II.1 Auditoría de los componentes físicos
Anuncio
AUDITORÍA Y CONSULTORÍA TEMA 5 Auditoría de los componentes físicos Estos esquemas no son documentación oficial de la asignatura ni de la U.N.E.D. El contenido oficial es el del libro de la asignatura y, en su caso, los materiales que decidan subir los miembros del equipo docente. Tan sólo un bosquejo de ideas para que podáis seguir mejor mis presentaciones como profesor intercampus. No son, ni pretenden ser, completos. Basarse sólo en ellos para estudiar la asignatura es garantía de tener que releerlos en septiembre… Juan Carlos Alfaro López Profesor-Tutor del Centro Asociado de Tudela Profesor intercampus de la asignatura http://lasultimasaguilasnegras.blogspot.com.es/ Tabla de contenido II.1 Auditoría de los componentes físicos ........................................................................................ 3 II.1.1. Generalidades .................................................................................................................... 3 II.1.2. Seguridad física frente a seguridad lógica. ........................................................................ 3 II.1.3. Objetivo de control DS 12 de CoBIT: Gestión del entorno físico. ................................... 3 II.1.4. ISO 27002:2005. Seguridad física y del entorno. ............................................................. 4 II.1.5. CSCN del M.A.P. sobre seguridad física .......................................................................... 4 II.1.6. Ejemplos de controles de seguridad física ....................................................................... 5 II.1.7. Ejemplo de cuestionario de control sobre Seguridad Física.............................................. 5 II.1.A. Áreas de la Seguridad Física ............................................................................................ 5 II.1.B. Fuentes de la Auditoría Física .......................................................................................... 5 II.1.C. Técnicas y herramientas del auditor ................................................................................. 6 II.1.D. Responsabilidades de los auditores en Seguridad Física .................................................. 6 II.1.E. Fases de la Auditoría Física .............................................................................................. 6 II.1 Auditoría de los componentes físicos II.1.1. Generalidades También llamada auditoría de la seguridad física, que garantiza la integridad de los activos humanos, materiales y lógicos de un CPD. Trata de minimizar el Riesgo de Fallo físico y garantizar la continuidad del servicio. Como cualquier auditoría, hay que seguir el circuito Riesgo Control Pruebas Para minimizar la posibilidad de una contingencia, se puede actuar: + Antes: obtener un adecuado grado de Seguridad Física que evite el Fallo o aminore sus consecuencias: Control localización edificio donde está el CPD Control localización CPD dentro del edificio Sistemas contra incendios Control de accesos Duplicidad de medios Duplicidad de localizaciones Definir un Plan de Contingencia adecuado … + Durante: ejecutar fielmente el Plan de Contingencia: Plan de Recuperación frente a un Desastres (algo que llega a interrumpir el servicio) o Análisis previo de Riesgos Críticos en función de la Tolerancia soportada o Establecer Periodo Crítico de Recuperación o Ordenar por Criticidad las Aplicaciones y su necesidad de ser “levantadas” o Sistemas de Back-up (no necesariamente CPD alternativo) o …. Posible existencia de un CPD alternativo + Después: coberturas externas: Seguros. … II.1.2. Seguridad física frente a seguridad lógica. Seguridad física tiene que garantizar la disponibilidad e integridad de equipos y datos, mientras que la seguridad lógica se centra casi exclusivamente en datos y añade un agravante más: la pérdida de confidencialidad, que no suele existir en los ataques físicos. Un gran ataque lógico puede dejar el servicio inactivo durante un periodo normalmente corto… Un gran ataque físico (un terremoto o similar) puede hacerlo por muchos meses, incluso para siempre. Seguridad física organizada en tres líneas de defensa: Evitar y retrasar las amenazas (procurar que o no lleguen o tarden lo máximo en llegar). Detectar y defenderse esas amenazas una vez presentes. Minimizar impactos en caso de materialización. II.1.3. Objetivo de control DS 12 de CoBIT: Gestión del entorno físico. Contempla aspectos relativos a la gestión de la seguridad y continuidad de operaciones a nivel físico. Hace hincapié en la necesidad de instalaciones bien diseñadas y gestionadas (incluye seg. Personas) Como indicadores de seguridad, indica que debe medirse: o Tiempo sin servicio ocasionado por incidentes del entorno físico o Número de incidentes de la misma índole o Frecuencia de revisión y evaluación de los riesgos físicos Se subdivide en cinco objetivos de control detallados: Selección y diseño de los CPD Medidas de seguridad física Acceso físico a instalaciones Protección frente a factores ambientales Gestión de las instalaciones (cumplimiento de leyes superiores: seg. Trabajo / ambientales) II.1.4. ISO 27002:2005. Seguridad física y del entorno. Se apoya / complementa en la ISO 17799:2005 y subdivide las medidas en dos grandes grupos: Seguridad física y del entono: o Perímetro de seguridad o Controles físicos de entrada o Seguridad en oficinas e instalaciones o Protección contra amenazas externas y medioambientales o Áreas de acceso público; áreas de carga y descarga. o Instalación y protección de equipos. o Suministro eléctrico. o Seguridad del cableado. o Mantenimiento de equipos. o Seguridad de equipos fuera de instalaciones base. o Seguridad en la reutilización, venta o deshechado de equipos o Salidas de equipos de las instalaciones (ojo portátiles…9 Control de acceso: o Política de control de acceso o Gestión de accesos y usuarios o Gestión de privilegios o Revisión en el tiempo de puntos anteriores o Equipos informáticos de usuario desatendido o Medios extraíbles o Informática móvil II.1.5. CSCN del M.A.P. sobre seguridad física Criterios y Recomendaciones del Ministerio de Administraciones Públicas. También dos grandes grupos: Seguridad física: o Criterios (puro sentido común. pag 294 a 296) o Recomendaciones: Separar áreas de carga y descarga del resto Restringir accesos a esas áreas de carga y descarga Conductos aire blindados; salas autocerrables Uso de rutas de transporte alternativas y variadas Distanciar instalaciones sensibles de lugares de acceso público Definir perímetros de seguridad … Protección de soportes de información o Criterios (puro sentido común. pag 298 a 299) o Recomendaciones: Proteger y revisar la entrada/ salida de correo Borrado de datos mediante mecanismos adecuados Ordenadores y terminales protegidos con usuarios y contraseñas Etiquetado de impresos y soportes con el nivel de seguridad adecuado Nunca poner nivel de seguridad en sobres o cajas a enviar… II.1.6. Ejemplos de controles de seguridad física Perímetro(s) de seguridad física: o Definición del perímetro o Evaluación de la resistencia de la construcción o Revisión y control de puertas de acceso o Opacidad de cristales o Protecciones de conductos y aberturas o Sistema de detección de intrusos o Existencia o no de circuito cerrado de TV o Accesos nunca directos. Siempre por un área de recepción o Separación de áreas gestionadas por terceros o … Controles de entrada o Verificación de autorizaciones de acceso o Existencia y verificación periódica del registro de accesos o Sistema de detección de intrusos o Sistemas de protección contra sabotajes o …. II.1.7. Ejemplo de cuestionario de control sobre Seguridad Física Pags 305 a 321 del libro base Anexos: aclaraciones importantes pero fuera del texto base II.1.A. Áreas de la Seguridad Física Seguridad estructural del edificio (externalizada a Peritos-Aparejadores-Arquitectos) Organigrama de la empresa Auditoría Interna Administración de la Seguridad CPD e instalaciones anexas Equipos y comunicaciones Ordenadores personales Seguridad Física del Personal (accesos, Plan de Evacuación, descansos, Plan contra Incendios…) II.1.B. Fuentes de la Auditoría Física Políticas, Normas y Planes de Seguridad emitidos por la Empresa o por Instituciones Públicas Auditorías anteriores Contratos de Seguros, de Proveedores y de Mantenimiento Entrevistas con el personal del CPD (incluyendo seguridad) Actas e Informes de peritos o consultores externos (p.e. seguridad estructural del edificio) Pan de Contingencia y valoración de sus Pruebas Informes sobre accesos y visitas Informes sobre evacuaciones previas (simulacros y reales) Políticas de Personal Inventarios de Soportes (en especial copias de seguridad y cómo recuperarlas) … II.1.C. Técnicas y herramientas del auditor Técnicas o Observar: Instalaciones, Normas, Cumplimientos, etc. o Revisión analítica (analizar): Documentación sobre construcción y preinstalaciones Documentación sobre seguridad física Políticas, Normas Antiguas auditorías Contratos de Seguros y Mantenimiento … o Consultar: Miembros de la plantilla Externos (subcontratados, peritos, aparejadores…) Herramientas o Cuaderno de campos / grabadora de voz o Máquina fotográfica / cámara de vídeo: II.1.D. Responsabilidades de los auditores en Seguridad Física Tratar siempre de dar la imagen de alguien que ayuda a conseguir objetivos más que de policía Auditor Informático interno o Revisar controles Seguridad Física o Revisar cumplimiento de Normas y Procedimientos o Evaluar Riesgos o Participar en la elaboración de los Planes de Seguridad y Contingencia o Realizar auditorías programas e imprevistas o Emitir informes Auditor Informático externo o Mismas funciones que los internos más o Revisar las funciones de los auditores internos o Revisar los Planes de Seguridad y Contingencia. Realizar pruebas. II.1.E. Fases de la Auditoría Física 1. Alcance de la Auditoría 2. Adquisición de la información general 3. Planificación y administración 4. Ejecutar Plan de Auditoría 5. Resultados de la pruebas 6. Conclusiones y comentarios 7. Informe preliminar (borrador) 8. Discusión con los Responsables de Área 9. Informe final Informe Anexos al Informe Carpeta de Evidencias (resultados pruebas) 10. Seguimiento de las modificaciones acordadas
