Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AAFF2 Controles Seg Fisica Centro Datos
AAFF2 Controles Seg Fisica Centro Datos
Acuacultura y pesca
JUNIO 2012
UNIDAD DE ADMINISTRACIÓN
I. Objetivo
Implementar, de acuerdo con el SGSI, los controles de seguridad física en el centro de datos, así como para el acceso
al propio centro de datos y a los componentes o elementos del ambiente operativo, ubicados en el mismo.
1. Riesgos Físicos.
Definición:
El acceso no autorizado consiste en acceder de manera indebida, sin autorización o contra derecho al Área que ocupa
el Centro de Datos de la CONAPESCA o a cualquier otro sistema perteneciente a la Secretaría que lleve a cabo el
tratamiento de la información.
Dicho acceso no autorizado es considerado como un comportamiento indebido en la introducción a sistemas de
información o físico del Centro de Datos de la CONAPESCA infringiendo así, a las medidas de seguridad destinadas a
proteger los datos contenidos en él.
Posibles Riesgos:
Los riesgos a los cuales se puede enfrentar en el Centro de Datos, por accesos no autorizados son:
Que personal no autorizado tenga acceso a los racks de otras unidades o entidades alojadas en el mismo y
extraiga equipos.
Dañen las instalaciones, así como la infraestructura alojada en el mismo.
Extraigan información no autorizada para ello.
Instalen virus informáticos en los equipos.
Poner en riesgo las conexiones de los sistemas de Cableado Estructurado o del Sistema de Energía Eléctrica
por querer conectar o desconectar algún activo de TIC, sin conocer las medidas preventivas.
Definición:
El Centro de Datos Sectorial de la CONAPESCA tiene determinadas especificaciones de funcionamiento en lo que se
refiere al equipamiento que aloja en sus instalaciones.
La climatización de este espacio tiene que garantizar condiciones específicas de temperatura y humedad, para ello se
utilizan dispositivos adecuados para su medición.
El equipo de aire acondicionado de precisión que se encuentra instalado el Centro de Datos de la CONAPESCA
cuenta con una instalación independiente, esto por las características especiales como el ciclo de enfriamiento, que
deberá trabajar día y noche, los 365 días del año y las condiciones especiales de filtrado.
La alimentación eléctrica para este tipo de equipo es independiente para que los arranques de sus compresores no
afecten con ruido eléctrico en los activos de TIC's.
El funcionamiento y mantenimiento de dichos equipos está respaldado bajo un contrato de servicios el cual, permite la
atención de los mismos en cualquier momento que se requiera, así como un calendario preventivo de los mismos.
Posibles Riesgos:
Posibles Fallas en los Sistemas de Aire Acondicionado de Precisión son las siguientes:
- Inundación a causa del mal funcionamiento.- Se da por congelación y/o por haberse tapado los desagües de
los mismos.
- Conexiones eléctricas deficientes.
- Falta de lubricación en los motores.- Esto causa una fuerza de fricción la cual hace que se incremente la
cantidad de electricidad que se consume.
- Los filtros sucios pueden causar que los costos de energía sean mayores de lo que deberían y pueden dañar
el quipo, llevándolo a fallas prematuras.
- Mal funcionamiento del control de termostato.
- Exceso de polvo.
- Un serpentín sucio reduce la capacidad del sistema para enfriar el Centro de Datos Sectorial de la
CONAPESCA y origina que el sistema opere por más tiempo, incrementando el costo de energía y
disminuyendo la durabilidad del equipo.
- Una carga refrigerante excesiva o deficiente puede dañar el compresor, reduciendo la durabilidad del equipo e
incrementando los costos
- Para poder evitar las fallas ya antes mencionadas, el Centro de Datos cuenta con un plan de medidas de
seguridad sobre los sistemas de aire acondicionado de precisión.
Definición:
El Cableado estructurado que se tiene instalado en el Centro de Datos el cual permite interconectar los bienes de
TIC's alojados en el mismo, de diferentes o igual tecnología permite la integración de los diferentes servicios que
dependen del tendido del sistema de cableado estructurado.
El objetivo fundamental es cubrir las necesidades de los usuarios durante el tiempo de alojamiento en el Centro de
Datos.
Posibles Riesgos:
- Las fallas pueden ser provocadas por daño en el cable, desde su fabricación, mal uso del mismo y hasta por
falta de protección.
- El cableado estructurado del Centro de Datos se lleva a cabo mediante ducterías y escalerillas, en el trayecto
de estas al cruzar por cableados eléctricos puede provocar interferencia en la transmisión de voz y datos.
- Roedores u otros animales que puedan comer o dañar el cableado.
Definición:
La instalación eléctrica es un factor fundamental para la operación y seguridad de los equipos del Centro de Datos, en
los que se debe contemplar el consumo total de corriente, el calibre de los cables, la distribución efectiva de
contactos, el balanceo de cargas eléctricas y una buena tierra física.
La instalación para el Centro de Datos de la CONAPESCA es un circuito exclusivo tomado de la sub-estación o
acometida desde el punto de entrega de la empresa distribuidora de electricidad, usando cables de un solo tramo, sin
amarres o conexiones intermedias.
Se construyó una tierra física exclusiva para esta área, la cual se conecta a través de un cable con cubierta aislante al
centro de carga del Centro de Datos Sectorial de la CONAPESCA, esta tierra en los Centros de Datos deberá tener un
valor menor a 1 ohm.
Posibles Riesgos:
Una mala instalación provocaría fallas frecuentes, cortos circuitos y hasta algún incendio en los equipos.
- Ocurrencia de cortos circuitos en el sistema de potencia.
- Caídas severas de tensión.
e. Incendios
Definición:
Un incendio es una ocurrencia de fuego no controlada que puede abrasar las instalaciones y los bienes de TIC que
están alojados en el centro de datos.
Puede afectar la misma estructura del inmueble y a los usuarios que se encuentren en el Centro de Datos. Para que
se inicie un fuego es necesario que se den conjuntamente estos tres factores: combustible, oxígeno y calor o energía
de activación.
La exposición a un incendio puede producir heridas muy graves como la muerte, generalmente por inhalación de
humo o por desvanecimiento producido por la intoxicación y posteriormente quemaduras graves.
Posibles Riesgos:
Los incendios pueden ser causados por fallas de instalaciones, cortos circuitos en las instalaciones por un mal uso de
las mismas, sobrecalentamiento de equipo, el uso inadecuado de substancias dentro del centro de datos.
Definición:
El ruido es una tensión indeseada o corriente sobrepuesta en la tensión del sistema de energía eléctrica o forma de
onda de la corriente.
Posibles Riesgos:
El ruido puede ser generado por dispositivos electrónicos alimentados eléctricamente, circuitos de control, soldadores
por arco, fuentes de alimentación para conexiones, transmisores radiales, etc. Los sitios con conexiones de puesta a
tierra deficientes hacen que el sistema sea más susceptible al ruido. El ruido puede causar problemas técnicos a los
equipos como errores de datos, malfuncionamiento de los equipos, falla de componentes a largo plazo, falla del disco
duro y monitores con vídeo distorsionado.
g. Inundación
Definición:
En muchas partes del mundo, el daño y riesgo de inundación es algo común, en nuestro país actualmente existen
muchas zonas que se inundan con las primeras lluvias. Los daños por inundación o agua han ocurrido aun cuando las
instalaciones no se encuentren cerca de un río o una costa.
Posibles Riesgos:
Se pueden originar por lo regular tras la ruptura de cañerías o por el bloqueo del drenaje, también pueden ser
provocadas por la necesidad de apagar un incendio en un piso superior al Centro de Datos.
2. Riesgos humanos
Definición:
Los sistemas del Centro de Datos Sectorial de la CONAPESCA pueden ser usados para estas acciones de manera
tradicional o usando nuevos métodos, todos los sistemas e información pueden estar bajo riesgo sin la seguridad
adecuada.
Posibles Riesgos:
- Fallas en el cálculo de consumo eléctrico o falta de previsión de crecimiento así como también en las UPS.
- Fallas en el software al aplicar parches sin haber sido probados.
- Que quede mal cerrada la puerta de accesado permitiendo accesos no autorizados.
- Que quede un servidor sin bloquear correctamente y que alguien pudiera tomar el control físico de dicho
servidor.
Definición:
Los robos o sabotaje pueden ser cometidos por personas internas o externas a la Secretaría y sus motivos pueden
ser de los más variados.
Posibles Riesgos:
Al estar más familiarizado con las aplicaciones, los empleados saben que acciones causarían más daño. Entre las
acciones de sabotaje más comunes existen:
- Destrucción de hardware
- 'Bombas lógicas para destrucción de programas y/o datos
- Ingreso erróneo de datos
- Exposición de medios magnéticos de almacenamiento de información a imanes.
- Introducción de suciedad, partículas de metal o gasolina por los conductos de aire acondicionado
- Corte de las líneas de las comunicaciones y/o eléctricas
Definición:
Los riesgos existentes en los activos de TIC's se pueden dividir en Hardware y Software y en estos casos no todos los
riesgos son causados por problemas en la infraestructura o en el personal.
Posibles Riesgos:
En el Hardware:
- Defectos de fabricación y/o daños físicos que puedan tener durante su transporte.
- Que el manual este en otro idioma ajeno al que normalmente manejamos.
- Las piezas que pudieran ser dañadas no son muy comunes y por lo tanto difíciles de conseguir.
- Cuando se trabaja con conexión a red, es muy común que por falta de conocimiento se realicen acciones que
puedan bloquear o provocar que ésta se caiga.
En el Software:
- Los archivos necesarios para su instalación no están contenidos en el CD de instalación.
- El ambiente en que se desarrolla no es compatible con el Sistema Operativo que está siendo usado.
- El idioma, no siempre está en el que hablamos y por lo tanto, es más difícil su manejo.
- Aplicar los controles del SGSI adecuadamente.
- Algunas órdenes, comandos u operaciones pueden llegar a ser muy complejos, lo cual puede producir que al
darlas de manera equivocada bloquemos el equipo.
- El problema principal y más común que puede ser causa de más problemas que ningún otro factor es la falta
de experiencia.
Definición:
Los robos o sabotaje pueden ser cometidos por personas internas o externas a la Secretaría y sus motivos pueden
ser de los más variados.
Posibles Riesgos:
Al estar más familiarizado con las aplicaciones, los empleados saben que acciones causarían más daño. Entre las
acciones de sabotaje más comunes existen:
- Destrucción de hardware
- 'Bombas lógicas para destrucción de programas y/o datos
- Ingreso erróneo de datos
- Exposición de medios magnéticos de almacenamiento de información a imanes.
- Introducción de suciedad, partículas de metal o gasolina por los conductos de aire acondicionado
- Corte de las líneas de las comunicaciones y/o eléctricas
Definición:
Los equipos que se encuentran en el centro de datos, mantienen una administración de contraseñas dependiendo del
responsable del servidor, equipo de almacenamiento o equipo de telecomunicaciones
Dentro del Centro de Datos Sectorial de la CONAPESCA se aplican los criterios definidos previstos en el SGSI para
determinar el acceso físico al mismo. El control de acceso a los sistemas del Centro de Datos se realiza por medio de
sistemas electrónicos que contienen identificación electrónica por medio de una tarjeta de proximidad y contraseña
única para cada usuario.
Posibles Riesgos:
- El mantener un equipo sin contraseña se vuelve vulnerable para la administración de sus recursos.
- El mantener un equipo con contraseñas genéricas o predecibles, permite a usuarios que deseen dañar la
información o equipo, el intento de ingresar a los mismos, considerando que se realiza de una forma segura o
predecible.
- Todo el sistema de acceso tiene definidos los perfiles de usuario de acuerdo con la función y cargo de los
usuarios que accedan a él. Esto en cuanto a días y horas en las que pueden ingresar ya que solo existe un
acceso y área común.
Todos los recursos informáticos del Centro de Datos de la CONAPESCA cumplen como mínimo con lo siguiente:
Administración de Usuarios:
- Se establece como deben ser utilizadas las claves de ingreso a los recursos informáticos.
- Se establecen parámetros sobre la longitud mínima de las contraseñas, la frecuencia con la que los usuarios
deben cambiar su contraseña y los periodos de vigencia de las mismas, entre otras.
Rol de Usuario:
- Los sistemas operacionales, bases de datos y aplicativos, cuentan con los roles predefinidos o con un módulo
que permite definir roles, definiendo así, las acciones permitidas por cada uno de estos.
- Se permite la asignación a cada usuario de posibles y diferentes roles.
- También se permite que un rol de usuario administre la Administración de Usuarios. Plan de auditoría
- Hace referencia a las pistas o registros de los sucesos relativos de la operación en el sistema de control de
acceso.
- El nivel de administrador de los sistemas críticos debe de tener un control dual, de tal forma que existe una
supervisión a las actividades realizadas por el administrador del sistema.
4. Percepción de la Seguridad
Definición:
La percepción de la seguridad es un control preventivo. Por medio de este proceso, los empleados perciben sus
responsabilidades respecto de mantener buenas seguridades físicas. Ello también puede constituir una buena medida
de detección dado que alienta a que la gente identifique las posibles violaciones a la seguridad.
Posibles Riesgos:
- No contar con una conciencia de la seguridad que se debe mantiene en el Centro de Datos, provocará un mal
uso de las tecnologías, los controles establecidos, así como el daño a las instalaciones e infraestructura que
se tiene alojada en el Centro de Datos. Una seguridad eficaz siempre dependerá de las personas.
- La mejor manera de dar a conocer el uso de las instalaciones del Centro de Datos Sectorial de CONAPESCA
es mediante el envío de correos electrónicos e impartición de conferencias, al personal específico y autorizado
de la CONAPESCA.
Seguridad Lógica
Dentro del Centro de Datos de la CONAPESCA conocemos como seguridad lógica a la manera de aplicar los
procedimientos que aseguren que sólo podrán tener acceso a los datos y a las áreas reservadas del mismo las
personas o sistemas de información autorizados para hacerlo.
Objetivos:
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los
programas ni los archivos que no correspondan.
3. Asegurar que estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás
software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo
la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no
autorizados.
Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las
relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado
por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST)(1) ha
resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier
sistema:
- Identificación y Autentificación
- Roles
El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho
acceso.
Algunos ejemplos de roles son los siguientes:
- Programador, líder de proyecto
- Subdirector de un área administrador del sistema
o Encriptación
- La información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada. La
encriptación puede proveer de una potente medida de control de acceso.
- Es importante considerar también en los sistemas de transferencia de voz, ya que algunos sistemas pueden
ser fácilmente capturados y ser reproducidos. Para el caso de sistemas TDM, se deberá tener bajo resguardo
las conexiones en los IDF y MDF a fin de mitigar el riesgo de acceso a las conversaciones análogas sobre
todo.
o Administración
- Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, se deberá realizar una
eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación,
seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.
Los controles de acceso están implementados a nivel físico. Estos controles constituyen una ayuda importante para
proteger al equipo utilizado en el Centro de Datos de la CONAPESCA, así como al sistema operativo de la red, a los
sistemas de información y al software adicional que tiene alojado en el citado Centro; de esta manera se evita de que
puedan ser utilizados o modificados sin autorización, también nos sirven para mantener la integridad de la información
(restringiendo la cantidad de usuarios y procesos con autorización de accesos).
Los controles de acceso físico están diseñados para proteger a la organización ante accesos no autorizados.
Los controles físicos permiten el acceso físico solamente al personal autorizado por el Administrador del Centro de
Datos, bajo las condiciones que se establecen en el control de acceso, como los siguientes:
- Restringir el acceso a las áreas reservadas del Centro de Datos de la CONAPESCA, que como ya se
mencionó anteriormente, por contar con una sola área común para todos los usuarios y equipos, se restringe
el acceso al Centro de Datos solo a los usuarios autorizados.
- Los usuarios, operadores y administrador del Centro de Datos no podrán modificar ni programar dispositivos y
programas del Centro de Datos de la CONAPESCA, que no sean de su competencia.
- Se asegura que los usuarios tengan acceso a los gabinetes que tienen sus equipos asignados y no podrán
manipular instalaciones o equipos que no estén dentro de su competencia.
- Se asegura que las operaciones realizadas dentro del Centro de Datos de la CONAPESCA sean autorizadas
y/o supervisadas por personal de la misma CONAPESCA, dependiendo del área correspondiente a laborar
dentro del mismo.
- Se asegura que los equipos de información del Centro de Datos de la CONAPESCA sean operados por
personal autorizado por cada área correspondiente.
Los controles de acceso físico con los que cuenta el Centro de Datos de la CONAPESCA son los siguientes:
a. Puertas con chapa de seguridad.
b. Bitácora de Control de Acceso al Centro de Datos
Para llevar a cabo el retiro, transporte o almacenamiento de equipo del centro de datos es necesario realizar el
siguiente proceso:
a) Retiro de equipo
- Antes de retirar o ingresar al Centro de Datos de la CONAPESCA, el personal deberá contar con un formato
de registro, los campos a llenar de dicho registro son:
- Fecha.
- Especificaciones del equipo:
- Marca
- Modelo
- No. de serie.
- No. de Gabinete o Rack en el que estaba instalado el equipo.
- Justificación de la salida.
Número de gabinete o
Equipo/Refacción Marca Modelo Número de Serie rack donde se ubicaba
MOTIVO DE LA SALIDA
SI ( )
NO ( )
CONDICIONES EN LAS QUE SE ENCUENTRA EL EQUIPO
ÁREA/EMPRESA:
NOMBRE: FIRMA:
PERSONAL DEL AREA QUE HA DADO VISTO BUENO AL RETIRO
NOMBRE: FIRMA:
PERSONAL DEL AREA QUE AUTORIZA EL RETIRO DEL EQUIPO
NOMBRE: FIRMA:
EN CASO DE SER NECESARIO
¿SE VALIDÓ EL BORRADO DE LA INFORMACIÓN DE LOS DISPOSITIVOS DE ALMACENAMIENTO?
SI ( )
N/A ( ) PERSONA QUE VALIDA:
OBSERVACIONES ADICIONALES
b) Ingreso de equipo:
Previo al ingreso del equipo el usuario deberá de informar al Administrador del Centro de datos los siguientes datos
del equipo:
- Tipo de equipo.
- Consumo del equipo en amperes.
- Número de fuentes con que opera el equipo.
- Unidades de Rack que se requerirán para su instalación.
- No. de puertos LAN que utilizara.
- No. de puertos FO. Si es el caso.
Lo anterior mínimo con 48 hrs. de Anticipación, mediante el formato de registro previo al ingreso de los bienes de
TIC's al Centro de Datos.
Al momento de Ingresa el equipo a Instalar se deberá de entregar el formato de Ingreso de equipo al Centro de Datos,
el cual deberá de contener la siguiente información:
- Hora y fecha del ingreso del equipo.
- Equipo, Marca, Modelo, Número de Serie.
- Condiciones en las que se encuentra el equipo.
-Firmar del responsable que ingresa el equipo.
Solicitar al administrador del Centro de Datos de la CONAPESCA, el formato correspondiente al registro para ingresar
equipo a instalar.
Llevar equipo registrado al Centro de Datos de la CONAPESCA, este procedimiento será realizado acompañado de
personal autorizado para ingresar al Centro de Datos de la CONAPESCA.
En caso de que no se realice la instalación de los equipos en un periodo no mayor a 48 horas, se deberá de retirar el
mismo o en su caso el administrador del Centro de Datos lo retirara y lo enviara al Almacén.
El ingreso e instalación de equipos en el Centro de Datos de la CONAPESCA se tiene que notificar a los encargados
del mismo, esto con el objetivo de tener bien documentado todo equipo que sea alojado dentro del mismo.
Nota: Este form ato nos perm ite identificar los requerim ientos m inim os para la instalación
FECHA DE INSTALACIÓN:
NO. DE GABINETE O RACK PLANEADO PARA DESALOJAR:
OBSERVACIONES ADICIONALES
FECHA DE INGRESO:
HORA DE INGRESO:
Número de gabinete o
Equipo Marca Modelo Número de Serie rack donde se instalará
JUSTIFICACION DE INGRESO
ÁREA/EMPRESA:
NOMBRE: FIRMA:
NOMBRE: FIRMA:
OBSERVACIONES ADICIONALES
c) Transporte de equipo
Para realizar el transporte de los bienes TIC's se debe de asegurar (bajo los contratos de la CONAPESCA o según
sea el caso)
- El equipo este apagado por completo. (Asegurarse de dejarlo desconectado una hora, ya que aún
desconectado llegan a almacenar energía y se podrían dar descargas estáticas).
- Desconectar cada uno de los componentes (si fuera el caso).
- Cubrir con bolsas antiestáticas.
- Envolver de preferencia con hule burbuja.
- Transportarlo con unicel en una caja.
- Sellar bien la caja y siempre mantenla boca arriba.
- Colocarlos sobre superficies planas y estables especialmente fabricados para ello.
- Los gabinetes para alojar los equipos deberán de ser bajo las características que se indican en las
especificaciones del Centro de Datos.
- No trasladar el equipo sin la autorización y asesoría de la Subdirección de Informática
- Ubicar el equipo lejos del sol y de la humedad.
- Antes y después de montar y configurar el equipo, se deberán colocar las manos en una barra metálica
dentro de la instalación para asegurar que no se produzcan cargas estáticas.
- Evitar colocar ganchos, clips, herramienta y demás cosas de metal o aluminio sobre o cerca del equipo, ya
que pueden provocar cargas capacitivas y/o estáticas que podrían dañar permanentemente el equipo o
sistema.
- No fumar, el alquitrán se adhiere a las piezas de circuitos internos.
- Mantener libre de polvo las puertas externas de los servidores y racks para que no sufran ningún daño.
d) Almacenamiento
Se deberá de validar que a todos los dispositivos de almacenamiento fijos, removibles y externos, se les apliquen las
medidas de seguridad que eviten que personal ajeno tenga acceso a la información, tanto en línea como de respaldo.
Se deberá de considerar que la seguridad de la información con la que se cuenta, es para el área física donde reside
la misma. Pueden ser Sistemas de Almacenamiento tipo SAN, NAS, Discos Duros de los Servidores, equipos
externos como DVD con copias de datos, USB, entre otros.
La protección de información en DVD. Se debe de cuidar de no rayarlos y los desperfectos de la superficie de lectura,
se deben de mantener en una temperatura aceptable, lo anterior para no exponerlos al calor excesivo que puedan
deformarlos.
Respecto a la seguridad física de los discos duros (HDD) para la protección de información se deben de considerar al
menos los siguientes aspectos:
a) Que los servidores y sistemas de almacenamiento tengan instalados las cerraduras que evitan que sean
retirados de manera casi inmediata.
b) Una ventilación adecuada en los ordenadores.
c) Que no existan variación de corriente y sobre todo vibración que puedan aterrizarlos.
Para evitar el sobrecalentamiento y la descompensación térmica provocada, principalmente, por los cambios bruscos
de temperatura, el Centro de Datos cuenta con aires de presión que evitan este tipo de problemas sin embargo es
importante contar con sistemas de monitoreo que nos indiquen si el equipo tiene algún problema por calentamiento.
Debido a que discos duros tienen una vida útil larga pero no infinita, es necesario que por medida de seguridad
aquellos datos realmente son importantes cuentes con esquemas de redundancia y como se ha indicado el respaldo
correspondiente.
Por lo anterior la Redundancia en los sistemas que almacenan la información se deberá de considerar tales como:
Copia de seguridad que se realiza en otro medio (CD, DVD, HDD externo, unidad de cintas, disco NAS, cabina SAN,
etc...) que incluya un control de versiones o simplemente una copia.
Redundancia en el sistema: Se debe de implementar un sistema que redunde los datos al instante y en todo momento
mediante tecnología raid o cualquier otra en otro lugar y medio.
Evidentemente esta redundancia tiene un coste en material y en tiempo de implementación del sistema de raid o de
copia.
Otro aspecto importante, es ubicar las copias externas en otro inmueble donde el personal tenga la seguridad
necesaria para que dicha información no sea extraída y no se ponga en riesgo, pero lo suficientemente cerca para que
cuando se requiera el tiempo de recuperación sea el menor posible.
Para asegurarse de que los dispositivos de almacenamiento mencionados al momento de ser emplazados por las
diferentes causas, es necesario utilizar métodos y normas. Para borrar discos duros, el método que nos garantiza la
privacidad es la del formateo de las unidades y/o el sobrescribir varias veces el disco duro con datos aleatorios. Esto
es fácil, pero generar datos realmente aleatorios con un ordenador no es fácil (ya que el ordenador es por naturaleza
determinista).
A fin de tener mayor información sobre de cualquier dispositivo almacenador de información deberá de seguir los
controles que implemente el SGSI antes de retirar el equipo del Centro de Datos, lo anterior para no tener a la
información comprometida o en riesgo.
Se deberá asegurar que todos los incidentes sobre la seguridad física sean registrados, supervisados, administrados,
reportados y resueltos.
Para realizar una adecuado tratamiento se deberán de establecen funciones y procedimientos de manejo de
incidentes garantizando una respuesta rápida, eficaz y sistemática a los incidentes relativos a seguridad.
a) Gestión de incidentes
Para restaurar tan pronto como sea posible la operación normal de un servicio y minimizar el impacto adverso en las
operaciones del negocio, garantizando los mejores niveles de calidad en el servicio posible, el proveedor del servicio
deberá de proveer y mantener las herramientas, procesos, destrezas y las reglas para un manejo de incidente efectivo
y eficiente.
Registro y categorización de incidentes: Se deberá de resolver el incidente (Interrupción del Servicio) en el periodo
acordado. La meta es el restablecimiento acordado del servicio de TI, con una solución temporal de ser necesario.
Una vez se constante que el Soporte de Primera Línea no puede resolver el incidente o cuando se exceda el periodo
límite propuesto para dicho nivel, el incidente deberá de ser transferido al soporte de segundo nivel.
Gestión de Incidentes Graves.- Como los incidentes graves causan interrupciones considerables a la Secretaría, estos
se deberán de resolver con mayor urgencia, si el caso lo amerita se deberán de involucrar personal de tercer nivel. Si
no se pueden corregir de raíz el problema, se deberá de generar un registro de problemas respectivo y se deberá de
remitir a la Gestión de Problemas.
Para el Cierre y Evaluación de los incidentes. La finalidad es asegurarse que el incidente se haya resuelto y que toda
la información requerida para describir el ciclo de vida del incidente haya sido sometida con el detalle adecuado.
Además, los halagos de la resolución para referencia futura y guardar en la base de conocimiento de los proveedores
respectivos.
Incidente: Cualquier evento que no es parte de la operación estándar de un servicio y que origina, o puede originar, la
interrupción o la reducción de la calidad de dicho servicio.
INMUEBLE SOLUCIÓN
Fecha de Incidente: Fecha de Solución:
Horario en que se presentó: Horario en que se solucionó:
Nom bre del m onitorista en el C.D:
RESPONSABLE DE LA ACCIÓN Y SEGUIMIENTO
INCIDENTE QUE AFECTO AL CENTRO DE DATOS
IDENTIFICACIÓN DESCRIPCIÓN
a) Fallas Operativas
b) Código Malicioso
c) Intrusiones
d) Fraude Informático
e) Error Humano
f) Catástrofes Naturales
MODO DE FALLA CAUSA EFECTOS DE FALLA
MEDIDAS A IMPLEMENTAR
Controles Actuales
PLANIFICACIÓN DE SOLUCIONES PARA EVITAR REPETICIÓN DEL INCIDENTE
Acciones Preventivas
NOTIFICACIONES
Personal al que se notificó Personal al que se notificó el
incidente por afectación directa incidente por estar Notificación altos mandos
A) NORMAL U ORDINARIO.
Nuestros primeros puntos de acceso físico al Centro de Datos Sectorial de la CONAPESCA, son los lectores de
tarjetas de proximidad, los cuales, están ubicadas en un sitio estratégico acorde a la ubicación del Centro de Datos.
Funcionamiento:
Las tarjetas de proximidad RFID (Identificación por radiofrecuencia) son un sistema de almacenamiento y
recuperación de datos remotos que usa dispositivos denominados etiquetas, las cuales contienen antenas para poder
enviar y recibir peticiones por medio de radiofrecuencia desde un emisor-receptor
Ventajas:
- La etiqueta no tiene que ser físicamente escaneada o leída de forma alguna, simplemente debe de estar dentro de
un rango de proximidad de una unidad de detección que permita que la data sea leída.
- Se cuenta una frecuencia pre configurada.
- No más códigos de barras ilegibles y/o arrugadas.
- Se pueden leer a través de escritorios y cubiertas de libro.
Desventajas:
- Nos enfrentaremos al hecho de tener que adquirir tarde o temprano nuevas tarjetas, para empleados que perdieron
sus nuevas credenciales o para nuevo personal llegado a la organización
- En ocasiones nos podremos hallar en problemas si nuestro proveedor actual no tiene stock de estas tarjetas o si no
encuentra las adecuadas para que funcionen con sus lectores. Las etiquetas RFID son más costosas que los códigos
de barras.
Procedimiento:
El Centro de Datos Sectorial, alberga dentro de sus instalaciones los servidores, sistemas de almacenamiento y
equipos de comunicaciones de la Secretaría y órganos del Sector.
El lector de huellas dactilares es un dispositivo que lee datos biométricos de las huellas dactilares de los usuarios para
su posterior procesamiento. El lector de huellas se emplea principalmente como sistema de identificación.
El lector de huellas compara los datos obtenidos durante el proceso de identificación con la plantilla almacenada en la
memoria. Si la probabilidad de que ambas pertenezcan a la misma persona es lo suficientemente alta la identificación
será positiva, procediendo a establecer sus permisos, de lo contrario la identificación será negativa. El sistema debe
minimizar tanto la probabilidad de que un usuario no sea reconocido como la probabilidad de un impostor sea
aceptado.
Las plantillas biométricas de los usuarios se pueden almacenar en un servidor central o bien en la memoria del propio
lector de huellas. Ambos sistemas presentan ventajas o inconvenientes: Si se almacenan las plantillas en el lector el
número de usuarios queda limitado por el tamaño dela memoria del lector, si se almacenan en un servidor central la
seguridad del sistema dependerá de la fiabilidad del servidor central y de las líneas de comunicación.
B) RESTRINGIDO.
Segundo punto de acceso al Centro de Datos Sectorial de la CONAPESCA serán las puertas automáticas.
Una vez que se efectúa el acceso al área de pasillos descrita con anterioridad en donde se ubica la puerta controlada
por el biométrico, podemos observar los siguientes aspectos.
Ventajas:
- Eficiente
- Continuo
- Silencioso
- Apertura de emergencia
- Bitácora de accesos de entrada y salida del personal. Solicitud de acceso
La unidad Administrativa del personal que deba tener acceso al Centro de Datos, deberá de solicitarlo mediante oficio
dirigido a la DIT, indicando nombre, puesto y actividades a desarrollar en el Centro de Datos.
Una vez realizada la solicitud, se valida y se identifica si la justificación es suficiente para brindar el acceso.
El número máximo de tarjetas que se otorgan por cada unidad responsable es de 2 accesos, dichos usuarios deben
ser los administrativos de los equipos.
Alta en el Sistema
Una vez otorgada la autorización, se le indica al usuario mediante correo electrónico, la fecha y hora para dar de alta
en el sistema, debiendo presentarse en Centro de Datos para tomar las huellas digitales y configuración de la tarjeta
de proximidad.
Entrega de Tarjeta
Una vez concluida el alta de usuario, se entrega el formato XX-Resguardo de tarjeta, como resguardo de la tarjeta
proporcionada al usuario final, haciendo responsable del uso adecuado de la misma y cumplir con las políticas de
seguridad del Centro de Datos Sectorial de la CONAPESCA.
El acceso que brinda la tarjeta de proximidad sólo es personal e intransferible.
Perdida de tarjeta
Si el usuario pierde la tarjeta de proximidad, debe indicarlo inmediatamente a la Subdireccion Informatica, para dar de
baja la misma en el sistema, debiendo formalizar la baja la unidad administrativa mediante oficio, lo anterior a fin de
desactivar el servicio.
Cabe mencionar que en caso de que se solicite una reposición, estará sujeta a la existencia de las mismas.
Baja de Servicios
Cuando un usuario con tarjeta deje de laborar en el área asignada o cambie sus funciones dentro de la CONAPESCA,
donde ya no sea necesario el acceso al Centro de Datos, el jefe inmediato notifica a la Subdireccion de Informatica
mediante oficio y entrega la tarjeta de proximidad para que se deshabilite la misma y con ello se libere el resguardo.
En caso de que no se regrese dicha tarjeta o se observe un uso inadecuado de la misma, se retirar y bloquea el
acceso.
En caso de que el sistema detecte 5 intentos fallidos de ingreso por tarjeta, ésta se bloqueará automáticamente y
deberá solicitar el desbloqueo del mismo a la Dirección de Infraestructura Tecnológica.
En caso que se identifique que le han dado un mal uso a la tarjeta de proximidad se suspende el servicio al usuario en
cuestión. Si se requiere renovar su permiso, deberá solicitarlo al jefe inmediato por oficio a la Subdirección de
Informática aclarando y justificando el mal uso que le haya dado a los recursos del sistema de control de acceso. Si se
autoriza el desbloqueo del mismo, se le indica por correo electrónico la fecha de desbloqueo de la tarjeta.
Si se idéntica que algún usuario está prestando la tarjeta de acceso, se retira el servicio y se realiza un reporte
dirigiéndolo a la Subdirección de Informática.
Actualización de NIP
El departamento de apoyo informático que administra el Centro de Datos de la CONAPESCA, valida periódicamente a
los usuarios y permisos asignados para identificar si es necesario actualizar los mismos.
Los controles de acceso normal son una protección contra la interacción de nuestro sistema con los sistemas,
servicios y personal tanto interna como externa a nuestra Comisión.
Identificación y Autentificación
El usuario autorizado para el ingreso al Centro de Datos de la CONAPESCA, deberá de identificar a sus proveedores
para permitir el acceso al mismo, con el fin de que laboren de manera supervisada.
Se cuenta con un único acceso, mismo que se utiliza para todas las entradas y salidas de alto tráfico o salidas de
emergencia, se tiene focalizada una cámara de video vigilancia para el control de este acceso.
Se cuenta solo con un acceso al área del Centro de Datos, considerando que todos los TIC's e Información Alojada,
se considera como sensible por la importancia que tienen, como se indicó se cuenta con un sistema de video
vigilancia que permite mantener un monitoreo para que cada que accese el personal operativo se mantenga
exclusivamente dentro de su área de trabajo.
Al realizar el análisis de riesgos potenciales para la construcción de un centro de datos, observamos los siguientes
aspectos que nos permitirán considera y mitigar estos a fin de mantener la continuidad de la operación de los servicios
que se prestan dentro de un Centro de Datos Institucional como el que la CONAPESCA tiene.
Se pueden considerar siete categorías que deben tomar en cuenta cuando se selecciona la ubicación del Centro de
datos y ubica en los dos primeros lugares los desastres que podrían enfrentar, seguidos de factores de riesgo político
o estratégico que ponen en situación de riesgo la continuidad de los servicios.
1) Desastres naturales
Se denomina desastre natural a los fenómenos de la naturaleza que, debido a su magnitud, causan cuantiosas
pérdidas materiales o humanas. No hay manera de evitar tales fenómenos; sin embargo, conocer sus alcances ayuda
a minimizar su impacto.
2) Terremotos
Afectación en sitio: Pueden causar enorme daño a las instalaciones e interrupciones en los centro de datos cercanos
al epicentro y dañar la infraestructura aun a distancias remotas.
Afectación del entorno: El sitio podría estar incomunicado por un periodo prolongado, el daño a carreteras y puentes
podría impedir el abasto de diesel y otros suministros necesarios para la operación continúa. Es posible que el daño
en comunicaciones tome varios días para ser reparado.
3) Tornado
Afectación en sitio: Interrupciones para los centros de datos cercanos a la trayectoria del tornado, así como danos que
van de menores a severos. Este tipo de fenómeno es poco frecuente en México.
Afectación del entorno: Daño severo a la infraestructura pública, instalaciones y comunicaciones.
Características: Perdida de funcionalidad y comunicaciones, especialmente si no se cuenta con infraestructura
subterránea. El daño localizado puede repararse rápidamente.
4) Huracán
Afectación en sitio: Los centros de datos en la trayectoria de la tormenta o cerca de ella pueden experimentar
interrupciones y daños que van de menores a severos. Este tipo de fenómeno es frecuente en México.
Afectación del entorno: Se debe esperar daño severo a la infraestructura pública en toda la región, así como en las
comunicaciones.
Características: Se pueden prever con suficiente antelación; su duración varia de horas a días, podría ser necesaria
la evacuación del personal y necesitar seguridad adicional después de la tormenta e incluso suministros de
emergencia para operar varios días, equipo exterior dañado o destruido (antenas satelitales, torres de enfriamiento,
etc.), daño potencial a las instalaciones por escombros arrojados por el viento.
5) Tormenta de nieve
Afectación en sitio: Interrupciones en la operación de centros de datos y daño severo al equipo exterior si no está
diseñado y protegido para sobrevivir al hielo y acumulación de nieve.
Afectación del entorno: Daño severo a la infraestructura pública, instalaciones y comunicaciones. Puede haber daño
en líneas aéreas de energía y comunicaciones que podrían tomar días o semanas para ser reparadas, así como
caminos intransitables o peligrosos, por lo que puede haber desabasto de diesel y otros insumos necesarios para la
operación.
Características: Por lo general se pueden anticipar y llegan a presentarse tormentas consecutivas cuyos efectos se
acumulan; los empleados no pueden entrar y/o salir de las instalaciones, hay colapso de techos por acumulación de
nieve o hielo y riesgo de congelamiento de tuberías.
6) Tormenta eléctrica
Afectación en sitio: Interrupción de las operaciones y daño que va de nulo a severo, dependiendo de la cercanía del
impacto del rayo y de la correcta operación del equipo de protección eléctrica y sistemas de generación de
electricidad.
Afectación del entorno: Interrupciones momentáneas pero frecuentes del suministro eléctrico comercial debido a
rayos que impactan en la red de distribución eléctrica. Como efecto secundario puede haber bajo voltaje en áreas muy
extensas y el fuego causado por rayos puede destruir la infraestructura pública en zonas rurales.
Características: Puede existir una alerta con minutos de anticipación, su duración es corta pero pueden ser
frecuentes; en temporada de tormentas eléctricas, la descarga constante de las baterías de los UPS acorta su vida
útil; existe interrupción prolongada si el suministro de energía es por vía aérea y los rayos alcanzan las líneas.
7) Inundación
Afectación en sitio: Daño catastrófico e interrupciones en la operación de centros de datos en áreas de inundación
severa o con sistemas de infraestructura que no cumplan con las normas necesarias.
Afectación del entorno: Daño a la infraestructura pública y de comunicaciones en toda la región, el centro de datos
puede quedar aislado por un periodo prolongado, las carreteras y los puentes dañados podrían impedir el suministro
de diesel y otros insumos necesarios para mantener la operación continua y el daño a las comunicaciones y sistemas
de alimentación eléctrica
Características: Se pueden prever con varios días de anticipación, se impide la entrada y/o salida de empleados a
las instalaciones, son necesarios suministros de emergencia, comida y agua para varios días. El daño causado a los
sistemas de energía y comunicaciones puede tomar varios días en ser reparado.
2008 de Symantec, donde queda expuesto que solo 11% del tiempo de caída no planeado en los centros de datos se
debió a desastres naturales.
El factor humano
A diferencia de los riesgos por desastre natural, el tiempo de caída originado por errores humanos no ha sido
documentado a profundidad; no obstante, existen referencias como el Reporte de Estado del Data Center En
contraste, según este estudio, 25% del tiempo fuera de operación se debió a errores humanos y los demás factores
de interrupción en los centros de datos de fueron fallas de hardware, cortes de energía, fallas de software con 21%,
20% y 20%, respectivamente.
Categorías de riesgos:
- Desastres naturales
- Desastres inducidos
- Riesgo político
- Continuidad del negocio
- Diseño de las instalaciones
- Seguridad física
- Capacidad de respuesta para emergencias
El edificio que tiene alojado el Centro de Datos fue elegido así con la finalidad de que el Centro de Datos se encuentre
ubicado en un Edifico en donde se tiene privacidad, se retiraron fuentes de posibles fugas de aguas, sistemas de
drenaje, vibración de plantas de emergencia, y se consideraron precisamente los factores anteriores a fin de cumplir
con las observaciones enumeradas.
B) LOS ACTIVOS DE TIC. INCLUYENDO EL EQUIPO MÓVIL Y EL QUE ESTÉ FUERA DEL CENTRO DE DATOS.
Como parte de los activos TIC dentro del Centro de Datos se tienen principalmente Servidores que contienen los
Sistemas Institucionales, Sistemas Administrativos, Bases de datos de los Sistemas anteriores y que controlan los
Sistemas de Almacenamiento de los diferentes servicios electrónicos tales como correo electrónico, servicio ftp, etc.,
también se albergan los equipos de Comunicaciones de Red LAN del inmueble y los de la Red Institucional de
Telecomunicaciones, así como la infraestructura de comunicaciones y seguridad para proveer el servicio de
publicación de las diversas páginas de Web de la Secretaría y órganos del Sector que están integrados a la Red.
Dentro de los Servicios móviles se cuenta con un servidor que contiene el control de los diversos servicios que se
proporcionan en coordinación con el proveedor de Telefonía Celular, tales como correo electrónico, transmisión de
datos, acceso a chat, etc. Todo lo anterior por medio del dispositivo Black Berry. También se cuenta con un equipo
prioritizador de voz para poder acondicionar los servicios de telefonía por medio de las extensiones móviles de los
servidores públicos superiores.
Los equipos móviles como laptops, son asignados al personal que por su tipo de función requieren constante
movimiento dentro y fuera de la Secretaría, dotándolos de candados de seguridad tanto para la seguridad del equipo
como recomendaciones de acceso al equipo utilizando dos controles de acceso el biométrico del equipo y su clave de
acceso al sistema operativo, con lo cual se considera que se podrá resguarda la información que contiene el equipo.
C) LOS DISPOSITIVOS QUE DETECTAN AMENAZAS AMBIENTALES, PARA RESPONDER A LAS ALARMAS Y
A OTRAS NOTIFICACIONES.
Como se ha indicado el centro de datos cuenta con diferentes dispositivos, los equipos que permiten realizar medición
de parámetros ambientales dentro del site son los aires acondicionados de presión, sin embargo también se tiene
instalado un termómetro ambiental que nos permite conocer la temperatura del Centro de Datos en el medio
ambiente, los parámetros que se pueden obtener son:
Humedad: Se debe revisar constantemente este parámetro para evitar que los servidores y equipos en general,
debido a la temperatura constante puedan generar calor o humedad excesiva y se tenga corrosión en las tarjetas
madres de los dispositivos.
Temperatura: Los fabricantes de los servidores y equipos de comunicaciones recomiendan que estos tengan una
temperatura constante con un valor entre 15 y 22 °C, para mantener esta constante en un valor de 16 a 20 °C, se
mantiene la operación del aire de precisión en este rango. Como se comentó el termómetro también nos mide la
temperatura, a fin de controlar este valor se tiene un monitoreo personal y por medio de las cámaras de video
vigilancia, para que el personal de mantenimiento se mantenga pendiente de este comportamiento.
Adicionalmente, los equipos de comunicaciones llamados de Core, en su sistema operativo cuentan con un
termómetro en las fuentes de poder que cuando estos valores sobrepasan el umbral de los 24 °C, envían una alarma
de manera automática a fin de que el personal supervise la operación y efectué las correcciones correspondientes.
Detección de Incendios: Se tiene instalado un sistema de detección de incendios que al detectar humo dentro de las
áreas definidas como críticas, activa las alarmas ubicada dentro y fuera del Centro de Datos, así como la ubicada en
el área de vigilancia, con lo anterior se cuenta con un procedimiento mediante el cual el personal operativo,
mantenimiento o vigilancia, pueden actuar para sofocar el incidente si fuera el caso.
Como podemos observar los sistemas solos no operan, requieren la intervención del personal que supervisa la
operación y a su vez que estos sean capacitados tanto en la operación como en la administración de los sistemas de
detección, a fin de que puedan actuar de manera oportuna.
Los sistemas de control de seguridad como ha quedado asentado son diferentes y dependen del nivel de
involucramiento en el nivel de conocimiento que el personal debe tener, como se comentó primeramente se capacito
al personal dependiendo de su rol de operación y responsabilidades.
Se trabajó de la mano con el Gerente que administra el inmueble, para que por su conducto se capacitara al personal
de protección civil y vigilancia, sobre todo en el procedimiento de prevención y atención en caso de una emergencia.
Así como al personal operativo y mantenimiento, en la operación y solución de problemas o fallas que se puedan
presentar a fin de evitar en lo posible.
A continuación en el presente "ANEXO A", se indican los "Procedimientos del control de acceso"
ANEXO A
A. INTRODUCCIÓN
El Centro de Datos , alberga dentro de sus instalaciones los servidores, sistemas de almacenamiento y equipos de
comunicaciones de la CONAPESCA y órganos del Sector.
El presente documento tiene la finalidad de informar a los usuarios del Centro de Datos sobre las políticas y
procedimientos que se deberán de seguir a fin de hacer un buen uso de las instalaciones enunciadas y mantener la
seguridad en las mismas.
B. ALCANCE
Estos procesos aplican para el personal de la Subdireccion de Informatica que cuentan con autorización para el
acceso al Centro de Datos.
Al personal de las áreas que cuentan con infraestructura alojada en el Centro de Datos.
Al personal de la Subdireccion de Informatica, que es responsable del mantenimiento.
A los proveedores que requieran ingresar al Centro de Datos, por contar con tareas establecidas por responsables
con Acceso autorizado.
1. Solicitud de Acceso
La unidad Administrativa del personal que deba tener acceso al CD (Centro de Datos), mediante oficio dirigido a la
DIT, deberá de realizar el requerimiento, indicando, nombre puesto y actividades a desarrollar en el CD.
Una vez recibida la solicitud, será validada y se identificara, si la justificación es suficiente para brindar el acceso.
El número máximo de tarjetas que se otorgaran por cada unidad responsable será de 2 accesos, dichos usuarios
deberán ser los administradores de los equipos.
2. Alta en el Sistema
Una vez otorgada la autorización, se le indicará al usuario mediante correo electrónico, la fecha y hora para dar de
alta en el sistema, debiendo presentarse en el CD para tomar las huellas digitales y configuración de la tarjeta de
proximidad.
3. Entrega de Tarjeta
Una vez concluida el alta del usuario, se le entregará el Formato "A"-Resguardo de Tarjeta, como resguardo de la
tarjeta proporcionada al usuario final, haciendo responsable del uso adecuado de la misma y cumplir con las políticas
de seguridad dentro del Centro de Datos.
El acceso que brindará la tarjeta de proximidad, solo es personal e intransferible.
4. Perdida de Tarjeta
Si el usuario pierde la tarjeta de proximidad, deberá de indicar inmediatamente a la Subdireccion de Informatica para
dar de baja la misma en el sistema, debiendo formalizar la baja la unidad administrativa mediante oficio, lo anterior a
fin de desactivar el servicio.
Cabe mencionar que en caso de que se solicite la reposición, estará sujeta a la existencia de las mismas.
5. Baja de Servicios
Cuando un usuario con tarjeta deje de laborar en el área asignada o cambie sus funciones dentro de la Secretaría,
donde ya no sea necesario el acceso al Centro de Datos, el jefe inmediato deberá notificar a la Subdireccion de
Informatica mediante oficio y entregar la tarjeta de proximidad para que se deshabilite la misma y con ello se libere el
resguardo de la tarjeta.
En caso de que no se regrese dicha tarjeta o se observe un uso inadecuado de la misma, se procederá a retirarla y
bloquear el acceso.
7. Actualización de NIP
El departamento de instalaciones y cableado que administra el Centro de Datos, validará periódicamente a los
usuarios y permisos asignados para identificar si es necesario actualizar los mismos.
La clave de acceso proporcionada por el administrador del Sistema, podrá ser actualizada cada que se requiera por
seguridad, así mismo se establecerán fechas programadas para actualizar dichas claves a todos los usuarios para
mantener la administración y seguridad adecuada.
Para solicitar la actualización del NIP es necesario que se solicite mediante correo a la cuenta
hmuller©conapesca.gob.mx, justificando el reseteo del mismo.
Usuarios de la COANPESCA que no cuentan con autorización de acceso, deberán de seguir el proceso de acceso a
proveedores.
No se proporcionaran tarjetas de acceso a los proveedores, por cuestiones de seguridad e integridad de los equipos e
información que se encuentran alojados en el Centro de Datos.
El acceso a proveedores deberá de ser proporcionado por el personal responsable y encargado de los equipos a
alojados en el C.D.
Los proveedores a los que se requiera que ingresen al Centro de Datos, se deberán registrar en la bitácora de
ingresos al SITE y deberán ser acompañados del personal responsable que les otorgara el acceso, la bitácora se
encuentra bajo resguardo del personal de vigilancia, debiendo anotar como se indica claramente el Nombre del
proveedor, Empresa, Motivo del ingreso, hora de entrada y salida.
Los usuarios que tienen autorización para ingresar a proveedores al Centro de Datos, se identifican en el Catalogo de
Firmas, dichos proveedores deben ser acompañados por un responsable del área quien supervisará los trabajos,
maniobras o instalaciones que se realicen dentro del Centro de Datos.
En caso de que el responsable de las actividades dentro del Centro de Datos se retire y deje a los proveedores en el
interior del mismo, el personal de vigilancia deberá de retirar a las personas que no sean de la Secretaría, lo anterior
para mantener la seguridad de los equipos, infraestructura e información que se aloja en el Centro de Datos.
3. PERSONAL DE VIGILANCIA.
En caso de alguna contingencia, conato de incendio, daño en algún equipo o algún caso en particular que afecte la
seguridad del personal, instalaciones o equipamiento que se encuentre en el Centro de Datos, personal de vigilancia
podrá hacer uso de la tarjeta de acceso que se les proporcionará a la subdirección de vigilancia para su
administración, para brindar el acceso al personal necesario o realizar las actividades pertinentes.
Dicha tarjeta se proporcionará con el Formato "A" -Resguardo de Tarjeta para realizar el resguardo correspondiente y
mantener la administración adecuada, esta se encontrará en sobre cerrado, con el NIP de acceso y el Formato "B"-
Acceso por Contingencia para que se indique el motivo por el cual se dio uso a la misma y se solicite nuevamente el
sobre de seguridad.
El personal encargado de la vigilancia del acceso al SITE deberá de tener conocimiento de los procedimientos y
controles de seguridad.
El personal deberá de contar con un conocimiento adecuado sobre los procedimientos que deberán seguir en caso de
emergencia o cualquier otro incidente que cause alarma y deba de usar la tarjeta de acceso.