Este documento discute varios temas relacionados con la seguridad física y ambiental de la información. Explica que a pesar de las inversiones en medidas de seguridad como firewalls, la seguridad de la información depende en gran medida de los usuarios. También describe posibles amenazas como acceso no autorizado, daños, robo o filtración de información. Finalmente, propone controles como cerraduras, cámaras, registros de acceso y guardias de seguridad para proteger los sistemas físicamente.

1. Msc. Ing. Juan Pablo Barriga Sapiencia
“Las organizaciones gastan millones de dólares en firewalls y
dispositivos de seguridad, pero tiran el dinero porque
ninguna de estas medidas cubre el eslabón más débil de la
cadena de seguridad: la gente que usa y administra los
ordenadores” K. Mitnick

3. HTTP://WWW.INFORMADOR.COM.MX/1968/HACKERS

5. TIPOS DE SEGURIDAD
SEGURIDAD LOGICA
SEGURIDAD DE LAS COMUNICACIONES
SEGURIDAD FISICA Y AMBIENTAL

6. SEGURIDAD FISICA Y AMBIENTAL
 Acceso no autorizado
 Daño, vandalismo o robo de equipos o documentos
 Copia o visualización de información sensible
 Alteración de equipos e información sensible
 Revelación de información sensible
 Desastres naturales

7. ISO 27002 (9) O ISO 27001 (A9)

8. A.9 Seguridad física y ambiental
A9.1 Áreas seguras
A9.1.1 Perímetro de seguridad física
Se debe utilizar perímetros de seguridad
(barreras tales como paredes y puertas de ingreso
controlado o recepcionistas) para proteger áreas que
contienen información y medios de procesamiento de
información.
SI
A9.1.2 Controles de entrada físicos
Se deben proteger las áreas seguras mediante controles
de entrada apropiados para asegurar que sólo se
permita acceso al personal autorizado.
SI
A9.1.3
Seguridad de oficinas,
habitaciones y medios
Se debe diseñar y aplicar seguridad física en las
oficinas, habitaciones y medios.
SI
A9.1.4
Protección contra amenazas
externas y ambientales
Se debe diseñar y aplicar protección física contra daño
por fuego, inundación, terremoto, explosión, disturbios
civiles y otras formas de desastre natural o creado por el
hombre.
SI
A9.1.5 Trabajo en áreas seguras Se debe diseñar y aplicar protección física y
lineamientos para trabajar en áreas seguras.
Parcial
A9.1.6
Áreas de acceso público, entrega
y carga
Se deben controlar los puntos de acceso como las
áreas de entrega y descarga y otros puntos donde
personas no-autorizadas pueden ingresar a los locales, y
cuando fuese posible, se deben aislar de los medios de
procesamiento de la información para evitar un acceso
no autorizado.
NO
No se cuenta con
un área de
entrega y carga de
mercancía.

9. A9.2 SEGURIDAD DE LOS EQUIPOS
A9.2.1
Ubicación y protección de
equipos
Los equipo de deben estar ubicados o protegidos
para reducir el riesgo debido a amenazas o peligros
del entorno y las oportunidades de acceso no
autorizado.
SI
A9.2.2 Servicio de suministros
Los equipo de deben estar protegidos contra fallas en
el suministro de energía y otras anomalías causadas
en los servicios de suministro
SI
A9.2.3 Seguridad del cableado
el cableado de energía eléctrica y
telecomunicaciones que trasporta datos o presta
soporte a los servicios de información deben estar
protegidos contra interrupciones o daños
SI
A9.2.4 Mantenimiento de los equipos El equipo debe ser mantenido correctamente para
permitir su continua disponibilidad e integridad
SI
A9.2.5
Seguridad de los equipos fuera
de las instalaciones
Se debe aplicar seguridad al equipo fuera-del-
local tomando en cuenta los diferentes riesgos de
trabajar fuera del local de la organización.
SI
A9.2.6
Seguridad de la reutilización o
eliminación de los equipos
Todos los ítems de equipo que contengan medios de
almacenaje deben ser chequeados para asegurar
que se haya removido o sobre-escrito de manera
segura cualquier data confidencial y software con
licencia antes de su eliminación.
SI
A9.2.7 Retiro de activos
Control
Equipos, información o software no deben ser
sacados fuera de la propiedad sin previa
autorización.
SI

10. LO QUE PASA
 Bitácoras en papel de acceso al centro de datos
 Cámaras de seguridad
 Control de acceso
 Gafetes
 Portátiles Robadas en las oficinas
 Computadoras sin contraseñas
 Control físico de equipos
 Contraseñas por defecto
 Se deben realizar pruebas periódicas de que todo está seguro AUDITORIA

11. SEGURIDAD AMBIENTAL EJEMPLO:
EXTINTORES DE INCENDIO
 Revisar mensualmente
 Ubicación visible, fácil acceso libre de
obstáculos
 Altura no mayor a 1.5m del piso a la parte
superior del extintor
 Elegir el tipo adecuado y el tamaño

12. LOCK PICKING
 Lockpicking es el arte de abrir cerraduras sin su llave original
utilizando ganzúas u otro tipo de métodos no destructivos. Es una
forma de abrir cerraduras causando menos daños que con la
fuerza bruta.

13. INGENIERÍA SOCIAL
 El arte del engaño obtener información manipulando a las personas
 Todos queremos ayudar.
 El primer movimiento es siempre de confianza hacia el otro.
 No nos gusta decir No.
 A todos nos gusta que nos alaben.

14. PIGGYBACKING
 Consiste simplemente en seguir a un usuario autorizado hasta un
área restringida y acceder a la misma gracias a la autorización
otorgada a dicho usuario

15. DUMPSTER DIVING
 La búsqueda de información valiosa en la basura es una
práctica que puede resultar riesgosa para una empresa. Allí van
a parar muchos datos importantes que figuran en notas,
documentos confidenciales, configuraciones, e-mails,
memorandos internos, computadoras en desuso, entre otras
cosas.

16. SHOULDER SURFING
 La práctica de mirar por encima del hombro de una persona.
 Cualquiera situado cerca de una persona que está accediendo
a un sistema puede leer más o menos claramente una clave
tecleada.

17. EAVESDROPPING
 “parar la oreja”. En este caso, se trata de una técnica para
capturar información privilegiada afinando el oído cuando se
está cerca de conversaciones privadas.

18. KEY LOGGERS LÓGICOS Y FÍSICOS
VIDEO LOGGERS
CONTRASEÑAS POR DEFECTO
DISPOSITIVOS MÓVILES PERDIDOS
MEMORIAS USB PERDIDAS
CÁMARAS DE SEGURIDAD

19. CIBER SECURITY ENVOLVED
 https://www.youtube.com/watch?v=l_XOrcBxy-E

20. ¿QUE REVISAR?
 Alrededores de la compañía
 Edificio
 Recepción
 Servidores - Data Center
 Estaciones de trabajo
 Control de Acceso – biométricos
 Cableado
 Acceso remoto
 Cerraduras

21. FASES DE LA AUDITORIA FÍSICA - EDPAA
 Fase 1 : Alcance de la auditoria
 Fase 2: Adquisición de información general
 Fase 3 : Administración y planificación
 Fase 4 : Plan de auditoria
 Fase 5 : Resultado de las pruebas
 Fase 6 : conclusiones y comentarios
 Fase 7 : Borrador del informe
 Fase 8 : Discusión con los responsables del área
 Fase 9 : Informe Final

22. PROBLEMAS EXPOSICIONES AMBIENTALES
 Fallo total (apagón)
 Voltaje severamente reducido (caída de voltaje)
 Sobre voltaje
 Interferencia electromagnética (EMI)

23. CONTROLES PARA EXPOSICIONES AMBIENTALES
 Paneles de alarmas
 Detectores de agua
 Extintores manuales de incendio
 Alarmas manuales de incendios
 Detectores de humo
 Sistemas de supresión de incendios
 Ubicación estratégica de la sala de datos
 Protectores de voltaje
 SAI - UPS

24. PROBLEMAS DE ACCESO FISICO
 Acceso no autorizado
 Daño, vandalismo o robo de documentos
 Copia o visualización de información sensible
 Alteración de equipos o información sensible
 Revelación de información sensible
 Chantaje
 Fraude

25. CONTROLES ACCESO FÍSICO
 Cerraduras (pestillo, electrónicas, biométricas)
 Registros manuales y digitales
 Tarjetas de identificación
 Cámaras de vigilancia
 Guardias de seguridad
 Acceso controlado de visitantes
 Bloqueo de estaciones de trabajo
 Punto único de entrada controlado
 Sistema de alarma
 Distribución segura de informes
 Ventanas

26. GRACIAS!!!
Hasta la próxima
Hasta la próxima