En la actualidad, el manejo de modo eficiente y seguridad de la informacin constituye una de las
principales preocupaciones dentro de cualquier organizacin, sea esta de origen pblico o privado, por lo que se hace necesario manejarla y emplearla con mucho criterio, ya que de ello podra depender, en gran medida, el xito o fracaso de las mismas.
Son muchas las herramientas que, en la actualidad, facilitan al ser humano el manejo del recurso informativo, as como la forma de acceso a sta. Una de estas herramientas, que permite utilizar el recurso de la informacin de manera ms eficiente, rpida y confiable, la constituyen las redes de Computadoras, las cuales representan un avance tecnolgico que ha caracterizado a las ltimas dcadas del presente siglo. Una red es un conjunto de computadoras o dispositivos de procesamiento conectados entre s en forma lgica y fsica con la finalidad de poder compartir sus recursos y emular el proceso de un sistema de cmputo nico.
JUSTIFICACIN En nuestro Pas Guatemala ya contamos con varias universidades que se han ido ampliando sus servicios a diferentes partes de la Republica, se conoce que la educacin impartida por stas es muy buena, ya que ayuda a la superacin del pas, brindando un ente donde se pueden obtener conocimientos y poderse desempear en el mbito profesional, es por eso que UTCA ha sido autorizada para operar en Guatemala, con algunas sedes en diferentes lugares como lo es , Quetzaltenango, Puerto Barrios, Petn, Retalhuleu, Escuintla y Jutiapa. El diseo fsico de la red de UTCA fue desarrollado por la empresa canadiense DIXON Networks corporation y se ha pedido realizar los trabajos que detallo a continuacin.
1. Diseo de los Data Centers a. Data Center Central en la Ciudad Capital b. Data center en las ciudades de Quetzaltenango, Puerto Barrios, Santa Elena Petn, Retalhuleu, Escuintla y Jutiapa.
Ingeniera Karen Andrea Jom Lpez
La zona desmilitarizada la ubicaremos entre la red interna del Campus Central y la red externa, generalmente en Internet. El objetivo de la DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas mientras que las conexiones desde la DMZ solo se permitan a la red externa. Por lo general, la poltica de seguridad para la DMZ es la siguiente: El trfico de la red externa a la DMZ est autorizado El trfico de la red externa a la red interna est prohibido El trfico de la red interna a la DMZ est autorizado El trfico de la red interna a la red externa est autorizado El trfico de la DMZ a la red interna est prohibido El trfico de la DMZ a la red externa est denegado
De esta manera, con la DMZ poseemos un nivel de seguridad intermedio, el cual no es lo suficientemente alto para almacenar datos imprescindibles del hotel.
2. Diseo de la red a. Red Interna del Campus Central
Ingeniera Karen Andrea Jom Lpez
En el diagrama anterior se determina la conexin que habr entre las redes internas del campus representada por una pc, una impresora, y una cmara de seguridad, a continuacin se detallar el nmero de estos elementos, ya que se estima tener una expansin del 15%.
red Impresoras de red Estaciones de Trabajo Cmaras IP Acadmica 63 160 Red Administrativa 1. Consejo administrativo 18 41 2. Facultades 18 87 3. Personal Administrativo 303 92 Red de Laboratorios 87 518 Red de Seguridad 4 14 271
Ingeniera Karen Andrea Jom Lpez b. Red de interconexin del Campus Central a los data center regionales, incluyendo el subneteo necesario para 150 estaciones de trabajo, y 5 impresoras de red (laboratorios), 25 estaciones de trabajo y 10 impresoras de red (administracin), 10 estaciones de trabajo y 1 impresora de red (acadmico) , 25 cmaras IP y 2 pcs (seguridad)
Subneteo para los data Center Regionales tomando en cuenta una expansin del 15%
3 Diseo de las Polticas de seguridad POLITICAS DE SEGURIDAD Las polticas de seguridad son un conjunto de reglas que se adoptan acorde a la empresa o al sistema de red para aumentar el nivel de seguridad de los sistemas informticos. Al hablar de seguridad englobamos tanto lo fsico como lo lgico, a veces ponemos ms atencin a la seguridad fsica que a la seguridad lgica o viceversa, pero un buen conjunto de seguridad debe tener ambas. Existen normas donde nos podemos basar para la seguridad como lo son las normas siguientes:
TIA942 Hace referencia para la instalacin del cableado estructurado de una data Center. El propsito de la TIA es proveer requerimientos y lneas de gua para el diseo e instalacin del centro de datos cuarto de telecomunicaciones. Este estndar har posible que el diseo del centro de datos sea involucrado temprano en el proceso de construccin Deja margen para la planificacin de largo plazo de centros de datos para soportar crecimiento y aplicaciones futuras. Dentro de los requerimientos estn Estructura Ubicacin Acceso Proteccin contra incendios Equipos redundancia
Ingeniera Karen Andrea Jom Lpez
ISO/IEC 27002 Es un estndar para la seguridad de la informacin definida como la preservacin de la confidencialidad, (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran. Dentro de algunas secciones de este estndar estn: 1. Poltica de Seguridad de la Informacin. 2. Organizacin de la Seguridad de la Informacin. 3. Gestin de Activos de Informacin. 4. Seguridad de los Recursos Humanos. 5. Seguridad Fsica y Ambiental. 6. Gestin de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. 9. Gestin de Incidentes en la Seguridad de la Informacin. 10. Gestin de Continuidad del Negocio. 11. Cumplimiento. Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suma 133 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades.
a. SEGURIDAD FISICA El Data Center debe disponer una serie de medidas con el fin de asegurar la seguridad fsica dentro de todas las dependencias del Data Center, as como en su permetro. Las medidas ms importantes son las siguientes: Instalaciones bajo vigilancia de Guardias de Seguridad 24 horas al da Sistema de control de acceso a las dependencias por tarjeta de banda magntica. Sistema de Video-vigilancia.
Ingeniera Karen Andrea Jom Lpez Control de accesos El sistema de control de accesos permite que, a travs de una tarjeta de acceso, se restringa o permita el acceso a un rea determinada sin necesidad que la persona que accede al recinto vaya acompaada por una persona autorizada. Este sistema permite adems llevar un control de entrada a las diferentes reas que componen el Data Center. Personal externo: Controles aplicados al servicio de vigilancia, servicio de limpieza, ingenieros y visitantes.
Personal interno: . Se pueden implementar medidas de identificacin biomtrica como lectores de huella digital, escaneo de palma de mano, entre otros, esta tecnologa es ms segura que la simple identificacin de nombre de usuario y contrasea ya que el usuario no tendr que recordar contraseas que en algunos casos son complejas y difciles de recordar adems que a diferencia de las contraseas la huella digital no se puede transferir a otros usuarios y no puede ser robada. Para la implementacin de esta tecnologa se debe tomar en cuenta si el lector cuenta con encriptacin de datos, si es capaz de detectar signos vitales que no permitan el engao. Concienciacin en materia de seguridad, involucracin del personal en la seguridad del edificio y en sus planes de seguridad y de recuperacin ante desastres (cada persona debe saber que hacer en caso de urgencia o emergencia).
Vdeo-vigilancia Con el fin de proteger tanto la seguridad dentro del Data Center como del permetro del mismo, se deben tener instaladas una serie de videocmaras que cubren el Data Center, as como su permetro exterior, grabando durante las 24 horas los 365 das del ao. El contenido de las grabaciones debe estar almacenado en el disco y estar totalmente disponible. Debe realizarse una supervisin en tiempo real, por parte de la persona de seguridad. Alarmas, Detectores y Servicios Adicionales El Data Center, adems de los servicios que prestan, debera contar con: Central de alarma que recoge las seales de las sondas y detectores y controla la actuacin del sistema de extincin automtica. Deber tener un sistema de deteccin con detectores de humo en ambiente y deteccin precoz por aspiracin se activar mediante deteccin cruzada en ambiente y falso techo. Sistema de extincin automtica con propiedades dialctricas que permiten usarlo en equipos elctricos sin riesgo de cortocicuito y sin riesgo para las personas. Ingeniera Karen Andrea Jom Lpez Sistema de extincin manual mediante extintores de CO2 y sustancia qumica seca polvivalente. Climatizacin Es importante contar con una adecuada climatizacin dentro del data center, se recomienda tener una Temperatura media de 20 a 24 grados centgrados, y la hmedad entre los 50%-+ 10 grados centgrados. Este sistema debe contar con equipo central de climatizacin, en la cubierta del edificio en configuracin redundante 2+1 las unidades enfriadoras deben tener bombas primarias redundantes. Climatizacin en las salas tcnicas, que impulsan el aire fro por el suelo falso hasta los equipos del cliente.
Sistema Elctrico Deber contar con una media tensin (mt) respaldad por un sistema de grupos electrgenos en configuracin redundante. Tener grupos electrgenos preparados para proporcionar la energa elctrica por el edificio entero de manera continua e indefinida. El sistema de alimentacin debe ser ininterrumpida podra utilizarse SAI que garanticen un suministro limpio, filtrado y continuo. Salas tcnicas con doble sistema de distribucin desde los cuadros hasta los equipos cliente.
b. SEGURIDAD LOGICA
IPS Uno de los principales objetivos de la propuesta gira en torno a mostrar los aspectos que motivan la investigacin en la seguridad informtica y mas concretamente en el campo de los sistemas de deteccin de intrusos.
De forma general entendemos que mantener un sistema seguro o fiable consiste bsicamente en garantizar cuatro aspectos: confidencialidad, integridad, disponibilidad y no repudo. El uso creciente de los sistemas informticos ha incrementado el problema de los accesos no autorizados y la manipulacin de datos. El alto nivel de conectividad en el que nos encontramos no solo proporciona acceso a gran cantidad y variedad de fuentes de datos de forma cada vez ms rpida sino que origina un aumento de las intrusiones de red.
Los ataques ms comunes son: DoS Indagacin o exploracin R2L U2R
Ingeniera Karen Andrea Jom Lpez Ante estas amenazas se plantean algunos sistemas de deteccin de intrusos.
Un IDS es un elemento que escucha y analiza toda la informacin que circula por una red de datos e identifica posibles ataques. Cuando aparece un ataque el sistema reaccionar informando al administrador y cerrar las puestas al posible intruso reconfigurando elementos de la red como firewall y routers.
CORTAFUEGOS - FIREWALLS Un Firewall es el punto donde conecta una red privada con una pblica, como puede ser internet. Un Firewall es una configuracin (que puede ser por Hardware/Software) establecida en el permetro, controlando el acceso hacia adentro y hacia afuera de la red privada. Mientras en teora los Firewalls solo permiten conexiones autorizadas entre la red interna y externa, nuevas formas son continuamente desarrolladas para comprometer dichos sistemas. De todas formas, si estn correctamente implementados son muy efectivos proveyendo el acceso no autorizado y parando actividades no deseadas en una red interna.
PERMISOS DE ACCESO. La seguridad basada en autentificacin de usuario es la ms usada, nos permite administrar y asignar derechos a los usuarios de la red. Permitiendo o denegando los accesos a los recursos a travs de una base de datos en el servidor. El trabajo del administrador deber incluir la administracin de usuarios. Otra manera de administrar usuarios es mediante el uso de grupos de usuarios, el cual nos da la facilidad de aplicar las polticas de seguridad a grupos especficos los cuales heredaran estas a los miembros de dicho grupo.
Encriptacin de la Data La aplicacin de las tcnicas de cifrado criptografa es un sistema actual de teleproceso o de archivo, depende de las caractersticas principales de la aplicacin partculas, de las caractersticas propias de cada sistema de cifrado, y de los aspectos tcnicos del sistema. Debemos obtener un cierto compromiso entre el grado de seguridad conseguido y los medios empleados para obtenerlo. Valor de la Informacin a proteger Tipo de protocolo y cdigo utilizado. Volumen de la aplicacin. La informacin que pretendemos proteger puede tener un valor ms o menos alto, dependiendo de quien pueda hacer uso de la misma; puede ser de tipo personal, econmica, estratgica, etc. Dependiendo del lenguaje utilizado, puede ser ms tiles unas tcnicas de cifra que otras; tambin unas se adaptan ms que otras. Ingeniera Karen Andrea Jom Lpez Los tiempos de respuesta exigidos, el volumen de informacin a transmitir y la tolerancia frente a errores, definen las caractersticas del criptgrafo ms adecuado a la aplicacin concreta. Por ltimo, mencionaremos como la caracterstica ms importante de cualquier sistema de cifrado, su resistencia frente a agresiones externas o internas. Habitualmente se consideran los tres tipos de agresiones siguientes: a. Anlisis estadsticos del texto cifrado, con varias hiptesis de prueba acerca de las diferentes claves o del posible contenido del mensaje. b. Anlisis matemticos de la transformacin utilizada con la idea de poder obtener la clave utilizada, basndose en el texto cifrado interceptado. c. Determinacin de la clave utilizada en base a comparar el texto original y el correspondiente texto cifrado, siendo este caso tpico de las agresiones internas, pues se debe poder acceder al texto original.
MEDIDAS ADICIONALES. Se debe tomar en cuenta el uso de cortafuegos que permita administrar el acceso de usuarios de otras redes as como el monitorear las actividades de los usuarios de la red, permitiendo el tener una bitcora de sucesos de red. Las bitcoras son de gran utilidad para aplicar auditorias a la red. La revisin de los registros de eventos dentro de la red permite ver las actividades de los usuarios dentro de la red, esto permite al administrador darse cuenta de los accesos no autorizados por parte de los usuarios y tomar las medidas que faciliten incrementar la seguridad. La auditoria permite monitorear algunas de las siguientes actividades o funciones Intentos de acceso. Conexiones y desconexiones de los recursos designados. Terminacin de la conexin. Desactivacin de cuentas. Apertura y cierre de archivos. Modificaciones realizadas en los archivos. Creacin o borrado de directorios. Modificacin de directorios. Eventos y modificaciones del servidor.
Ingeniera Karen Andrea Jom Lpez d. SEGURIDAD PERIMETRAL
PLANIFICACIN DE LA SEGURIDAD EN REDES. La planificacin de la seguridad en el diseo de la red es de suma importancia pues de esto depende el buen desempeo de la red y nos evita trabajo posterior y prdida de datos y posibles daos a la red. En ocasiones se considera el tema de seguridad fuera de tiempo lo cual trae consecuencias de retrabado, gastos excesivos y posibles prdidas de informacin. Algunos puntos que debemos tomar en cuenta son: Accesos no autorizados. Dao intencionado y no intencionado. Uso indebido de informacin (robo de informacin). El nivel de seguridad de nuestra red depender de su tamao e importancia de la informacin. Un banco deber de tener un nivel muy alto de seguridad por las transacciones que maneja, una red casera no tendr la misma importancia, solo se orientar a los accesos de los familiares a ciertos puntos de las computadoras que la formen. En este momento se definen las polticas referentes a los usuarios y contraseas, los mtodos de acceso a los servidores y a los sistemas. Se definen la complejidad que debe reunir las contraseas y su validacin dentro de la red, el tiempo de trabajo de las estaciones de trabajo, reas de acceso por cada usuario, etc.
Se dice que lo es todo, cuando la comprendemos y la podemos controlar, y se dice que es nada cuando la desconocemos y obviamente no la podemos controlar. Definicin Agregado de hardware, software y polticas para proteger una red en la que se tiene confianza (intranet) de otras redes en las que no se tiene confianza (extranet, Internet). Objetivo Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente.
Ingeniera Karen Andrea Jom Lpez
Que es la seguridad perimetral Filtrado de paquetes (Firewalls, proxys, pasarelas) Sistema de Deteccin y Prevencin de Intrusiones Redes Privadas Virtuales Qu elementos deberan protegerse? Se deberan proteger todos los elementos de la red interna, incluyendo hardware, software e informacin, no solo de cualquier intento de acceso no autorizado desde el exterior sino tambin de ciertos ataques desde el interior que puedan preverse y prevenirse. Seguridad de la Red Cuando hablamos de seguridad, cabe distinguir entre dos tipos: Seguridad de transmisin. Es decir, que los datos recibidos sean iguales a los datos transmitidos. Puesto que en todo medio de transmisin cabe la posibilidad de que se produzcan errores, la manera de que estos no afecten al usuario final es mediante su deteccin y correccin. Estas tcnicas, hoy en da, estn bastante avanzadas y son suficientemente sofisticadas para efectuar la conexin, bien en el propio terminal o incluso en la propia red. Seguridad de privacidad. Tanto las redes privadas como pblicas, estn expuestas a que cualquiera, si cuenta con las medidas adecuadas, pueda acceder a ellas y detectar la informacin que se est transfiriendo. Para evitar que esta sea til para otras, solo cabe la proteccin de cifrarla, de tal manera que solo teniendo la clave del cifrado sea inteligible; pero aun as, si se consigue esta clave, estamos expuestos a que el mensaje sea alterado; por tanto, se puede elevar el nivel de seguridad mediante el uso de claves de acceso (passwords) y la autentificacin del mensaje de tal manera que podamos asegurarnos que este procede del lugar adecuado y no de otro.
Controles De Entrada Al Sistema Cuando se evala la vulnerabilidad de todos los recursos compartidos de la red, los administradores de la red deben determinar si el control de acceso previene efectivamente de usuarios no autorizados a acceder la red y usuarios legtimos de acceder recursos no autorizados. Ingeniera Karen Andrea Jom Lpez Esto significa que la unin de comunicaciones se debe inspeccionar por vulnerabilidad. El grado de dificultad que un intruso encuentra cuando da palmaditas a una lnea depende del tipo de instalacin elctrica que se uso. Por ejemplo dar palmaditas a un alambre fibra ptica es considerablemente ms difcil que dar palmaditas a otros medios de comunicacin. Esto es porque fibra ptica no radia signos y se puede coleccionar por medios sub repticios. Los instaladores de redes usan rutinas tales como agregar nodos al cable de la fibra, pero durante el procedimiento, ninguna luz puede transmitir pasado ese punto, que hara acceso no autorizado fcil de descubrir. Si el intruso iba a ejecutar un trabajo lodoso de dar palmaditas, el error aumentado indicara que una brecha ha ocurrido. Aun cuando un intruso hace una conexin precisa empalmada, la luz que resulta de perdida sealada inmediatamente. El problema de radiar signos tambin se hace fcil de escuchar detrs de las puertas a un satlite o transmisiones de microondas. Por la misma razn se conciernen usuarios acerca de la Seguridad del llamado inalmbrico LANs. La seguridad de estos sistemas es realmente bastante alta, debido al uso de etnologa del espectro del cobertor. Se desarroll el espectro del cobertor originalmente para proveer el ejrcito de comunicaciones de datos por frecuencias mltiples a lo largo del espectro del ancho de banda. Por eso, un ladrn de los datos del savy no atacara el lado del radio que esta en una LAN inalmbrico, sino del lado del cableado. Se puede hacer con apartado el estant que provee, (como una opcin) el encryption que ofrecen el nivel ms alto de proteccin. Porque portadores comunes usaran uno o ms tipos de los medios de comunicacin, administradores siempre deben de llevar a cabo encryption de los datos cuando quiera que se transmitan datos sensibles por la red pblica. Una de las aplicaciones ms comunes que deben usarse para acceder restricciones es bajo un ambiente de datos compartidos. Cuando una compaa le ofrece acceso de la red a una o ms bases de datos, debe llevar a cabo un plan para restringir y controlar todas las consultas de los usuarios. Cada base de datos debe tener una proteccin llave o serie de paso, que solo la sepan esos individuos que tienen ttulo de accesar los datos. Asegurar que intrusos no puedan reproducir los datos del sistema, los usuarios haran primero una seal con contraseas, entonces prueba que no estn titulados a la consulta de los datos. Adicionalmente, la cabeza de seguridad de los datos debe obtener una copia impresa diaria de las llaves y / o contraseas. Adems de controlar acceso a bases de datos, el administrador de la red debe evaluar todos los recursos compartidos que se pueden acceder por la red (ej. Aplicaciones, directorios, archivos de la universidad) y debe llevar a cabo un tipo de restriccin del acceso por cada una. Hay muchas medidas de la seguridad bsicas que administradores pueden emplear a menudo en combinacin: Controles de diskette y drive Proteccin de la contrasea Llaves y tarjeta de sistemas Biomtricas Encryption de los datos Sistemas de callback Sistema operativos de una red construidos con funciones de seguridad Mientras mas alto sea el nivel de seguridad, trae consigo ms molestia para usuarios legtimos. La estrategia de la proteccin de la red ideal debe combinar procedimientos Ingeniera Karen Andrea Jom Lpez de la seguridad mltiples para proteccin de los datos sin crear resistencia en la comunidad del usuario.
VPN El Data center, contar con una tecnologa de red que permite una extensin segura de la red local (LAN) sobre una red pblica o no controlada como Internet. Permitiendo que la computadora en la red enve y reciba datos sobre redes compartidas o pblicas como si fuera una red privada con toda la funcionalidad, seguridad y polticas de gestin de una red privada. Esto se realiza estableciendo una conexin virtual punto a punto mediante el uso de conexiones dedicadas, encriptacin o la combinacin de ambos mtodos.
e. SEGURIDAD DE LA INFORMACIN Como bien sabemos la seguridad engloba no solo lo fsico ni lo lgico, tambin resguarda lo ms importante dentro de un sistema como lo es la informacin para ello existen buenas prcticas definidas para controles, dentro de algunas metodologas, COBIT es una de las ms completas proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar valor mediante un gobierno y una administracin efectivos de la TI de la Organizacin. COBIT se basa en los siguientes dominios para sus procesos en las unidades de tecnologas.
PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. MONITOREO: Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control Ingeniera Karen Andrea Jom Lpez facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Como vemos existen mtodos y estndares que nos ayudan y a las cuales podemos regirnos para prestar un servicio continuo a los usuarios o clientes. Para lograr nuestro propsito de dar continuidad, con integridad, disponibilidad y confidencialidad a nuestro sistema debemos contar con un sistema de recuperacin ante desastres.
DRP - PLAN DE RECUPERACIN ANTE DESASTRES De la UTCA
El Plan de Recuperacin ante Desastres, se considera como un proceso de recuperacin que protege los datos, software y hardware, para que el negocio pueda realizar sus operaciones en respuesta a un desastre natural o causado. Se deben de incluir proyectos para contrarrestar la prdida inesperada de personal clave. Este Plan de recuperacin ser de mucha utilidad, ya que se debe de contar con un Plan de Continuidad del Negocio, que permitir as alcanzar los objetivos de seguridad de un sistema.
A. ANALISIS DE RIESGOS EMPRESA: Universidad UTCA
1. Antecedentes histricos. a. La Universidad UTCA ha sido autorizada a operar en Guatemala con sede en la ciudad capital y teniendo regiones en los departamentos de Quetzaltenango, Puerto Barrios, Santa Elena Petn, Retalhuleu, Escuintla y Jutiapa. 2. Identificacin de las amenazan que afronta la empresa: a. AMENAZAS AL MEDIO AMBIENTE NATURAL: i. Dentro de las amenazas naturales que actualmente sufre la empresa son: 1. Temblores 2. Inundaciones. 3. Huelgas 4. Manifestaciones. 5. Ataques terroristas b. SUMINISTRO DE LAS AMENAZAS DEL SISTEMA: 1. Los cortes de distribucin de energa elctrica, por el problema antes mencionado. 2. Cortes del servicio.
3. Identificacin de los Riesgos. a. Ante las amenazas que posiblemente se materialicen podemos identificar los siguientes riesgos que UTCA puede sufrir. i. Perdida de comunicacin debido a los cortes de energa elctrica. ii. Suspensin del servicio. iii. Accidentes y prdidas humanas. iv. Perdida del equipo de cmputo (DATACENTER) Ingeniera Karen Andrea Jom Lpez v. Perdida de la informacin. (Activo Importante) vi. Incomunicaciones y lneas afectas de telefona debido a la cada de postes y torres. 4. Identificacin de las vulnerabilidades. a. Clima inapropiado que puede afectar a las universidad.
5. Impactos que podra tener la empresa ante los riesgos antes mencionados. 1. Altos costos econmicos en el servicio de energa elctrica 2. Alto costo en la compra de equipo nuevo 3. Perdidas fatales 4. Insatisfaccin de los clientes 5. Incredibilidad por parte de los proveedores.
6. Procesos Crticos del Negocio.
B. GESTION DE RIESGOS. a. Segn lo analizado anteriormente debemos de aplicar las siguientes medidas para control y minimizar los activos de la organizacin. i. ELI MI NACI ON DE RI ESGOS. En el caso de que la empresa se quede sin servicio de energa elctrica se deber de tener en cuenta lo siguiente. Contar con una planta elctrica que contenga las capacidades de abastecimiento para el suministro de energa. Esta medida se aplicara para que no se suspenda ningn servicio tanto para los clientes internos como externos. Si en dado caso esto implica un alto costo en combustibles y mantenimiento para la empresa se podr adquirir un sistema de energa solar que permita abastecer a toda la empresa. PROCESOS CRITICOS DEL Consejo Directivo REDES Y HARDWARE Facultades EDIFICIOS Personal Administrativo Ingeniera Karen Andrea Jom Lpez Contar con un modem de alta velocidad o un sistema satelital y para la perdida de seal de internet y trasferencia de los datos. Sera necesario contar con un planes de seguridad para el personal, en este caso para la evacuacin inmediata ante un desastre natural, terremoto, inundaciones, etc. Proteger las instalaciones reforzndolas con planes de construccin adecuados, esto para proteger tanto al personal como a todos los bienes materiales de la entidad.
ii. TRANSFERI R EL RI ESGO. En el caso de que ocurra una inundacin que realmente es una situacin impredecible ser necesario incurrir a la subcontratacin de un seguro que cubra los gastos, as mismo se deber de asegurar de que el valor del activo es superior al del propio seguro. Se deber de contar con un proveedor de energa elctrica, en este caso se podr solicitar los servicios de otra hidroelctrica. Es necesario contar con proveedor alterno de ISP y telefona. iii. ASUMI R EL RI ESGO. Para la situaciones de temblores es necesario asumir el riesgo por lo que la decisin ser tomada y firmada por la direccin de la hotelera. iv. MI TI GACI ON DEL RI ESGO: SALVAGUARDAS. i. Establecer polticas y rigurosos controles y medidas de seguridad. ii. Es necesario implementar mecanismos automticos para el suministro de energa elctrica. (Interruptores automticos) iii. El DATACENTER deber de estar protegido y mejor si los datos y aplicaciones son distribuidas con otros servidores de almacenamiento en otro pas, departamento o municipio. iv. Se debern realizar copias de seguridad de la informacin de forma peridica. v. Se debern de implementar simulacros para la evacuacin ante una amenaza natural. vi. Sera necesario implementar un sistema de balanceo de cargas de los servidores de datos para el servicio a los clientes. vii. Es importante agregar medidas de encriptacin y cifrados a la informacin. Si se desea migrar la informacin con otro proveedor de servicios.
Ingeniera Karen Andrea Jom Lpez C. CONCIENTIZACION DEL PERSONAL: a. Para concluir con el plan para la prevencin de desastres es necesario tomar en cuenta que las prioridades ms altas dentro de la empresa es el personal. Por lo que deber de capacitar al personal para prevenir cualquier accidente y de esta manera seguir brindando una calidad de servicio y darle continuidad al negocio. b. Desarrollar un plan de entrenamiento. ---COMO ADMINISTRADOR DE LA RED DE COMPUTO SEGUIRIA LOS SIGUIENTES PASOS: Respetar las normativas y las polticas implementadas. Desarrollar el plan estratgico (a largo plazo) de trabajo con redes y comunicaciones. Asegurar que la red opere de manera confiable
RECOMENDACINES Y MEDIDADES PARA LA IMPLEMENTACION: A. SEGURIDAD FISICA Las principales necesidades siguientes que deben abordarse desde un punto de vista de la seguridad fsica. PAREDES 1. Combustibilidad del material (madera, acero, hormign) 2. Resistencia al fuego 3. Refuerzos para reas de seguridad PUERTAS B. Combustibilidad del material (madera, tablero prensado, el aluminio) C. Resistencia al fuego D. Entradas bloqueadas o controladas E. Alarmas F. Bisagras seguras G. Puertas con cerradura electrnica TECHOS H. resistencia al fuego I. falso techo, las consideraciones - VENTANAS requisitos translcido u opaco inastillable alarmas colocacin accesibilidad a los intrusos PISO * soporte de peso calificacin * combustibilidad del material (madera, acero, hormign) * resistencia al fuego * piso elevado (la conexin a tierra) * superficie y el material no combustible Calefaccin, ventilacin y aire acondicionado * presin de aire positiva * protegidos orificios de entrada Ingeniera Karen Andrea Jom Lpez * lneas dedicadas de energa * vlvulas de cierre y switchs * colocacin fuentes de alimentacin elctrica * copia de seguridad y fuentes de alimentacin alternativa * energa limpia y constante fuente de * alimentadores dedicados a las reas requeridas * la colocacin y el acceso a los paneles de distribucin y se rompe circuitoagua y gas * vlvulas de cierre - etiquetadas y pintadas con colores brillantes para la visibilidad * flujo positivo (material sale del edificio, no en) * ubicacin - bien ubicado y etiquetado deteccin de incendios y supresin de * la colocacin de sensores y detectores * colocacin de sistemas de supresin * tipo de detectores y agentes de supresin
a. Seguridad Lgica. -Implementacin de firewall. -Cableado estructurado certificado - Soporte.
INFRAESTRUCTURA Cable UTP Fibra ptica Routers Switches Rack Access Point
INSTALACION Cableado Puntos de red Inst. Elctricas Racks.
PLAN DE RECUPERACIN:
Para realizar el plan de recuperacin se deber de Analizar el dao y Recuperar sistemas fsicos y lgicos daados, para lo cual tambin tendr que acudirse a la utilizacin de:
El rbol telefnico: Aqu se contar con un listado de los nmeros telefnicos y datos importantes de las personas que interacten con el sistema y la empresa, con los cuales incluirn a:
Personal de la empresa (Consejo Directivo, Depto. Informtica, Depto. Recursos Humanos, Depto. Financiero
Clientes que se asocien con la informacin y requieran de ella.
Entes encargados ante desastres externos y naturales. Ingeniera Karen Andrea Jom Lpez
Este rbol telefnico estar desarrollado de la siguiente forma:
Reservas de Memoria: Estas se realizarn cada da y sern enfocadas con servicios remotos y copias de seguridad almacenadas en distintas ubicaciones.
Informacin de Negocio: Esta informacin ser almacenada en discos externos y fuera de las instalaciones de la empresa, se utilizarn tres respaldos, para el Depto. De informtica, Administracin y una copia en las instalaciones de la empresa.
Recuperacin de Software: Se utilizarn las copias de seguridad, tanto de datos, Sistema Operativo y aplicaciones o programas, para as poder continuar con la funcionalidad y disponibilidad del data center.
Tecnologas utilizadas para la Recuperacin:
Software de rplica.
Servicio telefnico.
Direccin Encargado de Informtica Administrador de DATA center Personal del Depto. y funciones Recursos Humanos Personal Operativo y funciones. Encargado de Servicio al Cliente Usuarios e interacciones. Depto. De Seguridad Empresarial Registros de Seguridad Externa Ingeniera Karen Andrea Jom Lpez Backups remotos de reserva.
Sistema de encriptacin de la informacin.
Administrador de Data Center y servidor web.
ROLES Y RESPONSABILIDADES
Administracin: Administrar y fomentar la aplicabilidad del DRP en la empresa.
Depto. de informtica. Elaborar el DRP e inducir sobre la seguridad del sistema.
Admn. De Data Center: Evaluar constantemente la integridad de los servicios, la disponibilidad, copias de seguridad y la restauracin del mismo.
Clientes y usuarios finales: Fomentar la aplicabilidad del DRP.
Ingeniera Karen Andrea Jom Lpez Justificacin Servidores Blade Debido a que cada servidor debe estar fsicamente en distintos puntos y al tamao de la red, se ha decidido que el tipo de servidor a utilizar es un servidor Blade por las siguientes caractersticas:
Los servidores blade son ideales cuando hay una gran cantidad de informacin. Menos espacio ocupado ya que las tarjetas se insertan en el backplane dentro de un chasis que a su vez permite aadir los dems elementos como la ventilacin, los switches, etc. Reduce el consumo de energa elctrica, cables, sistemas de enfriamiento, etc. Intercambio en caliente (Hot-Swap) significa que un blade que falla puede ser reemplazado con el equipo energizado sin ningn impacto en los otros blades. Elimina la mayor parte del cableado. Se puede ampliar el nmero de servidores fcilmente a medida que van creciendo el nmero de mensajes por da. Alta disponibilidad pues la mayora de los equipos poseen elementos redundantes que garantizan el funcionamiento continuado de los servidores sin interrupciones. Ahorro de costos. Ofrece arquitectura flexible que puede ir creciendo a medida que las transacciones aumentan.
Actualmente los blade son ms caros que los servidores convencionales que ofrecen igual o similar rendimiento. No obstante, la eleccin de blade tiene muchas ventajas ya que como el sistema a implementar ira creciendo a largo plazo los costos sern menores comparados con los costos que generaran lo otros tipos de servidores.
Justificacin Virtualizacin.
La Virtualizacin es la creacin de una versin virtual de algn recurso tecnolgico, como un sistema operativo, dispositivo de almacenamiento, recurso de red, plataforma de hardware, etc. As mismo, se refiere a la abstraccin de los recursos de una computadora que crea una capa de abstraccin entre el hardware de la mquina y el sistema operativo de la mquina virtual, dividindose los recursos. La virtualizacin es un tipo de simulacin de software utilizando los recursos de una computadora.
Entre sus ventajas est la reutilizacin de hardware existente para utilizar software ms moderno y optimizar los recursos de hardware, adems incorpora nuevos recursos para los servidores virtualizados, reduce costos de espacio y consumo en los recursos.
As tambin la virtualizacin, como servicio en la Nube (cloud computing) tiene una nueva tendencia tecnolgica que ofrece funcionalidades de gran inters para accesar a contenidos, aplicaciones, sistemas operativos, desde distintos dispositivos, fijos o mviles.
Con la Virtualizacin de Aplicaciones, un usuario es capaz de ejecutar en su computadora una aplicacin que no est instalada en su equipo. Esta aplicacin se descargar bajo demanda desde un servidor externo en la red que suministra la aplicacin y el entorno de configuracin necesario para su ejecucin. La aplicacin se ejecuta en el sistema local en un entorno virtual protegido sin que se modifique nada en el sistema local, ni que interfiera con el resto de aplicaciones. Ingeniera Karen Andrea Jom Lpez
Las ventajas que presenta la virtualizacin de aplicaciones son:
Reducir las necesidades de mantenimiento, instalacin y desinstalacin de aplicaciones. Disponibilidad de la aplicacin en cualquier momento y lugar, pero es necesario acceso a red y dispositivo compatible, como una computadora, telfono mvil, etc. El Sistema Operativo, queda limpio y sin archivos de sistema instalados como dlls, etc. Rapidez en la aplicacin. Las medidas de Seguridad, acceso, disponibilidad la posee el servidor del servicio, por lo que el usuario final, no se preocupa de ello.
Ya que se requiere trabajar en las regiones la virtualizacin es una opcin precisa, para optimizar recursos de hadware y software, y no hay ningn inconveniente en el crecimiento futuro de la universidad.
Ingeniera Karen Andrea Jom Lpez
GLOSARIO Redes de Computadores La definicin ms clara de una red es la de un sistema de comunicaciones, ya que permite comunicarse con otros usuarios y compartir archivos y perifricos. Es decir es un sistema de comunicaciones que conecta a varias unidades y que les permite intercambiar informacin. Las tecnologas LAN Una red LAN consiste en un medio de transmisin compartido y un conjunto de software y hardware para servir de interfaz entre dispositivos y el medio y regular el orden de acceso al mismo, lo que se desea lograr con estas redes es velocidades de transmisin de datos altas en distancias relativamente cortas. Al implementar una red LAN, varios conceptos claves se presentan por s mismos. Uno es la eleccin del medio de transmisin, los cuales pueden ser par trenzado, coaxial, fibra ptica o medios inalmbricos. Servidor Blade.- Es una computadora utilizada para gestionar el sistema de archivos de la red, da servicio a las impresoras, controla las comunicaciones y realiza otras funciones. Presta sus servicios en Hot_swap, ya que est integrado por varias tarjetas de red.
Servidores: Computadores que proporcionan servicios a las estaciones de trabajo de la red tales como almacenamiento en discos, acceso a las impresoras, unidades para respaldo de archivos, acceso a otras redes o computadores centrales. Routers: Los routers pueden regenerar seales, concentrar mltiples conexiones, convertir formatos de transmisin de datos, y manejar transferencias de datos. Tambin pueden conectarse a una WAN, lo que les permite conectar LAN que se encuentran separadas por grandes distancias. Ninguno de los dems dispositivos puede proporcionar este tipo de conexin.
Switch Ethernet: Los switches de grupos de trabajo agregan inteligencia a la administracin de transferencia de datos. No slo son capaces de determinar si los datos deben permanecer o no en una LAN, sino que Ingeniera Karen Andrea Jom Lpez pueden transferir los datos nicamente a la conexin que necesita esos datos. Otra diferencia entre un puente y un switch es que un switch no convierte formatos de transmisin de datos. Seguridad.- El administrador de la red es la persona encargada de asignar los derechos de acceso adecuados a la red y las claves de acceso a los usuarios. Servidores de impresoras.- Es una computadora dedicada a la tarea de controlar las impresoras de la red. A esta computadora se le puede conectar un cierto nmero de impresoras, utilizando toda su memoria para gestionar las colas de impresin que almacenar los trabajos de la red. En algunos casos se utiliza un software para compartir las impresoras.
TIA-942: Estandar para el diseo fsico de un Data Center.
Subneteo: es dividir una red a ms sub redes, segn sea requerido. ISO/IEC/27002 Estandar para la seguridad de la informacin.
VPN Red Privada Virtual, permite una extensin segura de la red Local.