alcance departmento de seguridades.docx

16
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SITEMAS COMPUTACIONALES Departamento de Se!r"dade# F$#"%a# & L'"%a#( )erar*!$a A+%an%e, Se!r"dade# F$#"%a# Adm"n"#tra%"'n de Centro de C'mp!to Gr!po - Pro.e#or, In/ Ro0erto Co++ante# C!r#o, S1)

Upload: karina-toala

Post on 04-Oct-2015

214 views

Category:

Documents


0 download

TRANSCRIPT

Departamento de Seguridades Fsicas y Lgicas-Jerarqua

UNIVERSIDAD DE GUAYAQUILFACULTAD DE CIENCIAS MATEMATICAS Y FISICASCARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES

uNIVERSIDAD DE GUAYAQUILfACULTAD DE CIENCIAS MATEMTICAS Y fSICAScARRERA DE iNGENIERA EN SITEMAS COMPUTACIONALESDepartamento de Seguridades Fsicas y Lgicas-Jerarqua Alcance: Seguridades FsicasAdministracin de Centro de CmputoGrupo 8Profesor: Ing. Roberto CollantesCurso: S7J

Contenido1.Alcance a funciones del rea: Seguridades Fsicas3Propsitos y objetivos de un sistema de seguridad fsica4Factores que afectan la seguridad fsica4Factores ambientales5Factores humanos6Funciones y obligaciones6Clasificacin general de las instalaciones6Instalaciones de alto riesgo:7Instalaciones de riesgo medio:7Instalaciones de bajo riesgo:7Control de acceso fsico.7a.Estructura y disposicin del rea de recepcin7b.Acceso de terceras personas7c.Identificacin del personal7Otros elementos de control8Control de riesgos.8a.Aire Acondicionado8b.Instalacin elctrica8c.Inundacin9d.Proteccin, deteccin y extincin de incendios9e.Mantenimiento9Plan de contingencia9Objetivo9-Prevencin:10-Deteccin:10-Recuperacin:10Esquema de Divisin de Polticas de Seguridad en un Centro de Cmputo102.Organigrama del rea de Seguridades10Jerarqua de acuerdo a los perfiles propuestos11

1. Alcance a funciones del rea: Seguridades FsicasLa seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico, por lo cual se debe realizar un anlisis de todos los aspectos a considerar ya que todo no se puede deducir desde el mbito lgico, por ejemplo la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma; esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma.Es as que se puede citar que, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.La seguridad en el centro de cmputo de cualquier tipo conlleva tiempo, dinero y sobre todo, esfuerzo. Es posible obtener en general ciertos niveles mnimos de seguridad sin hacer un gasto considerable. Pero, el logro de proteccin adicional requiere niveles de gastos ms altos, y es importante asegurarse de que existe una relacin costo/beneficio razonable con respecto a las medidas de seguridad. Para ello es necesario establecer prioridades, entre ellas tenemos:

Qu se quiere proteger?Es muy importante determinar el valor del hardware, las tareas que realiza, y que tan importante es para la organizacin en que se est trabajando.

Contra qu se quiere proteger?Para no incurrir en gastos innecesarios, es importante determinar cules son los riesgos reales a los que est expuesto el equipo de cmputo. La seguridad efectiva debe garantizar la prevencin y deteccin de accidentes, ataques, daos por causas naturales, as como la existencia de medidas definidas para afrontar los desastres y lograr el restablecimiento de las actividades.

Cunto tiempo, dinero y esfuerzo se est dispuesto a invertir?Se refiere a la cantidad de recursos que dispone o que est dispuesta a invertir la organizacin; la que determina en ltima instancia las medidas que se van a tomar. Estos recursos son: Tiempo. Para configurar parmetros de seguridad del sistema, ambiente de trabajo de usuarios, revisar y fijar permisos de acceso a los archivos, ejecutar programas de monitoreo de seguridad, revisar las bitcoras de sistema, etc. Esfuerzo. Establecer y mantener y nivel adecuado de seguridad puede significar un esfuerzo considerable por parte del encargado, sobre todo si ocurren problemas de seguridad. Dinero. El encargado de la seguridad, los productos de seguridad que se utilicen, ya sean programas o equipos cuestan dinero. Es importante analizar los costos que tendra la prdida o acceso no autorizado a la informacin.

Propsitos y objetivos de un sistema de seguridad fsica Asegurar la capacidad de supervivencia de la organizacin ante eventos que pongan en peligro su existencia.

Proteger y conservar los archivos de la organizacin, de riesgos, de desastres naturales o actos mal intencionados.

Reducir la probabilidad de las perdidas, a un mnimo nivel aceptable, aun costo razonable y asegurar la adecuada recuperacin.

Asegurar que existan controles adecuados para las condiciones ambientales que reduzcan el riesgo por fallas o mal funcionamiento del equipo, del software, de los datos y de los medios de almacenamiento.

Controlar el acceso, de agentes de riesgo, a la organizacin para minimizar la vulnerabilidad potencial.

Factores que afectan la seguridad fsicaEste tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el centro.Cada sistema es nico y por lo tanto la poltica de seguridad a implementar no ser nica, es por ello que siempre se recomendarn pautas de aplicacin general y no procedimientos especficos. El tipo de medidas de seguridad que se pueden tomar contra factores ambientales depender de las modalidades de tecnologa considerada y de donde sern utilizadas. Las medidas de seguridad ms apropiadas para la tecnologa que ha sido diseada para viajar o para ser utilizada en el terreno sern muy diferentes a la de aquella que es esttica y se utiliza en ambientes de oficina.Las principales amenazas que se prevn en la seguridad fsica son:1. Desastres naturales, incendios accidentales tormentas e inundaciones.2. Amenazas ocasionadas por el hombre.3. Disturbios, sabotajes internos y externos deliberados.Factores ambientales

Incendios: Por el uso inadecuado de combustibles, fallas de instalaciones inalmbricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas.Los diversos factores a contemplar para reducir los riesgos de incendio a los que se encuentra sometido un centro de cmputos son: El rea en la que se encuentran las computadoras debe estar en un local que no sea combustible o inflamable. El local no debe situarse encima, debajo o adyacente a reas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases txicos o sustancias radioactivas. Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo. Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y resistentes al fuego. No debe estar permitido fumar en el rea de proceso. Deben emplearse muebles incombustibles, y cestos metlicos para papeles. Deben evitarse los materiales plsticos e inflamables. El piso y el techo en el recinto del centro de cmputo y de almacenamiento de los medios magnticos deben ser impermeables. Para proteger los equipos se debe tener en cuenta que: La temperatura no debe sobrepasar los 18 C y el lmite de humedad no debe superar el 65% para evitar el deterioro. Los centros de cmputos deben estar provistos de equipo para la extincin de incendios en relacin al grado de riesgo y la clase de fuego que sea posible en ese mbito. Deben instalarse extintores manuales (porttiles) y/o automticos (rociadores). Inundaciones: Esta es una de las causas de mayores desastres en centros de cmputos. Adems de las causas naturales de inundaciones puede darse por la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por la falta de drenaje ya sea natural o artificial. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Sismos: Pueden ser poco intensos o tan intensos que causen destruccin de edificios y prdida de vidas humanas. Humedad: Se debe proveer de un sistema de calefaccin, ventilacin y aire acondicionado separada, y exclusivo que se dedique al cuarto de cmputo. Condiciones Climatolgicas: Generalmente se reciben por anticipado los avisos de tormentas, tempestades, tifones y catstrofes ssmicas similares. Las condiciones atmosfricas severas se asocian a ciertas partes del mundo y la probabilidad de que ocurran est documentada. La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al decidir la construccin de un edificio. La comprobacin de los informes climatolgicos o la existencia de un servicio que notifique la proximidad de una tormenta severa, permite que se tomen precauciones adicionales, tales como la retirada de objetos mviles, la provisin de calor, iluminacin o combustible para la emergencia. Seales de radar: La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios aos. Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana.Factores humanos

Robos: Las computadoras son posesiones valiosas de las empresas, y estn expuestas, de la misma forma que estn expuestas las piezas de stock e incluso el dinero invertido en ellas. Actos vandlicos: Empleados descontentos o personas ajenas a la empresa que puedan tomar represalias contra los equipos y las instalaciones. Fraude: Hechos a terceros por medio de computadoras dentro de la empresa. Sabotaje: Debido a un empleado o un sujeto ajeno a la empresa. Terrorismo: Las empresas de mayor nombre en el mundo son un blanco muy llamativo para los terroristas.Funciones y obligaciones

Clasificacin general de las instalaciones. Control de acceso fsico. Control de riesgos. Plan de contingencias.

Clasificacin general de las instalaciones.

El primer paso consiste en establecer en trminos generales si se trata de una instalacin de riesgo alto, medio o bajo.

Instalaciones de alto riesgo:Datos o programas que contiene informacin confidencial de inters nacional a que poseen un valor competitivo alto en el mercado.Perdida financiera potencial considerable para la comunidad a causa de un desastre o de un gran impacto sobre los miembros del pblico.Perdida potencial considerable para la institucin y, en consecuencia, una amenaza potencial alta para su subsistema.Instalaciones de riesgo medio:Son aquellas con aplicaciones cuya interrupcin prolongada causa grandes inconvenientes y posiblemente el incremento de los costos; sin embargo, se obtiene poca perdida material.Instalaciones de bajo riesgo:Son aquellas con aplicaciones cuyo procesamiento retardado tiene poco impacto material en la institucin en trminos de costo o de reposicin del servicio interrumpido.

Control de acceso fsico.

Involucrar la identificacin positiva del personal que entre o sale del rea bajo un estricto control. Los controles de acceso fsico varan segn las distintas horas del da.

a. Estructura y disposicin del rea de recepcinSe debe identificar y admitir tanto a los empleados como a los visitantes, el uso de dispositivos magnticos automticos, vidrio reforzado y otros recursos en el rea de recepcin.

b. Acceso de terceras personasSe incluyen a los de mantenimiento de aire acondicionado y de computacin, visitantes y el personal de limpieza. Estos y cualquier otro personal ajeno a la instalacin, deben ser identificados plenamente, controlados y vigilados en sus actividades durante el acceso.

c. Identificacin del personalLa identificacin mediante algn objeto que se porta. Tal como; tarjetas magnticas codificadas por colores o con foto y llaves de acceso. Un problema con esta tcnica es la posibilidad de que el objeto que se porta sea reproducido por individuos no autorizados.

La identificacin mediante algo que se sabe. Implica el conocimiento de algn dato especfico como el nmero de empleado, algn nmero confidencial, contrasea o combinacin.

La identificacin mediante caractersticas fsicas especiales. Estas caractersticas se dividen en dos categoras.

Neuromuscular: Tales como firma o escritura. Gentica: Tales como la geometra del cuerpo; mano, iris, retina, huellas dactilares, reconocimiento de patrones de voz, apariencia facial, impresin de huellas de los labios, etc.Otros elementos de controlAsimismo pueden utilizarse los siguientes elementos.

Guardias y escoltas especiales. Registros de firma de entrada y salida. Puertas con chapas de control electrnico. Tarjetas de acceso y gafetes de identificacin. Entradas de dobles puertas. Equipos de monitoreo. Alarmas contra robos. Trituradores de papel.

Control de riesgos.

a. Aire AcondicionadoMal funcionamiento y elementos de instalaciones del aire acondicionado ocasionan que el centro de cmputo sea apagado, produzcan incendios y son susceptibles a ataque fsico, especialmente a travs de los ductos. La prevencin comprende: AC de respaldo, extintores y detectores de humo, alarmas de temperatura y humedad.

b. Instalacin elctrica Sistema de corriente regulada.Bsico. El que se encuentra en cada equipo de cmputo y que proporciona energa por unos minutos para salvar informacin o apagar el equipo.Completo. Permite que el equipo opere en forma oportuna y ordenada durante toda la jornada laboral.Redundante. Utiliza un sistema de corriente ininterrumpida adicional en caso de que el sistema principal falle.

Sistema de conexin de tierraProtege al personal de operacin y mantenimiento, en el caso de que un bastidor del equipo tenga un alto voltaje o cuando algn cable de fase haga contacto con el bastidor accidentalmente, o debido a dao de algn componente.

c. Inundacin Existencia de inundacin. El equipo no debe estar en el stano Acontecimientos no naturales. Ruptura de tuberas, drenaje bloqueado.

d. Proteccin, deteccin y extincin de incendios Paredes de materiales incombustible Techo resistente al fuego Canales y aislamiento resistentes al fuego Sala y reas de almacenamiento impermeables Sistema de drenaje en el piso firme Detectores de fuego aleados del AC Alarmas de incendios conectados al generale. Mantenimiento Propio o externo Equipo informtico Electricidad, agua, AC, etc. Actividades disciplinarias Falta provoca una fractura en la seguridad

Plan de contingencia

Un plan de contingencia es una presentacin para tomar acciones especficas cuando surja un evento o condicin que no est considerado en el proceso de planeacin formal. Es decir se trata de un conjunto de procedimientos de recuperacin para casos de desastre. Es un plan formal que describe pasos apropiados que se deben seguir en caso de un desastre o emergencia, y consiste en un amplio estado de acciones para ser tomadas:

Antes, como un plan de respaldo Durante, como un plan de emergencia Despus, como un plan de recuperacin tras un desastre o emergencia

Objetivo

El propsito principal de un plan de contingencia es mantener a la compaa y sus actividades operando aun en una situacin de desastre, es decir, habilitar a la organizacin para responder y sobrevivir a problemas crticos o catastrficos, de forma que permita una pronta recuperacin de la operacin normal del centro de cmputo.

Se debe considerar que la prdida parcial o total de las facilidades del procesamiento de datos puede causar entre otras cosas: Prdidas financieras directas e indirectas, perdidas de la produccin, perdidas de cliente, costos extras para apoyo, costos de compensacin, perdidas de control, informacin errnea o incompleta, bases pobres para la toma de decisiones.

Contempla tres partes: Prevencin: Conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la continuidad operativa, ya sea en forma parcial o total del centro de datos, a las instalaciones auxiliares, recursos, informacin procesada, en trnsito y almacenada. De esta forma se reducir su impacto. Permitiendo restablecer a la brevedad posible los diferentes servicios interrumpidos.

Deteccin: Deben contener el dao en el momento, as como limitarlo tanto como sea posible, contemplando todos los desastres naturales y eventos no considerados.

Recuperacin: Abarca el mantenimiento de partes crticas entre la prdida del servicio y los recursos, as como su recuperacin o restauracin.Evaluar y controlar permanentemente la seguridad fsica del edificio es la base para o comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo.Tener controlado el ambiente y acceso fsico permite: Disminuir siniestros Trabajar mejor manteniendo la sensacin de seguridad Descartar falsas hiptesis si se produjeran incidentes Tener los medios para luchar contra accidentes

Esquema de Divisin de Polticas de Seguridad en un Centro de Cmputo

Analizada el rea de seguridades fsicas y lgicas podemos concluir en el siguiente esquema, en el cual se abarca cada uno de los puntos mencionados tanto en el primer trabajo como en el presente alcance

Anexo 12. Organigrama del rea de SeguridadesEl organigrama del rea de seguridades viene dado de acuerdo a la empresa y lo que decida la gerencia de esta, ya que este departamento puede agrupar o tener de manera independiente la parte de seguridades fsicas como la de seguridades lgicas; sin embargo considerando que la mayora de los sistemas de control fsico se encuentran basados en software estas reas generalmente se encuentran integradas en un solo departamento bajo la supervisin de un jefe o director del rea de seguridades, a fin de tener un control eficiente sobre el Centro de Cmputo, reduciendo los riesgos y previniendo daos que puedan darse y afectar la organizacin.Anexo 2

Jerarqua de acuerdo a los perfiles propuestos

SUBDIRECCION/GERENCIA JEFE DE SEGURIDAD CUSTODIO DE LA INFORMACION INGENIERO DE SEGURIDAD TECNICO DE SEGURIDAD

(1) HUERTA, Antonio Villaln. "Seguridad en Unix y Redes". Versin 1.2 Digital - Open Publication License v.10 o Later. 2 de Octubre de 2000. http://www.kriptopolis.org

ANEXO 1

ANEXO 2

2