Seguridad Fisica

1,378 views

Published on

"Seguridad Fisica" del MSc. Ing. Juan Pablo Barriga Sapiencia, desarrollada en el III Congreso Internacional de Informática Forense y Hacking Ético, desarrollado en la ciudad de Tarija en Bolivia el Sábado 03 de Mayo del 2014

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,378
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
63
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Seguridad Fisica

  1. 1. Msc. Ing. Juan Pablo Barriga Sapiencia “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” K. Mitnick
  2. 2. HTTP://WWW.INFORMADOR.COM.MX/1968/HACKERS
  3. 3. TIPOS DE SEGURIDAD SEGURIDAD LOGICA SEGURIDAD DE LAS COMUNICACIONES SEGURIDAD FISICA Y AMBIENTAL
  4. 4. SEGURIDAD FISICA Y AMBIENTAL  Acceso no autorizado  Daño, vandalismo o robo de equipos o documentos  Copia o visualización de información sensible  Alteración de equipos e información sensible  Revelación de información sensible  Desastres naturales
  5. 5. ISO 27002 (9) O ISO 27001 (A9)
  6. 6. A.9 Seguridad física y ambiental A9.1 Áreas seguras A9.1.1 Perímetro de seguridad física Se debe utilizar perímetros de seguridad (barreras tales como paredes y puertas de ingreso controlado o recepcionistas) para proteger áreas que contienen información y medios de procesamiento de información. SI A9.1.2 Controles de entrada físicos Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se permita acceso al personal autorizado. SI A9.1.3 Seguridad de oficinas, habitaciones y medios Se debe diseñar y aplicar seguridad física en las oficinas, habitaciones y medios. SI A9.1.4 Protección contra amenazas externas y ambientales Se debe diseñar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, disturbios civiles y otras formas de desastre natural o creado por el hombre. SI A9.1.5 Trabajo en áreas seguras Se debe diseñar y aplicar protección física y lineamientos para trabajar en áreas seguras. Parcial A9.1.6 Áreas de acceso público, entrega y carga Se deben controlar los puntos de acceso como las áreas de entrega y descarga y otros puntos donde personas no-autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislar de los medios de procesamiento de la información para evitar un acceso no autorizado. NO No se cuenta con un área de entrega y carga de mercancía.
  7. 7. A9.2 SEGURIDAD DE LOS EQUIPOS A9.2.1 Ubicación y protección de equipos Los equipo de deben estar ubicados o protegidos para reducir el riesgo debido a amenazas o peligros del entorno y las oportunidades de acceso no autorizado. SI A9.2.2 Servicio de suministros Los equipo de deben estar protegidos contra fallas en el suministro de energía y otras anomalías causadas en los servicios de suministro SI A9.2.3 Seguridad del cableado el cableado de energía eléctrica y telecomunicaciones que trasporta datos o presta soporte a los servicios de información deben estar protegidos contra interrupciones o daños SI A9.2.4 Mantenimiento de los equipos El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad SI A9.2.5 Seguridad de los equipos fuera de las instalaciones Se debe aplicar seguridad al equipo fuera-del- local tomando en cuenta los diferentes riesgos de trabajar fuera del local de la organización. SI A9.2.6 Seguridad de la reutilización o eliminación de los equipos Todos los ítems de equipo que contengan medios de almacenaje deben ser chequeados para asegurar que se haya removido o sobre-escrito de manera segura cualquier data confidencial y software con licencia antes de su eliminación. SI A9.2.7 Retiro de activos Control Equipos, información o software no deben ser sacados fuera de la propiedad sin previa autorización. SI
  8. 8. LO QUE PASA  Bitácoras en papel de acceso al centro de datos  Cámaras de seguridad  Control de acceso  Gafetes  Portátiles Robadas en las oficinas  Computadoras sin contraseñas  Control físico de equipos  Contraseñas por defecto  Se deben realizar pruebas periódicas de que todo está seguro AUDITORIA
  9. 9. SEGURIDAD AMBIENTAL EJEMPLO: EXTINTORES DE INCENDIO  Revisar mensualmente  Ubicación visible, fácil acceso libre de obstáculos  Altura no mayor a 1.5m del piso a la parte superior del extintor  Elegir el tipo adecuado y el tamaño
  10. 10. LOCK PICKING  Lockpicking es el arte de abrir cerraduras sin su llave original utilizando ganzúas u otro tipo de métodos no destructivos. Es una forma de abrir cerraduras causando menos daños que con la fuerza bruta.
  11. 11. INGENIERÍA SOCIAL  El arte del engaño obtener información manipulando a las personas  Todos queremos ayudar.  El primer movimiento es siempre de confianza hacia el otro.  No nos gusta decir No.  A todos nos gusta que nos alaben.
  12. 12. PIGGYBACKING  Consiste simplemente en seguir a un usuario autorizado hasta un área restringida y acceder a la misma gracias a la autorización otorgada a dicho usuario
  13. 13. DUMPSTER DIVING  La búsqueda de información valiosa en la basura es una práctica que puede resultar riesgosa para una empresa. Allí van a parar muchos datos importantes que figuran en notas, documentos confidenciales, configuraciones, e-mails, memorandos internos, computadoras en desuso, entre otras cosas.
  14. 14. SHOULDER SURFING  La práctica de mirar por encima del hombro de una persona.  Cualquiera situado cerca de una persona que está accediendo a un sistema puede leer más o menos claramente una clave tecleada.
  15. 15. EAVESDROPPING  “parar la oreja”. En este caso, se trata de una técnica para capturar información privilegiada afinando el oído cuando se está cerca de conversaciones privadas.
  16. 16. KEY LOGGERS LÓGICOS Y FÍSICOS VIDEO LOGGERS CONTRASEÑAS POR DEFECTO DISPOSITIVOS MÓVILES PERDIDOS MEMORIAS USB PERDIDAS CÁMARAS DE SEGURIDAD
  17. 17. CIBER SECURITY ENVOLVED  https://www.youtube.com/watch?v=l_XOrcBxy-E
  18. 18. ¿QUE REVISAR?  Alrededores de la compañía  Edificio  Recepción  Servidores - Data Center  Estaciones de trabajo  Control de Acceso – biométricos  Cableado  Acceso remoto  Cerraduras
  19. 19. FASES DE LA AUDITORIA FÍSICA - EDPAA  Fase 1 : Alcance de la auditoria  Fase 2: Adquisición de información general  Fase 3 : Administración y planificación  Fase 4 : Plan de auditoria  Fase 5 : Resultado de las pruebas  Fase 6 : conclusiones y comentarios  Fase 7 : Borrador del informe  Fase 8 : Discusión con los responsables del área  Fase 9 : Informe Final
  20. 20. PROBLEMAS EXPOSICIONES AMBIENTALES  Fallo total (apagón)  Voltaje severamente reducido (caída de voltaje)  Sobre voltaje  Interferencia electromagnética (EMI)
  21. 21. CONTROLES PARA EXPOSICIONES AMBIENTALES  Paneles de alarmas  Detectores de agua  Extintores manuales de incendio  Alarmas manuales de incendios  Detectores de humo  Sistemas de supresión de incendios  Ubicación estratégica de la sala de datos  Protectores de voltaje  SAI - UPS
  22. 22. PROBLEMAS DE ACCESO FISICO  Acceso no autorizado  Daño, vandalismo o robo de documentos  Copia o visualización de información sensible  Alteración de equipos o información sensible  Revelación de información sensible  Chantaje  Fraude
  23. 23. CONTROLES ACCESO FÍSICO  Cerraduras (pestillo, electrónicas, biométricas)  Registros manuales y digitales  Tarjetas de identificación  Cámaras de vigilancia  Guardias de seguridad  Acceso controlado de visitantes  Bloqueo de estaciones de trabajo  Punto único de entrada controlado  Sistema de alarma  Distribución segura de informes  Ventanas
  24. 24. GRACIAS!!! Hasta la próxima Hasta la próxima

×