Data center sper sys

PROPUESTA DE ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE DATA CENTER

EMPRESA SPERSYS

RODOLFO ANIBAL VALIENTE AGUILAR

INGENIERO EN SISTEMAS DE INFORMACIÓN Y CIENCIAS DE LA COMPUTACIÓN

CARNÉ 902-08-1309

ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN

EVALUACIÓN GENERAL PRIVADA

EVALUADOR: ING. HUGO ADALBERTO HERNÁNDEZ SANTIZO

AGOSTO 2016

PRESENTACIÓN:

En el presente documento se realiza la propuesta para la implementación de un Data Center con los

linimentos TIER III, para la empresa SperSys.

1

ContenidoPRESENTACIÓN:.................................................................................................................................1

EMPRESA OFERTANTE........................................................................................................................8

RESUMEN EJECUTIVO.........................................................................................................................9

AJSA, S.A...........................................................................................................................................10

Misión..........................................................................................................................................10

Visión............................................................................................................................................10

Certificaciones..............................................................................................................................10

Descripción del Caso....................................................................................................................12

Aspectos que debe contener el Proyecto:...................................................................................12

Solución........................................................................................................................................13

Descripción Data Center...............................................................................................................13

ANÁLISIS Y PROPUESTA DE IMPLEMENTACIÓN................................................................................14

Normas ANSI/EIA/TIA...................................................................................................................14

El estándar ANSI/TIA/EIA-606..................................................................................................15

ANSI/TIA/EIA-607.....................................................................................................................15

LA NORMA ANSI/TIA/EIA-942..........................................................................................................15

Características de TIA942 - Subsistema Arquitectónico...............................................................16

Características de TIA942 - Subsistema Eléctrico.........................................................................17

Características de TIA942 - Subsistema Telecomunicaciones.......................................................17

Características de TIA942 - Sub Sistema Mecánico.....................................................................17

ITIL V.3..............................................................................................................................................18

COBIT 5.............................................................................................................................................18

Infraestructura Del Edificio:..........................................................................................................19

Situación Actual Del Área De Informática....................................................................................21

Personal Del Data Center.........................................................................................................21

Estimación De Crecimiento Del Personal..................................................................................22

Requerimientos Para El Data Center........................................................................................22

Clasificación Tier III Para El Data Center...................................................................................22

TIER III..............................................................................................................................................23

DATA CENTER SPERSYS.....................................................................................................................24

Arquitectura.................................................................................................................................24

Topología a Utilizar.......................................................................................................................24

2

ANÁLISIS TÉCNICO............................................................................................................................25

Recurso Humano..........................................................................................................................25

Perfil Del Personal:.......................................................................................................................25

Descripción de los Perfiles............................................................................................................26

Recurso Técnico:..........................................................................................................................27

EQUIPOS A UTILIZAR PARA EL DATA CENTER:..................................................................................27

Características..............................................................................................................................27

SERVIDORES.....................................................................................................................................28

Servidor para Base de Datos........................................................................................................28

Servidor para Correo, DNS, DHCP................................................................................................30

Servidor Para Red De Área De Almacenamiento (SAN.................................................................31

Servidor para Aplicaciones y CMS................................................................................................32

Servidor para Active Directory.....................................................................................................33

EQUIPOS DE COMUNICACIÓN..........................................................................................................34

Router..........................................................................................................................................34

Switch...........................................................................................................................................35

INFRAESTRUCTURA ELÉCTRICA........................................................................................................37

Fuente Principal...........................................................................................................................37

Empresa Eléctrica de Guatemala EEGSA..................................................................................37

Fuente Redundante......................................................................................................................38

Generador Eléctrico.................................................................................................................38

Circuitos Monofásicos..................................................................................................................39

Tierras Físicas...............................................................................................................................39

Unidad De Distribución De Energía (PDU)....................................................................................40

Sistema Ininterrumpido de Potencia (UPS)..................................................................................41

Características..........................................................................................................................41

ENFRIAMIENTO DEL CENTRO DE DATOS..........................................................................................42

Criterios tomados en cuenta para la el Enfriamiento...................................................................42

Elementos Fundamentales del Enfriamiento...............................................................................42

Gestión optimizada del flujo de aire.........................................................................................42

Pasillos fríos y calientes............................................................................................................42

Refrigeración localizada...........................................................................................................43

Máxima eficiencia con sistemas de agua fría...........................................................................43

3

Tecnología de Enfriamiento a utilizar...........................................................................................43

Unidad de Puerta Fría (Cooling Door).......................................................................................43

Características:.........................................................................................................................44

Control.........................................................................................................................................45

Unidad Rack Cooler de Agua Fría.............................................................................................45

Características..........................................................................................................................46

Beneficios generales de las tecnologías elegidas.........................................................................46

Configuración de Pasillos Fríos y Calientes...................................................................................47

Pasillos fríos..............................................................................................................................48

Pasillos calientes......................................................................................................................48

CONTROL DE AMBIENTE..................................................................................................................49

Sistema de Incendio.....................................................................................................................49

Detección temprano de humo.................................................................................................49

Unidad de control de supresión de incendios..........................................................................49

Sistema de Extinción Incendio..................................................................................................49

SEGURIDAD DEL DATA CENTER........................................................................................................50

Seguridad Física............................................................................................................................50

Control de accesos al Centro de Datos.....................................................................................50

Documentación a presentar.....................................................................................................50

Procedimiento de entrada de personal de la empresa y visitantes..........................................50

Vigilancia Exterior (Garita)........................................................................................................50

Seguridad perimetral................................................................................................................51

Puertas de un Centro de Datos................................................................................................53

Cerraduras................................................................................................................................53

Tipo de cerraduras electroimán (Electromagnética):...............................................................54

Control de Acceso....................................................................................................................54

Sistema Automático de Extinción de Incendios:.......................................................................55

Detectores de humo.................................................................................................................55

Área de descarga y carga..........................................................................................................56

Seguridad Lógica..........................................................................................................................57

Nagios.......................................................................................................................................57

UTM..........................................................................................................................................57

Controles de Acceso.................................................................................................................57

4

Niveles de Seguridad Informática.................................................................................................59

Nivel D......................................................................................................................................59

Nivel C1: Protección Discrecional.............................................................................................59

Nivel C2: Protección de Acceso Controlado.............................................................................60

Nivel B1: Seguridad Etiquetada................................................................................................60

Nivel B2: Protección Estructurada............................................................................................61

Nivel B3: Dominios de Seguridad.............................................................................................61

Nivel A: Protección Verificada..................................................................................................61

Cifrado......................................................................................................................................62

Red privada virtual...................................................................................................................62

CABLEADO........................................................................................................................................62

Cableado Horizontal.....................................................................................................................62

Cableado Vertical.........................................................................................................................62

Cableado del Centro de Datos Basado En La Tia-568-C.2-1..........................................................63

Configuraciones del Cable........................................................................................................63

Sub Sistemas Básicos del Cableado Estructurado.........................................................................64

Tipos de cables a utilizar en el Centro de Datos...........................................................................65

ANÁLISIS ECONÓMICO.....................................................................................................................66

Costos De Infraestructura.........................................................................................................66

Costo De Equipos.....................................................................................................................71

Costos De Herramientas...........................................................................................................73

Costo De Recurso Humano.......................................................................................................74

Costos De Mantenimiento De Equipos e Infraestructura.........................................................75

Resumen De Costos De Inversión De Implementación................................................................76

ANÁLISIS OPERATIVO.......................................................................................................................77

POLÍTICAS DE SEGURIDAD LÓGICA Y FÍSICA DATA CENTER SPERSYS................................................78

Políticas de Seguridad de La Información.....................................................................................79

Política de Usuario.......................................................................................................................81

Política de Monitoreo...................................................................................................................83

Política Protección Contra Código Malicioso-Antivirus................................................................85

Política de Respaldo (Backup)......................................................................................................88

Política de Activos -Equipo Tecnológico.....................................................................................90

Política de Seguridad Física y Ambiental......................................................................................92

5

Política de Seguridad Equipos de Cómputo..................................................................................94

Política de Control de Acceso al Centro de Datos.........................................................................96

Política de Seguridad de Servidores.............................................................................................98

Política de Redes y Telecomunicaciones....................................................................................100

POLÍTICAS DE HOSTING..................................................................................................................102

Recurso de los Servidores..........................................................................................................103

Servicios Prohibidos...................................................................................................................104

Utilización del Correo Electrónico..............................................................................................105

Seguridad, Límites y Versiones...................................................................................................106

Contenido del sitio web y Backups de información....................................................................108

Programación e Instalación de CMS...........................................................................................110

Pago y Notificación.....................................................................................................................111

Suspensión y Término de Servicio..............................................................................................112

Obligaciones de SperSys Hosting................................................................................................114

Responsabilidades del Cliente....................................................................................................116

Referencias.................................................................................................................................117

PLAN DE CONTINUIDAD DEL NEGOCIO (BCP).................................................................................118

Introducción:..............................................................................................................................119

Objetivos del Plan de Continuación............................................................................................119

Objetivo General....................................................................................................................119

Objetivos Específicos..............................................................................................................119

Alcance.......................................................................................................................................120

Conceptos Básicos......................................................................................................................120

Causas de Interrupción...........................................................................................................121

Gobierno de Continuidad...........................................................................................................122

Lineamientos..........................................................................................................................122

Estructura de la Gestión de Continuidad del Negocio................................................................123

Políticas de Continuidad del Negocio.........................................................................................126

Prueba Del Plan De Continuidad Del Negocio............................................................................126

Mantenimiento Y Actualización Del Plan De Continuidad De Negocio.......................................127

Aspectos específicos sobre la política de Continuidad del Negocio...........................................128

Inicio Del Plan De Continuidad Del Negocio (BCP) (Bs 7799-2 Control A 11.1).......................128

6

Desarrollo Y Administración Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.1)...............................................................................................................................................128

Evaluación De Riesgo Del Plan De Continuidad Del Negocio BCP (Bs 7799-2 Control A 11.1.2)...............................................................................................................................................129

Características Del Plan De Continuidad De Negocio (BCP) (Bs 7799-2 Control A 11.1.3-4)...130

Entrenamiento Y Concientización Del Plan De Continuidad Del Negocio (BCP). (Bs 7799-2 Control A 11.1.4)....................................................................................................................131

Recomendaciones Adicionales...............................................................................................131

Prueba Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.5)...........................131

Mantenimiento Y Actualización Del Plan De Continuidad De Negocio (BCP). (Bs 7799-2 Control A 11.1.5.2)..............................................................................................................................132

Referencias.............................................................................................................................133

PLAN DE RECUPERACIÓN ANTE DESASTRES (DRP).....................................................................134

Plan de Implementación de Análisis y Gestión de Riesgo...........................................................135

Inventario de activos de información.........................................................................................136

Escala de valoración de impacto............................................................................................137

Análisis de amenazas y vulnerabilidades....................................................................................139

Tabla de Control de Riesgos...................................................................................................142

Conclusión..................................................................................................................................143

DISTRIBUCIÓN DE AMBIENTES.......................................................................................................144

Malla Eléctrica............................................................................................................................145

Diseño Cableado........................................................................................................................146

Diagrama Lógico de la Red.........................................................................................................147

Descripción.............................................................................................................................147

Datos Del Subneteo Vlsm...........................................................................................................148

Active Directory..........................................................................................................................149

ANEXOS..........................................................................................................................................150

Cronograma de Trabajo..............................................................................................................150

Línea de Tiempo.....................................................................................................................150

Cronograma Propuesta Data Center Empresa AJSA................................................................150

Formularios Varios.....................................................................................................................153

7

EMPRESA OFERTANTE

Datos Básicos:

Nombre: AJSA, S.A.

Dirección Empresa: 3ª. Calle, 14-21 Zona 1, Cobán Alta Verapaz

Teléfono: 7941 1784

Correo: [email protected]

8

mailto:[email protected]

RESUMEN EJECUTIVO

Datos Básicos:

Nombre del proyecto: Data Center SperSys

Responsable del proyecto: AJSA, S.A.

Número de proyecto 01-2016

Empresa solicitante Empresa SperSys

Fecha de inicio y finalización: 29/07/2016 al 15/12/2016

Costo: $315,000.00

9

AJSA, S.A.

Somos una empresa sólida en brindar Soluciones Tecnológicas Avanzadas, brindando nuestro

servicio certificado y de calidad en el estudio, análisis, diseño, desarrollo e implementación de

centros de Datos (Data Center), redes de datos, infraestructura eléctrica, equipo de enfriamiento,

elaboración de planes de seguridad, políticas, otros. Líderes en el mercado ofreciendo tecnología de

última generación.

Misión

Diseñar e implementar proyectos de centros de Datos, utilizando las mejores prácticas y productos

que existan en el mercado, optimizando recursos y preocupándonos en no generar impacto

ambiental con nuestras acciones.

Visión

Ser una empresa especializada en diseñar e implementar proyectos de Centro de Datos, logrando el

prestigio y reconocimiento de nuestros clientes, empleados, proveedores y competidores, a través de

un trabajo profesional, innovador y creativo, que incorpore continuamente nuevas tecnologías para

satisfacer las necesidades cambiantes del mercado y ofreciendo un alto valor agregado en las

soluciones a nuestros clientes.

Certificaciones

AJSA, S.A. es una empresa que actualmente está respaldada por las siguientes certificaciones que

garantizan nuestro trabajo, entre ellas podemos mencionar:

ATD (Diseñador de Nivel Acreditado): garantizándonos buenas prácticas y apego a los

principios, conceptos establecidos en la norma TIER, ya que contamos con ingenieros certificados.

ATS (Especialista de nivel acreditado) destinada a personal de mantenimiento a adquirir un amplio

conocimiento en aspectos de automatización en los cuales se abarca el diseño, programación y

aptitudes de mantenimiento practico, esta certificación se basa en la dirección a la inversión y

mejora continua en calidad y capacitación, permitiendo prestar un mejor servicio con mayor

profesionalismo y excelentica a nuestros clientes.

10

ABTN (Asociación Brasileña de Nomas Técnicas) la cual nos proporciona credibilidad y nos

certifica en el crecimiento y evolución de la empresa demostrando que somos una organización con

un sistema de fabricación controlado, así como respaldando nuestros servicios de acuerdo a normas

específicas.

ISO 9001

AJSA, S.A. posee el certificado del estándar internacional ISO 9001:2008 base en el sistema de la

gestión de la calidad ya que es una norma internacional, centrándose en los elementos de

administración de la calidad para que una empresa cuente con un sistema efectivo, permitiéndonos a

mejorar la calidad de nuestros productos y servicios y de esta manera asegurarle a nuestros clientes

que dispondrán de un buen servicio de gestión de calidad.

11

Descripción del Caso

SperSys empresa del Señor Alfred Sperlich dicada al desarrollo de aplicaciones en la Ciudad de

Guatemala, debido al crecimiento que mantiene, decide mudarse a su nueva instalación, en la

Ciudad de Quetzaltenango , Colonia los Cerezos, el terreno de la propiedad está ubicada sobre

la 9ª. Calle y 6ª avenid y tiene un área de 30m de frente por 60 de fondo, con una topografía plana.

El área es residencial y posee todos los servicios. Actualmente tiene contratado topografía plana. El

área es residencial y posee todos los servicios. Actualmente tiene contratado el servicio de internet

con un ancho de banda de 5/1 Mbps.

Recién a principios de este año, el Sr. Sperlich tomó la decisión de agregar el servicio de hosting al

portafolio de su empresa. Para esto, se mudó a un apartamento en un edificio cercano y decidió

utilizar su casa como centro de operaciones para la empresa, sacándola del departamento de la zona

11, en donde ya trabajaban 5 desarrolladores y una asistente.

El Sr. Sperlich requiere de una propuesta para utilizar la casa de los Cerezos, como centro de

operaciones. Él le solicita que diseñe el data center para su empresa y que lo ubique en la casa y que

sea TIER-3, así mismo, que presente una propuesta para el cableado, de la casa para los

desarrolladores, la asistente. La única condición es que no puede botar muros dentro de la casa.

El data center debe tener capacidad de dar servicio inicialmente a 100 clientes con hosting en

Windows y Linux, ofreciendo bases de datos como MSSQL y MySQL. El servicio de hosting

ofrecerá también CMS preinstalados. Adicionalmente, data Center debe manejar el ambiente de

desarrollo y QA (quality assurance) de la empresa. Ofrecerá servicios de hosting en servidores

compartidos y servidores dedicados, con espacio de disco desde 10G hasta sin límite. El Sr.

Sperlich proyecta crecer hasta un máximo de 3000 clientes y 8 personas dedicadas, el data center,

así como 10 desarrolladores y dos asistentes.

Aspectos que debe contener el Proyecto:

Propuesta TIER-3

Considerar tipo de construcción de la casa

Presupuesto US $350,000.00

Arquitectura de servidores

Seguridad y políticas de seguridad física y lógica

Políticas de uso del servicio de Hosting

12

Plan BCP y DRP

Distribución de ambientes de la casa

Distribución físico de la red

Diagrama lógico de la red. Debe incluir subneteo para el servicio de hosting, desarrollo y

QA.

Propuesta de equipos para el data center, tomando en cuenta los planes de expansión.

Propuesta económica para el proyecto y cronograma de actividades.

Solución

En base a estudios realizados dentro de la empresa conforme a la viabilidad, seguridad, costos de

mantenimiento, mano de obra, servicios e impuestos generados por bienes inmuebles. Se propone la

solución, de la creación del Centro de Datos

Considerando las opciones de menor costo sobre los impuestos de bienes inmuebles, así como el

vendedor tecnológico. Se propone la construcción del Centro de Datos en el departamento de

Quetzaltenango, Guatemala.

AJSA, S.A., ofrece soluciones completas para análisis, desarrollo e implementación de Centros de

Datos, incluyendo dentro de la solución, una propuesta que contempla la construcción, diseño y

formulación del proyecto, así como el mantenimiento del mismo.

Con el aseguramiento de la calidad (QA) consistente en el conjunto actividades planificadas y

sistemáticas para que los requisitos de calidad de un producto o servicio sean satisfechos. Entre

estas actividades se encuentran la medición sistemática, la comparación con estándares, el

seguimiento de los procesos.

Descripción Data Center

Un Data Centers es un edificio que provee seguridad a los apartados que contienen instalaciones de

servidores en red, almacenamiento y Backup. Un proyecto Data Center ofrece espacio para

hardware en un ambiente controlado, por ejemplo, utilizando energía y enfriamiento de ambiente y

aire acondicionado para permitir que los equipos tengan el mejor nivel de rendimiento con máxima

disponibilidad del sistema.

13

Un Data Center ofrece varios niveles de resistencia, en la forma de fuentes de energía de Backup y

conexiones adicionales de comunicación, que pueden no ser utilizadas hasta que pase algún

problema con el sistema primario, a esta característica se le conoce como redundancia.

El principal objetivo de un proyecto de Data Center es ejecutar las aplicaciones centrales del

negocio y almacenar datos operativos, además de ofrecer medios de Recuperación de desastres

(DR). Las aplicaciones más tradicionales son sistemas de software corporativos, como Enterprise

Resource Planning (ERP) y Customer Relationship Management (CRM).

Dentro de los elementos que utiliza un Data Center se pueden mencionar: firewalls, Gateways VPN,

Routers y Switchs, Servidores de Base de Datos, Servidores de Archivos, Servidores de

Aplicaciones, Servidores web y Middleware, algunos en hardware físico y otros en plataformas

virtualizadas.

Telecommunication Infrastructure Standard TIA 942 es una norma que ofrece orientaciones sobre la

estandarización del diseño de Data Centers y clasifica los Data Centers en cuatro niveles, siendo

que el nivel 4 es el más tolerante a fallas y tiene garantía de 99,995% de tiempo de actividad,

comparado al nivel 1, que garantiza 99.671% de tiempo de actividad. Esta estandarización es

importante para que los clientes puedan entender y evaluar los proveedores de servicio.

ANÁLISIS Y PROPUESTA DE IMPLEMENTACIÓN

Dentro del presente capítulo se abarcan temas como el Análisis del Proyecto desde sus distintas

perspectivas; técnico, económico y operativo, además se aborda el tema del personal con el que

cuenta actualmente la empresa, su estimación de crecimiento futuro, el perfil con el que deben

contar las personas aspirantes a los distintos cargos. También se aborda un tema muy importante

que es la descripción de los requerimientos del proyecto, y la especificación de equipos con los que

se trabajará.

Normas ANSI/EIA/TIA

Los estándares ANSI/EIA/TIA 606, 607 Y 942 especifican los requerimientos mínimos para la

infraestructura de telecomunicaciones, cableado estructurado, y cuartos de computo o data centers.

14

El estándar ANSI/TIA/EIA-606

Proporciona normas para la codificación de colores, etiquetado, y documentación de un sistema de

cableado instalado. Seguir esta norma, permite una mejor administración de una red, creando un

método de seguimiento de los traslados, cambios y adiciones. Además la localización de fallas

resulta una tarea más fácil, documentando cada cable tendido por características tales como tipo,

función, aplicación, usuario, y disposición.

ANSI/TIA/EIA-607

Establece los requisitos de aterrizado y protección para telecomunicaciones en edificios comerciales

y dicta prácticas para instalar sistemas de aterrizado eléctrico que aseguren un nivel confiable de

puesta a tierra, para todos los equipos de telecomunicaciones instalados.

LA NORMA ANSI/TIA/EIA-942

Establece las características que deben poseer los componentes e infraestructura de un centro de

datos para obtener los distintos niveles de disponibilidad denominados TIERs

Provee una serie de recomendaciones y Guide Lines (directrices), para el diseño e instalación de

infraestructuras de Data Centers (centros de cómputo), establece las características que deben

ejecutarse en los componentes de la infraestructura para los distintos grados de disponibilidad.

15

A su vez divide la infraestructura soporte de una data center en cuatro subsistemas a saber:

Telecomunicaciones

Arquitectura

Sistema eléctrico

Sistema Mecánico

Características de TIA942 - Subsistema Arquitectónico

SUBSISTEMA ARQUITECTÓNICO TIER III

Proximidad a áreas de inundación

registradas por las autoridades

No debe haber historias de inundación durante los

últimos 100 años y de 50 años a menos de 91

metros

Proximidades a autopistas No menos de 91 metros

Proximidad a aeropuertos No menos de 1.6 Kms y no más de 48 Kms

Áreas de parqueo de visitantes y

empleados separadosSi, físicamente separadas por una barrera o pared

Edificio con diferentes dueñosPermitido si todos los ocupantes son compañías de

TC

Debe cumplir con requerimientos de

NFPA 75SI

16

SUBSISTEMA ELÉCTRICO TIER III

Permite hacer mantenimientos sin shut down SI

Número de rutas de alimentación Uno activo uno pasivo

Acometida de proveedor externo de energía Alimentación dual

Redundancia en generador N+1

Cables de alimentación de equipos de cómputo y

comunicacionesDos

Puntos sencillos de falla No tiene

Autonomía de combustible 72 horas

Topología de UPS

Paralelo redundante

o distribuido

redundante

Botón de apagado de emergencia (EPO) Si

Características de TIA942 - Subsistema Eléctrico

Características de TIA942 - Subsistema Telecomunicaciones

Subsistema Telecomunicaciones TIER III

Entrada de Proveedores de acceso diversificadas con mínimo 20 metros de

separación

Si

Cuarto de entrada de TC secundario Si

Rutas de backbone redundantes Si

Routers y switches con fuente de alimentación redundante Si

Características de TIA942 - Sub Sistema Mecánico

Sub Sistema Mecánico TIER III

Redundancia de unidades de

aire acondicionado

Cantidad de unidades AC suficiente para mantener el área

crítica durante la pérdida de una fuente de potencia eléctrica

17

Alimentación eléctrica para

equipos de aireMúltiples aminos

Sistemas de extinción

automática.Si

ITIL V.3

Se plantea ITIL V.3 en la implementación del Centro de Datos para SperSys para asegurar que las

políticas y estrategias sean implementadas y que los procesos tengan continuidad sin interrupciones.

Se definirán roles y responsabilidades a los usuarios para la gobernancia correcta de TI, gestionando

de mejor manera los servicios para optimizar los procesos, y realizar de manera correcta la toma de

decisiones para resolver cualquier inconveniente en los servicios prestados por TI.

El objetivo primordial en la implementación de ITIL en el Centro de Datos es crear valor en los

clientes, ya que permite la facilitación de resultados que se desean alcanzar evitando costos o

riesgos específicos.

Gestionando el servicio de forma especializada generando valor en los clientes en forma de

servicios. Garantizando la funcionabilidad de los procesos de forma eficiente y segura.

COBIT 5Se presenta COBIT 5 en la implementación de un centro de datos de la empresa SperSys para el

cumplimiento de metas propuestas para la planificación y construcción del centro de datos, AJSA,

S.A., trabajará mediante un gobierno y una administración efectiva de la TI.

Se acoplan e implantan los requisitos legales que se requieren para la creación de un centro de

datos, cumpliendo los estándares regulatorios y contractuales relacionados con el uso de

información.

Al implementar COBIT5 en el Centro de Datos, se busca que se alcance e incrementen los

beneficios como:

Alzar el valor de la empresa a través de TI.

Satisfacción de usuarios con los servicios de TI.

Cumplimiento de leyes relevantes, políticas y regulaciones actualmente utilizadas.

18

Generado un beneficio en la Empresa, permitiendo una gobernanza que optimice los servicios, tales

como:

Trabajo eficiente en procesos de alto nivel.

Optimización de los servicios del costo de las TI.

Apoya el cumplimiento de las leyes, reglamentos, acuerdos y políticas de la empresa.

Gestiona nuevas TI.

Ayuda a las empresas a reducir sus perfiles de riesgo a través de una adecuada

administración de seguridad.

Infraestructura Del Edificio:Las características con las que cuenta la empresa para el desarrollo del proyecto se detallan a

continuación:

19

Datos del Edificio

Dirección: 9ª Calle y 6ª Avenida Colonia Los Cerezos

Área Del Terreno: 30 metros de frente y 60 metros de fondo

Tipo De Topografía: Plana

Servicios Disponibles: Energía eléctrica, agua potable, teléfono

Ancho de Banda de Internet 5/1 Mbps

Vista de planta de la casa del señor Sperlich, Colonia los Cerezos.

Fachada frontal

20

Fachada posterior

21

Situación Actual Del Área De Informática

La empresa SperSys es una empresa especializada en el desarrollo de soluciones de software

eficientes y seguras, para entidades y organizaciones a través de su equipo de trabajo que se dedica

a estas a estas tareas. El equipo de trabajo con él cuenta actualmente la empresa se detalla a

continuación:

Personal Del Data Center

El personal que laborará dentro del Data Center será el mismo con el que se cuenta actualmente,

para la tarea de monitoreo de actividades se contará con tres personas inicialmente, sin embargo,

para una proyección futura se estima que se contará con una cantidad mayor de personas dedicadas

a esta área. La cantidad específica de personas con el que se iniciarán las actividades posteriormente

a la implementación del Data Center es:

Descripción del Cargo Cantidad

Monitoreo De Actividades 3 Personas

Desarrollo de Software 5 Personas

Asistente 1 Persona

22


Desarrollo de Software Actualmente se cuenta con 5 personas

Asistente Actualmente se cuenta con 1 asistente.

Estimación De Crecimiento Del Personal

La empresa SperSys presenta un crecimiento favorable y actualmente solicita la construcción del

Data Center para su centro de operaciones, paralelo a ello también se espera un crecimiento del

personal que laborará dentro de la empresa, se estima que el equipo de trabajo esté conformado por:


Monitoreo De Actividades Se contará con 8 personas

Desarrollo de Software Se contará con 10 personas

Asistente Se contará con 2 asistentes

Requerimientos Para El Data Center

El Data Center a implementar debe cumplir con requerimientos que garanticen su correcto

funcionamiento y que integre principios fundamentales como seguridad, integridad y disponibilidad

de la información, los requerimientos básicos con los que debe cumplir son los siguientes:

Cumplimento de las especificaciones técnicas para la creación de un Data Center según la

Tier3.

Manual de Políticas de Seguridad y procedimientos para la gestión de las tareas

informáticas.

Plan de Contingencias y procedimientos a seguir en caso de presentarse algún riesgo o

amenaza.

Diseño de las instalaciones físicas del Data Center.

Clasificación Tier III Para El Data Center

El Uptime Institute es el ente encargado de clasificar los Data Centers (Centro de datos), se han

establecido cuatro categorías para estas infraestructuras:

TIER I

TIER II

TIER III

23

TIER IV

Los Data Centers pueden clasificarse según estas cuatro categorías que corresponden a la garantía

que ofrecen en cuanto al tipo de hardware que es utilizado para garantizar la redundancia y

disponibilidad de la información. Según la página OVH las categorías TIER pueden ilustrarse de la

siguiente forma:

Ilustración de la disponibilidad de los Data Centers según su nivel.

TIER III

Como se puedo apreciar en la imagen anterior cada nivel de la TIER proporciona un porcentaje de

disponibilidad bastante alto, en el caso de la empresa SperSys se requiere la TIER III, ofrece un

porcentaje de disponibilidad del 99.982% con aproximado de 0.8 horas de interrupción en un año,

con una redundancia de N+1.

Con esta configuración se considera que existe la posibilidad de elaborar periodos de

mantenimiento de equipos del Data Center sin el temor a que esto interfiera con los servicios que

provee, sin embargo, según la clasificación, en esta categoría los Data Centers no se encuentran

fuertemente protegidos en caso de cortes en caso de que ocurra algún incidente en su

infraestructura, por lo que se concluye que los Data Centers que pertenecen a la categoría TIER III

no poseen una redundancia total.

24

DATA CENTER SPERSYSArquitectura

A continuación se describirá la arquitectura la cual nos garantizara una disponibilidad 24/7

soportado por redundancia N+1 con personal especializado y herramientas adecuadas que

proporcionaran una fiabilidad el 100% del tiempo.

Todos los componentes de la arquitectura serán escalables lo cual nos permitirá un crecimiento

continuo que satisfaga De la misma manera los diferentes componentes deberán de incluir

redundancia lo cual nos permitirá tener alta disponibilidad.

La arquitectura ofrecerá un modelo de seguridad que protegerá los datos y la infraestructura frente a

ataques y a robos.

Topología a Utilizar

Se utilizara una topología de tres capas para la construcción de la red la cual permitirá agrupar

diferentes componentes que se conecten a la red. Los distintos niveles tendrán la capacidad de

prestar servicios a los otros niveles adyacentes

25

Se utilizara conexión centralizada para este tipo de conexión se utilizara una sola conexión cruzada

donde termina todo el cableado horizontal de los equipos y dispositivos. Se optimizara el uso de los

puntos disponibles de equipos de red y se maximiza la flexibilidad de la administración de

servicios.

ANÁLISIS TÉCNICO

El estudio de la factibilidad técnica del proyecto se determina con base a los siguientes recursos:

Recurso Humano

Actualmente se cuenta con cinco programadores de computadoras y una asistente, sin embargo, se

tiene previsto iniciar labores del Data Center con tres personas que serán las encargadas de velar por

el correcto funcionamiento del centro de datos y su vigilancia respectiva.

Perfil Del Personal:

Un aspecto muy importante del recurso humano es el perfil que debe cumplir cada persona que, en

determinado momento, aspira al puesto, para ello se detallan a continuación las características con

las que deben cumplir las personas que optan por los distintos cargos en el Data Center.

26

Descripción de los Perfiles

DESCRIPCIÓN DE LOS PERFILES LABORALES DE LA EMPRESA SPERSYS

PUESTO DESCRIPCIÓN REQUISITOS TÉCNICOS Y PROFESIONALES

Programador de

computadoras

Responsable del desarrollo

de programas que ayuden a

automatizar y sistematizar

los procesos operativos y

administrativos que se

necesiten en la

organización.

- Edad de 23 a 35 años.

- Estudiante del tercer año de la carrera

Ingeniería en Sistemas como mínimo.

- 2 años de experiencia en el área de

Programación.

- Conocimiento del idioma inglés.

- Conocimiento avanzado del ambiente

Windows, Microsoft Office.

- Conocimiento de base de datos, SQL Server y

MYSQL.

- Conocimiento de programación JAVA, PHP

y .NET

- Conocimiento del sistema operativo Linux.

Asistente

Responsable del apoyo

administrativo, en tareas de

planificación, seguimiento

y control de proyectos


- Nivel medio o estudiante universitario.

- 1 año de experiencia como mínimo en cargos

similares.

- Conocimiento en el manejo de paquetes de

ofimática.

- Capacidad de comunicación y atención al

cliente.

27

Encargado De

Monitoreo

Responsable del monitoreo,

control y vigilancia de los

distintos sectores del Data

Center.


- Experiencia mínima de 2 años en el monitoreo

de actividades de Data Centers.

- Conocimientos de manejo de equipos de

seguridad como cámaras, sensores de

movimiento, alarmas, etc.

Recurso Técnico:

Los dispositivos de Networking serán adquiridos con proveedores que puedan proporcionar una

garantía adecuada a las necesidades del Data Center, tomando en cuenta las siguientes

características:

Velocidad de respuesta ante incidentes.

Facilidad de contacto.

Tiempo de garantía del equipo.

Seguimiento a las operaciones realizadas.

EQUIPOS A UTILIZAR PARA EL DATA CENTER:

Características

El Data Center deberá contar con equipos que proporcionen una ventaja competitiva para el

crecimiento empresarial y que permita una mejora continua mediante una infraestructura que

cumpla con características tales como:

Lineamientos de la Tier III

Redundancia y habilidad de crecimiento.

Monitoreo de seguridad y alertas especializadas.

Acceso al centro de data restringido a personal autorizado solamente.

Acceso remoto para administrar y controlar el equipo y sistema operativo.

28

Equipo de apoyo dedicado y disponible 24x7x365 para soporte de la infraestructura.

SERVIDORES

Servidor para Base de Datos

Se utilizará el siguiente equipo debido a las características que presenta, las cuales se adecuan a las

necesidades que se requieren para la utilización de:

Característica Especificación técnica de PowerEdge R430

Imagen

Factor de forma Servidor en rack de 1 U

Procesador

Familia de productos de procesadores Intel® Xeon® E5-2600 v4 Sockets del procesador: 2 Chipset: C610 Interconexión interna: hasta 9,6 GT/s Caché: 2,5 MB por núcleo; opciones de núcleo: 4, 6, 8, 10, 12, 14, 16, 18, 20

Memoria DIMM DDR4 de hasta 2400 MT/s 12 ranuras DIMM: 4 GB/8 GB/16 GB/32 GB

Ranuras de E/S 2 PCIe 3.0

Almacenamiento

SAS, SATA, SAS nearline, SSD Chasis R430 múltiple disponible:

10 unidades de conexión en marcha de 2,5 in 8 unidades de conexión en marcha de 2,5 in 4 unidades de conexión en marcha de 3,5 in 4 unidades con cableado de 3,5 in

Fuentes de alimentación

450 W, 550 W PSU

Hipervisoresadmitidos opcionales

Citrix® XenServer, VMware vSphere® ESXi®, Red Hat® Enterprise Virtualization®

Sistemas operativos

Microsoft Windows Server® 2008 R2 Microsoft Windows Server 2012

29

Microsoft Windows Server 2012 R2 Novell® SUSE® Linux Enterprise Server Red Hat Enterprise Linux VMware vSphere ESXi

$ $663800

30

Servidor para Correo, DNS, DHCP



Característica Especificación técnica de PowerEdge R630

Imagen

Factor de forma Rack de 1 U Procesador Procesador Intel® Xeon® de la familia de productos E5-2600 v4

Memoria Hasta 1,5 TB (24 ranuras DIMM): 4 GB/8 GB/16 GB/32 GB/64 GB DDR4 hasta 2.400 MT/s

Ranuras de E/S Hasta 3 ranuras x PCIe 3.0 además de una ranura dedicada PERC

Almacenamiento

HDD: SAS, SATA, nearline SAS SSD: SAS, SATA, NVMe PCIe24 SSD x 1,8 in: hasta 23 TB por medio de SSD SATA de conexión en marcha de 0,96 TB10 x 2,5 in: hasta 18 TB por medio de HDD SAS de conexión en marcha de 1,8 TB8 x 2,5 in: hasta 14 TB por medio de HDD SAS de conexión en marcha de 1,8 TB


Fuente de alimentación de 750 W de CA con eficiencia Titanium; fuente de alimentación de 1.100 W de CA;495 W, 750 W, 1.100 W con eficiencia Platinum

Sistemas operativos

Microsoft Windows Server® 2008/2012 SP2,x86/x64 (x64 incluye Hyper-V®)Microsoft Windows Server 2008/2012 R2,x64 (incluye Hyper-V)Novell® SUSE® Linux Enterprise ServerRed Hat® Enterprise Linux

$ $303100

31

Servidor Para Red De Área De Almacenamiento (SAN



Característica * PowerEdge R930

Imagen

Factor de forma Rack de 4 U Procesador Procesadores Intel Xeon E7-8800 v4 y E7-4800 v4

Memoria (96 ranuras DIMM): DDR4 de 8 GB/16 GB/32 GB/64 GB, LRDIMM hasta 2400 MT/s

Ranuras de E/S Hasta 3 ranuras x PCIe 3.0 además de una ranura dedicada PERCAlmacenamiento SSD SATA/SAS de 2,5”, HDD SAS (15.000, 10.000), HDD SAS

Nearline (7200)SSD PCIe de 2,5”: SSD Dell PowerEdge NVMe Express Flash PCIe


PSU redundantes de conexión en marcha: 750 W CA, 1100 W CA

Sistemas operativos

Microsoft® Windows Server® 2012 R2Microsoft Windows Server 2012Novell® SUSE ® Linux Enterprise ServerRed Hat® Enterprise Linux®VMware vSphere® ESXi ™

$ $14,03900

32

Servidor para Aplicaciones y CMS



Característica PowerEdge R430

Imagen


Procesador

Familia de productos de procesadores Intel® Xeon® E5-2600 v4Sockets del procesador: 2Chipset: C610Interconexión interna: hasta 9,6 GT/sCaché: 2,5 MB por núcleo; opciones de núcleo: 4, 6, 8, 10, 12, 14, 16, 18, 20

Memoria DIMM DDR4 de hasta 2400 MT/s12 ranuras DIMM: 4 GB/8 GB/16 GB/32 GB


Almacenamiento

SAS, SATA, SAS nearline, SSDChasis R430 múltiple disponible:• 10 unidades de conexión en marcha de 2,5 in• 8 unidades de conexión en marcha de 2,5 in• 4 unidades de conexión en marcha de 3,5 in• 4 unidades con cableado de 3,5 in


450 W, 550 W PSU



Sistemas operativos

Microsoft Windows Server® 2008 R2Microsoft Windows Server 2012Microsoft Windows Server 2012 R2Novell® SUSE® Linux Enterprise ServerRed Hat Enterprise LinuxVMware vSphere ESXi

$ $1403900

33

Servidor para Active Directory



Característica PowerEdge R430

Imagen


Procesador

Familia de productos de procesadores Intel® Xeon® E5-2600 v4Sockets del procesador: 2Chipset: C610Interconexión interna: hasta 9,6 GT/sCaché: 2,5 MB por núcleo; opciones de núcleo: 4, 6, 8, 10, 12, 14, 16, 18, 20

Memoria DIMM DDR4 de hasta 2400 MT/s12 ranuras DIMM: 4 GB/8 GB/16 GB/32 GB


Almacenamiento

SAS, SATA, SAS nearline, SSDChasis R430 múltiple disponible:• 10 unidades de conexión en marcha de 2,5 in• 8 unidades de conexión en marcha de 2,5 in• 4 unidades de conexión en marcha de 3,5 in• 4 unidades con cableado de 3,5 in


450 W, 550 W PSU



Sistemas operativos

Microsoft Windows Server® 2008 R2Microsoft Windows Server 2012Microsoft Windows Server 2012 R2Novell® SUSE® Linux Enterprise ServerRed Hat Enterprise LinuxVMware vSphere ESXi

$ $1403900

34

EQUIPOS DE COMUNICACIÓN

Router



Conectividad de Redes

Característica Router Cisco 2901/K9 Mod, 2 GE, slots 4 EHWIC 2 DSP 1 ISM, IP Base [CISCO2901-K9]

Imagen

Descripción

Router modelo Cisco 2901, 2 puertos switch Gigabit, 4 slots para insertar módulos de interfaz de alta velocidad WAN (enhanced High-Speed WAN Interface Card EHWIC), 1 slot interno para módulo DSP (Digital Signal Processor), 1 slot interno para módulo ISM (Internal Services Module), Cisco IOS Software IP Base.

$ $1.052.000

35

Switch



Conectividad de Equipos

Característica Switch Linksys LGS326P 24x10/100/1000(PoE+)+ 2xGigabit SFP combinado [LGS326P]

Imagen

Descripción

Switch Linksys Smart LGS326P, de 26 puertos - Gestionado. Con 24 puertos 10/100/1000 (PoE+) + 2 puertos Gigabit SFP combinado.Incluye QoS y priorización del tráfico para ofrecer la mejor experiencia posible al usuario para aplicaciones de voz y video en tiempo real, así como la carga y descarga de archivos gráficos o de video de alto ancho de banda.Soporta el último estándar 802.3at (PoE +) al tiempo que ofrece 802.3af (PoE) compatibilidad estándar.Con la alimentación a través de la integración de Ethernet Plus elimina la necesidad de cables de alimentación adicionales y tomas de corriente cercana.Incluye también características para expandir y hacer crecer su red de forma rápida - incluido el Protocolo Spanning Tree (STP) y el control de tormentas características - para ayudar a controlar bucles. Además, protege la red a través de la autenticación de seguridad de puertos y puerto basado en MAC, que requieren los clientes para autenticarse antes de que se dicte datos. Con avanzada DHCP snooping e IP-MAC vinculante, funciones aseguran la integridad de la red y ayudar a prevenir posibles ataques.

Especificaciones:

Puertos: 24 x 10/100/1000 (PoE+) + 2 x Gigabit SFP combinadoAlimentación por Ethernet (PoE): PoE+Presupuesto PoE 192 W

Características

Rendimiento y confiabilidad probada Power Over Ethernet Plus Calidad de Servicio (QoS), priorización de Tráfico Configuración y administración fácil Seguridad de red avanzada 24 x 10/100/1000 (PoE+) + 2 x Gigabit SFP combinado Montaje en rack Ca 100/230 V

$ $434.000

36

Computadoras De Oficina:

Característica DELL Inspiron 20 3000

Imagen

Monitor Pantalla LED iluminada de 19.5" de alta definición (+HD) (1600 x 900) con capa antirreflejo.

Procesador Sexta generación del procesador Intel Core i3-6100U (3MB Caché, 2.30 GHz).

Memoria 4GB de Memoria DDR3L a 1600MHz, 1 DIMM.Ranuras de E/S 2 PCIe 3.0

Almacenamiento SATA de 1TB 5400 RPM.


450 W


Citrix® XenServer, VMware vSphere®, ESXi®, Red Hat® ,Enterprise Virtualization®

Sistemas operativos Microsoft Windows10

$ $549.00

37

INFRAESTRUCTURA ELÉCTRICA

Uno de los mayores desafíos que se presentan en los Centros de Datos es el aumento de la densidad

de consumo kW por rack, ya que se requiere mayor suministro eléctrico generando mayor calor en

la misma superficie esto debido que el avance tecnológico de los componentes de los servidores (en

especial procesadores y memorias). Si tomamos en cuenta que hoy en día existen dispositivos con

mayores prestaciones, que funcionan en espacio más reducido, pero que generan más calor en

comparación con el espacio que ocupaban los mismos equipos en un tiempo atrás. Otro factor

importante es que en la actualidad existe la virtualización la cual nos permite aprovechar los

recursos.

Para poner un ejemplo. Para realizar tareas de procesamiento centralizado en el año 2005 un data

center tradicional con 315 servidores de 2U cada uno requería unos 15 racks en promedio podría

tener una consumo promedio total de 4kW por rack, actualmente es misma capacidad de cálculo

puede ser reemplazada por 21 servidores que ocupan un solo rack , pero que tiene un consumo de

11 KW por rack, esto quiere decir que también la capacidad de enfriamiento debe ser superior, ya

que la densidad del calor generado tiene más concentración.

Fuente PrincipalEmpresa Eléctrica de Guatemala EEGSA

El sistema eléctrico de distribución planeado para el centro de datos de la empresa SperSys será un

alimentador trifásico que sale desde una fuente exterior a la empresa por vía subterránea llegando a

un tablero electico general en la que se concentrarán tanto el alumbrado como los servicios de

computación, así como los demás enchufes de la sala, las derivaciones de los UPS así como los

alimentadores para el sistema de refrigeración.

38

Fuente RedundanteGenerador Eléctrico

Es necesario la utilización de dos generadores eléctricos para proveernos energía eléctrica de una

forma autónoma ante desconexiones ya sean programadas o ausencia de electricidad.

Característica 25kva-250KVA Generador de Energía Silencioso con Motor Diésel de Cummins

Imagen

Descripción

25kva-250KVA Generador de Energía Silencioso con Motor Diésel de Cummins 1. Todos los grupos electrógenos tipo silencioso se levantan desde la parte superior. El cojín de amortiguador eficaz garantiza el equilibrio de la operación del equipo

$ US $ 5000,0

39

Circuitos Monofásicos Estos serán instalados a partir del tablero principal hacia los racks por medio de una escalerilla la

cual contara con un piso térmico, sus circuitos se extenderán desde su inicio hasta su pasillo central.

Todos los circuitos terminaran en sus enchufes respectivos, en los cuales se conectaran la toma

múltiple de cada uno de sus módulos.

Los conductores utilizados para alimentar los racks son de tipo libre halógeno de 3*4 mm2 de

sección.

Tierras FísicasLo ideal para tener una conexión a tierras es que esta tenga una resistencia de cero Ohmios sin

embargo la IEEE recomienda un valor de resistencia de tierra de 5.00 Ohmios o menos por lo cual

se trabaja bajo esos estándares.

Los colores para identificar cada una de las líneas de energía son los siguientes:

Rojo para (+) positivo.

40

Negro o azul para (-) negativo.

Verde / amarillo para la tierra.

Todas las cometidas cuentan con su respectiva canalización de manera que el cable no sea afectado

por un agente externo, ni afecte a los enlaces de telecomunicaciones, el cableado eléctrico también

irá montado sobre una escalerilla metálica similar a la del cable UTP, todos los cables serán

agrupados y sujetos de manera que este fijos a la escalerilla, de tal manera que se evite el

movimiento.

Las acometidas eléctricas estarán a una distancia mínima de 30 cm de las canalizaciones de cable de

cobre UTP para evitar la interferencia electromagnética.

1. Puesta a Tierra

2. El sistema de puesta a tierra integra todo el sistema de infraestructura:

3. Canalizaciones de infraestructura cable UTP

4. Fuentes de poder para los equipos activos.

5. Chasis de los equipos activos.

6. Canalización eléctrica

7. Gabinetes de telecomunicaciones

Unidad De Distribución De Energía (PDU)

Es importante considerar la alimentación de energía en forma independiente y para nuestra

climatización por lo tanto es necesario considerar un tablero de derivación. Para el cual debe contar

con las siguientes características.

Potencia estimada para cubrir la demanda interna de los equipos de climatización con una amplitud

del 20% para cambios en sus condiciones.

Un gabinete metálico de fácil acceso a los demás dispositivos, control manual o automática, luces

testigos y cerradura con llave.

EL tablero de Distribución debe contener los siguientes elementos:

Barrajes

Elementos de conexión

Interruptores para accionamiento de circuito de alumbrado

Dispositivos automáticos de protección contra sobre corriente

Elementos de medición

41

Debe tener la posibilidad de hacer sus montajes de conexión tanto en la parte delantera como en

la trasera, no siempre es necesario ubicar las conexiones dentro del armario.

Sistema Ininterrumpido de Potencia (UPS)

Características

Producto: UPS

Potencia 500 - 1500 VA

Voltaje 120V, 208/230V

Frecuencia 50/60 Hz

Configuración Torre

42

ENFRIAMIENTO DEL CENTRO DE DATOS

Debido a que los servidores en conjunto a los equipos que se instalan en el Centro de Datos disipan

mucho calor en el ambiente, se hace necesario crear una climatización estricta, tecnificada y

especial para estos, donde se logré la temperatura y humedad necesaria para el centro de datos, para

poder garantizar la integridad de los equipos y datos.

El objetivo de los sistemas de aire acondicionado para centros de datos es captar satisfactoriamente

este complejo flujo de calor residual y extraerlo de la sala.

Criterios tomados en cuenta para la el Enfriamiento Agilidad

Disponibilidad de los sistemas

Costo de vida útil

Capacidad de mantenimiento

Capacidad de administración

Primer coste

Eficiencia eléctrica

Conductos de transporte de agua u otros conductos cerca de los equipos de IT

Ubicación de la unidad de refrigeración

Redundancia

Método de eliminación del calor

Elementos Fundamentales del Enfriamiento

Los elementos que se tomarán en cuenta para la refrigeración del centro de datos, serán los

siguientes:

Gestión optimizada del flujo de aire.

Se incluirá un diseño optimizado para el envío del aire bajo el suelo técnico elevado y desde allí, a

través de los paneles perforados que dan acceso a los pasillos fríos, directamente de los gabinetes.

43

Pasillos fríos y calientes.

Se incorporará una distribución de pasillos fríos y calientes para poder dirigir el caudal de aire a los

servidores, logrando de esta manera obtener una temperatura constante. Las condiciones de trabajo

son más estables y con esto aumentamos la eficiencia de todo el sistema de enfriamiento.

Refrigeración localizada.

La refrigeración se encontrará localizada y dedicada, esto con el fin de enfriar directamente los

puntos determinados como calientes.

Máxima eficiencia con sistemas de agua fría.

Se trabajará con soluciones hidrómicas optimizadas para la climatización de precisión (HPAC), ya

que estas combinan un rendimiento energético con niveles de flexibilidad y fiabilidad.

Tecnología de Enfriamiento a utilizar

Para el enfriamiento del Centro de Datos, se utilizará una solución que combina dos tecnologías de

enfriamiento las cuales son: CD – Cooling Door, RC – Rack Coole.

Unidad de Puerta Fría (Cooling Door)

La unidad cd constituye el sistema más innovador y eficiente para la gestión de los "hot spots"

dentro de los centros de datos, es decir de rack de alta densidad hasta 40 kW/m 2 o más por rack. Se

trata de una unidad ""cooling door"" que se tiene que colocar en la parte trasera del rack y tiene que

gestionar un sistema dinámico autoadaptativo diseñado específicamente para la gestión del aire de

expulsión. características principales - ventiladores ec de nueva generación - adaptabilidad a racks

42u / 48u - posibilidad de suministro con rack - control dinámico de la estratificación de aire -

configuración r (n+1) y t - integración en sistemas dual, free-cooling + back up - gestión

dehumidification less principio de funcionamiento la unidad cd se considera como unidad stand

alone de refrigeración del aire extraído de cada rack en los pequeños centros de datos y como

sistema para la gestión de los hot spots en los grandes centros de datos como integración en

sistemas de acondicionamiento existentes para islas calientes y frías o en estructuras de

compartimentación. Mientras el acondicionamiento de los rack se remite a las unidades perimetrales

que suministran aire frío 18-20°c en el pasillo frío, la "cooling door" cd gestiona los rack con más

alta carga térmica generalmente debidos al uso de los modernos blade servers.

44

Características:

Capacidad adicional de enfriamiento gracias a la batería de agua fría disponible en simple y

doble circuito.

No ocupa espacio en planta

Adaptabilidad a la mayoría de racks

Alta eficiencia energética mediante el control electrónico de los ventiladores, proporcional a las

reales necesidades.

Gestión de la estratificación del aire Control preciso de la temperatura del rack mediante 8

sensores completamente independientes.

Conexiones hidráulicas flexibles desde arriba o desde abajo a elección del cliente y de acuerdo

a la disponibilidad del suelo técnico elevado.

Fácil integración con enfriadoras de última generación caracterizadas por tecnología de

levitación magnética y free cooling.

Eficiencia.

Flexibilidad.

Acoplamiento para cada tipo de rack.

Redundancia.

Dimensiones totales mínimas.

Control dinámico del rack.

Modularidad.

45

Compartimentación.

Control

Pantalla semigráfica 132 x 64 píxeles, 6 teclas retroiluminadas, software programable, registro 100

alarmas, alarma general, restablecimiento automático de Black Out, sistema LAN integrado, gestión

standby, rotación automática, gestión alarmas graves y 2 salidas de alarma configurables.

Unidad Rack Cooler de Agua Fría

La unidad de acondicionamiento de interior vertical rack cooler de constituye un eficiente sistema

de gestión de los hot spots en los centros de datos y garantiza bajos consumos energéticos y la

posibilidad de uso incluso con cargas sumamente elevadas para rack de alta densidad hasta 40

kw/m2 y más por rack. En la versión hidráulica donde la refrigeración la garantiza el uso de un

chiller externo. La utilización de sistemas de ventiladores tipo EC con motor brushless de

conmutación electrónica de última generación permite un excelente rendimiento en términos de

prevalencia y bajos consumos. Disponible de serie la gestión dinámica n+1 de los ventiladores EC

capaz de optimizar consumos y la redundancia del sistema de refrigeración. Principio de

funcionamiento se trata de unidades independientes que se tienen que colocar entre los rack dentro

de la fila de forma que actúen localmente para disipar la carga de los servidores. En las versiones

InRow (crc -i) el aire que se tiene que tratar lo aspira en la parte trasera de la unidad directamente la

isla caliente del centro de datos (35°c) con notables beneficios desde un punto de vista tanto de

46

eficiencia energética como de rendimiento frigorífico para luego refrigerarse y enviarse a la isla fría

(18-20°c) es decir en la parte de delante de los rack donde lo aspiran. En las versiones encapsulado

(crc -e) los servidores y el acondicionador se encuentran dentro de la estructura del rack

herméticamente cerrada y de este modo se evitan fenómenos de mezclado de aire con el exterior

con pérdidas de eficiencia evidentes en el acondicionamiento. El aire lo aspiran directamente dentro

del rack cerrado por la parte trasera directamente los servidores (46°c) y se envía por la parte de

delante una vez que se ha refrigerado (25-30°c) directamente a los servidores con un notable ahorro

de energía que se debe a la menor cantidad de aire tratado.

Características

Ahorros significativos debido al volumen de aire limitado, escalabilidad y modularidad.

Solución óptima para un único rack.

Disponible con 100% de redundancia.

Eficiencia.

Flexibilidad.

Gestión dinámica integrada de la temperatura.

Redundancia.

Modularidad.

Compartimentación.

Integración.

47

Beneficios generales de las tecnologías elegidas

Las unidades CD y RC se integran de la mejor manera para darle solución al problema de los

puntos de calor que generan los servidores blade.

Proporcionan el enfriamiento local exactamente donde se hace necesario.

Maximiza la capacidad interna del Centro de Datos.

Elimina los puntos de calor.

El espacio que ocupan es mínimo.

Trabajan con redundancia N+1

Enfriamiento adicional solo donde es necesario

Unidades de expansión directa o de agua enfriada.

Modulación del caudal de aire gracias a los ventiladores con motores EC Brushless de alta

eficiencia.

Los ventiladores se adaptan a la carga térmica que detectan los sensores ubicados en el pasillo

caliente y frío. Así, aumenta la eficiencia y se reduce la estratificación del aire.

Totalmente compatible con la mayoría de racks permitiendo la ampliación del sistema de

refrigeración.

Configuración de Pasillos Fríos y CalientesA través del suelo elevado, puede ser dirigido fácilmente el aire al lugar donde exactamente se

necesita.

El pasillo se torna flexible ya que proporciona la máxima libertad para distribuir de otra manera los

racks o realizar cambios en la infraestructura que sean necesarios.

48

Pasillos fríos

Se establecerán en espacios entre pasillos de 1.2 metros, y serán instalados en conjunto al cableado

de potencio o energía eléctrica.

Pasillos calientes

Se establecerán en espacios entre pasillos de 1.0 metro, y serán instalados en conjunto al cableado

de datos.

49

CONTROL DE AMBIENTE

Sistema de Incendio

Detección temprano de humo

Las soluciones de detección temprano de humo brindan alertas tempranas ante posibles incendios

inminentes dentro de los cuartos de servidores y telecomunicaciones.

Se implementa la detección de incendios para permitir una investigación rápida e iniciar una

respuesta apropiada para prevenir perdidas, daños a la propiedad o interrupciones del negocio.

Unidad de control de supresión de incendios

Se contempla la implementación de una Unidad de control de supresión de incendios que ofrece

circuitos de señalización, que son configurables por el usuario para accionar las válvulas de un

sistema de extinción. Mostrando alertas, problemas y eventos para supervisión del centro de datos

por medio de una pantalla LCD.

Permitiendo al centro de datos verificar eventos, alarmas silenciosas, operatividad por parte del

usuario y mantenimientos simples. Guardando un historial de actividades dentro de la empresa.

Restableciendo los sistemas de forma automática, con contraseñas de seguridad que niegan el

acceso no autorizado al sistema para un óptimo desempeño y reducción de desastres por parte del

personal.

Sistema de Extinción Incendio

Se utilizan sistemas de detección de incendios para el centro de datos como respuesta rápida,

ofreciendo una protección efectiva para la empresa, cuidando los activos y la continuidad de las

operaciones.

Es implementado en el centro de datos y cuartos de telecomunicaciones para evitar la propagación

de fuego que pueda causar pérdidas mayores y así reducir el impacto financiero dentro de la

empresa.

Se requiere un sistema que remueva la energía calorífica del fuego y no el oxígeno de la sala de

servidores, extinguiendo el fuego rápidamente a través de combinaciones químicas y remoción

física de calor.

50

SEGURIDAD DEL DATA CENTER

Seguridad Física

Control de accesos al Centro de Datos

Se rigen políticas de seguridad en el centro de datos, para la protección de los recursos tecnológicos,

por lo que se implementan procedimientos de control de accesos. Estableciendo normas de control

de ingreso, estadía y egreso al personal de soporte y mantenimiento a la infraestructura por medio

de autorizaciones estandarizadas.

Con la finalidad de garantizar el acceso al centro de datos por parte del personal para servicio y

mantenimiento de los equipos instalados en la sala de equipos, el usuario debe seguir las normas y

medidas de seguridad.

Este listado de autorizaciones de accesos permanentes, desbeberá ser un documento formal, firmada

por el apoderado de la empresa específico los accesos en horarios 24 x 7 x365.

Permanentemente se debe indicar:

Nombre, cargo, DPI o pasaporte de cada una de las personas enlistadas.

Personas con autorización para la solicitud de ingreso de personal temporal o no autorizado.

Personas con autorización de mando.

Personas autorizadas para el movimiento y retiro de equipos.

Tipos de accesos por personal y horarios a utilizar.

Documentación a presentar

Las políticas establecen que si un usuario deja de laborar para la consultora o empresa se deberá

indicar con antelación para evitar incidentes.

Procedimiento de entrada de personal de la empresa y visitantes.

El centro de datos cuenta con una garita de ingreso y egreso verificando los accesos, en los cuales

quedara identificado los registros de todas las personas que ingresen a las instalaciones.

Vigilancia Exterior (Garita)

Se implantan políticas de ingreso a las personas para un control detallado hacia las instalaciones, los

policías deben de seguir un régimen estricto en la seguridad de las instalaciones del centro de datos.

51

Se presentan las normas a seguir por parte de la seguridad policial:

1. Se restringe el ingreso al centro de datos a cualquier persona sin autorización

2. Cuando un usuario cuente con carnet de identificación, deberá presentarlo y el policía

ingresara los datos a la bitácora y permitirá el ingreso.

3. Si el usuario no cuenta con identificación de ingreso, se informa al encargado de seguridad

y este indicara si se brinda acceso o se deniega la entrada.

4. Se permite el ingreso dejando una identificación.

Seguridad perimetral

La seguridad perimetral corresponde a la integración de elementos y sistemas, tanto electrónicos

como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o

disuasión de intrusos en instalaciones especialmente sensibles.

Muros exteriores sin ventanas

Cerca eléctrica

Circuito cerrado de televisión (CCTV)

Alarmas perimetrales

52

Cerca Eléctrica

Circuito Cerrado de Televisión

53

Alarma Perimetral

Puertas de un Centro de Datos.

Se implementan puertas especiales de seguridad para los centros de datos, basados en estándares de

calidad y normativas internacionales para la protección de los cuartos de servidores y

telecomunicaciones.

Evitando filtraciones de humo, fuego, calor, agua aislando con eficiencia el cuarto de servidores.

Proporcionando resistencia a problemas de cualquier índole que permiten el accionamiento de los

Sistemas de existencia de fuego. Evitando deformaciones térmicas.

Programados con cerraduras automáticas y abatibles hacia afuera del centro de datos, permitiendo

cierre al vacío.

Cerraduras

Se contará con cerraduras de alta seguridad, combinando tecnología, fuerza y diseño que

complementan las puertas de cerrado al vacío. Con rendimiento de gama alta, de consumo mínimo

54

que no dañan el ambiente, estableciendo el acondicionamiento perfecto para la seguridad

establecida en el centro de datos.

Tipo de cerraduras electroimán (Electromagnética):

Ideal para su uso en el entorno externo o interno, Cerraduras tipo bóveda del electroimán tiene

características que agregan valor a su proyecto.

Control de Acceso

Se establecen controles de acceso Biométricas, que no permiten el acceso de personal no autorizado

a áreas sensibles, con controles de horarios de ingresos.

Incremento considerable de la seguridad del centro de acceso a cuartos sensibles que permite:

Identificación mediante un sistema de lectura de huella

Código de seguridad por empleado.

Reprogramación rápida y ágil.

55

Sistema Automático de Extinción de Incendios:

Dispositivo que detecta automáticamente un incendio y lleva a cabo la descarga del agente extintor

en o sobre el fuego.

Detectores de humo

Un detector de humo es una alarma que detecta la presencia de humo en el aire y emite una señal

acústica avisando del peligro de incendio.

Área de descarga y carga

Espacio del edificio de la data center designado para realizar las distintas operaciones de productos

que se entregan a la entidad así evitar que personas ajenas a la empresa lleguen hasta los puntos más

críticos de la empresa.

56

Seguridad Lógica

Nagios

Nagios es un sistema de monitorización de redes ampliamente utilizado, de código abierto, que

vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el

comportamiento de los mismos no sea el deseado. Entre sus características principales figuran la

monitorización de servicios de red (SMTP, POP3, HTTP, SNMP...), la monitorización de los

recursos de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los

puertos...), independencia de sistemas operativos, posibilidad de monitorización remota mediante

túneles SSL cifrados o SSH, y la posibilidad de programar plugins específicos para nuevos

sistemas.

UTM

La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es un término de

seguridad de la información que se refiere a una sola solución de seguridad, y por lo general un

único producto de seguridad, que ofrece varias funciones de seguridad en un solo punto en la red.

57

Un producto UTM generalmente incluye funciones como antivirus, anti-spyware, anti-spam,

firewall de red, prevención y detección de intrusiones, filtrado de contenido y prevención de fugas.

Algunas unidades también ofrecen servicios como enrutamiento remoto, traducción de direcciones

de red (NAT, network address translation) y compatibilidad para redes privadas virtuales (VPN,

virtual private network). El encanto de la solución se basa en la simplicidad, por lo que las

organizaciones que puedan haber tenido proveedores o productos para cada tarea de seguridad por

separado, ahora los pueden tener todos en una sola solución, con el apoyo de un único equipo o

segmento de TI, y que se ejecuta en una sola consola.

Controles de Acceso

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación,

en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de

aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la

integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso

permitido) y para resguardar la información confidencial de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica,

como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si

corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al

respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes

estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:

Identificación y Autentificación

Roles

El acceso a la información también puede controlarse a través de la función o rol del

usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes:

programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc.

En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.

Transacciones: También pueden implementarse controles a través de las transacciones, por

ejemplo, solicitando una clave al requerir el procesamiento de una transacción determinada.

Limitaciones a los Servicios: Estos controles se refieren a las restricciones que dependen

de parámetros propios de la utilización de la aplicación o preestablecidos por el

administrador del sistema. Un ejemplo podría ser que en la organización se disponga de

licencias para la utilización simultánea de un determinado producto de software para cinco

58

personas, en donde exista un control a nivel sistema que no permita la utilización del

producto a un sexto usuario.

Modalidad de Acceso

Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en

la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de

controles permite limitar el acceso de los usuarios a determinadas horas de día o a

determinados días de la semana. De esta forma se mantiene un control más restringido de

los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre

deben ir acompañados de alguno de los controles anteriormente mencionados.

Control de Acceso Interno

Control de Acceso Externo

Administración

59

Niveles de Seguridad Informática

El estándar de niveles de seguridad más utilizado internacionalmente es el Trusted Computer

Security Evaluation Criteria TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de

seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el

mínimo grado de seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego

internacionales (ISO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2

abarca los subniveles B1, C2, C1 y el D.

Nivel D

Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no

cumplen con ninguna especificación de seguridad.

Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y

no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los

sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.

Nivel C1: Protección Discrecional

Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario

puede manejar su información privada y se hace la distinción entre los usuarios y el administrador

del sistema, quien tiene control total de acceso.

Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este

"super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual

descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos

o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los

cambios que hizo cada usuario.

A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:

Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de

usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los

cuales podrán actuar usuarios o grupos de ellos.

60

Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a

ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin

autorización o identificación.

Nivel C2: Protección de Acceso Controlado

Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características

adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e

intentos fallidos de acceso a objetos.

Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan

acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los

permisos, sino también en los niveles de autorización.

Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las

acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del

sistema y sus usuarios.

La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el

comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el

procesador y el subsistema de discos.

Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración

del sistema sin necesidad de ser administradores.

Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es

cada usuario quien ejecuta el trabajo y no el administrador del sistema.

Nivel B1: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel,

como la secreta y ultra secreta. Se establece que el dueño del archivo no puede modificar los

permisos de un objeto que está bajo control de acceso obligatorio.

A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad

jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas,

ventas, etc.).

Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es

decir que cada usuario tiene sus objetos asociados.

61

También se establecen controles para limitar la propagación de derecho de accesos a los distintos

objetos.

Nivel B2: Protección Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.

La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un

nivel más elevado de seguridad en comunicación con otro objeto a un nivel inferior.

Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos

usuarios.

El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son

modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de

banda a utilizar por los demás usuarios.

Nivel B3: Dominios de Seguridad

Refuerza a los dominios con la instalación de hardware: por ejemplo, el hardware de administración

de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación

de objetos de diferentes dominios de seguridad.

Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o

las deniega según las políticas de acceso que se hayan definido.

Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir

análisis y testeos ante posibles violaciones.

Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión

segura.

Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.

Nivel A: Protección Verificada

Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos

formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.

Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben

incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis

de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para

evitar infiltraciones ante traslados o movimientos del equipamiento.

62

Cifrado

En criptografía, el cifrado es un procedimiento que utiliza un algoritmo de cifrado con cierta clave

(clave de cifrado) transforma un mensaje, sin atender a su estructura lingüística o significado, de tal

forma que sea incomprensible o, al menos, difícil de comprender a toda persona que no tenga la

clave secreta (clave de descifrado) del algoritmo. Las claves de cifrado y de descifrado pueden ser

iguales (criptografía simétrica), (criptografía asimétrica) o (Criptografía híbrida).

El juego de caracteres (alfabeto) usado en el mensaje sin cifrar puede no ser el mismo que el juego

de caracteres que se usa en el mensaje cifrado.

A veces el texto cifrado se escribe en bloques de igual longitud. A estos bloques se les denomina

grupos. Estos grupos proporcionaban una forma de verificación adicional, ya que el texto cifrado

obtenido debía tener un número entero de grupos. Si al cifrar el texto plano no se tiene ese número

entero de grupos, entonces se suele rellenar al final con ceros o con caracteres sin sentido.

Red privada virtual

Una red privada virtual (RPV), en inglés: Virtual Private Network (VPN), es una tecnología de red

de computadoras que permite una extensión segura de la red de área local (LAN) sobre una red

pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos

sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad,

seguridad y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión

virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos

métodos.

CABLEADO

Cableado Horizontal

El cableado horizontal es el utilizado en cada piso, este conecta cada usuario con un rack instalado.

Es decir es el cableado existente entre un rack intermedio y los usuarios. No se especifica cambios

para el cableado horizontal ya que el proyecto solo contempla el estudio del Data center.

Cableado Vertical

Para este tipo de cableado se recomienda usar fibra óptica multimodo. Al utilizar este tipo de

cable se garantiza una transmisión efectiva, sin interferencias electromagnéticas, un gran ancho de

banda, y el soporte de una velocidad de transmisión alta.

63

Cableado del Centro de Datos Basado En La Tia-568-C.2-1

La configuración del cableado estructurado será sistémico esto permitirá que exista un punto de

conexión en cada uno de los edificios construidos, a fin que sea posible la redundancia de

conexiones sin necesidad de tener que colocar cableado adicional.

De la misma manera el cableado será reconfigurable permitiendo reconfigurar la topología de la

red sin realizar cambios estructurales en el cableado. La conexión y cables de red de distribución

deben ser las mismas en todos los edificios para poder recibir todo tipo de redes y terminales.

Configuraciones del Cable

Descripción Imagen

Par trenzado ASI/TIA/EIA-568-A

Fibra óptica ANSI/TIA/EIA-569

64

Sub Sistemas Básicos del Cableado Estructurado

La construcción y configuración de los distintos sub sistemas serán regidos por TIA-568-C.2.-1,

ASI/TIA/EIA-568-A y ANSI/TIA/EIA-569

Sub sistemas Descripción

Cuartos de entrada de

servicio

La configuración de cableado estructurado contara con el cuarto de

entrada de servicios este cuarto se encontrara en el edificio

principal en este cuarto monitoreara y convergerán todas las

comunicaciones que se realicen entre los distintos edificios y la

nube. La conexión hacia internet será a través de dos backbone y

una un enlace satelital

Cuarto de equipo Se construirá un cuarto que resguardara el equipo de

telecomunicaciones

Cuarto de

telecomunicaciones

Este cuarto resguardara los distintos componentes asociados a el

cableado de telecomunicaciones

Cableado vertical El propósito de este cableado será intercomunicar a los distintos

componentes de servicios del data center con el backbone

Cableado horizontal Sera el encargado de la conexión desde el área de trabajo de

telecomunicaciones hasta el cuarto de telecomunicaciones

Área de trabajo Serán todas las terminales a las cuales se les asignara una conexión

65

Tipos de cables a utilizar en el Centro de Datos

66

Cable Utilización Imagen

Fibra óptica XGLO and

LightSystem Interlocking

Aluminum

Se utilizara para la conexión

entre los distintos edificios

Fibra optica XGLO

LightSystem Imdoor Tight

Buffer Distribution (US)

Para el cableado vertical

Category 6 OSP UTP Cable

–US

Se utilizara para las

conexiones horizontal

40/100G Equipment

Conversion cords for 100G

Se utilizara para la conexión

de la SAN.

ANÁLISIS ECONÓMICO

El objetivo del Análisis Económico es presentar una propuesta de inversión de la implementación

del Data Center, involucrando todos los aspectos relevantes e importantes de los cuales se pueden

mencionar costos de:

Infraestructura

Equipos

Herramientas

Mantenimiento

Recurso humano

Seguridad

Costos De Infraestructura

INSTALACIONES FÍSICAS DEL DATA CENTER:

Nombre Descripción Unidad Cantidad Precio Parcial

Puerta de Seguridad

Tipo: Lámina de acero ¼” espesorMedidas: 1.02x2.17mMarco: Planchas de acero de 1.4mmespesorCerradura: ElectromecánicaBisagras: Tipo caja fuerteBrazo Mecánico para auto retorno

Unidad 1 $1,100.00 $1,100.00

Rotulación de Letrero

Letrero de salida (EXIT), iluminado y construido con elementos reinsertables Unidad 1 $60.00 $60.00

Rampa de Acceso y Descanso

Estructura: Metálica en Acero reforzadoMedidas área de descanso:1.05mx1.02mBaranda: Metálica perimetral a la rampa y área de descansoMedidas de Rampa: 0.60x1.91x2x17.45°

Unidad 1 $1,800.00 $1,800.00

Piso Falso

Sistema: RemovibleTipo: Piso falso de acero inyectado en concreto liviano, moduladoPaneles (108): Acero modulares desmontables con revestimiento superior conductivo de 61x61x3.2cm Recubrimiento Superior: laminado de alta precisión (HPL) antiestática de 1.5 mm Pedestales: hierro acerado, regulados Altura de Instalación: 0.60cm

M2 38.50 $350.00 $13,475.00

67

Techo Falso

Tipo: Techo Falso metálico tipo fibramineralLáminas (108): 0.60x0.60cm Modulación: 0.60x0.60cm Altura de Instalación: 0.50cm

M2 38.50 $100.00 $3,850.00

TOTAL $20,285.00BANDEJA PORTACABLES TIPO ESCALERILLA


Instalación en Data Center "Piso Falso" (Cantidad Tramo Recto: 19.25m)

Tramo Recto: 3.66mx50.80cm Unidad 6 $130.00 $780.00

T Horizontal 90grad Unidad 2 $60.00 $120.00Cruz Horizontal Unidad 1 $60.00 $60.00Curva Vertical interna 90grad Unidad 3 $60.00 $180.00

Curva Vertical externa 90grad Unidad 3 $60.00 $180.00

Soportes de Tramos rectos (Separación:1.8m) Unidad 11 $4.00 $44.00

Soportes de Accesorios Unidad 22 $4.00 $88.00Conector de Unión para tramos rectos Unidad 12 $3.00 $36.00Conector de Unión para accesorios Unidad 36 $3.00 $108.00

$1,596.00Instalación en Pasillo de Unidad Informática "Techo

Falso" (Cantidad

Tramo Recto:

46.70m)

Tramo Recto: 3.66mx50.80cm Unidad 13 $130.00 $1,690.00T Horizontal 90º Unidad 11 $60.00 $660.00

Curva Horizontal 90º Unidad 7 $60.00 $420.00Soportes de Tramos rectos (Separación:

1.8m) Unidad 26 $4.00 $104.00

Soportes de Accesorios Unidad 54 $4.00 $216.00Conector de Unión para tramos rectos Unidad 26 $3.00 $78.00

Conector de Unión para accesorios Unidad 72 $3.00 $216.00$3,384.00

TOTAL $4,980.00CABLEADO ESTRUCTURADO DE LA UNIDAD INFORMÁTICA


Patch Cord, Jack,

Faceplate

Patch Cord Cat 6a FTP 7ft (Voz y Datos) Unidad 35 $14.00 $490.00

Patch Cord Cat 6a FTP 3ft (Gabinetes) Unidad 35 $14.00 $490.00Módulo Jack RJ-45, T568A/B (Voz y

Datos) Unidad 35 $9.00 $315.00

Faceplate 2 Salidas (Voz y Datos) Unidad 21 $2.30 $48.30$1,343.30

Cableado Horizontal

Cable FTP Cat 6a (Voz) Metro 258.15 $1.80 $464.67Cable FTP Cat 6a (Datos) Metro 602.40 $1.80 $1,084.32

68

$1,548.99

Patch Panel

Patch Panel No Sólido, 24 Puertos (Voz) Unidad 1 $40.00 $40.00

Patch Panel No Sólido, 24 Puertos (Servidores) Unidad 1 $40.00 $40.00

Patch Panel No Sólido, 24 Puertos (Elementos Data Center: Aire

acondicionado, Control de acceso, UPS)Unidad 1 $40.00 $40.00

Patch Panel No Sólido, 48 Puertos (Datos) Unidad 1 $80.00 $80.00

$200.00

Canaliza-ción

(Cantidad Tramo Recto:

118.69m)

Tubería Metálica EMT ¾” (3.05m) Unidad 41 $100.00 $4,100.00

Curva de Tubo EMT ¾” Unidad 41 $25.00 $1,025.00

Soporte de Tubería EMT Unidad 53 $4.00 $212.00Cajas para Salida deTelecomunicaciones Unidad 21 $4.00 $84.00

$5,421.00TOTAL $8,513.29

PUESTA A TIERRA DEL DATA CENTERNombre Descripción Unidad Cantidad Precio Parcial

Cable #2AWG Malla de Cobre desnudo Metro 112 $5.00 $560.00

Abrazadera de Bronce

Abrazadera de Aterrizaje (Unión de cables de la malla, cada 3 pedestales

del piso falso) Unidad 44 $13.00 $572.00

TGB Barra de Tierra para telecomunicaciones Medidas:

10"X2"

Unidad 1 $100.00 $100.00

TMGBBarra de Tierra principal de

telecomunicaciones Medidas: 12"X4"

Unidad 1 $130.00 $130.00

Cable #6 AWG Aterrizaje de Bandeja tipo Escalerilla (Recorrido Data Center) Metro 30 $3.50 $105.00

Cable #6 AWG

Kit +Jumper (50cm) de Aterrizaje para Rack Metro 1.50 $20.00 $30.00

Kit +Jumper (1m) de Aterrizaje para Bandeja tipo Escalerilla Data Center Metro 1 $25.00 $25.00

Kit +Jumper (1m) de Aterrizaje de Pedestales Piso Falso (88) Metro 88 $25.00 $2,200.00

Cable #2 AWGKit +Jumper (1m) de Aterrizaje

Tablero de Distribución, Tableros de Bypass

Metro 3 $5.00 $15.00

Cable #1 AWG Conexión de Malla de cobre al TGB Metro 1 $8.00 $8.00TOTAL $3,745.00

69

CABLEADO ELÉCTRICO DEL DATA CENTERNombre Descripción Unidad Cantidad Precio Parcial

Cable Eléctrico

Cable #12 AWG Instalación (110v) F+N+T Metro 590.65 $0.50 $295.33

Cable #12 AWG Instalación (220v) 2F+N+T Metro 405.80 $0.50 $202.90

$498.23

TomasEléctricas

Toma Corriente doble (110v) sobre piso falso Unidad 6 $2.25 $13.50

Toma Corriente doble (220v) sobre piso falso Unidad 3 $2.25 $6.75

Toma Corriente normal doble (110v)sobre pared Unidad 4 $2.25 $9.00

Toma Corriente normal doble (220v)sobre pared Unidad 1 $2.25 $2.25

$31.50Interruptores Interruptor Triple Unidad 1 $2.50 $2.50Tablero de Distribución

Tipo: Doble fondo construido con lámina de acero de un espesor de

Unidad 1 $1,200.00 $1,200.00Tablero de Bypass para

Tipo: Doble fondo construido con lámina de acero de un espesor de

Unidad 2 $2,000.00 $4,000.00Canalización (Cantidad

Tubería Metálica EMT ¾” (3m) Unidad 21 $100.00 $2,100.00Curva de Tubo EMT ¾” Unidad 14 $25.00 $350.00Soporte de Tubería EMT Unidad 14 $4.00 $56.00

Cajas de Paso Unidad 12 $4.00 $48.00Cajas de Salida Eléctrica Unidad 15 $4.00 $60.00

$2,614.00Luminarias

PrincipalesLámparas Fluorescentes T8

60X60cm Unidad 9 $220.00 $1,980.00

Luminarias de emergencia Focos Direccionales Unidad 5 $40.00 $200.00

TOTAL $10,526.23AIRE ACONDICIONADO Y EQUIPOS DE PROTECCIÓN ELÉCTRICA

Nombre Descripción Unidad Cantidad

Precio ParcialAire Acondicionado de Precisión

Capacidad: 30000 BTU (Data Center) Unidad 2 $15,000.00 $30,000.00

UPS

Capacidad: 10Kva (Equipos Data Center) Unidad 2 $10,000.00 $20,000.00

Capacidad: 20Kva (Equipos ÁreaInformática) Unidad 2 $10,000.00 $20,000.00

Generador Unidad 1 $10,000.00 $10,000.00

TOTAL $80,000.00SISTEMAS DE SEGURIDAD DEL DATA CENTER


Precio Parcial

70

Sistema de Control de Acceso

Capacidad para controlar el acceso vía sistema biométrico, teclado (contraseña) y tarjeta o token de

aproximación.

Unidad 1 $600.00 $600.00

Sistema de Detección y Extinción de Incendios

Sistema de DetecciónPanel de Control Unidad 1 $900.00 $900.00

Detectores de Humo Fotoeléctricos Unidad 11 $100.00 $1,100.00Luces Estroboscópicas con sirena Unidad 2 $90.00 $180.00

Estación Manual de descarga Unidad 1 $80.00 $80.00$2,260.00

Sistema de ExtinciónAgente Extintor FM200+Manguera

de Descarga (1) + Boquillas de descarga (11)

Unidad 1 $8,000.00 $8,000.00

$8,000.00Tubería EMT

Tubería Metálica EMT 1/2” (3.05m),

Tramo Recto: 20m (Detectores de Humo)

Unidad 7 $80.00 $560.00

Tubería Metálica EMT 1/2” (3.05m),

Tramo Recto: 17m (Descarga Agente

Unidad 6 $80.00 $480.00

$1,040.00

$1Extintor C02 20lbs Unidad 2 $240.00 $480.00

Cajas de Seguridad para Cintotecas

Material: Construido con láminas de acero blindado y concreto sólido recubierto por todos sus lados. Espacio Inferior para guardar documentos o cintas aproximadamente(240) Medidas: 110x65x85cm

Unidad 2 $1,200.00 $2,400.00

$14,780.00

TOTAL $142,829.52

71

Costo De Equipos

EQUIPOS INFORMÁTICOS DEL DATA CENTERNombre Descripción Unidad Cantidad Precio Parcial

Rack Tipo Gabinete

Rack Tipo gabinete para Voz y Datos Racks Cerrados, construidos en aluminio

extruido, estructura elaborada en perfilería acerada.

Capacidad: 45 RU para equipos,Estándar de 19” de ancho.

Medidas: 7 pies (2.13m)x75cmx100cm

Organizadores Verticales.

Unidad 2 $1,500.00 $3,000.00

Organizadores Horizontales, Multitomas,

Bandejas, Barrajes de puesta a tierra

Rack Tipo gabinete para Servidores Racks Cerrados,

construidos en aluminio extruido, estructura elaborada en

perfilería acerada.Capacidad: 45 RU para equipos

Estándar de 19” de ancho.Medidas: 7 pies

(2.13m)x60cmx100cmOrganizadores Verticales,

Organizadores Horizontales, Multitomas,

Bandejas, Barrajes de puesta a tierra

Unidad 1 $1,450.00 $1,450.00

$4,450.00

Switch deComunicación

Switch capa 2/3/4 PWR 24 Puertos de acceso (Voz),

Puertos de Fibra Óptica (2)Unidad 1 $2,300.00 $2,300.00

Switch capa 2/3/4 PWR 24 Puertos de acceso (Servidores),

Puertos de Fibra Óptica (2)Unidad 1 $2,300.00 $2,300.00

72

Switch capa 2/3/4 PWR 24 Puertos de acceso (Elementos: aire acondicionado, control de acceso, UPS), Puertos de Fibra

Óptica (2)

Unidad 1 $2,300.00 $2,300.00

Switch capa 2/3/4 PWR 48 Puertos de acceso (Datos), Puertos de Fibra Óptica (2)

Unidad 1 $6,500.00 $6,500.00

$13,400.00

Servidores

Aplicaciones de Virtualización Unidad 1 $23,237.48 $23,237.48

Configuración de Virtualización Unidad 1 $10,000.00 $10,000.00

Hardware Data Center

Servidor Power Edge R430 Unidad 3 $6638 $19,914.00

Power Edge R630 Unidad 2 $3031 $6062.00

Servidor Dell Power Edge*R930 Unidad 2 $14,390.00 $28,770.00

Equipo de oficina Unidad 13 $549.00, $7137.00

$95,13019.48SUBTOTAL $112,980.48

Sistema de Respaldo

Unidad Robótica de Respaldo +Software+ Cintas

Comprimidas 3TB (10)Unidad 1 $10,000.00 $10,000.00

TOTAL $122,980.48

73

Costos De HerramientasHERRAMIENTAS DEL DATA CENTER


Precio Parcial

Herramientas de Red

Kit de herramientas de red para el Data Center Unidad 1 $250.00 $250.00

Herramientas de Mantenimiento para equipos

Kit de herramientas para mantenimiento de equipos en Data

CenterUnidad 1 $150.00 $150.00

Plan de Contingencia

IncendioMáscara contra gases y sistemas de

oxígeno portátiles Unidad 10 $30.00 $300.00

Capacitación (Uso de extintores manuales) Unidad 1 $100.00 $100.00

Simulacros de Incendio Unidad 2 $50.00 $100.00Capacitación sobre Incendio Unidad 1 $150.00 $150.00

Botiquín de primeros auxilios Unidad 1 $30.00 $30.00

Señalización para Incendio Unidad 10 $10.00 $100.00

Lámparas emergentes con batería Unidad 10 $15.00 $150.00Inundación

Sistema de Drenaje Unidad 1 $300.00 $300.00Bolsas de Plástico impermeables

(Racks) Unidad 3 $25.00 $75.00

Simulacro de Inundación Unidad 2 $50.00 $100.00Capacitación sobre Inundación Unidad 1 $100.00 $100.00

T erre m o t o Kit (Linterna, Radio, Batería) U

nidad10 $15.00 $150.00

Kit (Cascos de seguridad, Protectores faciales)

Unidad 10 $30.00 $300.00

Capacitación sobre Terremoto Unidad 1 $150.00 $150.00

Simulacro de Terremoto Unidad

2 $80.00 $160.00R obo C o m ún

Letreros y Anuncios (Acceso no autorizado)

Unidad 5 $10.00 $50.00

Tarjetas de Identificación del personal Unidad 10 $20.00 $200.00

74

UIGuardia de Seguridad (UI) Mes 12 $500.00 $6,000.00

Capacitación Guardia de Seguridad Unidad 1 $150.00 $150.00Equipo de protección (Armamento

+chaleco + radio portátil)

Unidad 1 $260.00 $260.00

Robo de InformaciónCapacitación sobre Robo de

información Unidad 1 $400.00 $400.00

Fallo de EquiposCapacitación sobre administración

de equipos de cómputo Unidad 1 $450.00 $450.00

$9,775.00TOTAL $10,175.00

Costo De Recurso Humano

RECURSO HUMANO DEL DATA CENTER

NOMBRE DESCRIPCIÓN UNIDAD CANTIDAD PRECIO PARCIAL

Director de la Unidad Informática

Sueldo del Aministrador del Data Center (Sueldo Mensual: $1500.00

Unidad 1 $18,000.00 $18,000.00

Capacitación Administración de Servidores (Anual)

Unidad 1 $3,000.00 $3,000.00

TOTAL $21,000.00

75

Costos De Mantenimiento De Equipos e Infraestructura

MANTENIMIENTO DE EQUIPOS E INFRAESTRUCTURA DEL DATA CENTER

Servicio de Mantenimiento

Tiempo Mant.

(Horas/Mes)

Período (Mese/año)

Total (Horas/

Año)

Costo Por Hora

(Hora)

Costo Anual

Cant.

Parcial

Servidores y Sistema de Array de Discos "Storage"

6 4 24 $ 50.00 $ 1,200.00 5 $ 6,000.00

UnidadRobótica deRespaldo

4 3 12 $ 25.00 $ 300.00 1 $ 300.00

Equipos deComunicación

5 3 15 $ 25.00 $ 375.00 6 $ 2,250.00

CableadoEstructurado

8 3 24 $ 80.00 $ 1,920.00 1 $ 1,920.00

Red Eléctrica 8 3 24 $ 70.00 $ 1,680.00 1 $ 1,680.00

Climatización 4 2 8 $ 40.00 $ 320.00 1 $ 320.00

UPS 4 4 16 $ 50.00 $ 800.00 2 $ 1,600.00

Sistemas de Detección y Extinción de Incendios

8 3 4 $ 60.00 $ 1,440.00 1 $ 1,440.00

Control deAcceso

3 3 9 $ 15.00 $ 135.00 1 $ 135.00

Rampa deAcceso

3 2 6 $ 15.00 $ 90.00 1 $ 90.00

Piso Falso 8 3 24 $ 30.00 $ 720.00 1 $ 720.00

Puerta deAcceso

2 2 4 $ 10.00 $ 40.00 1 $ 40.00

Techo Falso 8 2 16 $ 20.00 $ 320.00 1 $ 320.00

EscalerillaPortacables

8 3 24 $ 15.00 $ 360.00 1 $ 360.00

Puesta a tierra 8 3 24 $ 35.00 $ 840.00 1 $ 840.00Servidores y Sistema de Array de Discos "Storage"

6 4 24$ 50.00 $ 1,200.00 5 $ 6,000.00

76

$ 18,015.00

Resumen De Costos De Inversión De Implementación

No. Nombre Descripción Total Parcial

1 Costos de Infraestructura Infraestructura del Data Center, costos de instalaciones, materiales y equipo para su construcción.

$142,829.52

2 Costos de Equipos Equipos de Networking y comunicación para poder brindar los servicios requeridos por los usuarios y la organización.

$122,980.48

3 Costos de Herramientas Herramientas necesarias para los distintos procesos de montaje e instalación de la infraestructura y equipos.

$ 10,175.00

4 Costos de Recurso Humano Personas capacitadas, competentes y adecuadas para cada uno de los servicios.

$ 21,000.00

5 Costo de Mantenimiento de Equipo e Infraestructura

Manteniendo de las instalaciones, por personal competente y capacitado

$ 18,015.00

TOTAL $315,000.00

77

ANÁLISIS OPERATIVO

La necesidad de la implementación de un Data Center para la empresa SperSys se ve reflejada en el

crecimiento que ha tenido últimamente debido a la alta calidad de su trabajo, por lo que se debe

prever una infraestructura que cumpla con los estándares de calidad, que sea adecuada y que

satisfaga las necesidades del cliente interno y externo, sin descuidar la escalabilidad que puede tener

a futuro.

Se estima que el grado de aprobación del proyecto por parte de las personas que trabajan en la

empresa será alta debido a las siguientes características:

Se tendrá una infraestructura propia.

El personal está familiarizado con el equipo debido a su experiencia laboral.

Se contará con personal dedicado al monitoreo, lo que no afectará las funciones de los

colaboradores.

78

POLÍTICAS DE SEGURIDAD LÓGICA Y FÍSICA DATA CENTER SPERSYS

79

Políticas de Seguridad de La Información

SGSI-P-TI-01

Políticas de Seguridad de la Información

ISO 27001:2013 Versión: 1.0

Controles:

A.6.1

A.6.1.1-A.6.1.8

A.6.2.1- A.6.2.3

A.7.2

A.7.2.1-A.7.2.3

A.12.3.1

Vigente: Hasta 01/09/2018

Objetivos:

Proporcionar dirección gerencial y apoyo a la seguridad de la información en concordancia con los

requerimientos comerciales y leyes y regulaciones relevantes.

Manejar la seguridad de la información dentro de la organización.

Mantener la seguridad de la información de la organización y los medios de procesamiento de

información a los cuales entidades externas tienen acceso y procesan; o son comunicados a o manejados

por entidades externas.

Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o

externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,

integridad, disponibilidad, legalidad y confiabilidad de la información.

Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.

Alcances:

La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o

Subcontratación).

Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar

adecuadamente la seguridad de la información, los sistemas informáticos.

Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.

Descripción

a) La gerencia debe aprobar un documento de política, este se debe publicar y comunicar a todos los

empleados y entidades externas relevantes.

b) La política de seguridad de la información debe ser revisada regularmente a intervalos planeados o si

ocurren cambios significativos para asegurar la continua idoneidad, eficiencia y efectividad.

80

c) La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección

clara, compromiso demostrado, asignación explícita y reconocimiento de las responsabilidades de la

seguridad de la información.

d) Las actividades de seguridad de la información deben ser coordinadas por representantes de las

diferentes partes de la organización con las funciones y roles laborales relevantes.

e) Se deben definir claramente las responsabilidades de la seguridad de la información.

f) Se debe definir e implementar un proceso de autorización gerencial para los nuevos medios de

procesamiento de información

g) Se deben identificar y revisar regularmente los requerimientos de confidencialidad o los acuerdos de no-

divulgación reflejando las necesidades de la organización para la protección de la información.

h) El enfoque de la organización para manejar la seguridad de la información y su implementación (es

decir; objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la

información) se debe revisar independientemente a intervalos planeados, o cuando ocurran cambios

significativos para la implementación de la seguridad.

i) Se deben tratar todos los requerimientos de seguridad identificados antes de otorgar a los clientes acceso

a la información o activos de la organización.

j) Los acuerdos que involucran acceso, procesamiento, comunicación o manejo por parte de terceras

personas a la información o los medios de procesamiento de información de la organización; agregar

productos o servicios a los medios de procesamiento de la información deben abarcar los requerimientos

de seguridad necesarios relevantes.

k) Se debe desarrollar e implementar un apropiado conjunto de procedimientos para etiquetar y manejar la

información en concordancia con el esquema de clasificación adoptado por la organización.

l) Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección

de la información.

Términos y Condiciones:

El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,

conforme a la magnitud y característica del aspecto no cumplido.

Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.

Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo

las formalidades impuestas.

Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros

requisitos aplicables.

Política de Usuario

81

SGSI-P-TI-01

Políticas de Usuario

ISO 27001:2013 Versión: 1.0

Controles:

A.11.2.1 - A.11.2.4

A.11.3.1 - A.11.3.2

A.11.4.1 - A.11.4.6

A.11.5.2

A.11.6.1

A.13.1.2

A.15.1.5


Objetivos:

Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de

información.

Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.





Alcances:


Subcontratación).




Descripción:

a) Se debe solicitar por medio de un formulario dirigido al departamento TI para la creación de usuario que

le permita el acceso a los aplicativos, de la misma manera para el procedimiento para darse de baja.

b) Se debe asignar roles y/ privilegios para el acceso limitado a cada usuario.

c) Las contraseñas se deben asignar y/o enviar al usuario a través de su correo y manera encriptada; así

mismo se debe entregar por medio de un documento escrito.

d) La alta gerencia y/o encargados de cada departamento debe regular y/o autorizar la asignación de acceso

82

a los usuarios de acuerdo a su perfil.

e) Se debe asignar claves fuertes como mínimo 8 caracteres que incluyan números, caracteres especiales y

numeración.

f) Se debe llevar un control por escrito para el acceso de usuarios remotos.

g) Se debe seccionar la red para un mejor control de los usuarios.

h) Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas

i) El registro de los usuario se realizar por medio de su id por ende se debe asignar unipersonal.

j) Se debe restringir los accesos a los usuarios a sistemas de información sensible y de valioso activo.

k) Se debe requerir por medio de un oficio que los empleados, contratistas y terceros estén comprometidos

para realizar y/o reportar cualquier debilidad en el sistema.

l) Se debe prohibir a los usuarios de utilizar dispositivos (pendrive) externos a la institución.


a) El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,


b) Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.

c) Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo disponga cumpliendo


d) Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros


Política de Monitoreo

SGSI-P-TI-01

Políticas de Monitoreo ISO 27001:2013 Versión: 1.0

83

Controles:

A.10.10

A.10.10.1-A.10.10.5


Objetivos:

Detectar actividades de procesamiento de información no autorizadas.

Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.





Alcances:

La presente política aplica a todo el personal de Monitoreo, (ya sea que cuenten con contrato indefinido,

temporal y/o Subcontratación).




Descripción:

a) Se deben establecer procedimientos para monitorear el uso de los medios de procesamiento de

información y el resultado de las actividades de monitoreo se debe revisar regularmente.

b) Se deben proteger los medios de registro y la información del registro contra alteraciones y acceso no-

autorizado.

c) Se debe monitorear los servicios que se realizan en el data center.

d) Se deben producir registros de la actividades de auditoria, excepciones y eventos de seguridad de la

información y se deben mantener durante un período acordado para ayudar en investigaciones futuras y

monitorear el control de acceso.

e) Las fallas se deben registrar, analizar y se debe tomar la acción apropiada.

f) Se deben proteger los medios de registro y la información del registro contra alteraciones y acceso no-

autorizado.






84




Política Protección Contra Código Malicioso-Antivirus

SGSI-P-TI-01

Políticas Protección Contra Código Malicioso ISO 27001:2013 Versión: 1.0

Controles:

85

A.10.4- A.10.4.1


Objetivos:

Proteger la integridad del software y la información.





Alcances:


Subcontratación).




Descripción:

a) Se deben implementar controles de detección, prevención y recuperación para protegerse de códigos

malicioso y se deben implementar procedimientos de conciencia apropiados.

Lineamientos Generales del empleo del antivirus:

b) Es responsabilidad del IT la instalación del cliente de software antivirus en todos los equipos de la red,

del buen funcionamiento, así como de la habilitación de las funcionalidades de autoprotección y

descarga automática de las actualizaciones del software antivirus.

c) Es responsabilidad del IT realizar las gestiones necesarias ante la autoridad correspondiente para la

autorización de adquisición o actualización de las licencias de uso.

d) Es responsabilidad del usuario mantener siempre activo el software antivirus, descargar e instalar las

actualizaciones del software tan pronto como estén disponibles del sitio oficial.

e) En el caso de que el equipo no sea propiedad de la institución, el IT hará un escaneo del equipo antes de

conectarlo a la red y en su caso se le instalará temporalmente bajo el amparo de la licencia del antivirus

oficial, siendo responsabilidad del propietario del equipo de desinstalarlo una vez que terminen las

actividades que le involucraron estar conectado a la red de la institución.

f) Realice siempre un escaneo de cualquier unidad del disco extraíble antes de usarla.

g) Si alguna prueba de laboratorio entra en conflicto con el software antivirus, ejecute el antivirus para

asegurar una máquina limpia, deshabilite el software antivirus, después ejecute la prueba de laboratorio.

Después de la prueba de laboratorio, habilite el software antivirus. Mientras el software antivirus esté

86

deshabilitado no active ninguna aplicación que pueda transferir algún virus, e. g. archivos compartidos,

correo electrónico, etc.

h) Casi diariamente se descubren nuevos virus. Compruebe periódicamente la política de Antivirus y los

procesos recomendados para realizar las actualizaciones.

Acciones de prevención de código malicioso:

i) Nunca abra archivos o macros adjuntos a un correo de una fuente desconocida, sospechosa o que no sea

de confianza. Borre inmediatamente estos archivos adjuntos y después haga un "doble borrado" vaciando

su carpeta de reciclaje.

j) Borre el “spam”, cadenas y cualquier otro tipo de correo chatarra sin reenviarlo a otros destinatarios.

k) Nunca descargue archivos de fuentes desconocidas o sospechosas.

l) Evite utilizar recursos compartidos de disco con acceso de lectura/grabación a menos que sea

absolutamente necesario.

m) Realice regularmente una copia de seguridad de sus datos críticos y de las configuraciones del sistema y

almacénelos en un lugar seguro.

Respuesta ante una infección de virus:

n) Contactar inmediatamente al TI cuando se tenga certeza o sospecha de que una computadora se ha

infectado con un virus. Normalmente el TI podrá eliminar el virus, esto puede implicar una visita al sitio

del trabajo o remotamente si se puede tener acceso a la computadora.

o) Si no se puede eliminar una infección viral, el disco duro de la computadora se deberá formatear y todo

el software y aplicaciones deberán ser reinstalados desde copias limpias con licencias.

p) Si el TI dictamina que una computadora infectada es capaz de propagar la infección o afectar otras

computadoras o la red, la computadora infectada será inmediatamente desconectada de la red de la red

hasta que el TI o quién el designe determine que está libre de virus.

q) Antivirus instalado obligatoriamente en cada equipo-

r) El equipo deberá ser actualizado diariamente.

s) Se tiene prohibido inhabilitar el antivirus.







87



Política de Respaldo (Backup)

SGSI-P-TI-01

Política de Respaldo (Backup)

ISO 27001:2013 Versión: 1.0

Controles:

A.10.5

A.10.5.1

88


Objetivos:

Mantener la integridad y disponibilidad de los servicios de procesamiento de información y

comunicaciones.

Proporcionar medios de respaldo adecuados para asegurar que toda la información esencial y el

software, se pueda recuperar después de una falla





Alcances:

La presente política aplica a todo el personal de Monitoreo, (ya sea que cuenten con contrato indefinido,

temporal y/o Subcontratación).




Descripción:

a) Se deben realizar copias de back-up o respaldo de la información comercial y software esencial y se

deben probar regularmente de acuerdo a la política.

b) Todas las copias de información crítica deben ser almacenadas en un área adecuada y con

control de acceso.

c) Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen información

crítica; el dueño de la información debe asegurar que el plan es adecuado, frecuentemente

actualizado y periódicamente probado y revisado

d) Deben existir al menos una copia de la información de los discos de red, la cual deberá permanecer fuera

de las instalaciones.

e) Semanalmente los administradores de infraestructura, verificarán la correcta ejecución de los procesos

de backup, suministrarán las cintas requeridas para cada trabajo y controlarán la vida útil de

cada cinta o medio empleado.

f) El Área de Información y Sistemas debe mantener un inventario actualizado de las copias de respaldo de

la información y los aplicativos.

89









Política de Activos -Equipo Tecnológico

SGSI-P-TI-01

Política de Activos

ISO 27001:2013 Versión: 1.0

Controles:

A.7- A.7.1

A.7.1.1 - A.7.1.3


Objetivos:

90

Lograr y mantener la protección apropiada de los activos organizacionales.





Alcances:


Subcontratación).




Descripción: _____________________________________________________________

a) Todos los activos deben estar claramente identificados; y se debe elaborar y mantener un inventario de

todos los activos importantes.

b) Toda la información y los activos asociados con los medios de procesamiento de la información deben

ser propiedad de una parte designada de la organización.

c) Se deben identificar, documentar e implementar las reglas para el uso aceptable de la información y los

activos asociados con los medios de procesamiento de la información.

d) Periódicamente, el Área de Información y Sistemas efectuará la revisión de los programas

utilizados en cada dependencia. La descarga, instalación o uso de aplicativos o programas informáticos

no autorizados será considera como una violación a las Políticas de Seguridad de la Información.

e) Todos los requerimientos de aplicativos, sistemas y equipos informáticos deben ser solicitados a través

de la mesa de ayuda del Área de Información y Sistemas con su correspondiente justificación

para su respectiva viabilidad.

f) Los recursos informáticos no podrán ser utilizados, sin previa autorización escrita, para divulgar,

propagar o almacenar contenido personal o comercial de publicidad, promociones, ofertas, programas

destructivos (virus), propaganda política, material religioso o cualquier otro uso que no esté autorizado.

g) Todo cambio a la infraestructura informática deberá estar controlado y será realizado de acuerdo con los

procedimientos de gestión de cambios del área de información y sistemas.


91








Política de Seguridad Física y Ambiental

SGSI-P-TI-01

Política de Seguridad Física y Ambiental

ISO 27001:2013 Versión: 1.0

Controles:

A.9.1

A.9.1.1-A.9.1.6


Objetivos:

Evitar el acceso físico no autorizado, daño e interferencia al local y la información de la organización.

92





Alcances:


Subcontratación).




Descripción:

a) Se debe utilizar perímetros de seguridad barreras tales como paredes y puertas de ingreso controlado o

recepcionistas para proteger áreas que contienen información y medios de procesamiento de

información.

b) Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se

permita acceso al personal autorizado.

c) Se debe diseñar y aplicar seguridad física en las oficinas, habitaciones y medios.

d) Se debe diseñar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión,

disturbios civiles y otras formas de desastre natural o creado por el hombre

e) Se debe diseñar y aplicar protección física y lineamientos para trabajar en áreas seguras.

f) Se deben controlar los puntos de acceso como las áreas de entrega y descarga y otros puntos donde

personas no-autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislar de los

medios de procesamiento de la información para evitar un acceso no autorizado.

g) El equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales,

y las oportunidades para el acceso no autorizado.

h) El equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en los

servicios públicos.

i) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de

información deben ser protegidos de la intercepción o daño.

a) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de


b) El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad.

c) Las puertas de acceso a las salas de cómputo deben ser transparentes, para favorecer el control del uso de

93

los recursos de cómputo.

d) Las instalaciones deberán estar libres de contactos e instalaciones eléctricas en mal estado.

e) Se deberá contar con al menos un extinguidor de incendios adecuado y cercano a cada área de trabajo.

f) Se deberá contar un plan de continuidad del negocio.

g) Se deberá contar con un plan de recuperación ante desastres.

h) Se deberá contar con un técnico para realizar el control diario de temperatura y aires acondicionados,

para llevar un control de los mismos.

i) Los sistemas de tierra física, sistemas de protección e instalaciones eléctricas deberán recibir

mantenimiento anual con el fin de determinar la efectividad del sistema.









Política de Seguridad Equipos de Cómputo

SGSI-P-TI-01

Políticas de Seguridad Equipo de Computo

ISO 27001:2013 Versión: 1.0

Controles:

A.9.2

A.9.2.1- A.2.7


Objetivos:

Evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la

organización



94



Alcances:


Subcontratación).




Descripción:

a) El equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales,

y las oportunidades para el acceso no autorizado.

b) El equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en los

servicios públicos.

c) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de


d) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de


e) El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad.

f) Se debe aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar

fuera del local de la organización.

g) Todos los ítems de equipo que contengan medios de almacenaje deben ser chequeados para asegurar que

se haya removido o sobre-escrito de manera segura cualquier data confidencial y software con licencia

antes de su eliminación.

h) Equipos, información o software no deben ser sacados fuera de la propiedad sin previa autorización.

i) Los equipos se instalarán en lugares adecuados, lejos del polvo y tráfico de personas.

j) Las diferentes áreas de trabajo, deberán contar con un plano actualizado de las instalaciones eléctricas y

de comunicaciones del equipo de cómputo en red.

k) Las instalaciones eléctricas y de telecomunicaciones, estarán preferiblemente fijas o en su defecto

resguardadas del paso de personas o materiales, y libres de cualquier interferencia eléctrica o magnética.

l) Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando de esta manera

las especificaciones del cableado y de los circuitos de protección necesarios para su funcionamiento.

m) En ningún caso se permitirán instalaciones improvisadas, sin ningún aval del jefe o encargado del área.

95

n) La supervisión y control de las instalaciones se llevará a cabo en los plazos que establezca el jefe

superior de cada área.









Política de Control de Acceso al Centro de DatosSGSI-P-TI-01

Política de Control de Acceso al Centro de Datos

ISO 27001:2013 Versión: 1.0

Controles:

A.7.1

A.9.2

A.9.1.1-A.9.1.4


Objetivos:

Evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la

organización

Establecer las normas para el control de acceso de personal al centro de datos.

Informar a los usuarios de la presente política, y las posibles modificaciones que se pudieran dar.


96




Alcances:


Subcontratación).




Descripción:

a) Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se

permita acceso al personal autorizado.

b) No se permite el ingreso al centro de datos, al personal que no esté expresamente autorizado. Se

debe llevar un control de ingreso y salida del personal que visita el centro de datos. En el centro de datos

debe disponerse de una planilla para el registro, la cual debe ser diligenciada en lapicero de

tinta al iniciar y finalizar la actividad a realizar.

c) Todos los sistemas de comunicaciones estarán debidamente protegidos con infraestructura apropiada de

manera que el usuario no tenga acceso físico directo al centro de datos.

d) Para garantizar el acceso al centro de datos al personal necesario para la operación de los equipos

instalados en la sala de equipos se utilizará un listado de personal técnico y/o administrativo que tendrá

acceso permanente al edificio en horarios de lunes a viernes de 8:00 a.m. a 5:00 p.m. y acceso 24 x 7 x

365.

e) El personal que cuente con permiso para el ingreso a las áreas sensibles del centro de datos, deberá tener

registrada una huella para poder tener acceso al cuarto que sea necesario, mediante el sistema de lectura

de huellas.

f) Las visitas deberán portar una identificación con un código de clasificación de acuerdo al área de visita,

que les será asignado por el área de seguridad.

g) Las visitas internas o externas podrán acceder a las áreas restringidas siempre y cuando se encuentren

acompañadas cuando menos por una persona responsable del área, con permiso de la autoridad

correspondiente.

h) Se deberán establecer horarios de acceso a instalaciones físicas, especificando los procedimientos y en

qué casos se deberán hacer excepciones.

i) Se deberá definir el personal autorizado para mover, cambiar o extraer equipo de las diferentes áreas del

97

centro de datos

j) Las puertas del centro de datos deben permanecer cerradas. Si por alguna circunstancia se requiere

ingresar y salir del centro de datos, el funcionario responsable de la actividad se ubicará dentro del

centro de datos.

k) Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallas

que se puedan presentar.









Política de Seguridad de ServidoresSGSI-P-TI-01

Política de Seguridad de Servidores

ISO 27001:2013 Versión: 1.0

Controles:

A.9.1.2

A.9.2.1


Objetivos:

Mantener los equipos en correcto estado, para su buen funcionamiento; informar a los usuarios de la

presente política, y las posibles modificaciones que se pudieran dar.

Establecer las normas para el control de acceso de personal al centro de datos.

Informar a los usuarios de la presente política, y las posibles modificaciones que se pudieran dar.




98


Alcances:

Las normas que se establezcan en la presente política serán de aplicación a todos los encargados de

trabajar directamente con los servidores del centro de datos.


Subcontratación).




Descripción:

a) El centro de control tiene la responsabilidad de verificar la instalación, configuración e implementación

de seguridad en los servidores conectados a la red.

b) La instalación y/o configuración de todo servidor conectado a la red deberá ser notificado a las diferentes

áreas que intervienen para el buen funcionamiento de los servidores en el centro de datos.

c) Durante la configuración del servidor el área de informática y telecomunicaciones deberá normar el uso

del sistema y la red, principalmente la restricción de directorios, permisos y programas a ser ejecutados.

d) Los servidores de servicios a través de la red deberán funcionar las 24 horas del día los 365 días del año.

e) Los servidores deberán recibir mantenimiento preventivo semanal o quincenalmente según lo amerite y

dispongan los encargados del mismo.

f) Los servidores deberán recibir mantenimiento que incluya la revisión de su configuración

semestralmente.

g) La información de los servidores deberá ser respaldada de acuerdo con los siguientes lineamientos:

h) Diariamente, información crítica.

i) Semanalmente, los correos, documentos que se manejen.

j) Quincenalmente, la configuración del servidor y bitácoras.







99



Política de Redes y TelecomunicacionesSGSI-P-TI-01

Políticas de Redes y Telecomunicaciones

ISO 27001:2013 Versión: 1.0

Controles:

A.10.6

A.10.6.1

A.11.4

A.11.4.1-A.11.4.2

A.9.2.3


Objetivos:

Evitar el acceso no-autorizado a los servicios en red.

Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.

Las normas que se establezcan en la presente política serán de aplicación a todos los usuarios de la red y

telecomunicaciones.

Establecer las normas para el control de acceso de personal al centro de datos; informar a los usuarios de

100

la presente política, y las posibles modificaciones que se pudieran dar.





Alcances:

Las normas que se establezcan en la presente política serán de aplicación a todos los usuarios de la red y

telecomunicaciones.


Subcontratación).




Descripción:

a) Los usuarios sólo deben tener acceso a los servicios para los cuales han sido específicamente autorizados

a usar.

b) Las redes deben ser adecuadamente manejadas y controladas para poderlas proteger de amenazas, y para

mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la información en

tránsito.

c) Se debe utilizar métodos de autenticación para controlar el acceso de usuarios remotos.

d) El área de telecomunicaciones no es responsable por el contenido de datos, ni por el tráfico que en ella

circule, la responsabilidad es directamente sobre el usuario que manipule, genere o solicite la

información.

e) Nadie puede ver, copiar, alterar o destruir la información que reside en los equipos sin el pleno

consentimiento del responsable del equipo.

f) No se permite el uso de los servicios de la red cuando no cumplan con las labores propias de la empresa.

g) Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de la empresa y se usarán

exclusivamente para actividades relacionadas con la labor asignada.

h) Todas las cuentas de acceso a los sistemas y recursos de red y telecomunicaciones son personales e

intransferibles. Se permite su uso únicamente durante la vigencia de derechos del usuario.

i) No se permitirá el uso de analizadores para monitorear las redes de la empresa, esta función es

únicamente y exclusivamente de los encargados del área de redes y telecomunicaciones.

j) Si se detecta el mal o no aceptable uso de los recursos informáticos, se cancelará la cuenta o se

desconectará temporal o permanentemente al usuario o red involucrada. La reconexión se hará en cuanto

101

se considere que el uso no aceptable se ha suspendido.

k) Si no se cuenta con acceso a internet y la labor del usuario lo amerita necesario deberá llenar el

formulario Acceso a Internet, para que se le pueda habilitar el servicio.









POLÍTICAS DE HOSTING

102

Recurso de los ServidoresPSH-P-TI-01

Recurso de los ServidoresVersión: 1.0

Controles:

PSH-2016


Objetivos:

Dar un servicio optimo

Alcances:

Clientes que arrendan espacio (hosting)

Descripción:

1) Todos los servicios de hosting compartidos tienen limitantes de los recursos que pueden utilizar de sus

servidores. Pasar estas limitantes implica la suspensión de los servicios para preservar el buen

funcionamiento de los servidores compartidos y no afectar a otros clientes de la misma máquina. En caso

que un servicio presente 2 o más suspensiones por este motivo en el período de 1 año será terminado y

eliminado de nuestros servidores sin posibilidad alguna de exigir por parte del cliente rembolso de cualquier

dinero pagado.

103

2) El detalle de las limitantes de recursos de los servidores es el siguiente:

a) Ejecutar procesos que utilicen más del 80% de la CPU por más de 3 minutos.

b) Procesos que requieran sobre 48 MB de memoria, o gran número de peticiones que ralenticen el

funcionamiento del servidor.

c) Utilizar más del 10% de todos los recursos del sistema disponibles en cualquier momento por más de 30

minutos.

d) Saturación del servidor por parte de aplicaciones de CMS tipo Foros, Moodle, entre otras que atente

contra el rendimiento de la máquina y por ende que perjudiquen el correcto funcionamiento de los

otros clientes que utilicen el mismo servidor.









Servicios ProhibidosPSH-P-TI-01

SP-01-2016

Servicios Prohibidos

Versión: 1.0

Controles:

PSH-2016


Objetivos:


Alcances:


Descripción:

1) Todos nuestros planes en cualquiera de sus modalidades prohíben el uso de nuestros recursos para los

siguientes servicios:

a) La utilización de los servidores de SperSys para distribución de software y descargas masivas.

b) No se permite la instalación de ningún tipo de Chat.

c) La utilización de los servidores de SperSys para trasmisión o descarga de video y/o música en cualquier

tipo de formato.

104

d) La utilización de los servidores de SperSys para prestar servicios de juegos en línea de cualquier tipo.

e) Envío de mail masivo de cualquier índole y tipo. Utilizar más del 10% de todos los recursos del sistema

disponibles en cualquier momento por más de 30 minutos.

f) Saturación del servidor por parte de aplicaciones de CMS tipo Foros, Moodle, entre otras que atente

contra el rendimiento de la máquina y por ende que perjudiquen el correcto funcionamiento de los

otros clientes que utilicen el mismo servidor.









Utilización del Correo ElectrónicoPSH-P-TI-01

Utilización del Correo Electrónico

Versión: 1.0

Controles:

PSH-2016


Objetivos:


Alcances:


Descripción:

1) El envío de mail masivo queda absolutamente prohibido y no se permitirá bajo ninguna circunstancia. Aun

cuando sea a base de datos de clientes o se cuente con autorización de los mismos.

2) La detección por parte de nuestra empresa de un cliente enviando mail masivo es una causal de suspensión

inmediata de los servicios.

3) La utilización de servicios de otros proveedores para efectuar campañas publicitarias abusivas haciendo

referencia en dichas campañas a servicios alojados en SperSys también implica suspensión del servicio.

4) Si se sorprende por segunda vez a un cliente teniendo enviando mail masivo sea este intencional o no, de

105

publicidad o de cualquier índole el servicio queda terminado en forma inmediata sin posibilidad de

devolución alguna de remanente del dinero pagado.

5) La cantidad máxima permitida para el envío de mail por parte de los servicios compartidos por hora por

dominio es de 300 mail. En caso que se supere esta cantidad los sitios se verán imposibilitados de seguir

mandando mail hasta que pase el período de 1 hora. Si requiere envío de mayor cantidad de mail por hora los

servidores permiten el envío de hasta 1,000 correos por hora y los servidores dedicados hasta 5,000 correos

por hora.









Seguridad, Límites y Versiones

PSH-P-TI-01

Seguridad, Limites y Versiones

Versión: 1.0

Controles:

PSH-2016


Objetivos:


Alcances:


Descripción:

1) Se realiza actualización automáticamente a las versiones para las base de datos a versiones estables sugeridas

a través del Cpanel en todos nuestros servidores compartidos. Por la naturaleza de estos procesos no

necesariamente serán avisados a nuestros clientes. Son estos los que tienen que revisar sus sitios web para

que no presenten incompatibilidades con las versiones estables de cada servidor. No obstante, tomamos los

recaudos necesarios, deshabilitando funciones que puedan afectar mediante su utilización la estabilidad del

servicio. No permitimos la ejecución de scripts que saturen los recursos disponibles. Quienes deseen

disponer de todos los recursos, deberán optar por un servicio que no sea compartido. Así mismo, por razones

106

de seguridad, y por antigüedad de las mismas el registro de globales ya no se encuentra activo, las variables

deben ser declaradas implícitamente.

2) El envío de correo por medio de la función mail () deberá contar con un valor verdadero, el remitente debe

ser webmaster@ el dominio de referencia. El alias deberá ser configurado desde el panel de control.

3) Cada usuario verá limitada su operación a los paths accesibles vía ftp.

4) Todos los planes de hosting compartidos tienen parámetros limitantes para proteger la caída de los servidores

por sobreconsumo. Estos parámetros son:

a) Límite de memoria máxima asignada para scripts = 40 MB.

b) Peso máximo de archivos para subir por scripts = 20 MB.

c) Tiempo máximo de ejecución de un scripts = 30 segundos.

d) Cantidad máxima de correo enviados por dominio = 300 por hora.









107

Contenido del sitio web y Backups de informaciónPSH-P-TI-01

Contenido del sitio web y Backups de información

Versión: 1.0

Controles:

PSH-2016


Objetivos:


Alcances:


Descripción:

1) SperSys no tendrá responsabilidad alguna por el contenido y la información que el Cliente aloje en nuestros

servidores, no obstante lo anterior, SperSys, podrá poner término al presente servicio y en cualquier

momento, si a su juicio, la información alojada por el Cliente en nuestros servidores atenta contra la ley

vigente, la moral y las buenas costumbres, o afecta a terceras personas, incluyendo el envío de correos

masivos no solicitados (SPAM).

2) SperSys no está obligado a guardar o almacenar ningún tipo de información de ninguna cuenta que no esté al

día en sus pagos. Todo contenido podrá ser eliminado de nuestros servidores desde el día siguiente del

término del período contratado. Es responsabilidad del cliente respaldar sus datos antes del término de

cualquier contrato. SperSys no entregará ningún tipo de información o contenido a clientes con cuentas

terminadas.

108

3) En el evento que se detecte Phishing, esto es, aquel delito cibernético que se comete mediante el uso de un

tipo de ingeniería social para intentar adquirir información confidencial de forma fraudulenta como puede

ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria, SperSys

suspenderá el servicio por un periodo no menor a 24 horas. Ahora, si esto se repite durante 02 veces en un

periodo igual a 01 año, se eliminará automáticamente el dominio de los servidores quedando SperSys

liberada de cualquier responsabilidad.

4) El cliente mantiene información alojada en los servidores de la empresa SperSys. En el evento que dicha

información sea hackeada o manipulada por terceros, SperSys se compromete a restaurar dicha información

hasta 3 veces en el período de un año desde los backup que pudiera tener disponibles. El exceso de

restauraciones en el período tendrá un costo adicional de Q10, 000 cada una.

5) Sin perjuicio de lo anterior, SperSys no se hace responsable bajo ninguna circunstancia del contenido ni de

la calidad de la información restaurada, ya que si la información original presenta problemas, los respaldos

resultantes también tendrán los mismos problemas.

6) Es obligación del Cliente es tomar todas las medidas necesarias para resguardar adecuadamente su

información.









109

Programación e Instalación de CMSPSH-P-TI-01

Programación e Instalación de CMS

Versión: 1.0

Controles:

PSH-2016


Objetivos:


Alcances:


Descripción:

1) Si el cliente va a instalar un CMS WordPress tiene que tener en cuenta estos puntos ya que estas plataformas

en caso de no mantenerse actualizadas permiten el ingreso de hackers en forma muy fácil.

2) El usuario se asegurará de mantener actualizados todos sus scripts instalados en su cuenta de hosting con la

versión más reciente del mismo, para evitar vulnerabilidades y/o intrusiones en el servidor.

3) El usuario se asegurará de no dejar carpetas, directorios y/o archivos con permisos públicos de acceso total

en su cuenta de hosting, asignar permisos lectura, escritura y ejecución cualquier carpeta, directorio y/o

archivo permitirá la intromisión en el servidor de posibles atacantes con fines de interrupción de servicios

y/o destrucción de contenidos.

4) SperSys no da soporte de ningún tipo para este tipo de plataformas y en caso que presenten riesgo debido a

la falta de actualización podrá suspender carpetas, servicios o el sitio completo para evitar posibles ataques

a los servidores compartidos.


110








Pago y NotificaciónPSH-P-TI-01

Pago y Notificación

Versión: 1.0

Controles:

PSH-2016


Objetivos:


Alcances:


Descripción:

1) El Cliente pagará a SperSys por los servicios prestados de acuerdo a la forma y valor aceptados al momento

de completar el formulario web.

2) En la eventualidad de que el Cliente no pague oportunamente los valores por los servicios, SperSys estará

facultada para suspender los servicios objeto de este contrato y a dar por terminado el mismo.

3) SperSys no efectúa ningún tipo de rembolso aunque el cliente decida dar por terminado el contrato antes de

la fecha de vencimiento del mismo, excepto en los primeros 30 días de contrato del servicio.

4) El Cliente deberá notificar cualquier pago que haga mediante el formulario de notificación creado en nuestro

sitio web para tal efecto

5) Esta es la única vía válida por la cual SperSys dará por enterado del pago de alguno de sus servicios. El

hecho de enviar mail por parte de alguna institución bancaria a alguna de nuestras direcciones no será

considerado como notificación válida.

111









Suspensión y Término de ServicioPSH-P-TI-01

Suspensión y Término de Servicio

Versión: 1.0

Controles:

PSH-2016


Objetivos:


Alcances:


Descripción:

1) Cualquiera de las siguientes conductas o ejecución de los siguientes procesos queda prohibido y son causales

de suspensión inmediata de los servicios:

a) Envío de mail masivo o Spam, ya sea en forma intencional o por infección de virus de algún terminal

del cliente.

b) Detección de Phishing ya sea intencional o por omisión de las medidas de seguridad de su programación

del cliente en su sitio web.

c) Ejecutar procesos que utilicen más del 80% de la cpu por más de 3 minutos.

d) Procesos que requieran sobre 48 MB de memoria, o gran número de peticiones que ralenticen el

funcionamiento del servidor.

e) Utilizar más del 10% de todos los recursos del sistema disponibles en cualquier momento por más de 30

minutos.

112

f) Saturación del servidor por parte de aplicaciones de CMS tipo Foros, Moodle, entre otras que atente

contra el rendimiento de la máquina y por ende que perjudiquen el correcto funcionamiento de los otros

clientes que utilicen el mismo servidor.

2) Son causales de terminación anticipada del contrato:

a) El no pago íntegro y oportuno del precio pactado por los servicios.

3) Cualquiera de las siguientes conductas o ejecución de los siguientes procesos queda prohibido y son causales

de término de los servicios:

a) Enviar mail masivo o Spam más de 2 veces en el período de un año.

b) Detección de Phishing en el sitio web del cliente más de una vez en el período de un año.

c) Comportamiento abusivo contra el personal: No se tolerará ningún comportamiento abusivo, lengua

abusiva o amenazas contra ningún miembro del personal de SperSys.

d) El incumplimiento de cualquiera de las demás obligaciones establecidas en el presente documento.

e) La notificación del término anticipado del contrato por alguna de las causales descritas en esta cláusula,

faculta el ejercicio de las acciones legales para indemnizar los perjuicios que originen los

incumplimientos, cualquiera que sea su naturaleza.









113

Obligaciones de SperSys Hosting

PSH-P-TI-01

Obligaciones de SperSys Hosting

Versión: 1.0

Controles:

PSH-2016


Objetivos:


Alcances:


Descripción:

1) SperSys deberá dar cumplimiento a las siguientes obligaciones:

a) Prestar a el Cliente los servicios contratados, esto es, servicio de correo electrónico y sitio web en forma

íntegra y oportuna.

b) La información confidencial de la cual tome conocimiento Hostingcenter.cl, como resultado de la

prestación de los servicios que da cuenta el contrato, es de propiedad exclusiva del Cliente. En

consecuencia, SperSys no podrá divulgar a terceros dicha información, salvo expresa autorización

escrita del Cliente.

c) Esta obligación será extensiva para todos los dependientes de SperSys.

2) Las restricciones de uso y revelación de la información y por tanto la obligación de confidencialidad de la

misma no serán aplicables a aquella parte de la Información Confidencial que:

114

a) A la fecha de la revelación, la información ya era de dominio público.

b) Si SperSys o sus representantes fueren válidamente requeridos o notificados por un tribunal de justicia o

por una autoridad gubernamental o administrativa, para revelar la existencia y/o contenido de la

información confidencial. En el evento que esto ocurra.

3) SperSys deberá informar por escrito a l Cliente, a más tardar dentro del quinto día del requerimiento.

4) SperSys garantiza un tiempo de uptime, esto es, el funcionamiento cada uno de los servicios (correo

electrónico y sitio web) de un Disponibilidad: 99,982%, 1,6 horas de interrupción al año, redundancia N+1









115

Responsabilidades del ClientePSH-P-TI-01

Responsabilidades del Cliente

Versión: 1.0

Controles:

PSH-2016


Objetivos:


Alcances:


Descripción:

1) Es responsabilidad del Cliente la definición y establecimiento de los niveles de protección y resguardo de los

datos mediante el uso de claves o contraseñas, establecimiento de perfiles de seguridad de acceso, los cuales

están imbuidos en sus aplicaciones, a las cuales el personal de Hostingcenter.cl no tiene acceso.

2) Es responsabilidad del cliente asegurar que toda su programación sea compatible con las versiones estables

que se van actualizando periódicamente en los servidores. Para esto puede ver desde su Panel de Control las

versiones de Cpanel, Mysql, MSSQL, que presenta su servidor permanentemente.

3) Los equipos computacionales son herramientas para el procesamiento de datos que por su naturaleza están

sujetos a eventuales fallas, ya sea por funcionamiento propio o en sus programas. Por esta razón el Cliente

deberá tomar las medidas preventivas usuales en la actividad computacional, así como contar con la holgura

necesaria para la ejecución de sus procesos y respaldos de la información. El Cliente será directa y

exclusivamente responsable de la eficiencia del personal que opera su infraestructura tecnológica.

4) El usuario se asegurará de no dejar carpetas, directorios y/o archivos con permisos de acceso total en su

cuenta de hosting, asignar todos los permisos a cualquier carpeta, directorio y/o archivo permitirá la

116

intromisión en el servidor de posibles atacantes con fines de interrupción de servicios y/o destrucción de

contenidos.

5) El usuario se asegurará de mantener actualizados todos sus scripts instalados en su cuenta de hosting con la

versión más reciente del mismo, para evitar vulnerabilidades y/o intrusiones en el servidor (Hackeo).

6) El cliente se asegurará de revisar el contenido de su sitio web manteniéndolo seguro y libre de cualquier tipo

de código malicioso.









Referencias Para las políticas de seguridad se tiene como base la ISO 27001:2013

117

PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)

118

Introducción:

Se reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un incidente

o desastre que afecte la operación, como también la necesidad de recuperarse en el menor tiempo

posible, garantizando la continuidad del Data Center.

Guatemala es un país susceptible a desastres naturales y desastres ocasionados por el ser humano y

su reducción debe ser parte importante de la toma de decisiones antes de realizar un proyecto. El

presente plan de Continuidad del Negocio se divide en diferentes partes siendo la primera, la

identificación de amenazas que conlleva la seguridad de la información, desde la infraestructura del

lugar en donde se implementará hasta los dispositivos que se utilizarán para lograr alta

disponibilidad en el sistema para evitar que en un momento los usuarios no puedan tener acceso a la

información. El segundo paso consiste en analizar las amenazas y establecer su impacto para la

organización.

El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad de

los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte del

Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la prevención y

atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno

a la operación normal.

119

Objetivos del Plan de ContinuaciónObjetivo General

Incorporar el Plan de Continuidad del Negocio y el Plan de Recuperación ante Desastres en

los procesos y fases de la implementación del Data Center, los cuales deben de asegurar las

tres áreas fundamentales que son: Confidencialidad, Integridad y Disponibilidad.

Objetivos Específicos Vincular el Análisis y Gestión de Riesgos en las etapas de la implementación del Data

Center en la empresa.

Orientar a las personas para tomar en cuenta el plan de Continuidad del negocio y la

aplicación del plan de Recuperación ante Desastres para garantizar la eficiencia y eficacia

del Data Center.

Tener el Plan de Recuperación ante Desastres para las posibles amenazas hacia los activos

de la empresa.

Contar con una matriz de riegos para categorizar las amenazas según su impacto para la

empresa.

AlcanceEl Plan de Continuidad de Negocios es una disciplina que prepara a la organización para poder

continuar operando durante un incidente o desastre, a través de la implementación de un plan de

continuidad, el cual contempla los lineamientos de administración de la continuidad de la empresa,

el desarrollo de fases que componen el plan de continuidad y las metodologías definidas para su

recuperación, como también el desarrollo de los planes de Recuperación ante Desastres, que se

realizan de acuerdo con las prioridades establecidas por la SperSys.

De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades con las

que cuenta la empresa SperSys para enfrentar situaciones que amenacen o afecten la integridad

física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los

mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de

crisis y los demás sistemas de gestión.

Conceptos Básicos

Plan de Continuidad de Negocios: Es un sistema administrativo integrado, transversal a toda la

organización, que permite mantener alineados y vigentes todas las iniciativas, estrategias, planes de

respuesta y demás componentes y actores de la continuidad del negocio. Busca mantener la

viabilidad antes, durante y después de una interrupción de cualquier tipo. Abarca las personas,

procesos de negocios, tecnología e infraestructura.

120

Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el

cual puede causar interrupción o reducción en la calidad del servicio y en la productividad.

Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o más

de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un

incidente o un desastre.

Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e

interrupciones específicas de un sistema o proceso.

Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los

servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una

afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del

negocio.

Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y

en el futuro, igual que los recursos necesarios para su uso.

Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como

una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.

Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada

por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la

Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre

otros.

Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias

vulnerabilidades con impactos adversos resultantes para la Entidad.

Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los

factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la

naturaleza de la vulnerabilidad.

Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo

se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y

competitividad, interrupción de las operaciones, consecuencias legales y afectación física a

personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad:

Confiabilidad, disponibilidad y recuperabilidad.

121

Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para

minimizar el riesgo o potenciar oportunidades positivas.

Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin

controles.

Riesgo residual: Riesgo remanente tras la aplicación de controles.

Causas de InterrupciónLos planes de Continuidad del Negocio y los Planes de Recuperación ante Desastres se definen de

acuerdo con las causas de las posibles interrupciones y a partir de ellas se referencian las acciones a

seguir en caso que las mismas se presenten. Estas se pueden unificar en los siguientes escenarios:

Ausencia de Personal: Se presenta cuando el Encargado del área o el Encargado que

ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades propias de su

cargo.

No acceso al sitio normal de trabajo: Da lugar cuando por algún evento como desastre

natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre

otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades

propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso

crítico se debe contar con un sitio alterno de trabajo, el cual puede ser:

Suministrado por la empresa, Ejemplo: Otra sede.

Suministrado por un proveedor, contratista o aliado estratégico.

Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta

falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por:

datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano.

No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del

proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no

realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el

proveedor se especifique la existencia de un Plan de Continuidad del Negocio

documentado, adicional, sea probado en conjunto con los colaboradores de la Entidad y

aprobado por SperSys.

Gobierno de ContinuidadLineamientosEl objetivo del Plan de continuidad del negocio es planificar las acciones necesarias para responder

de forma adecuada ante un incidente de trabajo, desde el momento en que se declare la contingencia

hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su impacto sobre el negocio.

122

Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose en

las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:

El plan de continuidad de negocio está orientado a la protección de las personas, así como

al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a

eventos de interrupción o desastre.

Todo el personal de SperSys debe estar entrenado y capacitado en los procedimientos

definidos y conocer claramente los roles y responsabilidades que le competen en el marco

de la continuidad del negocio, mediante labores periódicas de formación, divulgación y

prueba de los Planes de Recuperación ante Desastres de la empresa.

En caso de presentarse un incidente significativo se deben aplicar los mecanismos de

comunicación apropiados, tanto internos como externos.

Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es

responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios

para el área que representa.

Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la

siguiente frecuencia:

El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez

que un líder de Proceso lo requiera, teniendo en cuenta los cambios de la empresa y

sus necesidades específicas.

El monitoreo a los riesgos de continuidad se efectuará de manera semestral.

Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas.

Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como

resultado del análisis de riesgos se determine el ajuste o implementación de

estrategias de contingencia.

Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos

en los Planes de Continuidad del Negocio y la normativa que proporciona el TIER3.

Los planes de Recuperación ante Desastres deben mantenerse actualizados, para lo cual se

deben desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios

significativos en políticas, personas, proceso, tecnología; siendo necesario que en dicha

revisión participen las áreas involucradas.

Estructura de la Gestión de Continuidad del NegocioPara asegurar una adecuada administración de la continuidad del negocio se estableció una estructura, que incluye la definición de los roles y responsabilidades. Esa administración está conformada por:

123

I. Director de Continuidad

El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de

continuidad del negocio. Es responsable de declarar el plan de Recuperación ante Desastres en los

escenarios de interrupción de lugar de trabajo, o en situaciones donde amerite realizar su activación

inmediata.

Responsabilidades

Tiene la responsabilidad de actualizar, mantener y probar el plan de continuidad del

Negocio.

Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de

recuperación y contingencia de la empresa.

Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la

empresa y que ponen al descubierto debilidades del plan de continuidad.

Monitorear los reportes sobre el estado de recuperación o evaluación durante una

contingencia.

Velar por la seguridad del personal que actúa en el área del evento.

Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario

de interrupción de lugar teniendo en cuenta el resultado de la evaluación

Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la

contingencia.

II. Director Alterno de Continuidad

Responsabilidades:

Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste

no se encuentre disponible.

Es responsable de declarar el Plan de Recuperación ante Desastre, ante un incidente

tecnológico de algún aplicativo (contingencia específica).

Realizar las actividades que le sean asignadas por el Director de Continuidad.

III. Líder Administrativo

El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la empresa se

encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las instalaciones

el suministro de elementos esenciales para asegurar el desarrollo de la operación.

124

Responsabilidades

Coordinar el suministro de elementos esenciales como transporte, recursos de

infraestructura y papelería.

Gestionar la consecución y adecuación de los centros alternos de operaciones según el plan

de Recuperación ante Desastres.

IV. Director de Recuperación Tecnológica

Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de

continuidad implementadas.

Responsabilidades:

Liderar la recuperación tecnológica, basados en las estrategias de continuidad

implementadas.

Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la

operación normal de la Empresa y que ponen al descubierto debilidades del plan de

continuidad del negocio.

Mantener comunicación constante entre Coordinadores de Recuperación del Negocio

durante el estado de contingencia.

Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten

situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y

responsabilidades, disponibilidad de los recursos, entre otros.

Velar por la realización de las pruebas del plan de continuidad y revisar los resultados

obtenidos en las mismas.

Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido

ejecutadas e implementadas.

V. Coordinadores de Recuperación

Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de procesos

de negocio críticos, basados en las estrategias de contingencia.

Responsabilidades:

Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las

interrupciones que están afectando la prestación del servicio.

125

Ejecutar los planes de contingencia ante el incidente presentado.

Identificar los posibles riesgos que afectan la continuidad de la operación normal de la

Entidad y que ponen al descubierto debilidades del plan de continuidad.

Mantener comunicación constante durante el estado de contingencia.

Velar por la realización de las pruebas del plan de continuidad y revisar los resultados

obtenidos en la misma.

Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido

ejecutadas e implementadas.

VI. Responsable de tareas de apoyo, control y cumplimiento

Responsabilidades:

Realizar las actividades que le sean asignadas durante la declaración de contingencia.

Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la

funcionalidad del plan.

Políticas de Continuidad del Negocio

Las directivas de SperSys son las responsables de dar inicio al plan de continuidad del negocio

(BCP). El Plan de Continuidad del Negocio (BCP-Business Continuity Plan), es esencial para

poder continuar las actividades críticas del negocio de SperSys, en el evento de una falla

inesperada, que pudiera seriamente interrumpir los procesos y actividades importantes de la

operación de la compañía.

Es importante considerar lo siguiente:

1. Se debe establecer la necesidad del Plan de continuidad del negocio (BCP)

2. Se debe obtener el compromiso de las directivas de SperSys y presentarles un reporte

inicial que informe como el BCP cumplirá sus objetivos.

Prueba Del Plan De Continuidad Del Negocio

El Plan de Continuidad del Negocio necesita ser probado periódicamente, con el fin de garantizar

que la compañía entienda claramente como debe ser ejecutado.

126

El hecho de probar el Plan de Continuidad del negocio en la organización, evalúa su viabilidad, y

garantiza que los empleados estén familiarizados. Si la prueba del Plan de Continuidad del Negocio

no reproduce las condiciones reales, el valor de tales pruebas es limitado y deficiente.

Las fallas en el análisis del plan de pruebas del BCP, ocasionarán una disminución de la validez de

la prueba. Los diferentes tipos de prueba incluyen:

Pruebas sobre la mesa de los diferentes escenarios (Por medio del uso de listas de

verificación y análisis paso a paso) del BCP.

Simulaciones del Plan de Continuidad

Pruebas de recuperación técnicas del BCP.

Pruebas de recuperación en sitio alterno del BCP.

Prueba de servicios externos (Energía, comunicación, etc.) del BCP.

Prueba completa, con el fin de evaluar personal, equipos, recursos físicos, para entender su

capacidad de soportar interrupciones. Esta prueba implica detener las operaciones de

SperSys y no es recomendable ya que puede originar un desastre real.

Una vez aprobado y desarrollado, el plan de continuidad de negocio (BCP) debe ser

probado con el fin de mostrar su eficacia, y nivel de actualidad. El periodo de pruebas sobre

la mesa de los diferentes escenarios, no debe ser mayor a 6 meses.

Con el plan y sus procedimientos.

Mantenimiento Y Actualización Del Plan De Continuidad De Negocio

El Plan de Continuidad del Negocio (BCP) debe estar actualizado y revisado periódicamente. El

mantenimiento y actualización del Plan de Continuidad del Negocio (BCP) es muy importante si se

requiere una operación exitosa en un momento dado.

Se requiere probar las implicaciones por cambios en el BCP, de lo contrario su ejecución puede

resultar en una serie de fallas y debilidades.

Si el Plan de Continuidad del Negocio no es actualizado periódicamente, su éxito puede ser

cuestionable.

Los cambios incluyen:

127

Adquisiciones de nuevos equipos

Actualizaciones en los sistemas operacionales

Personal

Direcciones o números telefónicos

Estrategias de negocio

Ubicaciones físicas

Leyes

Contratistas, proveedores de servicio y clientes muy importantes

Procesos nuevos o eliminados

Riesgo (Operacional y financiero)

Aspectos específicos sobre la política de Continuidad del Negocio.

Inicio Del Plan De Continuidad Del Negocio (BCP) (Bs 7799-2 Control A 11.1) Las directivas de SperSys son las responsables de dar inicio al plan de continuidad del negocio

(BCP).

El Plan de Continuidad del Negocio (BCP-Business Continuity Plan), es esencial para poder

continuar las actividades críticas del negocio de SperSys, en el evento de una falla inesperada, que

pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la

compañía.

El proyecto del Plan de Continuidad del negocio (BCP) necesita ser iniciado y formalmente

aprobado, por las directivas de SperSys

Es importante considerar lo siguiente:

Se debe establecer la necesidad del Plan de continuidad del negocio (BCP)

Se debe obtener el compromiso de las directivas de SperSys y presentarles un reporte

inicial que informe como el BCP cumplirá sus objetivos.

Para que el plan de continuidad del negocio (BCP) sea eficaz, hemos organizado el plan en

torno a un concepto de Equipo Directivo de Emergencia (EDE) que está formado por

miembros altamente cualificados del equipo directivo procedentes de áreas vitales dentro

128

de la organización. Los componentes del equipo tienen cometidos y responsabilidades

concretas cuando se produce un desastre en cualquier instalación de SperSys y se pone en

práctica el Plan de Recuperación de Desastres. El EDE está formado por personas

procedentes de las áreas siguientes:

Recursos Humanos, Administración y Financiera y Tecnología.

Los integrantes de la Gestión del Proyecto y de la Gestión del Nivel

Desarrollo Y Administración Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.1) Las directivas de la organización deben desarrollar un Plan de Continuidad del Negocio (BCP) que

cubra los aspectos críticos y esencia les de la actividad de la compañía.

El Plan de Continuidad del Negocio (BCP), es esencial para poder continuar con las actividades

críticas del negocio de SperSys, en el evento de una falla inesperada.

El Plan de Continuidad del negocio es un proyecto con características de detalle y complejidad,

independiente del entorno tecnológico y probablemente contendrá una serie de acciones críticas

enfocadas a lograr el retorno a la operación normal.

Recomendaciones adicionales al desarrollo y administración del plan de continuidad del negocio:

Entender plenamente los riesgos a que está enfrentado SperSys, incluyendo e identificando los

procesos críticos del negocio.

Entender el posible impacto que una interrupción a la operación normal pueda tener.

Considerar la adquisición y renovación de una póliza de seguros de protección de activos como

parte del plan de continuidad de negocio (BCP)

Formular y documentar una estrategia de continuidad del negocio de acuerdo a los objetivos y

prioridades.

129

Formular y documentar una estrategia consistente con los objetivos y prioridades acordadas, y a

su vez, se debe documentar el plan de continuidad del negocio de acuerdo a la estrategia

anteriormente definida.

Evaluación De Riesgo Del Plan De Continuidad Del Negocio BCP (Bs 7799-2 Control A 11.1.2) Dentro del plan de continuidad de negocio (BCP) se debe realizar una evaluación formal de riesgo,

o análisis de impacto sobre el negocio (BIA-Business Impact Assessment), con el fin de determinar

los requerimientos del Plan de Continuidad del Negocio e identificar eventos que puedan causar

interrupciones a los procesos de negocio.

Es importante considerar que se deben evaluar y analizar todos los procesos de negocio y no

limitarse exclusivamente a los recursos e infraestructura asociado a los sistemas de información

Recomendaciones adicionales

El Plan de Continuidad del Negocio (BCP), es esencial para poder continuar con las actividades

críticas del negocio de SperSys, en el evento de una falla inesperada, que pudiera seriamente

interrumpir los procesos y actividades importantes de la operación de la compañía.

La evaluación de riesgo en el BCP analiza la naturaleza de la ocurrencia de eventos inesperados, su

impacto potencial y la probabilidad de que estos eventos lleguen a ser incidentes críticos para el

negocio.

Aspectos de la seguridad de la información a ser considerados cuando se implementan estas

políticas son:

Comprender que así el proyecto formal del Plan de continuidad del Negocio se haya iniciado, si

los recursos humanos o financieros son insuficientes, es muy probable que el plan no tenga

éxito.

Si se subestima el impacto a corto y mediano plazo de un incidente de seguridad se puede

tener un nivel no adecuado de respuesta que afecte la elaboración de un Plan de Continuidad

de Negocio.

Los pasos involucrados en el análisis de impacto hacia el negocio (BIA) comprenden:

o Técnicas de obtención de información

o Seleccionar las personas a entrevistar

130

o Adecuación de los cuestionarios a realizar

o Análisis de la información

o Determinar los tiempos críticos de las diferentes funciones del negocio

o Determinar los tiempos máximos tolerables de caída por proceso

o Priorizar la recuperación de las funciones criticas del negocio

o Documentar y preparar reportes de recomendaciones

Características Del Plan De Continuidad De Negocio (BCP) (Bs 7799-2 Control A 11.1.3-4) Con el fin de garantizar su consistencia a lo largo de las diferentes unidades de negocio, el plan de

continuidad de negocio debe considerar:

Condiciones para la activación del plan de continuidad.

Una estrategia de recuperación de desastres teniendo en cuenta aspectos como:

o Costos de las diferentes alternativas

o Costos de servicios alternos

o Prioridades y tiempos de recuperación

o Negocios, usuarios, servicios, aspectos técnicos e información.

Identificación de las responsabilidades y procedimientos de emergencia.

Implementación de procedimientos de emergencia para permitir la recuperación en un

tiempo limitado.

Procedimientos de contingencia y procedimientos de regreso a la operación normal.

Documentación de procedimientos y procesos acordados.

Educación apropiada sobre manejo de emergencias.

Cronograma de pruebas del plan de continuidad del negocio

Responsabilidades individuales de ejecución y propietarios de cada plan de continuidad.

Entrenamiento Y Concientización Del Plan De Continuidad Del Negocio (BCP). (Bs 7799-2 Control A 11.1.4) Todo el personal de SperSys debe conocer el Plan de Continuidad del Negocio (BCP) y su

respectiva función dentro de él, una vez se haya realizado su aprobación.

Recomendaciones Adicionales El Plan de Continuidad del Negocio es esencial para poder continuar con las actividades críticas del

negocio de SperSys, en el evento de una falla inesperada, que pudiera seriamente interrumpir los

procesos y actividades importantes de la operación de la compañía.

131

Para que el Plan de Continuidad del Negocio pueda ser ejecutado exitosamente, todo el personal

no sólo debe estar consciente de su existencia, sino conocer su contenido, junto con las

actividades y responsabilidades de cada parte.

Aspectos de la seguridad de la información a ser considerados cuando se implementan estas

políticas son:

Aun cuando el Plan de Continuidad de Negocio haya sido probado, aun puede fallar, si el personal

no está lo suficientemente familiarizado con sus contenidos.

Cuando en el Plan de Continuidad del negocio, las personas involucradas olvidan su percepción de

la cercanía del riesgo, se puede presentar cierta apatía, la cual disminuye su importancia, y la

necesidad de una participación activa en él.

Se deberá crear un plan de concientización sobre la importancia del BCP para SperSys, y el

compromiso de todos los empleados para garantizar su éxito.

Prueba Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.5) El Plan de Continuidad del Negocio necesita ser probado periódicamente, con el fin de garantizar

que la compañía entienda claramente como debe ser ejecutado.

El hecho de probar el Plan de Continuidad del negocio en la organización, evalúa su viabilidad, y

garantiza que los empleados estén familiarizados Si la prueba del Plan de Continuidad del Negocio

no reproduce las condiciones reales, el valor de tales pruebas es limitado y deficiente.

Las fallas en el análisis del plan de pruebas del BCP, ocasionarán una disminución de la validez de

la prueba. Los diferentes tipos de prueba incluyen:

Pruebas sobre la mesa de los diferentes escenarios (Por medio del uso de listas de verificación

y análisis paso a paso) del BCP.

Simulaciones del Plan de Continuidad

Pruebas de recuperación técnicas del BCP.

Pruebas de recuperación en sitio alterno del BCP.

Prueba de servicios externos (Energía, comunicación, etc.) del BCP.

Prueba completa, con el fin de evaluar personal, equipos, recursos físicos, para entender su

capacidad de soportar interrupciones. Esta prueba implica detener las operaciones de SperSys

y no es recomendable ya que puede originar un desastre real.

132

Una vez aprobado y desarrollado, el plan de continuidad de negocio (BCP) debe ser probado

con el fin de mostrar su eficacia, y nivel de actualidad. El periodo de pruebas sobre la mesa de

los diferentes escenarios, no debe ser mayor a 6 meses.

Con el plan y sus procedimientos.

Controles adicionales sobre las pruebas del BCP

Mantenimiento Y Actualización Del Plan De Continuidad De Negocio (BCP). (Bs 7799-2 Control A 11.1.5.2) El Plan de Continuidad del Negocio (BCP) debe estar actualizado y revisado periódicamente.

El mantenimiento y actualización del Plan de Continuidad del Negocio (BCP) es muy importante si

se requiere una operación exitosa en un momento dado.

Se requiere probar las implicaciones por cambios en el BCP, de lo contrario su ejecución puede

resultar en una serie de fallas y debilidades.

Si el Plan de Continuidad del Negocio no es actualizado periódicamente, su éxito puede ser

cuestionable.

Los cambios incluyen:

Adquisiciones de nuevos equipos

Actualizaciones en los sistemas operacionales

Personal

Direcciones o números telefónicos

Estrategias de negocio

Ubicaciones físicas

Leyes

Contratistas, proveedores de servicio y clientes muy importantes

Procesos nuevos o eliminados

Riesgo (Operacional y financiero)

Referencias

Las diferentes recomendaciones sobre la ejecución detallada de un Plan de Continuidad de

Negocio (BCP) se apoyan en el BCI (Business Continuity Institute) y el ISO 17799.

133

PLAN DE RECUPERACIÓN ANTE DESASTRES (DRP)

Plan de Implementación de Análisis y Gestión de Riesgo

La gestión de riesgos básicamente consiste en una metodología que brinda una serie de pasos que se

utilizarán para reducir las amenazas de destrucción, copia o robo de información. Las amenazas

también pueden ser la destrucción de la infraestructura de la organización, el mal funcionamiento de

los dispositivos que se utilizan para mantener alta disponibilidad en la red de la organización.

Identificando una metodología que sea adecuada para el plan de Recuperación ante Desastres,

debemos tener en cuenta los requisitos reglamentarios, legales y de seguridad.

Que establezca criterios de aceptación de riesgos.

Que tenga resultados comparables y reproducibles.

Realizada dicha extracción, se ha realiza una investigación de algunas metodologías existentes en el

mercado las cuales son:

ISO/IEC 27005

NIST 800-30

MARION

OCTAVE

135

MAGERIT

Realizado ya el estudio de cada una de las metodologías, se decidió adoptar la norma ISO/IEC

27005 en atención a que cumple con las siguientes características:

Flexibilidad.

Orientación a la norma ISO/IEC 27001:2005.

Maneja conceptos, procesos y terminologías de la norma ISO/IEC 27001:2005.

Está basada en el modelo PHVA (Planear, Hacer, Verificar y Actuar).

La gestión de los riesgos es el proceso por el cual se controlan, minimizan o eliminan los riesgos

que afectan a los activos de la organización. En este caso, luego de haber determinado los riesgos

existentes en la organización, así como las medidas adecuadas para hacer frente a los mismos, se

dispondrá de varias alternativas para afrontar estos riesgos: Eliminar, Transferir, Asumir o Mitigar

el riesgo.

Inventario de activos de información

El primer paso de esta actividad consiste en la identificación de los activos de información de los

procesos objeto de análisis y sus propietarios, seguido por la valoración del impacto de pérdida de

las propiedades definidas para cada activo, en este caso, confidencialidad, integridad y

disponibilidad.

Se identifica que en la norma ISO/IEC 27002:2006 que define a un activo como cualquier cosa que

tenga valor para la empresa, sin embargo, dicha definición deja muy abierto el espectro, por lo que,

basado en esa misma norma mencionada planteamos algunos:

Información: Cualquier tipo de información contenida en un medio digital o físico, bien sean bases

de datos, archivos de datos, contratos y acuerdos, documentación del sistema, información sobre

investigación, manuales de usuarios, procedimientos operativos o de soporte, planes de continuidad,

pruebas de auditoría, información archivada física o electrónicamente.

Tecnología: Cualquier componente de hardware que sea necesario para efectuar o complementar

operaciones sobre algún activo de información como equipos de comunicación, equipos de

cómputo, medios removibles y otros equipos.

136

Sistemas: Todo sistema de información o software adquirido o desarrollado al interior de la

empresa, en donde se realice operaciones, transacciones y que requiera la interacción de uno o más

activos de información para efectuar sus tareas.

Personas: Todo aquel empleado o cliente que realice funciones críticas para la empresa, cuya

ausencia o incumplimiento de tales funciones puede desencadenar un alto impacto para la misma.

Estructuras: Sitios (lugares) de almacenamiento de información o de equipos que soportan la

operación de los sistemas de información.

Valoración de activos (nivel de criticidad): Por cada una de las propiedades de la información

contempladas en el análisis, esto es, Confidencialidad, Integridad y Disponibilidad, el propietario

del activo asigna una calificación del impacto, para lo cual se propone un modelo de escala que a

continuación se presenta:

Escala de valoración de impactoNombre Valor Catastrófico 5 Mayor 4 Moderado 3 Menor 2 Insignificante 1

La valoración del impacto de los activos identificados es utilizada posteriormente para estimar el

nivel de riesgo inherente, tomando éste como el valor del Impacto del riesgo.

Identificación de amenazas y vulnerabilidades: Las vulnerabilidades son debilidades asociadas

con los activos de la empresa SperSys. Estas debilidades pueden ser explotadas por una amenaza

causando incidentes no deseados que pueden resultar en pérdida o daño a estos activos.

La identificación de las vulnerabilidades evidencia debilidades relacionadas con los activos en

cuanto a:

Ambiente físico.

Personal, procedimientos y controles de administración.

137

Hardware, software, o equipos e instalaciones de comunicación.

Una Amenaza tiene el potencial de causar un incidente no deseado que puede resultar en un daño al

Data Center de SperSys y sus activos. Este daño puede ocurrir de un ataque directo o indirecto

sobre la información. Después de identificar las amenazas y vulnerabilidades por cada tipo de

activo, es necesario tasar la probabilidad de que una combinación de amenazas y vulnerabilidades

ocurra.

La evaluación de probabilidad de amenazas es realizada por el encargado del Data Center, se debe

tener en cuenta:

Amenazas deliberadas: La motivación, las capacidades percibidas, recursos disponibles para

posibles atacantes y la percepción de su atractivo.

Amenazas accidentales: Con qué frecuencia ocurren de acuerdo con la experiencia, estadísticas,

etc., y factores geográficos tales como proximidad a sitios que impliquen riesgo, en áreas donde son

siempre posibles condiciones de clima extremo y factores que podrían influenciar errores humanos

y malfuncionamiento de equipos.

Para la valoración del factor o probabilidad de ocurrencia de un conjunto de amenazas y

vulnerabilidades, esto es, un escenario de riesgo, se propone un modelo de escala que a

continuación se presenta:

Nombre Valor Magnitud

Casi con certeza 5 70%-100%

Probable 4 30%-69%

Posible 3 10%-29%

Poco Probable 2 2%-9%

Raro 1 0%-1%

138

Análisis de amenazas y vulnerabilidades

AMENAZA VULNERABILIDAD

Amenazas del

Ambiente físico

Terremotos

El área del departamento de Quetzaltenango

se ve afectada constantemente por

movimientos telúricos de pequeña y

mediada magnitud.

Inundaciones

El área donde se sitúa el Data Center no

cuenta con indicios de inundación, se hace

la salvedad que el clima es lluvioso.

Derrumbes

El área en donde se encuentra el Data Center

es un lugar plano, por lo que no existen

antecedentes sobre derrumbes.

Hundimientos

En la zona residencial donde se encuentra el

Data Center, no tiene señales de

hundimientos, cabe mencionar que en otros

sectores del municipio se registran.

Amenazas

Personal,

procedimientos

y controles de

administración

Divulgación no autorizada

de información crítica o

sensible

Almacenamiento de información de forma

no segura o inadecuada.

Eliminación de información de forma no

segura o inadecuada falta de seguridad en el

intercambio de información (perdida sobre

en el que se envía y no hay control de

documentos)

Falta de concientización de los encargados.

Falsificación/alteración de

la información

Falta de concientización de los encargados

Falta de mecanismos de protección de

documentos (sellos, membretes, firmas

autorizadas).

Falta de mecanismo para evitar la

falsificación de documentos.

Daños accidentales o

intencionales

Almacenamiento de información de forma

no segura o inadecuada.

Falta/Deficiencia en el procedimiento de

139

identificación, clasificación y manejo de

la información

Mecanismo de intercambio de

información no adecuados

Falta de auditorías/ revisiones de uso de

llaves y almacenamiento

Perdida de Información

Hechos de corrupciones de los empleados

Resistencia de la cultura de seguridad de la

información (cuando hay crisis se pasa por

encima de la seguridad, selección de

prioridades).

Falta de un esquema de respaldo de

funciones conocimiento.

Coacción/extorsión al

personal

Procesos de selección/revisión insuficientes

o inadecuados.

Trabajo de terceros sin supervisión /

desconocimiento de los procesos

adelantados por los terceros.

Sonsacamiento Gestión de la concientización inadecuada

(pruebas, evaluaciones, mejoras, etc.).

Amenazas de

Hardware,

software, o

equipos e

instalaciones de

comunicación.

Errores operacionales en la

administración de la

aplicación

Falta de capacitación del personal (que

administra la aplicación).

Documentación de configuración inexistente

o desactualizada.

Ataques informáticos

(virus, inyección de

código, negación de

servicios, troyanos, puertas

traseras, bombas lógicas,

ataques de protocolos

conocidos, manipulación

no autorizada o inadecuada

de la configuración).

Ausencia de requerimientos de seguridad en

el ciclo de desarrollo o de adquisión de SW.

Fallas en el proceso de gestión de

vulnerabilidades

Segregación inadecuada de ambiente de

producción, prueba y desarrollo Controles

de acceso de usuarios no adecuados

Falta/ Falla en la gestión de herramientas y

los de auditoria Falta/Falla en la gestión de

acceso de usuarios.

140

Falta de gestión de control de cambios

(auditoria o monitoreo de cambios

configuración no autorizada).

Falla de la Aplicación

Falta/pruebas insuficientes de copia de

respaldo.

Ausencia de planes de mantenimiento de

aplicación.

Fallas en el proceso de versiones.

Falta o falla en la gestión de la capacidad de

la aplicación.

Uso inadecuado / no

autorizado del recurso

(incluye códigos

maliciosos)

Ausencia/fallas de planes de

Recuperación ante Desastres.

Ausencia de monitoreo sobre la red.

Administración de red inadecuada.

Control de capacidad para

almacenamiento.

Herramienta de detección / prevenciones

inexistentes (sitios sin control de

adecuados).

Falla de medio de la

comunicación

Condiciones de instalación, mantenimiento

y operación inadecuada.

Uso inadecuado de estándares de

infraestructura del medio.

Falta / Falla de gestión de capacidad.

Perdida de disponibilidad

y/o disminución de la

calidad del servicio

Falta de auditoria en bloqueo/eliminación de

permisos de acuerdo con las novedades de

usuario.

Falta/ Falla de capacitación de usuarios

Ausencia de un mecanismo de contingencia.

Falta / falla de gestión de cambios.

Tabla de Control de Riesgos

Activo AmenazaFrecuenci

aImpacto

Valor del

Riesgo

141

Ambiente

Físico

Terremotos 3 5 15

Inundaciones 3 3 9

Derrumbes 1 3 3

Hundimientos 1 4 4

Personal,

procedimientos

y controles de

administración

Divulgación no autorizada de

información crítica o sensible

2 3 6

Falsificación/alteración de la

información

2 4 8

Daños accidentales o intencionales 2 3 6

Perdida de Información 2 5 10

Coacción/extorsión al personal 2 3 6

Sonsacamiento 2 2 4

Hardware,

software, o

equipos e

instalaciones de

comunicación.

Errores operacionales en la

administración de la aplicación

2 3 6

Ataques informáticos. 2 5 10

Falla de la Aplicación 2 5 10

Uso inadecuado / no autorizado del

recurso (incluye códigos

maliciosos)

2 4 8

Falla de medio de la comunicación 2 4 8

Perdida de disponibilidad y/o

disminución de la calidad del

servicio

2 5 10

Conclusión

142

El establecimiento, implementación, operación, monitoreo, mantenimiento, y mejoramiento del ISO

27001:2005, requiere de un ingrediente básico, el cual es el rol protagónico que debe cumplir la alta

Gerencia. Es un estándar para la gestión y la gerencia no puede delegar su rol.

Es importante entender que el objetivo de la evaluación de riesgo es la de identificar el ponderar los

riesgos a los cuales los sistemas de información y activos están expuestos, con miras a identificar y

seleccionar controles apropiados.

La selección de los controles se debe justificar sobre la base de las conclusiones de la evaluación y

tratamiento de riesgo. Los objetivos de control y los controles seleccionados, así como las razones

para su selección deben documentarse en el enunciado de aplicabilidad.

143

DISTRIBUCIÓN DE AMBIENTES

144

Malla Eléctrica

145

Diseño Cableado

146

Diagrama Lógico de la Red

Descripción

Para la asignación de las direcciones lógicas se utilizará el Subneteo con la técnica de máscara de

subred de longitud variable (VLSM) para el aprovechamiento efectivo de las direcciones IP,

además está orientado al crecimiento y expansión del negocio. Los requerimientos en cuanto a

usuarios iniciales de red de la empresa SperSys son los siguientes.

Red de Clientes: 100 usuarios.

Red de Desarrolladores de Software: 5 usuarios.

Red de Administración: 4 usuarios.

Red de Monitoreo de Data Center: 3 usuarios.

Sin embargo, tomando en cuenta los requerimientos de expansión, la cantidad de usuarios estimada

será la siguiente:

Red de Clientes: 3000 usuarios.

147

Red de Desarrolladores: 10 usuarios.

Red de Monitoreo de Data Center: 8

Red de Administración: 6 usuarios.

Para realizar el subneteo se utilizarán los datos estimados de la expansión del negocio.

Datos Del Subneteo Vlsm

IP Utilizada: 172.16.0.0/20

Direcciones IP Disponibles: 4,094

NOMBRE DE LA SUBRED

HOST S.

HOST E. DIRECCIÓN MÁSC.

MÁSCARA DECIMAL PUNTEADA

RANGO DE IP ASIGNABLE

IP DE BROADCAST

CLIENTES 100 126 172.16.0.0 /25 255.255.255.128

172.16.0.1 - 172.16.0.126 172.16.0.127

DESARROLLADORES 10 14 172.16.0.128 /28 255.255.255.24

0172.16.0.129 - 172.16.0.142 172.16.0.143

SERVIDORES 10 14 172.16.0.144 /28 255.255.255.240

172.16.0.145 - 172.16.0.158 172.16.0.159

MONITOREO 8 14 172.16.0.160 /28 255.255.255.240

172.16.0.161 - 172.16.0.174 172.16.0.175

ADMINISTRACION 6 6 172.16.0.176 /29 255.255.255.248

172.16.0.177 - 172.16.0.182 172.16.0.183

Como se puede observar se realizó la operación de subnetting para la cantidad de host

correspondiente a cada área, es importante hacer hincapié en que la cantidad de IPs disponibles para

clientes cubre las necesidades futuras de la organización.

148

Active Directory

149

ANEXOS

Cronograma de TrabajoLínea de Tiempo

Refencia: Guía PMBOOK-Ms Project

Cronograma Propuesta Data Center Empresa AJSA

150

Formularios Varios

FORMULARIO DE CAMBIO DE CONTRASEÑA

Datos de la persona solicitante

Nombre Completo:

DPI: Teléfonos:Información del UsuarioNombre:Contraseña actual:Nueva contraseña:

La nueva contraseña deberá cumplir con lo estipulado en la política en relación a contraseñas.

____________________________ __________________________ Firma del solicitante Sello y Firma encargado TI

FORMULARIO DE TRASLADO DE INFORMACIÓN


Nombre Completo:

DPI: Teléfonos:Usuario:Información para el traslado de informaciónDepartamento de trabajo:Origen de la información:Destino de la información:Breve descripción de lo que se está trasladando:

Solicitante: Al momento de realizar la salida de datos estos deberán estar cifrados para tener mayor seguridad en el proceso.

____________________________ ___________________________ Firma del solicitante Responsable del Área

153

FORMULARIO DE ACCESO A INTERNET


Nombre Completo:

DPI: Teléfonos:Usuario:Departamento de trabajo:Información del ServicioBreve descripción de la Actividad a realizar:

Tiempo que solicita el servicio:

IP Asignada:

____________________________ ___________________________ Firma del solicitante Sello y Firma Redes y TelecomunicacionesFORMULARIO DE INSTALACIÓN DE SOFTWARE


Nombre Completo:

DPI: Teléfonos:Usuario:Departamento de trabajo:Software que requiereNombre: Versión:Función: Tipo:

Nombre: Versión:

Función: Tipo:

Nombre: Versión:

Función: Tipo:

____________________________ ___________________________ Firma del solicitante Sello y Firma encargado TI

154

CONTROL DE ACCESO AL CENTRO DE DATOS

Encargado Autorizado por

Departamento Turno

Fecha Ingreso Nombre Unidad Motivo de Ingreso Hora de Ingreso Hora de Salida

LISTADO AUTORIZADO DE

ACCESO PERMANENTE

155

Encargado Empresa

Autorizado por Fecha

Firma

Nombre DPI Cargo Tipo de acceso

Autorizado para solicitar permiso

de acceso temporal a

terceros

Autoriza movimiento de

equipos

Autorizado a modificar Listado de

Acceso

Tipos de Acceso:

Horas laborables: Lunes a Viernes 8:00 a.m. a 5:00 p.m.

24 x 7 x 365: Acceso en cualquier horario, todos los días del año

PERSONAL AUTORIZADO DE INGRESO AL CENTRO DE DATOS

Encargado Autorizado por

156

Departamento Turno

Fecha Nombre Unidad Motivo de Ingreso Hora de Ingreso Hora de Salida

PERSONAL CON ACCESO DIRECTO AL CENTRO DE DATOS

Encargado Departamento

157

Autorizado por Turno

Nombre Apellido Unidad Tipo Autorización

Autorizado para solicitar permiso de acceso temporal a

terceros

Autoriza movimiento de equipos

158

Data center sper sys

Engineering

Transcript of Data center sper sys