now freelance

NF

nowfreelance

Un blog sobre tecnología

Checklist Maestra de Seguridad para el Sistema de Control de Acceso Físico: Garantizando la Protección de Activos con Eficiencia

por

Esta guía ha sido diseñada meticulosamente para brindarte un enfoque sólido y efectivo en el fortalecimiento del entorno de tu sistema de control de acceso físico (PACS), protegiéndolo de amenazas provenientes de ataques informáticos y redes. A través de una serie de verificaciones especializadas, esta hoja de ruta es clara y concisa para garantizar la máxima seguridad de tu red interna y colaborar con el personal de soporte de redes y servidores, en caso de ser necesario.

Además, hemos añadido una serie de verificaciones adicionales que se centran en las credenciales, tales como tarjetas de acceso, llaveros y otros dispositivos, así como la evaluación de los lectores de credenciales. De esta manera, podrás asegurarte de que todos los aspectos relacionados con la seguridad física estén bajo control y tus activos protegidos en todo momento.

¡No dejes ningún cabo suelto!

Servidor de Control de Acceso

Entradas de Nombre de Host/DNS

□ Evita nombres obvios para el servidor, como «CCURE» o «AMAG». Esta convención de nomenclatura proporciona a los atacantes una forma rápida de localizar el servidor de control de acceso.
□ Asegúrate de que los nombres de host y las entradas de DNS no incluyan el nombre del fabricante, el acceso físico o PACS.

Interfaz Web

□ Deshabilita la interfaz web si no es necesaria.

Si deshabilitar la interfaz web no es una opción:

□ Limita las direcciones IP que pueden acceder a ella mediante filtrado de red exclusivamente para el personal de seguridad física.
□ Habilita el uso de capa de conexión segura (SSL) o capa de seguridad de transporte (TLS) y obtén un certificado de seguridad válido de una autoridad reconocida.
□ Requiere que todo el personal tenga una cuenta individual en el servidor de PACS, incluso el personal de seguridad contratado.

Bases de Datos

En implementaciones de PACS (Sistema de Control de Acceso Físico) más pequeños, la base de datos puede ser alojada en el mismo servidor de control de acceso. Sin embargo, en instalaciones más grandes, es recomendable que se aloje en un servidor independiente.

□ Asegúrate de que no haya cuentas con contraseñas en blanco.
□ Asegúrate de que las cuentas de máquina requeridas por el proveedor tengan una contraseña fuerte. Establece una contraseña segura que contenga caracteres especiales, números y letras mayúsculas y minúsculas. Prohíbe el uso del nombre de la empresa o abreviatura, direcciones físicas o números de teléfono.
□ Asegúrate de que las copias de seguridad de la base de datos estén encriptadas.
□ Si es posible, los datos en la base de datos misma deben estar encriptados.

Software de PACS

□ Habilita la autenticación de directorio activo para todos los usuarios (si es compatible).
□ Verifica que las cuentas individuales tengan los derechos de acceso adecuados:

  • Solo lectura.
  • Crear/eliminar empleados.
  • Crear/eliminar grupos.
  • Crear/eliminar formatos de tarjeta.
  • Eliminar archivos de registro de eventos.
  • Habilita el registro de eventos para todos los sucesos.

¿Quién puede anular el PACS?

□ ¿Existen altos directivos o equipos de respuesta de emergencia que pueden anular el PACS? ¿Cómo se controla su acceso?

□ Asegúrate de que el personal de limpieza de oficinas acceda al PACS como individuos, no mediante una tarjeta de acceso genérica.

Si el cliente se encuentra en un espacio compartido por varios inquilinos, identifica:

□ ¿Tiene la empresa de administración del edificio acceso para anular el PACS en los controles de inquilinos?
□ ¿Cómo acceden los empleados de la empresa de administración del edificio (personal de HVAC, personal de mantenimiento, etc.) al espacio del inquilino? (¿tarjetas especiales, llaves físicas, etc.)

Paneles de Control de Acceso

También conocidos como controladores de puertas, suelen estar dispersos en toda la red y pueden no estar en la misma red de área local virtual (VLAN). Los paneles de control de acceso pueden ser sensibles a escaneos intensivos de puertos en el lado de la red. El método de evaluación más seguro es revisar la documentación para los siguientes elementos y verificar su presencia manualmente.

Servidores Web de Diagnóstico Integrados

□ Comúnmente se encuentran en los puertos 80 y 443 (se requiere Internet Explorer para la mayoría de los productos).
□ Deshabilita el servidor web si no es necesario.

Si no es posible deshabilitar la interfaz web:

  • Limita las direcciones IP que pueden acceder a él mediante filtrado de red exclusivamente para el personal de seguridad física.
  • Habilita la capa de conexión segura (SSL) o capa de seguridad de transporte (TLS) y obtén un certificado de seguridad válido de una autoridad reconocida.

Protocolos de Acceso Inseguros

□ Deshabilita SNMP si no es necesario.

Si no es posible deshabilitar SNMP:

  • Establece una cadena de comunidad sólida que contenga caracteres especiales, números y letras mayúsculas y minúsculas.
  • Prohíbe el uso del nombre de la empresa o abreviatura, direcciones físicas o números de teléfono.

□ Deshabilita el acceso FTP.

Si no es posible deshabilitar el acceso FTP:

  • No utilices FTP anónimo.
  • Establece una contraseña fuerte que contenga caracteres especiales, números y letras mayúsculas y minúsculas.
  • Prohíbe el uso del nombre de la empresa o abreviatura, direcciones físicas o números de teléfono.
  • Requiere el restablecimiento de la contraseña cada 60-90 días.

□ Deshabilita el acceso Telnet.

Acceso a la Red

□ Restringe el acceso de red solo a las máquinas de acceso físico.
□ Limita las direcciones IP que pueden acceder mediante filtrado de red.

Estaciones de Trabajo de los Guardias de Seguridad

Estas estaciones de trabajo suelen estar en áreas públicas y no están ocupadas las 24 horas del día, lo que las convierte en objetivos principales para ataques físicos.

□ Las estaciones de trabajo deben estar en un gabinete de computadora cerrado con llave.
□ Las estaciones de trabajo no deben utilizarse como la computadora principal del guardia para acceder al correo electrónico y a Internet.
□ El Autorun debe estar desactivado en los puertos USB y las unidades de DVD.
□ Los derechos de administración local deben estar desactivados en las estaciones de trabajo.
□ Los monitores deben estar equipados con filtros de privacidad para evitar el espionaje visual.
□ Asegúrate de que todos los usuarios tengan cuentas individuales en la estación de trabajo con una contraseña sólida.

Máquinas emisoras de credenciales

□ Estas máquinas deben ubicarse en un área no pública.
□ Las máquinas no deben utilizarse como la computadora principal del operador para acceder al correo electrónico.
□ El Autorun debe estar desactivado en los puertos USB.
□ Los monitores deben estar equipados con filtros de privacidad.
□ Estas máquinas no deben tener acceso a Internet.
□ Todo el personal debe tener una cuenta individual con una contraseña sólida.

Números de tarjetas de acceso y códigos de instalaciones

□ Los números de tarjetas de acceso y códigos de instalaciones nunca deben almacenarse fuera del PACS. No deben incluirse en lo siguiente:
Correo electrónico.
Boletos de trabajo o registros.
Portales de SharePoint u otras plataformas de documentación.
□ Los números de tarjetas de acceso y códigos de instalaciones nunca deben imprimirse en una credencial (tarjeta de acceso, llavero electrónico, dispositivo móvil).
□ Si los registros del sistema contienen números de tarjetas de acceso y códigos de instalaciones, estos registros no deben almacenarse en texto claro.

Credenciales

□ Determina el fabricante y el número de modelo para investigar las vulnerabilidades y exploits actuales.
□ Evalúa el aspecto físico:
¿Se encuentran presentes los números de tarjeta o pedido?
¿Se muestra el logotipo del proveedor?
¿Hay holograma presente?
□ Debe emitirse a los empleados un portatarjetas con bloqueo de RFID para su tarjeta de acceso.

Lectores de Credenciales

□ Evalúa el aspecto físico: los lectores deben ser discretos y mostrar evidencia de manipulación.

  • ¿Los lectores son visibles desde el perímetro exterior?
  • ¿Los lectores aparecen en imágenes de «vista de calle» en Google Maps y Bing Maps?
  • ¿Se ha instalado cinta de seguridad antimanipulación en los lectores?
  • ¿Los cables del lector están completamente sellados?
  • ¿Los lectores están instalados con tornillos de seguridad?
  • ¿Está habilitada la función antimanipulación?

Sitio web de la empresa

□ Los lectores de credenciales no deben aparecer en el sitio web de la empresa.
□ Si la organización se encuentra en un edificio alquilado, ¿los lectores de credenciales aparecen en el sitio web de la empresa de arrendamiento?
□ ¿Se muestran las tarjetas de acceso en fotos del sitio web de la empresa o en redes sociales?

Shodan (motor de búsqueda especializado en la identificación y recopilación de información sobre dispositivos conectados a Internet)

□ ¿Se han catalogado los componentes del PACS en Shodan?

Acceso de los proveedores

□ ¿Se requiere que los proveedores se conecten al PACS a través de una VPN?
¿La VPN requiere autenticación multifactorial?

Este checklist es una herramienta que proporciona una guía detallada y exhaustiva para fortalecer el sistema de control de acceso físico (PACS) y garantizar su seguridad. Al abordar aspectos clave como la configuración del servidor, la interfaz web, la base de datos, el software del PACS, los protocolos de acceso, el control de accesos y los lectores de credenciales, ofreciendo una amplia cobertura de las áreas críticas de seguridad.

Al seguir esta lista de verificación y adoptar las medidas de seguridad recomendadas, las organizaciones pueden fortalecer su sistema de control de acceso físico, minimizar los riesgos de ataques y garantizar la integridad y confidencialidad de sus instalaciones y recursos.

Fuente Original en Inglés