AUDITORA A LA SEGURIDAD FSICA

MATERIAL PREPARADO PARA CICLO II-2015

POR DANIEL NEHEMAS REYES LOPEZ Y
JOS FELIPE MEJA
AUDITORA DE SISTEMAS. ESCUELA DE CONTADURA PBLICA,

FACULTAD DE CIENCIAS ECONMICAS, UNIVERSIDAD DE EL

SALVADOR.

AUDITORA DE LA SEGURIDAD FSICA

Son todas aquellas medidas de
seguridad aplicables a un sistema
de informacin, que traten de
proteger a este y a su entorno
tanto de las amenazas de
carcter fsico procedentes de la
naturaleza, de los propios medios
tcnicos y de las personas.

SEGURIDAD FSICA VS SEGURIDAD

LGICA
Todas las amenazas a las que se somete un sistema y sus
medidas de salvaguarda garantizan la seguridad de informacin,
se enfocan en estos bloques.
Las amenazas lgicas suelen comprometer la Confidencialidad,
Integridad y Disponibilidad de la Informacin. Las fsicas atacan
en mayor medida la Disponibilidad, aunque de vez en cuando
amenazan las otras dos.

NORMAS BSICAS DE LA SEGURIDAD

FSICA
Evitar
Retrasar
Detectar
Defender
Principio de la defensa de profundidad
Primer lnea evita y retrasa la materializacin de las amenazas.
Segunda lnea permite detectar incidentes e informar
Tercera lnea construye controles implantados que minimizan impactos cuando se

materializan

COBIT . PROCESOS CATALIZADORES

GESTIN DEL ENTORNO FSICO
Es necesario medir la efectividad de los planes utilizando los
indicadores de:
Tiempo sin servicio ocasionado por incidentes relacionados con
el entorno fsico
Nmero de incidentes ocasionados por fallos o vulnerabilidades
de seguridad fsica
Frecuencia de revisin y evaluacin de los riesgos fsicos

GESTIN DEL ENTORNO FSICO

La seleccin y diseos de los centros de procesos de datos deben
realizarse teniendo en cuenta todos los riesgos asociados a
desastres naturales como los provocados, legislacin aplicable,
leyes y reglamentos relativos a seguridad y salud en el trabajo
Deben implementarse medidas alineadas con el entorno del
negocio
Deben definirse procedimientos para otorgar, limitar y revocar el
acceso a locales, edificios y reas de acuerdo con las necesidades
del negocio, este debe justificarse, autorizarse, registrarse y
supervisarse

ISO 27002: 2005 SEGURIDAD FSICA Y DEL

ENTORNO
Permetro de la seguridad: deben evaluarse para protegerse las reas donde

se almacenan soportes de informacin

Controles fsicos de entrada
Seguridad de oficinas, despachos e instalaciones
Proteccin contra amenazas externas y ambientales
Trabajo en reas seguras
reas de acceso pblico, carga y descarga
Instalacin y proteccin de los equipos
Suministro elctrico
Seguridad del cableado
Mantenimiento de equipos
Seguridad de los equipos fuera de los locales
Seguridad en la reutilizacin, enajenacin o desechado de equipos
Salida de instalaciones

ISO 27002: 2005 SEGURIDAD FSICA Y DEL

ENTORNO

El
auditor
evaluar

Poltica de control de acceso

Gestin de accesos de usuarios
Gestin de privilegios
Revisin de derechos de acceso a usuarios
Equipo informticos de usuario desatendido
Polticas de limpieza de escritorio y pantalla
Informtica mvil y comunicaciones

OTROS FACTORES A EVALUAR

Verificar la construccin de barreras fsicas del suelo al techo.
Ventanas y puertas en reas seguras, barreras adicionales y perimetrales

con requisitos de seguridad

Evaluar como la empresa protege la amenaza de choque elctrico,

incendios, climatizacin, agua, interferencias, agentes qumicos, entre

otros

PERMETRO DE SEGURIDAD FSICA

Proteccin del permetro debidamente sealizado
Construccin resistente
Puertas de acceso reforzadas, blindadas o acorazadas
Mnimo de nmero de entradas
Ventanas de fcil acceso con cristales blindados, barrotes rejas o

detectores de rotura
Cristales opacos
Proteccin de conductos y aberturas, cielo falso, conductos de aire
Sistema de deteccin de intrusos
Sistema de circuito cerrado de TV (CCTV)

PERMETRO DE SEGURIDAD FSICA

Mecanismo de identificacin mediante PIN, token, biometra o

combinacin de ambas

Contratos de mantenimiento, seguros y garantas

Control de visitas (autorizacin para acceso, comprobacin de la

identidad, registro de entrada/salida, escolta y revisin del registro de

visitas)

PERMETRO DE SEGURIDAD FSICA

Obligatoriedad de uso de identificadores en el interior del recinto
Procedimientos adecuados para emisin, control, registro, baja y

cancelacin de identificadores

Empleo de diferentes tipos de identificadores con diseo difcil de

falsificar, con fotografa y accesos cerrados en horas no laborales

Verificacin de control de llaves, combinaciones o dispositivos de

seguridad

INGENIERA SOCIAL COMO AMENAZA Y

PRUEBAS DE AUDITORA
Imitacin a travs de llamadas telefnicas
Dumpster diving (recoleccin urbana)
Shoulder surfing (sniffing sobre el hombro)
Piggybaking
Tcnicas de convencimiento
keyloggers

DISPOSITIVOS MVILES Y SEGURIDAD

FSICA
Dispositivos deben ser controlados por ser amenazas para capturar

datos

Verificar que exista plan de acciones como amonestaciones por uso de

dispositivos en los sitios de trabajo, deshabilitacin de puertos USB u

otros, encriptar informacin

Bluetooth desactivado, al igual que el infrarrojos

Contraseas y medios de respaldo en lnea
Llaves o candados, seguros, garantas, inventarios con IDs

OTROS PROCEDIMIENTOS DE AUDITORA

Revisar polticas, procedimientos y estndares escritos
Revisar polticas de seguridad de acceso lgico
Verificar que exista concienciacin y entrenamiento formal de seguridad
Procedimientos para los usuarios de la informacin y cmo guardan los

datos

Polticas de autorizaciones documentadas

OTROS PROCEDIMIENTOS DE AUDITORA

Evaluacin de controles sobre recursos de
produccin
Bitcora y reporte de las violaciones de acceso
a las computadoras
Seguimiento a las violaciones de acceso
Evasin de seguridad y controles
compensatorios

EN GENERAL QU ABARCA SEGURIDAD

FSICA?
Programacin
Centro de cmputo
Consolas y terminales de operador
Cintoteca interna y externa
Salas de almacenamiento y suministros
Sala de control de entradas y salidas
Closet de comunicaciones
Equipo de telecomunicaciones
Microcomputadoras y computadoras personales
Fuentes de energa
Impresoras
Redes de rea local

PRUEBAS DE CUMPLIMIENTO
Verificar las consideraciones de diseo de instalaciones:
Paredes: resistencia al fuego
Techo: peso y resistencia al fuego
Piso: peso y no conductividad
Ventanas: a pruebas de rupturas
Puertas: resistencia a fuego y violacin
Sistema contra incendios
Tuberas
Fuentes de energa
Planes de contingencia y simulacros

PROCEDIMIENTOS DE CONTROL

Panel de control de alarmas

Detectores de humedad

Extintores manuales de incendio

Alarmas manuales de incendio

Detectores de humo

Sistema de supresin de incendios

Ubicacin estratgica del centro de cmputo

Inspeccin peridica por bomberos

Paredes, piso y techo falsos a prueba de incendio

Proteccin de voltaje, UPS

Interruptor de energa de emergencia

Cableado y pneles resistentes al fuego

Prohibicin de comer, fumar y beber dentro de instalaciones

Material de oficina resistente al fuego

Ventilacin adecuada

PROCEDIMIENTOS DE CONTROL
Ubicacin estratgica de alarmas de incendio, que sea audible y

conectada a alguna estacin monitoreada

Los detectores de humo debern estar en techo falso o bajo el mismo,

audibles, conectados a estaciones, con suministro de energa suficientes

y complemento de sistema de supresin de incendio

PROCEDIMIENTOS DE CONTROL
Que el sistema de supresin de incendios posea rociadores de tubera

seca, cargada o Haln (elimina oxgeno)

En los controles de humedad y temperatura que la humedad se

mantenga en un 40 y 60%, uso de alfombras y spray antiestticas

Las paredes resistentes al fuego y que eviten propagacin

PROCEDIMIENTOS DE CONTROL
Verificacin del papel de guardias de seguridad, que posean fianza,

solvencias, disponibles, entrenados para prevenir ingeniera social

Uso de animales: perros que sean leales, confiables, relacin costo

beneficio, atencin veterinaria, seguro y responsabilidad

Escolta de visitantes
Fianzas de personal de mantenimiento