Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

AUDITORIA DE SEGURIDAD FISICA

No description
by

SNID CERON

on 19 November 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of AUDITORIA DE SEGURIDAD FISICA

AUDITORIA SE SEGURIDAD FISICA
INTRODUCCION
El estudio de la seguridad de un sistema de información tradicionalmente se suele dividir en dos grandes bloques: Seguridad Lógica y seguridad física.
Un sistema de información esta expuesto a amenazas, para las cuales se crean medidas de protección y salvaguardas, y estos tipos de amenazas pueden ser Físicas o lógicas, por eso se dividen en dos bloques, tanto de amenazas como de seguridad.
Presentado Por:

Snid Johanna Ceron Osorio
AUDITORÍA DE SEGURIDAD FISICA
Pero dicha diferencia, cada vez es mas difusa, ya que los elementos de los salvaguardas técnicos se utilizan para proteger tantos activos de carácter físicos como lógicos.
Para entender un poco lo que es la seguridad Física, vamos a decir que son esas medidas de seguridad que se aplica a cualquier sistema de información para protegerlo de amenazas físicas que vienen de la naturaleza, así como de los mismo medios técnicos y también para ser protegidas de las mismas personas.
AMENAZA TIPO LOGICO
Atacan mas que todo la confidencialidad, como integridad y disponibilidad de la información, pero las amenazas Físicas atacan mas que todo la disponibilidad.

La seguridad lógica es la rama de la seguridad informática mas conocida y a la que mas importancia se le da, pero las amenazas de ámbito físico, son las que le dan problemas al sistema de información.
Si hablamos amenazas Físicas, el ejemplo mas representativo serían los desastres naturales, los cuales afectan la infraestructura, y por ende afecta los sistemas de información.
Si un ataque de ámbito Lógico ataca el sistema de información, lo puede dejar fuera de servicio por un largo tiempo, mientras que si lo ataca una amenaza Física, lo puede dejarlo inoperativo para siempre.
AMENAZA TIPO FISICO
Para que se lleve a cabo un ataque Lógico a un sistema de información, no solo se debe tener un avanzado conocimiento tecnológico, si no que se debe acarrear con el coste monetario que este conlleva, a diferencia de la amenazas físicas, para hacer efectiva esta última, no se necesita de grandes conocimientos y/o medios técnicos.
4 Normas:
Las cuatro normas básicas de la seguridad física tradicional son: Evitar, retrasar, detectar y defender y cuando nos referimos a defender, queremos decir que se debe dar una respuesta activa contra esa amenaza, con un sistema de seguridad Física.
GESTIÓN DEL ENTORNO FÍSICO
Para disponer de una referencia de buenas prácticas en el campo de la auditoría y el control de los sistemas, se pueden utilizar los objetivos de control para la Tecnología y la información relacionada (Cobit)
La gestión del entorno físico deben tener la definición de los requisitos que deben cumplir los edificios donde van a estar los elementos de información.
SEGURIDAD FISICA VR SEGURIDAD LOGICA
Según COBIT, el objetivo del control del alto nivel DS 12, acerca del entorno físico es un control sobre el proceso de TI y dicho objetivo esta puesto para proporcionar y tener un adecuado para proteger los activos de TI contra acceso, daño o en su defecto un robo.
Según COBIT, el objetivo del control del alto nivel DS 12, acerca del entorno físico es un control sobre el proceso de TI y dicho objetivo esta puesto para proporcionar y tener un adecuado para proteger los activos de TI contra acceso, daño o en su defecto un robo.
Para medir la efectividad, es necesario utilizar los siguientes indicadores:
Tiempo sin servicio ocasionado por incidentes relacionados con el entorno físico.
Número de incidentes ocasionados por fallos o vulnerabilidades de seguridad física.
Frecuencia de la revisión
Evaluación de los riesgos físicos.
El objetivo de control de alto nivel, gestión del entorno físico, se descompone en los cinco objetivos de control detallado que se describen a continuación.
5. Gestión de las instalaciones
Se deben gestionar las instalaciones y eso incluye los equipos de comunicación y suministros de energía de acuerdo con las leyes, los requerimientos técnicos y del negocio, las especificaciones del proveedor y a la salud en el trabajo.
Cuando se diseña un centro de procesos de datos, se debe crear teniendo en cuenta los riesgos de desastres naturales y los daños provocados por los hombres.
1. Selección y diseño de los centros de proceso de datos
2. Medidas de seguridad Física
Se debe definir e implementar las medidas de seguridad físicas alineadas con los requerimientos del negocio.
No hay que limitarse en las zonas de seguridad y la ubicación de los equipos críticos. Se deben definir las responsabilidades relativas de los procedimientos de supervisión.
3. Acceso Físico
Se deben definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de acuerdo con las necesidades del negocio, incluyendo los accesos en caso de emergencia.
Toda persona que ingrese a las instalaciones, debe justificar su ingreso, y esto aplica para el personal propio, clientes , proveedores u otra personas.
Se deben diseñar e implementar medidas de protección contra factores ambientales. Deben instalarse dispositivos y equipos adecuados para la supervisión del entorno
4. Protección en contra los factores ambientales
SEGURIDAD FISICA Y DEL ENTORNO
Si se habla de la seguridad de la información , la norma que lo rige es la ISO 27002:2005, la anterior ISO 17799:2005, buenas practicas para la gestión de la información , es una referencia que siempre se debe tener en cuenta.
Se deben establecer áreas adecuadas para almacenar los soportes de información.
Se debe tener un control restringido para el personal que ingresa a manejar dicha información.
Se deben aplicar medidas de protección en caso de incendio.
Los equipos deben ser instalados en áreas seguras y protegerlos de amenazas provenientes del entorno.
Se debe tener una política de control de acceso, basada en los requisitos de seguridad del negocio. Debe establecerse un procedimiento formal de registro en los requisitos de altas y bajas para garantizar el acceso a todos los sistemas de información. Deben restringirse la asignación de privilegios de acceso. También se deben tener medidas de seguridad para que los equipos desatendidos tengan protección adecuada.
CONTROL DE ACCESO
CSCN DEL MAP-SEGURIDAD FÍSICA
Un tema que no se puede obviar cuando se habla de seguridad informática es Criterio de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades (CSCN).
Las dos áreas de los CSCN son de aplicación a la seguridad física de los sistemas de información.
SEGURIDAD FISICA
Criterios: Las medidas que garanticen la seguridad de los locales que se deben proteger debe estar equilibrada basada en requisitos de seguridad.
Deben existir barreras físicas en los techos y en el suelo para prevenir ya sea entradas no autorizadas o contaminación del entorno
AMENAZAS LOCALES POTENCIALES
El establecimiento o local debe estar protegido de amenazas de tipo:
Eléctricas: Realización de un proyecto eléctrico para la instalación
Incendios: Cumpliendo las normas relativas, como vigilando la señalización, prohibiciones de fumar.
Climatización: Instalar sistemas de control de la temperatura y de la humedad.
RECOMENDACIONES
Cuando se va a borrar algún tipo dato, se deben utilizar los mecanismos adecuados. Existen algunas recomendaciones para llevar este procedimiento a cabo:
Proteger entrada y salida de correos.
Considerar que el nivel de seguridad aparezca de forma inequívoca en todos los soportes
CONTROLES DE SEGURIDAD
Cuando se va hacer un sistema de seguridad físico, se debe tener en cuenta que tipo de riesgos existen, y de esa manera, se pueden implementar los salvaguardas necesarias para alcanzar el nivel de riesgo asumido.
Perimetro de seguridad fisica
La existencia de dicho perímetro implica ciertas medidas de protección de este último:
Debe tener un acceso de ingreso totalmente vigilado.
Desarrollo de control
Perímetro de seguridad física.
Perímetro claramente definido con una valla, muro o similar.
Construcción resistente.
Puertas de acceso.
Mínimo número de entradas.
Ventanas.
Acceso a través de un área de recepción.
Separación de áreas gestionadas por terceros.
Control de Entradas
Si se quiere tener un control adecuado dentro de las instalaciones, se debe tener una seria de controles detallados que garanticen los accesos a las físicos, y como parte de esos controles, se debe tener muy en cuenta, el control sobre las oficinas y esto lleva a tener un control de las llaves.
Desarrollo de Control
Control de los accesos.
Alimentación redundante.
Mecanismos de identificación.
Sistema de detección de intrusión centralizado.
Control de Visitas
Pases o identificaciones.
Accesos cerrados fuera de las horas de trabajo
PLANIFICACIÓN Y EJECUCIÓN DE LA AUDITORIA DE LA SEGURIDAD FÍSICA
La auditoria de la seguridad física es una de las partes en las que se divide la auditoria de sistemas y se aplican los mismo principios como en cualquier otro tipo de auditoría
Pueden existir dos diferencias notables: La primera es que se esta auditando algo físico y se puede sacar documentación mucho mas fácil y la segunda es que los controles a auditar son algo complejos.
Cuestionario
Dicho cuestionario nos puede ayudar para obtener evidencia del grado de implantación de los controles de seguridad física en una organización.
Otra alternativa puede ser agrupando los controles, así como hacen las normas y estándares a los que se ha hecho referencia anteriormente. La ISO-27002 propone:
Seguridad Física y del entorno.
Control del acceso
Conclusiones
Ya todos sabemos que para cualquier ente, es muy importante tener un sistema de información protegido, ya que existen múltiples tipos de amenazas que pueden dañar dicha información.
No se necesita tener un conocimiento tecnológico muy avanzado, solo se necesita la mala intención para alterar o dejar inoperativo dicho sistema de información.
La auditoria Física, solo es una pequeña rama que se desprende de la auditoria de sistemas, pero donde se deben dar o facilitar los implementos necesarios para que esta última se lleva a cabo, donde se puedan verificar los controles de seguridad Física.
Full transcript