño sobre los elementos físicos, la información guardada del CPD y también el personal. Aspectos: Confidencialidad Integridad Disponibilidad Consistencia Control Auditoria

28 Controles de acceso físico Pasos a seguir para establecer una política de acceso: 1.Identificar qué elementos hay que asegurar 2.Identificar posibles amenazas 3.Identificar las personas y formas de acceso a la información 4.Identificar los sitios de acceso 5.Clasificar la información según el grado de confidencialidad, disponibilidad o integridad. Establecer niveles de seguridad. 6.Asignar las responsabilidades a la dirección, administradores de seguridad de sistemas y usuarios finales. 7.Comprobar fiscalmente su sistema 8.Establecer un plan de acción en caso de vulneración de seguridad. 9.Difundir la política de seguridad por escrito 10.Educación y motivación a los usuarios 11.Aprobación por parte de la Directiva

29 Protección de instalaciones 1.Las instalaciones clave deben ubicarse en lugares a los cuales no pueda acceder el público. 2.Los edificios deben ser discretos y ofrecer un señalamiento mínimo de su propósito. 3.Las puertas y ventanas deben estar bloqueadas cuando no hay vigilancia 4.Se deben implementar adecuados sistemas de detección de intrusos. Los mismos deben ser instalados según estándares profesionales y probados periódicamente. 5.Las instalaciones de procesamiento de información administradas por la organización deben estar físicamente separadas de aquellas administradas por terceros. 6.Los guías telefónicas y listados de teléfonos internos que identifican las ubicaciones de las instalaciones de procesamiento de información sensible no deben ser fácilmente accesibles al público. 7.Los materiales peligrosos o combustibles deben ser almacenados en lugares seguros a una distancia prudencial del área protegida. 8.El equipamiento de resguardo deben estar situados a una distancia prudencial para evitar daños ocasionados por eventuales desastres en el sitio principal.

30 Desarrollo de tareas en áreas protegidas 1.El personal sólo debe tener conocimiento de la existencia de un área protegida, o de las actividades que se llevan a cabo dentro de la misma, según el criterio de necesidad de conocer. 2.Se debe evitar el trabajo no controlado en las áreas protegidas tanto por razones de seguridad como para evitar la posibilidad de que se lleven a cabo actividades maliciosas. 3.Las áreas protegidas desocupadas deben ser físicamente bloqueadas y periódicamente inspeccionadas. 4.El personal del servicio de soporte externo debe tener acceso limitado a las áreas protegidas o a las instalaciones de procesamiento de información sensible. Este acceso debe ser otorgado solamente cuando sea necesario y debe ser autorizado y monitoreado. Pueden requerirse barreras y perímetros adicionales para controlar el acceso físico entre áreas con diferentes requerimientos de seguridad, y que están ubicadas dentro del mismo perímetro de seguridad. 5.A menos que se autorice expresamente, no debe permitirse el ingreso de equipos fotográficos, de vídeo, audio u otro tipo de equipamiento que registre información.

31 Aislamiento en áreas de entrega y carga 1.El acceso a las áreas de entrega y carga, desde el exterior de la sede de la organización, debe estar limitado a personal que sea previamente identificado y autorizado. 2.El área de depósito debe ser diseñada de manera tal que los suministros puedan ser descargados sin que el personal que realiza la entrega acceda a otros sectores del edificio. 3.Todas las puertas exteriores de un área de depósito deben ser aseguradas cuando se abre la puerta interna. 4.El material entrante debe ser inspeccionado para descartar peligros potenciales antes de ser trasladado desde el área de depósito hasta el lugar de uso. 5.El material entrante debe ser registrado, al ingresar al sitio pertinente.

32 Protección del equipamiento 1.El equipamiento debe ser ubicado en un sitio que permita minimizar el acceso innecesario a las áreas de trabajo. 2.Las instalaciones de procesamiento y almacenamiento de información, que manejan datos sensibles, deben ubicarse en un sitio que permita reducir el riesgo de falta de supervisión de las mismas durante su uso. 3.Los ítems que requieren protección especial deben ser aislados para reducir el nivel general de protección requerida. 4.Se deben adoptar controles para minimizar el riesgo de amenazas potenciales de robo, incendio, explosivos, humo, agua, polvo, vibraciones, efectos químicos, interferencia en el suministro de energía eléctrica, radiación electromagnética. 5.La organización debe analizar su política respecto de comer, beber y fumar cerca de las instalaciones de procesamiento de información. 6.Se deben monitorear las condiciones ambientales para verificar que las mismas no afecten de manera adversa el funcionamiento de las instalaciones de procesamiento de la información. 7.Se debe considerar el impacto de un eventual desastre que tenga lugar en zonas próximas a la sede de la organización, por ej. un incendio en un edificio cercano, la filtración de agua desde el cielo raso o en pisos por debajo del nivel del suelo o una explosión en la calle.

33 Suministros de energía 1.Múltiples bocas de suministro para evitar un único punto de falla en el suministro de energía 2.Suministro de energía ininterrumpible (UPS) 3.Generador de respaldo.

34 Seguridad del cableado 1.Las líneas de energía eléctrica y telecomunicaciones que se conectan con las instalaciones de procesamiento de información deben ser subterráneas, siempre que sea posible, o sujetas a una adecuada protección alternativa. 2.El cableado de red debe estar protegido contra interceptación no autorizada o daño, por ejemplo mediante el uso de conductos o evitando trayectos que atraviesen áreas públicas. 3.Los cables de energía deben estar separados de los cables de comunicaciones para evitar interferencias. 4.Entre los controles adicionales a considerar para los sistemas sensibles o críticos se encuentran los siguientes Instalación de conductos blindados y recintos o cajas con cerradura en los puntos terminales y de inspección. Uso de rutas o medios de transmisión alternativos Uso de cableado de fibra óptica Iniciar barridos para eliminar dispositivos no autorizados conectados a los cables.

35 Mantenimiento de equipos 1.El equipamiento debe mantenerse de acuerdo con los intervalos servicio y especificaciones recomendados por el proveedor. 2.Sólo el personal de mantenimiento autorizado puede llevar a cabo reparaciones en el equipamiento. 3.Se deben mantener registros de todas las fallas supuestas o reales y de todo el mantenimiento preventivo y correctivo. 4.Deben implementarse controles cuando se retiran equipos de la sede de la organización para su mantenimiento.

36 Seguridad del equipamiento fuera del ámbito de la organización 1.El equipamiento y dispositivos retirados del ámbito de la organización no deben permanecer desatendidos en lugares públicos 2.Se deben respetar permanentemente las instrucciones del fabricante, por ej. protección por exposición a campos electromagnéticos fuertes. 3.Los controles de trabajo en domicilio deben ser determinados a partir de un análisis de riesgo y se aplicarán controles adecuados según corresponda. 4.Un adecuado mantenimiento debe estar en orden para proteger el equipamiento fuera del ámbito de la organización.

37 ¿Quién va a entrar y para qué? Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones. Todos los empleados y usuarios externos de las instalaciones de procesamiento de información deben firmar un acuerdo de confidencialidad (no revelación). Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información. Esto incluye el desarrollo de instrucciones operativas y procedimientos apropiados de respuesta a incidentes. Se debe implementar la separación de funciones, cuando corresponda, a fin de reducir el riesgo del uso negligente o mal uso deliberado del sistema.

38 Control de cambios Se deben documentar y mantener los procedimientos operativos identificados por la política de seguridad. Los procedimientos operativos deben ser tratados como documentos formales y los cambios deben ser autorizados por el nivel gerencial. Se deben controlar los cambios en los sistemas e instalaciones de procesamiento de información. El control inadecuado de estos cambios es una causa común de las fallas de seguridad y de sistemas. Se deben implementar responsabilidades y procedimientos gerenciales formales para garantizar un control satisfactorio de todos los cambios en el equipamiento, el software o los procedimientos. Los programas operativos deben estar sujetos a un control estricto de los cambios.

39 Planificación y aprobación Se requiere una planificación y preparación anticipada para garantizar la disponibilidad de capacidad y recursos adecuados. Se deben establecer criterios de aprobación para nuevos sistemas de información, actualizaciones ("upgrades") y nuevas versiones, y se deben llevar a cabo adecuadas pruebas de los sistemas antes de su aprobación.

40 ¿Qué medidas de seguridad son imprescindibles? 1.Controles de acceso físico 2.Perímetro de seguridad física 3.Protección de incendios, inundación, explosión, desastres naturales ó provocados por el hombre. 4.Seguridad de equipos informáticos 5.Redundancia

41 ¿Qué medidas de seguridad son imprescindibles?

42 Seguridad del Personal y seguridad Física: Puerta de Acceso de Cerrojo, Puerta de Acceso de Combinación (Cerraduras Cifradas), Puertas con Acceso Electrónico, Puertas con Acceso Biométrico. Registro Manual, Registro Electrónico. Identificaciones Fotográficas. Guardias de Seguridad. Cámaras de Vídeo Acceso Controlado de Visitantes Personal estable Puertas de Control Asegurar la integridad en el transporte de documentos. No revelar la situación de las instalaciones críticas. Candados de Seguridad de Máquinas. Control del CPD. Sistema de Alarma.

43 ¿Qué medidas de seguridad son imprescindibles? Seguridad de los equipos informáticos y adaptación del lugar: La sala de programadores, equipos informáticos, cintas, discos y medios magnéticos en general, suministros, equipos de telecomunicaciones: radios, satélites, alumbrado, módems y conexiones de red externas, Fuentes de Energía Eliminación de basura Equipos portátiles (escáneres y dispositivos de codificación manuales, lectores de código de barra, computadoras portátiles o ODSWRS y libretas de anotaciones de LAN de bolsillo y otros).

44 El futuro Establecer una política de seguridad por escrito y comunicarla a todas las partes operantes. No todos los desastres se consideran iguales Niveles de estrategias (por tipología de desastre) Dos esquemas de seguridad (personas y equipos) Capacidad de gestión remota adquiere mayor importancia Planes de recuperación diseñados para ser usados por especialistas externos Mas importancia a perfiles de auditores, aseguradores, legisladores

45 ¿Preguntas?


Descargar ppt "DATA CENTER Como optimizar la gestión del control de accesos y vigilancia del CPD María Carmen Llena Bafaluy Gobierno de Aragón Noviembre 2007."

Presentaciones similares


Anuncios Google