AAFF2 Controles Seg Fisica Centro Datos

Comision Nacional de
Acuacultura y pesca
“CONTROLES DE SEGURIDAD FÍSICA EN EL CENTRO

DE DATOS”
JUNIO 2012
UNIDAD DE ADMINISTRACIÓN
Controles de Seguridad Física en el Centro de

Datos
I. Objetivo
Implementar, de acuerdo con el SGSI, los controles de seguridad física en el centro de datos, así como para el acceso
al propio centro de datos y a los componentes o elementos del ambiente operativo, ubicados en el mismo.
1. DEFINIR UN SISTEMA DE SEGURIDAD FÍSICA EN EL CENTRO DE DATOS, EN EL QUE SE INCORPOREN DE

ACUERDO CON EL SGSI, CONTROLES DE SEGURIDAD PARA:
A) LOS RIESGOS DE SEGURIDAD FÍSICA IDENTIFICADOS EN EL PROCESO "ARTI-ADMINISTRACIÓN DE

RIESGOS DE TIC".
1. Riesgos Físicos.
a. Accesos no autorizados o mal controlados.
Definición:
El acceso no autorizado consiste en acceder de manera indebida, sin autorización o contra derecho al Área que ocupa
el Centro de Datos de la CONAPESCA o a cualquier otro sistema perteneciente a la Secretaría que lleve a cabo el
tratamiento de la información.
Dicho acceso no autorizado es considerado como un comportamiento indebido en la introducción a sistemas de
información o físico del Centro de Datos de la CONAPESCA infringiendo así, a las medidas de seguridad destinadas a
proteger los datos contenidos en él.
Posibles Riesgos:
Los riesgos a los cuales se puede enfrentar en el Centro de Datos, por accesos no autorizados son:
 Que personal no autorizado tenga acceso a los racks de otras unidades o entidades alojadas en el mismo y
extraiga equipos.
 Dañen las instalaciones, así como la infraestructura alojada en el mismo.
 Extraigan información no autorizada para ello.
 Instalen virus informáticos en los equipos.
 Poner en riesgo las conexiones de los sistemas de Cableado Estructurado o del Sistema de Energía Eléctrica
por querer conectar o desconectar algún activo de TIC, sin conocer las medidas preventivas.
Mitigación de los Riesgos:

Para evitar este tipo de riesgos, se deberá de cumplir con los controles de seguridad del control de acceso identificado
como "Anexo A"
b. Fallas en el sistema de enfriamiento Definición:
Definición:
El Centro de Datos Sectorial de la CONAPESCA tiene determinadas especificaciones de funcionamiento en lo que se
refiere al equipamiento que aloja en sus instalaciones.
ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 2


Datos
La climatización de este espacio tiene que garantizar condiciones específicas de temperatura y humedad, para ello se
utilizan dispositivos adecuados para su medición.
El equipo de aire acondicionado de precisión que se encuentra instalado el Centro de Datos de la CONAPESCA
cuenta con una instalación independiente, esto por las características especiales como el ciclo de enfriamiento, que
deberá trabajar día y noche, los 365 días del año y las condiciones especiales de filtrado.
La alimentación eléctrica para este tipo de equipo es independiente para que los arranques de sus compresores no
afecten con ruido eléctrico en los activos de TIC's.
El funcionamiento y mantenimiento de dichos equipos está respaldado bajo un contrato de servicios el cual, permite la
atención de los mismos en cualquier momento que se requiera, así como un calendario preventivo de los mismos.
Posibles Riesgos:
Posibles Fallas en los Sistemas de Aire Acondicionado de Precisión son las siguientes:
- Inundación a causa del mal funcionamiento.- Se da por congelación y/o por haberse tapado los desagües de
los mismos.
- Conexiones eléctricas deficientes.
- Falta de lubricación en los motores.- Esto causa una fuerza de fricción la cual hace que se incremente la
cantidad de electricidad que se consume.
- Los filtros sucios pueden causar que los costos de energía sean mayores de lo que deberían y pueden dañar
el quipo, llevándolo a fallas prematuras.
- Mal funcionamiento del control de termostato.
- Exceso de polvo.
- Un serpentín sucio reduce la capacidad del sistema para enfriar el Centro de Datos Sectorial de la
CONAPESCA y origina que el sistema opere por más tiempo, incrementando el costo de energía y
disminuyendo la durabilidad del equipo.
- Una carga refrigerante excesiva o deficiente puede dañar el compresor, reduciendo la durabilidad del equipo e
incrementando los costos
- Para poder evitar las fallas ya antes mencionadas, el Centro de Datos cuenta con un plan de medidas de
seguridad sobre los sistemas de aire acondicionado de precisión.
Mitigación del Riesgo:

- Revisar e inspeccionar el drenaje de condensado en el aire acondicionado central.
- Inspeccionar todas las conexiones eléctricas y medir voltajes y corrientes en los motores.
- Lubricar todas las partes móviles.
- Inspeccionar, limpiar o cambiar el filtro en el aire acondicionado.
- Revisar la programación del termostato para asegurar que el sistema de aire acondicionado y calefacción se
prenda y se apague en las temperaturas establecidas.
- Sellar los escapes de aire para reducir las ranuras y conseguir un buen rendimiento del aislamiento.
- Limpiar los serpentines interiores y exteriores, así como la limpieza y ajuste de los componentes del ventilador
para un apropiado flujo de aire en el serpentín, lo cual nos llevará a tener una mayor operación eficiente del
equipo y mayor confiabilidad.
- Revisar la carga refrigerante del aire acondicionado central y ajustarlo si es necesario para asegurar que
corresponda a las especificaciones del fabricante.


Datos
c. Fallas en el Cableado estructurado
Definición:
El Cableado estructurado que se tiene instalado en el Centro de Datos el cual permite interconectar los bienes de
TIC's alojados en el mismo, de diferentes o igual tecnología permite la integración de los diferentes servicios que
dependen del tendido del sistema de cableado estructurado.
El objetivo fundamental es cubrir las necesidades de los usuarios durante el tiempo de alojamiento en el Centro de
Datos.
Posibles Riesgos:
- Las fallas pueden ser provocadas por daño en el cable, desde su fabricación, mal uso del mismo y hasta por
falta de protección.
- El cableado estructurado del Centro de Datos se lleva a cabo mediante ducterías y escalerillas, en el trayecto
de estas al cruzar por cableados eléctricos puede provocar interferencia en la transmisión de voz y datos.
- Roedores u otros animales que puedan comer o dañar el cableado.

Cuando se requiere que un tendido vaya en el piso falso, el cableado ya sea UTP y/o fibra óptica, se debe validar que:
- El cableado este fabricado con retardantes al fuego.
- Mantener las trayectorias del cableado sobre las escalerillas del centro de datos.
- Mantener peinado el cableado de los paneles de parcheo.
- Mantener organizado el cableado en los organizadores de los Gabinetes y Rack
- Mantener identificado el cableado y los puertos de parcheo.
- Al momento de manipular el cableado estructurado nos abstenemos de tirar el cable de forma brusca, ya que
podría dañarse y provocar errores de funcionamiento o daños en el mismo.
d. Falta o falla de energía eléctrica.
Definición:
La instalación eléctrica es un factor fundamental para la operación y seguridad de los equipos del Centro de Datos, en
los que se debe contemplar el consumo total de corriente, el calibre de los cables, la distribución efectiva de
contactos, el balanceo de cargas eléctricas y una buena tierra física.
La instalación para el Centro de Datos de la CONAPESCA es un circuito exclusivo tomado de la sub-estación o
acometida desde el punto de entrega de la empresa distribuidora de electricidad, usando cables de un solo tramo, sin
amarres o conexiones intermedias.
Se construyó una tierra física exclusiva para esta área, la cual se conecta a través de un cable con cubierta aislante al
centro de carga del Centro de Datos Sectorial de la CONAPESCA, esta tierra en los Centros de Datos deberá tener un
valor menor a 1 ohm.
Posibles Riesgos:
Una mala instalación provocaría fallas frecuentes, cortos circuitos y hasta algún incendio en los equipos.
- Ocurrencia de cortos circuitos en el sistema de potencia.
- Caídas severas de tensión.


Datos

- Software de chequeo automático.
- Cambios en la operación de equipo.
- Adecuados puestos a tierra.
- Diseños de circuitos de potencia.
- Unidades de distribución portátiles (PDU). Supresores de picos.
- Filtros a la entrada de línea AC.
- Conjunto motor-resonancia.
- Alimentadores duales con transferencia estática.
- Unidad de poder no interrumpibles (UPS).
- Para evitar el riesgo de cortocircuito, se evita que objetos metálicos, como tornillos, grapas o clips, etc.
penetren en los equipos. No obstante, en el caso de que ocurra, se debe apagar la unidad inmediatamente y
desenchufar el cable de alimentación.
- Está prohibido ingresar al Centro de Datos, con líquidos para evitar derramar los mismos sobre los bienes TIC
alojados en dicho Centro. No obstante, si ocurre algún percance de este tipo, apagamos inmediatamente el
equipo y desenchufamos el cable de alimentación de energía eléctrica ya que el equipo podría quedar dañado
irreversiblemente.
Lo anterior basado en el manual de control de accesos.
e. Incendios
Definición:
Un incendio es una ocurrencia de fuego no controlada que puede abrasar las instalaciones y los bienes de TIC que
están alojados en el centro de datos.
Puede afectar la misma estructura del inmueble y a los usuarios que se encuentren en el Centro de Datos. Para que
se inicie un fuego es necesario que se den conjuntamente estos tres factores: combustible, oxígeno y calor o energía
de activación.
La exposición a un incendio puede producir heridas muy graves como la muerte, generalmente por inhalación de
humo o por desvanecimiento producido por la intoxicación y posteriormente quemaduras graves.
Posibles Riesgos:
Los incendios pueden ser causados por fallas de instalaciones, cortos circuitos en las instalaciones por un mal uso de
las mismas, sobrecalentamiento de equipo, el uso inadecuado de substancias dentro del centro de datos.

La mitigación de los incendios se puede realizar mediante dos tipos de equipos, dependiendo este del tipo de fuego
que se produzca.
- Portátil (menos de 30 kg): Polvo químico seco o bióxido de carbono.

- Dependiendo del espacio del MDF
- Los equipos contra incendios portátiles son utilizados para combatir conatos de incendio, esto es, fuego que
apenas se inicia y es muy fácil de suprimir. Cuando el incendio se ha extendido y detectado por el sistema
instalado en el Centro de Datos, se requiere recurrir al uso del agente extintor.


Datos
- Sistema Fijo Automático:

- Sistemas que funcionan con detectores y por sí solos disparan el agente extinguidor
- Inspección de equipos contra incendio
- Comunicación directa con el proveedor para que se realice la inspección adecuada; ya que es necesario que
todo el equipo contra incendio se encuentre siempre en óptimas condiciones de funcionamiento.
f. Ruido e Interferencias electromagnéticas
Definición:
El ruido es una tensión indeseada o corriente sobrepuesta en la tensión del sistema de energía eléctrica o forma de
onda de la corriente.
Posibles Riesgos:
El ruido puede ser generado por dispositivos electrónicos alimentados eléctricamente, circuitos de control, soldadores
por arco, fuentes de alimentación para conexiones, transmisores radiales, etc. Los sitios con conexiones de puesta a
tierra deficientes hacen que el sistema sea más susceptible al ruido. El ruido puede causar problemas técnicos a los
equipos como errores de datos, malfuncionamiento de los equipos, falla de componentes a largo plazo, falla del disco
duro y monitores con vídeo distorsionado.

Se verifica que no existan en las cercanías del Centro de Datos Sectorial de la CONAPESCA fuentes de interferencia
electromagnética que afecten la red de datos tales como, cables de alta tensión, transformadores eléctricos, motores
industriales, máquinas eléctricas y antenas de radioemisoras.
g. Inundación
Definición:
En muchas partes del mundo, el daño y riesgo de inundación es algo común, en nuestro país actualmente existen
muchas zonas que se inundan con las primeras lluvias. Los daños por inundación o agua han ocurrido aun cuando las
instalaciones no se encuentren cerca de un río o una costa.
Posibles Riesgos:
Se pueden originar por lo regular tras la ruptura de cañerías o por el bloqueo del drenaje, también pueden ser
provocadas por la necesidad de apagar un incendio en un piso superior al Centro de Datos.

Los bienes de TIC's que se encuentren en el Centro de Datos de la CONAPESCA no están colocados en sótano o en
áreas donde el riesgo de inundación sea evidente.
Las instalaciones del Centro de Datos de la CONAPESA no se encuentran por debajo de las tuberías.
El Centro de Datos cuenta con un techo impermeable para evitar el paso del agua desde un nivel superior y no existe
piso superior al mismo.
2. Riesgos humanos


Datos
a. Mal uso a las instalaciones del Centro de Datos
Definición:
Los sistemas del Centro de Datos Sectorial de la CONAPESCA pueden ser usados para estas acciones de manera
tradicional o usando nuevos métodos, todos los sistemas e información pueden estar bajo riesgo sin la seguridad
adecuada.
Posibles Riesgos:
- Fallas en el cálculo de consumo eléctrico o falta de previsión de crecimiento así como también en las UPS.
- Fallas en el software al aplicar parches sin haber sido probados.
- Que quede mal cerrada la puerta de accesado permitiendo accesos no autorizados.
- Que quede un servidor sin bloquear correctamente y que alguien pudiera tomar el control físico de dicho
servidor.

- Mantener una memoria de cálculo actualizada
- Mantener una memoria de consumo actualizada
- Aplicar los controles de acceso adecuadamente
- Aplicar los controles del SGSI adecuadamente.
b. Robo de equipo o sabotaje.
Definición:
Los robos o sabotaje pueden ser cometidos por personas internas o externas a la Secretaría y sus motivos pueden
ser de los más variados.
Posibles Riesgos:
Al estar más familiarizado con las aplicaciones, los empleados saben que acciones causarían más daño. Entre las
acciones de sabotaje más comunes existen:
- Destrucción de hardware
- 'Bombas lógicas para destrucción de programas y/o datos
- Ingreso erróneo de datos
- Exposición de medios magnéticos de almacenamiento de información a imanes.
- Introducción de suciedad, partículas de metal o gasolina por los conductos de aire acondicionado
- Corte de las líneas de las comunicaciones y/o eléctricas

- Aplicar los controles de acceso al Centro de Datos
- Difundir a los usuarios del Centro de Datos los riesgos antes mencionados para mantener una conciencia a
los controles del mismo.
3. Riesgos de las Tecnologías de Información.
a. Riesgos en los activos de TIC's


Datos
Definición:
Los riesgos existentes en los activos de TIC's se pueden dividir en Hardware y Software y en estos casos no todos los
riesgos son causados por problemas en la infraestructura o en el personal.
Posibles Riesgos:
En el Hardware:
- Defectos de fabricación y/o daños físicos que puedan tener durante su transporte.
- Que el manual este en otro idioma ajeno al que normalmente manejamos.
- Las piezas que pudieran ser dañadas no son muy comunes y por lo tanto difíciles de conseguir.
- Cuando se trabaja con conexión a red, es muy común que por falta de conocimiento se realicen acciones que
puedan bloquear o provocar que ésta se caiga.
En el Software:
- Los archivos necesarios para su instalación no están contenidos en el CD de instalación.
- El ambiente en que se desarrolla no es compatible con el Sistema Operativo que está siendo usado.
- El idioma, no siempre está en el que hablamos y por lo tanto, es más difícil su manejo.
- Aplicar los controles del SGSI adecuadamente.
- Algunas órdenes, comandos u operaciones pueden llegar a ser muy complejos, lo cual puede producir que al
darlas de manera equivocada bloquemos el equipo.
- El problema principal y más común que puede ser causa de más problemas que ningún otro factor es la falta
de experiencia.

- Se realizan evaluaciones continúas del sistema tras su implementación.
- Se verifican y reportan los errores en hardware y software.
- La información sólo puede ser modificada por quien está autorizado y de manera controlada. La información
sólo debe ser legible para los autorizados.
- La información debe estar disponible cuando se necesite.
- El uso y/o modificación de la información por parte del usuario debe ser irrefutable, es decir, que el usuario no
puede negar dicha acción.
- Se manipulan siempre las TI con el debido cuidado para evitar posibles pérdidas de los datos almacenados o
funcionamiento del mismo.
- Todos los equipos son instalados dentro de los gabinetes o rack's correspondientes, con sus cerrajes
necesarios para evitar que se caigan del mismo.
- No se puede tener equipo no instalado dentro del centro de datos, en caso de ingresar equipo, solo se
cuentan con 48 horas naturales para realizar la instalación dentro del gabinete o rack.
- No se puede colocar objetos pesados sobre los equipos instalados en el Centro de Datos para evitar cualquier
tipo de daño.
- Se realiza una limpieza cada semana en el Centro de Datos, para evitar un entorno polvoriento, ya que las
partículas de polvo pueden afectar a la fiabilidad de los activos de TI instaladas en el mismo.
b. Robo de equipo o sabotaje.
Definición:


Datos
Los robos o sabotaje pueden ser cometidos por personas internas o externas a la Secretaría y sus motivos pueden
ser de los más variados.
Posibles Riesgos:
Al estar más familiarizado con las aplicaciones, los empleados saben que acciones causarían más daño. Entre las
acciones de sabotaje más comunes existen:
- Destrucción de hardware
- 'Bombas lógicas para destrucción de programas y/o datos
- Ingreso erróneo de datos
- Exposición de medios magnéticos de almacenamiento de información a imanes.
- Introducción de suciedad, partículas de metal o gasolina por los conductos de aire acondicionado
- Corte de las líneas de las comunicaciones y/o eléctricas

- Aplicar los controles de acceso al Centro de Datos
- Difundir a los usuarios del Centro de Datos los riesgos antes mencionados para mantener una conciencia a
los controles del mismo.
c. Riesgos de las Contraseñas de los accesos físicos y lógicos.
Definición:
Los equipos que se encuentran en el centro de datos, mantienen una administración de contraseñas dependiendo del
responsable del servidor, equipo de almacenamiento o equipo de telecomunicaciones
Dentro del Centro de Datos Sectorial de la CONAPESCA se aplican los criterios definidos previstos en el SGSI para
determinar el acceso físico al mismo. El control de acceso a los sistemas del Centro de Datos se realiza por medio de
sistemas electrónicos que contienen identificación electrónica por medio de una tarjeta de proximidad y contraseña
única para cada usuario.
Posibles Riesgos:
- El mantener un equipo sin contraseña se vuelve vulnerable para la administración de sus recursos.
- El mantener un equipo con contraseñas genéricas o predecibles, permite a usuarios que deseen dañar la
información o equipo, el intento de ingresar a los mismos, considerando que se realiza de una forma segura o
predecible.

- Las contraseñas de acceso a los recursos informáticos son designadas por el administrador del Centro de
Datos, son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona por
ningún motivo.
- Los usuarios son responsables de todas las actividades llevadas a cabo con su código de identificación de
usuario y de su clave personal.
- No existen identificaciones de usuario genérico basados en funciones de trabajo, las identificaciones de
usuario son y deben de ser únicamente dedicadas a identificar usuarios específicos


Datos
- Todo el sistema de acceso tiene definidos los perfiles de usuario de acuerdo con la función y cargo de los
usuarios que accedan a él. Esto en cuanto a días y horas en las que pueden ingresar ya que solo existe un
acceso y área común.
Todos los recursos informáticos del Centro de Datos de la CONAPESCA cumplen como mínimo con lo siguiente:
Administración de Usuarios:
- Se establece como deben ser utilizadas las claves de ingreso a los recursos informáticos.
- Se establecen parámetros sobre la longitud mínima de las contraseñas, la frecuencia con la que los usuarios
deben cambiar su contraseña y los periodos de vigencia de las mismas, entre otras.
Rol de Usuario:
- Los sistemas operacionales, bases de datos y aplicativos, cuentan con los roles predefinidos o con un módulo
que permite definir roles, definiendo así, las acciones permitidas por cada uno de estos.
- Se permite la asignación a cada usuario de posibles y diferentes roles.
- También se permite que un rol de usuario administre la Administración de Usuarios. Plan de auditoría
- Hace referencia a las pistas o registros de los sucesos relativos de la operación en el sistema de control de
acceso.
- El nivel de administrador de los sistemas críticos debe de tener un control dual, de tal forma que existe una
supervisión a las actividades realizadas por el administrador del sistema.
4. Percepción de la Seguridad
Definición:
La percepción de la seguridad es un control preventivo. Por medio de este proceso, los empleados perciben sus
responsabilidades respecto de mantener buenas seguridades físicas. Ello también puede constituir una buena medida
de detección dado que alienta a que la gente identifique las posibles violaciones a la seguridad.
Posibles Riesgos:
- No contar con una conciencia de la seguridad que se debe mantiene en el Centro de Datos, provocará un mal
uso de las tecnologías, los controles establecidos, así como el daño a las instalaciones e infraestructura que
se tiene alojada en el Centro de Datos. Una seguridad eficaz siempre dependerá de las personas.

- Informar al personal las razones de las diversas medidas de seguridad, tal como las puertas cerradas y la
utilización de los códigos de usuario y las repercusiones de violar la seguridad.
- La formación comienza con un proceso de orientación.
- Se incrementará la percepción mediante correos de circulación interna, por medio de un cumplimiento
ostensible y coherente de las normas de seguridad y por medio de pequeños recordatorios durante las
reuniones normales de trabajo.
- Para determinar la eficacia del programa, el Administrador del Centro de Datos de la CONAPESCA
entrevistará a una muestra de los empleados para determinar su percepción global.


Datos
- La mejor manera de dar a conocer el uso de las instalaciones del Centro de Datos Sectorial de CONAPESCA
es mediante el envío de correos electrónicos e impartición de conferencias, al personal específico y autorizado
de la CONAPESCA.
B) LIMITAR EL ACCESO A LA INFORMACIÓN SENSIBLE DEL CENTRO DE DATOS.
Seguridad Lógica
Dentro del Centro de Datos de la CONAPESCA conocemos como seguridad lógica a la manera de aplicar los
procedimientos que aseguren que sólo podrán tener acceso a los datos y a las áreas reservadas del mismo las
personas o sistemas de información autorizados para hacerlo.
Objetivos:
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los
programas ni los archivos que no correspondan.
3. Asegurar que estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.
Los siguientes temas se definirán con mayor precisión en el sistema SGSI.
Controles de Acceso Lógicos

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos,
en un paquete específico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás
software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo
la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no
autorizados.
Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las
relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado
por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST)(1) ha
resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier
sistema:
- Identificación y Autentificación
- Roles
El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho
acceso.
Algunos ejemplos de roles son los siguientes:
- Programador, líder de proyecto
- Subdirector de un área administrador del sistema


Datos
- Administrador del mantenimiento, etc.

En este caso los derechos de acceso deberán agruparse de acuerdo con el rol de los usuarios.
- Transacciones
Se deberán de implementar controles a través de las transacciones, por ejemplo solicitando una clave al requerir el
procesamiento de una transacción determinada.
- Limitaciones a los Servicios
Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o
prestablecidos por el administrador del sistema.
Modalidad de Acceso: Lectura, Escritura, Ejecución y Borrado, existen otras por accesos especiales tales como
Creación y Búsqueda.
- Ubicación y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o
personas.
En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día
o a determinados días de la semana.
De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso.
Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles
anteriormente mencionados.
Control de Acceso Interno
o Por medio de palabras Claves (Passwords)

- Se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los
controles implementados a través de la utilización de palabras clave resultan de muy bajo costo, sin embargo
deberá de evaluar la criticidad de la información.
- Sincronización de passwords: Este método deberá de emplearse cuando las aplicaciones por lo sensible de la
información justifique la inversión de la infraestructura.
- Caducidad y control: este mecanismo controla cuándo pueden y/o deben cambiar sus passwords los usuarios.
Se define el período mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un
período máximo que puede transcurrir para que éstas caduquen.
o Encriptación
- La información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada. La
encriptación puede proveer de una potente medida de control de acceso.
- Es importante considerar también en los sistemas de transferencia de voz, ya que algunos sistemas pueden
ser fácilmente capturados y ser reproducidos. Para el caso de sistemas TDM, se deberá tener bajo resguardo
las conexiones en los IDF y MDF a fin de mitigar el riesgo de acceso a las conversaciones análogas sobre
todo.
o Listas de Control de Accesos:

- Cuando se tienen accesos sobre todo externos deberá de tenerse un registro donde se encuentran los
nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así
como la modalidad de acceso permitido.


Datos
o Límites sobre la Interface de Usuario

- Esto límites, se deberán de utilizar en conjunto con las listas de control de accesos y restringen a los usuarios
a funciones específicas. Básicamente pueden implementar de tres tipos: menús, vistas sobre la base de datos
y límites físicos sobre la interface de usuario.
Control de Acceso Externo

o Dispositivos de Control de Puertos
- Se deberán de limitar el acceso no a un puerto determinado y pueden estar físicamente separados o incluidos
en otro dispositivo de comunicaciones, como por ejemplo los módems, sistemas ADSL no autorizados, cable
modem, etc.
o Firewalls o Puertas de Seguridad

- Para bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa (por ejemplo Internet).
Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen
la intromisión de atacantes o virus a los sistemas de la organización.
o Acceso de Personal Contratado o Consultores

- Debido a que este tipo de personal en general presta servicios temporales, deberá tener una solicitud por
parte del área responsable de dichos servicios, adicionalmente estos accesos deberán de ser mínimos y con
el mayor control posible.
o Administración
- Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, se deberá realizar una
eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación,
seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.
Controles de acceso para la seguridad física
Los controles de acceso están implementados a nivel físico. Estos controles constituyen una ayuda importante para
proteger al equipo utilizado en el Centro de Datos de la CONAPESCA, así como al sistema operativo de la red, a los
sistemas de información y al software adicional que tiene alojado en el citado Centro; de esta manera se evita de que
puedan ser utilizados o modificados sin autorización, también nos sirven para mantener la integridad de la información
(restringiendo la cantidad de usuarios y procesos con autorización de accesos).
Los controles de acceso físico están diseñados para proteger a la organización ante accesos no autorizados.
Los controles físicos permiten el acceso físico solamente al personal autorizado por el Administrador del Centro de
Datos, bajo las condiciones que se establecen en el control de acceso, como los siguientes:
- Restringir el acceso a las áreas reservadas del Centro de Datos de la CONAPESCA, que como ya se
mencionó anteriormente, por contar con una sola área común para todos los usuarios y equipos, se restringe
el acceso al Centro de Datos solo a los usuarios autorizados.
- Los usuarios, operadores y administrador del Centro de Datos no podrán modificar ni programar dispositivos y
programas del Centro de Datos de la CONAPESCA, que no sean de su competencia.
- Se asegura que los usuarios tengan acceso a los gabinetes que tienen sus equipos asignados y no podrán
manipular instalaciones o equipos que no estén dentro de su competencia.


Datos
- Se asegura que las operaciones realizadas dentro del Centro de Datos de la CONAPESCA sean autorizadas
y/o supervisadas por personal de la misma CONAPESCA, dependiendo del área correspondiente a laborar
dentro del mismo.
- Se asegura que los equipos de información del Centro de Datos de la CONAPESCA sean operados por
personal autorizado por cada área correspondiente.
Los controles de acceso físico con los que cuenta el Centro de Datos de la CONAPESCA son los siguientes:
a. Puertas con chapa de seguridad.
b. Bitácora de Control de Acceso al Centro de Datos
Se controla cuidadosamente el proceso administrativo del registro y acceso al Centro de Datos

a) Registro histórico.
El registro histórico es:
Manual: Se exige a todos los visitantes que firmen un registro que indique su nombre, apellido,
empresa a la que representan, razón de la visita y persona que autoriza dicho acceso. Dicha acción se
realiza enfrente del acceso al Centro de Datos, con el personal de vigilancia.
b) Control de acceso a visitantes.
Todos los visitantes deben estar acompañados siempre por al menos una persona autorizada para
ingresar a los visitantes.
Los visitantes son: Personal técnico de las empresas proveedoras de servicios, consultores, y
auditores externos, en ocasiones especiales estudiantes.
c) Personal de mantenimiento.
El personal de los contratistas externos de servicios, tal como personal de limpieza y servicios de
almacenamiento externo, estar garantizado por medio de garantías reales o seguros de caución. Ello
no mejora la seguridad física, pero reduce la exposición a riesgos para la CONAPESCA.
d) Punto único de entrada controlado
Todo el personal que entra lo hace por un punto de entrada controlado. Cuando hay demasiados
lugares de entrada se incrementa el riesgo de entrada no autorizada; por tanto la entrada se limitar a
uno punto.
C) EFECTUAR EL RETIRO, TRANSPORTE Y ALMACENAMIENTO DE ACTIVOS DE TIC, DE FORMA SEGURA.
Para llevar a cabo el retiro, transporte o almacenamiento de equipo del centro de datos es necesario realizar el
siguiente proceso:
a) Retiro de equipo
- Antes de retirar o ingresar al Centro de Datos de la CONAPESCA, el personal deberá contar con un formato
de registro, los campos a llenar de dicho registro son:
- Fecha.
- Especificaciones del equipo:
- Marca
- Modelo
- No. de serie.
- No. de Gabinete o Rack en el que estaba instalado el equipo.
- Justificación de la salida.


Datos
- Nombre de la persona responsable que autoriza el retiro de equipo.

- Nombre de la persona responsable que va a llevar a cabo el retiro de equipo. -Material y/o accesorios
con los que ingresa.
- Hora.
- Una vez terminado el proceso de registro, deberá de ser autorizado dicho formato mediante la firma del
Administrador del Centro de datos, Jefe de Departamento de Apoyo Informático y Subdirector de Informática.
- Para retirar el equipo, deberá de presentar al personal de vigilancia el citado formato en donde se deberá de
señalar lo siguiente:
- Hora de salida.
- Condiciones en las que se encuentra el equipo
- Firma del responsable del área que autoriza el retiro del equipo.
- Firma del responsable que lleva a cabo el retiro.


Datos
RETIRO DE TIC's DEL CENTRO DE DATOS

COM ISIÓN NACIONAL DE ACUACULTURA Y PESCA
UNIDAD DE ADM INSITRACIÓN
SUBDIRECCIÓN DE INFORM ÁTICA
FORMATO DE REGISTRO DE SALIDA DEL CENTRO DE DATOS
FECHA DE SALIDA: NOTA: ESTE FORMTATO NO ES VALIDO SI PRESENTA TACHADURAS,

HORA DE SALIDA: CORRECCIONES O DATOS FALTANTES.
Número de gabinete o
Equipo/Refacción Marca Modelo Número de Serie rack donde se ubicaba
MOTIVO DE LA SALIDA
DESTINO DEL EQUIPO
REGRESA EL EQUIPO POSIBLE FECHA DE REGRESO INDICAR QUIEN ES EL PROPIETARIO DEL

EQUIPO
SI ( )
NO ( )
CONDICIONES EN LAS QUE SE ENCUENTRA EL EQUIPO
PERSONA QUE RETIRA EL EQUIPO
ÁREA/EMPRESA:
NOMBRE: FIRMA:
PERSONAL DEL AREA QUE HA DADO VISTO BUENO AL RETIRO
NOMBRE: FIRMA:
PERSONAL DEL AREA QUE AUTORIZA EL RETIRO DEL EQUIPO
NOMBRE: FIRMA:
EN CASO DE SER NECESARIO
¿SE VALIDÓ EL BORRADO DE LA INFORMACIÓN DE LOS DISPOSITIVOS DE ALMACENAMIENTO?
SI ( )
N/A ( ) PERSONA QUE VALIDA:
OBSERVACIONES ADICIONALES


Datos
b) Ingreso de equipo:
Previo al ingreso del equipo el usuario deberá de informar al Administrador del Centro de datos los siguientes datos
del equipo:
- Tipo de equipo.
- Consumo del equipo en amperes.
- Número de fuentes con que opera el equipo.
- Unidades de Rack que se requerirán para su instalación.
- No. de puertos LAN que utilizara.
- No. de puertos FO. Si es el caso.
Lo anterior mínimo con 48 hrs. de Anticipación, mediante el formato de registro previo al ingreso de los bienes de
TIC's al Centro de Datos.
Al momento de Ingresa el equipo a Instalar se deberá de entregar el formato de Ingreso de equipo al Centro de Datos,
el cual deberá de contener la siguiente información:
- Hora y fecha del ingreso del equipo.
- Equipo, Marca, Modelo, Número de Serie.
- Condiciones en las que se encuentra el equipo.
-Firmar del responsable que ingresa el equipo.
Solicitar al administrador del Centro de Datos de la CONAPESCA, el formato correspondiente al registro para ingresar
equipo a instalar.
Llevar equipo registrado al Centro de Datos de la CONAPESCA, este procedimiento será realizado acompañado de
personal autorizado para ingresar al Centro de Datos de la CONAPESCA.
En caso de que no se realice la instalación de los equipos en un periodo no mayor a 48 horas, se deberá de retirar el
mismo o en su caso el administrador del Centro de Datos lo retirara y lo enviara al Almacén.
El ingreso e instalación de equipos en el Centro de Datos de la CONAPESCA se tiene que notificar a los encargados
del mismo, esto con el objetivo de tener bien documentado todo equipo que sea alojado dentro del mismo.


Datos
REGISTRO DE REQUERIMIENTOS PREVIOS AL

INGRESO DE TIC's AL CENTRO DE DATOS
COMISIÓN NACIONAL DE ACUACULTURA Y PESCA

UNIDAD DE ADMINSITRACIÓN
SUBDIRECCIÓN DE INFORMÁTICA
REGISTRO DE REQUERIMIENTOS PREVIOS AL INGRESO DE TIC's AL CENTRO DE DATOS
Nota: Este form ato nos perm ite identificar los requerim ientos m inim os para la instalación
FECHA DE INSTALACIÓN:
NO. DE GABINETE O RACK PLANEADO PARA DESALOJAR:
Consumo Unidades de Rack No. De puertos No. De puertos de

Equipo Ampers No. Fuentes que requiere LAN que utilizará F.O.


Datos
INGRESO AL EQUIPO DE CENTRO DE DATOS

COM ISIÓN NACIONAL DE ACUACULTURA Y PESCA
UNIDAD DE ADM INSITRACIÓN
SUBDIRECCIÓN DE INFORM ÁTICA
FORMATO DE REGISTRO DE ENTRADA AL CENTRO DE DATOS
FECHA DE INGRESO:
HORA DE INGRESO:
Número de gabinete o
Equipo Marca Modelo Número de Serie rack donde se instalará
JUSTIFICACION DE INGRESO
MATERIAL O HERRAMIENTA QUE REPORTA
CONDICIONES EN QUE SE ENCUENTRA EL EQUIPO
PERSONA QUE INGRESA EL EQUIPO
ÁREA/EMPRESA:
NOMBRE: FIRMA:
PERSONA QUE AUTORIZA EL INGRESO DEL EQUIPO
NOMBRE: FIRMA:


Datos
c) Transporte de equipo
Para realizar el transporte de los bienes TIC's se debe de asegurar (bajo los contratos de la CONAPESCA o según
sea el caso)
- El equipo este apagado por completo. (Asegurarse de dejarlo desconectado una hora, ya que aún
desconectado llegan a almacenar energía y se podrían dar descargas estáticas).
- Desconectar cada uno de los componentes (si fuera el caso).
- Cubrir con bolsas antiestáticas.
- Envolver de preferencia con hule burbuja.
- Transportarlo con unicel en una caja.
- Sellar bien la caja y siempre mantenla boca arriba.
- Colocarlos sobre superficies planas y estables especialmente fabricados para ello.
- Los gabinetes para alojar los equipos deberán de ser bajo las características que se indican en las
especificaciones del Centro de Datos.
- No trasladar el equipo sin la autorización y asesoría de la Subdirección de Informática
- Ubicar el equipo lejos del sol y de la humedad.
- Antes y después de montar y configurar el equipo, se deberán colocar las manos en una barra metálica
dentro de la instalación para asegurar que no se produzcan cargas estáticas.
- Evitar colocar ganchos, clips, herramienta y demás cosas de metal o aluminio sobre o cerca del equipo, ya
que pueden provocar cargas capacitivas y/o estáticas que podrían dañar permanentemente el equipo o
sistema.
- No fumar, el alquitrán se adhiere a las piezas de circuitos internos.
- Mantener libre de polvo las puertas externas de los servidores y racks para que no sufran ningún daño.
d) Almacenamiento
Se deberá de validar que a todos los dispositivos de almacenamiento fijos, removibles y externos, se les apliquen las
medidas de seguridad que eviten que personal ajeno tenga acceso a la información, tanto en línea como de respaldo.
Se deberá de considerar que la seguridad de la información con la que se cuenta, es para el área física donde reside
la misma. Pueden ser Sistemas de Almacenamiento tipo SAN, NAS, Discos Duros de los Servidores, equipos
externos como DVD con copias de datos, USB, entre otros.
La protección de información en DVD. Se debe de cuidar de no rayarlos y los desperfectos de la superficie de lectura,
se deben de mantener en una temperatura aceptable, lo anterior para no exponerlos al calor excesivo que puedan
deformarlos.
Respecto a la seguridad física de los discos duros (HDD) para la protección de información se deben de considerar al
menos los siguientes aspectos:
a) Que los servidores y sistemas de almacenamiento tengan instalados las cerraduras que evitan que sean
retirados de manera casi inmediata.
b) Una ventilación adecuada en los ordenadores.
c) Que no existan variación de corriente y sobre todo vibración que puedan aterrizarlos.


Datos
Para evitar el sobrecalentamiento y la descompensación térmica provocada, principalmente, por los cambios bruscos
de temperatura, el Centro de Datos cuenta con aires de presión que evitan este tipo de problemas sin embargo es
importante contar con sistemas de monitoreo que nos indiquen si el equipo tiene algún problema por calentamiento.
Debido a que discos duros tienen una vida útil larga pero no infinita, es necesario que por medida de seguridad
aquellos datos realmente son importantes cuentes con esquemas de redundancia y como se ha indicado el respaldo
correspondiente.
Por lo anterior la Redundancia en los sistemas que almacenan la información se deberá de considerar tales como:
Copia de seguridad que se realiza en otro medio (CD, DVD, HDD externo, unidad de cintas, disco NAS, cabina SAN,
etc...) que incluya un control de versiones o simplemente una copia.
Redundancia en el sistema: Se debe de implementar un sistema que redunde los datos al instante y en todo momento
mediante tecnología raid o cualquier otra en otro lugar y medio.
Evidentemente esta redundancia tiene un coste en material y en tiempo de implementación del sistema de raid o de
copia.
Otro aspecto importante, es ubicar las copias externas en otro inmueble donde el personal tenga la seguridad
necesaria para que dicha información no sea extraída y no se ponga en riesgo, pero lo suficientemente cerca para que
cuando se requiera el tiempo de recuperación sea el menor posible.
D) EL BORRADO SEGURO DE LA INFORMACIÓN DE LOS DISPOSITIVOS DE ALMACENAMIENTO FIJOS,

REMOVIBLES Y EXTERNOS, QUE SEAN RETIRADOS DEL AMBIENTE OPERATIVO, POR DAÑO O
REEMPLAZO.
Para asegurarse de que los dispositivos de almacenamiento mencionados al momento de ser emplazados por las
diferentes causas, es necesario utilizar métodos y normas. Para borrar discos duros, el método que nos garantiza la
privacidad es la del formateo de las unidades y/o el sobrescribir varias veces el disco duro con datos aleatorios. Esto
es fácil, pero generar datos realmente aleatorios con un ordenador no es fácil (ya que el ordenador es por naturaleza
determinista).
A fin de tener mayor información sobre de cualquier dispositivo almacenador de información deberá de seguir los
controles que implemente el SGSI antes de retirar el equipo del Centro de Datos, lo anterior para no tener a la
información comprometida o en riesgo.
E) EL REGISTRO DE INCIDENTES SOBRE LA SEGURIDAD DEL AMBIENTE FÍSICO, MEDIANTE LA SOLICITUD

DE SERVICIO RESPECTIVA.
Se deberá asegurar que todos los incidentes sobre la seguridad física sean registrados, supervisados, administrados,
reportados y resueltos.
Para realizar una adecuado tratamiento se deberán de establecen funciones y procedimientos de manejo de
incidentes garantizando una respuesta rápida, eficaz y sistemática a los incidentes relativos a seguridad.
a) Gestión de incidentes
Para restaurar tan pronto como sea posible la operación normal de un servicio y minimizar el impacto adverso en las
operaciones del negocio, garantizando los mejores niveles de calidad en el servicio posible, el proveedor del servicio
deberá de proveer y mantener las herramientas, procesos, destrezas y las reglas para un manejo de incidente efectivo
y eficiente.


Datos
Registro y categorización de incidentes: Se deberá de resolver el incidente (Interrupción del Servicio) en el periodo
acordado. La meta es el restablecimiento acordado del servicio de TI, con una solución temporal de ser necesario.
Una vez se constante que el Soporte de Primera Línea no puede resolver el incidente o cuando se exceda el periodo
límite propuesto para dicho nivel, el incidente deberá de ser transferido al soporte de segundo nivel.
Gestión de Incidentes Graves.- Como los incidentes graves causan interrupciones considerables a la Secretaría, estos
se deberán de resolver con mayor urgencia, si el caso lo amerita se deberán de involucrar personal de tercer nivel. Si
no se pueden corregir de raíz el problema, se deberá de generar un registro de problemas respectivo y se deberá de
remitir a la Gestión de Problemas.
Para el Cierre y Evaluación de los incidentes. La finalidad es asegurarse que el incidente se haya resuelto y que toda
la información requerida para describir el ciclo de vida del incidente haya sido sometida con el detalle adecuado.
Además, los halagos de la resolución para referencia futura y guardar en la base de conocimiento de los proveedores
respectivos.
Incidente: Cualquier evento que no es parte de la operación estándar de un servicio y que origina, o puede originar, la
interrupción o la reducción de la calidad de dicho servicio.
Problema: La causa desconocida y responsable de uno o más incidentes.

Error conocido: Es un incidente o problema para el cual resulta conocida la causa raíz y para el cual existe una
solución temporal o para el cual se ha identificado una solución definitiva.
Garantizar el mejor uso posible de los recursos para brindar soporte a la organización durante fallas de servicios.
Registrar y dar seguimiento a los incidentes. Mantener registros significativos.
Lidiar con incidentes de manera consistente.
- Actividades clave que afecten la calidad del servicio a los clientes o usuarios.
- Desviaciones/problemas en las actividades que pudieran provocar y que afecten la calidad.
- Situaciones (causas) que pudiesen generar las desviaciones/problemas.
- Que tan frecuente se presentan estas deviaciones/problemas.
- Los controles con los que se cuentan en el proceso para detectar las desviaciones/problemas.
Se consideran los siguientes ítems:
- Contemplar y definir todos los tipos probables de incidentes relativos a seguridad, incluyendo
a) Fallas operativas
b) Código malicioso
c) Intrusiones
d) Fraude informático
e) Error humano
f) Catástrofes naturales.
- Comunicar los incidentes a través de canales jerárquicos apropiados tan pronto como sea posible.
- Contemplar los siguientes puntos en los procedimientos para los planes de contingencia normales (diseñados para
recuperar sistemas y servicios tan pronto como sea posible):
a) Definición de las primeras medidas a implementar.
b) Análisis e identificación de la causa del incidente.
c) Planificación e implementación de soluciones para evitar la repetición del mismo, si fuera necesario.
d) Comunicación con las personas afectadas o involucradas con la recuperación del incidente.
e) Notificación de la acción a la autoridad.
- Registrar pistas de auditoría y evidencia similar para:


Datos
a) Análisis de problemas internos.

b) Uso como evidencia en relación con una probable violación contractual o infracción normativa, o en marco
de un proceso judicial.
c) Acción preventiva.- Acción tomada para eliminar la causa de una no conformidad potencial u otra situación
potencialmente indeseable.
d) Modo de falla.- Manera en que el proceso podría fracasar para satisfacer los requisitos del proceso y/o el
propósito del mismo.
e) Efecto de falla.- Describe como se manifiesta de modo de falla en términos de lo que el usuario o cliente
podría observar o experimentar.
f) Severidad.- Evaluación del impacto de efecto del modo de falla resentido por el usuario o cliente.
Para el registro de incidentes, se utilizara el siguiente formato para mantener la bitácora.


Datos
REGISTRO DE INCIDENTES EN EL CENTRO DE DATOS
COMISIÓN NACIONAL DE ACUACULTURA Y PESCA

UNIDAD DE ADMINSITRACIÓN
SUBDIRECCIÓN DE INFORMÁTICA
FORMATO DE REGISTRO DE INCIDENTES EN EL CENTRO DE DATOS

INFORMACIÓN GENERAL
INMUEBLE SOLUCIÓN
Fecha de Incidente: Fecha de Solución:
Horario en que se presentó: Horario en que se solucionó:
Nom bre del m onitorista en el C.D:
RESPONSABLE DE LA ACCIÓN Y SEGUIMIENTO
INCIDENTE QUE AFECTO AL CENTRO DE DATOS
IDENTIFICACIÓN DESCRIPCIÓN
a) Fallas Operativas
b) Código Malicioso
c) Intrusiones
d) Fraude Informático
e) Error Humano
f) Catástrofes Naturales
MODO DE FALLA CAUSA EFECTOS DE FALLA
Severidad Valor Ocurrencia Valor Detectabilidad Valor

1- No es muy 1- No es tan a 1- Siempre se detecta
Severo menudo hasta
10- Bastante 10- Muy a 10- No se puede
Severo menudo detectar
EQUIPO DAÑADO O CAUSA DEL INCIDENTE
Equipo Marca Modelo Serie Causa del Incidente
MEDIDAS A IMPLEMENTAR
Controles Actuales
PLANIFICACIÓN DE SOLUCIONES PARA EVITAR REPETICIÓN DEL INCIDENTE
Acciones Preventivas
NOTIFICACIONES
Personal al que se notificó Personal al que se notificó el
incidente por afectación directa incidente por estar Notificación altos mandos


Datos
2. INTEGRAR AL SISTEMA DE SEGURIDAD FÍSICA EN EL CENTRO DE DATOS A QUE SE REFIERE EL

FACTOR CRÍTICO ANTERIOR, LOS CONTROLES DE SEGURIDAD QUE DE ACUERDO CON EL SGSI SE
REQUIERAN PARA EL ACCESO FÍSICO A LAS ÁREAS RESERVADAS DE LA UTIC, QUE DEBERÁN
CONSIDERAR AL MENOS LOS SIGUIENTES ACCESOS:
A) NORMAL U ORDINARIO.
1) Puntos físicos de acceso
Nuestros primeros puntos de acceso físico al Centro de Datos Sectorial de la CONAPESCA, son los lectores de
tarjetas de proximidad, los cuales, están ubicadas en un sitio estratégico acorde a la ubicación del Centro de Datos.
Funcionamiento:
Las tarjetas de proximidad RFID (Identificación por radiofrecuencia) son un sistema de almacenamiento y
recuperación de datos remotos que usa dispositivos denominados etiquetas, las cuales contienen antenas para poder
enviar y recibir peticiones por medio de radiofrecuencia desde un emisor-receptor
Ventajas:
- La etiqueta no tiene que ser físicamente escaneada o leída de forma alguna, simplemente debe de estar dentro de
un rango de proximidad de una unidad de detección que permita que la data sea leída.
- Se cuenta una frecuencia pre configurada.
- No más códigos de barras ilegibles y/o arrugadas.
- Se pueden leer a través de escritorios y cubiertas de libro.
Desventajas:
- Nos enfrentaremos al hecho de tener que adquirir tarde o temprano nuevas tarjetas, para empleados que perdieron
sus nuevas credenciales o para nuevo personal llegado a la organización


Datos
- En ocasiones nos podremos hallar en problemas si nuestro proveedor actual no tiene stock de estas tarjetas o si no
encuentra las adecuadas para que funcionen con sus lectores. Las etiquetas RFID son más costosas que los códigos
de barras.
Procedimiento:
El Centro de Datos Sectorial, alberga dentro de sus instalaciones los servidores, sistemas de almacenamiento y
equipos de comunicaciones de la Secretaría y órganos del Sector.
El lector de huellas dactilares es un dispositivo que lee datos biométricos de las huellas dactilares de los usuarios para
su posterior procesamiento. El lector de huellas se emplea principalmente como sistema de identificación.
El lector de huellas compara los datos obtenidos durante el proceso de identificación con la plantilla almacenada en la
memoria. Si la probabilidad de que ambas pertenezcan a la misma persona es lo suficientemente alta la identificación
será positiva, procediendo a establecer sus permisos, de lo contrario la identificación será negativa. El sistema debe
minimizar tanto la probabilidad de que un usuario no sea reconocido como la probabilidad de un impostor sea
aceptado.
Las plantillas biométricas de los usuarios se pueden almacenar en un servidor central o bien en la memoria del propio
lector de huellas. Ambos sistemas presentan ventajas o inconvenientes: Si se almacenan las plantillas en el lector el
número de usuarios queda limitado por el tamaño dela memoria del lector, si se almacenan en un servidor central la
seguridad del sistema dependerá de la fiabilidad del servidor central y de las líneas de comunicación.
B) RESTRINGIDO.
Segundo punto de acceso al Centro de Datos Sectorial de la CONAPESCA serán las puertas automáticas.
Una vez que se efectúa el acceso al área de pasillos descrita con anterioridad en donde se ubica la puerta controlada
por el biométrico, podemos observar los siguientes aspectos.
Ventajas:
- Eficiente
- Continuo
- Silencioso
- Apertura de emergencia
- Bitácora de accesos de entrada y salida del personal. Solicitud de acceso
La unidad Administrativa del personal que deba tener acceso al Centro de Datos, deberá de solicitarlo mediante oficio
dirigido a la DIT, indicando nombre, puesto y actividades a desarrollar en el Centro de Datos.
Una vez realizada la solicitud, se valida y se identifica si la justificación es suficiente para brindar el acceso.
El número máximo de tarjetas que se otorgan por cada unidad responsable es de 2 accesos, dichos usuarios deben
ser los administrativos de los equipos.
Alta en el Sistema
Una vez otorgada la autorización, se le indica al usuario mediante correo electrónico, la fecha y hora para dar de alta
en el sistema, debiendo presentarse en Centro de Datos para tomar las huellas digitales y configuración de la tarjeta
de proximidad.


Datos
Entrega de Tarjeta
Una vez concluida el alta de usuario, se entrega el formato XX-Resguardo de tarjeta, como resguardo de la tarjeta
proporcionada al usuario final, haciendo responsable del uso adecuado de la misma y cumplir con las políticas de
seguridad del Centro de Datos Sectorial de la CONAPESCA.
El acceso que brinda la tarjeta de proximidad sólo es personal e intransferible.
Perdida de tarjeta
Si el usuario pierde la tarjeta de proximidad, debe indicarlo inmediatamente a la Subdireccion Informatica, para dar de
baja la misma en el sistema, debiendo formalizar la baja la unidad administrativa mediante oficio, lo anterior a fin de
desactivar el servicio.
Cabe mencionar que en caso de que se solicite una reposición, estará sujeta a la existencia de las mismas.


Datos


Datos
Baja de Servicios
Cuando un usuario con tarjeta deje de laborar en el área asignada o cambie sus funciones dentro de la CONAPESCA,
donde ya no sea necesario el acceso al Centro de Datos, el jefe inmediato notifica a la Subdireccion de Informatica
mediante oficio y entrega la tarjeta de proximidad para que se deshabilite la misma y con ello se libere el resguardo.
En caso de que no se regrese dicha tarjeta o se observe un uso inadecuado de la misma, se retirar y bloquea el
acceso.
Bloqueos automáticos de Acceso


Datos
En caso de que el sistema detecte 5 intentos fallidos de ingreso por tarjeta, ésta se bloqueará automáticamente y
deberá solicitar el desbloqueo del mismo a la Dirección de Infraestructura Tecnológica.
En caso que se identifique que le han dado un mal uso a la tarjeta de proximidad se suspende el servicio al usuario en
cuestión. Si se requiere renovar su permiso, deberá solicitarlo al jefe inmediato por oficio a la Subdirección de
Informática aclarando y justificando el mal uso que le haya dado a los recursos del sistema de control de acceso. Si se
autoriza el desbloqueo del mismo, se le indica por correo electrónico la fecha de desbloqueo de la tarjeta.
Si se idéntica que algún usuario está prestando la tarjeta de acceso, se retira el servicio y se realiza un reporte
dirigiéndolo a la Subdirección de Informática.
Actualización de NIP
El departamento de apoyo informático que administra el Centro de Datos de la CONAPESCA, valida periódicamente a
los usuarios y permisos asignados para identificar si es necesario actualizar los mismos.
Los controles de acceso normal son una protección contra la interacción de nuestro sistema con los sistemas,
servicios y personal tanto interna como externa a nuestra Comisión.
Identificación y Autentificación
El usuario autorizado para el ingreso al Centro de Datos de la CONAPESCA, deberá de identificar a sus proveedores
para permitir el acceso al mismo, con el fin de que laboren de manera supervisada.
Modalidades de acceso a la Información

Adicionalmente, para permitir un acceso a un área en específico, es considerado el tipo de acceso o modo de acceso
que se permitirá. El concepto de modo de acceso es fundamental para el control respectivo. Dichos controles de
acceso a la Información son indicados por el SGSI.
C) ENTRADA O SALIDA EN CASO DE EMERGENCIA.
Se cuenta con un único acceso, mismo que se utiliza para todas las entradas y salidas de alto tráfico o salidas de
emergencia, se tiene focalizada una cámara de video vigilancia para el control de este acceso.
D) A EQUIPOS CON DATOS SENSIBLES.
Se cuenta solo con un acceso al área del Centro de Datos, considerando que todos los TIC's e Información Alojada,
se considera como sensible por la importancia que tienen, como se indicó se cuenta con un sistema de video
vigilancia que permite mantener un monitoreo para que cada que accese el personal operativo se mantenga
exclusivamente dentro de su área de trabajo.
3. INTEGRAR AL SISTEMA DE SEGURIDAD FÍSICA EN EL CENTRO DE DATOS, A QUE SE REFIERE EL

FACTOR CRÍTICO 1, LOS CONTROLES DE SEGURIDAD QUE DE ACUERDO CON EL SGSI SEAN NECESARIOS
PARA HACER FRENTE A LOS RIESGOS AMBIENTALES, CONSIDERANDO PARA ELLO:
A) LOS RIESGOS POR FENÓMENOS NATURALES, IDENTIFICADOS EN EL PROCESO ARTIADMINISTRACIÓN

DE RIESGOS DE TIC,


Datos
Al realizar el análisis de riesgos potenciales para la construcción de un centro de datos, observamos los siguientes
aspectos que nos permitirán considera y mitigar estos a fin de mantener la continuidad de la operación de los servicios
que se prestan dentro de un Centro de Datos Institucional como el que la CONAPESCA tiene.
Se pueden considerar siete categorías que deben tomar en cuenta cuando se selecciona la ubicación del Centro de
datos y ubica en los dos primeros lugares los desastres que podrían enfrentar, seguidos de factores de riesgo político
o estratégico que ponen en situación de riesgo la continuidad de los servicios.
1) Desastres naturales
Se denomina desastre natural a los fenómenos de la naturaleza que, debido a su magnitud, causan cuantiosas
pérdidas materiales o humanas. No hay manera de evitar tales fenómenos; sin embargo, conocer sus alcances ayuda
a minimizar su impacto.
2) Terremotos
Afectación en sitio: Pueden causar enorme daño a las instalaciones e interrupciones en los centro de datos cercanos
al epicentro y dañar la infraestructura aun a distancias remotas.
Afectación del entorno: El sitio podría estar incomunicado por un periodo prolongado, el daño a carreteras y puentes
podría impedir el abasto de diesel y otros suministros necesarios para la operación continúa. Es posible que el daño
en comunicaciones tome varios días para ser reparado.
3) Tornado
Afectación en sitio: Interrupciones para los centros de datos cercanos a la trayectoria del tornado, así como danos que
van de menores a severos. Este tipo de fenómeno es poco frecuente en México.
Afectación del entorno: Daño severo a la infraestructura pública, instalaciones y comunicaciones.
Características: Perdida de funcionalidad y comunicaciones, especialmente si no se cuenta con infraestructura
subterránea. El daño localizado puede repararse rápidamente.
4) Huracán
Afectación en sitio: Los centros de datos en la trayectoria de la tormenta o cerca de ella pueden experimentar
interrupciones y daños que van de menores a severos. Este tipo de fenómeno es frecuente en México.
Afectación del entorno: Se debe esperar daño severo a la infraestructura pública en toda la región, así como en las
comunicaciones.
Características: Se pueden prever con suficiente antelación; su duración varia de horas a días, podría ser necesaria
la evacuación del personal y necesitar seguridad adicional después de la tormenta e incluso suministros de
emergencia para operar varios días, equipo exterior dañado o destruido (antenas satelitales, torres de enfriamiento,
etc.), daño potencial a las instalaciones por escombros arrojados por el viento.
5) Tormenta de nieve
Afectación en sitio: Interrupciones en la operación de centros de datos y daño severo al equipo exterior si no está
diseñado y protegido para sobrevivir al hielo y acumulación de nieve.


Datos
Afectación del entorno: Daño severo a la infraestructura pública, instalaciones y comunicaciones. Puede haber daño
en líneas aéreas de energía y comunicaciones que podrían tomar días o semanas para ser reparadas, así como
caminos intransitables o peligrosos, por lo que puede haber desabasto de diesel y otros insumos necesarios para la
operación.
Características: Por lo general se pueden anticipar y llegan a presentarse tormentas consecutivas cuyos efectos se
acumulan; los empleados no pueden entrar y/o salir de las instalaciones, hay colapso de techos por acumulación de
nieve o hielo y riesgo de congelamiento de tuberías.
6) Tormenta eléctrica
Afectación en sitio: Interrupción de las operaciones y daño que va de nulo a severo, dependiendo de la cercanía del
impacto del rayo y de la correcta operación del equipo de protección eléctrica y sistemas de generación de
electricidad.
Afectación del entorno: Interrupciones momentáneas pero frecuentes del suministro eléctrico comercial debido a
rayos que impactan en la red de distribución eléctrica. Como efecto secundario puede haber bajo voltaje en áreas muy
extensas y el fuego causado por rayos puede destruir la infraestructura pública en zonas rurales.
Características: Puede existir una alerta con minutos de anticipación, su duración es corta pero pueden ser
frecuentes; en temporada de tormentas eléctricas, la descarga constante de las baterías de los UPS acorta su vida
útil; existe interrupción prolongada si el suministro de energía es por vía aérea y los rayos alcanzan las líneas.
7) Inundación
Afectación en sitio: Daño catastrófico e interrupciones en la operación de centros de datos en áreas de inundación
severa o con sistemas de infraestructura que no cumplan con las normas necesarias.
Afectación del entorno: Daño a la infraestructura pública y de comunicaciones en toda la región, el centro de datos
puede quedar aislado por un periodo prolongado, las carreteras y los puentes dañados podrían impedir el suministro
de diesel y otros insumos necesarios para mantener la operación continua y el daño a las comunicaciones y sistemas
de alimentación eléctrica
Características: Se pueden prever con varios días de anticipación, se impide la entrada y/o salida de empleados a
las instalaciones, son necesarios suministros de emergencia, comida y agua para varios días. El daño causado a los
sistemas de energía y comunicaciones puede tomar varios días en ser reparado.
2008 de Symantec, donde queda expuesto que solo 11% del tiempo de caída no planeado en los centros de datos se
debió a desastres naturales.
El factor humano
A diferencia de los riesgos por desastre natural, el tiempo de caída originado por errores humanos no ha sido
documentado a profundidad; no obstante, existen referencias como el Reporte de Estado del Data Center En
contraste, según este estudio, 25% del tiempo fuera de operación se debió a errores humanos y los demás factores


Datos
de interrupción en los centros de datos de fueron fallas de hardware, cortes de energía, fallas de software con 21%,
20% y 20%, respectivamente.
Categorías de riesgos:
- Desastres naturales
- Desastres inducidos
- Riesgo político
- Continuidad del negocio
- Diseño de las instalaciones
- Seguridad física
- Capacidad de respuesta para emergencias
El edificio que tiene alojado el Centro de Datos fue elegido así con la finalidad de que el Centro de Datos se encuentre
ubicado en un Edifico en donde se tiene privacidad, se retiraron fuentes de posibles fugas de aguas, sistemas de
drenaje, vibración de plantas de emergencia, y se consideraron precisamente los factores anteriores a fin de cumplir
con las observaciones enumeradas.
B) LOS ACTIVOS DE TIC. INCLUYENDO EL EQUIPO MÓVIL Y EL QUE ESTÉ FUERA DEL CENTRO DE DATOS.
Como parte de los activos TIC dentro del Centro de Datos se tienen principalmente Servidores que contienen los
Sistemas Institucionales, Sistemas Administrativos, Bases de datos de los Sistemas anteriores y que controlan los
Sistemas de Almacenamiento de los diferentes servicios electrónicos tales como correo electrónico, servicio ftp, etc.,
también se albergan los equipos de Comunicaciones de Red LAN del inmueble y los de la Red Institucional de
Telecomunicaciones, así como la infraestructura de comunicaciones y seguridad para proveer el servicio de
publicación de las diversas páginas de Web de la Secretaría y órganos del Sector que están integrados a la Red.
Dentro de los Servicios móviles se cuenta con un servidor que contiene el control de los diversos servicios que se
proporcionan en coordinación con el proveedor de Telefonía Celular, tales como correo electrónico, transmisión de
datos, acceso a chat, etc. Todo lo anterior por medio del dispositivo Black Berry. También se cuenta con un equipo
prioritizador de voz para poder acondicionar los servicios de telefonía por medio de las extensiones móviles de los
servidores públicos superiores.
Los equipos móviles como laptops, son asignados al personal que por su tipo de función requieren constante
movimiento dentro y fuera de la Secretaría, dotándolos de candados de seguridad tanto para la seguridad del equipo
como recomendaciones de acceso al equipo utilizando dos controles de acceso el biométrico del equipo y su clave de
acceso al sistema operativo, con lo cual se considera que se podrá resguarda la información que contiene el equipo.
C) LOS DISPOSITIVOS QUE DETECTAN AMENAZAS AMBIENTALES, PARA RESPONDER A LAS ALARMAS Y
A OTRAS NOTIFICACIONES.
Como se ha indicado el centro de datos cuenta con diferentes dispositivos, los equipos que permiten realizar medición
de parámetros ambientales dentro del site son los aires acondicionados de presión, sin embargo también se tiene
instalado un termómetro ambiental que nos permite conocer la temperatura del Centro de Datos en el medio
ambiente, los parámetros que se pueden obtener son:


Datos
Humedad: Se debe revisar constantemente este parámetro para evitar que los servidores y equipos en general,
debido a la temperatura constante puedan generar calor o humedad excesiva y se tenga corrosión en las tarjetas
madres de los dispositivos.
Temperatura: Los fabricantes de los servidores y equipos de comunicaciones recomiendan que estos tengan una
temperatura constante con un valor entre 15 y 22 °C, para mantener esta constante en un valor de 16 a 20 °C, se
mantiene la operación del aire de precisión en este rango. Como se comentó el termómetro también nos mide la
temperatura, a fin de controlar este valor se tiene un monitoreo personal y por medio de las cámaras de video
vigilancia, para que el personal de mantenimiento se mantenga pendiente de este comportamiento.
Adicionalmente, los equipos de comunicaciones llamados de Core, en su sistema operativo cuentan con un
termómetro en las fuentes de poder que cuando estos valores sobrepasan el umbral de los 24 °C, envían una alarma
de manera automática a fin de que el personal supervise la operación y efectué las correcciones correspondientes.
Detección de Incendios: Se tiene instalado un sistema de detección de incendios que al detectar humo dentro de las
áreas definidas como críticas, activa las alarmas ubicada dentro y fuera del Centro de Datos, así como la ubicada en
el área de vigilancia, con lo anterior se cuenta con un procedimiento mediante el cual el personal operativo,
mantenimiento o vigilancia, pueden actuar para sofocar el incidente si fuera el caso.
Como podemos observar los sistemas solos no operan, requieren la intervención del personal que supervisa la
operación y a su vez que estos sean capacitados tanto en la operación como en la administración de los sistemas de
detección, a fin de que puedan actuar de manera oportuna.
4. DIFUNDIR AL INTERIOR DE LA UTIC LOS CONTROLES DE SEGURIDAD IMPLEMENTADOS Y VERIFICAR SU

CUMPLIMIENTO
Los sistemas de control de seguridad como ha quedado asentado son diferentes y dependen del nivel de
involucramiento en el nivel de conocimiento que el personal debe tener, como se comentó primeramente se capacito
al personal dependiendo de su rol de operación y responsabilidades.
Se trabajó de la mano con el Gerente que administra el inmueble, para que por su conducto se capacitara al personal
de protección civil y vigilancia, sobre todo en el procedimiento de prevención y atención en caso de una emergencia.
Así como al personal operativo y mantenimiento, en la operación y solución de problemas o fallas que se puedan
presentar a fin de evitar en lo posible.
A continuación en el presente "ANEXO A", se indican los "Procedimientos del control de acceso"
ANEXO A
A. INTRODUCCIÓN
El Centro de Datos , alberga dentro de sus instalaciones los servidores, sistemas de almacenamiento y equipos de
comunicaciones de la CONAPESCA y órganos del Sector.
El presente documento tiene la finalidad de informar a los usuarios del Centro de Datos sobre las políticas y
procedimientos que se deberán de seguir a fin de hacer un buen uso de las instalaciones enunciadas y mantener la
seguridad en las mismas.


Datos
B. ALCANCE
Estos procesos aplican para el personal de la Subdireccion de Informatica que cuentan con autorización para el
acceso al Centro de Datos.
Al personal de las áreas que cuentan con infraestructura alojada en el Centro de Datos.
Al personal de la Subdireccion de Informatica, que es responsable del mantenimiento.
A los proveedores que requieran ingresar al Centro de Datos, por contar con tareas establecidas por responsables
con Acceso autorizado.
C. OBJETIVOS DE PROCEDIMIENTOS DEL CONTROL DE ACCESO DEL CENTRO DE DATOS

SECTORIAL.
1) Mantener un control y administración adecuada de los accesos que se brindan a los usuarios de la CONAPESCA al
Centro de Datos, ubicado en el Primer piso del Edificio Sede de la CONAPESCA.
2) Generar una cultura de seguridad y administración para los accesos.
3) Proteger la infraestructura de TI que se encuentre alojada en el Centro de Datos.
4) Lograr una satisfacción de los usuarios para contar con un espacio protegido adecuadamente y crear una confianza
de instalar su infraestructura.
5) La implantación de procedimientos de mejora continua que incrementen la satisfacción de los usuarios y la
protección a la infraestructura de TI.
6) Fortalecer la administración del mismo.
7) Lograr una eficacia, eficiencia, efectividad, transparencia y difusión de los procesos y procedimientos que se
establecerán para la protección de la infraestructura que se alojan en el Centro de Datos.
I. SISTEMA DE CONTROL DE ACCESO
1. Solicitud de Acceso
La unidad Administrativa del personal que deba tener acceso al CD (Centro de Datos), mediante oficio dirigido a la
DIT, deberá de realizar el requerimiento, indicando, nombre puesto y actividades a desarrollar en el CD.
Una vez recibida la solicitud, será validada y se identificara, si la justificación es suficiente para brindar el acceso.
El número máximo de tarjetas que se otorgaran por cada unidad responsable será de 2 accesos, dichos usuarios
deberán ser los administradores de los equipos.
2. Alta en el Sistema
Una vez otorgada la autorización, se le indicará al usuario mediante correo electrónico, la fecha y hora para dar de
alta en el sistema, debiendo presentarse en el CD para tomar las huellas digitales y configuración de la tarjeta de
proximidad.
3. Entrega de Tarjeta
Una vez concluida el alta del usuario, se le entregará el Formato "A"-Resguardo de Tarjeta, como resguardo de la
tarjeta proporcionada al usuario final, haciendo responsable del uso adecuado de la misma y cumplir con las políticas
de seguridad dentro del Centro de Datos.
El acceso que brindará la tarjeta de proximidad, solo es personal e intransferible.
4. Perdida de Tarjeta


Datos
Si el usuario pierde la tarjeta de proximidad, deberá de indicar inmediatamente a la Subdireccion de Informatica para
dar de baja la misma en el sistema, debiendo formalizar la baja la unidad administrativa mediante oficio, lo anterior a
fin de desactivar el servicio.
Cabe mencionar que en caso de que se solicite la reposición, estará sujeta a la existencia de las mismas.
5. Baja de Servicios
Cuando un usuario con tarjeta deje de laborar en el área asignada o cambie sus funciones dentro de la Secretaría,
donde ya no sea necesario el acceso al Centro de Datos, el jefe inmediato deberá notificar a la Subdireccion de
Informatica mediante oficio y entregar la tarjeta de proximidad para que se deshabilite la misma y con ello se libere el
resguardo de la tarjeta.
En caso de que no se regrese dicha tarjeta o se observe un uso inadecuado de la misma, se procederá a retirarla y
bloquear el acceso.
6. Bloqueos Automático de Acceso

En caso de que el sistema detecte 5 intentos fallidos de ingreso por tarjeta, esta se bloqueara automáticamente y
deberá de solicitar el desbloqueo del mismo a la Subdireccion de Informatica.
En caso de que se identifique que le han dado un mal uso a la tarjeta de proximidad se suspenderá el servicio al
usuario en cuestión. Si se requiere renovar su permiso, deberá de solicitarlo el Jefe inmediato por oficio a la Dirección
de Infraestructura Tecnológica aclarando y justificando el mal uso que le haya dado a los recursos del sistema del
control de acceso. Si se autoriza el desbloqueo del mismo, se le indicará por correo electrónico la fecha de
desbloqueo de la tarjeta.
Si se identifica que algún usuario, está prestando la tarjeta de acceso, se retirará el servicio y se realizará un reporte
dirigiéndolo a la Dirección de Infraestructura Tecnológica.
7. Actualización de NIP
El departamento de instalaciones y cableado que administra el Centro de Datos, validará periódicamente a los
usuarios y permisos asignados para identificar si es necesario actualizar los mismos.
La clave de acceso proporcionada por el administrador del Sistema, podrá ser actualizada cada que se requiera por
seguridad, así mismo se establecerán fechas programadas para actualizar dichas claves a todos los usuarios para
mantener la administración y seguridad adecuada.
Para solicitar la actualización del NIP es necesario que se solicite mediante correo a la cuenta
hmuller©conapesca.gob.mx, justificando el reseteo del mismo.
Usuarios de la COANPESCA que no cuentan con autorización de acceso, deberán de seguir el proceso de acceso a
proveedores.
II. CONTROL DE ACCESO AL CENTRO DE DATOS A PROVEEDORES
No se proporcionaran tarjetas de acceso a los proveedores, por cuestiones de seguridad e integridad de los equipos e
información que se encuentran alojados en el Centro de Datos.
El acceso a proveedores deberá de ser proporcionado por el personal responsable y encargado de los equipos a
alojados en el C.D.
Los proveedores a los que se requiera que ingresen al Centro de Datos, se deberán registrar en la bitácora de
ingresos al SITE y deberán ser acompañados del personal responsable que les otorgara el acceso, la bitácora se


Datos
encuentra bajo resguardo del personal de vigilancia, debiendo anotar como se indica claramente el Nombre del
proveedor, Empresa, Motivo del ingreso, hora de entrada y salida.
Los usuarios que tienen autorización para ingresar a proveedores al Centro de Datos, se identifican en el Catalogo de
Firmas, dichos proveedores deben ser acompañados por un responsable del área quien supervisará los trabajos,
maniobras o instalaciones que se realicen dentro del Centro de Datos.
En caso de que el responsable de las actividades dentro del Centro de Datos se retire y deje a los proveedores en el
interior del mismo, el personal de vigilancia deberá de retirar a las personas que no sean de la Secretaría, lo anterior
para mantener la seguridad de los equipos, infraestructura e información que se aloja en el Centro de Datos.
III. OPERACIÓN DEL SISTEMA DE CONTROL DE ACCESO
1. El ingreso al centro de datos presenta el siguiente mecanismo:

- Primer acceso- En el lector Biométrico, se debe de presentar la tarjeta de proximidad, una vez validada, se solicitará
la lectura de la huella del dedo índice (previamente tomada), si fue aceptada se abrirá la primera puerta.
- Segundo Acceso- Una vez dentro de la exclusa, se deberá de presentar la tarjeta de proximidad en el segundo lector
e ingresar el NIP asignado para que la segunda puerta del CD se abra y se tendrá el ingreso.
2. Salida del Centro de Datos:

Se deberá de pasar por las dos lectoras de proximidad la tarjeta, las lectoras están colocadas dentro y en la segunda
puerta de la exclusa.
3. Salida de Emergencia dentro del Centro de Datos:

En caso de encontrarse en peligro dentro del Centro de Datos y se requiriera la salida inmediata del mismo, el usuario
podrá presionar el botón de emergencias para deshabilitar el sistema de control de Acceso, de esta forma se abrirán
las puertas de manera automática. Esta acción deberá de ser reportada al personal de vigilancia o en su caso al
personal de apoyo ubicado en el cuarto de monitoreo del CD, para auxiliar y habilitar nuevamente el sistema.
IV. VIGILANCIA DEL ACCESO AL CENTRO DE DATOS
1. SISTEMA DE CONTROL DE ACCESO

Se estará monitoreando los accesos al Centro de Datos e identificando que las personas autorizadas estén utilizando
adecuadamente los recursos de los accesos.
En caso de que se detecte un mal uso del sistema o daño a los recursos del mismo, se bloqueará la tarjeta y se
retirarán los permisos brindados al usuario.
2. SISTEMA DE VIDEO VIGILANCIA.

El monitoreo de accesos, será apoyado con el sistema de Video Vigilancia que se encuentra instalado en el interior y
exterior del Centro de Datos, con el fin de validar la operación adecuada de los accesos y las actividades realizadas
por cada persona que se encuentre laborando en el Centro de Datos.
3. PERSONAL DE VIGILANCIA.
En caso de alguna contingencia, conato de incendio, daño en algún equipo o algún caso en particular que afecte la
seguridad del personal, instalaciones o equipamiento que se encuentre en el Centro de Datos, personal de vigilancia


Datos
podrá hacer uso de la tarjeta de acceso que se les proporcionará a la subdirección de vigilancia para su
administración, para brindar el acceso al personal necesario o realizar las actividades pertinentes.
Dicha tarjeta se proporcionará con el Formato "A" -Resguardo de Tarjeta para realizar el resguardo correspondiente y
mantener la administración adecuada, esta se encontrará en sobre cerrado, con el NIP de acceso y el Formato "B"-
Acceso por Contingencia para que se indique el motivo por el cual se dio uso a la misma y se solicite nuevamente el
sobre de seguridad.
El personal encargado de la vigilancia del acceso al SITE deberá de tener conocimiento de los procedimientos y
controles de seguridad.
El personal deberá de contar con un conocimiento adecuado sobre los procedimientos que deberán seguir en caso de
emergencia o cualquier otro incidente que cause alarma y deba de usar la tarjeta de acceso.
I. POLÍTICAS BÁSICAS PARA INGRESAR Y LABORAR DENTRO DEL CENTRO DE DATOS:
a) Acceso con tarjeta de proximidad o Registro autorizado

b) No se podrá ingresar con mochilas, bolsas, gorras.
c) No se podrá ingresar o consumir alimentos, bebidas, cigarrillos.
d) No se podrá ingresar líquidos, que puedan dañar la infraestructura.
e) No se podrá ingresar equipo con cajas, embalaje, plásticos, etc.
f) No se podrá prestar la tarjeta de acceso.
g) No se podrá mover equipo instalado en el centro de datos o mobiliario.
h) No se permite jugar dentro del mismo.
i) No se podrá ingresar dispositivos externos, como discos duros o USB, a menos de que sea autorizado por el
subdirector del área del usuario, o el administrador y responsable del Centro de Datos, lo anterior para mantener la
seguridad de la información y sistemas alojados al centro de datos.
j) No podrán abrir el piso falso
k) No podrá tomar cables o accesorios de otro Rack
Cada uno de los puntos anteriores se deberán de considerar en los inmuebles de la Secretaría y en función de la
infraestructura instalada y nivel de criticidad de la operación.

AAFF2 Controles Seg Fisica Centro Datos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

AAFF2 Controles Seg Fisica Centro Datos

Cargado por

Copyright:

Formatos disponibles

Comision Nacional de

“CONTROLES DE SEGURIDAD FÍSICA EN EL CENTRO

Controles de Seguridad Física en el Centro de

1. DEFINIR UN SISTEMA DE SEGURIDAD FÍSICA EN EL CENTRO DE DATOS, EN EL QUE SE INCORPOREN DE

A) LOS RIESGOS DE SEGURIDAD FÍSICA IDENTIFICADOS EN EL PROCESO "ARTI-ADMINISTRACIÓN DE

a. Accesos no autorizados o mal controlados.

Mitigación de los Riesgos:

b. Fallas en el sistema de enfriamiento Definición:

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 2

Controles de Seguridad Física en el Centro de

Mitigación del Riesgo:

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 3

Controles de Seguridad Física en el Centro de

c. Fallas en el Cableado estructurado

Mitigación del Riesgo:

d. Falta o falla de energía eléctrica.

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 4

Controles de Seguridad Física en el Centro de

Mitigación del Riesgo:

Lo anterior basado en el manual de control de accesos.

Mitigación del Riesgo:

- Portátil (menos de 30 kg): Polvo químico seco o bióxido de carbono.

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 5

Controles de Seguridad Física en el Centro de

- Sistema Fijo Automático:

f. Ruido e Interferencias electromagnéticas

Mitigación del Riesgo:

Mitigación del Riesgo:

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 6

Controles de Seguridad Física en el Centro de

a. Mal uso a las instalaciones del Centro de Datos

Mitigación del Riesgo:

b. Robo de equipo o sabotaje.

Mitigación del Riesgo:

3. Riesgos de las Tecnologías de Información.

a. Riesgos en los activos de TIC's

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 7

Controles de Seguridad Física en el Centro de

Mitigación del Riesgo:

b. Robo de equipo o sabotaje.

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 8

Controles de Seguridad Física en el Centro de

Mitigación del Riesgo:

c. Riesgos de las Contraseñas de los accesos físicos y lógicos.

Mitigación del Riesgo:

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 9

Controles de Seguridad Física en el Centro de

Mitigación del Riesgo:

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 10

Controles de Seguridad Física en el Centro de

B) LIMITAR EL ACCESO A LA INFORMACIÓN SENSIBLE DEL CENTRO DE DATOS.

Los siguientes temas se definirán con mayor precisión en el sistema SGSI.

Controles de Acceso Lógicos

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 11

Controles de Seguridad Física en el Centro de

- Administrador del mantenimiento, etc.

Control de Acceso Interno

o Por medio de palabras Claves (Passwords)

o Listas de Control de Accesos:

ADMINISTRACIÓN DEL AMBIENTE FÍSICO AAF 12

Controles de Seguridad Física en el Centro de

o Límites sobre la Interface de Usuario

Control de Acceso Externo