SEGURIDAD FISICA

Auditoria y Seguridad

Mg. Yolanda Yopla

 Temario - Seguridad Física

Seguridad Física:
• Definición, Riesgos, control de accesos
• Exposiciones físicas y del medio ambiente.
• Controles físicos y del medio ambiente.
 Seguridad Física - Definición

“La seguridad física es la aplicación de

barreras físicas, procedimientos de control
y de seguridad, como medidas prevención y
corrección ante las amenazas o riesgos de
los recursos informáticos, dentro y
alrededor del Centro de Procesamiento,
incluyendo a los que acceden en forma
remota”.
Fuentes:
- Huerta, Antonio Villalón. "Seguridad en Unix y Redes". Versión 1.2
Digital - Open Publication License v.10.
- ISO 17799 - British Standard [BS] 7799
 Seguridad Física

Es muy importante ser consciente que por más que nuestra

empresa sea la más segura desde el punto de vista de
ataques externos, Hackers, virus, etc.; la seguridad de la
misma será nula si no se ha previsto como combatir un
incendio.
La seguridad física es uno de los aspectos menos
considerados a la hora del diseño de un sistema informático,
por ejemplo la detección de un atacante interno que intenta a
acceder físicamente a una sala de operaciones.
Esto puede derivar en que para un atacante sea más fácil
lograr tomar y copiar una cinta de la sala, que intentar acceder
vía lógica a la misma.
 Seguridad Física

Este tipo de Seguridad está enfocado a cubrir las amenazas

ocasionadas tanto por el hombre como por la naturaleza del
medio físico en que se encuentra ubicado el centro de datos:

Las principales amenazas que se prevén en la seguridad

Física son:
 Desastres naturales, incendios accidentales, tormentas e
inundaciones.
 Amenazas ocasionada por el hombre.
 Disturbios, sabotajes internos y externos deliberados.
 Exposiciones físicas y del medio
ambiente

Instalaciones a ser protegidas:

• Salas de Programación.
• Sala de Centro de Cómputo, Data-Center
• Librerías de programas, procedimientos.
• Suministros y cuartos de almacenamiento.
• Facilidades de almacenamiento de archivos
de respaldo Off-Site.
 Exposiciones físicas y del medio
ambiente

• Sala de control de Monitoreo.

• Sala de racks de comunicaciones.
• Equipo de telecomunicaciones.
• Computadoras personales.
• Fuentes de poder.
• Líneas dedicadas.
• Redes de Area Local.
Amenazas del Entorno

1. Incendios
2. Inundaciones
3. Condiciones Climatológicas
4. Sismos
5. Señales de Radar
6. Instalaciones Eléctricas
7. Ergometría (prueba de esfuerzo)
Acciones Hostiles

1. Robo
2. Fraude
3.Sabotaje
4.Terrorismo
5.Actos vandálicos
Tipos de Riesgos

NCPI – Infraestructura física de red crítica

 NCPI - Integrado

NCPI – Infraestructura física de red crítica

NCPI – es clave para lograr operaciones
Informáticas Confiables
 Controles Generales

 Políticas de Seguridad en los puestos de trabajo

 Selección de Personal
 Acuerdos de Confidencialidad
 Capacitación en seguridad de la información
 Seguridad en el puesto: Escritorios y pantallas,
extracción de pertenencias (activos), etc.
 Control perimetral y zonal

Perímetro que cuenta con barreras de

seguridad y controles de entradas
apropiados para el procesamiento y
tratamiento de información critica para
la organización.
Controles en:
- Barreras, Puertas controladas
- Controles físicos de entrada
- Seguridad de Oficinas despachos y recursos
- Procedimientos de trabajo en áreas seguras, etc.
 Control de Accesos

1. Utilización de Guardias
2. Utilización de Detectores de Metales
3. Utilización de Sistemas Biométricos
4. Verificación Automática de Firmas
5. Seguridad con Animales
6. Protección Electrónica
 Control de Accesos

• Bolting Door Locks (Llave de metal).

• Combination Door Locks (cipher locks) , keypad numerico o dial
• Electronic Door Locks (magnetico o chip en tarjeta plastica).
• Logged Entry (numero de ingreso pregrabado no editable).
• Photo IDs.
• Video Cameras.
• Controlled Visitors Access
• Deadman Doors (doble puerta controlada).
• Alarm System
 Controles en los equipos

Los equipos deben estar físicamente protegidos de

las amenazas y riesgos del entorno para disminuir
el riesgo de accesos no autorizados a los datos y
protegerlo contra pérdidas o daños.
Controles en:
- Instalación y protección de los equipos
- Suministro eléctrico
- Seguridad del cableado
- Mantenimiento de los equipos
- Seguridad de los equipos fuera de los locales de la empresa
- Seguridad en el re-uso o eliminación de equipos.
 Controles de Instalaciones

• Detectores de Agua
• Extinguidores Hand-held
• Detectores de humo.
• Sistemas automáticos de apaga incendios
• Localización estratégica de sala de CC.
• Inspecciones regulares de Bomberos
 Evaluación de Controles

Las tareas asociadas:

◦ Identificación de Riesgos y controles
asociados para protección ambiental y
seguridad física.
◦ Prueba de Controles.
◦ Evaluación de la seguridad física del
medio ambiente.
◦ Medidas de ajuste.
RESPUESTA A INCIDENTES Y
ANOMALÍAS

• Comunicación de incidentes
• Comunicación de debilidades en materia
de seguridad
• Comunicación de anomalías del software
• Aprendiendo de los incidentes
• Proceso disciplinario
Data Centers
Data Centers

Norma ANSI/TIA 942: (Telecomunications

Industry Association)
Es un edificio o porción de un edificio cuya función
primaria es alojar una sala de cómputo y sus áreas de
soporte, que permite el almacenamiento, manejo y
distribución de los datos e información organizada
alrededor de un área de conocimiento o un negocio
particular.
Data Centers

La implementación de un Data Center considera:

 Infraestructura instalaciones. Construcción y subsistemas como de
climatización, eléctrico, protección contra incendios y otros.
 Ubicación y Acceso
 Infraestructura TI: hardware, software y telecomunicaciones.
 Redundancia.
 Adicionalmente considerar aspectos como recursos humanos y
procesos asociados con capacidad de mantener funcionamiento
en caso de accidentes o desastres naturales

El standard TIA-942 (Telecomunication Infrastructure Standard for

Data Centers) incluye un Anexo informativo sobre los Grados de
Disponibilidad ( Tier ).
 Data Centers

 Tier1: Centro de datos básico

compuesto por un solo camino para la energía y distribución, sin
componentes redundantes, proporcionando 99.671% de
disponibilidad (28,8 horas de interrupción al año). Sin Redundancia.

 Tier II: Centro de datos redundante

compuesto por un solo camino para la energía y distribución, con
componentes redundantes, proporcionando 99.741% de
disponibilidad. (22 horas de interrupción al año).
Redundancia parcial.
 Data Centers
 Tier III: Centro de datos concurrentemente mantenibles
compuesta por múltiples alimentación eléctrica y refrigeración, rutas
de distribución, pero sólo un path activo, cuenta con componentes
redundantes y concurrentemente mantenibles. proporciona
disponibilidad de 99,982% (1,6 horas de interrupción al año).

 Tier IV: Centro de datos tolerante a fallos

compuesto por múltiples potencia activa y rutas de distribución de
refrigeración, cuenta con componentes redundantes y es tolerante a
fallos, proporciona disponibilidad de 99.995%. (0,8 horas de
interrupción al año)
TierIV – Certificación de Fiabilidad y Seguridad en
Diseño y Construcción
Data Centers
 Consideraciones:
- Mantenimiento sin afectar servicios críticos
- Soportar evento no planificado de “peor escenario” sin impacto crítico en
carga
- Múltiples líneas de distribución eléctrica
- Refrigeración de múltiples componentes redundantes
- Cortinas cortafuegos para protección de incendios
- Instalaciones críticas en sobre rasante, para evitar inundaciones

Ejms. Tier 4:
 Data Center BBVA Tres Cantos – España
3.Mar.2012 1ero en España y 13avo en el mundo
 22.Ago.2012 Telconet – Ecuador, primero en LatinoAmerica

http://uptimeinstitute.com/TierCertification/certMaps.php
Data Center del futuro
• Distribución escalonada en
el rack, aumenta la
flexibilidad y soporta
mayores densidades.
• Sistema dual del UPS, ofrece
alta disponibilidad.
• Refrigeración suplementaria
para zonas de alta densidad
incrementa la flexibilidad
• Supervisión predictiva
centralizada mejora la
disponibilidad y la capacidad
de gestión.
• Refrigeración de montaje en
suelo para una mayor
flexibilidad.
Conclusiones

Tener controlado el ambiente y acceso

físico permite:
• Disminuir siniestros
• Trabajar mejor manteniendo la sensación de
seguridad
• Descartar falsas hipótesis si se produjeran
incidentes
• Tener los medios para luchar contra accidentes
Conclusiones

• Hoy día pueden operar los sistemas de seguridad

lógica y física en conjunto, comunicando y
compartiendo datos para dar respuestas costo
efectivas a una seguridad incrementada.
• Pronto serán predominante aceptables solo
aquellos sistemas plenamente integrados en una
única interfase de gerenciamiento de identidades
de usuarios.
• Es recomendable considerar aquellos que
habilitan esta integración.
VIDEO

• https://www.youtube.com/watch?v=tdeT28i7M7M

• “Como los cibercriminales utilizan Big Data & IA “

Chema Alonso