ÁREAS SEGURAS
Perímetro de Seguridad
Control de Accesos
Oficinas y Despachos
El Trabajo en Áreas Seguras
Zonas de Carga
OBJETIVO DE LAS ÁREAS SEGURAS
Impedir accesos no autorizados, daños
e interferencia en las sedes e
información de la empresa, por lo que
se recomienda la implementación de
políticas de escritorios y pantallas
limpias para reducir estos riesgos,
además
las
instalaciones
de
procesamiento de información crítica o
sensible deben estar en áreas
protegidas con un perímetro de
seguridad definido por: vallas y
controles de acceso apropiados.
“La protección debe ser proporcional a
los riesgos identificados”.
PERÍMETRO DE
SEGURIDAD
PROTECCIÓN FÍSICA
La protección
física, puede
llevarse a cabo
mediante la
creación de
diversas
barreras
físicas
Las sedes de
la organización
Las instalaciones
de procesamiento
de información
D
O
N
D
E
Cada barrera
establece un
perímetro de
seguridad y
cada uno de
los cuales
incrementa la
protección
total provista
¿QUÉ ES UN PERÍMETRO DE
SEGURIDAD?
Un perímetro de seguridad es algo
delimitado por una barrera. Por Ej.
Una Pared
Una puerta con
acceso
mediante tarjeta
Una persona
en escritorio
Una oficina de
recepción atendida
por personas
El emplazamiento y la fortaleza de cada
barrera dependerán de los resultados de
una evaluación de riesgos.
LINEAMIENTOS Y CONTROLES
El perímetro de seguridad debe
estar claramente definido
Físicamente
sólido
El perímetro de un edificio o área
que contenga instalaciones de
procesamiento de información
Todas las puertas
exteriores deben
ser protegidas
contra accesos no
autorizados
Debe existir un área de
recepción atendida por
personal u otros medios de
control de acceso físico al
área o edificio
Donde
Es decir, no deben
existir aberturas en el
perímetro o áreas
fáciles de irrumpir
por ej., mediante
mecanismos de
control, vallas,
alarmas,
cerraduras, etc.
El acceso a las distintas
áreas y edificios debe
estar restringido
exclusivamente al
personal autorizado
LINEAMIENTOS Y CONTROLES
Las barreras físicas deben,
si es necesario, extenderse
desde el piso hasta el techo,
a fin de impedir el ingreso
no autorizado y la
contaminación ambiental
Todas las puertas de
incendio de un perímetro
de seguridad deben tener
alarma y cerrarse
automáticamente.
por ejemplo, el
ingreso de terceros,
incendios e
inundaciones.
CONTROLES DE
ACCESO FÍSICO
¿QUÉ PERMITEN LOS
CONTROLES DE ACCESO?
Las áreas protegidas deben ser resguardadas por
adecuados controles de acceso que permitan
garantizar que sólo se admite el paso de personal
autorizado a los sistemas de información y a las
instalaciones de la empresa.
CONTROLES
Los visitantes
de áreas
protegidas
deben ser
supervisados o
inspeccionados
Y
Se debe permitir el acceso
La fecha y horario
de su ingreso y Sólo con propósitos específicos y
autorizados, instruyéndose al
egreso deben ser
visitante sobre los avisos de
registrados
seguridad del área y las
tácticas de emergencia.
d
e
El acceso a la
b
información
e
sensible, y a las
instalaciones donde s
e
son procesadas
r
Controlado y
limitado
exclusivamente a
las personas
autorizadas. Se
deben utilizar
controles de
autenticación
E
j
e
m
p
l
o
Tarjeta y número de
identificación personal,
para autorizar y validar
todos los accesos.
CONTROLES
Debe mantenerse
una pista protegida
que permita auditar
todos los accesos
Todo el personal debe exhibir
alguna identificación visible y
se lo debe alentar a
cuestionar la presencia de
desconocidos no escoltados
y a quien no exhiba una
identificación
Se deben revisar y
actualizar periódicamente
los derechos de acceso a
las áreas protegidas
Daños ocasionados por :
Medidas de seguridad
para las oficinas e
instalaciones:
Se deben considerar los siguientes
controles:
Buena ubicación de las instalaciones, en lugares donde no pueda acceder el
público.
Puertas y Ventanas
aseguradas, edificio
con vigilancia
continua.
Desarrollo de tareas en áreas protegidas
Para incrementar la seguridad de un área protegida
pueden requerirse controles y lineamientos adicionales.
Esto incluye controles para el personal o terceras partes
que trabajan en el área protegida, así como para las
actividades de terceros que tengan lugar allí. Se deberán
tener en cuenta los siguientes puntos:
Puntos a considerar:
El personal sólo debe tener conocimiento de la
existencia de un área protegida, o de las
actividades que se llevan a cabo dentro de la
misma, según el criterio de necesidad de conocer.
Se debe evitar el trabajo no controlado en las áreas
protegidas tanto por razones de seguridad como para
evitar la posibilidad de que se lleven a cabo
actividades maliciosas.
Las áreas protegidas desocupadas deben ser
físicamente bloqueadas y periódicamente
inspeccionadas.
El personal del servicio de soporte externo debe
tener acceso limitado a las áreas protegidas o a las
instalaciones de procesamiento de información
sensible.
A menos que se autorice expresamente, no debe
permitirse el ingreso de equipos fotográficos, de
vídeo, audio u otro tipo de equipamiento que
registre información
Aislamiento de las áreas de entrega
y carga
Acceso
a
personal
identificado y autorizado.
Áreas
de
entrega
diseñadas para la fácil
entrega del suministro.
¿Qué Hacer?
Puertas exteriores deben
estar cerradas o aseguradas.
El material debe ser
inspeccionado y registrado
antes de su ingreso y
posterior uso.
Ubicación y Protección
del Equipamiento
Seguridad de los Equipos
OBJETIVO
Reducir los riesgos ocasionados por
amenazas y peligros ambientales,
y oportunidades de acceso no autorizado
Seguridad de los Equipos
Las instalaciones se deben ubicar en un lugar de fácil
supervisión
Minimizar el acceso innecesario a las áreas de trabajo
Establecer políticas dentro de las instalaciones de los
sistemas de información.
Controles para minimizar el riesgo de amenazas
potenciales
Los ítems que requieren protección especial deben
ser aislados
Monitorear las condiciones Ambientales
Seguridad de los Equipos
Protección especial para los instrumentos
ubicados en áreas industriales.
Considerar el impacto de un eventual desastre
que tenga lugar en zonas próximas a la sede de
la organización.
Riesgos de amenazas potenciales
SUMINISTROS DE ENERGIA
El equipo debe estar protegido
Contra posibles fallas eléctricas
y debe contar
Con un adecuado suministro de energía
De acuerdo a las especificaciones del
Proveedor o fabricante
a) múltiples bocas de
suministro para evitar un
único punto de falla en el
suministro de energía
b)suministro de energía
ininterrumpible (UPS)
c)generador de respaldo.
SEGURIDAD DEL CABLEADO



Las líneas de energía eléctrica y
telecomunicaciones que se
conectan con las instalaciones de
procesamiento de información
deben ser subterráneas, siempre
que sea posible, o sujetas a una
adecuada protección alternativa.
El cableado de red debe estar
protegido contra interceptación no
autorizada o daño.
Los cables de energía deben estar
separados de los cables de
comunicaciones para evitar
interferencias.
Entre los controles adicionales a
considerar para los sistemas sensibles
o críticos se encuentran los siguientes
instalación de conductos blindados y
recintos o cajas con cerradura en los
puntos terminales y de inspección.
uso de rutas o medios de transmisión
alternativos
uso de cableado de fibra óptica
iniciar barridos para eliminar
dispositivos no autorizados conectados
a los cables.
Mantenimiento de Equipos
Debe ser en forma
adecuada para
asegurar su
disponibilidad e
integridad.
Seguridad Fuera
Debe ser
autorizado por el
nivel gerencial
Reutilización y Mantenimiento
Deben de ser
controlados para
asegurar que han
sido eliminados o
sobrescritos antes de
su baja.
Controles Generales
Objetivo.2
Impedir la
exposición de la
información a:
1
Robos.
3
Riesgos.
Fallos en las
instalaciones de
procesamiento.
Clasificación:
CONTROLES
GENERALES
1) Política de
escritorios y
pantallas limpias
2) Salidas de
Equipos o
Información
1.- Política de escritorios y
pantallas limpias.a)
Adopción de
política de
escritorios limpios
Adopción de
política de
pantallas limpias
Documentos
en papel
Proteger
b)
Dispositivos de
almacenamiento
removibles
a) Acceso no
Reducir
riesgos
autorizado
b) Pérdida o daño
de la información
Política de escritorios y
pantallas limpias.-
Información
Escritorio
E
X
P
U
E
S
T
A
Daños o
destrozos
Medidas para evitar daños o destrozos
en caso de haber desastres.
1
Documentos en
papel y medios
informáticos
Almacenados
2
Información
sensible
Medidas para evitar daños o destrozos
en caso de haber desastres.
No
3
Computadoras
personales e
impresoras
4
Puntos de
recepción y
envío de
correo
Proteger
Si
Medidas para evitar daños o destrozos
en caso de haber desastres.
5
Fotocopiadoras
Deben estar
Bloqueadas
6
Información
sensible y
confidencial
Una vez
Impresa
Debe
Retirarse
2.- Salidas de Equipos o Información
1)
Equipamiento
Información
No deben ser retirados de
la organización
sin
Autorización
Software
2.- Salidas de Equipos o Información
Deberán ser:
Equipos
1) Loggedout
2) Logged in
HABLEMOS DE SEGURIDAD FÍSICA
Y DEL ENTORNO!!!!!!
Y si no lo hacemos, estemos preparados…...
Descargar

Diapositiva 1