Data center sper sys
-
Upload
rodolfo-valiente -
Category
Engineering
-
view
98 -
download
1
Transcript of Data center sper sys
PROPUESTA DE ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE DATA CENTER
EMPRESA SPERSYS
RODOLFO ANIBAL VALIENTE AGUILAR
INGENIERO EN SISTEMAS DE INFORMACIÓN Y CIENCIAS DE LA COMPUTACIÓN
CARNÉ 902-08-1309
ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN
EVALUACIÓN GENERAL PRIVADA
EVALUADOR: ING. HUGO ADALBERTO HERNÁNDEZ SANTIZO
AGOSTO 2016
PRESENTACIÓN:
En el presente documento se realiza la propuesta para la implementación de un Data Center con los
linimentos TIER III, para la empresa SperSys.
1
ContenidoPRESENTACIÓN:.................................................................................................................................1
EMPRESA OFERTANTE........................................................................................................................8
RESUMEN EJECUTIVO.........................................................................................................................9
AJSA, S.A...........................................................................................................................................10
Misión..........................................................................................................................................10
Visión............................................................................................................................................10
Certificaciones..............................................................................................................................10
Descripción del Caso....................................................................................................................12
Aspectos que debe contener el Proyecto:...................................................................................12
Solución........................................................................................................................................13
Descripción Data Center...............................................................................................................13
ANÁLISIS Y PROPUESTA DE IMPLEMENTACIÓN................................................................................14
Normas ANSI/EIA/TIA...................................................................................................................14
El estándar ANSI/TIA/EIA-606..................................................................................................15
ANSI/TIA/EIA-607.....................................................................................................................15
LA NORMA ANSI/TIA/EIA-942..........................................................................................................15
Características de TIA942 - Subsistema Arquitectónico...............................................................16
Características de TIA942 - Subsistema Eléctrico.........................................................................17
Características de TIA942 - Subsistema Telecomunicaciones.......................................................17
Características de TIA942 - Sub Sistema Mecánico.....................................................................17
ITIL V.3..............................................................................................................................................18
COBIT 5.............................................................................................................................................18
Infraestructura Del Edificio:..........................................................................................................19
Situación Actual Del Área De Informática....................................................................................21
Personal Del Data Center.........................................................................................................21
Estimación De Crecimiento Del Personal..................................................................................22
Requerimientos Para El Data Center........................................................................................22
Clasificación Tier III Para El Data Center...................................................................................22
TIER III..............................................................................................................................................23
DATA CENTER SPERSYS.....................................................................................................................24
Arquitectura.................................................................................................................................24
Topología a Utilizar.......................................................................................................................24
2
ANÁLISIS TÉCNICO............................................................................................................................25
Recurso Humano..........................................................................................................................25
Perfil Del Personal:.......................................................................................................................25
Descripción de los Perfiles............................................................................................................26
Recurso Técnico:..........................................................................................................................27
EQUIPOS A UTILIZAR PARA EL DATA CENTER:..................................................................................27
Características..............................................................................................................................27
SERVIDORES.....................................................................................................................................28
Servidor para Base de Datos........................................................................................................28
Servidor para Correo, DNS, DHCP................................................................................................30
Servidor Para Red De Área De Almacenamiento (SAN.................................................................31
Servidor para Aplicaciones y CMS................................................................................................32
Servidor para Active Directory.....................................................................................................33
EQUIPOS DE COMUNICACIÓN..........................................................................................................34
Router..........................................................................................................................................34
Switch...........................................................................................................................................35
INFRAESTRUCTURA ELÉCTRICA........................................................................................................37
Fuente Principal...........................................................................................................................37
Empresa Eléctrica de Guatemala EEGSA..................................................................................37
Fuente Redundante......................................................................................................................38
Generador Eléctrico.................................................................................................................38
Circuitos Monofásicos..................................................................................................................39
Tierras Físicas...............................................................................................................................39
Unidad De Distribución De Energía (PDU)....................................................................................40
Sistema Ininterrumpido de Potencia (UPS)..................................................................................41
Características..........................................................................................................................41
ENFRIAMIENTO DEL CENTRO DE DATOS..........................................................................................42
Criterios tomados en cuenta para la el Enfriamiento...................................................................42
Elementos Fundamentales del Enfriamiento...............................................................................42
Gestión optimizada del flujo de aire.........................................................................................42
Pasillos fríos y calientes............................................................................................................42
Refrigeración localizada...........................................................................................................43
Máxima eficiencia con sistemas de agua fría...........................................................................43
3
Tecnología de Enfriamiento a utilizar...........................................................................................43
Unidad de Puerta Fría (Cooling Door).......................................................................................43
Características:.........................................................................................................................44
Control.........................................................................................................................................45
Unidad Rack Cooler de Agua Fría.............................................................................................45
Características..........................................................................................................................46
Beneficios generales de las tecnologías elegidas.........................................................................46
Configuración de Pasillos Fríos y Calientes...................................................................................47
Pasillos fríos..............................................................................................................................48
Pasillos calientes......................................................................................................................48
CONTROL DE AMBIENTE..................................................................................................................49
Sistema de Incendio.....................................................................................................................49
Detección temprano de humo.................................................................................................49
Unidad de control de supresión de incendios..........................................................................49
Sistema de Extinción Incendio..................................................................................................49
SEGURIDAD DEL DATA CENTER........................................................................................................50
Seguridad Física............................................................................................................................50
Control de accesos al Centro de Datos.....................................................................................50
Documentación a presentar.....................................................................................................50
Procedimiento de entrada de personal de la empresa y visitantes..........................................50
Vigilancia Exterior (Garita)........................................................................................................50
Seguridad perimetral................................................................................................................51
Puertas de un Centro de Datos................................................................................................53
Cerraduras................................................................................................................................53
Tipo de cerraduras electroimán (Electromagnética):...............................................................54
Control de Acceso....................................................................................................................54
Sistema Automático de Extinción de Incendios:.......................................................................55
Detectores de humo.................................................................................................................55
Área de descarga y carga..........................................................................................................56
Seguridad Lógica..........................................................................................................................57
Nagios.......................................................................................................................................57
UTM..........................................................................................................................................57
Controles de Acceso.................................................................................................................57
4
Niveles de Seguridad Informática.................................................................................................59
Nivel D......................................................................................................................................59
Nivel C1: Protección Discrecional.............................................................................................59
Nivel C2: Protección de Acceso Controlado.............................................................................60
Nivel B1: Seguridad Etiquetada................................................................................................60
Nivel B2: Protección Estructurada............................................................................................61
Nivel B3: Dominios de Seguridad.............................................................................................61
Nivel A: Protección Verificada..................................................................................................61
Cifrado......................................................................................................................................62
Red privada virtual...................................................................................................................62
CABLEADO........................................................................................................................................62
Cableado Horizontal.....................................................................................................................62
Cableado Vertical.........................................................................................................................62
Cableado del Centro de Datos Basado En La Tia-568-C.2-1..........................................................63
Configuraciones del Cable........................................................................................................63
Sub Sistemas Básicos del Cableado Estructurado.........................................................................64
Tipos de cables a utilizar en el Centro de Datos...........................................................................65
ANÁLISIS ECONÓMICO.....................................................................................................................66
Costos De Infraestructura.........................................................................................................66
Costo De Equipos.....................................................................................................................71
Costos De Herramientas...........................................................................................................73
Costo De Recurso Humano.......................................................................................................74
Costos De Mantenimiento De Equipos e Infraestructura.........................................................75
Resumen De Costos De Inversión De Implementación................................................................76
ANÁLISIS OPERATIVO.......................................................................................................................77
POLÍTICAS DE SEGURIDAD LÓGICA Y FÍSICA DATA CENTER SPERSYS................................................78
Políticas de Seguridad de La Información.....................................................................................79
Política de Usuario.......................................................................................................................81
Política de Monitoreo...................................................................................................................83
Política Protección Contra Código Malicioso-Antivirus................................................................85
Política de Respaldo (Backup)......................................................................................................88
Política de Activos -Equipo Tecnológico.....................................................................................90
Política de Seguridad Física y Ambiental......................................................................................92
5
Política de Seguridad Equipos de Cómputo..................................................................................94
Política de Control de Acceso al Centro de Datos.........................................................................96
Política de Seguridad de Servidores.............................................................................................98
Política de Redes y Telecomunicaciones....................................................................................100
POLÍTICAS DE HOSTING..................................................................................................................102
Recurso de los Servidores..........................................................................................................103
Servicios Prohibidos...................................................................................................................104
Utilización del Correo Electrónico..............................................................................................105
Seguridad, Límites y Versiones...................................................................................................106
Contenido del sitio web y Backups de información....................................................................108
Programación e Instalación de CMS...........................................................................................110
Pago y Notificación.....................................................................................................................111
Suspensión y Término de Servicio..............................................................................................112
Obligaciones de SperSys Hosting................................................................................................114
Responsabilidades del Cliente....................................................................................................116
Referencias.................................................................................................................................117
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP).................................................................................118
Introducción:..............................................................................................................................119
Objetivos del Plan de Continuación............................................................................................119
Objetivo General....................................................................................................................119
Objetivos Específicos..............................................................................................................119
Alcance.......................................................................................................................................120
Conceptos Básicos......................................................................................................................120
Causas de Interrupción...........................................................................................................121
Gobierno de Continuidad...........................................................................................................122
Lineamientos..........................................................................................................................122
Estructura de la Gestión de Continuidad del Negocio................................................................123
Políticas de Continuidad del Negocio.........................................................................................126
Prueba Del Plan De Continuidad Del Negocio............................................................................126
Mantenimiento Y Actualización Del Plan De Continuidad De Negocio.......................................127
Aspectos específicos sobre la política de Continuidad del Negocio...........................................128
Inicio Del Plan De Continuidad Del Negocio (BCP) (Bs 7799-2 Control A 11.1).......................128
6
Desarrollo Y Administración Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.1)...............................................................................................................................................128
Evaluación De Riesgo Del Plan De Continuidad Del Negocio BCP (Bs 7799-2 Control A 11.1.2)...............................................................................................................................................129
Características Del Plan De Continuidad De Negocio (BCP) (Bs 7799-2 Control A 11.1.3-4)...130
Entrenamiento Y Concientización Del Plan De Continuidad Del Negocio (BCP). (Bs 7799-2 Control A 11.1.4)....................................................................................................................131
Recomendaciones Adicionales...............................................................................................131
Prueba Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.5)...........................131
Mantenimiento Y Actualización Del Plan De Continuidad De Negocio (BCP). (Bs 7799-2 Control A 11.1.5.2)..............................................................................................................................132
Referencias.............................................................................................................................133
PLAN DE RECUPERACIÓN ANTE DESASTRES (DRP).....................................................................134
Plan de Implementación de Análisis y Gestión de Riesgo...........................................................135
Inventario de activos de información.........................................................................................136
Escala de valoración de impacto............................................................................................137
Análisis de amenazas y vulnerabilidades....................................................................................139
Tabla de Control de Riesgos...................................................................................................142
Conclusión..................................................................................................................................143
DISTRIBUCIÓN DE AMBIENTES.......................................................................................................144
Malla Eléctrica............................................................................................................................145
Diseño Cableado........................................................................................................................146
Diagrama Lógico de la Red.........................................................................................................147
Descripción.............................................................................................................................147
Datos Del Subneteo Vlsm...........................................................................................................148
Active Directory..........................................................................................................................149
ANEXOS..........................................................................................................................................150
Cronograma de Trabajo..............................................................................................................150
Línea de Tiempo.....................................................................................................................150
Cronograma Propuesta Data Center Empresa AJSA................................................................150
Formularios Varios.....................................................................................................................153
7
EMPRESA OFERTANTE
Datos Básicos:
Nombre: AJSA, S.A.
Dirección Empresa: 3ª. Calle, 14-21 Zona 1, Cobán Alta Verapaz
Teléfono: 7941 1784
Correo: [email protected]
8
RESUMEN EJECUTIVO
Datos Básicos:
Nombre del proyecto: Data Center SperSys
Responsable del proyecto: AJSA, S.A.
Número de proyecto 01-2016
Empresa solicitante Empresa SperSys
Fecha de inicio y finalización: 29/07/2016 al 15/12/2016
Costo: $315,000.00
9
AJSA, S.A.
Somos una empresa sólida en brindar Soluciones Tecnológicas Avanzadas, brindando nuestro
servicio certificado y de calidad en el estudio, análisis, diseño, desarrollo e implementación de
centros de Datos (Data Center), redes de datos, infraestructura eléctrica, equipo de enfriamiento,
elaboración de planes de seguridad, políticas, otros. Líderes en el mercado ofreciendo tecnología de
última generación.
Misión
Diseñar e implementar proyectos de centros de Datos, utilizando las mejores prácticas y productos
que existan en el mercado, optimizando recursos y preocupándonos en no generar impacto
ambiental con nuestras acciones.
Visión
Ser una empresa especializada en diseñar e implementar proyectos de Centro de Datos, logrando el
prestigio y reconocimiento de nuestros clientes, empleados, proveedores y competidores, a través de
un trabajo profesional, innovador y creativo, que incorpore continuamente nuevas tecnologías para
satisfacer las necesidades cambiantes del mercado y ofreciendo un alto valor agregado en las
soluciones a nuestros clientes.
Certificaciones
AJSA, S.A. es una empresa que actualmente está respaldada por las siguientes certificaciones que
garantizan nuestro trabajo, entre ellas podemos mencionar:
ATD (Diseñador de Nivel Acreditado): garantizándonos buenas prácticas y apego a los
principios, conceptos establecidos en la norma TIER, ya que contamos con ingenieros certificados.
ATS (Especialista de nivel acreditado) destinada a personal de mantenimiento a adquirir un amplio
conocimiento en aspectos de automatización en los cuales se abarca el diseño, programación y
aptitudes de mantenimiento practico, esta certificación se basa en la dirección a la inversión y
mejora continua en calidad y capacitación, permitiendo prestar un mejor servicio con mayor
profesionalismo y excelentica a nuestros clientes.
10
ABTN (Asociación Brasileña de Nomas Técnicas) la cual nos proporciona credibilidad y nos
certifica en el crecimiento y evolución de la empresa demostrando que somos una organización con
un sistema de fabricación controlado, así como respaldando nuestros servicios de acuerdo a normas
específicas.
ISO 9001
AJSA, S.A. posee el certificado del estándar internacional ISO 9001:2008 base en el sistema de la
gestión de la calidad ya que es una norma internacional, centrándose en los elementos de
administración de la calidad para que una empresa cuente con un sistema efectivo, permitiéndonos a
mejorar la calidad de nuestros productos y servicios y de esta manera asegurarle a nuestros clientes
que dispondrán de un buen servicio de gestión de calidad.
11
Descripción del Caso
SperSys empresa del Señor Alfred Sperlich dicada al desarrollo de aplicaciones en la Ciudad de
Guatemala, debido al crecimiento que mantiene, decide mudarse a su nueva instalación, en la
Ciudad de Quetzaltenango , Colonia los Cerezos, el terreno de la propiedad está ubicada sobre
la 9ª. Calle y 6ª avenid y tiene un área de 30m de frente por 60 de fondo, con una topografía plana.
El área es residencial y posee todos los servicios. Actualmente tiene contratado topografía plana. El
área es residencial y posee todos los servicios. Actualmente tiene contratado el servicio de internet
con un ancho de banda de 5/1 Mbps.
Recién a principios de este año, el Sr. Sperlich tomó la decisión de agregar el servicio de hosting al
portafolio de su empresa. Para esto, se mudó a un apartamento en un edificio cercano y decidió
utilizar su casa como centro de operaciones para la empresa, sacándola del departamento de la zona
11, en donde ya trabajaban 5 desarrolladores y una asistente.
El Sr. Sperlich requiere de una propuesta para utilizar la casa de los Cerezos, como centro de
operaciones. Él le solicita que diseñe el data center para su empresa y que lo ubique en la casa y que
sea TIER-3, así mismo, que presente una propuesta para el cableado, de la casa para los
desarrolladores, la asistente. La única condición es que no puede botar muros dentro de la casa.
El data center debe tener capacidad de dar servicio inicialmente a 100 clientes con hosting en
Windows y Linux, ofreciendo bases de datos como MSSQL y MySQL. El servicio de hosting
ofrecerá también CMS preinstalados. Adicionalmente, data Center debe manejar el ambiente de
desarrollo y QA (quality assurance) de la empresa. Ofrecerá servicios de hosting en servidores
compartidos y servidores dedicados, con espacio de disco desde 10G hasta sin límite. El Sr.
Sperlich proyecta crecer hasta un máximo de 3000 clientes y 8 personas dedicadas, el data center,
así como 10 desarrolladores y dos asistentes.
Aspectos que debe contener el Proyecto:
Propuesta TIER-3
Considerar tipo de construcción de la casa
Presupuesto US $350,000.00
Arquitectura de servidores
Seguridad y políticas de seguridad física y lógica
Políticas de uso del servicio de Hosting
12
Plan BCP y DRP
Distribución de ambientes de la casa
Distribución físico de la red
Diagrama lógico de la red. Debe incluir subneteo para el servicio de hosting, desarrollo y
QA.
Propuesta de equipos para el data center, tomando en cuenta los planes de expansión.
Propuesta económica para el proyecto y cronograma de actividades.
Solución
En base a estudios realizados dentro de la empresa conforme a la viabilidad, seguridad, costos de
mantenimiento, mano de obra, servicios e impuestos generados por bienes inmuebles. Se propone la
solución, de la creación del Centro de Datos
Considerando las opciones de menor costo sobre los impuestos de bienes inmuebles, así como el
vendedor tecnológico. Se propone la construcción del Centro de Datos en el departamento de
Quetzaltenango, Guatemala.
AJSA, S.A., ofrece soluciones completas para análisis, desarrollo e implementación de Centros de
Datos, incluyendo dentro de la solución, una propuesta que contempla la construcción, diseño y
formulación del proyecto, así como el mantenimiento del mismo.
Con el aseguramiento de la calidad (QA) consistente en el conjunto actividades planificadas y
sistemáticas para que los requisitos de calidad de un producto o servicio sean satisfechos. Entre
estas actividades se encuentran la medición sistemática, la comparación con estándares, el
seguimiento de los procesos.
Descripción Data Center
Un Data Centers es un edificio que provee seguridad a los apartados que contienen instalaciones de
servidores en red, almacenamiento y Backup. Un proyecto Data Center ofrece espacio para
hardware en un ambiente controlado, por ejemplo, utilizando energía y enfriamiento de ambiente y
aire acondicionado para permitir que los equipos tengan el mejor nivel de rendimiento con máxima
disponibilidad del sistema.
13
Un Data Center ofrece varios niveles de resistencia, en la forma de fuentes de energía de Backup y
conexiones adicionales de comunicación, que pueden no ser utilizadas hasta que pase algún
problema con el sistema primario, a esta característica se le conoce como redundancia.
El principal objetivo de un proyecto de Data Center es ejecutar las aplicaciones centrales del
negocio y almacenar datos operativos, además de ofrecer medios de Recuperación de desastres
(DR). Las aplicaciones más tradicionales son sistemas de software corporativos, como Enterprise
Resource Planning (ERP) y Customer Relationship Management (CRM).
Dentro de los elementos que utiliza un Data Center se pueden mencionar: firewalls, Gateways VPN,
Routers y Switchs, Servidores de Base de Datos, Servidores de Archivos, Servidores de
Aplicaciones, Servidores web y Middleware, algunos en hardware físico y otros en plataformas
virtualizadas.
Telecommunication Infrastructure Standard TIA 942 es una norma que ofrece orientaciones sobre la
estandarización del diseño de Data Centers y clasifica los Data Centers en cuatro niveles, siendo
que el nivel 4 es el más tolerante a fallas y tiene garantía de 99,995% de tiempo de actividad,
comparado al nivel 1, que garantiza 99.671% de tiempo de actividad. Esta estandarización es
importante para que los clientes puedan entender y evaluar los proveedores de servicio.
ANÁLISIS Y PROPUESTA DE IMPLEMENTACIÓN
Dentro del presente capítulo se abarcan temas como el Análisis del Proyecto desde sus distintas
perspectivas; técnico, económico y operativo, además se aborda el tema del personal con el que
cuenta actualmente la empresa, su estimación de crecimiento futuro, el perfil con el que deben
contar las personas aspirantes a los distintos cargos. También se aborda un tema muy importante
que es la descripción de los requerimientos del proyecto, y la especificación de equipos con los que
se trabajará.
Normas ANSI/EIA/TIA
Los estándares ANSI/EIA/TIA 606, 607 Y 942 especifican los requerimientos mínimos para la
infraestructura de telecomunicaciones, cableado estructurado, y cuartos de computo o data centers.
14
El estándar ANSI/TIA/EIA-606
Proporciona normas para la codificación de colores, etiquetado, y documentación de un sistema de
cableado instalado. Seguir esta norma, permite una mejor administración de una red, creando un
método de seguimiento de los traslados, cambios y adiciones. Además la localización de fallas
resulta una tarea más fácil, documentando cada cable tendido por características tales como tipo,
función, aplicación, usuario, y disposición.
ANSI/TIA/EIA-607
Establece los requisitos de aterrizado y protección para telecomunicaciones en edificios comerciales
y dicta prácticas para instalar sistemas de aterrizado eléctrico que aseguren un nivel confiable de
puesta a tierra, para todos los equipos de telecomunicaciones instalados.
LA NORMA ANSI/TIA/EIA-942
Establece las características que deben poseer los componentes e infraestructura de un centro de
datos para obtener los distintos niveles de disponibilidad denominados TIERs
Provee una serie de recomendaciones y Guide Lines (directrices), para el diseño e instalación de
infraestructuras de Data Centers (centros de cómputo), establece las características que deben
ejecutarse en los componentes de la infraestructura para los distintos grados de disponibilidad.
15
A su vez divide la infraestructura soporte de una data center en cuatro subsistemas a saber:
Telecomunicaciones
Arquitectura
Sistema eléctrico
Sistema Mecánico
Características de TIA942 - Subsistema Arquitectónico
SUBSISTEMA ARQUITECTÓNICO TIER III
Proximidad a áreas de inundación
registradas por las autoridades
No debe haber historias de inundación durante los
últimos 100 años y de 50 años a menos de 91
metros
Proximidades a autopistas No menos de 91 metros
Proximidad a aeropuertos No menos de 1.6 Kms y no más de 48 Kms
Áreas de parqueo de visitantes y
empleados separadosSi, físicamente separadas por una barrera o pared
Edificio con diferentes dueñosPermitido si todos los ocupantes son compañías de
TC
Debe cumplir con requerimientos de
NFPA 75SI
16
SUBSISTEMA ELÉCTRICO TIER III
Permite hacer mantenimientos sin shut down SI
Número de rutas de alimentación Uno activo uno pasivo
Acometida de proveedor externo de energía Alimentación dual
Redundancia en generador N+1
Cables de alimentación de equipos de cómputo y
comunicacionesDos
Puntos sencillos de falla No tiene
Autonomía de combustible 72 horas
Topología de UPS
Paralelo redundante
o distribuido
redundante
Botón de apagado de emergencia (EPO) Si
Características de TIA942 - Subsistema Eléctrico
Características de TIA942 - Subsistema Telecomunicaciones
Subsistema Telecomunicaciones TIER III
Entrada de Proveedores de acceso diversificadas con mínimo 20 metros de
separación
Si
Cuarto de entrada de TC secundario Si
Rutas de backbone redundantes Si
Routers y switches con fuente de alimentación redundante Si
Características de TIA942 - Sub Sistema Mecánico
Sub Sistema Mecánico TIER III
Redundancia de unidades de
aire acondicionado
Cantidad de unidades AC suficiente para mantener el área
crítica durante la pérdida de una fuente de potencia eléctrica
17
Alimentación eléctrica para
equipos de aireMúltiples aminos
Sistemas de extinción
automática.Si
ITIL V.3
Se plantea ITIL V.3 en la implementación del Centro de Datos para SperSys para asegurar que las
políticas y estrategias sean implementadas y que los procesos tengan continuidad sin interrupciones.
Se definirán roles y responsabilidades a los usuarios para la gobernancia correcta de TI, gestionando
de mejor manera los servicios para optimizar los procesos, y realizar de manera correcta la toma de
decisiones para resolver cualquier inconveniente en los servicios prestados por TI.
El objetivo primordial en la implementación de ITIL en el Centro de Datos es crear valor en los
clientes, ya que permite la facilitación de resultados que se desean alcanzar evitando costos o
riesgos específicos.
Gestionando el servicio de forma especializada generando valor en los clientes en forma de
servicios. Garantizando la funcionabilidad de los procesos de forma eficiente y segura.
COBIT 5Se presenta COBIT 5 en la implementación de un centro de datos de la empresa SperSys para el
cumplimiento de metas propuestas para la planificación y construcción del centro de datos, AJSA,
S.A., trabajará mediante un gobierno y una administración efectiva de la TI.
Se acoplan e implantan los requisitos legales que se requieren para la creación de un centro de
datos, cumpliendo los estándares regulatorios y contractuales relacionados con el uso de
información.
Al implementar COBIT5 en el Centro de Datos, se busca que se alcance e incrementen los
beneficios como:
Alzar el valor de la empresa a través de TI.
Satisfacción de usuarios con los servicios de TI.
Cumplimiento de leyes relevantes, políticas y regulaciones actualmente utilizadas.
18
Generado un beneficio en la Empresa, permitiendo una gobernanza que optimice los servicios, tales
como:
Trabajo eficiente en procesos de alto nivel.
Optimización de los servicios del costo de las TI.
Apoya el cumplimiento de las leyes, reglamentos, acuerdos y políticas de la empresa.
Gestiona nuevas TI.
Ayuda a las empresas a reducir sus perfiles de riesgo a través de una adecuada
administración de seguridad.
Infraestructura Del Edificio:Las características con las que cuenta la empresa para el desarrollo del proyecto se detallan a
continuación:
19
Datos del Edificio
Dirección: 9ª Calle y 6ª Avenida Colonia Los Cerezos
Área Del Terreno: 30 metros de frente y 60 metros de fondo
Tipo De Topografía: Plana
Servicios Disponibles: Energía eléctrica, agua potable, teléfono
Ancho de Banda de Internet 5/1 Mbps
Vista de planta de la casa del señor Sperlich, Colonia los Cerezos.
Fachada frontal
20
Fachada posterior
21
Situación Actual Del Área De Informática
La empresa SperSys es una empresa especializada en el desarrollo de soluciones de software
eficientes y seguras, para entidades y organizaciones a través de su equipo de trabajo que se dedica
a estas a estas tareas. El equipo de trabajo con él cuenta actualmente la empresa se detalla a
continuación:
Personal Del Data Center
El personal que laborará dentro del Data Center será el mismo con el que se cuenta actualmente,
para la tarea de monitoreo de actividades se contará con tres personas inicialmente, sin embargo,
para una proyección futura se estima que se contará con una cantidad mayor de personas dedicadas
a esta área. La cantidad específica de personas con el que se iniciarán las actividades posteriormente
a la implementación del Data Center es:
Descripción del Cargo Cantidad
Monitoreo De Actividades 3 Personas
Desarrollo de Software 5 Personas
Asistente 1 Persona
22
Descripción del Cargo Cantidad
Desarrollo de Software Actualmente se cuenta con 5 personas
Asistente Actualmente se cuenta con 1 asistente.
Estimación De Crecimiento Del Personal
La empresa SperSys presenta un crecimiento favorable y actualmente solicita la construcción del
Data Center para su centro de operaciones, paralelo a ello también se espera un crecimiento del
personal que laborará dentro de la empresa, se estima que el equipo de trabajo esté conformado por:
Descripción del Cargo Cantidad
Monitoreo De Actividades Se contará con 8 personas
Desarrollo de Software Se contará con 10 personas
Asistente Se contará con 2 asistentes
Requerimientos Para El Data Center
El Data Center a implementar debe cumplir con requerimientos que garanticen su correcto
funcionamiento y que integre principios fundamentales como seguridad, integridad y disponibilidad
de la información, los requerimientos básicos con los que debe cumplir son los siguientes:
Cumplimento de las especificaciones técnicas para la creación de un Data Center según la
Tier3.
Manual de Políticas de Seguridad y procedimientos para la gestión de las tareas
informáticas.
Plan de Contingencias y procedimientos a seguir en caso de presentarse algún riesgo o
amenaza.
Diseño de las instalaciones físicas del Data Center.
Clasificación Tier III Para El Data Center
El Uptime Institute es el ente encargado de clasificar los Data Centers (Centro de datos), se han
establecido cuatro categorías para estas infraestructuras:
TIER I
TIER II
TIER III
23
TIER IV
Los Data Centers pueden clasificarse según estas cuatro categorías que corresponden a la garantía
que ofrecen en cuanto al tipo de hardware que es utilizado para garantizar la redundancia y
disponibilidad de la información. Según la página OVH las categorías TIER pueden ilustrarse de la
siguiente forma:
Ilustración de la disponibilidad de los Data Centers según su nivel.
TIER III
Como se puedo apreciar en la imagen anterior cada nivel de la TIER proporciona un porcentaje de
disponibilidad bastante alto, en el caso de la empresa SperSys se requiere la TIER III, ofrece un
porcentaje de disponibilidad del 99.982% con aproximado de 0.8 horas de interrupción en un año,
con una redundancia de N+1.
Con esta configuración se considera que existe la posibilidad de elaborar periodos de
mantenimiento de equipos del Data Center sin el temor a que esto interfiera con los servicios que
provee, sin embargo, según la clasificación, en esta categoría los Data Centers no se encuentran
fuertemente protegidos en caso de cortes en caso de que ocurra algún incidente en su
infraestructura, por lo que se concluye que los Data Centers que pertenecen a la categoría TIER III
no poseen una redundancia total.
24
DATA CENTER SPERSYSArquitectura
A continuación se describirá la arquitectura la cual nos garantizara una disponibilidad 24/7
soportado por redundancia N+1 con personal especializado y herramientas adecuadas que
proporcionaran una fiabilidad el 100% del tiempo.
Todos los componentes de la arquitectura serán escalables lo cual nos permitirá un crecimiento
continuo que satisfaga De la misma manera los diferentes componentes deberán de incluir
redundancia lo cual nos permitirá tener alta disponibilidad.
La arquitectura ofrecerá un modelo de seguridad que protegerá los datos y la infraestructura frente a
ataques y a robos.
Topología a Utilizar
Se utilizara una topología de tres capas para la construcción de la red la cual permitirá agrupar
diferentes componentes que se conecten a la red. Los distintos niveles tendrán la capacidad de
prestar servicios a los otros niveles adyacentes
25
Se utilizara conexión centralizada para este tipo de conexión se utilizara una sola conexión cruzada
donde termina todo el cableado horizontal de los equipos y dispositivos. Se optimizara el uso de los
puntos disponibles de equipos de red y se maximiza la flexibilidad de la administración de
servicios.
ANÁLISIS TÉCNICO
El estudio de la factibilidad técnica del proyecto se determina con base a los siguientes recursos:
Recurso Humano
Actualmente se cuenta con cinco programadores de computadoras y una asistente, sin embargo, se
tiene previsto iniciar labores del Data Center con tres personas que serán las encargadas de velar por
el correcto funcionamiento del centro de datos y su vigilancia respectiva.
Perfil Del Personal:
Un aspecto muy importante del recurso humano es el perfil que debe cumplir cada persona que, en
determinado momento, aspira al puesto, para ello se detallan a continuación las características con
las que deben cumplir las personas que optan por los distintos cargos en el Data Center.
26
Descripción de los Perfiles
DESCRIPCIÓN DE LOS PERFILES LABORALES DE LA EMPRESA SPERSYS
PUESTO DESCRIPCIÓN REQUISITOS TÉCNICOS Y PROFESIONALES
Programador de
computadoras
Responsable del desarrollo
de programas que ayuden a
automatizar y sistematizar
los procesos operativos y
administrativos que se
necesiten en la
organización.
- Edad de 23 a 35 años.
- Estudiante del tercer año de la carrera
Ingeniería en Sistemas como mínimo.
- 2 años de experiencia en el área de
Programación.
- Conocimiento del idioma inglés.
- Conocimiento avanzado del ambiente
Windows, Microsoft Office.
- Conocimiento de base de datos, SQL Server y
MYSQL.
- Conocimiento de programación JAVA, PHP
y .NET
- Conocimiento del sistema operativo Linux.
Asistente
Responsable del apoyo
administrativo, en tareas de
planificación, seguimiento
y control de proyectos
- Edad de 20 a 40 años.
- Nivel medio o estudiante universitario.
- 1 año de experiencia como mínimo en cargos
similares.
- Conocimiento en el manejo de paquetes de
ofimática.
- Capacidad de comunicación y atención al
cliente.
27
Encargado De
Monitoreo
Responsable del monitoreo,
control y vigilancia de los
distintos sectores del Data
Center.
- Edad de 28 a 40 años.
- Experiencia mínima de 2 años en el monitoreo
de actividades de Data Centers.
- Conocimientos de manejo de equipos de
seguridad como cámaras, sensores de
movimiento, alarmas, etc.
Recurso Técnico:
Los dispositivos de Networking serán adquiridos con proveedores que puedan proporcionar una
garantía adecuada a las necesidades del Data Center, tomando en cuenta las siguientes
características:
Velocidad de respuesta ante incidentes.
Facilidad de contacto.
Tiempo de garantía del equipo.
Seguimiento a las operaciones realizadas.
EQUIPOS A UTILIZAR PARA EL DATA CENTER:
Características
El Data Center deberá contar con equipos que proporcionen una ventaja competitiva para el
crecimiento empresarial y que permita una mejora continua mediante una infraestructura que
cumpla con características tales como:
Lineamientos de la Tier III
Redundancia y habilidad de crecimiento.
Monitoreo de seguridad y alertas especializadas.
Acceso al centro de data restringido a personal autorizado solamente.
Acceso remoto para administrar y controlar el equipo y sistema operativo.
28
Equipo de apoyo dedicado y disponible 24x7x365 para soporte de la infraestructura.
SERVIDORES
Servidor para Base de Datos
Se utilizará el siguiente equipo debido a las características que presenta, las cuales se adecuan a las
necesidades que se requieren para la utilización de:
Característica Especificación técnica de PowerEdge R430
Imagen
Factor de forma Servidor en rack de 1 U
Procesador
Familia de productos de procesadores Intel® Xeon® E5-2600 v4 Sockets del procesador: 2 Chipset: C610 Interconexión interna: hasta 9,6 GT/s Caché: 2,5 MB por núcleo; opciones de núcleo: 4, 6, 8, 10, 12, 14, 16, 18, 20
Memoria DIMM DDR4 de hasta 2400 MT/s 12 ranuras DIMM: 4 GB/8 GB/16 GB/32 GB
Ranuras de E/S 2 PCIe 3.0
Almacenamiento
SAS, SATA, SAS nearline, SSD Chasis R430 múltiple disponible:
10 unidades de conexión en marcha de 2,5 in 8 unidades de conexión en marcha de 2,5 in 4 unidades de conexión en marcha de 3,5 in 4 unidades con cableado de 3,5 in
Fuentes de alimentación
450 W, 550 W PSU
Hipervisoresadmitidos opcionales
Citrix® XenServer, VMware vSphere® ESXi®, Red Hat® Enterprise Virtualization®
Sistemas operativos
Microsoft Windows Server® 2008 R2 Microsoft Windows Server 2012
29
Microsoft Windows Server 2012 R2 Novell® SUSE® Linux Enterprise Server Red Hat Enterprise Linux VMware vSphere ESXi
$ $663800
30
Servidor para Correo, DNS, DHCP
Se utilizará el siguiente equipo debido a las características que presenta, las cuales se adecuan a las
necesidades que se requieren para la utilización de:
Característica Especificación técnica de PowerEdge R630
Imagen
Factor de forma Rack de 1 U Procesador Procesador Intel® Xeon® de la familia de productos E5-2600 v4
Memoria Hasta 1,5 TB (24 ranuras DIMM): 4 GB/8 GB/16 GB/32 GB/64 GB DDR4 hasta 2.400 MT/s
Ranuras de E/S Hasta 3 ranuras x PCIe 3.0 además de una ranura dedicada PERC
Almacenamiento
HDD: SAS, SATA, nearline SAS SSD: SAS, SATA, NVMe PCIe24 SSD x 1,8 in: hasta 23 TB por medio de SSD SATA de conexión en marcha de 0,96 TB10 x 2,5 in: hasta 18 TB por medio de HDD SAS de conexión en marcha de 1,8 TB8 x 2,5 in: hasta 14 TB por medio de HDD SAS de conexión en marcha de 1,8 TB
Fuentes de alimentación
Fuente de alimentación de 750 W de CA con eficiencia Titanium; fuente de alimentación de 1.100 W de CA;495 W, 750 W, 1.100 W con eficiencia Platinum
Sistemas operativos
Microsoft Windows Server® 2008/2012 SP2,x86/x64 (x64 incluye Hyper-V®)Microsoft Windows Server 2008/2012 R2,x64 (incluye Hyper-V)Novell® SUSE® Linux Enterprise ServerRed Hat® Enterprise Linux
$ $303100
31
Servidor Para Red De Área De Almacenamiento (SAN
Se utilizará el siguiente equipo debido a las características que presenta, las cuales se adecuan a las
necesidades que se requieren para la utilización de:
Característica * PowerEdge R930
Imagen
Factor de forma Rack de 4 U Procesador Procesadores Intel Xeon E7-8800 v4 y E7-4800 v4
Memoria (96 ranuras DIMM): DDR4 de 8 GB/16 GB/32 GB/64 GB, LRDIMM hasta 2400 MT/s
Ranuras de E/S Hasta 3 ranuras x PCIe 3.0 además de una ranura dedicada PERCAlmacenamiento SSD SATA/SAS de 2,5”, HDD SAS (15.000, 10.000), HDD SAS
Nearline (7200)SSD PCIe de 2,5”: SSD Dell PowerEdge NVMe Express Flash PCIe
Fuentes de alimentación
PSU redundantes de conexión en marcha: 750 W CA, 1100 W CA
Sistemas operativos
Microsoft® Windows Server® 2012 R2Microsoft Windows Server 2012Novell® SUSE ® Linux Enterprise ServerRed Hat® Enterprise Linux®VMware vSphere® ESXi ™
$ $14,03900
32
Servidor para Aplicaciones y CMS
Se utilizará el siguiente equipo debido a las características que presenta, las cuales se adecuan a las
necesidades que se requieren para la utilización de:
Característica PowerEdge R430
Imagen
Factor de forma Servidor en rack de 1 U
Procesador
Familia de productos de procesadores Intel® Xeon® E5-2600 v4Sockets del procesador: 2Chipset: C610Interconexión interna: hasta 9,6 GT/sCaché: 2,5 MB por núcleo; opciones de núcleo: 4, 6, 8, 10, 12, 14, 16, 18, 20
Memoria DIMM DDR4 de hasta 2400 MT/s12 ranuras DIMM: 4 GB/8 GB/16 GB/32 GB
Ranuras de E/S 2 PCIe 3.0
Almacenamiento
SAS, SATA, SAS nearline, SSDChasis R430 múltiple disponible:• 10 unidades de conexión en marcha de 2,5 in• 8 unidades de conexión en marcha de 2,5 in• 4 unidades de conexión en marcha de 3,5 in• 4 unidades con cableado de 3,5 in
Fuentes de alimentación
450 W, 550 W PSU
Hipervisoresadmitidos opcionales
Citrix® XenServer, VMware vSphere® ESXi®, Red Hat® Enterprise Virtualization®
Sistemas operativos
Microsoft Windows Server® 2008 R2Microsoft Windows Server 2012Microsoft Windows Server 2012 R2Novell® SUSE® Linux Enterprise ServerRed Hat Enterprise LinuxVMware vSphere ESXi
$ $1403900
33
Servidor para Active Directory
Se utilizará el siguiente equipo debido a las características que presenta, las cuales se adecuan a las
necesidades que se requieren para la utilización de:
Característica PowerEdge R430
Imagen
Factor de forma Servidor en rack de 1 U
Procesador
Familia de productos de procesadores Intel® Xeon® E5-2600 v4Sockets del procesador: 2Chipset: C610Interconexión interna: hasta 9,6 GT/sCaché: 2,5 MB por núcleo; opciones de núcleo: 4, 6, 8, 10, 12, 14, 16, 18, 20
Memoria DIMM DDR4 de hasta 2400 MT/s12 ranuras DIMM: 4 GB/8 GB/16 GB/32 GB
Ranuras de E/S 2 PCIe 3.0
Almacenamiento
SAS, SATA, SAS nearline, SSDChasis R430 múltiple disponible:• 10 unidades de conexión en marcha de 2,5 in• 8 unidades de conexión en marcha de 2,5 in• 4 unidades de conexión en marcha de 3,5 in• 4 unidades con cableado de 3,5 in
Fuentes de alimentación
450 W, 550 W PSU
Hipervisoresadmitidos opcionales
Citrix® XenServer, VMware vSphere® ESXi®, Red Hat® Enterprise Virtualization®
Sistemas operativos
Microsoft Windows Server® 2008 R2Microsoft Windows Server 2012Microsoft Windows Server 2012 R2Novell® SUSE® Linux Enterprise ServerRed Hat Enterprise LinuxVMware vSphere ESXi
$ $1403900
34
EQUIPOS DE COMUNICACIÓN
Router
Se utilizará el siguiente equipo debido a las características que presenta, las cuales se adecuan a las
necesidades que se requieren para la utilización de:
Conectividad de Redes
Característica Router Cisco 2901/K9 Mod, 2 GE, slots 4 EHWIC 2 DSP 1 ISM, IP Base [CISCO2901-K9]
Imagen
Descripción
Router modelo Cisco 2901, 2 puertos switch Gigabit, 4 slots para insertar módulos de interfaz de alta velocidad WAN (enhanced High-Speed WAN Interface Card EHWIC), 1 slot interno para módulo DSP (Digital Signal Processor), 1 slot interno para módulo ISM (Internal Services Module), Cisco IOS Software IP Base.
$ $1.052.000
35
Switch
Se utilizará el siguiente equipo debido a las características que presenta, las cuales se adecuan a las
necesidades que se requieren para la utilización de:
Conectividad de Equipos
Característica Switch Linksys LGS326P 24x10/100/1000(PoE+)+ 2xGigabit SFP combinado [LGS326P]
Imagen
Descripción
Switch Linksys Smart LGS326P, de 26 puertos - Gestionado. Con 24 puertos 10/100/1000 (PoE+) + 2 puertos Gigabit SFP combinado.Incluye QoS y priorización del tráfico para ofrecer la mejor experiencia posible al usuario para aplicaciones de voz y video en tiempo real, así como la carga y descarga de archivos gráficos o de video de alto ancho de banda.Soporta el último estándar 802.3at (PoE +) al tiempo que ofrece 802.3af (PoE) compatibilidad estándar.Con la alimentación a través de la integración de Ethernet Plus elimina la necesidad de cables de alimentación adicionales y tomas de corriente cercana.Incluye también características para expandir y hacer crecer su red de forma rápida - incluido el Protocolo Spanning Tree (STP) y el control de tormentas características - para ayudar a controlar bucles. Además, protege la red a través de la autenticación de seguridad de puertos y puerto basado en MAC, que requieren los clientes para autenticarse antes de que se dicte datos. Con avanzada DHCP snooping e IP-MAC vinculante, funciones aseguran la integridad de la red y ayudar a prevenir posibles ataques.
Especificaciones:
Puertos: 24 x 10/100/1000 (PoE+) + 2 x Gigabit SFP combinadoAlimentación por Ethernet (PoE): PoE+Presupuesto PoE 192 W
Características
Rendimiento y confiabilidad probada Power Over Ethernet Plus Calidad de Servicio (QoS), priorización de Tráfico Configuración y administración fácil Seguridad de red avanzada 24 x 10/100/1000 (PoE+) + 2 x Gigabit SFP combinado Montaje en rack Ca 100/230 V
$ $434.000
36
Computadoras De Oficina:
Característica DELL Inspiron 20 3000
Imagen
Monitor Pantalla LED iluminada de 19.5" de alta definición (+HD) (1600 x 900) con capa antirreflejo.
Procesador Sexta generación del procesador Intel Core i3-6100U (3MB Caché, 2.30 GHz).
Memoria 4GB de Memoria DDR3L a 1600MHz, 1 DIMM.Ranuras de E/S 2 PCIe 3.0
Almacenamiento SATA de 1TB 5400 RPM.
Fuentes de alimentación
450 W
Hipervisoresadmitidos opcionales
Citrix® XenServer, VMware vSphere®, ESXi®, Red Hat® ,Enterprise Virtualization®
Sistemas operativos Microsoft Windows10
$ $549.00
37
INFRAESTRUCTURA ELÉCTRICA
Uno de los mayores desafíos que se presentan en los Centros de Datos es el aumento de la densidad
de consumo kW por rack, ya que se requiere mayor suministro eléctrico generando mayor calor en
la misma superficie esto debido que el avance tecnológico de los componentes de los servidores (en
especial procesadores y memorias). Si tomamos en cuenta que hoy en día existen dispositivos con
mayores prestaciones, que funcionan en espacio más reducido, pero que generan más calor en
comparación con el espacio que ocupaban los mismos equipos en un tiempo atrás. Otro factor
importante es que en la actualidad existe la virtualización la cual nos permite aprovechar los
recursos.
Para poner un ejemplo. Para realizar tareas de procesamiento centralizado en el año 2005 un data
center tradicional con 315 servidores de 2U cada uno requería unos 15 racks en promedio podría
tener una consumo promedio total de 4kW por rack, actualmente es misma capacidad de cálculo
puede ser reemplazada por 21 servidores que ocupan un solo rack , pero que tiene un consumo de
11 KW por rack, esto quiere decir que también la capacidad de enfriamiento debe ser superior, ya
que la densidad del calor generado tiene más concentración.
Fuente PrincipalEmpresa Eléctrica de Guatemala EEGSA
El sistema eléctrico de distribución planeado para el centro de datos de la empresa SperSys será un
alimentador trifásico que sale desde una fuente exterior a la empresa por vía subterránea llegando a
un tablero electico general en la que se concentrarán tanto el alumbrado como los servicios de
computación, así como los demás enchufes de la sala, las derivaciones de los UPS así como los
alimentadores para el sistema de refrigeración.
38
Fuente RedundanteGenerador Eléctrico
Es necesario la utilización de dos generadores eléctricos para proveernos energía eléctrica de una
forma autónoma ante desconexiones ya sean programadas o ausencia de electricidad.
Característica 25kva-250KVA Generador de Energía Silencioso con Motor Diésel de Cummins
Imagen
Descripción
25kva-250KVA Generador de Energía Silencioso con Motor Diésel de Cummins 1. Todos los grupos electrógenos tipo silencioso se levantan desde la parte superior. El cojín de amortiguador eficaz garantiza el equilibrio de la operación del equipo
$ US $ 5000,0
39
Circuitos Monofásicos Estos serán instalados a partir del tablero principal hacia los racks por medio de una escalerilla la
cual contara con un piso térmico, sus circuitos se extenderán desde su inicio hasta su pasillo central.
Todos los circuitos terminaran en sus enchufes respectivos, en los cuales se conectaran la toma
múltiple de cada uno de sus módulos.
Los conductores utilizados para alimentar los racks son de tipo libre halógeno de 3*4 mm2 de
sección.
Tierras FísicasLo ideal para tener una conexión a tierras es que esta tenga una resistencia de cero Ohmios sin
embargo la IEEE recomienda un valor de resistencia de tierra de 5.00 Ohmios o menos por lo cual
se trabaja bajo esos estándares.
Los colores para identificar cada una de las líneas de energía son los siguientes:
Rojo para (+) positivo.
40
Negro o azul para (-) negativo.
Verde / amarillo para la tierra.
Todas las cometidas cuentan con su respectiva canalización de manera que el cable no sea afectado
por un agente externo, ni afecte a los enlaces de telecomunicaciones, el cableado eléctrico también
irá montado sobre una escalerilla metálica similar a la del cable UTP, todos los cables serán
agrupados y sujetos de manera que este fijos a la escalerilla, de tal manera que se evite el
movimiento.
Las acometidas eléctricas estarán a una distancia mínima de 30 cm de las canalizaciones de cable de
cobre UTP para evitar la interferencia electromagnética.
1. Puesta a Tierra
2. El sistema de puesta a tierra integra todo el sistema de infraestructura:
3. Canalizaciones de infraestructura cable UTP
4. Fuentes de poder para los equipos activos.
5. Chasis de los equipos activos.
6. Canalización eléctrica
7. Gabinetes de telecomunicaciones
Unidad De Distribución De Energía (PDU)
Es importante considerar la alimentación de energía en forma independiente y para nuestra
climatización por lo tanto es necesario considerar un tablero de derivación. Para el cual debe contar
con las siguientes características.
Potencia estimada para cubrir la demanda interna de los equipos de climatización con una amplitud
del 20% para cambios en sus condiciones.
Un gabinete metálico de fácil acceso a los demás dispositivos, control manual o automática, luces
testigos y cerradura con llave.
EL tablero de Distribución debe contener los siguientes elementos:
Barrajes
Elementos de conexión
Interruptores para accionamiento de circuito de alumbrado
Dispositivos automáticos de protección contra sobre corriente
Elementos de medición
41
Debe tener la posibilidad de hacer sus montajes de conexión tanto en la parte delantera como en
la trasera, no siempre es necesario ubicar las conexiones dentro del armario.
Sistema Ininterrumpido de Potencia (UPS)
Características
Producto: UPS
Potencia 500 - 1500 VA
Voltaje 120V, 208/230V
Frecuencia 50/60 Hz
Configuración Torre
42
ENFRIAMIENTO DEL CENTRO DE DATOS
Debido a que los servidores en conjunto a los equipos que se instalan en el Centro de Datos disipan
mucho calor en el ambiente, se hace necesario crear una climatización estricta, tecnificada y
especial para estos, donde se logré la temperatura y humedad necesaria para el centro de datos, para
poder garantizar la integridad de los equipos y datos.
El objetivo de los sistemas de aire acondicionado para centros de datos es captar satisfactoriamente
este complejo flujo de calor residual y extraerlo de la sala.
Criterios tomados en cuenta para la el Enfriamiento Agilidad
Disponibilidad de los sistemas
Costo de vida útil
Capacidad de mantenimiento
Capacidad de administración
Primer coste
Eficiencia eléctrica
Conductos de transporte de agua u otros conductos cerca de los equipos de IT
Ubicación de la unidad de refrigeración
Redundancia
Método de eliminación del calor
Elementos Fundamentales del Enfriamiento
Los elementos que se tomarán en cuenta para la refrigeración del centro de datos, serán los
siguientes:
Gestión optimizada del flujo de aire.
Se incluirá un diseño optimizado para el envío del aire bajo el suelo técnico elevado y desde allí, a
través de los paneles perforados que dan acceso a los pasillos fríos, directamente de los gabinetes.
43
Pasillos fríos y calientes.
Se incorporará una distribución de pasillos fríos y calientes para poder dirigir el caudal de aire a los
servidores, logrando de esta manera obtener una temperatura constante. Las condiciones de trabajo
son más estables y con esto aumentamos la eficiencia de todo el sistema de enfriamiento.
Refrigeración localizada.
La refrigeración se encontrará localizada y dedicada, esto con el fin de enfriar directamente los
puntos determinados como calientes.
Máxima eficiencia con sistemas de agua fría.
Se trabajará con soluciones hidrómicas optimizadas para la climatización de precisión (HPAC), ya
que estas combinan un rendimiento energético con niveles de flexibilidad y fiabilidad.
Tecnología de Enfriamiento a utilizar
Para el enfriamiento del Centro de Datos, se utilizará una solución que combina dos tecnologías de
enfriamiento las cuales son: CD – Cooling Door, RC – Rack Coole.
Unidad de Puerta Fría (Cooling Door)
La unidad cd constituye el sistema más innovador y eficiente para la gestión de los "hot spots"
dentro de los centros de datos, es decir de rack de alta densidad hasta 40 kW/m 2 o más por rack. Se
trata de una unidad ""cooling door"" que se tiene que colocar en la parte trasera del rack y tiene que
gestionar un sistema dinámico autoadaptativo diseñado específicamente para la gestión del aire de
expulsión. características principales - ventiladores ec de nueva generación - adaptabilidad a racks
42u / 48u - posibilidad de suministro con rack - control dinámico de la estratificación de aire -
configuración r (n+1) y t - integración en sistemas dual, free-cooling + back up - gestión
dehumidification less principio de funcionamiento la unidad cd se considera como unidad stand
alone de refrigeración del aire extraído de cada rack en los pequeños centros de datos y como
sistema para la gestión de los hot spots en los grandes centros de datos como integración en
sistemas de acondicionamiento existentes para islas calientes y frías o en estructuras de
compartimentación. Mientras el acondicionamiento de los rack se remite a las unidades perimetrales
que suministran aire frío 18-20°c en el pasillo frío, la "cooling door" cd gestiona los rack con más
alta carga térmica generalmente debidos al uso de los modernos blade servers.
44
Características:
Capacidad adicional de enfriamiento gracias a la batería de agua fría disponible en simple y
doble circuito.
No ocupa espacio en planta
Adaptabilidad a la mayoría de racks
Alta eficiencia energética mediante el control electrónico de los ventiladores, proporcional a las
reales necesidades.
Gestión de la estratificación del aire Control preciso de la temperatura del rack mediante 8
sensores completamente independientes.
Conexiones hidráulicas flexibles desde arriba o desde abajo a elección del cliente y de acuerdo
a la disponibilidad del suelo técnico elevado.
Fácil integración con enfriadoras de última generación caracterizadas por tecnología de
levitación magnética y free cooling.
Eficiencia.
Flexibilidad.
Acoplamiento para cada tipo de rack.
Redundancia.
Dimensiones totales mínimas.
Control dinámico del rack.
Modularidad.
45
Compartimentación.
Control
Pantalla semigráfica 132 x 64 píxeles, 6 teclas retroiluminadas, software programable, registro 100
alarmas, alarma general, restablecimiento automático de Black Out, sistema LAN integrado, gestión
standby, rotación automática, gestión alarmas graves y 2 salidas de alarma configurables.
Unidad Rack Cooler de Agua Fría
La unidad de acondicionamiento de interior vertical rack cooler de constituye un eficiente sistema
de gestión de los hot spots en los centros de datos y garantiza bajos consumos energéticos y la
posibilidad de uso incluso con cargas sumamente elevadas para rack de alta densidad hasta 40
kw/m2 y más por rack. En la versión hidráulica donde la refrigeración la garantiza el uso de un
chiller externo. La utilización de sistemas de ventiladores tipo EC con motor brushless de
conmutación electrónica de última generación permite un excelente rendimiento en términos de
prevalencia y bajos consumos. Disponible de serie la gestión dinámica n+1 de los ventiladores EC
capaz de optimizar consumos y la redundancia del sistema de refrigeración. Principio de
funcionamiento se trata de unidades independientes que se tienen que colocar entre los rack dentro
de la fila de forma que actúen localmente para disipar la carga de los servidores. En las versiones
InRow (crc -i) el aire que se tiene que tratar lo aspira en la parte trasera de la unidad directamente la
isla caliente del centro de datos (35°c) con notables beneficios desde un punto de vista tanto de
46
eficiencia energética como de rendimiento frigorífico para luego refrigerarse y enviarse a la isla fría
(18-20°c) es decir en la parte de delante de los rack donde lo aspiran. En las versiones encapsulado
(crc -e) los servidores y el acondicionador se encuentran dentro de la estructura del rack
herméticamente cerrada y de este modo se evitan fenómenos de mezclado de aire con el exterior
con pérdidas de eficiencia evidentes en el acondicionamiento. El aire lo aspiran directamente dentro
del rack cerrado por la parte trasera directamente los servidores (46°c) y se envía por la parte de
delante una vez que se ha refrigerado (25-30°c) directamente a los servidores con un notable ahorro
de energía que se debe a la menor cantidad de aire tratado.
Características
Ahorros significativos debido al volumen de aire limitado, escalabilidad y modularidad.
Solución óptima para un único rack.
Disponible con 100% de redundancia.
Eficiencia.
Flexibilidad.
Gestión dinámica integrada de la temperatura.
Redundancia.
Modularidad.
Compartimentación.
Integración.
47
Beneficios generales de las tecnologías elegidas
Las unidades CD y RC se integran de la mejor manera para darle solución al problema de los
puntos de calor que generan los servidores blade.
Proporcionan el enfriamiento local exactamente donde se hace necesario.
Maximiza la capacidad interna del Centro de Datos.
Elimina los puntos de calor.
El espacio que ocupan es mínimo.
Trabajan con redundancia N+1
Enfriamiento adicional solo donde es necesario
Unidades de expansión directa o de agua enfriada.
Modulación del caudal de aire gracias a los ventiladores con motores EC Brushless de alta
eficiencia.
Los ventiladores se adaptan a la carga térmica que detectan los sensores ubicados en el pasillo
caliente y frío. Así, aumenta la eficiencia y se reduce la estratificación del aire.
Totalmente compatible con la mayoría de racks permitiendo la ampliación del sistema de
refrigeración.
Configuración de Pasillos Fríos y CalientesA través del suelo elevado, puede ser dirigido fácilmente el aire al lugar donde exactamente se
necesita.
El pasillo se torna flexible ya que proporciona la máxima libertad para distribuir de otra manera los
racks o realizar cambios en la infraestructura que sean necesarios.
48
Pasillos fríos
Se establecerán en espacios entre pasillos de 1.2 metros, y serán instalados en conjunto al cableado
de potencio o energía eléctrica.
Pasillos calientes
Se establecerán en espacios entre pasillos de 1.0 metro, y serán instalados en conjunto al cableado
de datos.
49
CONTROL DE AMBIENTE
Sistema de Incendio
Detección temprano de humo
Las soluciones de detección temprano de humo brindan alertas tempranas ante posibles incendios
inminentes dentro de los cuartos de servidores y telecomunicaciones.
Se implementa la detección de incendios para permitir una investigación rápida e iniciar una
respuesta apropiada para prevenir perdidas, daños a la propiedad o interrupciones del negocio.
Unidad de control de supresión de incendios
Se contempla la implementación de una Unidad de control de supresión de incendios que ofrece
circuitos de señalización, que son configurables por el usuario para accionar las válvulas de un
sistema de extinción. Mostrando alertas, problemas y eventos para supervisión del centro de datos
por medio de una pantalla LCD.
Permitiendo al centro de datos verificar eventos, alarmas silenciosas, operatividad por parte del
usuario y mantenimientos simples. Guardando un historial de actividades dentro de la empresa.
Restableciendo los sistemas de forma automática, con contraseñas de seguridad que niegan el
acceso no autorizado al sistema para un óptimo desempeño y reducción de desastres por parte del
personal.
Sistema de Extinción Incendio
Se utilizan sistemas de detección de incendios para el centro de datos como respuesta rápida,
ofreciendo una protección efectiva para la empresa, cuidando los activos y la continuidad de las
operaciones.
Es implementado en el centro de datos y cuartos de telecomunicaciones para evitar la propagación
de fuego que pueda causar pérdidas mayores y así reducir el impacto financiero dentro de la
empresa.
Se requiere un sistema que remueva la energía calorífica del fuego y no el oxígeno de la sala de
servidores, extinguiendo el fuego rápidamente a través de combinaciones químicas y remoción
física de calor.
50
SEGURIDAD DEL DATA CENTER
Seguridad Física
Control de accesos al Centro de Datos
Se rigen políticas de seguridad en el centro de datos, para la protección de los recursos tecnológicos,
por lo que se implementan procedimientos de control de accesos. Estableciendo normas de control
de ingreso, estadía y egreso al personal de soporte y mantenimiento a la infraestructura por medio
de autorizaciones estandarizadas.
Con la finalidad de garantizar el acceso al centro de datos por parte del personal para servicio y
mantenimiento de los equipos instalados en la sala de equipos, el usuario debe seguir las normas y
medidas de seguridad.
Este listado de autorizaciones de accesos permanentes, desbeberá ser un documento formal, firmada
por el apoderado de la empresa específico los accesos en horarios 24 x 7 x365.
Permanentemente se debe indicar:
Nombre, cargo, DPI o pasaporte de cada una de las personas enlistadas.
Personas con autorización para la solicitud de ingreso de personal temporal o no autorizado.
Personas con autorización de mando.
Personas autorizadas para el movimiento y retiro de equipos.
Tipos de accesos por personal y horarios a utilizar.
Documentación a presentar
Las políticas establecen que si un usuario deja de laborar para la consultora o empresa se deberá
indicar con antelación para evitar incidentes.
Procedimiento de entrada de personal de la empresa y visitantes.
El centro de datos cuenta con una garita de ingreso y egreso verificando los accesos, en los cuales
quedara identificado los registros de todas las personas que ingresen a las instalaciones.
Vigilancia Exterior (Garita)
Se implantan políticas de ingreso a las personas para un control detallado hacia las instalaciones, los
policías deben de seguir un régimen estricto en la seguridad de las instalaciones del centro de datos.
51
Se presentan las normas a seguir por parte de la seguridad policial:
1. Se restringe el ingreso al centro de datos a cualquier persona sin autorización
2. Cuando un usuario cuente con carnet de identificación, deberá presentarlo y el policía
ingresara los datos a la bitácora y permitirá el ingreso.
3. Si el usuario no cuenta con identificación de ingreso, se informa al encargado de seguridad
y este indicara si se brinda acceso o se deniega la entrada.
4. Se permite el ingreso dejando una identificación.
Seguridad perimetral
La seguridad perimetral corresponde a la integración de elementos y sistemas, tanto electrónicos
como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o
disuasión de intrusos en instalaciones especialmente sensibles.
Muros exteriores sin ventanas
Cerca eléctrica
Circuito cerrado de televisión (CCTV)
Alarmas perimetrales
52
Cerca Eléctrica
Circuito Cerrado de Televisión
53
Alarma Perimetral
Puertas de un Centro de Datos.
Se implementan puertas especiales de seguridad para los centros de datos, basados en estándares de
calidad y normativas internacionales para la protección de los cuartos de servidores y
telecomunicaciones.
Evitando filtraciones de humo, fuego, calor, agua aislando con eficiencia el cuarto de servidores.
Proporcionando resistencia a problemas de cualquier índole que permiten el accionamiento de los
Sistemas de existencia de fuego. Evitando deformaciones térmicas.
Programados con cerraduras automáticas y abatibles hacia afuera del centro de datos, permitiendo
cierre al vacío.
Cerraduras
Se contará con cerraduras de alta seguridad, combinando tecnología, fuerza y diseño que
complementan las puertas de cerrado al vacío. Con rendimiento de gama alta, de consumo mínimo
54
que no dañan el ambiente, estableciendo el acondicionamiento perfecto para la seguridad
establecida en el centro de datos.
Tipo de cerraduras electroimán (Electromagnética):
Ideal para su uso en el entorno externo o interno, Cerraduras tipo bóveda del electroimán tiene
características que agregan valor a su proyecto.
Control de Acceso
Se establecen controles de acceso Biométricas, que no permiten el acceso de personal no autorizado
a áreas sensibles, con controles de horarios de ingresos.
Incremento considerable de la seguridad del centro de acceso a cuartos sensibles que permite:
Identificación mediante un sistema de lectura de huella
Código de seguridad por empleado.
Reprogramación rápida y ágil.
55
Sistema Automático de Extinción de Incendios:
Dispositivo que detecta automáticamente un incendio y lleva a cabo la descarga del agente extintor
en o sobre el fuego.
Detectores de humo
Un detector de humo es una alarma que detecta la presencia de humo en el aire y emite una señal
acústica avisando del peligro de incendio.
Área de descarga y carga
Espacio del edificio de la data center designado para realizar las distintas operaciones de productos
que se entregan a la entidad así evitar que personas ajenas a la empresa lleguen hasta los puntos más
críticos de la empresa.
56
Seguridad Lógica
Nagios
Nagios es un sistema de monitorización de redes ampliamente utilizado, de código abierto, que
vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el
comportamiento de los mismos no sea el deseado. Entre sus características principales figuran la
monitorización de servicios de red (SMTP, POP3, HTTP, SNMP...), la monitorización de los
recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los
puertos...), independencia de sistemas operativos, posibilidad de monitorización remota mediante
túneles SSL cifrados o SSH, y la posibilidad de programar plugins específicos para nuevos
sistemas.
UTM
La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es un término de
seguridad de la información que se refiere a una sola solución de seguridad, y por lo general un
único producto de seguridad, que ofrece varias funciones de seguridad en un solo punto en la red.
57
Un producto UTM generalmente incluye funciones como antivirus, anti-spyware, anti-spam,
firewall de red, prevención y detección de intrusiones, filtrado de contenido y prevención de fugas.
Algunas unidades también ofrecen servicios como enrutamiento remoto, traducción de direcciones
de red (NAT, network address translation) y compatibilidad para redes privadas virtuales (VPN,
virtual private network). El encanto de la solución se basa en la simplicidad, por lo que las
organizaciones que puedan haber tenido proveedores o productos para cada tarea de seguridad por
separado, ahora los pueden tener todos en una sola solución, con el apoyo de un único equipo o
segmento de TI, y que se ejecuta en una sola consola.
Controles de Acceso
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación,
en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de
aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la
integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso
permitido) y para resguardar la información confidencial de accesos no autorizados.
Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica,
como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si
corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al
respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes
estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:
Identificación y Autentificación
Roles
El acceso a la información también puede controlarse a través de la función o rol del
usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes:
programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc.
En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
Transacciones: También pueden implementarse controles a través de las transacciones, por
ejemplo, solicitando una clave al requerir el procesamiento de una transacción determinada.
Limitaciones a los Servicios: Estos controles se refieren a las restricciones que dependen
de parámetros propios de la utilización de la aplicación o preestablecidos por el
administrador del sistema. Un ejemplo podría ser que en la organización se disponga de
licencias para la utilización simultánea de un determinado producto de software para cinco
58
personas, en donde exista un control a nivel sistema que no permita la utilización del
producto a un sexto usuario.
Modalidad de Acceso
Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en
la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de
controles permite limitar el acceso de los usuarios a determinadas horas de día o a
determinados días de la semana. De esta forma se mantiene un control más restringido de
los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre
deben ir acompañados de alguno de los controles anteriormente mencionados.
Control de Acceso Interno
Control de Acceso Externo
Administración
59
Niveles de Seguridad Informática
El estándar de niveles de seguridad más utilizado internacionalmente es el Trusted Computer
Security Evaluation Criteria TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de
seguridad en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el
mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego
internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2
abarca los subniveles B1, C2, C1 y el D.
Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no
cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y
no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los
sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.
Nivel C1: Protección Discrecional
Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario
puede manejar su información privada y se hace la distinción entre los usuarios y el administrador
del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este
"super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual
descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos
o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los
cambios que hizo cada usuario.
A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:
Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de
usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los
cuales podrán actuar usuarios o grupos de ellos.
60
Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a
ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin
autorización o identificación.
Nivel C2: Protección de Acceso Controlado
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características
adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e
intentos fallidos de acceso a objetos.
Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan
acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los
permisos, sino también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las
acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del
sistema y sus usuarios.
La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el
comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el
procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración
del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es
cada usuario quien ejecuta el trabajo y no el administrador del sistema.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel,
como la secreta y ultra secreta. Se establece que el dueño del archivo no puede modificar los
permisos de un objeto que está bajo control de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad
jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas,
ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es
decir que cada usuario tiene sus objetos asociados.
61
También se establecen controles para limitar la propagación de derecho de accesos a los distintos
objetos.
Nivel B2: Protección Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.
La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un
nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior.
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos
usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son
modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de
banda a utilizar por los demás usuarios.
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalación de hardware: por ejemplo, el hardware de administración
de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación
de objetos de diferentes dominios de seguridad.
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o
las deniega según las políticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir
análisis y testeos ante posibles violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión
segura.
Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos
formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben
incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis
de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para
evitar infiltraciones ante traslados o movimientos del equipamiento.
62
Cifrado
En criptografía, el cifrado es un procedimiento que utiliza un algoritmo de cifrado con cierta clave
(clave de cifrado) transforma un mensaje, sin atender a su estructura lingüística o significado, de tal
forma que sea incomprensible o, al menos, difícil de comprender a toda persona que no tenga la
clave secreta (clave de descifrado) del algoritmo. Las claves de cifrado y de descifrado pueden ser
iguales (criptografía simétrica), (criptografía asimétrica) o (Criptografía híbrida).
El juego de caracteres (alfabeto) usado en el mensaje sin cifrar puede no ser el mismo que el juego
de caracteres que se usa en el mensaje cifrado.
A veces el texto cifrado se escribe en bloques de igual longitud. A estos bloques se les denomina
grupos. Estos grupos proporcionaban una forma de verificación adicional, ya que el texto cifrado
obtenido debía tener un número entero de grupos. Si al cifrar el texto plano no se tiene ese número
entero de grupos, entonces se suele rellenar al final con ceros o con caracteres sin sentido.
Red privada virtual
Una red privada virtual (RPV), en inglés: Virtual Private Network (VPN), es una tecnología de red
de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red
pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos
sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad,
seguridad y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión
virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos
métodos.
CABLEADO
Cableado Horizontal
El cableado horizontal es el utilizado en cada piso, este conecta cada usuario con un rack instalado.
Es decir es el cableado existente entre un rack intermedio y los usuarios. No se especifica cambios
para el cableado horizontal ya que el proyecto solo contempla el estudio del Data center.
Cableado Vertical
Para este tipo de cableado se recomienda usar fibra óptica multimodo. Al utilizar este tipo de
cable se garantiza una transmisión efectiva, sin interferencias electromagnéticas, un gran ancho de
banda, y el soporte de una velocidad de transmisión alta.
63
Cableado del Centro de Datos Basado En La Tia-568-C.2-1
La configuración del cableado estructurado será sistémico esto permitirá que exista un punto de
conexión en cada uno de los edificios construidos, a fin que sea posible la redundancia de
conexiones sin necesidad de tener que colocar cableado adicional.
De la misma manera el cableado será reconfigurable permitiendo reconfigurar la topología de la
red sin realizar cambios estructurales en el cableado. La conexión y cables de red de distribución
deben ser las mismas en todos los edificios para poder recibir todo tipo de redes y terminales.
Configuraciones del Cable
Descripción Imagen
Par trenzado ASI/TIA/EIA-568-A
Fibra óptica ANSI/TIA/EIA-569
64
Sub Sistemas Básicos del Cableado Estructurado
La construcción y configuración de los distintos sub sistemas serán regidos por TIA-568-C.2.-1,
ASI/TIA/EIA-568-A y ANSI/TIA/EIA-569
Sub sistemas Descripción
Cuartos de entrada de
servicio
La configuración de cableado estructurado contara con el cuarto de
entrada de servicios este cuarto se encontrara en el edificio
principal en este cuarto monitoreara y convergerán todas las
comunicaciones que se realicen entre los distintos edificios y la
nube. La conexión hacia internet será a través de dos backbone y
una un enlace satelital
Cuarto de equipo Se construirá un cuarto que resguardara el equipo de
telecomunicaciones
Cuarto de
telecomunicaciones
Este cuarto resguardara los distintos componentes asociados a el
cableado de telecomunicaciones
Cableado vertical El propósito de este cableado será intercomunicar a los distintos
componentes de servicios del data center con el backbone
Cableado horizontal Sera el encargado de la conexión desde el área de trabajo de
telecomunicaciones hasta el cuarto de telecomunicaciones
Área de trabajo Serán todas las terminales a las cuales se les asignara una conexión
65
Tipos de cables a utilizar en el Centro de Datos
66
Cable Utilización Imagen
Fibra óptica XGLO and
LightSystem Interlocking
Aluminum
Se utilizara para la conexión
entre los distintos edificios
Fibra optica XGLO
LightSystem Imdoor Tight
Buffer Distribution (US)
Para el cableado vertical
Category 6 OSP UTP Cable
–US
Se utilizara para las
conexiones horizontal
40/100G Equipment
Conversion cords for 100G
Se utilizara para la conexión
de la SAN.
ANÁLISIS ECONÓMICO
El objetivo del Análisis Económico es presentar una propuesta de inversión de la implementación
del Data Center, involucrando todos los aspectos relevantes e importantes de los cuales se pueden
mencionar costos de:
Infraestructura
Equipos
Herramientas
Mantenimiento
Recurso humano
Seguridad
Costos De Infraestructura
INSTALACIONES FÍSICAS DEL DATA CENTER:
Nombre Descripción Unidad Cantidad Precio Parcial
Puerta de Seguridad
Tipo: Lámina de acero ¼” espesorMedidas: 1.02x2.17mMarco: Planchas de acero de 1.4mmespesorCerradura: ElectromecánicaBisagras: Tipo caja fuerteBrazo Mecánico para auto retorno
Unidad 1 $1,100.00 $1,100.00
Rotulación de Letrero
Letrero de salida (EXIT), iluminado y construido con elementos reinsertables Unidad 1 $60.00 $60.00
Rampa de Acceso y Descanso
Estructura: Metálica en Acero reforzadoMedidas área de descanso:1.05mx1.02mBaranda: Metálica perimetral a la rampa y área de descansoMedidas de Rampa: 0.60x1.91x2x17.45°
Unidad 1 $1,800.00 $1,800.00
Piso Falso
Sistema: RemovibleTipo: Piso falso de acero inyectado en concreto liviano, moduladoPaneles (108): Acero modulares desmontables con revestimiento superior conductivo de 61x61x3.2cm Recubrimiento Superior: laminado de alta precisión (HPL) antiestática de 1.5 mm Pedestales: hierro acerado, regulados Altura de Instalación: 0.60cm
M2 38.50 $350.00 $13,475.00
67
Techo Falso
Tipo: Techo Falso metálico tipo fibramineralLáminas (108): 0.60x0.60cm Modulación: 0.60x0.60cm Altura de Instalación: 0.50cm
M2 38.50 $100.00 $3,850.00
TOTAL $20,285.00BANDEJA PORTACABLES TIPO ESCALERILLA
Nombre Descripción Unidad Cantidad Precio Parcial
Instalación en Data Center "Piso Falso" (Cantidad Tramo Recto: 19.25m)
Tramo Recto: 3.66mx50.80cm Unidad 6 $130.00 $780.00
T Horizontal 90grad Unidad 2 $60.00 $120.00Cruz Horizontal Unidad 1 $60.00 $60.00Curva Vertical interna 90grad Unidad 3 $60.00 $180.00
Curva Vertical externa 90grad Unidad 3 $60.00 $180.00
Soportes de Tramos rectos (Separación:1.8m) Unidad 11 $4.00 $44.00
Soportes de Accesorios Unidad 22 $4.00 $88.00Conector de Unión para tramos rectos Unidad 12 $3.00 $36.00Conector de Unión para accesorios Unidad 36 $3.00 $108.00
$1,596.00Instalación en Pasillo de Unidad Informática "Techo
Falso" (Cantidad
Tramo Recto:
46.70m)
Tramo Recto: 3.66mx50.80cm Unidad 13 $130.00 $1,690.00T Horizontal 90º Unidad 11 $60.00 $660.00
Curva Horizontal 90º Unidad 7 $60.00 $420.00Soportes de Tramos rectos (Separación:
1.8m) Unidad 26 $4.00 $104.00
Soportes de Accesorios Unidad 54 $4.00 $216.00Conector de Unión para tramos rectos Unidad 26 $3.00 $78.00
Conector de Unión para accesorios Unidad 72 $3.00 $216.00$3,384.00
TOTAL $4,980.00CABLEADO ESTRUCTURADO DE LA UNIDAD INFORMÁTICA
Nombre Descripción Unidad Cantidad Precio Parcial
Patch Cord, Jack,
Faceplate
Patch Cord Cat 6a FTP 7ft (Voz y Datos) Unidad 35 $14.00 $490.00
Patch Cord Cat 6a FTP 3ft (Gabinetes) Unidad 35 $14.00 $490.00Módulo Jack RJ-45, T568A/B (Voz y
Datos) Unidad 35 $9.00 $315.00
Faceplate 2 Salidas (Voz y Datos) Unidad 21 $2.30 $48.30$1,343.30
Cableado Horizontal
Cable FTP Cat 6a (Voz) Metro 258.15 $1.80 $464.67Cable FTP Cat 6a (Datos) Metro 602.40 $1.80 $1,084.32
68
$1,548.99
Patch Panel
Patch Panel No Sólido, 24 Puertos (Voz) Unidad 1 $40.00 $40.00
Patch Panel No Sólido, 24 Puertos (Servidores) Unidad 1 $40.00 $40.00
Patch Panel No Sólido, 24 Puertos (Elementos Data Center: Aire
acondicionado, Control de acceso, UPS)Unidad 1 $40.00 $40.00
Patch Panel No Sólido, 48 Puertos (Datos) Unidad 1 $80.00 $80.00
$200.00
Canaliza-ción
(Cantidad Tramo Recto:
118.69m)
Tubería Metálica EMT ¾” (3.05m) Unidad 41 $100.00 $4,100.00
Curva de Tubo EMT ¾” Unidad 41 $25.00 $1,025.00
Soporte de Tubería EMT Unidad 53 $4.00 $212.00Cajas para Salida deTelecomunicaciones Unidad 21 $4.00 $84.00
$5,421.00TOTAL $8,513.29
PUESTA A TIERRA DEL DATA CENTERNombre Descripción Unidad Cantidad Precio Parcial
Cable #2AWG Malla de Cobre desnudo Metro 112 $5.00 $560.00
Abrazadera de Bronce
Abrazadera de Aterrizaje (Unión de cables de la malla, cada 3 pedestales
del piso falso) Unidad 44 $13.00 $572.00
TGB Barra de Tierra para telecomunicaciones Medidas:
10"X2"
Unidad 1 $100.00 $100.00
TMGBBarra de Tierra principal de
telecomunicaciones Medidas: 12"X4"
Unidad 1 $130.00 $130.00
Cable #6 AWG Aterrizaje de Bandeja tipo Escalerilla (Recorrido Data Center) Metro 30 $3.50 $105.00
Cable #6 AWG
Kit +Jumper (50cm) de Aterrizaje para Rack Metro 1.50 $20.00 $30.00
Kit +Jumper (1m) de Aterrizaje para Bandeja tipo Escalerilla Data Center Metro 1 $25.00 $25.00
Kit +Jumper (1m) de Aterrizaje de Pedestales Piso Falso (88) Metro 88 $25.00 $2,200.00
Cable #2 AWGKit +Jumper (1m) de Aterrizaje
Tablero de Distribución, Tableros de Bypass
Metro 3 $5.00 $15.00
Cable #1 AWG Conexión de Malla de cobre al TGB Metro 1 $8.00 $8.00TOTAL $3,745.00
69
CABLEADO ELÉCTRICO DEL DATA CENTERNombre Descripción Unidad Cantidad Precio Parcial
Cable Eléctrico
Cable #12 AWG Instalación (110v) F+N+T Metro 590.65 $0.50 $295.33
Cable #12 AWG Instalación (220v) 2F+N+T Metro 405.80 $0.50 $202.90
$498.23
TomasEléctricas
Toma Corriente doble (110v) sobre piso falso Unidad 6 $2.25 $13.50
Toma Corriente doble (220v) sobre piso falso Unidad 3 $2.25 $6.75
Toma Corriente normal doble (110v)sobre pared Unidad 4 $2.25 $9.00
Toma Corriente normal doble (220v)sobre pared Unidad 1 $2.25 $2.25
$31.50Interruptores Interruptor Triple Unidad 1 $2.50 $2.50Tablero de Distribución
Tipo: Doble fondo construido con lámina de acero de un espesor de
Unidad 1 $1,200.00 $1,200.00Tablero de Bypass para
Tipo: Doble fondo construido con lámina de acero de un espesor de
Unidad 2 $2,000.00 $4,000.00Canalización (Cantidad
Tubería Metálica EMT ¾” (3m) Unidad 21 $100.00 $2,100.00Curva de Tubo EMT ¾” Unidad 14 $25.00 $350.00Soporte de Tubería EMT Unidad 14 $4.00 $56.00
Cajas de Paso Unidad 12 $4.00 $48.00Cajas de Salida Eléctrica Unidad 15 $4.00 $60.00
$2,614.00Luminarias
PrincipalesLámparas Fluorescentes T8
60X60cm Unidad 9 $220.00 $1,980.00
Luminarias de emergencia Focos Direccionales Unidad 5 $40.00 $200.00
TOTAL $10,526.23AIRE ACONDICIONADO Y EQUIPOS DE PROTECCIÓN ELÉCTRICA
Nombre Descripción Unidad Cantidad
Precio ParcialAire Acondicionado de Precisión
Capacidad: 30000 BTU (Data Center) Unidad 2 $15,000.00 $30,000.00
UPS
Capacidad: 10Kva (Equipos Data Center) Unidad 2 $10,000.00 $20,000.00
Capacidad: 20Kva (Equipos ÁreaInformática) Unidad 2 $10,000.00 $20,000.00
Generador Unidad 1 $10,000.00 $10,000.00
TOTAL $80,000.00SISTEMAS DE SEGURIDAD DEL DATA CENTER
Nombre Descripción Unidad Cantidad
Precio Parcial
70
Sistema de Control de Acceso
Capacidad para controlar el acceso vía sistema biométrico, teclado (contraseña) y tarjeta o token de
aproximación.
Unidad 1 $600.00 $600.00
Sistema de Detección y Extinción de Incendios
Sistema de DetecciónPanel de Control Unidad 1 $900.00 $900.00
Detectores de Humo Fotoeléctricos Unidad 11 $100.00 $1,100.00Luces Estroboscópicas con sirena Unidad 2 $90.00 $180.00
Estación Manual de descarga Unidad 1 $80.00 $80.00$2,260.00
Sistema de ExtinciónAgente Extintor FM200+Manguera
de Descarga (1) + Boquillas de descarga (11)
Unidad 1 $8,000.00 $8,000.00
$8,000.00Tubería EMT
Tubería Metálica EMT 1/2” (3.05m),
Tramo Recto: 20m (Detectores de Humo)
Unidad 7 $80.00 $560.00
Tubería Metálica EMT 1/2” (3.05m),
Tramo Recto: 17m (Descarga Agente
Unidad 6 $80.00 $480.00
$1,040.00
$1Extintor C02 20lbs Unidad 2 $240.00 $480.00
Cajas de Seguridad para Cintotecas
Material: Construido con láminas de acero blindado y concreto sólido recubierto por todos sus lados. Espacio Inferior para guardar documentos o cintas aproximadamente(240) Medidas: 110x65x85cm
Unidad 2 $1,200.00 $2,400.00
$14,780.00
TOTAL $142,829.52
71
Costo De Equipos
EQUIPOS INFORMÁTICOS DEL DATA CENTERNombre Descripción Unidad Cantidad Precio Parcial
Rack Tipo Gabinete
Rack Tipo gabinete para Voz y Datos Racks Cerrados, construidos en aluminio
extruido, estructura elaborada en perfilería acerada.
Capacidad: 45 RU para equipos,Estándar de 19” de ancho.
Medidas: 7 pies (2.13m)x75cmx100cm
Organizadores Verticales.
Unidad 2 $1,500.00 $3,000.00
Organizadores Horizontales, Multitomas,
Bandejas, Barrajes de puesta a tierra
Rack Tipo gabinete para Servidores Racks Cerrados,
construidos en aluminio extruido, estructura elaborada en
perfilería acerada.Capacidad: 45 RU para equipos
Estándar de 19” de ancho.Medidas: 7 pies
(2.13m)x60cmx100cmOrganizadores Verticales,
Organizadores Horizontales, Multitomas,
Bandejas, Barrajes de puesta a tierra
Unidad 1 $1,450.00 $1,450.00
$4,450.00
Switch deComunicación
Switch capa 2/3/4 PWR 24 Puertos de acceso (Voz),
Puertos de Fibra Óptica (2)Unidad 1 $2,300.00 $2,300.00
Switch capa 2/3/4 PWR 24 Puertos de acceso (Servidores),
Puertos de Fibra Óptica (2)Unidad 1 $2,300.00 $2,300.00
72
Switch capa 2/3/4 PWR 24 Puertos de acceso (Elementos: aire acondicionado, control de acceso, UPS), Puertos de Fibra
Óptica (2)
Unidad 1 $2,300.00 $2,300.00
Switch capa 2/3/4 PWR 48 Puertos de acceso (Datos), Puertos de Fibra Óptica (2)
Unidad 1 $6,500.00 $6,500.00
$13,400.00
Servidores
Aplicaciones de Virtualización Unidad 1 $23,237.48 $23,237.48
Configuración de Virtualización Unidad 1 $10,000.00 $10,000.00
Hardware Data Center
Servidor Power Edge R430 Unidad 3 $6638 $19,914.00
Power Edge R630 Unidad 2 $3031 $6062.00
Servidor Dell Power Edge*R930 Unidad 2 $14,390.00 $28,770.00
Equipo de oficina Unidad 13 $549.00, $7137.00
$95,13019.48SUBTOTAL $112,980.48
Sistema de Respaldo
Unidad Robótica de Respaldo +Software+ Cintas
Comprimidas 3TB (10)Unidad 1 $10,000.00 $10,000.00
TOTAL $122,980.48
73
Costos De HerramientasHERRAMIENTAS DEL DATA CENTER
Nombre Descripción Unidad Cantidad
Precio Parcial
Herramientas de Red
Kit de herramientas de red para el Data Center Unidad 1 $250.00 $250.00
Herramientas de Mantenimiento para equipos
Kit de herramientas para mantenimiento de equipos en Data
CenterUnidad 1 $150.00 $150.00
Plan de Contingencia
IncendioMáscara contra gases y sistemas de
oxígeno portátiles Unidad 10 $30.00 $300.00
Capacitación (Uso de extintores manuales) Unidad 1 $100.00 $100.00
Simulacros de Incendio Unidad 2 $50.00 $100.00Capacitación sobre Incendio Unidad 1 $150.00 $150.00
Botiquín de primeros auxilios Unidad 1 $30.00 $30.00
Señalización para Incendio Unidad 10 $10.00 $100.00
Lámparas emergentes con batería Unidad 10 $15.00 $150.00Inundación
Sistema de Drenaje Unidad 1 $300.00 $300.00Bolsas de Plástico impermeables
(Racks) Unidad 3 $25.00 $75.00
Simulacro de Inundación Unidad 2 $50.00 $100.00Capacitación sobre Inundación Unidad 1 $100.00 $100.00
T erre m o t o Kit (Linterna, Radio, Batería) U
nidad10 $15.00 $150.00
Kit (Cascos de seguridad, Protectores faciales)
Unidad 10 $30.00 $300.00
Capacitación sobre Terremoto Unidad 1 $150.00 $150.00
Simulacro de Terremoto Unidad
2 $80.00 $160.00R obo C o m ún
Letreros y Anuncios (Acceso no autorizado)
Unidad 5 $10.00 $50.00
Tarjetas de Identificación del personal Unidad 10 $20.00 $200.00
74
UIGuardia de Seguridad (UI) Mes 12 $500.00 $6,000.00
Capacitación Guardia de Seguridad Unidad 1 $150.00 $150.00Equipo de protección (Armamento
+chaleco + radio portátil)
Unidad 1 $260.00 $260.00
Robo de InformaciónCapacitación sobre Robo de
información Unidad 1 $400.00 $400.00
Fallo de EquiposCapacitación sobre administración
de equipos de cómputo Unidad 1 $450.00 $450.00
$9,775.00TOTAL $10,175.00
Costo De Recurso Humano
RECURSO HUMANO DEL DATA CENTER
NOMBRE DESCRIPCIÓN UNIDAD CANTIDAD PRECIO PARCIAL
Director de la Unidad Informática
Sueldo del Aministrador del Data Center (Sueldo Mensual: $1500.00
Unidad 1 $18,000.00 $18,000.00
Capacitación Administración de Servidores (Anual)
Unidad 1 $3,000.00 $3,000.00
TOTAL $21,000.00
75
Costos De Mantenimiento De Equipos e Infraestructura
MANTENIMIENTO DE EQUIPOS E INFRAESTRUCTURA DEL DATA CENTER
Servicio de Mantenimiento
Tiempo Mant.
(Horas/Mes)
Período (Mese/año)
Total (Horas/
Año)
Costo Por Hora
(Hora)
Costo Anual
Cant.
Parcial
Servidores y Sistema de Array de Discos "Storage"
6 4 24 $ 50.00 $ 1,200.00 5 $ 6,000.00
UnidadRobótica deRespaldo
4 3 12 $ 25.00 $ 300.00 1 $ 300.00
Equipos deComunicación
5 3 15 $ 25.00 $ 375.00 6 $ 2,250.00
CableadoEstructurado
8 3 24 $ 80.00 $ 1,920.00 1 $ 1,920.00
Red Eléctrica 8 3 24 $ 70.00 $ 1,680.00 1 $ 1,680.00
Climatización 4 2 8 $ 40.00 $ 320.00 1 $ 320.00
UPS 4 4 16 $ 50.00 $ 800.00 2 $ 1,600.00
Sistemas de Detección y Extinción de Incendios
8 3 4 $ 60.00 $ 1,440.00 1 $ 1,440.00
Control deAcceso
3 3 9 $ 15.00 $ 135.00 1 $ 135.00
Rampa deAcceso
3 2 6 $ 15.00 $ 90.00 1 $ 90.00
Piso Falso 8 3 24 $ 30.00 $ 720.00 1 $ 720.00
Puerta deAcceso
2 2 4 $ 10.00 $ 40.00 1 $ 40.00
Techo Falso 8 2 16 $ 20.00 $ 320.00 1 $ 320.00
EscalerillaPortacables
8 3 24 $ 15.00 $ 360.00 1 $ 360.00
Puesta a tierra 8 3 24 $ 35.00 $ 840.00 1 $ 840.00Servidores y Sistema de Array de Discos "Storage"
6 4 24$ 50.00 $ 1,200.00 5 $ 6,000.00
76
$ 18,015.00
Resumen De Costos De Inversión De Implementación
No. Nombre Descripción Total Parcial
1 Costos de Infraestructura Infraestructura del Data Center, costos de instalaciones, materiales y equipo para su construcción.
$142,829.52
2 Costos de Equipos Equipos de Networking y comunicación para poder brindar los servicios requeridos por los usuarios y la organización.
$122,980.48
3 Costos de Herramientas Herramientas necesarias para los distintos procesos de montaje e instalación de la infraestructura y equipos.
$ 10,175.00
4 Costos de Recurso Humano Personas capacitadas, competentes y adecuadas para cada uno de los servicios.
$ 21,000.00
5 Costo de Mantenimiento de Equipo e Infraestructura
Manteniendo de las instalaciones, por personal competente y capacitado
$ 18,015.00
TOTAL $315,000.00
77
ANÁLISIS OPERATIVO
La necesidad de la implementación de un Data Center para la empresa SperSys se ve reflejada en el
crecimiento que ha tenido últimamente debido a la alta calidad de su trabajo, por lo que se debe
prever una infraestructura que cumpla con los estándares de calidad, que sea adecuada y que
satisfaga las necesidades del cliente interno y externo, sin descuidar la escalabilidad que puede tener
a futuro.
Se estima que el grado de aprobación del proyecto por parte de las personas que trabajan en la
empresa será alta debido a las siguientes características:
Se tendrá una infraestructura propia.
El personal está familiarizado con el equipo debido a su experiencia laboral.
Se contará con personal dedicado al monitoreo, lo que no afectará las funciones de los
colaboradores.
78
POLÍTICAS DE SEGURIDAD LÓGICA Y FÍSICA DATA CENTER SPERSYS
79
Políticas de Seguridad de La Información
SGSI-P-TI-01
Políticas de Seguridad de la Información
ISO 27001:2013 Versión: 1.0
Controles:
A.6.1
A.6.1.1-A.6.1.8
A.6.2.1- A.6.2.3
A.7.2
A.7.2.1-A.7.2.3
A.12.3.1
Vigente: Hasta 01/09/2018
Objetivos:
Proporcionar dirección gerencial y apoyo a la seguridad de la información en concordancia con los
requerimientos comerciales y leyes y regulaciones relevantes.
Manejar la seguridad de la información dentro de la organización.
Mantener la seguridad de la información de la organización y los medios de procesamiento de
información a los cuales entidades externas tienen acceso y procesan; o son comunicados a o manejados
por entidades externas.
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción
a) La gerencia debe aprobar un documento de política, este se debe publicar y comunicar a todos los
empleados y entidades externas relevantes.
b) La política de seguridad de la información debe ser revisada regularmente a intervalos planeados o si
ocurren cambios significativos para asegurar la continua idoneidad, eficiencia y efectividad.
80
c) La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección
clara, compromiso demostrado, asignación explícita y reconocimiento de las responsabilidades de la
seguridad de la información.
d) Las actividades de seguridad de la información deben ser coordinadas por representantes de las
diferentes partes de la organización con las funciones y roles laborales relevantes.
e) Se deben definir claramente las responsabilidades de la seguridad de la información.
f) Se debe definir e implementar un proceso de autorización gerencial para los nuevos medios de
procesamiento de información
g) Se deben identificar y revisar regularmente los requerimientos de confidencialidad o los acuerdos de no-
divulgación reflejando las necesidades de la organización para la protección de la información.
h) El enfoque de la organización para manejar la seguridad de la información y su implementación (es
decir; objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la
información) se debe revisar independientemente a intervalos planeados, o cuando ocurran cambios
significativos para la implementación de la seguridad.
i) Se deben tratar todos los requerimientos de seguridad identificados antes de otorgar a los clientes acceso
a la información o activos de la organización.
j) Los acuerdos que involucran acceso, procesamiento, comunicación o manejo por parte de terceras
personas a la información o los medios de procesamiento de información de la organización; agregar
productos o servicios a los medios de procesamiento de la información deben abarcar los requerimientos
de seguridad necesarios relevantes.
k) Se debe desarrollar e implementar un apropiado conjunto de procedimientos para etiquetar y manejar la
información en concordancia con el esquema de clasificación adoptado por la organización.
l) Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección
de la información.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política de Usuario
81
SGSI-P-TI-01
Políticas de Usuario
ISO 27001:2013 Versión: 1.0
Controles:
A.11.2.1 - A.11.2.4
A.11.3.1 - A.11.3.2
A.11.4.1 - A.11.4.6
A.11.5.2
A.11.6.1
A.13.1.2
A.15.1.5
Vigente: Hasta 01/09/2018
Objetivos:
Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de
información.
Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción:
a) Se debe solicitar por medio de un formulario dirigido al departamento TI para la creación de usuario que
le permita el acceso a los aplicativos, de la misma manera para el procedimiento para darse de baja.
b) Se debe asignar roles y/ privilegios para el acceso limitado a cada usuario.
c) Las contraseñas se deben asignar y/o enviar al usuario a través de su correo y manera encriptada; así
mismo se debe entregar por medio de un documento escrito.
d) La alta gerencia y/o encargados de cada departamento debe regular y/o autorizar la asignación de acceso
82
a los usuarios de acuerdo a su perfil.
e) Se debe asignar claves fuertes como mínimo 8 caracteres que incluyan números, caracteres especiales y
numeración.
f) Se debe llevar un control por escrito para el acceso de usuarios remotos.
g) Se debe seccionar la red para un mejor control de los usuarios.
h) Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas
i) El registro de los usuario se realizar por medio de su id por ende se debe asignar unipersonal.
j) Se debe restringir los accesos a los usuarios a sistemas de información sensible y de valioso activo.
k) Se debe requerir por medio de un oficio que los empleados, contratistas y terceros estén comprometidos
para realizar y/o reportar cualquier debilidad en el sistema.
l) Se debe prohibir a los usuarios de utilizar dispositivos (pendrive) externos a la institución.
Términos y Condiciones:
a) El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
b) Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
c) Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
d) Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política de Monitoreo
SGSI-P-TI-01
Políticas de Monitoreo ISO 27001:2013 Versión: 1.0
83
Controles:
A.10.10
A.10.10.1-A.10.10.5
Vigente: Hasta 01/09/2018
Objetivos:
Detectar actividades de procesamiento de información no autorizadas.
Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
La presente política aplica a todo el personal de Monitoreo, (ya sea que cuenten con contrato indefinido,
temporal y/o Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción:
a) Se deben establecer procedimientos para monitorear el uso de los medios de procesamiento de
información y el resultado de las actividades de monitoreo se debe revisar regularmente.
b) Se deben proteger los medios de registro y la información del registro contra alteraciones y acceso no-
autorizado.
c) Se debe monitorear los servicios que se realizan en el data center.
d) Se deben producir registros de la actividades de auditoria, excepciones y eventos de seguridad de la
información y se deben mantener durante un período acordado para ayudar en investigaciones futuras y
monitorear el control de acceso.
e) Las fallas se deben registrar, analizar y se debe tomar la acción apropiada.
f) Se deben proteger los medios de registro y la información del registro contra alteraciones y acceso no-
autorizado.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
84
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política Protección Contra Código Malicioso-Antivirus
SGSI-P-TI-01
Políticas Protección Contra Código Malicioso ISO 27001:2013 Versión: 1.0
Controles:
85
A.10.4- A.10.4.1
Vigente: Hasta 01/09/2018
Objetivos:
Proteger la integridad del software y la información.
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción:
a) Se deben implementar controles de detección, prevención y recuperación para protegerse de códigos
malicioso y se deben implementar procedimientos de conciencia apropiados.
Lineamientos Generales del empleo del antivirus:
b) Es responsabilidad del IT la instalación del cliente de software antivirus en todos los equipos de la red,
del buen funcionamiento, así como de la habilitación de las funcionalidades de autoprotección y
descarga automática de las actualizaciones del software antivirus.
c) Es responsabilidad del IT realizar las gestiones necesarias ante la autoridad correspondiente para la
autorización de adquisición o actualización de las licencias de uso.
d) Es responsabilidad del usuario mantener siempre activo el software antivirus, descargar e instalar las
actualizaciones del software tan pronto como estén disponibles del sitio oficial.
e) En el caso de que el equipo no sea propiedad de la institución, el IT hará un escaneo del equipo antes de
conectarlo a la red y en su caso se le instalará temporalmente bajo el amparo de la licencia del antivirus
oficial, siendo responsabilidad del propietario del equipo de desinstalarlo una vez que terminen las
actividades que le involucraron estar conectado a la red de la institución.
f) Realice siempre un escaneo de cualquier unidad del disco extraíble antes de usarla.
g) Si alguna prueba de laboratorio entra en conflicto con el software antivirus, ejecute el antivirus para
asegurar una máquina limpia, deshabilite el software antivirus, después ejecute la prueba de laboratorio.
Después de la prueba de laboratorio, habilite el software antivirus. Mientras el software antivirus esté
86
deshabilitado no active ninguna aplicación que pueda transferir algún virus, e. g. archivos compartidos,
correo electrónico, etc.
h) Casi diariamente se descubren nuevos virus. Compruebe periódicamente la política de Antivirus y los
procesos recomendados para realizar las actualizaciones.
Acciones de prevención de código malicioso:
i) Nunca abra archivos o macros adjuntos a un correo de una fuente desconocida, sospechosa o que no sea
de confianza. Borre inmediatamente estos archivos adjuntos y después haga un "doble borrado" vaciando
su carpeta de reciclaje.
j) Borre el “spam”, cadenas y cualquier otro tipo de correo chatarra sin reenviarlo a otros destinatarios.
k) Nunca descargue archivos de fuentes desconocidas o sospechosas.
l) Evite utilizar recursos compartidos de disco con acceso de lectura/grabación a menos que sea
absolutamente necesario.
m) Realice regularmente una copia de seguridad de sus datos críticos y de las configuraciones del sistema y
almacénelos en un lugar seguro.
Respuesta ante una infección de virus:
n) Contactar inmediatamente al TI cuando se tenga certeza o sospecha de que una computadora se ha
infectado con un virus. Normalmente el TI podrá eliminar el virus, esto puede implicar una visita al sitio
del trabajo o remotamente si se puede tener acceso a la computadora.
o) Si no se puede eliminar una infección viral, el disco duro de la computadora se deberá formatear y todo
el software y aplicaciones deberán ser reinstalados desde copias limpias con licencias.
p) Si el TI dictamina que una computadora infectada es capaz de propagar la infección o afectar otras
computadoras o la red, la computadora infectada será inmediatamente desconectada de la red de la red
hasta que el TI o quién el designe determine que está libre de virus.
q) Antivirus instalado obligatoriamente en cada equipo-
r) El equipo deberá ser actualizado diariamente.
s) Se tiene prohibido inhabilitar el antivirus.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
87
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política de Respaldo (Backup)
SGSI-P-TI-01
Política de Respaldo (Backup)
ISO 27001:2013 Versión: 1.0
Controles:
A.10.5
A.10.5.1
88
Vigente: Hasta 01/09/2018
Objetivos:
Mantener la integridad y disponibilidad de los servicios de procesamiento de información y
comunicaciones.
Proporcionar medios de respaldo adecuados para asegurar que toda la información esencial y el
software, se pueda recuperar después de una falla
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
La presente política aplica a todo el personal de Monitoreo, (ya sea que cuenten con contrato indefinido,
temporal y/o Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción:
a) Se deben realizar copias de back-up o respaldo de la información comercial y software esencial y se
deben probar regularmente de acuerdo a la política.
b) Todas las copias de información crítica deben ser almacenadas en un área adecuada y con
control de acceso.
c) Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen información
crítica; el dueño de la información debe asegurar que el plan es adecuado, frecuentemente
actualizado y periódicamente probado y revisado
d) Deben existir al menos una copia de la información de los discos de red, la cual deberá permanecer fuera
de las instalaciones.
e) Semanalmente los administradores de infraestructura, verificarán la correcta ejecución de los procesos
de backup, suministrarán las cintas requeridas para cada trabajo y controlarán la vida útil de
cada cinta o medio empleado.
f) El Área de Información y Sistemas debe mantener un inventario actualizado de las copias de respaldo de
la información y los aplicativos.
89
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política de Activos -Equipo Tecnológico
SGSI-P-TI-01
Política de Activos
ISO 27001:2013 Versión: 1.0
Controles:
A.7- A.7.1
A.7.1.1 - A.7.1.3
Vigente: Hasta 01/09/2018
Objetivos:
90
Lograr y mantener la protección apropiada de los activos organizacionales.
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción: _____________________________________________________________
a) Todos los activos deben estar claramente identificados; y se debe elaborar y mantener un inventario de
todos los activos importantes.
b) Toda la información y los activos asociados con los medios de procesamiento de la información deben
ser propiedad de una parte designada de la organización.
c) Se deben identificar, documentar e implementar las reglas para el uso aceptable de la información y los
activos asociados con los medios de procesamiento de la información.
d) Periódicamente, el Área de Información y Sistemas efectuará la revisión de los programas
utilizados en cada dependencia. La descarga, instalación o uso de aplicativos o programas informáticos
no autorizados será considera como una violación a las Políticas de Seguridad de la Información.
e) Todos los requerimientos de aplicativos, sistemas y equipos informáticos deben ser solicitados a través
de la mesa de ayuda del Área de Información y Sistemas con su correspondiente justificación
para su respectiva viabilidad.
f) Los recursos informáticos no podrán ser utilizados, sin previa autorización escrita, para divulgar,
propagar o almacenar contenido personal o comercial de publicidad, promociones, ofertas, programas
destructivos (virus), propaganda política, material religioso o cualquier otro uso que no esté autorizado.
g) Todo cambio a la infraestructura informática deberá estar controlado y será realizado de acuerdo con los
procedimientos de gestión de cambios del área de información y sistemas.
Términos y Condiciones:
91
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política de Seguridad Física y Ambiental
SGSI-P-TI-01
Política de Seguridad Física y Ambiental
ISO 27001:2013 Versión: 1.0
Controles:
A.9.1
A.9.1.1-A.9.1.6
Vigente: Hasta 01/09/2018
Objetivos:
Evitar el acceso físico no autorizado, daño e interferencia al local y la información de la organización.
92
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción:
a) Se debe utilizar perímetros de seguridad barreras tales como paredes y puertas de ingreso controlado o
recepcionistas para proteger áreas que contienen información y medios de procesamiento de
información.
b) Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se
permita acceso al personal autorizado.
c) Se debe diseñar y aplicar seguridad física en las oficinas, habitaciones y medios.
d) Se debe diseñar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión,
disturbios civiles y otras formas de desastre natural o creado por el hombre
e) Se debe diseñar y aplicar protección física y lineamientos para trabajar en áreas seguras.
f) Se deben controlar los puntos de acceso como las áreas de entrega y descarga y otros puntos donde
personas no-autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislar de los
medios de procesamiento de la información para evitar un acceso no autorizado.
g) El equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales,
y las oportunidades para el acceso no autorizado.
h) El equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en los
servicios públicos.
i) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de
información deben ser protegidos de la intercepción o daño.
a) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de
información deben ser protegidos de la intercepción o daño.
b) El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad.
c) Las puertas de acceso a las salas de cómputo deben ser transparentes, para favorecer el control del uso de
93
los recursos de cómputo.
d) Las instalaciones deberán estar libres de contactos e instalaciones eléctricas en mal estado.
e) Se deberá contar con al menos un extinguidor de incendios adecuado y cercano a cada área de trabajo.
f) Se deberá contar un plan de continuidad del negocio.
g) Se deberá contar con un plan de recuperación ante desastres.
h) Se deberá contar con un técnico para realizar el control diario de temperatura y aires acondicionados,
para llevar un control de los mismos.
i) Los sistemas de tierra física, sistemas de protección e instalaciones eléctricas deberán recibir
mantenimiento anual con el fin de determinar la efectividad del sistema.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política de Seguridad Equipos de Cómputo
SGSI-P-TI-01
Políticas de Seguridad Equipo de Computo
ISO 27001:2013 Versión: 1.0
Controles:
A.9.2
A.9.2.1- A.2.7
Vigente: Hasta 01/09/2018
Objetivos:
Evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la
organización
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
94
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción:
a) El equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales,
y las oportunidades para el acceso no autorizado.
b) El equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en los
servicios públicos.
c) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de
información deben ser protegidos de la intercepción o daño.
d) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de
información deben ser protegidos de la intercepción o daño.
e) El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad.
f) Se debe aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar
fuera del local de la organización.
g) Todos los ítems de equipo que contengan medios de almacenaje deben ser chequeados para asegurar que
se haya removido o sobre-escrito de manera segura cualquier data confidencial y software con licencia
antes de su eliminación.
h) Equipos, información o software no deben ser sacados fuera de la propiedad sin previa autorización.
i) Los equipos se instalarán en lugares adecuados, lejos del polvo y tráfico de personas.
j) Las diferentes áreas de trabajo, deberán contar con un plano actualizado de las instalaciones eléctricas y
de comunicaciones del equipo de cómputo en red.
k) Las instalaciones eléctricas y de telecomunicaciones, estarán preferiblemente fijas o en su defecto
resguardadas del paso de personas o materiales, y libres de cualquier interferencia eléctrica o magnética.
l) Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando de esta manera
las especificaciones del cableado y de los circuitos de protección necesarios para su funcionamiento.
m) En ningún caso se permitirán instalaciones improvisadas, sin ningún aval del jefe o encargado del área.
95
n) La supervisión y control de las instalaciones se llevará a cabo en los plazos que establezca el jefe
superior de cada área.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política de Control de Acceso al Centro de DatosSGSI-P-TI-01
Política de Control de Acceso al Centro de Datos
ISO 27001:2013 Versión: 1.0
Controles:
A.7.1
A.9.2
A.9.1.1-A.9.1.4
Vigente: Hasta 01/09/2018
Objetivos:
Evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la
organización
Establecer las normas para el control de acceso de personal al centro de datos.
Informar a los usuarios de la presente política, y las posibles modificaciones que se pudieran dar.
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
96
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción:
a) Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se
permita acceso al personal autorizado.
b) No se permite el ingreso al centro de datos, al personal que no esté expresamente autorizado. Se
debe llevar un control de ingreso y salida del personal que visita el centro de datos. En el centro de datos
debe disponerse de una planilla para el registro, la cual debe ser diligenciada en lapicero de
tinta al iniciar y finalizar la actividad a realizar.
c) Todos los sistemas de comunicaciones estarán debidamente protegidos con infraestructura apropiada de
manera que el usuario no tenga acceso físico directo al centro de datos.
d) Para garantizar el acceso al centro de datos al personal necesario para la operación de los equipos
instalados en la sala de equipos se utilizará un listado de personal técnico y/o administrativo que tendrá
acceso permanente al edificio en horarios de lunes a viernes de 8:00 a.m. a 5:00 p.m. y acceso 24 x 7 x
365.
e) El personal que cuente con permiso para el ingreso a las áreas sensibles del centro de datos, deberá tener
registrada una huella para poder tener acceso al cuarto que sea necesario, mediante el sistema de lectura
de huellas.
f) Las visitas deberán portar una identificación con un código de clasificación de acuerdo al área de visita,
que les será asignado por el área de seguridad.
g) Las visitas internas o externas podrán acceder a las áreas restringidas siempre y cuando se encuentren
acompañadas cuando menos por una persona responsable del área, con permiso de la autoridad
correspondiente.
h) Se deberán establecer horarios de acceso a instalaciones físicas, especificando los procedimientos y en
qué casos se deberán hacer excepciones.
i) Se deberá definir el personal autorizado para mover, cambiar o extraer equipo de las diferentes áreas del
97
centro de datos
j) Las puertas del centro de datos deben permanecer cerradas. Si por alguna circunstancia se requiere
ingresar y salir del centro de datos, el funcionario responsable de la actividad se ubicará dentro del
centro de datos.
k) Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallas
que se puedan presentar.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política de Seguridad de ServidoresSGSI-P-TI-01
Política de Seguridad de Servidores
ISO 27001:2013 Versión: 1.0
Controles:
A.9.1.2
A.9.2.1
Vigente: Hasta 01/09/2018
Objetivos:
Mantener los equipos en correcto estado, para su buen funcionamiento; informar a los usuarios de la
presente política, y las posibles modificaciones que se pudieran dar.
Establecer las normas para el control de acceso de personal al centro de datos.
Informar a los usuarios de la presente política, y las posibles modificaciones que se pudieran dar.
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
98
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
Las normas que se establezcan en la presente política serán de aplicación a todos los encargados de
trabajar directamente con los servidores del centro de datos.
La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción:
a) El centro de control tiene la responsabilidad de verificar la instalación, configuración e implementación
de seguridad en los servidores conectados a la red.
b) La instalación y/o configuración de todo servidor conectado a la red deberá ser notificado a las diferentes
áreas que intervienen para el buen funcionamiento de los servidores en el centro de datos.
c) Durante la configuración del servidor el área de informática y telecomunicaciones deberá normar el uso
del sistema y la red, principalmente la restricción de directorios, permisos y programas a ser ejecutados.
d) Los servidores de servicios a través de la red deberán funcionar las 24 horas del día los 365 días del año.
e) Los servidores deberán recibir mantenimiento preventivo semanal o quincenalmente según lo amerite y
dispongan los encargados del mismo.
f) Los servidores deberán recibir mantenimiento que incluya la revisión de su configuración
semestralmente.
g) La información de los servidores deberá ser respaldada de acuerdo con los siguientes lineamientos:
h) Diariamente, información crítica.
i) Semanalmente, los correos, documentos que se manejen.
j) Quincenalmente, la configuración del servidor y bitácoras.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
99
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Política de Redes y TelecomunicacionesSGSI-P-TI-01
Políticas de Redes y Telecomunicaciones
ISO 27001:2013 Versión: 1.0
Controles:
A.10.6
A.10.6.1
A.11.4
A.11.4.1-A.11.4.2
A.9.2.3
Vigente: Hasta 01/09/2018
Objetivos:
Evitar el acceso no-autorizado a los servicios en red.
Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.
Las normas que se establezcan en la presente política serán de aplicación a todos los usuarios de la red y
telecomunicaciones.
Establecer las normas para el control de acceso de personal al centro de datos; informar a los usuarios de
100
la presente política, y las posibles modificaciones que se pudieran dar.
Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
Las normas que se establezcan en la presente política serán de aplicación a todos los usuarios de la red y
telecomunicaciones.
La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción:
a) Los usuarios sólo deben tener acceso a los servicios para los cuales han sido específicamente autorizados
a usar.
b) Las redes deben ser adecuadamente manejadas y controladas para poderlas proteger de amenazas, y para
mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la información en
tránsito.
c) Se debe utilizar métodos de autenticación para controlar el acceso de usuarios remotos.
d) El área de telecomunicaciones no es responsable por el contenido de datos, ni por el tráfico que en ella
circule, la responsabilidad es directamente sobre el usuario que manipule, genere o solicite la
información.
e) Nadie puede ver, copiar, alterar o destruir la información que reside en los equipos sin el pleno
consentimiento del responsable del equipo.
f) No se permite el uso de los servicios de la red cuando no cumplan con las labores propias de la empresa.
g) Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de la empresa y se usarán
exclusivamente para actividades relacionadas con la labor asignada.
h) Todas las cuentas de acceso a los sistemas y recursos de red y telecomunicaciones son personales e
intransferibles. Se permite su uso únicamente durante la vigencia de derechos del usuario.
i) No se permitirá el uso de analizadores para monitorear las redes de la empresa, esta función es
únicamente y exclusivamente de los encargados del área de redes y telecomunicaciones.
j) Si se detecta el mal o no aceptable uso de los recursos informáticos, se cancelará la cuenta o se
desconectará temporal o permanentemente al usuario o red involucrada. La reconexión se hará en cuanto
101
se considere que el uso no aceptable se ha suspendido.
k) Si no se cuenta con acceso a internet y la labor del usuario lo amerita necesario deberá llenar el
formulario Acceso a Internet, para que se le pueda habilitar el servicio.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
POLÍTICAS DE HOSTING
102
Recurso de los ServidoresPSH-P-TI-01
Recurso de los ServidoresVersión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) Todos los servicios de hosting compartidos tienen limitantes de los recursos que pueden utilizar de sus
servidores. Pasar estas limitantes implica la suspensión de los servicios para preservar el buen
funcionamiento de los servidores compartidos y no afectar a otros clientes de la misma máquina. En caso
que un servicio presente 2 o más suspensiones por este motivo en el período de 1 año será terminado y
eliminado de nuestros servidores sin posibilidad alguna de exigir por parte del cliente rembolso de cualquier
dinero pagado.
103
2) El detalle de las limitantes de recursos de los servidores es el siguiente:
a) Ejecutar procesos que utilicen más del 80% de la CPU por más de 3 minutos.
b) Procesos que requieran sobre 48 MB de memoria, o gran número de peticiones que ralenticen el
funcionamiento del servidor.
c) Utilizar más del 10% de todos los recursos del sistema disponibles en cualquier momento por más de 30
minutos.
d) Saturación del servidor por parte de aplicaciones de CMS tipo Foros, Moodle, entre otras que atente
contra el rendimiento de la máquina y por ende que perjudiquen el correcto funcionamiento de los
otros clientes que utilicen el mismo servidor.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Servicios ProhibidosPSH-P-TI-01
SP-01-2016
Servicios Prohibidos
Versión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) Todos nuestros planes en cualquiera de sus modalidades prohíben el uso de nuestros recursos para los
siguientes servicios:
a) La utilización de los servidores de SperSys para distribución de software y descargas masivas.
b) No se permite la instalación de ningún tipo de Chat.
c) La utilización de los servidores de SperSys para trasmisión o descarga de video y/o música en cualquier
tipo de formato.
104
d) La utilización de los servidores de SperSys para prestar servicios de juegos en línea de cualquier tipo.
e) Envío de mail masivo de cualquier índole y tipo. Utilizar más del 10% de todos los recursos del sistema
disponibles en cualquier momento por más de 30 minutos.
f) Saturación del servidor por parte de aplicaciones de CMS tipo Foros, Moodle, entre otras que atente
contra el rendimiento de la máquina y por ende que perjudiquen el correcto funcionamiento de los
otros clientes que utilicen el mismo servidor.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Utilización del Correo ElectrónicoPSH-P-TI-01
Utilización del Correo Electrónico
Versión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) El envío de mail masivo queda absolutamente prohibido y no se permitirá bajo ninguna circunstancia. Aun
cuando sea a base de datos de clientes o se cuente con autorización de los mismos.
2) La detección por parte de nuestra empresa de un cliente enviando mail masivo es una causal de suspensión
inmediata de los servicios.
3) La utilización de servicios de otros proveedores para efectuar campañas publicitarias abusivas haciendo
referencia en dichas campañas a servicios alojados en SperSys también implica suspensión del servicio.
4) Si se sorprende por segunda vez a un cliente teniendo enviando mail masivo sea este intencional o no, de
105
publicidad o de cualquier índole el servicio queda terminado en forma inmediata sin posibilidad de
devolución alguna de remanente del dinero pagado.
5) La cantidad máxima permitida para el envío de mail por parte de los servicios compartidos por hora por
dominio es de 300 mail. En caso que se supere esta cantidad los sitios se verán imposibilitados de seguir
mandando mail hasta que pase el período de 1 hora. Si requiere envío de mayor cantidad de mail por hora los
servidores permiten el envío de hasta 1,000 correos por hora y los servidores dedicados hasta 5,000 correos
por hora.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Seguridad, Límites y Versiones
PSH-P-TI-01
Seguridad, Limites y Versiones
Versión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) Se realiza actualización automáticamente a las versiones para las base de datos a versiones estables sugeridas
a través del Cpanel en todos nuestros servidores compartidos. Por la naturaleza de estos procesos no
necesariamente serán avisados a nuestros clientes. Son estos los que tienen que revisar sus sitios web para
que no presenten incompatibilidades con las versiones estables de cada servidor. No obstante, tomamos los
recaudos necesarios, deshabilitando funciones que puedan afectar mediante su utilización la estabilidad del
servicio. No permitimos la ejecución de scripts que saturen los recursos disponibles. Quienes deseen
disponer de todos los recursos, deberán optar por un servicio que no sea compartido. Así mismo, por razones
106
de seguridad, y por antigüedad de las mismas el registro de globales ya no se encuentra activo, las variables
deben ser declaradas implícitamente.
2) El envío de correo por medio de la función mail () deberá contar con un valor verdadero, el remitente debe
ser webmaster@ el dominio de referencia. El alias deberá ser configurado desde el panel de control.
3) Cada usuario verá limitada su operación a los paths accesibles vía ftp.
4) Todos los planes de hosting compartidos tienen parámetros limitantes para proteger la caída de los servidores
por sobreconsumo. Estos parámetros son:
a) Límite de memoria máxima asignada para scripts = 40 MB.
b) Peso máximo de archivos para subir por scripts = 20 MB.
c) Tiempo máximo de ejecución de un scripts = 30 segundos.
d) Cantidad máxima de correo enviados por dominio = 300 por hora.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
107
Contenido del sitio web y Backups de informaciónPSH-P-TI-01
Contenido del sitio web y Backups de información
Versión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) SperSys no tendrá responsabilidad alguna por el contenido y la información que el Cliente aloje en nuestros
servidores, no obstante lo anterior, SperSys, podrá poner término al presente servicio y en cualquier
momento, si a su juicio, la información alojada por el Cliente en nuestros servidores atenta contra la ley
vigente, la moral y las buenas costumbres, o afecta a terceras personas, incluyendo el envío de correos
masivos no solicitados (SPAM).
2) SperSys no está obligado a guardar o almacenar ningún tipo de información de ninguna cuenta que no esté al
día en sus pagos. Todo contenido podrá ser eliminado de nuestros servidores desde el día siguiente del
término del período contratado. Es responsabilidad del cliente respaldar sus datos antes del término de
cualquier contrato. SperSys no entregará ningún tipo de información o contenido a clientes con cuentas
terminadas.
108
3) En el evento que se detecte Phishing, esto es, aquel delito cibernético que se comete mediante el uso de un
tipo de ingeniería social para intentar adquirir información confidencial de forma fraudulenta como puede
ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria, SperSys
suspenderá el servicio por un periodo no menor a 24 horas. Ahora, si esto se repite durante 02 veces en un
periodo igual a 01 año, se eliminará automáticamente el dominio de los servidores quedando SperSys
liberada de cualquier responsabilidad.
4) El cliente mantiene información alojada en los servidores de la empresa SperSys. En el evento que dicha
información sea hackeada o manipulada por terceros, SperSys se compromete a restaurar dicha información
hasta 3 veces en el período de un año desde los backup que pudiera tener disponibles. El exceso de
restauraciones en el período tendrá un costo adicional de Q10, 000 cada una.
5) Sin perjuicio de lo anterior, SperSys no se hace responsable bajo ninguna circunstancia del contenido ni de
la calidad de la información restaurada, ya que si la información original presenta problemas, los respaldos
resultantes también tendrán los mismos problemas.
6) Es obligación del Cliente es tomar todas las medidas necesarias para resguardar adecuadamente su
información.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
109
Programación e Instalación de CMSPSH-P-TI-01
Programación e Instalación de CMS
Versión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) Si el cliente va a instalar un CMS WordPress tiene que tener en cuenta estos puntos ya que estas plataformas
en caso de no mantenerse actualizadas permiten el ingreso de hackers en forma muy fácil.
2) El usuario se asegurará de mantener actualizados todos sus scripts instalados en su cuenta de hosting con la
versión más reciente del mismo, para evitar vulnerabilidades y/o intrusiones en el servidor.
3) El usuario se asegurará de no dejar carpetas, directorios y/o archivos con permisos públicos de acceso total
en su cuenta de hosting, asignar permisos lectura, escritura y ejecución cualquier carpeta, directorio y/o
archivo permitirá la intromisión en el servidor de posibles atacantes con fines de interrupción de servicios
y/o destrucción de contenidos.
4) SperSys no da soporte de ningún tipo para este tipo de plataformas y en caso que presenten riesgo debido a
la falta de actualización podrá suspender carpetas, servicios o el sitio completo para evitar posibles ataques
a los servidores compartidos.
Términos y Condiciones:
110
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Pago y NotificaciónPSH-P-TI-01
Pago y Notificación
Versión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) El Cliente pagará a SperSys por los servicios prestados de acuerdo a la forma y valor aceptados al momento
de completar el formulario web.
2) En la eventualidad de que el Cliente no pague oportunamente los valores por los servicios, SperSys estará
facultada para suspender los servicios objeto de este contrato y a dar por terminado el mismo.
3) SperSys no efectúa ningún tipo de rembolso aunque el cliente decida dar por terminado el contrato antes de
la fecha de vencimiento del mismo, excepto en los primeros 30 días de contrato del servicio.
4) El Cliente deberá notificar cualquier pago que haga mediante el formulario de notificación creado en nuestro
sitio web para tal efecto
5) Esta es la única vía válida por la cual SperSys dará por enterado del pago de alguno de sus servicios. El
hecho de enviar mail por parte de alguna institución bancaria a alguna de nuestras direcciones no será
considerado como notificación válida.
111
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Suspensión y Término de ServicioPSH-P-TI-01
Suspensión y Término de Servicio
Versión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) Cualquiera de las siguientes conductas o ejecución de los siguientes procesos queda prohibido y son causales
de suspensión inmediata de los servicios:
a) Envío de mail masivo o Spam, ya sea en forma intencional o por infección de virus de algún terminal
del cliente.
b) Detección de Phishing ya sea intencional o por omisión de las medidas de seguridad de su programación
del cliente en su sitio web.
c) Ejecutar procesos que utilicen más del 80% de la cpu por más de 3 minutos.
d) Procesos que requieran sobre 48 MB de memoria, o gran número de peticiones que ralenticen el
funcionamiento del servidor.
e) Utilizar más del 10% de todos los recursos del sistema disponibles en cualquier momento por más de 30
minutos.
112
f) Saturación del servidor por parte de aplicaciones de CMS tipo Foros, Moodle, entre otras que atente
contra el rendimiento de la máquina y por ende que perjudiquen el correcto funcionamiento de los otros
clientes que utilicen el mismo servidor.
2) Son causales de terminación anticipada del contrato:
a) El no pago íntegro y oportuno del precio pactado por los servicios.
3) Cualquiera de las siguientes conductas o ejecución de los siguientes procesos queda prohibido y son causales
de término de los servicios:
a) Enviar mail masivo o Spam más de 2 veces en el período de un año.
b) Detección de Phishing en el sitio web del cliente más de una vez en el período de un año.
c) Comportamiento abusivo contra el personal: No se tolerará ningún comportamiento abusivo, lengua
abusiva o amenazas contra ningún miembro del personal de SperSys.
d) El incumplimiento de cualquiera de las demás obligaciones establecidas en el presente documento.
e) La notificación del término anticipado del contrato por alguna de las causales descritas en esta cláusula,
faculta el ejercicio de las acciones legales para indemnizar los perjuicios que originen los
incumplimientos, cualquiera que sea su naturaleza.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
113
Obligaciones de SperSys Hosting
PSH-P-TI-01
Obligaciones de SperSys Hosting
Versión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) SperSys deberá dar cumplimiento a las siguientes obligaciones:
a) Prestar a el Cliente los servicios contratados, esto es, servicio de correo electrónico y sitio web en forma
íntegra y oportuna.
b) La información confidencial de la cual tome conocimiento Hostingcenter.cl, como resultado de la
prestación de los servicios que da cuenta el contrato, es de propiedad exclusiva del Cliente. En
consecuencia, SperSys no podrá divulgar a terceros dicha información, salvo expresa autorización
escrita del Cliente.
c) Esta obligación será extensiva para todos los dependientes de SperSys.
2) Las restricciones de uso y revelación de la información y por tanto la obligación de confidencialidad de la
misma no serán aplicables a aquella parte de la Información Confidencial que:
114
a) A la fecha de la revelación, la información ya era de dominio público.
b) Si SperSys o sus representantes fueren válidamente requeridos o notificados por un tribunal de justicia o
por una autoridad gubernamental o administrativa, para revelar la existencia y/o contenido de la
información confidencial. En el evento que esto ocurra.
3) SperSys deberá informar por escrito a l Cliente, a más tardar dentro del quinto día del requerimiento.
4) SperSys garantiza un tiempo de uptime, esto es, el funcionamiento cada uno de los servicios (correo
electrónico y sitio web) de un Disponibilidad: 99,982%, 1,6 horas de interrupción al año, redundancia N+1
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
115
Responsabilidades del ClientePSH-P-TI-01
Responsabilidades del Cliente
Versión: 1.0
Controles:
PSH-2016
Vigente: Hasta 01/09/2018
Objetivos:
Dar un servicio optimo
Alcances:
Clientes que arrendan espacio (hosting)
Descripción:
1) Es responsabilidad del Cliente la definición y establecimiento de los niveles de protección y resguardo de los
datos mediante el uso de claves o contraseñas, establecimiento de perfiles de seguridad de acceso, los cuales
están imbuidos en sus aplicaciones, a las cuales el personal de Hostingcenter.cl no tiene acceso.
2) Es responsabilidad del cliente asegurar que toda su programación sea compatible con las versiones estables
que se van actualizando periódicamente en los servidores. Para esto puede ver desde su Panel de Control las
versiones de Cpanel, Mysql, MSSQL, que presenta su servidor permanentemente.
3) Los equipos computacionales son herramientas para el procesamiento de datos que por su naturaleza están
sujetos a eventuales fallas, ya sea por funcionamiento propio o en sus programas. Por esta razón el Cliente
deberá tomar las medidas preventivas usuales en la actividad computacional, así como contar con la holgura
necesaria para la ejecución de sus procesos y respaldos de la información. El Cliente será directa y
exclusivamente responsable de la eficiencia del personal que opera su infraestructura tecnológica.
4) El usuario se asegurará de no dejar carpetas, directorios y/o archivos con permisos de acceso total en su
cuenta de hosting, asignar todos los permisos a cualquier carpeta, directorio y/o archivo permitirá la
116
intromisión en el servidor de posibles atacantes con fines de interrupción de servicios y/o destrucción de
contenidos.
5) El usuario se asegurará de mantener actualizados todos sus scripts instalados en su cuenta de hosting con la
versión más reciente del mismo, para evitar vulnerabilidades y/o intrusiones en el servidor (Hackeo).
6) El cliente se asegurará de revisar el contenido de su sitio web manteniéndolo seguro y libre de cualquier tipo
de código malicioso.
Términos y Condiciones:
El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo
las formalidades impuestas.
Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.
Referencias Para las políticas de seguridad se tiene como base la ISO 27001:2013
117
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)
118
Introducción:
Se reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un incidente
o desastre que afecte la operación, como también la necesidad de recuperarse en el menor tiempo
posible, garantizando la continuidad del Data Center.
Guatemala es un país susceptible a desastres naturales y desastres ocasionados por el ser humano y
su reducción debe ser parte importante de la toma de decisiones antes de realizar un proyecto. El
presente plan de Continuidad del Negocio se divide en diferentes partes siendo la primera, la
identificación de amenazas que conlleva la seguridad de la información, desde la infraestructura del
lugar en donde se implementará hasta los dispositivos que se utilizarán para lograr alta
disponibilidad en el sistema para evitar que en un momento los usuarios no puedan tener acceso a la
información. El segundo paso consiste en analizar las amenazas y establecer su impacto para la
organización.
El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad de
los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte del
Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la prevención y
atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno
a la operación normal.
119
Objetivos del Plan de ContinuaciónObjetivo General
Incorporar el Plan de Continuidad del Negocio y el Plan de Recuperación ante Desastres en
los procesos y fases de la implementación del Data Center, los cuales deben de asegurar las
tres áreas fundamentales que son: Confidencialidad, Integridad y Disponibilidad.
Objetivos Específicos Vincular el Análisis y Gestión de Riesgos en las etapas de la implementación del Data
Center en la empresa.
Orientar a las personas para tomar en cuenta el plan de Continuidad del negocio y la
aplicación del plan de Recuperación ante Desastres para garantizar la eficiencia y eficacia
del Data Center.
Tener el Plan de Recuperación ante Desastres para las posibles amenazas hacia los activos
de la empresa.
Contar con una matriz de riegos para categorizar las amenazas según su impacto para la
empresa.
AlcanceEl Plan de Continuidad de Negocios es una disciplina que prepara a la organización para poder
continuar operando durante un incidente o desastre, a través de la implementación de un plan de
continuidad, el cual contempla los lineamientos de administración de la continuidad de la empresa,
el desarrollo de fases que componen el plan de continuidad y las metodologías definidas para su
recuperación, como también el desarrollo de los planes de Recuperación ante Desastres, que se
realizan de acuerdo con las prioridades establecidas por la SperSys.
De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades con las
que cuenta la empresa SperSys para enfrentar situaciones que amenacen o afecten la integridad
física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los
mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de
crisis y los demás sistemas de gestión.
Conceptos Básicos
Plan de Continuidad de Negocios: Es un sistema administrativo integrado, transversal a toda la
organización, que permite mantener alineados y vigentes todas las iniciativas, estrategias, planes de
respuesta y demás componentes y actores de la continuidad del negocio. Busca mantener la
viabilidad antes, durante y después de una interrupción de cualquier tipo. Abarca las personas,
procesos de negocios, tecnología e infraestructura.
120
Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el
cual puede causar interrupción o reducción en la calidad del servicio y en la productividad.
Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o más
de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un
incidente o un desastre.
Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e
interrupciones específicas de un sistema o proceso.
Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los
servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una
afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del
negocio.
Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y
en el futuro, igual que los recursos necesarios para su uso.
Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como
una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.
Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada
por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la
Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre
otros.
Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias
vulnerabilidades con impactos adversos resultantes para la Entidad.
Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los
factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la
naturaleza de la vulnerabilidad.
Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo
se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y
competitividad, interrupción de las operaciones, consecuencias legales y afectación física a
personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad:
Confiabilidad, disponibilidad y recuperabilidad.
121
Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para
minimizar el riesgo o potenciar oportunidades positivas.
Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin
controles.
Riesgo residual: Riesgo remanente tras la aplicación de controles.
Causas de InterrupciónLos planes de Continuidad del Negocio y los Planes de Recuperación ante Desastres se definen de
acuerdo con las causas de las posibles interrupciones y a partir de ellas se referencian las acciones a
seguir en caso que las mismas se presenten. Estas se pueden unificar en los siguientes escenarios:
Ausencia de Personal: Se presenta cuando el Encargado del área o el Encargado que
ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades propias de su
cargo.
No acceso al sitio normal de trabajo: Da lugar cuando por algún evento como desastre
natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre
otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades
propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso
crítico se debe contar con un sitio alterno de trabajo, el cual puede ser:
Suministrado por la empresa, Ejemplo: Otra sede.
Suministrado por un proveedor, contratista o aliado estratégico.
Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta
falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por:
datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano.
No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del
proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no
realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el
proveedor se especifique la existencia de un Plan de Continuidad del Negocio
documentado, adicional, sea probado en conjunto con los colaboradores de la Entidad y
aprobado por SperSys.
Gobierno de ContinuidadLineamientosEl objetivo del Plan de continuidad del negocio es planificar las acciones necesarias para responder
de forma adecuada ante un incidente de trabajo, desde el momento en que se declare la contingencia
hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su impacto sobre el negocio.
122
Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose en
las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:
El plan de continuidad de negocio está orientado a la protección de las personas, así como
al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a
eventos de interrupción o desastre.
Todo el personal de SperSys debe estar entrenado y capacitado en los procedimientos
definidos y conocer claramente los roles y responsabilidades que le competen en el marco
de la continuidad del negocio, mediante labores periódicas de formación, divulgación y
prueba de los Planes de Recuperación ante Desastres de la empresa.
En caso de presentarse un incidente significativo se deben aplicar los mecanismos de
comunicación apropiados, tanto internos como externos.
Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es
responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios
para el área que representa.
Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la
siguiente frecuencia:
El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez
que un líder de Proceso lo requiera, teniendo en cuenta los cambios de la empresa y
sus necesidades específicas.
El monitoreo a los riesgos de continuidad se efectuará de manera semestral.
Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas.
Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como
resultado del análisis de riesgos se determine el ajuste o implementación de
estrategias de contingencia.
Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos
en los Planes de Continuidad del Negocio y la normativa que proporciona el TIER3.
Los planes de Recuperación ante Desastres deben mantenerse actualizados, para lo cual se
deben desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios
significativos en políticas, personas, proceso, tecnología; siendo necesario que en dicha
revisión participen las áreas involucradas.
Estructura de la Gestión de Continuidad del NegocioPara asegurar una adecuada administración de la continuidad del negocio se estableció una estructura, que incluye la definición de los roles y responsabilidades. Esa administración está conformada por:
123
I. Director de Continuidad
El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de
continuidad del negocio. Es responsable de declarar el plan de Recuperación ante Desastres en los
escenarios de interrupción de lugar de trabajo, o en situaciones donde amerite realizar su activación
inmediata.
Responsabilidades
Tiene la responsabilidad de actualizar, mantener y probar el plan de continuidad del
Negocio.
Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de
recuperación y contingencia de la empresa.
Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la
empresa y que ponen al descubierto debilidades del plan de continuidad.
Monitorear los reportes sobre el estado de recuperación o evaluación durante una
contingencia.
Velar por la seguridad del personal que actúa en el área del evento.
Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario
de interrupción de lugar teniendo en cuenta el resultado de la evaluación
Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la
contingencia.
II. Director Alterno de Continuidad
Responsabilidades:
Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste
no se encuentre disponible.
Es responsable de declarar el Plan de Recuperación ante Desastre, ante un incidente
tecnológico de algún aplicativo (contingencia específica).
Realizar las actividades que le sean asignadas por el Director de Continuidad.
III. Líder Administrativo
El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la empresa se
encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las instalaciones
el suministro de elementos esenciales para asegurar el desarrollo de la operación.
124
Responsabilidades
Coordinar el suministro de elementos esenciales como transporte, recursos de
infraestructura y papelería.
Gestionar la consecución y adecuación de los centros alternos de operaciones según el plan
de Recuperación ante Desastres.
IV. Director de Recuperación Tecnológica
Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de
continuidad implementadas.
Responsabilidades:
Liderar la recuperación tecnológica, basados en las estrategias de continuidad
implementadas.
Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la
operación normal de la Empresa y que ponen al descubierto debilidades del plan de
continuidad del negocio.
Mantener comunicación constante entre Coordinadores de Recuperación del Negocio
durante el estado de contingencia.
Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten
situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y
responsabilidades, disponibilidad de los recursos, entre otros.
Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en las mismas.
Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
V. Coordinadores de Recuperación
Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de procesos
de negocio críticos, basados en las estrategias de contingencia.
Responsabilidades:
Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las
interrupciones que están afectando la prestación del servicio.
125
Ejecutar los planes de contingencia ante el incidente presentado.
Identificar los posibles riesgos que afectan la continuidad de la operación normal de la
Entidad y que ponen al descubierto debilidades del plan de continuidad.
Mantener comunicación constante durante el estado de contingencia.
Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en la misma.
Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
VI. Responsable de tareas de apoyo, control y cumplimiento
Responsabilidades:
Realizar las actividades que le sean asignadas durante la declaración de contingencia.
Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la
funcionalidad del plan.
Políticas de Continuidad del Negocio
Las directivas de SperSys son las responsables de dar inicio al plan de continuidad del negocio
(BCP). El Plan de Continuidad del Negocio (BCP-Business Continuity Plan), es esencial para
poder continuar las actividades críticas del negocio de SperSys, en el evento de una falla
inesperada, que pudiera seriamente interrumpir los procesos y actividades importantes de la
operación de la compañía.
Es importante considerar lo siguiente:
1. Se debe establecer la necesidad del Plan de continuidad del negocio (BCP)
2. Se debe obtener el compromiso de las directivas de SperSys y presentarles un reporte
inicial que informe como el BCP cumplirá sus objetivos.
Prueba Del Plan De Continuidad Del Negocio
El Plan de Continuidad del Negocio necesita ser probado periódicamente, con el fin de garantizar
que la compañía entienda claramente como debe ser ejecutado.
126
El hecho de probar el Plan de Continuidad del negocio en la organización, evalúa su viabilidad, y
garantiza que los empleados estén familiarizados. Si la prueba del Plan de Continuidad del Negocio
no reproduce las condiciones reales, el valor de tales pruebas es limitado y deficiente.
Las fallas en el análisis del plan de pruebas del BCP, ocasionarán una disminución de la validez de
la prueba. Los diferentes tipos de prueba incluyen:
Pruebas sobre la mesa de los diferentes escenarios (Por medio del uso de listas de
verificación y análisis paso a paso) del BCP.
Simulaciones del Plan de Continuidad
Pruebas de recuperación técnicas del BCP.
Pruebas de recuperación en sitio alterno del BCP.
Prueba de servicios externos (Energía, comunicación, etc.) del BCP.
Prueba completa, con el fin de evaluar personal, equipos, recursos físicos, para entender su
capacidad de soportar interrupciones. Esta prueba implica detener las operaciones de
SperSys y no es recomendable ya que puede originar un desastre real.
Una vez aprobado y desarrollado, el plan de continuidad de negocio (BCP) debe ser
probado con el fin de mostrar su eficacia, y nivel de actualidad. El periodo de pruebas sobre
la mesa de los diferentes escenarios, no debe ser mayor a 6 meses.
Con el plan y sus procedimientos.
Mantenimiento Y Actualización Del Plan De Continuidad De Negocio
El Plan de Continuidad del Negocio (BCP) debe estar actualizado y revisado periódicamente. El
mantenimiento y actualización del Plan de Continuidad del Negocio (BCP) es muy importante si se
requiere una operación exitosa en un momento dado.
Se requiere probar las implicaciones por cambios en el BCP, de lo contrario su ejecución puede
resultar en una serie de fallas y debilidades.
Si el Plan de Continuidad del Negocio no es actualizado periódicamente, su éxito puede ser
cuestionable.
Los cambios incluyen:
127
Adquisiciones de nuevos equipos
Actualizaciones en los sistemas operacionales
Personal
Direcciones o números telefónicos
Estrategias de negocio
Ubicaciones físicas
Leyes
Contratistas, proveedores de servicio y clientes muy importantes
Procesos nuevos o eliminados
Riesgo (Operacional y financiero)
Aspectos específicos sobre la política de Continuidad del Negocio.
Inicio Del Plan De Continuidad Del Negocio (BCP) (Bs 7799-2 Control A 11.1) Las directivas de SperSys son las responsables de dar inicio al plan de continuidad del negocio
(BCP).
El Plan de Continuidad del Negocio (BCP-Business Continuity Plan), es esencial para poder
continuar las actividades críticas del negocio de SperSys, en el evento de una falla inesperada, que
pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la
compañía.
El proyecto del Plan de Continuidad del negocio (BCP) necesita ser iniciado y formalmente
aprobado, por las directivas de SperSys
Es importante considerar lo siguiente:
Se debe establecer la necesidad del Plan de continuidad del negocio (BCP)
Se debe obtener el compromiso de las directivas de SperSys y presentarles un reporte
inicial que informe como el BCP cumplirá sus objetivos.
Para que el plan de continuidad del negocio (BCP) sea eficaz, hemos organizado el plan en
torno a un concepto de Equipo Directivo de Emergencia (EDE) que está formado por
miembros altamente cualificados del equipo directivo procedentes de áreas vitales dentro
128
de la organización. Los componentes del equipo tienen cometidos y responsabilidades
concretas cuando se produce un desastre en cualquier instalación de SperSys y se pone en
práctica el Plan de Recuperación de Desastres. El EDE está formado por personas
procedentes de las áreas siguientes:
Recursos Humanos, Administración y Financiera y Tecnología.
Los integrantes de la Gestión del Proyecto y de la Gestión del Nivel
Desarrollo Y Administración Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.1) Las directivas de la organización deben desarrollar un Plan de Continuidad del Negocio (BCP) que
cubra los aspectos críticos y esencia les de la actividad de la compañía.
El Plan de Continuidad del Negocio (BCP), es esencial para poder continuar con las actividades
críticas del negocio de SperSys, en el evento de una falla inesperada.
El Plan de Continuidad del negocio es un proyecto con características de detalle y complejidad,
independiente del entorno tecnológico y probablemente contendrá una serie de acciones críticas
enfocadas a lograr el retorno a la operación normal.
Recomendaciones adicionales al desarrollo y administración del plan de continuidad del negocio:
Entender plenamente los riesgos a que está enfrentado SperSys, incluyendo e identificando los
procesos críticos del negocio.
Entender el posible impacto que una interrupción a la operación normal pueda tener.
Considerar la adquisición y renovación de una póliza de seguros de protección de activos como
parte del plan de continuidad de negocio (BCP)
Formular y documentar una estrategia de continuidad del negocio de acuerdo a los objetivos y
prioridades.
129
Formular y documentar una estrategia consistente con los objetivos y prioridades acordadas, y a
su vez, se debe documentar el plan de continuidad del negocio de acuerdo a la estrategia
anteriormente definida.
Evaluación De Riesgo Del Plan De Continuidad Del Negocio BCP (Bs 7799-2 Control A 11.1.2) Dentro del plan de continuidad de negocio (BCP) se debe realizar una evaluación formal de riesgo,
o análisis de impacto sobre el negocio (BIA-Business Impact Assessment), con el fin de determinar
los requerimientos del Plan de Continuidad del Negocio e identificar eventos que puedan causar
interrupciones a los procesos de negocio.
Es importante considerar que se deben evaluar y analizar todos los procesos de negocio y no
limitarse exclusivamente a los recursos e infraestructura asociado a los sistemas de información
Recomendaciones adicionales
El Plan de Continuidad del Negocio (BCP), es esencial para poder continuar con las actividades
críticas del negocio de SperSys, en el evento de una falla inesperada, que pudiera seriamente
interrumpir los procesos y actividades importantes de la operación de la compañía.
La evaluación de riesgo en el BCP analiza la naturaleza de la ocurrencia de eventos inesperados, su
impacto potencial y la probabilidad de que estos eventos lleguen a ser incidentes críticos para el
negocio.
Aspectos de la seguridad de la información a ser considerados cuando se implementan estas
políticas son:
Comprender que así el proyecto formal del Plan de continuidad del Negocio se haya iniciado, si
los recursos humanos o financieros son insuficientes, es muy probable que el plan no tenga
éxito.
Si se subestima el impacto a corto y mediano plazo de un incidente de seguridad se puede
tener un nivel no adecuado de respuesta que afecte la elaboración de un Plan de Continuidad
de Negocio.
Los pasos involucrados en el análisis de impacto hacia el negocio (BIA) comprenden:
o Técnicas de obtención de información
o Seleccionar las personas a entrevistar
130
o Adecuación de los cuestionarios a realizar
o Análisis de la información
o Determinar los tiempos críticos de las diferentes funciones del negocio
o Determinar los tiempos máximos tolerables de caída por proceso
o Priorizar la recuperación de las funciones criticas del negocio
o Documentar y preparar reportes de recomendaciones
Características Del Plan De Continuidad De Negocio (BCP) (Bs 7799-2 Control A 11.1.3-4) Con el fin de garantizar su consistencia a lo largo de las diferentes unidades de negocio, el plan de
continuidad de negocio debe considerar:
Condiciones para la activación del plan de continuidad.
Una estrategia de recuperación de desastres teniendo en cuenta aspectos como:
o Costos de las diferentes alternativas
o Costos de servicios alternos
o Prioridades y tiempos de recuperación
o Negocios, usuarios, servicios, aspectos técnicos e información.
Identificación de las responsabilidades y procedimientos de emergencia.
Implementación de procedimientos de emergencia para permitir la recuperación en un
tiempo limitado.
Procedimientos de contingencia y procedimientos de regreso a la operación normal.
Documentación de procedimientos y procesos acordados.
Educación apropiada sobre manejo de emergencias.
Cronograma de pruebas del plan de continuidad del negocio
Responsabilidades individuales de ejecución y propietarios de cada plan de continuidad.
Entrenamiento Y Concientización Del Plan De Continuidad Del Negocio (BCP). (Bs 7799-2 Control A 11.1.4) Todo el personal de SperSys debe conocer el Plan de Continuidad del Negocio (BCP) y su
respectiva función dentro de él, una vez se haya realizado su aprobación.
Recomendaciones Adicionales El Plan de Continuidad del Negocio es esencial para poder continuar con las actividades críticas del
negocio de SperSys, en el evento de una falla inesperada, que pudiera seriamente interrumpir los
procesos y actividades importantes de la operación de la compañía.
131
Para que el Plan de Continuidad del Negocio pueda ser ejecutado exitosamente, todo el personal
no sólo debe estar consciente de su existencia, sino conocer su contenido, junto con las
actividades y responsabilidades de cada parte.
Aspectos de la seguridad de la información a ser considerados cuando se implementan estas
políticas son:
Aun cuando el Plan de Continuidad de Negocio haya sido probado, aun puede fallar, si el personal
no está lo suficientemente familiarizado con sus contenidos.
Cuando en el Plan de Continuidad del negocio, las personas involucradas olvidan su percepción de
la cercanía del riesgo, se puede presentar cierta apatía, la cual disminuye su importancia, y la
necesidad de una participación activa en él.
Se deberá crear un plan de concientización sobre la importancia del BCP para SperSys, y el
compromiso de todos los empleados para garantizar su éxito.
Prueba Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.5) El Plan de Continuidad del Negocio necesita ser probado periódicamente, con el fin de garantizar
que la compañía entienda claramente como debe ser ejecutado.
El hecho de probar el Plan de Continuidad del negocio en la organización, evalúa su viabilidad, y
garantiza que los empleados estén familiarizados Si la prueba del Plan de Continuidad del Negocio
no reproduce las condiciones reales, el valor de tales pruebas es limitado y deficiente.
Las fallas en el análisis del plan de pruebas del BCP, ocasionarán una disminución de la validez de
la prueba. Los diferentes tipos de prueba incluyen:
Pruebas sobre la mesa de los diferentes escenarios (Por medio del uso de listas de verificación
y análisis paso a paso) del BCP.
Simulaciones del Plan de Continuidad
Pruebas de recuperación técnicas del BCP.
Pruebas de recuperación en sitio alterno del BCP.
Prueba de servicios externos (Energía, comunicación, etc.) del BCP.
Prueba completa, con el fin de evaluar personal, equipos, recursos físicos, para entender su
capacidad de soportar interrupciones. Esta prueba implica detener las operaciones de SperSys
y no es recomendable ya que puede originar un desastre real.
132
Una vez aprobado y desarrollado, el plan de continuidad de negocio (BCP) debe ser probado
con el fin de mostrar su eficacia, y nivel de actualidad. El periodo de pruebas sobre la mesa de
los diferentes escenarios, no debe ser mayor a 6 meses.
Con el plan y sus procedimientos.
Controles adicionales sobre las pruebas del BCP
Mantenimiento Y Actualización Del Plan De Continuidad De Negocio (BCP). (Bs 7799-2 Control A 11.1.5.2) El Plan de Continuidad del Negocio (BCP) debe estar actualizado y revisado periódicamente.
El mantenimiento y actualización del Plan de Continuidad del Negocio (BCP) es muy importante si
se requiere una operación exitosa en un momento dado.
Se requiere probar las implicaciones por cambios en el BCP, de lo contrario su ejecución puede
resultar en una serie de fallas y debilidades.
Si el Plan de Continuidad del Negocio no es actualizado periódicamente, su éxito puede ser
cuestionable.
Los cambios incluyen:
Adquisiciones de nuevos equipos
Actualizaciones en los sistemas operacionales
Personal
Direcciones o números telefónicos
Estrategias de negocio
Ubicaciones físicas
Leyes
Contratistas, proveedores de servicio y clientes muy importantes
Procesos nuevos o eliminados
Riesgo (Operacional y financiero)
Referencias
Las diferentes recomendaciones sobre la ejecución detallada de un Plan de Continuidad de
Negocio (BCP) se apoyan en el BCI (Business Continuity Institute) y el ISO 17799.
133
134
PLAN DE RECUPERACIÓN ANTE DESASTRES (DRP)
Plan de Implementación de Análisis y Gestión de Riesgo
La gestión de riesgos básicamente consiste en una metodología que brinda una serie de pasos que se
utilizarán para reducir las amenazas de destrucción, copia o robo de información. Las amenazas
también pueden ser la destrucción de la infraestructura de la organización, el mal funcionamiento de
los dispositivos que se utilizan para mantener alta disponibilidad en la red de la organización.
Identificando una metodología que sea adecuada para el plan de Recuperación ante Desastres,
debemos tener en cuenta los requisitos reglamentarios, legales y de seguridad.
Que establezca criterios de aceptación de riesgos.
Que tenga resultados comparables y reproducibles.
Realizada dicha extracción, se ha realiza una investigación de algunas metodologías existentes en el
mercado las cuales son:
ISO/IEC 27005
NIST 800-30
MARION
OCTAVE
135
MAGERIT
Realizado ya el estudio de cada una de las metodologías, se decidió adoptar la norma ISO/IEC
27005 en atención a que cumple con las siguientes características:
Flexibilidad.
Orientación a la norma ISO/IEC 27001:2005.
Maneja conceptos, procesos y terminologías de la norma ISO/IEC 27001:2005.
Está basada en el modelo PHVA (Planear, Hacer, Verificar y Actuar).
La gestión de los riesgos es el proceso por el cual se controlan, minimizan o eliminan los riesgos
que afectan a los activos de la organización. En este caso, luego de haber determinado los riesgos
existentes en la organización, así como las medidas adecuadas para hacer frente a los mismos, se
dispondrá de varias alternativas para afrontar estos riesgos: Eliminar, Transferir, Asumir o Mitigar
el riesgo.
Inventario de activos de información
El primer paso de esta actividad consiste en la identificación de los activos de información de los
procesos objeto de análisis y sus propietarios, seguido por la valoración del impacto de pérdida de
las propiedades definidas para cada activo, en este caso, confidencialidad, integridad y
disponibilidad.
Se identifica que en la norma ISO/IEC 27002:2006 que define a un activo como cualquier cosa que
tenga valor para la empresa, sin embargo, dicha definición deja muy abierto el espectro, por lo que,
basado en esa misma norma mencionada planteamos algunos:
Información: Cualquier tipo de información contenida en un medio digital o físico, bien sean bases
de datos, archivos de datos, contratos y acuerdos, documentación del sistema, información sobre
investigación, manuales de usuarios, procedimientos operativos o de soporte, planes de continuidad,
pruebas de auditoría, información archivada física o electrónicamente.
Tecnología: Cualquier componente de hardware que sea necesario para efectuar o complementar
operaciones sobre algún activo de información como equipos de comunicación, equipos de
cómputo, medios removibles y otros equipos.
136
Sistemas: Todo sistema de información o software adquirido o desarrollado al interior de la
empresa, en donde se realice operaciones, transacciones y que requiera la interacción de uno o más
activos de información para efectuar sus tareas.
Personas: Todo aquel empleado o cliente que realice funciones críticas para la empresa, cuya
ausencia o incumplimiento de tales funciones puede desencadenar un alto impacto para la misma.
Estructuras: Sitios (lugares) de almacenamiento de información o de equipos que soportan la
operación de los sistemas de información.
Valoración de activos (nivel de criticidad): Por cada una de las propiedades de la información
contempladas en el análisis, esto es, Confidencialidad, Integridad y Disponibilidad, el propietario
del activo asigna una calificación del impacto, para lo cual se propone un modelo de escala que a
continuación se presenta:
Escala de valoración de impactoNombre Valor Catastrófico 5 Mayor 4 Moderado 3 Menor 2 Insignificante 1
La valoración del impacto de los activos identificados es utilizada posteriormente para estimar el
nivel de riesgo inherente, tomando éste como el valor del Impacto del riesgo.
Identificación de amenazas y vulnerabilidades: Las vulnerabilidades son debilidades asociadas
con los activos de la empresa SperSys. Estas debilidades pueden ser explotadas por una amenaza
causando incidentes no deseados que pueden resultar en pérdida o daño a estos activos.
La identificación de las vulnerabilidades evidencia debilidades relacionadas con los activos en
cuanto a:
Ambiente físico.
Personal, procedimientos y controles de administración.
137
Hardware, software, o equipos e instalaciones de comunicación.
Una Amenaza tiene el potencial de causar un incidente no deseado que puede resultar en un daño al
Data Center de SperSys y sus activos. Este daño puede ocurrir de un ataque directo o indirecto
sobre la información. Después de identificar las amenazas y vulnerabilidades por cada tipo de
activo, es necesario tasar la probabilidad de que una combinación de amenazas y vulnerabilidades
ocurra.
La evaluación de probabilidad de amenazas es realizada por el encargado del Data Center, se debe
tener en cuenta:
Amenazas deliberadas: La motivación, las capacidades percibidas, recursos disponibles para
posibles atacantes y la percepción de su atractivo.
Amenazas accidentales: Con qué frecuencia ocurren de acuerdo con la experiencia, estadísticas,
etc., y factores geográficos tales como proximidad a sitios que impliquen riesgo, en áreas donde son
siempre posibles condiciones de clima extremo y factores que podrían influenciar errores humanos
y malfuncionamiento de equipos.
Para la valoración del factor o probabilidad de ocurrencia de un conjunto de amenazas y
vulnerabilidades, esto es, un escenario de riesgo, se propone un modelo de escala que a
continuación se presenta:
Nombre Valor Magnitud
Casi con certeza 5 70%-100%
Probable 4 30%-69%
Posible 3 10%-29%
Poco Probable 2 2%-9%
Raro 1 0%-1%
138
Análisis de amenazas y vulnerabilidades
AMENAZA VULNERABILIDAD
Amenazas del
Ambiente físico
Terremotos
El área del departamento de Quetzaltenango
se ve afectada constantemente por
movimientos telúricos de pequeña y
mediada magnitud.
Inundaciones
El área donde se sitúa el Data Center no
cuenta con indicios de inundación, se hace
la salvedad que el clima es lluvioso.
Derrumbes
El área en donde se encuentra el Data Center
es un lugar plano, por lo que no existen
antecedentes sobre derrumbes.
Hundimientos
En la zona residencial donde se encuentra el
Data Center, no tiene señales de
hundimientos, cabe mencionar que en otros
sectores del municipio se registran.
Amenazas
Personal,
procedimientos
y controles de
administración
Divulgación no autorizada
de información crítica o
sensible
Almacenamiento de información de forma
no segura o inadecuada.
Eliminación de información de forma no
segura o inadecuada falta de seguridad en el
intercambio de información (perdida sobre
en el que se envía y no hay control de
documentos)
Falta de concientización de los encargados.
Falsificación/alteración de
la información
Falta de concientización de los encargados
Falta de mecanismos de protección de
documentos (sellos, membretes, firmas
autorizadas).
Falta de mecanismo para evitar la
falsificación de documentos.
Daños accidentales o
intencionales
Almacenamiento de información de forma
no segura o inadecuada.
Falta/Deficiencia en el procedimiento de
139
identificación, clasificación y manejo de
la información
Mecanismo de intercambio de
información no adecuados
Falta de auditorías/ revisiones de uso de
llaves y almacenamiento
Perdida de Información
Hechos de corrupciones de los empleados
Resistencia de la cultura de seguridad de la
información (cuando hay crisis se pasa por
encima de la seguridad, selección de
prioridades).
Falta de un esquema de respaldo de
funciones conocimiento.
Coacción/extorsión al
personal
Procesos de selección/revisión insuficientes
o inadecuados.
Trabajo de terceros sin supervisión /
desconocimiento de los procesos
adelantados por los terceros.
Sonsacamiento Gestión de la concientización inadecuada
(pruebas, evaluaciones, mejoras, etc.).
Amenazas de
Hardware,
software, o
equipos e
instalaciones de
comunicación.
Errores operacionales en la
administración de la
aplicación
Falta de capacitación del personal (que
administra la aplicación).
Documentación de configuración inexistente
o desactualizada.
Ataques informáticos
(virus, inyección de
código, negación de
servicios, troyanos, puertas
traseras, bombas lógicas,
ataques de protocolos
conocidos, manipulación
no autorizada o inadecuada
de la configuración).
Ausencia de requerimientos de seguridad en
el ciclo de desarrollo o de adquisión de SW.
Fallas en el proceso de gestión de
vulnerabilidades
Segregación inadecuada de ambiente de
producción, prueba y desarrollo Controles
de acceso de usuarios no adecuados
Falta/ Falla en la gestión de herramientas y
los de auditoria Falta/Falla en la gestión de
acceso de usuarios.
140
Falta de gestión de control de cambios
(auditoria o monitoreo de cambios
configuración no autorizada).
Falla de la Aplicación
Falta/pruebas insuficientes de copia de
respaldo.
Ausencia de planes de mantenimiento de
aplicación.
Fallas en el proceso de versiones.
Falta o falla en la gestión de la capacidad de
la aplicación.
Uso inadecuado / no
autorizado del recurso
(incluye códigos
maliciosos)
Ausencia/fallas de planes de
Recuperación ante Desastres.
Ausencia de monitoreo sobre la red.
Administración de red inadecuada.
Control de capacidad para
almacenamiento.
Herramienta de detección / prevenciones
inexistentes (sitios sin control de
adecuados).
Falla de medio de la
comunicación
Condiciones de instalación, mantenimiento
y operación inadecuada.
Uso inadecuado de estándares de
infraestructura del medio.
Falta / Falla de gestión de capacidad.
Perdida de disponibilidad
y/o disminución de la
calidad del servicio
Falta de auditoria en bloqueo/eliminación de
permisos de acuerdo con las novedades de
usuario.
Falta/ Falla de capacitación de usuarios
Ausencia de un mecanismo de contingencia.
Falta / falla de gestión de cambios.
Tabla de Control de Riesgos
Activo AmenazaFrecuenci
aImpacto
Valor del
Riesgo
141
Ambiente
Físico
Terremotos 3 5 15
Inundaciones 3 3 9
Derrumbes 1 3 3
Hundimientos 1 4 4
Personal,
procedimientos
y controles de
administración
Divulgación no autorizada de
información crítica o sensible
2 3 6
Falsificación/alteración de la
información
2 4 8
Daños accidentales o intencionales 2 3 6
Perdida de Información 2 5 10
Coacción/extorsión al personal 2 3 6
Sonsacamiento 2 2 4
Hardware,
software, o
equipos e
instalaciones de
comunicación.
Errores operacionales en la
administración de la aplicación
2 3 6
Ataques informáticos. 2 5 10
Falla de la Aplicación 2 5 10
Uso inadecuado / no autorizado del
recurso (incluye códigos
maliciosos)
2 4 8
Falla de medio de la comunicación 2 4 8
Perdida de disponibilidad y/o
disminución de la calidad del
servicio
2 5 10
Conclusión
142
El establecimiento, implementación, operación, monitoreo, mantenimiento, y mejoramiento del ISO
27001:2005, requiere de un ingrediente básico, el cual es el rol protagónico que debe cumplir la alta
Gerencia. Es un estándar para la gestión y la gerencia no puede delegar su rol.
Es importante entender que el objetivo de la evaluación de riesgo es la de identificar el ponderar los
riesgos a los cuales los sistemas de información y activos están expuestos, con miras a identificar y
seleccionar controles apropiados.
La selección de los controles se debe justificar sobre la base de las conclusiones de la evaluación y
tratamiento de riesgo. Los objetivos de control y los controles seleccionados, así como las razones
para su selección deben documentarse en el enunciado de aplicabilidad.
143
DISTRIBUCIÓN DE AMBIENTES
144
Malla Eléctrica
145
Diseño Cableado
146
Diagrama Lógico de la Red
Descripción
Para la asignación de las direcciones lógicas se utilizará el Subneteo con la técnica de máscara de
subred de longitud variable (VLSM) para el aprovechamiento efectivo de las direcciones IP,
además está orientado al crecimiento y expansión del negocio. Los requerimientos en cuanto a
usuarios iniciales de red de la empresa SperSys son los siguientes.
Red de Clientes: 100 usuarios.
Red de Desarrolladores de Software: 5 usuarios.
Red de Administración: 4 usuarios.
Red de Monitoreo de Data Center: 3 usuarios.
Sin embargo, tomando en cuenta los requerimientos de expansión, la cantidad de usuarios estimada
será la siguiente:
Red de Clientes: 3000 usuarios.
147
Red de Desarrolladores: 10 usuarios.
Red de Monitoreo de Data Center: 8
Red de Administración: 6 usuarios.
Para realizar el subneteo se utilizarán los datos estimados de la expansión del negocio.
Datos Del Subneteo Vlsm
IP Utilizada: 172.16.0.0/20
Direcciones IP Disponibles: 4,094
NOMBRE DE LA SUBRED
HOST S.
HOST E. DIRECCIÓN MÁSC.
MÁSCARA DECIMAL PUNTEADA
RANGO DE IP ASIGNABLE
IP DE BROADCAST
CLIENTES 100 126 172.16.0.0 /25 255.255.255.128
172.16.0.1 - 172.16.0.126 172.16.0.127
DESARROLLADORES 10 14 172.16.0.128 /28 255.255.255.24
0172.16.0.129 - 172.16.0.142 172.16.0.143
SERVIDORES 10 14 172.16.0.144 /28 255.255.255.240
172.16.0.145 - 172.16.0.158 172.16.0.159
MONITOREO 8 14 172.16.0.160 /28 255.255.255.240
172.16.0.161 - 172.16.0.174 172.16.0.175
ADMINISTRACION 6 6 172.16.0.176 /29 255.255.255.248
172.16.0.177 - 172.16.0.182 172.16.0.183
Como se puede observar se realizó la operación de subnetting para la cantidad de host
correspondiente a cada área, es importante hacer hincapié en que la cantidad de IPs disponibles para
clientes cubre las necesidades futuras de la organización.
148
Active Directory
149
ANEXOS
Cronograma de TrabajoLínea de Tiempo
Refencia: Guía PMBOOK-Ms Project
Cronograma Propuesta Data Center Empresa AJSA
150
151
152
Formularios Varios
FORMULARIO DE CAMBIO DE CONTRASEÑA
Datos de la persona solicitante
Nombre Completo:
DPI: Teléfonos:Información del UsuarioNombre:Contraseña actual:Nueva contraseña:
La nueva contraseña deberá cumplir con lo estipulado en la política en relación a contraseñas.
____________________________ __________________________ Firma del solicitante Sello y Firma encargado TI
FORMULARIO DE TRASLADO DE INFORMACIÓN
Datos de la persona solicitante
Nombre Completo:
DPI: Teléfonos:Usuario:Información para el traslado de informaciónDepartamento de trabajo:Origen de la información:Destino de la información:Breve descripción de lo que se está trasladando:
Solicitante: Al momento de realizar la salida de datos estos deberán estar cifrados para tener mayor seguridad en el proceso.
____________________________ ___________________________ Firma del solicitante Responsable del Área
153
FORMULARIO DE ACCESO A INTERNET
Datos de la persona solicitante
Nombre Completo:
DPI: Teléfonos:Usuario:Departamento de trabajo:Información del ServicioBreve descripción de la Actividad a realizar:
Tiempo que solicita el servicio:
IP Asignada:
____________________________ ___________________________ Firma del solicitante Sello y Firma Redes y TelecomunicacionesFORMULARIO DE INSTALACIÓN DE SOFTWARE
Datos de la persona solicitante
Nombre Completo:
DPI: Teléfonos:Usuario:Departamento de trabajo:Software que requiereNombre: Versión:Función: Tipo:
Nombre: Versión:
Función: Tipo:
Nombre: Versión:
Función: Tipo:
____________________________ ___________________________ Firma del solicitante Sello y Firma encargado TI
154
CONTROL DE ACCESO AL CENTRO DE DATOS
Encargado Autorizado por
Departamento Turno
Fecha Ingreso Nombre Unidad Motivo de Ingreso Hora de Ingreso Hora de Salida
LISTADO AUTORIZADO DE
ACCESO PERMANENTE
155
Encargado Empresa
Autorizado por Fecha
Firma
Nombre DPI Cargo Tipo de acceso
Autorizado para solicitar permiso
de acceso temporal a
terceros
Autoriza movimiento de
equipos
Autorizado a modificar Listado de
Acceso
Tipos de Acceso:
Horas laborables: Lunes a Viernes 8:00 a.m. a 5:00 p.m.
24 x 7 x 365: Acceso en cualquier horario, todos los días del año
PERSONAL AUTORIZADO DE INGRESO AL CENTRO DE DATOS
Encargado Autorizado por
156
Departamento Turno
Fecha Nombre Unidad Motivo de Ingreso Hora de Ingreso Hora de Salida
PERSONAL CON ACCESO DIRECTO AL CENTRO DE DATOS
Encargado Departamento
157
Autorizado por Turno
Nombre Apellido Unidad Tipo Autorización
Autorizado para solicitar permiso de acceso temporal a
terceros
Autoriza movimiento de equipos
158