¿Cuáles son los buenos recursos para las seguridad física que enfrentan las organizaciones de TI? Al igual que las mejores prácticas para cerraduras y sellos en servidores y quioscos, mecanismos y políticas de acceso al personal, planes de recuperación ante desastres.
Estoy buscando conferencias, revistas, libros, blogs, etc.
Echa un vistazo a The Core Group enlace
Ofrecen sesiones de capacitación en la conferencia Black Hat (y otras conferencias):
"PRUEBAS DE PENETRACIÓN FÍSICA"
enlace
enlace
Aquellos que asistan a esta sesión se irán con la plena conciencia de cómo proteger mejor los edificios y terrenos del acceso no autorizado, así como cómo comprometer la mayor parte de la seguridad física existente para poder acceder a ellos mismos. Los asistentes no solo aprenderán cómo distinguir los bloqueos buenos y el control de acceso de los pobres, sino que también se familiarizarán con la selección y eludir muchos de los bloqueos más comunes que se usan en América del Norte para evaluar la postura de seguridad de su propia compañía o para aumentar su carrera como probador de penetración
El BSI alemán también tiene algunos recursos. El download es un whooping de 24MB en tamaño, pero tiene una visión general bastante buena Mejores prácticas, también para seguridad física.
Gran parte del trabajo de seguridad holística que he hecho trata de averiguar dónde están las organizaciones en relación con sus pares en la industria en todas las disciplinas de seguridad. La seguridad física es a menudo un dedo en el aire, nos vemos mejor que el edificio de al lado, algo así.
Las mejores prácticas documentadas no parecen ser tan comunes como en otras áreas de seguridad. Creo que es porque la gente siente que entiende la seguridad física mejor que algunas de las ramas más esotéricas.
Ingeniería social / romper e ingresar son mis dos herramientas para intentar persuadir a las organizaciones para que mejoren aquí.
No había visto los documentos BSI alemanes antes, aunque vale la pena agregarlos a la lista.
La Journal of Physical Security (JPS) es "La primera revisión académica, por pares Revista dedicada a la seguridad física R & D ". Fue iniciado por el Laboratorio Nacional de Los Álamos en 2004 y ahora opera bajo los auspicios del Laboratorio Nacional de Argonne. Es en línea y gratis, aunque algunos artículos no están revisados por pares. Se compara muy bien con la plétora de revistas especializadas en seguridad que tienden a no revisar críticamente las afirmaciones de sus escritores y anunciantes.
Me gusta particularmente su trabajo en Derrota Sellos de indicación de manipulación indebidos existentes - División de ingeniería nuclear (Argonne) y sus recomendaciones para los sellos "anti-evidencia": Desarrollando Novedosos Enfoques para el Tamper & Detección de intrusiones .
Roger Johnston es el editor de APS, y su presentación en USENIX Security '10 fue excelente: Los errores de seguridad son más tontos que los mocos de perros - CSO Online - Seguridad y Riesgo . Algunos grandes ejemplos de "teatro de seguridad" allí.
Otro recurso es TOOOL: La organización abierta de los Lockpickers
El material del curso CISSP tiene un CBK sobre seguridad física.
Aunque no lo recomendaría necesariamente (al igual que cualquier otro tema de una milla de CISSP ...), hay mucha información sobre la colocación de guardias, cerraduras, puertas, etc ... y también HVAC y demás.
Yo diría que encontré la calidad de la información mezclada; tuve la ventaja de comparar esto con las prácticas del mundo real de un cierta fuerza policial nacional , que por cualquier medida puede considerarse" relativamente segura "... - algunos de los materiales de CISSP se compararon favorablemente, otros no ...
Como lo mencionó @Rory, la ingeniería social aún triunfa sobre todo.