SEGURIDAD FISICA Ing. Yolfer Hernández, CIA Seguridad y Auditoria de Sistemas Ciclo

Seguridad Física: Definición, Riesgos, control de accesos Exposiciones físicas y del medio ambiente. Controles físicos y del medio ambiente. Ejemplo: Protección mediante llaves de hardware Temario - Seguridad Física

“La seguridad física es la aplicación de barreras físicas, procedimientos de control y de seguridad, como medidas prevención y corrección ante las amenazas o riesgos de los recursos informáticos, dentro y alrededor del Centro de Procesamiento, incluyendo a los que acceden en forma remota”. Seguridad Física - Definición Fuentes: - Huerta, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2 Digital - Open Publication License v ISO British Standard [BS] 7799

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc.; la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos se prevén, otros, no, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Seguridad Física

1.Incendios 2.Inundaciones 3.Condiciones Climatológicas 4.Sismos 5.Señales de Radar 6.Instalaciones Eléctricas 7.Ergometría Tipos de Riesgos

Acciones Hostiles 1. Robo 2. Fraude 3.Sabotaje 4.Terrorismo 5.Actos vandálicos

Areas Seguras. Perímetro que cuenta con barreras de seguridad y controles de entradas apropiados para el procesamiento y tratamiento de información critica para la organización. Controles en: - Barreras, Puertas controladas - Controles físicos de entrada - Seguridad de Oficinas despachos y recursos - Procedimientos de trabajo en áreas seguras, etc. Seguridad Física

Seguridad en los equipos : Los equipos deben estar físicamente protegidos de las amenazas y riesgos del entorno para disminuir el riesgo de accesos no autorizados a los datos y protegerlo contra pérdidas o daños. Controles en: - Instalación y protección de los equipos - Suministro eléctrico - Seguridad del cableado - Mantenimiento de los equipos - Seguridad de los equipos fuera de los locales de la empresa - Seguridad en el re-uso o eliminación de equipos. Seguridad Física

Controles Generales:  Políticas de puesto de trabajo despejado y bloqueo de pantalla  Extracción de pertenencias (activos) Seguridad Física

Exposiciones físicas y del medio ambiente Instalaciones a ser protegidas: Area de Programación. Sala de Cómputo Librerías de cintas, cintas, discos y todos los medios magnéticos. Suministros y cuartos de almacenamiento. Facilidades de almacenamiento de archivos de respaldo Off-Site.

Exposiciones físicas y del medio ambiente Sala de control de Entrada /Salida. Armario de comunicaciones. Equipo de telecomunicaciones. Computadoras personales. Fuentes de poder. Líneas dedicadas. Redes de Area Local.

Las tareas asociadas con los controles físicos y ambientales incluyen lo sgte: Evaluación de los controles de seguridad física y ambiental Prueba de Controles sobre protección ambiental y seguridad física. Evaluación de la seguridad física del medio ambiente. Considerar todos los componentes de los ambientes de procesamiento Objetivos

1.Utilización de Guardias 2.Utilización de Detectores de Metales 3.Utilización de Sistemas Biométricos 4.Verificación Automática de Firmas 5.Seguridad con Animales 6.Protección Electrónica Control de Accesos

Controles físicos Bolting Door Locks (Llave de metal). Combination Door Locks (cipher locks), keypad numerico o dial Electronic Door Locks (magnetico o chip en tarjeta plastica). Biometric Door Locks. Logged Entry (numero de ingreso pregrabado no editable ). Photo IDs. Video Cameras. Security Guards. Controlled Visitors Access Bonded Maintenace Personnel (Vigilantes autorizados) Deadman Doors (doble puerta controlada). Alarm System

Controles de medio ambiente Detectores de Agua Extinguidores Hand-held Detectores de humo. Sistemas automaticos de apaga incendios Localizacion estratégica de sala de CC. Inspeccciones regulares de Bomberos

Otros productos de seguridad física Identificación con radio-frecuenciasradio-frecuencias Llaves de hardware Filtros de privacidadprivacidad

Protección mediante llaves de hardware Para puerto USB Para puerto paralelo

Las llaves de hardware permiten  Establecer un anillo de seguridad física alrededor de las aplicaciones.  Controlar la ejecución de software entregado como demos o brindado a intermediarios.  Establecer mecanismos de acceso a partes de la aplicación a partir de elementos programados en la llave.

Protección mediante llaves de hardware Aplicación protegida Driver de la llave Llave de hardware La aplicación consulta al driver El Driver envía la consulta a la llave Driver envía la respuesta a la aplicación La llave genera la respuesta a la consulta

Tipos de Protección Integrada: El programador incorpora código de consulta a la llave. Automática: Se utiliza un utilitario para crear un anillo de seguridad alrededor del ejecutable. Permite establecer fechas de expiración, límite de ejecuciones de la aplicación y contadores

Conclusiones Tener controlado el ambiente y acceso físico permite: Disminuir siniestros Trabajar mejor manteniendo la sensación de seguridad Descartar falsas hipótesis si se produjeran incidentes Tener los medios para luchar contra accidentes