Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CENTRO DE DATOS
GERENCIA DE TECNOLOGÍA DE
INFORMACIÓN
SOGAMPI, S.A.
Políticas, Normas y Procedimientos para el Monitoreo al Centro de
Procesamiento de Datos e Información…
SOGAMPI, S.A.
Gerencia de Tecnología de la
Información
Presidencia Ejecutiva
Gerencia de Tecnología de la Información
Gerencia de Planificación y Presupuesto
Ver. 01
Febrero - 2013
Presidencia Ejecutiva GERENCIA DE TECNOLOGÍA DE INFORMACIÓN
Gerencia de Tecnología de la Información
NOMBRE DEL MANUAL
Seguridad de la Información
POLITICAS, NORMAS Y PROCEDIMIENTOS PARA MONITOREO AL CENTRO
DE DATOS
Contenido
BITACORA DE ACTUALIZACIONES ______________________________________________________________________ A
INTRODUCCION __________________________________________________________________________________________ B
OBJETIVOS _______________________________________________________________________________________________ C
Capitulo I .- Proceso de Monitoreo de las Redes y Comunicaciones ______________________________ 5
Capitulo II .- Política de Seguridad Física en las Instalaciones _____________________________________ 9
Capitulo III .- Políticas de Seguridad de la Información ___________________________________________ 12
A. Como Política principal la Gerencia de Tecnología de la Información velará por mantener actualizado el
presente “Manual de Normas y Procedimientos para el Monitoreo al Centro de Datos”, el cual contiene
los procedimientos y responsabilidades asociadas a la Plataforma Tecnológica de SOGAMPI.
INTRODUCCION
B. Dado que las tecnologías van evolucionando y aumentan las demandas de enfriamiento y las
reglamentaciones, las metodologías tradicionales para el monitoreo de centro de datos ya no son
suficientes y el entorno físico del centro de datos debe ser controlado cuidadosamente.
Las técnicas más comunes que se utilizaban para monitorear el entorno de un centro de datos se
remontan a los días de las computadoras centralizadas, e incluyen prácticas como: caminar por la
habitación con termómetros y confiar en que el personal del área de informática "sienta" cómo está el
ambiente en la habitación. Pero a medida que los centros de datos evolucionan, y el procesamiento
distribuido y las tecnologías para servidores elevan la demanda de energía y enfriamiento, se necesita
una nueva forma de monitorear los centros de datos.
En la actualidad, el entorno de los centros de datos debe controlarse en forma segura y confiable para
detectar amenazas e intrusiones que se puedan presentar en cualquier situación o momento. Puede
decirse que entre las amenazas más comunes se incluyen las temperaturas elevadas de entrada de los
servidores, las pérdidas de agua y el acceso de personas no autorizadas al centro de datos o acciones
inadecuadas del personal.
Hoy en día, los servidores han aumentado enormemente las densidades de potencia y han cambiado en
forma drástica las dinámicas y enfriamiento de los entornos, considerando el aumento en la densidad
de potencia y las variaciones dinámicas de potencia como los dos aspectos principales que provocan
cambios en la metodología de monitoreo de los entornos informáticos.
Además, aunque existen protocolos que se comprenden con claridad para el monitoreo de dispositivos
físicos como sistemas UPS, unidades de aire acondicionado para salas de cómputos y sistemas de
apagado de incendios, las amenazas a los centros de datos pueden dividirse en dos grandes categorías,
según si: pertenecen al campo del software informático y las redes (amenazas digitales) o al campo de
la infraestructura física de soporte de centro de datos (amenazas físicas).
Con las tecnologías de hoy, los sistemas de monitoreo se pueden configurar hasta el más mínimo
detalle para cumplir con las necesidades ambientales y de seguridad particulares del centro de datos;
cada rack se puede considerar un pequeño "centro de datos" con sus propios requisitos, y con una
estrategia de monitoreo que puede incluir diversos puntos de recopilación de datos.
OBJETIVOS
C. El presente Manual de Normas para el Monitoreo al Centro de Datos ha sido diseñado con la finalidad
de lograr un entendimiento y administración de los Riesgos Tecnológicos a los que se enfrenta la
Plataforma Tecnológica y el impacto que puede generar en la Sociedad fallas en su operación. A
continuación presentamos la tabla de Objetivos:
OBJETIVO DESCRIPCION
CAPITULO I.-
“Monitoreo de las Redes y Comunicaciones”
1. El encargado del área de Redes y Telecomunicaciones, así como el encargo del área de Seguridad de la
Información, deberán observar constantemente las comunicaciones del/los software de monitoreo de
los servicios prestados en Red en los horarios establecidos para los diferentes servicios.
2. Diariamente el encargado del área de Redes y Telecomunicaciones deberá realizar conexión remota con
los servidores de comunicación y de servicios para verificar su desempeño y disponibilidad para el
normal desempeño de las actividades de la Sociedad, así mismo como el encargo del área de Seguridad
de la Información deberá monitorear los Servicios en materia de Seguridad.
3. El personal encargado del área de Redes y Telecomunicaciones así como el encargo del área de
Seguridad de la Información, deberan mantener la “Lista de Contactos de Proveedores” actualizada y
con los datos de ubicación y niveles de los servicios para ejecutar oportunamente el evento de
escalamiento de fallas del/los software de monitoreo .
.
Las políticas de confidencialidad, Responsabilidad y Uso de la clave de acceso a la Red de la
Sociedad; así como, detalle sobre las políticas de protección de claves de acceso, se
encuentran detalladas en el Manual de Seguridad de la Información
Paso 2: Una vez iniciada la sesión en el Servidor de Directorio Activo, el encargado del
Iniciar Conexión área deberá conectarse de manera remota y comprobar el estatus de las
Remota a los operatividad de los Servidores, haciendo uso de un programa de conexión
Servidores remota, como por ejemplo el aplicativo: PuTTY*
En la Interfaz gráfica que presenta el sistema PuTTY se presenta una lista con
Paso 3: las conexiones previamente configuradas y que corresponden a cada uno de
Seleccionar las Redes los servidores en la Plataforma Tecnológica de la Sociedad.
Configuradas
Previamente El encargado del área deberá seleccionar la conexión para cada una de las
Redes configuradas en el sistema y ejecutar el comando “Open” en la parte
Selecciona Red
Comando “Open”
Paso final: El registro en la Bitácora es el paso final toda vez se hayan verificado los
Registrar Monitoreo en servicios en las Redes y Comunicaciones de la Sociedad. Aun cuando no se
la Bitácora de Eventos haya detectado algún evento negativo dentro del monitoreo, éste debe ser
registrado en la Bitácora como proceso ejecutado satisfactoriamente.
.
Las políticas de confidencialidad, Responsabilidad y Uso de la clave de acceso a la Red de la
Sociedad; así como, detalle sobre las políticas de protección de claves de acceso, se
encuentran detalladas en el Manual de Seguridad de la Información
Paso final: El registro en la Bitácora es el paso final toda vez se hayan verificado los
Registrar Monitoreo en servicios. Aun cuando no se haya detectado algún evento negativo dentro del
la Bitácora de Eventos monitoreo, éste debe ser registrado en la Bitácora como proceso ejecutado
satisfactoriamente.
.
Las políticas de confidencialidad, Responsabilidad y Uso de la clave de acceso a la Red de la
Sociedad; así como, detalle sobre las políticas de protección de claves de acceso, se
encuentran detalladas en el Manual de Seguridad de la Información
Paso final: El registro en la Bitácora es el paso final toda vez se hayan verificado del UPS
Registrar Monitoreo en del Centro de Datos. Aun cuando no se haya detectado algún evento negativo
la Bitácora de Eventos dentro del monitoreo, éste debe ser registrado en la Bitácora como proceso
ejecutado satisfactoriamente.
CAPITULO II.-
Política de la Seguridad Física en las Instalaciones
APROBADA POR: REVISADO POR
Presidencia Ejecutiva Comité de Tecnología de la Información
Gerencia General Gerencia de Tecnología de la Información
OBJETIVO ALCANCE
Mantener una adecuada protección física de los La presente política regirá para todo el ambiente de
equipos, soportes de procesamiento, tecnología de la información y sus actores, tanto
transmisión y conservación de la información operadores, administradores y beneficiarios de la
de la Sociedad. Tecnología de Información en la Sociedad.
Como Política para la debida protección que deben tener los equipos tecnológicos de la Sociedad, se debe
velar porque se establezcan y generen las siguientes consideraciones como mínimo para garantizar la
protección adecuada:
• El área de Redes y Telecomunicaciones debe contar como mínimo con estándares para la sala de
servidores tomando en cuenta:
a) Un sistema de climatización adecuada para el buen funcionamiento de los equipos.
b) Sistemas de detección de humo y calor
c) La protección contra accesos no autorizados
d) Cableado de red y eléctrico (Ejemplo: organización y etiquetado)
e) Sistema Eléctrico (ejemplo: energía redundante, UPS’s (Uninterrumpible Power Supply),
generadores, etc.)
• Todos los servidores de la Sociedad deberán ubicarse en la sala de servidores y colocarlos en racks. Si
algún administrador no colocara su servidor en dicho lugar, este debe presentar por escrito los
motivos y justificación de esto al Responsable del área de Seguridad de la Información.
• Se deberá realizar revisiones periódicas, al menos una vez al año, sobre el estado del cableado de red y
sobre su organización.
• CONTROL DE ACCESOS:
a) Los Gerentes de las diferentes áreas de la Sociedad y el encargado del área de Seguridad de la
Información deberán elaborar un listado del personal autorizado para ingresar a la Sala de
Servidores. Estrictamente se debe apuntar a las personas que por el rol de sus funciones tiene
que ingresar cotidianamente. Este listado deberá estar a cargo del Responsable del equipo de
la sala de servidores y el Oficial de Seguridad de la Información.
b) Las nuevas solicitudes de acceso a la sala de servidores, deberán ser evaluadas por el
encargado del área de Seguridad de la Información.
c) Los miembros del equipo de la Sala de Servidores deberán obtener una identificación de la
huella dactilar la que le permitirá ingresar a la sala de servidores y ser registrada en el
Sistema de Control de Accesos.
d) Los miembros del equipo de la Sala de Servidores y el encargado del área de Seguridad de la
Información deberán implementar controles para vigilar que el acceso a la sala de servidores
sea efectivamente por el personal autorizado.
e) Los tours de visitas a la sala de servidores, deben ser realizadas con la presencia de al menos
un personal de la Gerencia de Tecnología de la Información.
• FACTORES AMBIENTALES
• INSTALACIONES ELECTRICAS
a) Las estaciones de trabajo y los equipos que son considerados vitales en la Sociedad deberán
estar conectadas a un UPS y a un generador de ser posible.
b) Previo a la instalación de equipos informáticos en la sala de servidores el área de Redes y
Telecomunicaciones deberá realizar cálculos de la carga eléctrica requerida en la instalación,
de los tableros de distribución, así como de los circuitos y conexiones que deben soportar la
carga adicional proyectada.
• MOVILIZACION DE EQUIPOS
• VIGILANCIA
a) Los equipos portátiles usados por los administradores deben ser de propiedad de la Sociedad.
b) Los administradores no pueden portar información sensible de la Sociedad en medios
extraíbles como: discos, pen drive, teléfonos celulares, etc, fuera de las instalaciones de la
Sociedad, salvo los casos considerados en los respaldos de información externos.
c) Los administradores no pueden trabajar con equipos portátiles personales ni portar
información de la Sociedad en los mismos..
RESPONSABILIDADES
El Área de Recursos Humanos, para que tomen las medidas de sanción respectivas por incumplimiento
de acuerdo a las normativas internas oficiales además de las responsabilidades civiles y penales a que
hubiere lugar.
CAPITULO III.-
Política de Seguridad de la Información
APROBADA POR: REVISADO POR
Presidencia Ejecutiva Comité de Tecnología
Gerencia General Gerencia de Tecnología de la Información
OBJETIVO ALCANCE
Establecer los lineamientos necesarios que La presente política regirá para todo el ambiente de
permitan resguardar la información tecnología de la información y sus actores, tanto
institucional y los recursos tecnológicos operadores, administradores y beneficiarios de IT en
relacionados a su gestión y consumo. la Sociedad.
Como Política para la Seguridad de la Información la Sociedad, debe velar porque se establezcan y generen
las normas y procedimientos de seguridad apropiados para:
RESPONSABILIDADES
El Responsable del Área Legal brindará la asesoría necesaria en el ámbito legal y regulatorio, así
mismo otorgará los lineamientos necesarios para no incurrir en incongruencias legales dentro del
ámbito de seguridad de la información.
El Área de Recursos Humanos, para que tomen las medidas de sanción respectivas por incumplimiento
de acuerdo a las normativas internas oficiales además de las responsabilidades civiles y penales a que
hubiere lugar.