Sin ttulo de diapositiva

1
Salvaguardas ligadas al personal
2
Salvaguardas ligadas al personal (I)
Proceso de selección. Puestos que impliquen
acceso a información considerada sensible
examinar cuidadosamente el Curriculum Vitae
del candidato contrastar los datos personales y
de identificación D.N.I., Pasaporte,
... verificar la información sobre su trabajo en
organizaciones anteriores acreditar las
certificaciones académicas analizar las
garantías para puestos especialmente sensibles
(control de finanzas, etc.) Cláusulas de
confidencialidad Seguridad de la información en
el trabajo. Definición de los puestos de
trabajo. Formación de usuarios Comportamiento
ante incidentes
3
Salvaguardas ligadas al personal (II)
Informes de incidentes de seguridad Informes
sobre amenazas, vulnerabilidades y riesgos
Informes sobre mal funcionamiento de software.
El usuario debe - Observar los síntomas y
mensajes que aparezcan en pantalla . - Dejar de
usar el sistema (aislarlo si es posible, pero no
apagarlo) e informar de inmediato a la unidad de
soporte informático. - Informar inmediatamente
a su mando responsable por el canal
determinado. Procedimiento disciplinario
4
Seguridad física
5
Asegurar áreas (I)
Las actividades de SI soportan actividades
sensibles o críticas deben desarrollarse en áreas
seguras, protegidas - por un perímetro de
seguridad definido, - con barreras de seguridad
y - con controles de entrada apropiados dotados
de mecanismos de control de seguridad para
reducir el riesgo de accesos no autorizados o de
daños a documentos y datos. Cada nivel de
protección física debe tener una seguridad
perimetral definida alrededor de la cual se
mantiene un nivel constante de protección. La
seguridad del perímetro debe ser consistente con
el valor de los activos o servicios. Equipamiento
s y utilidades deben estar en áreas seguras donde
existan riesgos mínimos de accesos no
autorizados.
6
Asegurar áreas (II)
Pueden necesitarse barreras físicas del suelo al
techo para prevenir entradas no autorizadas o
contaminación del entorno. - Ventanas y puertas
de las áreas seguras deben estar cerradas y
controlarse periódicamente. - Las ventanas
deben protegerse externamente. - Barreras
adicionales y perimetrales entre áreas con
diferentes requerimientos de seguridad dentro
del perímetro global de seguridad. El personal
distinto al directamente implicado no debe
conocer innecesariamente las actividades que se
hacen dentro de las áreas seguras. Se deben
prohibir los trabajos no autorizados en solitario
para evitar la oportunidad de acción
maliciosa. El equipo de ordenadores centrales
debe estar alojado en áreas dedicadas y separarse
de otros ordenadores departamentales. El
personal de los proveedores o de mantenimiento
sólo debe acceder a las áreas seguras cuando sea
requerido y autorizado. Aun con acceso autorizado
deben restringirse sus accesos y controlarse sus
actividades (especialmente en zonas de datos
sensibles).
7
Controles físicos de seguridad (I)
Deben existir y funcionar controles apropiados de
entrada a cada área de seguridad. - Los
accesos a estas áreas deben autorizarse sólo para
propósitos específicos y controlados, registrando
los datos y tiempos de entrada y salida. - Debe
pedirse a todo el personal que lleve una
identificación visible dentro del área segura y
que observe e informe de la presencia de personal
extraño al área. - Los derechos de acceso deben
revocarse inmediatamente al personal que deje el
empleo. - Los servicios críticos deben situarse
lejos de áreas de acceso público y en zonas con
aproximación directa para vehículos públicos. -
Los edificios deben ser discretos y se deben
minimizar las indicaciones sobre su propósito,
evitando signos obvios (fuera o dentro del
edificio) que identifiquen la presencia de las
actividades cuya seguridad se desea.
8
Controles físicos de seguridad (II)
Los directorios de los teléfonos y de los
vestíbulos de la Organización no deben
identificar localizaciones informáticas (excepto
las oficinas y áreas de recepción). Los
materiales peligrosos y/o combustibles deben
almacenarse a una distancia de seguridad del
emplazamiento de los ordenadores. Por ejemplo los
suministros informáticos como el papel no se
deben almacenar en la sala de ordenadores (hasta
que se necesiten). El equipamiento alternativo
(de respaldo) y los datos de reinicio (back-up)
deben ubicarse en sitios diferentes y a una
distancia conveniente de seguridad. - Debe
instalarse en el área equipamiento apropiado de
seguridad detectores de calor y humos, alarmas
antifuego, sistemas de extinción de incendios y
salidas de emergencia. Este equipamiento debe
revisarse regularmente de acuerdo con las
instrucciones de los fabricantes. Los empleados
deben estar entrenados en su uso adecuado. - Los
procedimientos de emergencia deben estar
documentados debidamente y revisados regularmente.
9
Área intermedia
Se debe preparar un área intermedia para las
entregas a las salas de ordenadores (con objeto
de protegerlas a toda costa de accesos no
imprescindibles). Se recomienda preparar un
área aislada de carga y descarga (para
proveedores y suministros de equipos) que reduzca
la oportunidad de accesos no autorizados a la
sala. - Deben restringirse sólo al personal
autorizado y debidamente identificado los accesos
al área de carga y descarga desde fuera del
edificio. - El área se diseña para que los
suministros puedan descargarse sin tener acceso a
otras zonas del edificio. - La puerta externa
del área debe estar cerrada cuando la interna
esté abierta. - El material entrante debe
inspeccionarse, para evitar amenazas potenciales,
antes de llevarlo al punto de uso o
almacenamiento.
10
Seguridad del equipamiento
Para prevenir pérdidas, daños o riesgos de los
activos o interrupción de las actividades de
negocio, el equipamiento debe estar físicamente
protegido de amenazas y riesgos del entorno. Los
equipos de TI (incluidos los que se usan fuera)
deben estar físicamente protegidos, tanto para
reducir el riesgo de accesos no autorizados a
datos como para salvaguardarlos contra pérdidas o
daños. La Organización debe también proteger
contra riesgos de acceso no autorizado las
instalaciones de acometida de energía y sus
equipos, así como los sistemas de alimentación
ininterrumpida o la infraestructura de cableados.
11
Instalación y protección del equipamiento
Los equipos deben situarse en lugares donde se
minimicen los accesos innecesarios a las áreas de
trabajo. Los terminales que manejen información
y datos sensibles deben ubicarse en lugares donde
se reduzca el riesgo de que aquéllos estén a la
vista. Se deben identificar y proteger estas
áreas de amenazas potenciales como fuego, humos,
agua, polvo, vibraciones, agentes químicos o
radiaciones electromagnéticas. Se prohibe fumar y
comer en área de ordenadores Se debe considerar
el uso de protecciones especiales para
equipamientos situados en ambientes
particularmente agresivos.
12
Suministro eléctrico
Los equipos deben estar protegidos contra fallos
de suministro u otras anomalías eléctricas.
Debe garantizarse un suministro eléctrico
adecuado que cumpla con las especificaciones de
los fabricantes de equipos. Se recomienda tener
un sistema de alimentación ininterrumpida
(S.A.I.) para los equipos que soporten
operaciones críticas. Los planes de contingencia
deben establecer la acción que se debe tomar a la
finalización del tiempo de respaldo de suministro
que proporciona el S.A.I. Éste debe revisarse
regularmente de acuerdo con las recomendaciones
de los fabricantes.
13
Cableado para servicios de comunicación de datos
Las líneas de suministro y telecomunicaciones
para servicios de las T.I. deben ser
instalaciones subterráneas, cuando sea posible, o
tener medidas alternativas de protección
adecuada. Se deben considerar medidas para
proteger los cables de líneas de datos contra
interceptaciones no autorizadas o contra daños
(por ejemplo evitando rutas a través de áreas
públicas). Se deben considerar medidas
adicionales para sistemas sensibles o críticos,
como - cifrado de datos - instalación de
conductos blindados, salas cerradas o cajas de
inspección. - uso de rutas o medios de
transmisión alternativos.
14
Mantenimiento de equipos
Los equipos informáticos deben mantenerse
adecuadamente para asegurar la disponibilidad e
integridad continuadas de los sistemas de
información. - Los equipos deben mantenerse de
acuerdo a las recomendaciones y especificaciones
de los suministradores del servicio. - Los
equipos sólo deben ser sacados fuera de las áreas
para su reparación y servicio por personal de
mantenimiento debidamente autorizado. - Se
registrarán documentalmente todos los fallos o
sospechas de faltas identificados.
15
Movimiento de activos fuera de la organización
El equipo, datos o software de la Organización no
debe sacarse fuera sin autorización. Procedimient
os y controles de seguridad para equipos que
deban usarse fuera. - PCs portátiles en viaje,
no deben dejarse desatendidos en sitios públicos
y deben transportarse en su bolsa
acondicionada. - Los PCs deben viajar provistos
de medios apropiados de protección contra accesos
no autorizados (contraseña, cifrado) y contra
virus. - Los usuarios de estos PCs deben conocer
y observar las instrucciones del constructor (por
ejemplo para protegerlos contra exposición a
campos magnéticos). - Antes de vender equipos
propios, deben borrarse los datos que
contienen. - Un dispositivo de almacenamiento
dañado requiere una valoración de riesgos para
determinar si deben ser destruido, reparado o
descartado.