SEGURIDAD FISICA

Seguridad y Auditoria de Sistemas

Ing. Yolfer Hernndez

Temario - Seguridad Fsica

Seguridad Fsica:
Definicin, Riesgos, control de accesos
Exposiciones fsicas y del medio ambiente.
Controles fsicos y del medio ambiente.

Ejemplo: Proteccin mediante llaves de hardware

Seguridad Fsica - Definicin

La seguridad fsica es la aplicacin de
barreras fsicas, procedimientos de control y de
seguridad, como medidas prevencin y
correccin ante las amenazas o riesgos de los
recursos informticos, dentro y alrededor del
Centro de Procesamiento, incluyendo a los que
acceden en forma remota.
Fuentes:
- Huerta, Antonio Villaln. "Seguridad en Unix y Redes". Versin 1.2
Digital - Open Publication License v.10.
- ISO 17799 - British Standard [BS] 7799

Seguridad Fsica
Es muy importante ser consciente que por ms que
nuestra empresa sea la ms segura desde el punto de
vista de ataques externos, Hackers, virus, etc.; la
seguridad de la misma ser nula si no se ha previsto
como combatir un incendio.
La seguridad fsica es uno de los aspectos menos
considerados a la hora del diseo de un sistema
informtico, por ejemplo la deteccin de un atacante
interno que intenta a acceder fsicamente a una sala
de operaciones.
Esto puede derivar en que para un atacante sea ms
fcil lograr tomar y copiar una cinta de la sala, que
intentar acceder va lgica a la misma.

Exposiciones fsicas y del

medio ambiente
Instalaciones a ser protegidas:
Salas de Programacin.
Sala de Centro de Cmputo, Data-Center
Libreras de programas, procedimientos.
Suministros y cuartos de almacenamiento.
Facilidades de almacenamiento de archivos
de respaldo Off-Site.

Exposiciones fsicas y del

medio ambiente

Sala de control de Monitoreo.

Sala de racks de comunicaciones.
Equipo de telecomunicaciones.
Computadoras personales.
Fuentes de poder.
Lneas dedicadas.
Redes de Area Local.

Amenazas del Entorno

1. Incendios
2. Inundaciones
3. Condiciones Climatolgicas
4. Sismos
5. Seales de Radar
6. Instalaciones Elctricas
7. Ergometra

Acciones Hostiles
1. Robo
2. Fraude
3.Sabotaje
4.Terrorismo
5.Actos vandlicos

Tipos de Riesgos

NCPI Infraestructura fsica de red crtica

Controles Generales

Polticas de Seguridad en los puestos de

trabajo
Seleccin de Personal
Acuerdos de Confidencialidad
Capacitacin en seguridad de la informacin
Seguridad en el puesto: Escritorios y
pantallas, extraccin de pertenencias
(activos), etc.

Control perimetral y zonal

Permetro que cuenta con barreras de
seguridad y controles de entradas
apropiados para el procesamiento y
tratamiento de informacin critica para
la organizacin.
Controles en:
- Barreras, Puertas controladas
- Controles fsicos de entrada
- Seguridad de Oficinas despachos y recursos
- Procedimientos de trabajo en reas seguras, etc.

Control de Accesos
1. Utilizacin de Guardias
2. Utilizacin de Detectores de
Metales
3. Utilizacin de Sistemas Biomtricos
4. Verificacin Automtica de Firmas
5. Seguridad con Animales
6. Proteccin Electrnica

Control de Accesos

Bolting Door Locks (Llave de metal).

Combination Door Locks (cipher locks) , keypad numerico o dial
Electronic Door Locks (magnetico o chip en tarjeta plastica).
Logged Entry (numero de ingreso pregrabado no editable).
Photo IDs.
Video Cameras.
Controlled Visitors Access
Deadman Doors (doble puerta controlada).
Alarm System

Controles en los equipos

Los equipos deben estar fsicamente protegidos de
las amenazas y riesgos del entorno para disminuir
el riesgo de accesos no autorizados a los datos y
protegerlo contra prdidas o daos.
Controles en:
- Instalacin y proteccin de los equipos
- Suministro elctrico
- Seguridad del cableado
- Mantenimiento de los equipos
- Seguridad de los equipos fuera de los locales de la empresa
- Seguridad en el re-uso o eliminacin de equipos.

Controles de Instalaciones

Detectores de Agua
Extinguidores Hand-held
Detectores de humo.
Sistemas automaticos de apaga incendios
Localizacion estratgica de sala de CC.
Inspeccciones regulares de Bomberos

Evaluacin de Controles
Las tareas asociadas:

Identificacin de Riesgos y controles

asociados para proteccin ambiental y
seguridad fsica.
Prueba de Controles.
Evaluacin de la seguridad fsica del
medio ambiente.
Medidas de ajuste.

RESPUESTA A INCIDENTES Y
ANOMALAS
Comunicacin de incidentes
Comunicacin de debilidades en materia
de seguridad
Comunicacin de anomalas del software
Aprendiendo de los incidentes
Proceso disciplinario

Data Centers
Norma ANSI/TIA 942: (Telecomunications Industry Association)
Es un edificio o porcin de un edificio cuya funcin primaria es alojar una sala de cmputo
y sus reas de soporte, que permite el almacenamiento, manejo y distribucin de los datos
e informacin organizada alrededor de un rea de conocimiento o un negocio particular.

La implementacin de un Data Center considera:

- Infraestructura instalaciones. Construccin y subsistemas como de climatizacin,
elctrico, proteccin contra incendios y otros.
- Ubicacin y Acceso
- Infraestructura TI: hardware, software y telecomunicaciones.
- Redundancia.
- Adicionalmente considerar aspectos como recursos humanos y procesos asociados con
capacidad de mantener funcionamiento en caso de accidentes o desastres naturales
El standard TIA-942 (Telecomunication Infrastructure Standard for Data Centers) incluye
un Anexo informativo sobre los Grados de Disponibilidad ( Tier ).

Data Centers
TierIV Certificacin de Fiabilidad y Seguridad en Diseo y Construccin
Tier 1: Centro de datos Bsico: Disponibilidad del 99.671% (28.8 hras off)
Tier 2: Centro de datos Redundante: Disponibilidad del 99.741% (20 hras off)
Tier 3: Centro de datos Concurrentemente Mantenibles: Disponibilidad del 99.982%. (1.6h)
Tier 4: Centro de datos Tolerante a fallos: Disponibilidad del 99.995%. (0.8 hras off)
Consideraciones:
-Mantenimiento sin afectar servicios crticos
-Soportar evento no planificado de peor escenario sin impacto crtico en carga
-Mltiples lneas de distribucin elctrica
-Refrigeracin de mltiples componentes redundantes
-Cortinas cortafuegos para proteccin de incendios
-Instalaciones crticas en sobre rasante, para evitar inundaciones
Ejm. Data Center BBVA Tres Cantos Espaa
3.Mar.2012 1ero en Espaa y 13avo en el mundo
22.Ago.2012 Telconet Ecuador, primero en LatinoAmerica
http://uptimeinstitute.com/TierCertification/certMaps.php

Data Center del futuro

Conclusiones
Tener controlado el ambiente y acceso
fsico permite:
Disminuir siniestros
Trabajar mejor manteniendo la sensacin de
seguridad
Descartar falsas hiptesis si se produjeran
incidentes
Tener los medios para luchar contra accidentes

Conclusiones
Hoy da pueden operar los sistemas de seguridad
lgica y fsica en conjunto, comunicando y
compartiendo datos para dar respuestas costo
efectivas a una seguridad incrementada.
Pronto sern predominante aceptables solo
aquellos sistemas plenamente integrados en 1
nica interfase de gerenciamiento de identidades
de usuarios.
E$ recomendable con$iderar
habilitan e$ta integracin.

aquellos

que