Embed Size (px)
Citation preview
5to dominioSEGURIDAD FISICA Y DEL
ENTORNOISO 27002
¿QUE ES SEGURIDAD FISICA?
Dentro de la Seguridad Informática, la Seguridad física hace referencia a las barreras físicas y mecanismos de control en el entorno de un sistema informático, para proteger el hardware de amenazas físicas. La seguridad física contrasta con la seguridad lógica. • HALLAZGO IDENTIFICADOLos servidores no están protegidos, ante personas ajenas a ala compañía, ( Cualquier persona puede tener acceso).La empresa no tiene contemplada una salida de emergencia, ante temblores o algún otro desastre natural.• OBJETIVO:Evitar el acceso no autorizado, daños o interferencias con la información y los locales d la organización. Los medios de procesamiento de información crítica o confidencial debieran ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debieran estar físicamente protegidos del acceso no autorizado, daño e interferencia.
5.1 AREAS SEGURAS
5.1.1 Perímetro de seguridad física
CONTROL
Los perímetros de seguridad (como paredes, tarjetas de control de entradas a puertas o un puesto de manual de recepción) deberían utilizarse para proteger las áreas que contengan información y recursos para su procesamiento.
SOLUCIONES:
ASIS Internacional : Guía en inglés sobre medidas de seguridad física- ASIS Facilities Physical Security.
SISTESEG : Ejemplo de política de seguridad física en español de SISTESEG.
5.1.2 Controles físicos de entrada
CONTROL
Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que garanticen el acceso únicamente al personal autorizado.
SOLUCIONES:
APC: Documento técnico de inglés de APC sobre control de acceso físico a infraestructuras críticas-Acceso Físico
INTECO: Guía de INTECO y Anova sobre el uso de videovigilancia en distintos entornos, la legislación aplicable y sus implicaciones en materia de protección de datos personales
5.1.3. Seguridad de oficinas, despachos y recursos
CONTROL:
Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.
SOLUCIONES:
• CNI : Seguridad física de instalaciones de almacenamiento de información clasificada en la administración pública española. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España
• Oficina Nacional de Seguridad
OR-ASIP-01-01.02: Orientaciones para el plan de protección de una zona de acceso restringido. Oficina Nacional de Seguridad de España.
• Oficina Nacional de Seguridad
OR-ASIP-01-02.02: Orientaciones para la constitución de zonas de acceso restringido. Oficina Nacional de Seguridad de España
5.1.4. Protección contra amenazas externas y del entorno
CONTROL:
• Se debería designar y aplicar medidas de protección física contra incendio, inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano.
• APC
Documento técnico en inglés de APC sobre protección contra incendios en infraestructuras críticas APC: Extinción de incendios
• APC
Diversos documentos técnicos de APC en inglés y español sobre refrigeración de CPDs APC: Refrigeración
• Uptime Institute
The Uptime Institute es una organización que publica estándares y mantiene un esquema de certificación para la mejora del grado de disponibilidad de centros de proceso de datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV). Uptime Institute Publications
5.1.5 El trabajo en áreas seguras
CONTROL:
Se debería diseñar y aplicar protección física y pautas para trabajar en las áreas seguras.
5.1.6. Áreas aisladas de carga y descarga
CONTROL:
Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la información
• 5.2 SEGURIDAD DE LOS EQUIPOS
Objetivo:
Evitar la pérdida , daño, robo o puesta en peligro de los activos y interrupción de las actividades de la organización.
Principios:
Deberían protegerse los equipos contra las amenazas físicas y ambientales. La protección del equipo es necesaria para reducir el riesgo de acceso no autorizado a la información y su protección contra pérdida o robo.
Así mismo, se debería considerar la ubicación y eliminación de los equipos
Número de chequeos (a persona a la salida y a existencias en stock) realizados en el último mes y porcentaje de chequeos que evidenciaron movimientos no autorizados de equipos o soportes informáticos u otras cuestiones de seguridad.
5.2.1 Instalación y protección de equipos
CONTROL:
El equipo debería situarse y protegerse para reducir el riesgo de materialización de las amenazas del entorno, así como las oportunidades de acceso no autorizado.
SOLUCIONES:
• APC: Documentos técnicos de APC en inglés y español sobre arquitectura de CPDs
• APC: Documentos técnicos de APC en inglés sobre monitorización y control de CPDs
• Uptime Institute: The Uptime Institute es una organización que publica estándares y mantiene un esquema de certificación para la mejora del grado de disponibilidad de centros de proceso de datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV).
• TIA: Estándar de la Telecommunications Industry Association en inglés que establece requisitos para las infraestructuras de comunicaciones en centros de proceso de datos.
• NFPA: NFPA 75 es el estándar de la National Fire Protection Association para la protección de equipos TI: construcción de edificios, protección anti-incendios, sistemas de extinción, sistemas eléctricos, refrigeración, etc. Versiones en inglés y en español.
• NFPA: NFPA 76 es el estándar de la National Fire Protection Association para la protección contra incendios de instalaciones de telecomunicaciones. Versiones en inglés y en español.
• NFPA: Larga lista de estándares relacionados con la seguridad contra el fuego de la National Fire Protection Association. Versiones en inglés y en español.
• ANIXTER: Guía en inglés de la empresa Anixter sobre infraestructuras de centros de proceso de datos.
5.2.2. Suministro eléctrico
CONTROL:
Se deberían proteger los equipos contra fallos en el suministro de energía u otras anomalías eléctricas en los equipos de apoyo.
SOLUCIONES:
• APC: Documento técnico de APC con explicaciones sobre tipos de SAI (sistemas de alimentación ininterrumpida)
• APC: Documentos técnicos de APC sobre alimentación eléctrica, SAIs, eficiencia, distintos tipos de cálculos, etc.
• T2APP: Documento técnico de T2APP sobre problemas de suministro eléctrico, soluciones, cálculo de la carga, tipos de SAI (sistemas de alimentación ininterrumpida), mantenimiento de un SAI, etc.
5.2.3. Seguridad del cableado
CONTROL:
• TIA: Estándar de la Telecommunications Industry Association
• ANIXTER: Guía técnica en inglés de la empresa Anixter que resume el contenido de diferentes estándares de cableado de redes.
• ANIXTER: Guía técnica en inglés de la empresa Anixter de instalación de cableado de redes.
• ANIXTER: Guía técnica en inglés de la empresa Anixter de cableado de redes en plantas industriales.
5.2.4. Mantenimiento de equipos
CONTROL:
Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.
SOLUCIONES:
• APC: Documento técnico de APC en español sobre mantenimiento preventivo de CPDs
• Ccleaner: Herramienta para la limpieza de Windows. Protección en privacidad online and aporta rapidez y seguridad en los ordenadores.
• System Ninja: Herramienta para la limpieza de Windows eliminado todo tipo de archivos temporales como cachés de juegos, historiales, cookies, dumps de memoria, archivos abiertos recientemente. Dispone de funcionalidades extras como un administrador de procesos, un lector de hashes, información detallada sobre el hardware y un gestor de programas de inicio, útil para eliminar programas innecesarios que se cargan con Windows consumiendo recursos.
5.2.5 Seguridad de equipos fuera de los locales de la Organización
CONTROL:
Se debería aplicar seguridad a los equipos que se encuentran fuera de los locales de la organización considerando los diversos riesgos a los que están expuestos.
SOLUCIONES:
• INTECO: Guía de Inteco para proteger y usar de forma segura el teléfono móvil.
• Wikipedia: Consideraciones sobre Kensington lock para equipos portátiles.
• OSI: Consejos de seguridad para portátiles de la Oficina de Seguridad del Internauta.
• Symantec: Consejos de Symantec para la protección contra el robo de portátiles.
5.2.6. Seguridad en la reutilización o eliminación de equipos
CONTROL:
Debería revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o sobrescrito con seguridad antes de la eliminación.
SOLUCIONES:
• DARIK'S BOOT AND NUKE Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita- auto arrancable que permite hacer un borrado seguro del disco duro completo de un equipo (operación que no sería posible si se inicia el equipo con el sistema operativo instalado en ese mismo disco).
• Heidi-Eraser : Herramienta open source de borrado seguro.
• Hardwipe: Herramienta gratuita de borrado seguro.
• INTECO: Guía sobre almacenamiento y borrado seguro de información: aborda cuestiones como por qué se debe controlar la información en la empresa, cómo se almacena dicha información en los dispositivos de almacenamiento más comunes, en qué consiste la recuperación en caso de pérdida y qué debe hacerse si se quiere eliminar de modo permanente la información.
• NATIONAL SECURITY AGENCY: Los productos de estas listas reúnen los requisitos específicos de la NSA para la desinfección, destrucción o eliminación de dispositivos que contengan información sensible o clasificada.
• NIST: La guía número 88 de la serie NIST SP800 ayuda a las organizaciones en la implementación de un programa de sanitización de medios con las técnicas adecuadas y aplicables y los controles para la desinfección y eliminación teniendo en cuenta la clasificación de seguridad de la confidencialidad del sistema asociado.
5.2.7. Traslado de activos
CONTROL:
No deberían sacarse equipos, información o software fuera del local sin una autorización.
