Auditoria a La Seguridad Fisica de SI
-
Upload
hidrochaco -
Category
Documents
-
view
32 -
download
5
description
Transcript of Auditoria a La Seguridad Fisica de SI
LOGO
AUDITORIA A LA SEGURIDAD FISICA
PARA SISTEMAS DE INFORMACION
Israel Rosales Marcó
www.cosimti.com
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Introducción
La seguridad más obvia de todas…
Sin la seguridad física, ninguna otra medida de seguridad puede considerarse eficaz.
Estos elementos de CONTROL pueden servir como precedente y evidencia en casos legales.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Antecedentes
- Se cree que el candado fue inventado por los egipcios hace mas de 4,000 años.
- Seguridad fisica describe las medidas que evitan o detectan ataques de acceso a recursos o información almacenada en medios fisicos.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Norma ISO
El estandar ISO 27001 en SGSI, en el punto
A.9.1.1 Perimetro de Seguridad Fisica, indica:
Control
Los perimetros de seguridad (barreras como
paredes, puertas de entrada cotroladas por
tarjetas, escritorios de recepcion manejados por
personas) deben ser usados para proteger
areas que contienen informacion e instalaciones
de procesamiento de informacion.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Norma ISO
La ISO 27001 en su punto A.9.1.2 Controles de
entrada fisica, indica:
Control
Las areas seguras deben ser protegidas por
controles de entrada apropiados para asegurar
que solo personal autorizado tenga acceso
permitido.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
• Las oficinas que se encuentran alrededor de la ER no generen riesgo.
• Controles de acceso físico a la ER
• Controles contra incendios (sensores, extintores de fuego, alarmas)
• Controles ambientales HVAC
• Control de organización de equipos
• Controles de disuasivos
Visita de inspección
para verificar:
Seguridad Perimetral a ER
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
La sala de equipos debe estar lo mas al centro posible (anillo 0)
Seguridad en Profundidad
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Controles de Acceso Fisico
Tarjeta de Visita Recepción Mantraps
Tarjeta de
Aproximación
Cámaras
infrarrojas Lector de Huella Foto Ingreso
Registro de Salida
La Sala de Equipos no debe tener ventanas al exterior del
departamento de TI
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Seguridad contra Fuego
Practica 1
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Controles contra Incendios
Detextintor
automático
Luz de Emergencia Rociador de
Tubería
Seca
Sensores (Humo, fuego
y temperatura) Piso y
techo
Extintores
Manuales
(ABCD)
Gases como HALON y CO2 no son
permitidos
Abortar (FP)
Puerta Ignífuga
(Vidrio)
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Calefacción, Ventilación y Aire Acondicionado.
Controles Ambientales - HVAC
Alta Humedad – Condensación (corrosión)
Alta Sequedad y Polución – Estática
2 Aires Acondicionado
de PRECISIÓN
(rotativos)
Segundo Display para
Registro de Humedad Y
Temperatura
Aire de Confort
(contingencia)
Alertas por
SNMP
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Controles de Organización de Equipos
Peinado de cables Piso Falso
(ignífugo)
Organizadores Rieles Escalera
Linternas
Espacios (Pasillos Frios)
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Controles de Electricidad
Provisión redundante de Energía
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Controles Disuasivos
Señalética y
Etiquetado
Advertencia de Atención
Advertencia de
Peligro
Advertencias de Prohibición
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
El Servidor, por ser el factor mas importante
de cualquier red, debe tener un alto nivel de
seguridad.
Servidores
El servidor debe estar Enclosure y asegurado para
evitar movimiento físico.
Deshabilitar booteo de floppy disk y CD-ROM en el server, si es posible evitar que tengan estos drives.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
El sistema más eficaz para mantener los backups
seguros es mantenerlos fuera del edificio
Backups afuera
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Manual de Funciones del Oficial de Seguridad Física
Planes de Contingencia en los que participa activamente.
Norma de Asignación de claves y llaves.
Manual de procedimientos para:
Asignación de claves y llaves.
Control de ingreso y salida de personas.
Mantenimiento de equipos de seguridad.
Control de apertura y cierre de oficinas.
Solicitud de videos de seguridad.
Provisión de equipos de seguridad para sucursales.
Revisión diaria de funcionamiento de cámaras de seguridad.
Pruebas periódicas de equipos de alarma.
Documentacion
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Ataques Físicos
Keyloggers físicos (demo)
Dumpster diving
Rogue Access Points
Modems y dispositivos USB
Shoulder Surfing
Piggybacking
Impersonation
Robo de laptops
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Entendiendo Seguridad Fisica
La mayoria de las acciones de seguridad fisica intentan proteger la computadora de condiciones climaticas, incluso mas que la protección contra intrusos.
Describe las medidas a tomar para proteccion de personas, activos criticos, y sistemas contra amenazas deliberadas o accidentales.
Las personas provocan accidentes y cometen errores. Ejem: Rotulaciones incorrectas de equipos.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Controles de Seguridad Física
Pueden ser tres:
1) Físicos.- Son tomadas para asegurar activos. Ej.: Personal de seguridad.
2) Técnicos.- Son tomados para asegurar servicios y elementos que soportaTI.
3) Operacionales.- Procedimientos tomados antes de realizar alguna operacion para analizar y evaluar amenazas.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Controles en el Perímetro Externo
Paredes y Vallas
Puertas
CCTV con Cámaras infrarrojas
Vidrios polarizados en determinadas zonas.
Guardias de seguridad
Alarmas
Cercas electrificadas (< 0.1 mA)
VideoPorteros
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Controles en el Perímetro de Acceso
Landscaping/senderos.- Patrones de tránsito para
guiar el flujo
Conos y Bollards
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Controles en el Perímetro Interno
Iluminación
CCTV con monitoreo
Sensores de movimiento
Botones de Pánico
Alarma de ladrones
Chapas y candados
Guardias
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Registro
Gafete
Escolta
Inspección
Salida
Pruebas de visitantes
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Control Interno para Cámaras de Seguridad
Administración de Cámaras de Seguridad:
- Calidad de imagen y grabación
- Ángulo de ubicación y resolución a distancia.
- Configuración para sensibilidad de grabación.
- Escudos de filmación
- Sincronización de fecha y hora con el CORE
- Mantener almacenado el formato ORIGINAL, por un
tiempo normado.
- Backups de videograbaciones
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Procedimientos para videograbaciones
¿Cómo se clasificarán y catalogarán las
VIDEOGRABACIONES para facilitar la
recuperación?
¿Quién tendrá acceso a las grabaciones?
¿Cuál es el procedimiento de acceso a las
imágenes?
Formularios?
¿Por cuánto tiempo se conservarán las
cintas antes de destruirlas?
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
PC Vs. DVR
VENTAJAS PC - El backup de grabaciones es mas rapido
- Facil monitoreo remoto
- Mejor control de grabaciones
- Facil de adicionar mas camaras
- Puede ser utilizado para brindar otros servicios similares
DESVENTAJAS DVR - El backup de grabaciones es bastante
lento
- Requiere mayores especificaciones para monitoreo remoto (plugins).
- Menor control de grabaciones
- Compleja actualizacion de fimware y software
DVR - Se puede implementar en espacios
reducidos
- Mas seguro ante virus
- Es un equipo dedicado.
PC - Requiere mayor espacio fisico
- Existe mayor riesgo de virus
- Susceptible a manipulacion de
usuarios no autorizados
- Menos resistente a cortes de
electricidad
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Zonas restringidas
Acceso restringido a las areas de alto voltaje;
transformadores, Motor/Generador de electricidad,
Salas de UPSs.
Asegurar cajas de distribución de electricidad,
distribución de líneas telefónicas, tableros eléctricos y
de térmicos.
Racks para switches de distribución (backbone).
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
No debe ser obvio externamente, su acceso
es limitado al menor número de personas
Bajo Perfil de Instalaciones de TI
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Estaciones de Trabajo
Este es el área donde la mayoría de los empleados trabaja.
Los empleados deben ser capacitados sobre seguridad física.
El área de trabajo puede ser físicamente asegurada tomando los siguientes pasos:
- Política de escritorios limpios
- Norma y procedimiento para el correcto apagado
- de la PC
- Contar con CCTV dirigido sobre todo a puertas
- Bloqueo de pantalla con contraseñas luego
de unos minutos sin actividad.
- Diseño Layout para estaciones de trabajo
- Evitar drives de medios removibles
- Picadora de papeles y medios magnéticos
- Inspecciones y entrevistas sobre ergonomia en el espacio de trabajo
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Puntos críticos
Maquinas de Fax cerca del área de recepción deben ser bloqueadas cuando el personal no está.
Faxes obtenidos deben ser archivados debidamente.
Medios removibles no deben ser dejados en lugares públicos, y medios corruptos deben ser físicamente destruidos
Fotocopiadoras
Almacenar los materiales peligrosos o combustibles en lugares seguros
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Dispositivos Biométricos
Ciencia y tecnología para análisis de datos biológicos.
Dispositivos biométricos consisten de un lector o dispositivos de escaneo, software que convierte la información escaneada en formato digital, y una ubicación de datos para ser analizada. BD que almacene datos biométricos para comparación con los previamente almacenados.
Algunos son:
- Lector de huella
- Escaneo de rostro.
- Escaneo de retina.
- Reconocimiento de voz
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Técnicas de identificación biométrica
Lector de Huella
Crestas y surcos en la superficie de un dedo de la mano
se utilizan para identificar a una persona, las cuales
son únicas.
Estructura de Venas
El espesor y la ubicación de las venas son
analizadas para identificar personas
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Técnicas de identificación biometrica
Escaneo de Retina
Análisis de la capa de vasos sanguíneos en
la parte posterior del ojo
Escaneo de Iris
Análisis de la parte coloreada del ojo
suspendido detrás de la córnea
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Mecanismos de Autenticación
Algo que tu ERES:
- Uso de técnicas biométricas
Algo que tu CONOCES:
- Basado en el sistema tradicional de passwords
Algo que tu TIENES:
- Smart cards, token, matriz de coordenadas, etc.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Mecanismos Biometricos
Lectores de huellas son falsificados con facilidad. (Video)
Sistemas de reconocimiento de rostro pueden ser engañados con técnicas de enmascaramiento.
Reconocimiento de firma y geometría de la mano tienen problemas de coincidir con grandes BD.
Escaneo de retina puede dificultar exactitud si el usuario no se centra en un punto dado de exploración.
Máquinas para escaneo de Iris son muy caras en relación
Dinámica de la voz es propensa a la inexactitud ya que se basa en la producción de una plantilla de voz que se compara con una frase pronunciada
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Medidas de precisión en Sistemas
Biometricos
FRR – Tasa de Rechazo FALSO
FAR – Tasa de Aceptación FALSO
CER – Tasa de Error Cruzado.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Smart Card y Token
Smart Card, tarjeta de plastico del tamaño de
una tarjeta de credito con un chip embebido que
puede ser cargado con datos.
Un Token es un pequeño dispositivo hardware
que el propietario lleva para acceder de manera
autorizada a la red. Provee un nivel extra de
seguridad, con método conocido como doble
factor de autenticación.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
- Asignar una persona que será responsable de observar el mantenimiento de equipos. No dejar solos a los técnicos de la empresa de mantenimiento.
- Equipos informáticos en almacén también deben ser contabilizados.
- La limpieza de ER debe ser autorizada por el Gerente de Sistemas, este a su vez debe asignar un responsable que esta tarea se cumpla con normalidad.
- Evitar la ejecución de trabajos por parte de terceros sin supervisión
- Limitar el acceso a las áreas de depósito, solo a personal autorizado.
Mantenimiento de equipos
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Wiretapping
Es la acción de escuchar secretamente las
conversaciones de otras personas conectando
un dispositivo escuchador para su teléfono.
Wiretap es un dispositivo que puede interpretar
ciertos patrones como sonido.
Inspeccionar rutinariamente todos los cables
que llevan los datos .
Proteger los cables usando cables blindados (Ej.
SFTP)
Nunca dejar los cables expuestos
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Candados
Candados son usados para restringir acceso
físico a un activo.
Se lo incluye en puertas, ventanas, vehículos,
gabinetes, etc.
Tienen una gran variedad de niveles de
seguridad.
Pueden ser mecánicos o eléctricos
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Lock Picking
Es el arte de desasegurar un candado sin uso de su
llave. (video)
Para evitar lock Picking:
- Usar un candado de buena calidad.
- No prestar las llaves a cualquiera, como
proveedores, técnicos, etc. Porque pueden
duplicar la llave.
- No revelar los códigos de candado.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Buena Practica:
Contratar a un especialista en puertas y
cerraduras para comprobar la seguridad de los
accesos
Al edificio y dentro del edificio
Lock Picking
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Marcado de Edificios
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Warchalking
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Robo de Laptops
Utilizar Cable Acerado
Encriptación: TrueCrypt o bitlocker
El funcionario que sale con laptop debe ir
todo el tiempo acompañado del mismo.
No etiquetarlo con distintivos de la
empresa u otros que llamen la atención.
Tener mayor precaución en terminales de
buses, aeropuertos , hoteles, restaurants y
otros de turismo.
No llevarlo en el maletero del taxi.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Tecnologia Espía
Hacen mas complejo los procedimientos de
seguridad física.
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Gestión de puertos USB
Herramientas:
DeviceLock, DeviceWall
Antivirus Bundle.
GFI EndPoint
CheckPoint
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Existe una cobertura y
experiencia de seguros para
los gastos asociados con
algún evento de seguridad:
desastre, incendio, atraco,
etc.
Salida de Emergencia
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
Preguntas tipo
1. ¿La política de seguridad de información que
establece “a cada persona se le debe leer su
etiqueta en cada puerta controlada” trata cuál
de los métodos de ataque siguientes?
A. Piggybacking
B. Shoulder surfing
C. Dumpster diving
D. Impersonation
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
2. ¿cuál de los siguientes dispositivos de control
de acceso físico serían MÁS eficaces para una
instalación de alta seguridad?
A. Lector de tarjeta de proximidad
B. Escáner de huella de mano
C. Carné de identificación con foto
activado por rayo láser
D. Lector de tarjeta magnética
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
3. ¿Cuál de los controles siguientes es el MÁS
efectivo sobre el acceso de visitantes a un centro
de datos?
A. Los visitantes son escoltados
B. Se requieren distintivos de visitante
C. Los visitantes firman a la entrada
D. Los visitantes son vigilados donde están
por operadores
COSIM TI – Noviembre 2012 Israel Rosales Marco. CISA, CEH, CSSH, ASIC, ISO 27001 LA
4. El auditor de SI se entera de que cuando el equipo fue
traído al centro de datos por un proveedor, el interruptor de
emergencia de corte de la energía fue presionado de
manera accidental y el UPS se activó. ¿Cuál de las
siguientes recomendaciones de auditoría debe el auditor
de SI sugerir?
A. Reubicar el interruptor de corte de la energía
B. Instalar cubiertas de protección
C. Escoltar a los visitantes
D. Registrar las fallas ambientales
LOGO Gracias !!
Israel Rosales Marco