República Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa

Universidad Nacional Experimental Politécnica
De la Fuerza Armada Nacional
Ingeniería de sistemas -8 vo semestre D-01
Asignatura: Auditoria de sistemas

AUDITORIA DE SEGURIDAD FISICA Y

LOGICA

Profesor:
Estudiante:
Vladimir Peña Maximiliano Fernández V-23.944.682

Caracas, Abril de 2020

 PROPOSITO DEL DOCUMENTO

El propósito de este trabajo es entender que el administrador de la

seguridad en un entorno de proceso electrónico de datos es el responsable de
los aspectos de seguridad física que afectan a la instalación. En otras palabras,
el administrador de la seguridad intenta garantizar que los recursos físicos en
los cuales se basa el desarrollo, implantación y mantenimiento de sistemas
están seguros frente a amenazas externas o internas que puedan afectar a la
continuidad de la instalación, o puedan provocar perdida de activos de la
organización, tanto materiales como datos. Por supuesto, la seguridad física y
la de las aplicaciones van parejas. Si faltan los controles que tengamos
establecidos para preservar la seguridad física, deben entonces dispararse los
controles de aplicación con el intento de proteger las aplicaciones individuales.
 DEFINICIONES, ACRÓNIMOS Y ABREVIATURAS

Ataque:
Cualquier acción deliberada con el objetivo de violar los mecanismos de
seguridad de un sistema de información.
Auditoria de Seguridad:
Estudio y examen independiente de registros históricos y actividades de
un sistema de información con el objetivo de comprobar la solidez de los
controles del sistema, alinear los controles con la estructura de seguridad y
procedimientos operativos establecidos a fin de detectar brechas en la
seguridad y recomendar modificaciones en los procedimientos, controles y
estructuras de seguridad.
Autenticidad:
Aseguramiento de la identidad u origen.
Certificación:
Confirmación del resultado de una evaluación y de que los criterios de la
evaluación utilizados fueron correctamente aplicados
Cableado:
Consiste en cables de par trenzado protegidos o no protegidos en el
interior de un edificio con el propósito de implantar una red de área local.
Cómputo:
Cálculo u operación matemática. La noción de cómputo también se
utiliza en el marco de la teoría de la computación, la rama de la matemática
que se especializa en las capacidades fundamentales de las computadoras.
Estas máquinas se encargan de utilizar modelos matemáticos para hacer
cómputos.
Canaletas:
Una canaleta es un ducto adherido a la pared o piso por medio del cual
pasara el cable (del tipo que sea).
Control interno:
Cualquier actividad o acción realizada manual y/o automáticamente para
prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.
Confidencialidad:
Aseguramiento de que la información es accesible sólo por aquellos
autorizados a tener acceso.
Degradación:
Pérdida de valor de un activo como consecuencia de la materialización
de una amenaza
Dato:
Información dispuesta de manera adecuada para su tratamiento por un
ordenador.
Disponibilidad:
Aseguramiento de que los usuarios autorizados tienen acceso cuando lo
requieran a la información y a sus activos asociados.
Estado de riesgo:
Caracterización de activos por riesgo residual. “Lo que puede pasar
tomando en consideración que las salvaguardas han sido desplegadas”.
Evento de seguridad:
Momento en que la amenaza existe y pone en riesgo activos,
procedimientos o información.
Equipo:
Un equipo es un grupo de personas que se unen en función de la
consecución de un objetivo en común. Dispositivos y accesorios que forman
parte de una computadora o que trabajan con ella.
Estándar:
Modelo que se sigue para realizar un proceso. Producto de software o
hardware que cumple determinadas reglas fijadas por acuerdo internacional,
nacional o industrial.
Evaluación de Medidas de Seguridad:
Evaluación de las medidas de seguridad existentes con relación al riesgo
que enfrentan.
Firewall:
Es una parte de un sistema o una red que está diseñada para bloquear
el acceso no autorizado, permitiendo al mismo tiempo comunicaciones
autorizadas.
Frecuencia:
Tasa de ocurrencia de una amenaza
Gestión de riesgos:
Selección de implementación de medidas de seguridad para conocer,
prevenir, impedir, reducir o controlar los riesgos identificados. La gestión de
riesgos se basa en resultados obtenidos en el análisis de riesgos.
Hardware:
Conjunto de los componentes que integran la parte material de una
computadora
Impacto:
Consecuencia que sobre un activo tiene la materialización de una
amenaza.
Impacto residual:
Impacto remanente en el sistema tras la implantación de las medidas de
seguridad determinadas en el plan de seguridad de la información.
Insider:
Empleado desleal quien por motivos de desinterés, falta de capacidad
intelectual y/o analítica, problemas psicológicos o psiquiátricos, corrupción,
colusión u otros provoca daños en forma deliberada en la empresa en que
trabaja, incumpliendo concientemente con normas y procedimientos
establecidos, robando o hurtando activos (físicos o información) con objetivos
económicos o simplemente de daño deliberado.
Integridad:
Garantía de la exactitud y completitud de la información y los métodos
de su procesamiento.
Lógica:
La que opera utilizando un lenguaje simbólico artificial y haciendo
abstracción de los contenidos
Mapa de riesgos:
Relación de las amenazas a que están expuestos los activos.
Plan de seguridad:
Conjunto de programas de seguridad que permiten materializar las
decisiones de gestión de riesgos.
Programa de seguridad:
Conjunto de tareas orientadas a afrontar el riesgo del sistema. Esta
agrupación se debe a que en singular las tareas carecerían de eficacia ya que
todas tienen un objetivo común y porque competen a una única unidad de
acción.

Proyecto de seguridad:
Programa de seguridad cuya envergadura es tal que requiere una
planificación específica.
Riesgo:
Estimación del grado de exposición a que una amenaza se materialice
sobre uno o más activos causando daños y / o perjuicios a la Organización.
Riesgo acumulado:
Toma en consideración el valor propio de un activo y el valor de los
activos que dependen de él. Este valor se combina con la degradación causada
por una amenaza y la frecuencia estimada de la misma.
Riesgo repercutido:
Se calcula tomando el valor propio de un activo y combinándolo con la
degradación causa por una amenaza y la frecuencia estimada de la misma.
Medida de seguridad:
Procedimiento o mecanismo tecnológico que reduce el riesgo.
Servidor:
En informática, un servidor es un tipo de software que realiza ciertas
tareas en nombre de los usuarios. El término servidor ahora también se utiliza
para referirse al ordenador físico en el cual funciona ese software, una máquina
cuyo propósito es proveer datos de modo que otras máquinas puedan utilizar
esos datos.
Software:
Se conoce como software al soporte lógico de un sistema informático,
que comprende el conjunto de los componentes lógicos necesarios que hacen
posible la realización de tareas específicas, en contraposición a los
componentes físicos que son llamados hardware
Seguridad:
Capacidad de las redes o de los sistemas de información de resistir, con
un determinado nivel de confianza, los accidentes o acciones ilícitas o
malintencionadas que comprometan la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de los servicios que
dichas redes y sistemas ofrecen o hacen accesibles.
Sistema de información:
 Computadoras y redes de comunicaciones electrónicas, datos
electrónicos almacenados, procesados, recuperados o transmitidos por los
mismos para su operación, uso, protección y mantenimiento.
Conjunto de elementos físicos, lógicos, elementos de comunicación, datos y
personal que permiten el almacenamiento, transmisión y proceso de la
información.
Trazabilidad:
Aseguramiento de que en todo momento se podrá determinar quien hizo
qué y en qué momento.
Valor de un activo:
Estimación del costo inducido por la materialización de una amenaza.
Valor acumulado:
Considera tanto el valor propio de un activo como el valor de los activos
que dependen de él.
Vulnerabilidad:
Cálculo o estimación de la exposición efectiva de un activo a una
amenaza. Se determina por dos medidas: frecuencia de ocurrencia y
degradación causada.

MARCO LEGAL

El marco legal nos proporciona las bases sobre las cuales las
instituciones construyen y determinan el alcance y naturaleza de la
participación política. El marco legal de una elección, y especialmente los
temas relacionados con la integridad de la misma, regularmente se encuentran
en un buen número de provisiones regulatorias y leyes interrelacionadas entre
sí.
Su fundamento en muchos países es La Constitución en tanto suprema
legislación, que se complementa con la legislación promulgada por un
parlamento o legislatura donde se incluye una ley electoral (leyes, que incluyen
provisiones para el proceso electoral, el financiamiento de campañas
electorales y derecho de los ciudadanos al voto), leyes, códigos penales,
y Regulaciones, que incluyen Códigos de Conducta/Ética, dados a conocer por
distintas instancias reguladoras que guardan estrechos vínculos con la materia
electoral.
Dentro de las provisiones legales se encuentran los lineamientos para
determinar la estructura de la administración electoral, las instrucciones
destinadas a los administradores de la elección sobre la forma en que deberán
llevar a cabo su labor, y los derechos y responsabilidades de los partidos
políticos, los medios de comunicación, los electores y demás participantes en
una elección.
El marco legal faculta a la autoridad electoral para que lleve a cabo las
labores de administración de la elección de conformidad a la estructura
detallada dentro de sus mismas provisiones. Asimismo faculta a los partidos
políticos para allegarse recursos financieros y participar en las elecciones de
acuerdo a las provisiones legales establecidas. Y por último, asegura que los
electores conserven sus derechos políticos para la emisión del voto y la
elección de sus representantes de gobierno.
En muchos países, el marco legal en materia electoral ha evolucionado
en una compleja combinación de estatutos y regulaciones legales, reglas
judiciales y la práctica real. Ciertas legislaciones electorales pueden ser de
nueva creación o estar actualizadas, otras pueden basar su funcionamiento en
estatutos obsoletos que están desactualizados, pero que sin embargo aún
están vigentes. Puede haber lagunas, conflictos e inconsistencias entre las
diferentes partes que dan forma a un marco legal y en consecuencia al proceso
electoral. En Argentina, por ejemplo, el capítulo argentino de Transparencia
Internacional encontró que había más de 90 secciones distintas de la
legislación que tratan temas relacionados con el tema del financiamiento de los
partidos políticos.
Para efectos de integridad, es muy importante revisar el diseño legal en
su totalidad con el propósito de entender el marco legal y para determinar
cuando sea necesario la acción correctiva necesaria, y de ser el caso, el tipo de
acción definitiva que deba tomarse.

GESTION DE LA SEGURIDAD LOGICA

Consiste la seguridad lógica en la aplicación de barreras y

procedimientos que resguarden el acceso a los datos y sólo se permita acceder
a ellos a las personas autorizadas expresamente para hacerlo. Existe un viejo
dicho en la seguridad informática: Todo lo que no está permitido debe estar
prohibido; y esto es lo que debe asegurar la seguridad lógica.
Hablar de seguridad lógica, pues, es hablar de seguridad de la
información, y el valor subjetivo que esta tiene, resultando que el bien a
proteger son los datos que tienen, manejan y disponen una   determinada
empresa. Las nuevas tecnologías, sin duda alguna, han modificado este
aspecto en los últimos años a una velocidad sorprendente.
La seguridad en los sistemas informáticos es una cuestión de gran
importancia para cualquier organización. De ello no hay la menor duda. Las
sociedades avanzadas de nuestro tiempo son denominadas, frecuentemente,
sociedades de la información, pues el volumen de datos que es procesado,
almacenado y transmitido es inconmensurablemente mayor que en cualquier
otra época. De hecho, en la actualidad, las empresas y organizaciones
consideran que la información es un bien más de su activo y, en muchos casos,
prioritario sobre los restantes. Hay que gestionar eficazmente el
almacenamiento, procesamiento y trasmisión de la información: En otras
palabras, se ha dicho (y todos hemos oído) que la información es poder.

Detección de ataques informáticos

La detección de intrusos es el área aplicada de la auditoría informática

encargada de informar de eventos que puedan tener lugar en un sistema
informático y pueda ser considerado, por unas u otras razones, como parte de
un intento de intrusión, esto es, la realización de un acto no autorizado, como
pueda ser el acceso a un sistema, la ejecución de programas no autorizados o
el ataque a una red informática. Por tanto, la utilidad de un sistema de
detección como mecanismo previo de alarma radica en facilitar la distinción
entre un acceso normal y habitual al sistema, que puede surgir de la puesta en
marcha de servicios ofrecidos al exterior, de un intento de vulnerar de algún
modo dichos servicios, e incluso de aquellos que no debieran ser públicos,
como parte del ataque a dicho sistema. Así, se podrá proporcionar
conocimiento de la puesta en marcha de un ataque sobre el sistema antes de
que dicho ataque tenga éxito, con lo que se podrán poner en marcha las
medidas necesarias para mitigar el impacto
Control y monitorización de equipos conectados a la red

Control
La forma común de acceder a un sistema es a través de contraseñas y
esto es a lo que el intruso apunta, adquirir contraseñas usando diferentes
técnicas para así lograr su objetivo de violar los accesos y obtener información.
Es recomendable mantener distintos niveles de acceso entre los usuarios del
sistema. El tipo de seguridad puede comenzar desde la simple llave de acceso
(contraseña o password) hasta los sistemas más complicados, pero se debe
evaluar que cuanto más complicados sean los dispositivos de seguridad más
costosos resultan. Por lo tanto, se debe mantener una adecuada relación de
seguridad costo en los sistemas de información. Los sistemas de seguridad
normalmente no consideran la posibilidad de fraude cometida por los
empleados en el desarrollo de sus funciones.
Monitorización
Se encarga de vigilar los procesos, usuarios, operaciones,
comunicaciones, paquetes, etc, que permitan resguardar la integridad de la
información en la empresa. El elemento básico del monitoreo de la red, es el
tradicional firewall de red. Los firewalls de una sola función hace mucho tiempo
se transformaron en plataformas de gestión unificada de amenazas (UTM), que
combinan firewall, IPS, VPN, gateway web y capacidades antimalware. Sin
embargo, incluso las UTM tienden a centrarse en la inspección del tráfico de
red. Cuando se examina la carga útil de una aplicación, es por una razón
específica, como bloquear una dirección URL que está en la lista negra, algún
tipo de contenido o un malware reconocido.

PLAN DE RECUPERACIÓN DE COMUNICACIONES

Contempla las medidas necesarias después de materializada y

controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y
como se encontraban antes de la materialización de la amenaza. Es necesario
que el personal de la organización haya participado para asegurar q sean
miembros del plan, mayormente estos planes tienen costos el cual se deben
tomar en consideración.Para aquellos eventos que no se pueden evitar, un plan
de recuperación de desastres de TI debe contemplar:
 Detectar las interrupciones u otros efectos de desastre lo más rápido
posible.
 Notificar a cualquier parte afectada para que puedan actuar.
 Aislar los sistemas afectados para que el daño no se propague.
 Reparar los sistemas críticos afectados para que las operaciones
puedan reanudarse.
Estos puntos se denominan colectivamente actividades de gestión de
riesgos o mitigación de riesgos. Cuando son bien ejecutados, los
procedimientos de recuperación de desastres ahorran grandes sumas de
dinero. El impacto financiero para las corporaciones de tener incluso unas
pocas horas de inactividad en la red o la pérdida de conectividad Web, crece
rápidamente a grandes cantidades de dinero. Los especialistas en colaboración
Avaya realizaron una investigación sobre este tema y descubrieron lo siguiente:
81% de las empresas europeas encuestadas en 2013 sufrieron interrupciones
en la red, lo que ocasionó un costo promedio de $70,000 en 77% de ellas.
Como efecto colateral, el personal de TI responsable fue despedido en cada
una de las cinco empresas involucradas, y en Alemania en una de cada cuatro.

Gestión de la seguridad física

Consiste en la “aplicación de barreras físicas y procedimientos de control,

como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial, implementados para proteger el hardware y medios
de almacenamiento de datos. En otras palabras, se refiere a la protección del
hardware y de los soportes de datos, así como los edificios e instalaciones que
los albergan. Las principales amenazas que se prevén en Seguridad Física
son:
 Desastres naturales, incendios accidentales, tormentas e inundaciones.
 Amenazas ocasionadas por el hombre.
 Disturbios, sabotajes internos y externos deliberados.
ISO 27001:2013
ISO 27001 mantiene la seguridad de la información de una organización
protegida de accesos inadecuados y otras amenazas a las que se pueda
enfrentar. Ocurre que la primera barrera que una persona se encuentra para
acceder a los sistemas de información de una organización es el acceso físico.
Si el acceso a una instalación está correctamente protegido también lo estará
el acceso a los sistemas de información, por eso es necesario considerar cómo
gestionar las áreas seguras.
Áreas seguras
Las áreas seguras deben ser los lugares donde se encuentre localizada
la información crítica para la organización, éstas estarán protegidas por un
perímetro de seguridad y por los controles de acceso pertinentes. Estos
controles de acceso apoyan la labor de ISO-27001 y serán proporcionales con
el nivel crítico de la información que protegen o con los riesgos identificados
para los activos.
En cuanto al perímetro de seguridad, debe impedir el acceso al personal
no autorizado, implantando una serie de controles físicos que eviten el acceso
en las zonas de entrada. Un ejemplo de este tipo de controles podría ser un
sistema de vigilancia 24 horas, alarmas, barreras arquitectónicas…
En estas áreas habrá una serie de entradas que deberán ser registradas
con fecha y hora a la que se produzcan. Solo tendrán acceso a la información
para la que tienen autorización, y si fuera necesario irían acompañados por
algún responsable durante su visita, llevando una identificación visible.
Para mayor seguridad, los derechos de acceso a estas áreas se deben
revisar y actualizar con determinada periodicidad, han de existir unas normas
de trabajo en las mismas de obligado cumplimiento para todo aquel que
acceda. Los recursos de la información más críticos deben estar localizados en
zonas que no sean de paso general y sin ningún tipo de indicación externa
sobre la información que contiene o que se maneja.
Otros elementos que hace que un área sea segura para salvaguardar la
información, son los controles contra inundaciones, fuego, malestar social…
Para prevenir la pérdida de información si alguna de estas desgracias
ocurriese, se debería contar con copias de seguridad que estén localizadas en
una zona distinta a la que están las copias originales.
 Cualquier área de carga y descarga de material u otro tipo de punto de
acceso público debería estar asilado y distante del lugar donde se encuentran y
se manejan recursos con información crítica, así como cualquier material que
entre a la organización deberá ser registrado y revisado para protegerla de
cualquier amenaza.

Barreras físicas y procedimientos de control

1. Utilización de Guardias.
2. Utilización de Detectores de Metales: es un elemento sumamente práctico
para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de
palpación manual.
3. Utilización de Sistemas Biométricos para acceder a la organización y a las
distintas áreas.
4. Verificación Automática de Firmas (VAF): usando emisiones acústicas toma
datos del proceso dinámico de firmar o de escribir. La secuencia sonora de
emisión acústica generada por el proceso de escribir constituye un patrón que
es único en cada individuo.
5. Seguridad con Animales: sirven para grandes extensiones de terreno, y
además tienen órganos sensitivos mucho más sensibles que los de cualquier
dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye
considerablemente utilizando este tipo de sistema. Asimismo, este sistema
posee la desventaja de que los animales pueden ser engañados para lograr el
acceso deseado.
6. Protección Electrónica

Procedimientos de control

En los procedimientos de control podemos encontrar:

 Plan de seguridad
 Reglamento interno
 Inventario de equipos
 Revisión de la red (cableado)
 Respaldo de información
 Sensor de movimiento

Centro de datos
 Es la ubicación física donde se concentran los recursos necesarios de
computación de una organización o proveedor de servicios. También es
conocido como «Internet Data Center» (IDC) en inglés. Es un centro de
procesamiento de datos, una instalación empleada para albergar un sistema de
información de componentes asociados, como telecomunicaciones y los
sistemas de almacenamientos donde generalmente incluyen fuentes de
alimentación redundante o de respaldo de un proyecto típico de data center
que ofrece espacio para hardware en un ambiente controlado.

Adecuación de instalaciones según normas y estándares:

1. Subestación Compacta.
2. Trasformador.
3. Sistema de Aislamiento de Ruido.
4. Tablero de Transferencia.
5. UPS.
6. PDU.
7. Aire de Precisión.
8. Sistema Contra Incendio.
9. Sistema CCTV.
10. Piso Elevado o piso falso.
11. Sistema de Control de Acceso.
12. Monitoreo y Control Ambiental.
13. Gabinetes.
14. Cableado estructurado
REGISTRO Y ETIQUETADO DE COMPONENTES Y EQUIPOS DE
COMUNICACIÓN

En las instalaciones de cableado estructurado es absolutamente

necesario contar con una buena documentación de todos los componentes
instalados. Esta documentación para ser efectiva debe de ir acompañada de un
correcto etiquetado de dichos componentes, de tal manera que su localización
sea rápida y precisa, facilitando al mismo tiempo las labores de mantenimiento
y de búsqueda de averías en su caso. Las normas que recogen la forma de
identificar y etiquetar los componentes de una instalación de cableado
estructurado son:
 TIA/EIA 606-A
 ISO/IEC 14763-1
 EN 50174-1.
Las normas ISO/IEC 14763-1 y EN 50174-1 dejan al instalador libertad
para las tareas de identificación y etiquetado. Las normas TIA/EIA 606-A por el
contrario fijan unas precisas reglas para ser cumplidas por el instalador.
Las normas TIA/EIA 606-A distinguen entre cuatro posibles casos,
dependiendo de las dimensiones de la infraestructura de cableado
estructurado, y para cada uno de los cuatro casos se indica la forma de
etiquetar los diferentes elementos:
Clase 1: Para sistemas que están en un único edificio y que tienen solamente
un cuarto de telecomunicaciones, de donde parten todos los cables hacia las
zonas de trabajo. En este tipo de sistemas es necesario etiquetar los enlaces
de cableado horizontal y la barra principal de puesta a tierra del cuarto de
telecomunicaciones (TMGB).
Clase 2: Para sistemas que están en un único edificio pero que se extienden
por varias plantas, existiendo por tanto varios cuartos de telecomunicaciones.
En este tipo de sistemas es necesario etiquetar lo mismo que en los de Clase 1
y además es necesario etiquetar los cables de backbone y los múltiples
elementos de conexión y puesta a tierra. La gestión de este etiquetado puede
ser realizada de forma manual o mediante un software preparado al efecto.
Clase 3: Para sistemas de campus, donde existen varios edificios y cableado
de backbone entre edificios. Es necesario etiquetar los mismos elementos que
en los sistemas de Clase 2 y además los edificios y cableado de backbone de
campus.
Clase 4: Para sistemas que están formados por la unión de varios sistemas de
campus. Es necesario etiquetar lo mismo que en los sistemas de clase 3 y
además los diferentes sitios del sistema y se recomienda identificar el cableado
inter-campus, como por ejemplo las conexiones de tipo MAN o WAN.

Protección de cableado

Los recubrimientos proporcionan a un cable eléctrico protecciones

eléctricas o mecánicas. Los más importantes son: aislamiento, semiconductor,
pantalla metálica, relleno, asiento, armadura y cubierta.
Aislamiento
En el aislamiento, se coloca un recubrimiento aislante sobre el conductor
para evitar fugas de corriente. Las condiciones ambientales y climáticas o los
contactos con agentes agresivos, así como la falta de cuidado en la instalación,
manejo y conservación, son las causas principales que limitan la vida de un
cable. Los aislamientos se clasifican en dos grandes grupos: termoplásticos y
termoestables.
Los aislamientos termoplásticos más usuales en la fabricación de cables
eléctricos son: PVC (Policloruro de vinilo), Z1 (Poliolefinas), PE (Polietileno
lineal), Poliuretano (PU), Teftel, Teflón (fluorados), etc.
En cuanto a los aislamientos termoestables, los más usuales son: EPR
(Etileno Propileno), XLPE (Polietileno Reticulado), EVA (Acetato de Etil Vinil),
SI (Silicona), PCP (Neopreno), SBR (Caucho Natural), etc. El PVC y el
Polietileno se utilizan como aislamiento y como cubierta protectora de los
cables eléctricos, por su alta Resistencia a los impactos y a la abrasión.
Semiconductor
Los semiconductores se forman a través de capas extruidas de
resistencia eléctrica reducida de materiales afines a los aislamientos. Si éstos
son termoestables, las capas semiconductoras también lo serán.
Son aplicables fundamentalmente a los cables de Media y Alta Tensión
en dos capas: la primera, directamente sobre el conductor. La segunda, entre
el aislamiento y pantalla.
En Top Cable, el proceso de producción de las capas semiconductoras y
del aislamiento se realiza por el proceso de “triple extrusión” que es la más
avanzada tecnología en la actualidad. La extrusión se realiza a través de un
cabezal de triple capa. Esto pone en contacto directo las semiconductoras y el
aislamiento, y garantiza la ausencia de elementos extraños. De esta forma, se
evitan defectos en el semiconductor interno, que podrían degenerar en
descargas parciales y reducción de la vida útil del cable.
Pantalla metálica
Las protecciones eléctricas, también denominadas “pantallas”, aíslan las
señales que circulan por el cable de posibles interferencias externas. También
blindan los cables de potencia para evitar que interfieran en circuitos de señal
adyacentes.
Relleno
El relleno es la masa de material que tiene por función ocupar los
espacios vacíos dejados en el cableado de los conductores aislados. Estos
rellenos pueden ser textiles o de material plástico.
Asiento
Los cables diseñados con armaduras metálicas disponen de una capa
extruida que, colocada sobre el relleno, protege a los aislamientos de posibles
interacciones con las masas metálicas.

Armaduras
Las protecciones mecánicas, denominadas “armaduras”, protegen el
cable de agresiones externas, como golpes, ataque de roedores, tracción, etc.
Las armaduras se fabrican en acero o aluminio y pueden ser de fleje, corona de
hilos o trenza de hilos.
Cubierta
Los cables suelen llevar un recubrimiento polimérico exterior para su
protección. Es lo que se denomina “cubierta exterior”.
Beneficios de una gestión y protección de cables óptima
 Mantener el suministro y enfriamiento eficiente del sistema de aire en los
Data.
 Ahorrar tiempo de instalación, ya que se pueden reutilizar los cables
existentes.
 La solución de alta tecnología para el sellado de cables en Data Center
permite realizar cambios de cables sin interrupción en el sistema,
garantizando la integridad y condiciones óptimas de los equipos.
 Sellar herméticamente Para proteger contra los gases que se producen
en el centro de datos.
 Por las características del material son resistentes a las temperaturas
elevadas.
 Pasar una mayor cantidad de cables por un menor espacio.
 Sistemas de sellado libres de mantenimiento.
 Cumplimiento de normas de certificación.
 La tecnología de sellado de cables para Data Center de Roxtec no
permite la entrada de humedad, evitando la corrosión de los equipos.

PLAN DE REVISIÓN Y MANTENIMIENTO DE CONEXIONES FÍSICAS Y

EQUIPOS

Las rutinas de mantenimiento varían dependiendo del tipo y de la

complejidad de la tecnología. Muchos artículos incluyen un itinerario o
programa de mantenimiento recomendado por el fabricante o proveedor. Para
algunos equipos y programas, el mantenimiento es suministrado por el
proveedor o fabricante como parte del acuerdo de compra.
El data center requiere de un cuidado particular para que pueda funcionar
sin inconvenientes y así no comprometer el servicio brindado y prevenir
eventuales pérdidas económicas, que acarrearía esto. Es un procedimiento
vital que reduce costos y riesgos. Se encuentran dotados de equipos eléctricos
e informáticos qu deben estar funcionando en todo momento. Es por esto que
todo lo que esté en dicha infraestructura debe ser revisado, verificado y
mantenido, cada cierto tiempo. Quizás es algo tedioso, pero es un paso
pequeño que estaremos dando, para ahorrar eventuales grandes problemas en
el futuro. Algunos de los aspectos a revisar son:
 Mantenimiento de red: Aquí es preciso revisar equipos como los routers,
switches, señal del proveedor de Internet y el cableado comprometido.
Esto implica una inspección de la configuración, la disposición y de la
distribución de los cables que se ocupan en el sistema.
 Climatización o refrigeración: Es bueno hacer una revisión exhaustiva de
todo el equipo de motores y aire acondicionado para mantener la
temperatura de los equipos.
  Control de los accesos: Es conveniente revisar el circuito cerrado de
televisión, es decir, las cámaras, tarjetas, videos y equipos audiovisuales
en general.
 Control de incendios: Es bueno contar con todos los equipos en caso de
incendio, como extintores adecuados y que todo se encuentre en la
posición correcta en caso de una emergencia.
 Grupo electrógeno: Se recomienda hacer un control preventivo del motor
alternador cada tres meses si este se usa sólo en casos de emergencias.
En caso de que su uso sea más habitual, es bueno hacerlo cada 250
horas.
 Sistema de Alimentación Ininterrumpida (UPS): Es bueno comprobar la
estabilidad y el estado de la carga de la batería, realizar una inspección
visual externa, chequear indicadores de la UPS, verificar la ubicación de
ambientes de trabajo de los equipos y el control del stock de los
repuestos.

Entre las revisiones del sistema se puede incluir:

 Verificar que todos los componentes del sistema (equipo, programas y

comunicaciones) se puedan ejecutar bajo condiciones normales y
anormales, incluyendo los contextos de almacenaje, transporte,
operación y mantenimiento;
 Verificar que el equipo se adecue a las condiciones locales, incluyendo el
espacio, el mobiliario, las medidas y el almacén, así como al suministro
eléctrico, la temperatura, humedad y contaminación;
 Probar el equipo, los programas y las comunicaciones para asegurar que
cumplan con los estándares adecuados y que ejecuten las funciones
previstas;
 Realizar auditorías para los códigos;
 Revisar la documentación del sistema para garantizar que sea adecuada
y que esté completa;
 Probar las medidas de seguridad del sistema para asegurar que
funcionen correctamente, que son adecuadas y que cumplen con los
estándares;
 Verificar que se tengan medidas adecuadas para garantizar la calidad.

Mecanismos de escucha y traza de comunicaciones

En telecomunicaciones, Acceso Múltiple con Escucha de Señal

Portadora (Carrier-Sense Multiple Access o CSMA por sus siglas en inglés) es
un protocolo de control de acceso al medio en el cual un nodo verifica la
ausencia de tráfico antes de transmitir en un medio compartido como un canal
electrónico o una banda de espectro electromagnético.
Un transmisor intenta determinar si existe otra transmisión en progreso
antes de iniciar una transmisión usando un mecanismo de escucha de señal
portadora. Intenta detectar la presencia de una señal portadora de otro nodo
antes de intentar transmitir. Si una señal es detectada, el nodo espera a que la
transmisión en progreso finalice antes de iniciar su propia transmisión. Usando
CSMA, múltiples nodos pueden enviar y recibir por el mismo medio.
Transmisiones de un nodo son generalmente recibidas por todos los otros
nodos conectados al medio.
Una traza es una captura de todo el tráfico de red que se envía y se
recibe entre dos o más puntos de la red (un teléfono, un ordenador, un router,
etc.) de forma que se pueda ver qué se envía y se recibe, lo que nos ayuda a
ver el contexto en el que se encuentra el dispositivo que estamos estudiando.

Características de las líneas telefónicas destinadas al transporte de datos

Estas líneas telefónicas son frecuentemente usadas en los sistemas de

telecomunicaciones, estas consisten en una infraestructura física a través de la
cual se transporta la información desde la fuente hasta el destino, y con base
en esa infraestructura se ofrecen a los usuarios los diversos servicios de
telecomunicaciones.
En lo sucesivo se denominará "red de telecomunicaciones" a la
infraestructura encargada del transporte de la información. Para recibir un
servicio de telecomunicaciones, un usuario utiliza un equipo terminal a través
del cual obtiene entrada a la red por medio de un canal de acceso. Cada
servicio de telecomunicaciones tiene distintas características, puede utilizar
diferentes redes de transporte, y, por tanto, el usuario requiere de distintos
equipos terminales.
Cobertura geográfica: las redes de comunicación se caracterizan
también por su zona decobertura. Por ejemplo, las redes LAN (Local Área
Network) y las redes WAN (Wide Área Network).

Protocolo de actuación en caso de desastres

Los protocolos ayudan a mantener el orden y la tranquilidad en las

personas, donde se aplican una serie de estrategias ya establecidas de forma
preventiva a cualquier desastre ya sea natural o provocado por el hombre. Lo
primero es detectar el siniestro si es natural, en los equipos o periféricos o de
forma lógica en el sistema. Lo segundo aplicar una solución pertinente al
problema, si es natural se debe desalojar el área de trabajo e ir a un lugar
seguro ya identificado previamente por la institución, se puede dar un desastre
en el hardware de la organización lo que dependiendo del daño o elemento
afectado se tienen planes para solucionar posibles problemas de esa índole ya
sea reemplazando el hardware afectado y si es lógico el área de informática
debe aplicar una detección y luego corrección del desastre.

Plan de contingencia

El plan de contingencia es definido como: la identificación y protección

de los procesos críticos de la organización y los recursos requeridos para
mantener un aceptable nivel de transacciones y de ejecución, protegiendo
estos recursos y preparando procedimientos para asegurar la sobrevivencia de
la organización en caso de desastre.
El plan de contingencias y el plan de seguridad tienen como finalidad
proveer a la organización de requerimientos para Su recuperación ante
desastres.
Los desastres pueden clasificarse de la siguiente manera:
 Destrucción completa del centro de cómputo.
 Destrucción parcial del centro de cómputo.
 Destrucción o mal funcionamiento de los equipos auxiliares del centro de
cómputo (electricidad, aire acondicionado, etcétera).
 Destrucción parcial o total de los equipos descentralizados,
 Pérdida total o parcial de información, manuales o documentación.
 Pérdida de personal clave.
 Huelga o problemas laborales.
La metodología tiene como finalidad conducir de la manera más efectiva un
plan de recuperación ante una contingencia sufrida por la organización. El plan
de contingencia es definido como: la identificación y protección de los procesos
críticos de la organización y los recursos requeridos para mantener un
aceptable nivel de transacciones y de ejecución, protegiendo estos recursos y
preparando procedimientos para asegurar la sobrevivencia de la organización
en caso de desastre.
Apoyo institucional.
Un alto responsable (idealmente el máximo) de la institución remitirá una
circular a todos los departamentos involucrados, comunicándoles el proyecto y
su importancia estratégica para el organismo. Asimismo, debe instar su total
colaboración e informarles de su responsabilidad en la elaboración del mismo.
Presupuesto.
Debe prever los gastos asociados con:
 La adquisición del paquete informático, o contratación de la empresa de
servicios, para la elaboración del proyecto.
 Reuniones, viajes, formación del personal.
 Costos del personal que constituye el equipo de elaboración del plan.
 Almacenamiento externo y transporte de los soportes de respaldo de la
información.
 Adquisición o contratación de equipos.
Determinación de vulnerabilidades.
El propósito es obtener información de las consecuencias, de todo tipo,
que tendría la ocurrencia de un siniestro.
Identificación de aplicaciones críticas.
Se determinarán las aplicaciones críticas priorizándolas en orden de
importancia. Se obtendrá así un listado en el que las aplicaciones más vitales,
que ocuparán los primeros lugares de la lista, serán las que se deban recuperar
primero, y siempre en el orden de aparición.
Identificación de recursos.
Se especificarán los recursos de los que dependen las aplicaciones
críticas. Estos recursos serán: equipo lógico de base, equipos físicos, de
comunicaciones, etc.
Período máximo de recuperación.
 Cada departamento dependiente de aplicaciones críticas determinará el
período máximo que puede permanecer sin dichas aplicaciones tras un
colapso de las mismas.
 Como consecuencia, se obtendrá una nueva lista de aplicaciones según
el período máximo de recuperación. Este período podrá ser de minutos,
horas, semanas, etc.
Las informaciones de los apartados Identificación de aplicaciones críticas y
periodo máximo de recuperación se obtendrán mediante formularios y
entrevistas a realizar a los máximos responsables de los departamentos de la
organización. Una vez concluida esta etapa el equipo de desarrollo del PC
deberá obtener la conformidad de los departamentos implicados y de los
máximos responsables de la institución.

Selección de los recursos alternativos.

 Con los datos anteriores es fácil analizar y determinar las alternativas
más convenientes en términos de costo-rendimiento. Estas alternativas pueden
ser procesos manuales, acuerdos mutuos, salas vacías ("cold-site") o salas
operativas ("host-site").
Recuperación manual
Es sólo posible en un número muy escaso y decreciente con los años de
aplicaciones.
Acuerdos mutuos
 Se realizan entre dos instituciones de similar configuración en sus
Tecnologías de la Información.
 Se precisa que cada institución tenga su PC.
 Las aplicaciones críticas de cada institución puedan ser soportadas por
los recursos informáticos y de transmisión de datos de la otra, sin
degradar las propias aplicaciones de ésta.
 Los cambios o actualizaciones de los recursos sean simultáneos en
ambas instituciones.
Con el crecimiento de las aplicaciones en tiempo real y la interconexión de
equipos de diferentes fabricantes, los acuerdos mutuos se hacen cada vez más
difíciles.
Salas vacías
Sólo son viables si la institución puede resistir sin sus recursos de
Tecnologías de la Información durante un tiempo determinado. Es necesario
que el fabricante de los equipos a reponer se comprometa por escrito a dicha
reposición dentro del período máximo de recuperación.
Salas operativas.
 Son necesarias si el período máximo de recuperación es de minutos u
horas.
 Una posibilidad es utilizar dos instalaciones diferentes y separadas, una
trabajando normalmente como centro de desarrollo y otra de producción.
El centro de desarrollo debe estar dimensionado con la suficiente
holgura para alojar las aplicaciones críticas de producción caso de ser
necesario.
 Otra posibilidad, la más usual, es la contratación del servicio de respaldo
a una empresa especializada.
Preparación detallada del plan.
Incluye la documentación de las acciones a tomar, los actores a
involucrar, los recursos a emplear, procedimientos a seguir, etc. en un formato
adecuado para su uso en situaciones críticas. Esta documentación debe estar
disponible en varios lugares accesibles inmediatamente.
Plan de contingencia de las áreas de servicio.
Comprende el establecimiento del equipo humano de recuperación,
localización de las instalaciones de emergencia, inventario de recursos de
respaldo y su ubicación, lista del personal involucrado y su localización en todo
momento, lista de empresas a contactar, sitios de almacenamiento de los
soportes de respaldo de información, etc. Así mismo, se detallarán los
procedimientos de recuperación de las aplicaciones críticas según su periodo
máximo de recuperación.
Plan de contingencia de servicios.
Consta de la documentación de los procedimientos de recuperación de
los servicios con aplicaciones críticas. Incluye el equipo humano de
recuperación, el inventario de informaciones, localización de las instalaciones
de emergencia, etc.
Plan de almacenamiento de información.
Mientras todos los CPD que se precian disponen de soportes de
respaldo de la información debidamente almacenados en instalaciones
externas, no sucede lo mismo con los departamentos informatizados
autónomamente. Es vital que estos departamentos identifiquen, dupliquen y
almacenen externamente en lugares seguros las informaciones críticas. Se
recomienda el establecimiento de una estrategia, general para toda la
institución, de información de respaldo.
Pruebas y mantenimiento.
Si se quiere garantizar que el plan de contingencia, que usualmente se
realiza durante un período de tiempo no muy extenso (pocos meses), sea
operativo durante años, esta etapa es absolutamente fundamental. De no
cuidar esta fase, el plan se convertirá en un costoso ejercicio académico de
validez muy limitada en el tiempo. Un aspecto crucial es la formación del
personal para asegurar que el plan está vigente en cada momento y funciona
correctamente.

Pruebas.
Las pruebas no deben alterar el funcionamiento de los departamentos,
por lo que se pueden realizar pruebas parciales en estos departamentos
aisladamente. Con mayor periodicidad se pueden realizar pruebas totales, en
horario nocturno o en un fin de semana.

Mantenimiento.
 Comprende la actualización del plan según nuevas aplicaciones se
implementen, otras dejen de ser operativas, se sustituyan equipos, cambie el
personal o su ubicación, varíe la legislación, se transformen los objetivos
estratégicos, etc. Las etapas citadas deben realizarse consecutivamente en el
orden expuesto y sólo se pasará de una a otra tras haber concluido
satisfactoriamente la previa. El Plan de Contingencias implica un análisis de los
posibles riesgos a los cuales pueden estar expuestos nuestros equipos de
procesamiento y la información contenida en los diversos medios de
almacenamiento, por lo que previamente se debe haber realizado un análisis
de riesgo al sistema al cual se le va a realizar el plan de contingencia.

VULNERABILIDADES Y AMENAZAS DETECTADAS

La vulnerabilidad es una característica del sistema o del medio ambiente

que facilita que la amenaza tenga lugar. Son las debilidades del sistema que
pueden ser empleadas por la amenaza para comprometerlo.
Una amenaza es cualquier situación o evento que puede afectar la
posibilidad de que las organizaciones o las personas puedan desarrollar sus
actividades afectando directamente la información o los sistemas que la
procesan.
Básicamente, podemos agrupar las amenazas a la información en cuatro
grandes categorías: Factores Humanos (accidentales, errores); Fallas en los
sistemas de procesamiento de información; Desastres naturales y; Actos
maliciosos o malintencionados; algunas de estas amenazas son:
 Virus informáticos o código malicioso.
 Uso no autorizado de Sistemas Informáticos.
 Robo de Información.
 Fraudes basados en el uso de computadores.
 Suplantación de identidad.
 Denegación de Servicios (DoS).
 Ataques de Fuerza Bruta.
 Alteración de la Información.
 Divulgación de Información.
 Desastres Naturales.
 Sabotaje, vandalismo.
 Espionaje.
 Seguridad Física y Logica MB B M MM
1- ¿Según su opinión las medidas de seguridad del departamento de sistemas
de información se implementan de manera?
2- ¿Cuál es su opinión acerca de la clara definición de funciones entre los
puestos claves?
3- ¿El acceso a los archivos y programas se permite a los programadores,
analistas y operadores de manera?
4- ¿La vigilancia de la entrada del departamento es?
5- ¿Cómo cataloga el acceso de personas ajenas a la dirección de informática
al departamento de cómputo?
6- ¿Las alarmas para detectar condiciones anormales funcionan de manera?
7- ¿Cómo considera la temperatura a la que trabajan los equipos de acuerdo a
las normas bajo las cuales se rige?
8- ¿Una vez efectuadas las modificaciones se presentan las pruebas a los
interesados de forma?
9- ¿Cómo califica la instrucción del plan de contingencia al personal?
10- ¿Los controles a fallas eléctricas son?
11- ¿Cómo considera el control de acceso a la empresa?
12- ¿Cómo cataloga el sistema contra incendios de La institución?
13- ¿Se cuenta con sistema de cámara por toda la institución de manera?
14- ¿Cuál es su opinión acerca la distribución de los equipos en el data center
es el óptimo según los estándares?
15- ¿Cómo cataloga el control de la húmeda en el data center?
16- ¿Se emplean técnicas de encriptamiento dentro del sistema de manera?
17- ¿Cómo califica los antivirus?
18- ¿Según su opinión con que eficiencia los equipos poseen copias de
seguridad?
19- ¿Qué tan adecuadas son las configuraciones proporcionadas?
20- ¿Cómo es la instrucción que se le da a los usuarios para que utilicen de
manera adecuada los mecanismos de acceso a los sistemas de información?
21- ¿Cómo califica el sistema operativo para la instalación de esta aplicación?
22- ¿Cómo puntúa el procedimiento de recuperación en caso de desastres?
23- ¿Qué tan adecuado son los permisos que se le asignan a los usuarios,
según el cargo que emplea dentro de la coordinación o grupo?
24- ¿Qué tan bueno considera el piso falso?
25- ¿De qué forma se emplean los archivos y programas?
26- ¿Qué tan adecuado es el plan de contingencia en caso de que se caiga el
sistema?
27- ¿Califique la gestión de contraseña única para cada usuario?
28- ¿En caso de pérdida de la contraseña como califica el proceso de
recuperación de la misma?
29- ¿El permiso para el ingreso a la aplicación de forma remota se califica de
qué manera?
30- ¿Cómo cataloga los permisos para hacer una modificación o un cambio?
 MB= Muy bueno
B= Bueno
M= Malo
MM= Muy malo
CONCLUSIÓN

Es importante tener una política de seguridad de red bien concebida y

efectiva que pueda proteger la inversión y los recursos de información de la
compañía. Vale la pena implementar una política de seguridad si los recursos y
la información que la organización tiene en sus redes merecen protegerse. La
mayoría de las organizaciones tienen en sus redes información delicada y
secretos importantes; esto debe protegerse del acceso indebido del mismo
modo que otros bienes valiosos como la propiedad corporativa y los edificios de
oficinas.
Es importante tener en cuenta las vulnerabilidades y amenazas que se
puedan presentar en la organización para así establecer estrategias, planes y
métodos que permiten llevar a la normalidad el funcionamiento del sistema a la
normalidad o en su defecto sea física y se pueda solucionar el problema de
acuerdo a los principios básicos de prevención, detección y corrección.
 BIBLIOGRAFIA

https://www.topcable.com/blog-electric-cable/recubrimientos-cables-electricos/
https://es.slideshare.net/Eve_And/seguridad-fsica-y-lgica
https://www.stackscale.com/es/blog/que-es-un-centro-de-datos/
https://www.interempresas.net/TIC/Articulos/180397-Cual-es-su-plan-de-
recuperacion-de-datos.html
http://serviciosei.com.mx/index.php/servicios/mantenimiento-a-data-center.html
http://fibraoptica.blog.tartanga.eus/2014/02/08/la-importancia-de-un-etiquetado-
correcto-en-las-instalaciones-de-cableado-estructurado/
http://repositorio.uca.edu.ni/556/1/UCANI3501.PDF