Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DIRECTOR
JAIRO HERNÁNDEZ GUTIERREZ
Ingeniero de Sistemas
Especialista en Servicios Telemáticos e Interconexión de Redes
MBA con Especialización en Dirección de Proyectos
Certificado Cisco CCDA
Jurado
Jurado
Pág.
INTRODUCCIÓN
1 ORGANIZACIÓN ......................................................................................... 16
1.1 TEMA .......................................................................................................... 16
1.2 TITULO PROYECTO .................................................................................. 16
1.3 PLANTEAMIENTO DEL PROBLEMA ......................................................... 16
1.4 FORMULACIÓN DEL PROBLEMA ............................................................. 17
1.5 ALCANCE Y DELIMITACION...................................................................... 18
1.6 OBJETIVOS ................................................................................................ 18
1.6.1 General ......................................................................................... 18
1.6.2 Específicos ................................................................................... 18
1.7 JUSTIFICACIÓN ......................................................................................... 18
1.8 RESEÑA HISTÓRICA DE LA ORGANIZACIÓN ......................................... 19
1.9 MISIÓN........................................................................................................ 20
1.10 VISIÓN ........................................................................................................ 20
1.11 OBJETIVOS ESTRATÉGICOS ................................................................... 20
1.12 DIRECCIÓN CORPORATIVA ..................................................................... 20
1.13 ORGANIGRAMA ......................................................................................... 21
1.14 MARCO TEÓRICO ...................................................................................... 22
1.15 SOLUCIÓN TECNOLÓGICA....................................................................... 22
1.15.1 Módulos y componentes ............................................................... 24
1.16 METODOLOGÍA .......................................................................................... 24
1.17 IMPACTO .................................................................................................... 24
1.18 CRONOGRAMA .......................................................................................... 25
2 ANÁLISIS DE REQUERIMIENTOS ............................................................. 26
2.1 ENTREVISTAS CON USUARIOS Y PERSONAL TÉCNICO ...................... 26
2.1.1 Entrevistas .................................................................................... 26
2.2 RECOMENDACIONES ESTRATÉGICAS ................................................... 28
2.3 METAS DE NEGOCIO ................................................................................ 28
2.4 ANÁLISIS DE METAS TÉCNICAS .............................................................. 29
4
2.5 ANÁLISIS SISTEMA EXISTENTE............................................................... 31
2.6 SITUACIÓN DE LA RED ACTUAL .............................................................. 31
2.6.1 Sede Kennedy .............................................................................. 33
2.6.2 Sede Bosa .................................................................................... 35
2.6.3 Sede Suba .................................................................................... 36
2.7 TECNOLOGÍAS ACTUALES CRA .............................................................. 37
2.7.1 Ethernet ........................................................................................ 37
2.7.2 Cableado Estructurado ................................................................. 37
2.8 TRÁFICO DE LA RED ................................................................................. 37
2.8.1 Análisis de rendimiento de la red LAN .......................................... 38
2.8.1.1 Pruebas de tiempos respuestas hacia dispositivos ...................... 38
2.8.1.2 Resultados análisis red corporativa CRA ..................................... 38
3 DISEÑO DE LA SOLUCIÓN........................................................................ 42
3.1 DISEÑO LÓGICO ........................................................................................ 43
3.2 DISEÑO DE TOPOLOGÍA LÓGICA ............................................................ 43
3.3 MODELO JERÁRQUICO Y REDUNDANTE ............................................... 44
3.4 DIRECCIONAMIENTO IP Y NOMBRES ..................................................... 46
3.4.1 Explicación detallada .................................................................... 48
3.4.2 Subredes CRA.............................................................................. 49
3.5 DISEÑO FÍSICO DE LA RED ...................................................................... 50
3.5.1 Cableado a utilizar ........................................................................ 50
3.5.2 Racks............................................................................................ 50
3.6 PROPUESTA CABLEADO ESTRUCTURADO ........................................... 52
3.6.1 Topología e infraestructura de la red ............................................ 53
3.6.1.1 Ventajas de la Topología Hibrida .................................................. 53
3.6.2 Cableado horizontal ...................................................................... 53
3.6.2.1 Cálculo de cable horizontal UTP Cat 6ª........................................ 54
3.6.2.2 Cable vertical ................................................................................ 55
3.7 DISEÑO DATA CENTER ............................................................................ 55
3.7.1 Seguridad en el data center.......................................................... 57
3.7.2 Sistema de enfriamiento de data center ....................................... 58
3.8 INFRAESTRUCTURA ELÉCTRICA ............................................................ 59
3.8.1 Circuitos monofásicos................................................................... 59
5
3.8.2 Tierras físicas ............................................................................... 59
3.9 SOLUCIÓN DE TELEFONÍA IP .................................................................. 59
3.9.1 Grandstream Ucm6208 ................................................................ 60
3.9.1.1 Datos técnicos Grandstream Ucm6208 ........................................ 60
3.10 PROVEEDOR DE VOZ ............................................................................... 61
3.10.1 Planes Conexión Troncal SIP ....................................................... 62
3.11 SELECCIÓN TECNOLOGÍAS Y DISPOSITIVOS ....................................... 63
3.11.1 Estimación costos dispositivos ..................................................... 64
3.11.2 Referencias de dispositivos WAN................................................. 66
3.12 SOLUCIÓN DE SEGURIDAD DE RED ....................................................... 67
3.12.1 Sistema CCTV .............................................................................. 68
3.13 ESTIMACIÓN COSTOS CABLEADO ESTRUCTURADO ........................... 68
3.14 GESTIÓN Y DESEMPEÑO DE LA RED ..................................................... 71
4 VIRTUALIZACIÓN DE SERVIDORES ........................................................ 72
4.1 FASE 1 ANÁLISIS REQUERIMIENTOS ..................................................... 73
4.1.1 Funciones, tareas y procesos de virtualización ............................ 75
4.1.2 Caracterización servidores existentes .......................................... 75
4.1.3 Inventario de servidores actuales ................................................. 76
4.1.4 Situación actual de los servidores ................................................ 77
4.1.5 Metas y restricciones virtualización .............................................. 78
4.2 FASE 2 DISEÑO LÓGICO .......................................................................... 80
4.2.1 Estructura VMware ESXi .............................................................. 80
4.3 FASE 3 DISEÑO FÍSICO ............................................................................ 82
4.3.1 Ventajas de VMware .................................................................... 83
4.3.2 VMware vSphere Essentials Plus Kit ............................................ 83
4.3.3 Dell Precision Rack 7920.............................................................. 84
4.3.4 Guía de Implementación VMware vSphere .................................. 84
5 SEGURIDAD DE LA INFORMACIÓN ......................................................... 86
5.1 INTEGRACIÓN DEL CSF NIST CON COBIT 5 .......................................... 86
5.2 PROPUESTA DE ESTUDIO DE SEGURIDAD COBIT 5 ............................ 87
5.2.1 Fases de implementación de Gobierno de TI ............................... 88
5.2.1.1 Fase 1. ¿Cuáles son los motivos? ................................................ 89
5.2.1.2 Fase 2: ¿Dónde estamos? ........................................................... 91
6
5.2.1.3 Fase 3: ¿Dónde Queremos Estar? ............................................... 93
5.2.1.4 Fase 4: ¿Qué es preciso hacer? .................................................. 94
5.2.1.5 Fase 5: ¿Cómo conseguiremos llegar? ........................................ 96
5.2.1.6 Fase 6: ¿Hemos conseguido llegar? .......................................... 100
5.2.1.7 Fase 7: ¿Cómo se mantiene la iniciativa? .................................. 100
CONCLUSIONES
RECOMENDACIONES
BIBLIOGRAFÍA
ANEXOS
7
LISTA DE TABLAS
Pág
8
LISTA DE GRÁFICAS
Pág
9
LISTA DE FIGURAS
Pág
10
Figura 27 VMware ESXi A ..................................................................................... 80
Figura 28 VMware ESXi B ..................................................................................... 81
Figura 29 Capas Hipervisor Tipo 1 y 2 ................................................................... 81
Figura 30 Modelo Lógico Virtualización ................................................................. 82
Figura 31 Alineación en la implementación del NIST CSF y COBIT 5 ................... 87
Figura 32 Dominios, Procesos y prácticas de gestión de S.I. COBIT 5 ................. 98
11
RESUMEN
12
ABSTRACT
13
INTRODUCCIÓN
15
1 ORGANIZACIÓN
1.1 TEMA
16
Algunos equipos de toma de imágenes diagnósticas actualmente no tienen soporte
técnico por la salida del mercado de los proveedores de estos equipos. El
almacenamiento de la información de imágenes diagnósticas, es de vital
importancia, pero actualmente no tienen el aseguramiento necesario que exige la
normatividad vigente.
17
• Flexibilidad ante modificaciones.
• Facilidad en la gestión.
1.6 OBJETIVOS
1.6.1 General
Diseñar la red corporativa del Centro Radiológico Digital Américas CRA, incluyendo
el estudio de seguridad de la información bajo el Framework de la NIST.
1.6.2 Específicos
1.7 JUSTIFICACIÓN
18
La propuesta de actualización de la red corporativa del Centro Radiológico Digital
Américas CRA, incluyendo estudio de seguridad de la información con el Framework
NIST, aumentará las posibilidades que el Centro Radiológico Digital Américas CRA
tiene para llegar a potenciales y nuevos clientes, garantizará la correcta gestión
administrativa y operativa, definiendo los procesos internos y sus responsables,
tendrá documentación (informes de gestión) que permitirán controles internos y el
análisis de resultados en tiempo real para la toma de decisiones. Permitirá
desarrollar planes de mejora continua, basados en los datos recolectados a través
de las distintas herramientas y aplicativos existentes, ahora conectados en la misma
red, el análisis permitirá la concientización y aumento de las competencias del
personal sobre las buenas prácticas y el uso de la información, aumentará el sentido
de pertenencia de cada uno de los colaboradores a la empresa.
19
rápida y sencilla entre los empleados del Centro Radiológico Digital Américas
CRA.1
1.9 MISIÓN
1.10 VISIÓN
1 Centro Radiológico Américas CRA. Propuesta del Manual de Gestión de Calidad. Bogotá D.C.
2014 p.11
2 Ibid., p.12
3 Ibid., p.12
4 Ibid., p.13
20
de última generación. La integridad en todos los procesos propios de la labor define
nuestra cultura corporativa en cada nivel.5
1.13 ORGANIGRAMA
5 Ibid., p.13
21
1.14 MARCO TEÓRICO
Se analizará la red con la herramienta Nagios (Open Source), la cual ofrece una
visión detallada de todas las fuentes de tráfico de red y las posibles amenazas de
seguridad, lo que permite recopilar rápidamente información de alto nivel
relacionada con el estado de la red, así como datos altamente granulares para un
análisis completo y exhaustivo de la red.8
6 MENDOZA ORDÓÑEZ Mynor Geovanny, Análisis de los negocios y las limitaciones [en línea]. Universidad
de San Carlos de Guatemala, Facultad de Ingeniería, Escuela de Ingeniería Mecánica Eléctrica Escuela de
Vacaciones diciembre 2012. [Consultado: 5 de febrero de 2019]. Disponible en Internet:
https://www.buenastareas.com/ensayos/Top-Down-Network-Desing/6938648.html
7 VALDIVIA MIRANDA Carlos. Redes Telemáticas [en línea]. Ediciones Paraninfo, SA 1ª Edición, 2015. 122 p.
https://www.openitnet.com/index.php/software/nagios/nagios-network-analyzer
9 WIKIPEDIA. VMware ESXi [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en
https://es.wikipedia.org/wiki/VMware_ESXi
22
Se realizará un estudio de seguridad de la información bajo el marco de seguridad
del NIST con metodología de COBIT 5, el cual permitirá gestionar eficientemente el
acceso a la información, buscando asegurar la confidencialidad, integridad y
disponibilidad de los activos de información, mitigando los riesgos de seguridad de
la información del Centro Radiológico Digital Américas CRA.
Por otro lado, el programa Baldrige (que permite el diseño de un enfoque integrado
de la gestión del desempeño organizacional) integrado los criterios del CSF dentro
de su marco de excelencia “Baldrige Excellence Framework” y “Baldrige
Cybersecurity Excellence Builder”, trata de un cuestionario de autoevaluación que
le permite a la organización identificar su nivel de madurez en términos de
ciberseguridad a través de distintos niveles de madurez.
COBIT (Control Objectives for Information and related Technology) guía de mejores
prácticas presentado como marco de trabajo, dirigido al control y supervisión de los
objetivos de las tecnologías de la información (TI). Contiene recursos que sirven de
modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un
Framework, objetivos de control, mapas de auditoría, herramientas para su
implementación y principalmente, una guía de técnicas de gestión.11
https://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relaci
onadas
23
1.15.1 Módulos y componentes
1.16 METODOLOGÍA
Por otro lado, esta metodología permite trabajar en partes más pequeñas a medida
que se avanza en el proyecto, lo que permite enfocarse productivamente en el
cumplimiento de los objetivos, adicionalmente permite minimizar el impacto que
pueda tener los cambios que aparezcan cronológicamente en el diseño, de esta
manera se tiene una actualización del proyecto y su monitoreo continuo,
ajustándose a los requerimientos iniciales o los que se puedan presentar en el ciclo
de vida del proyecto.
1.17 IMPACTO
24
Adicional, la empresa incrementará sus beneficios, con el aumento de la
satisfacción de sus clientes, aumentará su participación en el mercado y ampliará
su rango de gestión. La organización estará dotada de políticas de calidad, que,
compartiendo la filosofía organizacional de otras entidades, le proporcionará mayor
confianza externa.
Sin embargo, hay factores negativos que se deben tener en cuenta, y es que, el
alcance de este proyecto es una propuesta, debido a que la empresa actualmente
no cuenta con el musculo económico para realizar un inversión de implementación,
por ende, la problemática que se ha presentado hasta el momento va a permanecer,
e inclusive puede aumentar, la empresa debe hacer unos esfuerzos en cuanto a la
planeación estratégica para provisionar los recurso que permitan realizar una
mejora tecnológica a corto plazo, ya que es inminente la obsolescencia de la
infraestructura tecnológica, y esto acarreará consecuencias adicionales en todos los
aspectos de la empresa, tales como: deficiencia, e ineficacia en los procesos,
aumento en los riesgos de perdida de información valiosa, riesgos tecnológicos,
económicos, comerciales, legales, de sostenibilidad, de imagen, de crecimiento,
entre otros.
1.18 CRONOGRAMA
25
2 ANÁLISIS DE REQUERIMIENTOS
Uno de los aspectos más importantes para conocer el estado actual y las
necesidades de la empresa, es tener fuentes de información de primera mano que
faciliten el levantamiento de información, por tal motivo, se realizaron varios
encuentros con el personal de la empresa y se aplicaron diferentes instrumentos de
recolección de información. Se establecieron grupos foco en todos los niveles
organizacionales y se involucraron personas, procesos y equipos que, facilitaran la
recolección de información relevante; uno de esos instrumentos fueron los
cuestionarios, que permiten identificar controles en la organización y conocer el nivel
de eficiencia de los procesos, estos, se componen de un conjunto sistemático de
preguntas dirigidas a personas de la alta dirección y personal operativo
especializado en las diferentes áreas del Centro Radiológico Américas CRA; por
otro lado, con el fin de acceder a información que no se obtiene con los instrumentos
mencionados, se realizaron entrevistas y visitas de campo para observar los
procesos y personas directamente en la operación. La información recolectada, fue
analizada, para poner en línea los objetivos de TI con los objetivos de negocio de la
empresa, facilitando la implementación de las metodologías de los marcos de
trabajo Top Down, NIST CSF y COBIT propuestas para este proyecto.
2.1.1 Entrevistas
Se realizan dos (2) entrevistas, la primera seguridad lógica de la red corporativa del
Centro Radiológico Digital Américas CRA, y la segunda la para evaluar la seguridad
física de la red. Se realizan al encargado de la oficina de TI con el objetivo de
conocer acerca de la administración de esta. El formato de las entrevistas se
encuentra en el ANEXO I. Formato Entrevistas Usuarios
Actualmente las sedes cuentan con cableado 5E; para las adecuaciones
propuestas, se utilizará cableado categoría 6A, tanto para la distribución de puntos
de voz, como para la de datos. Es recomendable definir como proveedor de
servicios de red, la empresa u operador que tenga mayor cobertura en Bogotá, de
esta manera podemos minimizar amenazas de falla en la comunicación entre sedes.
Las metas de negocio son de gran importancia para el Centro Radiológico Digital
Américas CRA, ya que clarifican el propósito de la organización y ayudan a
identificar las acciones necesarias, en nuestro caso la mejora de la red corporativa.
Identificando cuáles son las metas y desafíos que el centro radiológico digital
Américas CRA, definió como prioritarias por el alto porcentaje de su cumplimiento
para la mejora de la red corporativa se plantea en la tabla 1 Metas de Negocio.
Buscando el logro de los objetivos del Centro Radiológico digital Américas CRA y
de acuerdo con la estrategia planteada por las directivas de la organización, se
establecen los pesos o porcentajes para cada uno de las metas y objetivos, cuya
sumatoria debe ser igual a uno (1).
28
Tabla 1 Establecimiento de Prioridades
Operación
• Disminución de tiempos de respuesta en los 20% 90 %
procesos internos.
29
Tabla 2 Metas técnicas
30
Aspecto Meta Prioridad Cumplimiento
En cuanto a la parte eléctrica, se encuentra una instalación regulada por cada uno
de los equipos primarios, se tiene la posibilidad de vincular los equipos que se
incorporan en el diseño en una instalación regulada general.
La red actual del Centro Radiológico Américas CRA, cuenta con una topología física
en estrella con direccionamiento IPv4 estático, en términos generales la red actual
tiene un diseño plano como lo muestran las siguientes figuras.
31
Figura 2 Red lógica actual
La red actual del Centro Radiológico Américas CRA, cuenta con una red física como
lo muestra la siguiente figura.
32
Figura 3 Red física actual
Las instalaciones del Centro Radiológico Digital Américas CRA Sede Kennedy
cuentan con 2 pisos organizados de la siguiente manera, su infraestructura actual
de red de datos está basada en:
33
En el segundo piso se encuentra:
Los servidores del panorámico se encuentran en el primer piso, los servidores del
negocio son de tecnología Dell, ubicados en el segundo piso, los cuales contienen
las aplicaciones administrativas y operativas de la organización, en estos servidores
están los de archivos de la base de datos del equipo panorámico, con sistema
operativo Windows XP SP3, sin soporte.
34
2.6.2 Sede Bosa
Las instalaciones del Centro Radiológico Digital Américas CRA Sede Bosa cuenta
con 1 piso organizado de la siguiente manera, su infraestructura actual de la red de
datos sede bosa está basada en:
• Switch Tp-Link 24 ptos 10/100/1000 tl-sg1024d
• 1 Switch TP-Link 24 ptos 10/100/1000 tl-sg1024d
• Switch Tp-Link Tl sf 1048 48 ptos 10/100, Switch Tp-Link de Sobremesa no
administrado de 8 puertos a 10/100 Mbps
Los servidores del Panorámico se encuentran en el primer piso, los servidores del
negocio son de tecnología Dell, los cuales contienen las aplicaciones
administrativas y operativas de la organización de la sede, en estos servidores están
los de archivos de la base de datos del equipo panorámico, con sistema operativo
Windows XP SP3, sin soporte.
En este piso se ubica el área servicio al cliente con (10 Puntos), Call center (5
Puntos) y la recepción (4 Puntos), comercial con (10 Puntos), Marketing y Publicidad
(5 Puntos), Compras (5 Puntos), contabilidad (4 Puntos), TI (20 Puntos).
35
2.6.3 Sede Suba
Las instalaciones del Centro Radiológico Digital Américas CRA Sede Suba cuenta
con 1 piso organizado de la siguiente manera, su infraestructura actual de la red de
datos sede bosa está basada en:
Los servidores del Panorámico se encuentran en el primer piso, los servidores del
negocio son de tecnología Dell, los cuales contienen las aplicaciones
administrativas y operativas de la organización de la sede, en estos servidores están
los de archivos de la base de datos del equipo panorámico, con sistema operativo
Windows XP SP3, sin soporte.
En este piso se ubica el área servicio al cliente con (10 Puntos), Call center (5
Puntos) y la recepción (4 Puntos), comercial con (10 Puntos), Marketing y Publicidad
(5 Puntos), Compras (5 Puntos), contabilidad (4 Puntos), TI (20 Puntos).
36
2.7 TECNOLOGÍAS ACTUALES CRA
2.7.1 Ethernet
EL Centro Radiológico Digital Américas CRA sede administrativa, cuenta con los
equipos de switching de piso 1, maneja velocidades de 10, 100 o 1000 megabit/seg,
esta ganancia se pierde ya que maneja modos de trasmisión semi dúplex.
• Organizadores de cables
• Patch Panels de 24 puntos
• 2 ventiladores, para extracción de calor
• 1 Multi-Toma tipo hospitalaria
• 1 barra a tierra
• El Cableado para datos, incluidos Patch Panel, es categoría 5A.
Todos los puntos se llevan a cajas a través de bandejas, por medio de una tubería
Conduit tipo EMT, a partir de estas cajas se distribuirán los puntos de voz y datos,
según se requiera, utilizando Patch Cords de 20m, cada caja tiene un Patch panel
de 24 puntos.
La situación actual del cableado del piso 1 al 2 esta sobre bandejas metálicas, se
evidencia que el cableado se encuentra comprimido en la canal, con solo un 8% de
espació libre, esta misma distribución de los centros de cableado se repite en las
sedes de Bosa y Suba.
37
2.8.1 Análisis de rendimiento de la red LAN
38
Fuente: Analisis red Corporativa CRA, Herramienta Nagios Network Analyzer
39
Figura 10 Estado servicio red
El porcentaje de uso comprobado, permite conocer el uso que los usuarios le dan
al ancho de banda cuando acceden a sus diferentes sistemas y aplicativos, se
visualizar el comportamiento de la red durante el tiempo
que se realizaron las pruebas.
Con base en el análisis de la situación actual de la red, se identifica que la red LAN
del Centro Radiológico Digital Américas CRA, requiere implementar un diseño
eficiente de red de datos, que garantice su rendimiento, disponibilidad y seguridad.
41
3 DISEÑO DE LA SOLUCIÓN
En este capítulo se especifica y plantea una topología de red que satisface los
requerimientos del Centro Radiológico Digital Américas CRA, para la mayoría de los
casos, el modelo en estrella o estrella extendido y el protocolo CSMA/CD utilizado
es el 802.3. La topología de red puede ser subdividida en 3 categorías del modelo
OSI, este esquema es la base del diseño jerárquico de redes de área local que se
propone.
Diseño de capa 1
Diseño de la capa 2
Diseño de la capa 3
Los dispositivos que podemos encontrar en esta capa son los routers que pueden
ser usados para crear segmentos únicos de red tanto físicos como lógicos y
permiten la comunicación en los segmentos de red a través de direccionamientos
IP.
El router se encarga de realizar el enrutamiento de la información basándose en las
direcciones IP de sus vecinos más próximos, el router es considerado un punto de
13 GAMEZ PRIETO, Daniel. Metodología para el análisis y diseño de redes fundamentados en Itil 4,
para empresas de servicio [En Línea]. Bogotá: Universidad Libre de Colombia, Facultad de
Ingeniería, Ingeniería de Sistemas e Informática. 2012., 24 p. Disponible en
https://www.academia.edu/30820270/METODOLOG%C3%8DA_PARA_EL_AN%C3%81LISIS_Y
_DISE%C3%91O_DE_REDES_FUNDAMENTADOS_EN_ITIL_4_PARA_EMPRESAS_DE_SERV
ICIO
14 Ibid., p.29
42
entrada o de salida de los dominios de difusión y retiene las difusiones para alcanzar
otros segmentos de red remotos.15
Se deben establecer las interfaces existentes y que se hallan definido en cada uno
de los routers, así mismo identificar las VLANs que se encuentran implementadas
para determinar la segmentación de la red, de esta manera se identifica el tráfico de
la red, y los permisos de red que contiene cada una de estas interfaces.16
El siguiente diagrama permite ver la forma como está distribuida la red del Centro
Radiológico CRA de una manera general, se ilustran las tres sedes que la
conforman, la sede de Kennedy (administrativa y comercial), esta cuenta con 117
puntos de datos, los cuales están distribuidos en 2 pisos, los servidores de
aplicaciones corporativas (Intranet), donde se encuentran las BD de negocio y un
centro de cableado de categoría 5E.
• Adquirir equipos de tecnología Mikrotik, necesarios para los enlaces entre las
sedes, implementando canales PPTP (Point to Point Tunneling Protocol)
para la conexión entre ellas.
44
• Capa de núcleo (Core): esta capa provee la interconexión de los dispositivos
de la capa de distribución y conectan la red LAN a las redes externas, por
ejemplo, Internet y la red WAN para la sede Bosa y Suba. Es en esta capa
donde se encuentran los routers de borde. Para un buen rendimiento de la
red, los equipos de la capa de núcleo deben proveer altas tasas de
transferencia con latencias muy bajas, su función debe limitarse sólo al
reenvío de paquetes, minimizando el procesamiento.
45
La interconexión de las redes LAN (Redes de Área Local) de las sedes Kennedy,
Bosa y Suba, se realizará por medio de una red WAN (Wide Área Network), para la
comunicación entre los distintos puntos de la red WAN, se propone utilizar la
tecnología IP/MPLS de Movistar Telefónica para las trasferencias de información
entre las diferentes sedes.
Sobre los canales de datos se puede establecer calidad de servicio, donde cada
sede tendrá un segmento independiente.
46
En una dirección de Clase B, los dos primeros octetos son la parte de la red, así
que el ejemplo de Clase B en la Figura 14 tiene una dirección de red principal de
128.0.0.0 - 191.255.255.255. Los octetos 3 y 4 (16 bits) son para subredes locales
y hosts. Las direcciones de clase B se utilizan para redes que tienen entre 256 y
65534 hosts.
Una dirección IP de clase B, tiene los dos primeros bits del primer octeto de 10, es
decir:
1 0 0 0 0 0 0 0 1 0 1 1 1 1 1 1
128 191
Clase B tiene 16384(214) direcciones de red y 65534 (216 -2) direcciones de host.
Dirección IP de Clase B formato es: 10NNNNNN.NNNNNNNN.HHHHHHHH.HHHHHHHH
Para clase B, los dos primeros bit del primer octeto se reserva para ser los bits
iniciales que identifica a la clase.
47
3.4.1 Explicación detallada
Es posible tener los 126 equipos por subred, porque hay suficientes bits a
0 en la máscara. Hay 11 bits a cero (y 211 - 2 es mayor igual a 126), como
se puede observar en la mascará:
11111111.11111111.11111000.00000000
Para tener los equipos que se especificaron es necesario utilizar al menos 7 bits,
porque 27-2=126 y este resultado es mayor o igual a 126 (que son el número de
hosts especificados). Esos bits son los que se deben modificar para cambiar el
número de hosts dentro de la misma subred, es decir, para asignarle una nueva
dirección IP dentro de la misma subred a un equipo nuevo.
Se expone la máscara origen indicando en azul los bits que serán utilizados para
especificar (en la dirección ip) el número de host dentro de la misma subred.
11111111.11111111.11111000.00000000
Ahora, partiendo del calculo que se ha hecho en el paso de antes, calcular los bits
reservados para el número de host, calculamos la máscara ampliada cambiando los
ceros que no serán utilizados para hosts en unos, es decir, los bits que se han
marcado como verdes debemos convertirlos en unos. Tal y como se indica a
continuación:
Mascara origen: 11111111.11111111.11111000.00000000(255.255.248.0)
Mascara ampliada:11111111.11111111.11111111.10000000(255.255.255.128)
A partir de ahora, todas las subredes que tengamos usarán esta máscara ampliada
(todas la misma). Los unos en color verde de la máscara ampliada son los que
tendremos que cambiar en la dirección IP para cambiar el número de subred.
Ahora, la máscara ampliada nos indica que bits podemos cambiar en la dirección
de red. La dirección de red para la dirección ip que has indicado es: 128.192.0.0,
con lo que, según la máscara ampliada, los bits que modificaríamos serían:
48
A continuación, se muestran todas las subredes que se podrían crear con la
configuración dada. Ten en cuenta que la dirección de subred indica el primer
equipo de la subred y que la dirección de broadcast el ultimo equipo de dicha subred.
Además, ten en cuenta que todas las subredes tienen la misma máscara ampliada
(255.255.255.128)
Gráfica 1 Subredes
La conexión entre los Smith de piso y dispositivos finales, como la conexión entre
los switch de acceso a servidores de la organización, se realiza con Patch Core UTP
AMP categoría 6A. La conexión principal (MC/IC), ubicada en el primer piso, provee
salida a la WAN del operador ISP seleccionado, a través del cableado 10GBase-T
par trenzado Cat 6A, 100m a velocidad de 10 GB.
3.5.2 Racks
Rack tipo MC/IC en la sede Kennedy, el cual se ubica en el centro de cómputo del
piso 1, este se conecta al rack tipo HC del piso 2 de la sede. En la sede Bosa y
Suba, rack tipo conexión intermedia (IC / HC).
La conexión cruzada horizontal (HC) brinda la conexión cruzada entre los cables
backbone y horizontales en un solo piso del edificio.17
17PERALTA REYES, Alexandra, MARTIN SANDOVAL, Luis, VIVAS Juan, BELTRÁN MORENO Derly, MORA
VARELA, Medardo. AGUIRRE Marco, PEÑA, Jader. Cableado Estructurado [En Línea]. Bogotá: Servicio
Nacional de Aprendizaje Sena. Centro de Electricidad, Electrónica y telecomunicaciones complejo sur 2014.,
Disponible en http://spartbeat.blogspot.com/2015/01/actividad-conceptos-sobre-cableado.html
50
Figura 15 Diagrama propuesto MC/IC KENNEDY
51
Figura 17 Diagrama propuesto general IC/HC sedes
El Centro Radiológico Digital Américas CRA tienen instalado cable UTP Cat 5E y se
ve la necesidad de cambiar el cableado UTP a categoría 6A, el cual es adecuado
para dispositivos y aplicaciones de la sede principal y sucursales, incluidos puntos
de acceso inalámbricos, datos, voz y vigilancia. Como cable horizontal de calidad
para aplicaciones Ethernet de 1G.
52
3.6.1 Topología e infraestructura de la red
18 CORREA Luis. Las topologías [En Línea]. Ministerio de Educación Instituto Adventista Panameño.
2016. Disponible en http://chuckifutbolista.blogspot.com/
19 JOSKOWICZ José. Cableado estructurado [En Línea]. Instituto de Ingeniería Eléctrica, Facultad
53
Figura 18 Distribución de Cableado
54
3.6.2.2 Cable vertical
El objetivo del Data Center es ejecutar las aplicaciones centrales y almacenar datos
operativos del centro Radiológico Américas CRA, además, ofrece medios de
recuperación ante desastres (DR). El Data Center es el espacio donde se
concentran los recursos necesarios para el procesamiento de la información de una
organización.
21FOCC. Comparación de OM1, OM2, OM3 y OM4 En Línea]. 2019. [Consultado el 2 de febrero de
2019]. Disponible en : http://www.fibresplitter.com/info/comparison-of-om1-om2-om3-om-
37789606.html
55
Gráfica 2, se describen las respectivas distancias de transmisión máxima de OM3 y
OM4 bajo distintas velocidades de transmisión. La distancia de fibra OM4 es mayor
que la distancia de fibra OM3 basada en 10 Gb/s. Como regla general, se reconocen
los 400m, pero todavía puede alcanzar hasta 500m, o incluso los 550m si se utiliza
la fibra OM4 de ultra- alta calidad.22
22 FS. ¿Cuál es la mejor opción entre la fibra multimodo OM3 y la OM4? En Línea]. 2019. [Consultado
el 2 de febrero de 2019]. Disponible en https://www.fs.com/mx/om3-vs-om4-multimode-fiber-which-
one-to-choose-aid-935.html
23 GUILARTE María. ¿Qué es un Tier? [En Línea]. 2013. [Consultado el 5 de febrero de 2019].
Disponible en https://www.muycomputerpro.com/2013/03/14/que-es-un-tier
56
Gráfica 2 Distancias de transmisión OM3 y OM4
Fuente: FS. ¿Cuál es la mejor opción entre la fibra multimodo OM3 y la OM4? [imagen].
Consultado: 2 de febrero de 2019]. Disponible en https://www.fs.com/mx/om3-vs-om4-
multimode-fiber-which-one-to-choose-aid-935.html
Seguridad perimetral
Seguridad Física
57
Es importante para el data center controlar los riesgos de incendios, mediante
sistemas de detección, adicional a esto, se debe contar con una unidad de supresión
de incendios y sistemas de extinción automáticos y manuales.
El enfriamiento de los equipos es uno de los procesos más esenciales dentro de los
DC, ya que los componentes TI liberan una cantidad elevada de energía, la que se
convierte en calor el cual puede tener un impacto negativo en el rendimiento de los
equipos TI, e incluso dañarlos.
Los equipos en el centro de datos disipan demasiado calor, y se hace necesario
crear una climatización estricta, tecnificada y especial, donde se logré la
temperatura y humedad necesaria, para poder garantizar la integridad de los
equipos y la información almacenada en ellos.
24 CARDENAS ZARATE, Simón Ernesto. Análisis de Arquitecturas Modernas de Data Center . [En
Línea] Ingeniero Civil en Informática, Universidad Técnica Federico Santa María Departamento de
Informática Valparaíso. [Consultado el 6 de febrero de 2019]. Disponible en:
https://repositorio.usm.cl/bitstream/handle/11673/23408/3560900257190UTFSM.pdf?sequence=1&i
sAllowed=y#page=34&zoom=100,0,250
Estos serán instalados a partir del tablero principal hacia los racks, por medio de
una escalerilla, la cual contará con un piso térmico, sus circuitos se extenderán
desde su inicio hasta el pasillo central.
Es importante contar con una conexión a tierra referencia a la norma técnica NTC
colombiana 2050, código eléctrico colombiano, la cual debe tener una resistencia
de cero a 0.5 Ohmios. Todas las acometidas cuentan con su respectiva
canalización, de manera que el cable no sea afectado por un agente externo, ni
afecte a los enlaces de telecomunicaciones, el cableado eléctrico también irá
montado sobre una escalerilla metálica similar a la del cable UTP, todos los cables
serán agrupados y sujetos de manera que este fijo a la escalerilla, de tal manera
que se evite el movimiento.
59
3.9.1 Grandstream Ucm6208
Esta propuesta está diseñada para proporcionar una solución centralizada a las
necesidades de comunicación del Centro Radiológico Américas CRA, el IP PBX de
la serie UCM6200 combina funciones de voz, video, datos y movilidad para
empresas en una solución fácil de manejar. Esta serie de IP PBX permitirá al Centro
Radiológico Américas CRA, unificar múltiples tecnologías de comunicación, como
voz, videollamada, videoconferencia (dependiendo las características técnicas de
los teléfonos a instalar), herramientas de datos, opciones de movilidad y
administración de acceso a las funciones en una red común que puede ser
gestionada y/o accedida remotamente. La serie UCM6200 tiene características
seguras y confiables ofrece funciones para empresas sin derechos de licencia, o
algún costo por función o cargos recurrentes.26
• Soporta hasta 800 usuarios, 50 cuentas troncales SIP, hasta 100 llamadas
simultáneas
• Aprovisionamiento sin configuración de terminales SIP Grandstream
• Máxima protección de seguridad posible usando cifrado SRTP, TLS y
HTTPS
• Dos puertos de red Gigabit con PoE integrado
• Soporta una IVR (Respuesta de Voz Interactiva) de hasta 5 niveles
• Servidor de grabación de llamadas integrado, acceso a grabaciones por
medio de la interfaz de usuario basada en la Web
• Soporta cola de llamadas para el manejo eficiente del volumen de llamadas
• Registro Detallado de llamadas (CDR) integrado para monitorear el uso de
teléfonos por línea, fecha, etc.
• Asistente automático de múltiples idiomas para manejar eficientemente las
llamadas entrantes
• Directorios telefónicos LDAP y XML integrados, plan de marcación flexible
• Soporta cualquier terminal de video SIP que emplee los códecs H.264,
H.263 o H.263+
• Soporta correo de voz y reenvío de fax a email27
60
Teléfonos GrandStream GPX1610
Los teléfonos IP GrandStream GPX1610 de mesa son los más utilizados en
entornos profesionales. Hay una completa gama de telefonía IP que cubre desde
terminales básicos con una línea y un puerto de red hasta los de gama alta con
Bluetooth, pantalla a color, alimentación por PoE y gestión de múltiples líneas.28
El Centro Radiológico Américas CRA, para temas de telefonía IP, definió utilizar los
servicios ofrecidos por Colombia Telecomunicaciones S.A. ESP (Telefónica
Movistar). Se escogió como solución de telefonía, el servicio de Troncal SIP; dicho
servicio es una solución integral que consiste de una red de comunicaciones
corporativa donde se integran tanto la red de comunicaciones móviles, como la red
transporte fija para la conexión de las comunicaciones hacia el PBX del Centro
Radiológico Américas CRA, aportando eficiencia y mayor productividad a la
empresa.
62
Gráfica 4 Plan Móvil Todo destino
63
Estas tecnologías permiten interconectar las diferentes LAN del Centro Radiológico
Digital Américas CRA, esto a través de la red WAN, la cual permite conexión de
largo alcance, lo cual es apropiado para que las tres sedes de Bogotá estén
conectadas; adicional, permite escalamiento de la red, en caso que la empresa
requiera establecer una nueva sede, a continuación, se relacionan los detalles de
los dispositivos que la dirección del Centro Radiológico Digital Américas CRA, desea
implementar.
64
Gráfica 6 Dispositivos LAN y Telefonía IP Sede Bosa
65
Gráfica 7 Dispositivos LAN y Telefonía IP Sede Suba
A continuación, se relaciona los dispositivos para la red WAN del Centro Radiológico
Américas CRA, tabulando la referencia, la cantidad, la descripción del dispositivo y
el valor en Colombia, estos dispositivos son ofrecidos por el proveedor de servicios
de internet.
66
3.12 SOLUCIÓN DE SEGURIDAD DE RED
Todo el tráfico dirigido hacia internet será enrutador hasta el Router principal de la
red de la sede principal Kennedy y posteriormente direccionarlo el firewall Fortinet
donde están las políticas de acceso a internet y los servidores misionales de toda la
empresa, finalmente pasa al Router de salida al operador de la WAN encargado de
dar conexión de cada punto hacia internet.
67
Figura 21 Comparativo Situaciones
68
69
Continuación Gráfica 8
70
3.14 GESTIÓN Y DESEMPEÑO DE LA RED
• Gestión de rendimiento
• Gestión de fallas
• Gestión de configuración
• Gestión de seguridad
• Gestión de contabilización
71
4 VIRTUALIZACIÓN DE SERVIDORES
ESXi junto a vSphere son la base de un centro de datos definido por software
(Software-Defined Data Center, SDDC) seguro, lo que permite proteger los datos,
las aplicaciones, la infraestructura y el acceso. Las capacidades de seguridad
avanzadas completamente integradas en el hipervisor y con tecnología de
aprendizaje automático proporcionan mejor visibilidad, mayor protección y tiempo
de respuesta más rápido para las incidencias de seguridad.
29WIKIPEDIA. VMware ESXi [En Línea]. 2019. [Consultado el 2 de febrero de 2019]. Disponible en
https://es.wikipedia.org/wiki/VMware_ESXi
72
Fase 1 Análisis de Requisitos
Con la distancia física, entre la sedes del Centro Radiológico Américas CRA, la
infraestructura, el tipo de usuarios y teniendo en cuenta las necesidades de
comunicación entre sus diferentes sedes, se considera que es necesario el cambio
de arquitectura de los servidores de imágenes, ya que con la arquitectura actual
con la que se trabaja y se procesa información en cada una de las sedes, es
necesario tener un servidor de aplicaciones por cada servicio que se presta
(Tomógrafo, Periapical).
Esta propuesta traerá consigo nuevos costes, pero se eliminarán otros más, entre
ellos el mantenimiento de equipos, soporte, infraestructura, etc.
73
• Entrevistas
• Cuestionarios
• Análisis de Información Documental
• Revisión y Análisis de la Información Suministrada
74
4.1.1 Funciones, tareas y procesos de virtualización
• Inventario de recursos
• Estudio en la infraestructura (apartado 2.5 Análisis Sistema Existente)
75
La recopilación de la información se evidencia en el ANEXO C. Informe de auditoría
proceso de atención al cliente bajo la metodología COBIT 4.1.
76
4.1.4 Situación actual de los servidores
Los equipos utilizados cuentan con antivirus, el cual se actualiza desde internet,
cuentan con acceso hacia estos equipos, de forma que se puede utilizar asistencia
remota para la conexión a los equipos y dar soporte. Se tienen que, al intercambiar
contenido e información de las aplicaciones, los usuarios mantienen los archivos
para evitar que se pierdan, el área de TI dispone de carpetas compartidas en las
cuales se realizan copias de seguridad de forma manual y periódica, haciendo uso
de las herramientas del sistema operativo Windows (XP).
77
Figura 26 Situación Actual de los Servidores Física
78
Meta – Objetivo Prioridad
Operación: 70%
• Disminución de tiempos de respuesta en los procesos
internos
Continuacion Tabla 5
Fuente: Elaboración propia
El Centro Radiológico Digital Américas CRA tiene claro las implicaciones y los
resultados que desea obtener para cualquier cambio que se realice, y que, no se
contara con la ayuda ni colaboración de los usuarios, ya que tiene que ser
transparente y no perturbar su labor diaria.
79
4.2 FASE 2 DISEÑO LÓGICO
Se pretende ofrecer una solución que pueda unificar y centralizar todos los
servidores de imágenes que tiene el Centro Radiológico Américas CRA, ya que de
esta decisión se apoyará el acceso a las aplicaciones. Se parten de unas exigencias
muy concretas, que son el conservar los datos e información dentro de la
organización, eliminar al máximo el número de servidores físicos de imágenes de
las diferentes sedes, ofrecer adaptabilidad, flexibilidad y escalabilidad, también se
ahorrara en costes y, por último, tener una infraestructura centralizada que sea fácil
de gestionar por el servicio de TI.
80
Figura 28 VMware ESXi B
81
Figura 30 Modelo Lógico Virtualización
VMware es la mejor opción para los negocios digitales, por que acelera la
transformación digital mediante un enfoque de negocios y de TI, definido por
software, es el proveedor de plataforma confiable preferido de más de 500.000
30 VELASCO, Rubén. VMware vs VirtualBox. ¿Qué herramienta de virtualización elegir? [En Línea].
2017 [Consultado el 2 de febrero de 2019]. Disponible en
https://www.softzone.es/2017/03/14/comparativa-vmware-virtualbox/
82
clientes en todo el mundo, es el pionero en virtualización y un innovador en
movilidad empresarial y de nube. Es un líder probado que le permite ejecutar,
administrar, conectar y proteger aplicaciones en diferentes nubes y dispositivos en
un entorno operativo común, lo que le otorga libertad y control.31
31VMWARE. ¿Por qué elegir VMware? [En Línea]. 2017 [Consultado el 2 de febrero de 2019].
Disponible en https://www.vmware.com/latam/company/why-choose-vmware.html
83
El kit incluye 6 licencias de CPU de vSphere Essentials Plus (para 3 servidores con
hasta 2 procesadores cada uno) y 1 licencia para vCenter Server Essentials.32
El Dell Precision 7920 Rack ofrece el más alto nivel de acceso remoto seguro con
rendimiento de workstation superior. A continuación, se referencia los dispositivos
de Virtualización de servidores de imágenes diagnósticas para el Centro
Radiológico Américas CRA.
CAN SUB
ÍTEM REFERENCIA DESCRIPCIÓN TOTAL
T TOTAL
VMware vSphere Herramientas de
1 2 8.475.000 16.950.000
Essentials Plus Kit Virtualización
85
5 SEGURIDAD DE LA INFORMACIÓN
En la siguiente ilustración se muestra cómo se integran los nueve pasos del CSF
del NIST con los siete pasos de implementación y los cinco principios de COBIT 5.
86
Figura 31 Alineación en la implementación del NIST CSF y COBIT 5
• Evaluar los procesos del Centro Radiológico Digital Américas CRA, los
cuales se atenderán de manera global
• Realizar una evaluación de alto nivel
Se evaluará el estado organizacional, utilizando cada uno de los pasos del NIST y
las fases del ciclo de vida propuesto por COBIT 5 (incluyendo sus principios) para
realizar el estudio de seguridad de la información para el Centro Radiológico Digital
Américas CRA.
88
Tabla 6 Alineación en la implementación del NIST CSF y COBIT 5
Fuente: Implementing the NIST Cybersecurity Framework. ISACA 2016 – Adaptación Propia
A. Iniciar el programa
89
B. Establecer el deseo de cambio
En esta fase también es importante identificar la estrategia para dirigir los esfuerzos
de TI, en la obtención de los objetivos estratégicos de la organización, esto se logra
mediante la creación del PETI (Planeación estratégica de Tecnologías de
Información), el cual determina que procesos de TI se deben implementar y
mantener, para que el negocio alcance los objetivos estratégicos, esta metodología
o técnica de cascada define los siguientes pasos:
90
Los siguientes objetivos estratégicos, se encuentran establecidos y coherentes con
la política del Centro Radiológico Digital Américas CRA, los cuales serán revisados,
ajustados periódicamente y muestran las metas a las que se quieren llegar, como
parte de la mejora continua del sistema de gestión de calidad, a continuación, se
mapea los objetivos del CRA vs los objetivos corporativos de COBIT.
91
Así mismo, se admite que las partes interesadas cumplen un papel clave en el
alcance de los objetivos estratégicos de la empresa, y de esta manera existe una
oportunidad para aportar con las regulaciones vigentes a nivel normativo, esto
apoya el aprovechamiento de las oportunidades de acceder y crecer en tecnologías
de información, permitiendo una mayor competitividad en el sector, como
consecuencia, el plan a iniciar, es documentar esta propuesta, la cual servirá como
punto de partida, para que en un futuro se determine la implementación del sistema
de TI para la gestión de la seguridad de la información.
Alineando a los objetivos estratégicos del Centro Radiológico Digital Américas CRA,
de la información de las entrevistas realizadas a la dirección y demás personal de
la empresa, se genera la necesidad de documentar la situación de la empresa en
cuanto a la seguridad de la información, por este motivo, se evalúan los resultados
de la aplicación de la Fase 2: ¿Dónde estamos?, permitiendo tener como insumo,
el inventario de activos de información de la organización, esto facilitará establecer
tiempos y costos de la implementación del sistema de seguridad de la información,
determinar los riesgos asociados a estos activos y las vulnerabilidades que se
pueden presentar en los diferentes escenarios. Con base en el análisis anterior, se
la dirección establecerá los mecanismos necesarios para alcanzar el nivel ideal de
madurez de procesos, ajustando los criterios e implementando los controles de
proceso se podrá escalar al nivel de proceso superior, y así, lograr identificar
oportunidades de mejora continua de TI. COBIT presenta los modelos de capacidad
de procesos, en los cuales un nivel de proceso no puede ser alcanzado hasta no
cumplir con el rendimiento establecido en cada nivel, para lograrlo los procesos
deben ser realizados con éxito y la organización obtendría los resultados esperados.
93
indicadores de cubrimiento de dicho plan de comunicación, con el fin de realizar
mejora continua.
A. Planificar el plan
94
• Limitar el impacto en caso de materializarse
• Mitigar o eliminar vulnerabilidades
• Establecer mecanismos de recuperación del impacto y/o trasferir a terceros
95
• La necesidad de proteger la información corporativa
• Definir la postura frente a requisitos de negocio, leyes y normas vigentes
• Comunicarse a toda la organización y demás partes interesadas
• Revisarse periódicamente para ajustarse a las necesidades del negocio.
• Ser un documento de apoyo para la gestión de TI y seguridad de la
información
• Tener principios de neutralidad sin comprometerse con tecnologías
especificas
• Permitir clasificar la información
• Debe ser vigente en el tiempo, ser clara y no generar nuevos problemas
A. Ejecutar el plan
B. Operar y usar
C. Implementar mejoras
El marco establece dos áreas importantes con procesos que abordan la gestión de
la seguridad de la información, estos procesos habilitadores se describen a
34 TAPIERO T., Hawin Andrei y SUAREZ R., Heiner. Modelo de Gestión de Riesgos de la Seguridad
de la Información en Empresas del Sector Asegurador Utilizando la Norma ISO/IEC 27005. Trabajo
de Grado Ingeniería en Telemática. Bogotá D.C. Universidad Distrital Francisco José de Caldas.
Facultad tecnológica. 2017. Pag 100. [En línea], 2013. Disponible en:
http://hdl.handle.net/11349/8322. Este documento se utilizó como fuente para la adaptación de la
matriz de riesgos para el CRA.
97
continuación como parte del estudio de seguridad realizado para el CRA, estos
habilitadores permiten definir, operar y monitorear un sistema de gestión de
seguridad, en la siguiente gráfica se ilustran dichas áreas, sus dominios y procesos.
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la
manera en que TI se alinea con los objetivos del negocio, este dominio proporciona
la dirección para la entrega de soluciones y la entrega de servicios35. Los siguientes
son los procesos que cubren la seguridad de la información.
36 Ibidem.
99
5.2.1.6 Fase 6: ¿Hemos conseguido llegar?
A. Obtener beneficios
C. Operar y medir
Junto a las personas que designe la dirección del CRA, se debe proponer periodos
de revisión para validar el cumplimiento de las iniciativas que se halan generado
para el tratamiento de riesgos y el cumplimiento de la implementación del sistema
de seguridad de la información, sin embargo, teniendo en cuenta el alcance de la
propuesta y las brechas identificadas del estado actual, alineadas al estado ideal al
que se quiere llegar, se recomienda que la evaluación se realice solo al final y
después del análisis de este documento. Éstas son las métricas base para identificar
los beneficios y la realidad de la organización frente a lo que pretende alcanzar.
A. Revisar la efectividad
B. Sostener
101
CONCLUSIONES
102
RECOMENDACIONES
103
BIBLIOGRAFÍA
FS. ¿Cuál es la mejor opción entre la fibra multimodo OM3 y la OM4? En Línea].
2019. [Consultado el 2 de febrero de 2019]. Disponible en
https://www.fs.com/mx/om3-vs-om4-multimode-fiber-which-one-to-choose-aid-
935.html
TAPIERO T., Hawin Andrei y SUAREZ R., Heiner. Modelo de Gestión de Riesgos
de la Seguridad de la Información en Empresas del Sector Asegurador Utilizando la
Norma ISO/IEC 27005. Trabajo de Grado Ingeniería en Telemática. Bogotá D.C.
Universidad Distrital Francisco José de Caldas. Facultad tecnológica. 2017.
Disponible en: http://hdl.handle.net/11349/8322.
VALDIVIA MIRANDA Carlos. Redes Telemáticas [en línea]. Ediciones Paraninfo, SA
1ª Edición, 2015. 122 p. [Consultado: 6 de febrero de 20196]. Disponible en Internet:
https://es.scribd.com/document/391872308/Libro-Redes-Telema-ticas-Paraninfo
VMWARE. ¿Por qué elegir VMware? [En Línea]. 2017 [Consultado el 2 de febrero
de 2019]. Disponible en https://www.vmware.com/latam/company/why-choose-
vmware.html
Para lograr esto, se requiere iniciar las fases de estudio mínimas, que, para nuestro
caso, parte del análisis realizado a la organización, con el fin de recoger e identificar
el conjunto de las necesidades más importantes, se realiza a través de la
investigación sobre el uso y manejo que se hace de la información desde las
diferentes áreas y departamentos y así definir el perfil de los usuarios, quienes
finalmente son los que producen, utilizan y comparten dicha información. De esta
manera se puede diseñar una propuesta de red funcional de acuerdo con los
hábitos de manejo de la informacional de la organización.
El diseño de red Top-Down es una metodología para diseñar redes que comienza
en las capas superiores del modelo de referencia de OSI antes de mover a las
capas inferiores. Esto se concentra en aplicaciones, sesiones, y transporte de datos
antes de la selección de routers, switches, y medios que funcionan en las capas
inferiores37.
Top-Down permite iniciar desde los niveles superiores del diseño, transmitiendo los
requerimientos y o especificaciones a los niveles inferiores, permitiendo establecer
funciones específicas entre los diferentes componentes del diseño, esto permite
realizar los ajustes en cada una de las etapas, brindando flexibilidad en el ciclo de
vida del diseño de la red.
37 HUERTAS S, Marcos. Metodología Top Down [en línea]. es.scribd Octubre 13, 2014. [Consultado: 2 de
febrero de 2019]. Disponible en https://es.scribd.com/doc/242870887/2-Metodologia-Top-Down-espanol-pdf
Por otro lado, esta metodología permite trabajar en partes más pequeñas a medida
que se avanza en el proyecto, lo que permite enfocarse productivamente en el
cumplimiento de los objetivos, adicionalmente permite minimizar el impacto que
pueda tener los cambios que aparezcan cronológicamente en el diseño, de esta
manera se tiene una actualización del proyecto y su monitoreo continuo,
ajustándose a los requerimientos iniciales o los que se puedan presentar en el ciclo
de vida del proyecto.
Cisco nos propone un ciclo de vida de la red, ya que las organizaciones actualmente
exigen el monitoreo constante en la implementación de un proyecto, esto con el fin
de aprovechar al máximo cada uno de sus beneficios, para lograr este objetivo uno
de los métodos que se puede utilizar es la versión que plantea Cisco del ciclo de
vida de PPDIOO, que significa "Preparar, Planear, Diseñar, Implementar, Operar y
Optimizar.
La versión 1.0 del Framework fue preparada por el Instituto Nacional de Estándares
y Tecnología (NIST) con amplio aporte del sector privado y emitida en febrero de
2014. El Framework fue desarrollado en respuesta a la Orden Ejecutiva Presidencial
(OE) 13636, Mejorando la Ciberseguridad de Infraestructura Crítica, que se emitió
en 2013. El futuro papel del Framework del NIST se ve reforzado por la Ley de
mejora de la seguridad cibernética de 2014 (Ley pública 113-274), que pide al NIST
que facilite y respalde el desarrollo de estándares de ciberseguridad y mejores
prácticas voluntarias para la infraestructura crítica. El segundo borrador de
actualización a V1.0 se publicó para comentario público el 5 de diciembre de 2017
como borrador 2 de la versión 1.1 del Framework y se finalizará después de
considerar los comentarios presentados antes del 19 de enero de 2018 fecha límite.
• Funciones
• Categorías
• Subcategorías
• Referencias informativas
Figura 4 Estructura del Núcleo del Marco
A su vez, cada una de estas funciones cuenta con categorías y subcategorías con
sus referencias informativas relacionadas (estándares, directrices y prácticas).
Nivel 3: El tercer nivel se llama repetible, lo que significa que una organización ha
implementado los estándares de CSF en toda la empresa y puede responder
repetidamente a las crisis. La política se aplica constantemente y los empleados
están informados de los riesgos.
Nivel 4: llamado adaptable, este nivel indica la adopción total del CSF. Las
organizaciones adaptables no solo están preparadas para responder a las
amenazas: detectan de forma proactiva las amenazas y predicen problemas en
función de las tendencias actuales y su arquitectura de TI.
Los perfiles son tanto un resumen del estado de seguridad cibernética actual de una
organización como hojas de ruta hacia los objetivos de CSF. NIST dijo que tener
múltiples perfiles, tanto actuales como objetivos, puede ayudar a una organización
a encontrar puntos débiles en sus implementaciones de seguridad cibernética y
hacer que sea más fácil pasar de niveles más bajos a niveles más altos.
Fuente: Fuente: ISACA., Cobit 2019 Infographics and Videos [imagen]. [Consultado: 2 de
septiembre de 2019]. Disponible en Internet: http://www.isaca.org/COBIT/Documents/COBIT-
Timeline-2019_ifg_eng_1118.pdf
Paso 2: Orientación:
Paso 3: Crear un perfil actual: A través de las funciones del Framework básico y
empleando las categorías y subcategorías, se obtienen los resultados de
implementación de controles en el entorno.
Paso 4: Ejecutar un análisis de riesgos: Se ejecuta un análisis de riesgos que
permita determinar la probabilidad y el impacto de eventos de ciberseguridad en el
entorno analizado.
El CSF está basado y/o hace referencia a los siguientes estándares, directrices y
mejores prácticas:
39 ISACA. La Historia de ISACA [en línea]. [Consultado 2 de febrero de 2019]. Disponible en Internet:
http://www.isaca.org/about-isaca/history/espanol/pages/default.aspx?utm_referrer=
40 ISACABOGOTA. ¿Qué es ISACA? [en línea]. [Consultado 2 de febrero de 2019]. Disponible en Internet:
https://www.isacabogota.org/preguntas-frecuentes/
1.4.2 Versiones de COBIT
Lanzado por primera vez en 1996, COBIT (Objetivos de control para la información
y tecnologías relacionadas) se diseñó inicialmente como un conjunto de objetivos
de control de TI para ayudar a la comunidad de auditoría financiera a navegar mejor
en el crecimiento de los entornos de TI. En 1998, ISACA lanzó la versión 2, que
amplió el marco para aplicar fuera de la comunidad de auditoría. Más tarde, en la
década de 2000, ISACA desarrolló la versión 3, que trajo las técnicas de
administración de TI y gobernanza de la información que se encuentran en el marco
actual41.
Fuente: ISACA., Cobit 2019 Infographics and Videos [imagen]. [Consultado: 2 de febrero de
2019]. Disponible en Internet: http://www.isaca.org/COBIT/Documents/COBIT-Timeline-
2019_ifg_eng_1118.pdf
COBIT 4 se lanzó en 2005, seguido por COBIT 4.1 en 2007. Estas actualizaciones
incluyeron más información sobre la gobernanza en torno a la tecnología de
información y comunicación. En 2012, se lanzó COBIT 5 y en 2013, ISACA lanzó
un ‘add-on’ para COBIT 5, que incluía más información para las empresas en
relación con la gestión de riesgos y la gobernanza de la información42. Para el 2019
ISACA lanza su versión COBIT 2019 denominado Gobierno de la Información y
41 NETWORKWORLD. ¿Qué es COBIT? Un marco para la alineación y la gobernanza [en línea]. [Consultado
5 de febrero de 2019]. Disponible en Internet: https://www.networkworld.es/archive/que-es-cobit-un-marco-
para-la-alineacion-y-la-gobernanza
42 Ibid.,
Tecnología de las Empresas (EGIT). Con COBIT 2019, en esta versión se cambia
el nombre y se enfatiza la importancia de la información en las organizaciones y la
tecnología necesaria.
Mediante COBIT 5 se puede desarrollar una política clara que permite el control de
las TI en la organización, la aplicación de este marco incide especialmente en el
cumplimiento regulatorio y ayuda a incrementar el valor asociado al área de TI de la
organización, desde su inicio, COBIT ha evolucionado desde su uso para la
auditoría de TI, para luego pasar por el control, la gestión de TI, el gobierno de TI,
llegando a su versión actual que es un enfoque holístico de gobierno corporativo de
TI43.
COBIT provee de un marco de trabajo integral que ayuda a las empresas a alcanzar
sus objetivos para el gobierno y la gestión de las TI corporativas, dicho de una
manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT
manteniendo el equilibrio entre la generación de beneficios y la optimización de los
niveles de riesgo y el uso de recursos. COBIT permite a las TI ser gobernadas y
gestionadas de un modo holístico para toda la empresa, abarcando al negocio
completo de principio a fin y las áreas funcionales de responsabilidad de TI,
considerando los intereses relacionados con TI de las partes interesadas internas y
externas, COBIT es genérico y útil para empresas de todos los tamaños.
43 ESAN.EDU.PE. Los cinco principios de COBIT 5 [En Línea]. ISACA lanza Risk IT Framework para ayudar a
organizaciones a equilibrar los riesgos con los beneficios. [Consultado 5 de febrero de 2019]. Disponible en
Internet: https://www.esan.edu.pe/apuntes-empresariales/2016/06/los-cinco-principios-de-cobit-5/
como también en tecnología mediante lo cual la utilización va en beneficio de los
interesados.44
Todas las empresas generan valor para sus partes interesadas, esta promesa de
valor se ve reflejada dependiendo de la actividad económica y del campo de acción
al cual este dedicada la organización, y se traducen en beneficios económicos de
servicio o de fidelización, para lograr este principio debe existir un equilibrio entre la
realización de beneficios y la optimización de los riesgos y el uso de recursos, por
la naturaleza de cada empresa, es indispensable que se ajusten sistemas que se
acoplen y ayuden a cumplir con el gobierno en el contexto interno y externo.
Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno
ayuda para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con
otros estándares y marcos de trabajo relevantes, y de este modo puede hacer la
función de marco de trabajo principal para el gobierno y la gestión de las Ti de la
empresa.
Figura 15 Marco de Referencia único integrado
1.Principios,
Políticas y
Marcos de
Trabajo
7.Personas,
Habilidades y 2.Procesos
Competencias
6.Servicios,
3.Estructuras
Infraestructuras y
Organizativas
Aplicaciones
4.Cultura, Ética y
5.Información
Comportamiento
El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión.
Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes
estructuras organizativas y sirven a diferentes propósitos. La visión de COBIT 5 en
esta distinción clave entre gobierno y gestión es:
Gobierno
Las empresas pueden adecuar sus procesos para cubrir las metas de gobierno y
gestión y dependiendo del campo de acción determinan que procesos pueden
intervenir de los 37 procesos que propone COBIT, en la siguiente gráfica se
muestran estos dominios.
Figura 18 Modelo de Referencia de Procesos de COBIT
45ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa [En Linea]. 2012
ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse p. 27. [Consultado: 6 de febrero
de 2019]. Disponible en Internet http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
Describen un conjunto organizado de prácticas y actividades para alcanzar ciertos
objetivos y producir un conjunto de resultados, estas salidas ayudan al logro de las
metas generales relacionadas con TI.
Son las entidades de toma de decisiones clave en una organización, pueden ser
internas o externas, incluyendo socios individuales, clientes, proveedores, etc. sus
roles, adicional a toma de decisiones, pueden influenciar en las mismas y asesorar,
algunos miembros pueden ser:
1.4.4.11 La información
46ISACA, Cobit 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa [En Línea]. 2012
ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse p. 43. [Consultado: 6 de febrero
de 2019]. Disponible en Internet http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
objetivos del proceso, lo cual no se logra con COBIT 5, ya que, para alcanzar el
nivel superior se debe cumplir con los requisitos.
Fuente: ISACA, Cobit 5. Guía de autoevaluación Cobit 5, EE.UU., 2013 [En Línea]. ISACA. All
rights reserved. For usage guidelines, [Consultado: 6 de febrero de 2019]. Disponible en
Internet https://www.isaca.org/Journal/archives/2016/Volume-1/Pages/how-cobit-5-improves-
the-work-process-capability-of-auditors-spanish.aspx?utm_referrer=
Este modelo enfatiza que las actividades no son tratadas una sola vez, sino son
parte de un proceso continuo de implementación y mejora, los tres componentes
del ciclo de vida son:
Figura 22 Las Siete Fases de la Implementación del Ciclo de Vida
47 AGUILAR ARAUJO, Carlos Eduardo, LAU ALAYO, Eduardo Roberto, OLIVERA KALINOWSKI, Sandro,
POLANCO RAMOS, Cristian Arthur. Propuesta de implantación del «Cyber Security Framework (CSF)» del
NIST, usando COBIT, en Honda del Perú [En Línea]. Magíster en Dirección de Tecnologías de Información.
Lima, 10 de julio de 2017. Esan Business. [Consultado: 6 de febrero de 2019]. Disponible en
http://repositorio.esan.edu.pe/bitstream/handle/ESAN/1200/madti20177_R.pdf?sequence=1&isAllowed=y
48 BEINGOLEA MANAVI, Henry Jhonatan. Diseño de un modelo de gobierno de ti utilizando el marco de trabajo
de cobit 5 con enfoque en seguridad de la información. caso de estudio: una empresa privada administradora
de fondo de pensiones. [En Línea]. Ingeniero Informático. Lima, octubre de 2015. Pontificia Universidad Católica
1.5.3 Implementación de COBIT – ECOPETROL S.A
Este proyecto describe el diseño lógico y físico de una infraestructura de red para
la Universidad de Cartagena que soporte telefonía VoIP utilizando la metodología
Top-Down, realizaron el diagnóstico de la red de datos existente para identificar
necesidades y disponibilidad para soportar telefonía IP, el proyecto se llevó a cabo
con las actividades referentes a la metodología Top Down Design50.
50 ESCAMILLA HERNANDEZ, Wesly David, HERNANDEZ CABRERA, Kelvin José. Diseño de una
Infraestructura de red VOIP para la Universidad de Cartagena Utilizando la Metodología Topdown. [En Línea].
Universidad de Cartagena Facultad de Ingeniería Programa Ingeniería de Sistemas Cartagena de Indias d. t y
c. 2015. [Consultado el 6 de febrero de 2019]. Disponible en
http://repositorio.unicartagena.edu.co:8080/jspui/bitstream/11227/2927/1/DISE%C3%91O%20DE%20UNA%2
0INFRAESTRUCTURA%20DE%20RED%20VOIP%20PARA%20LA%20UNIVERSIDAD%20DE%20CARTAG
ENA%20UTILIZANDO%20TOPDOWN.pdf
51 BERROCAL CONDE, Claudia Patricia, MUÑOZ, Yadira Marcela. Proyecto Diseño e Implementación de
Virtualización de Escritorios para el Fondo nacional del Ahorro-FNA-Seccional Bogotá. [En Línea]. Especialista
en Gerencia de Proyectos. Bogotá, Colombia julio de 2015. [Consultado el 6 de febrero de 2019]. Disponible en
http://polux.unipiloto.edu.co:8080/00002662.pdf
52 CABRERA ESPINOZA, Anthony Joel. Diseño e Implementación de Virtualización con Vsphere sobre
Servidores Blade, Dentro de una Zona Desmilitarizada Linux para Ambientes de Pruebas de Software Web en
el Departamento de Desarrollo de la Empresa Transoceánica c. Ltda. [En Línea]. Ingeniero de Sistemas.
Guayaquil, septiembre del 2017. [Consultado el 6 de febrero de 2019]. Disponible en
https://dspace.ups.edu.ec/handle/123456789/15005
ANEXO B
CRONOGRAMA DE ACTIVIDADES (PDF)
ANEXO C
INFORME DE AUDITORÍA
PROCESO DE ATENCIÓN AL CLIENTE BAJO LA METODOLOGÍA COBIT 4.1
Para la presente propuesta hemos tomado como marco metodológico COBIT 4.1,
la cual se enfoca en el control óptimo que debe tener una empresa, los aspectos,
capítulos o temas a tener en cuenta en la auditoría fueron tomados de los dominios
y procesos definidos por el marco.
Como parte del plan de auditoria, se realizaron las siguientes actividades para la
recolección de información:
Para el plan de auditoria se establecieron las siguientes etapas, las cuales describen
las actividades realizadas:
2. Selección 3.Revisión de
1. Identificación
Escenarios de Cumplimiento según
Proceso
Riesgos escenarios
8. Controles críticos
5. Recomendaciones asociados para
mitigar riesgos
ESCALA SIGNIFICADO
1 MUY ALTO
2 ALTO
3 MODERADO
4 BAJO
5 MUY BAJO
Fuente: Elaboración Propia
ESCALA SIGNIFICADO
1 DEBIL
2 LEVE
3 MEDIO
4 IMPORATANTE
5 CATASTRÓFICO
Fuente: Elaboración Propia
1.6 ZONAS DE RIESGO
ZONA DE
SIGNIFICADO
RIESGO CALIFICADOR
Se estableció un modelo que asocia los riesgos operacionales con los objetivos de
negocio de TI los cuales comprende los siguientes procesos de análisis de la
información, para obtener una matriz de riesgos; este modelo se puede evidenciar
en el Anexo G. Matriz de escenarios, el cual identifica las siguientes actividades:
Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño puede causar un mal procedimiento en el proceso
auditado
MATRIZ DE RIESGOS
ESCALA VALOR ZONAS DE RIESGO
Zona de Riesgo Alta Zona de Riesgo Alta Zona de Riesgo Extrema Zona de Riesgo Extrema Zona de Riesgo Extrema
MUY ALTO 5 Reducir, evitar, compartir Reducir, evitar, compartir Evitar, reducir, compartir o Evitar, reducir, compartir o Evitar, reducir, compartir o
o transferir el riesgo o transferir el riesgo transferir el riesgo transferir el riesgo transferir el riesgo
Zona de Riesgo Alta Zona de Riesgo Alta Zona de Riesgo Extrema Zona de Riesgo Extrema
Zona de Riesgo Moderado
PROBABILIDAD
Zona de Riesgo Moderado Zona de Riesgo Alta Zona de Riesgo Extrema Zona de Riesgo Extrema
MODERADO 3 Zona de Riesgo Baja Asumir o reducir el riesgo Reducir, evitar, compartir o Evitar, reducir, compartir o Evitar, reducir, compartir o
Asumir el riesgo transferir el riesgo transferir el riesgo transferir el riesgo
Distribuido a:
Directivos de la empresa
Copia a:
Subdirector Operaciones
Gerente General
Coordinador de proceso
Para la presente propuesta hemos tomado como marco metodológico COBIT 4.1,
sus iteraciones y aspectos; los capítulos o temas a tener en cuenta en la Auditoría
fueron:
Figura 1 Iteraciones de Procesos COBT 4.1 para la Auditoría
El Centro Radiológico Digital Américas CRA, cuenta con tres sedes distribuidas
estratégicamente en la ciudad para la prestación del servicio, Sede Kennedy, Sede
Bosa, Sede Suba.
POLITICA
DE
CALIDAD
MISIÓN VISIÓN
DIRECCIONAMIENTO
ESTRATÉGICO
OBJETIVO
S VALORES
1.5.2 Misión
1.5.3 Visión
Solución corporativa para la gestión electrónica para crear clientes o modificar sus
datos básicos de manera fácil y ágil, así como también radicar documentación y
registrar atenciones en forma dinámica, se integra con la aplicación de ingreso de
pacientes para la toma de imágenes diagnosticas
• Aplicación de facturación:
Establecer una política clara para el ingreso y atención inicial de pacientes que
asistan a Centro Radiológico Digital Américas CRA.
No existe procedimientos ni
Al no contar con políticas de adquisición, se
conocimiento para adquisición de
puede presentar mala administración del Implementar proceso de adquisición de
hardware, por parte de la gran
presupuesto de la empresa, al no contar hardware con múltiples cotizaciones para
mayoría de funcionarios sobre las
con el registro de mantenimiento de los proteger el presupuesto. Documentar el
políticas de adquisición de
equipos de cómputo, se pierde la guía mantenimiento de los equipos de cómputo
hardware.
trazabilidad, la no elaboración de un y así facilitar el trabajo a la persona
No se lleva registros de del
documento por parte de la persona encargada del proceso para la respectiva
mantenimiento de los equipos que
encargada de hacer la recepción de revisión, reparación y la recolección de
se van a revisar y reparar, no hay
(AI3) equipos de cómputo para la respectiva antecedentes, programar capacitaciones al
personal de mantenimiento o
Adquirir y revisión y reparación, se pierde guía de personal del mantenimiento de equipos de
funcionario que tenga
Mantener la ejecución de este proceso y control de cómputo.
especialidad en la reparación los
infraestructura antecedentes. Implementar el centro de cómputo con
equipos.
Tecnológica El no tener personal de mantenimiento características adecuadas y normatividad
No hay implementación adecuada
especializado en reparación se estancan los correspondiente para lograr optimización
del centro de cómputo, ni
procesos y se puede presentar gastos de procesos y seguridad de la información
mantenimiento para switches,
mayores, no tener una adecuación correcta que es vital para la entidad.
servidores y routers, no se
del centro de cómputo se atenta contra la Elaborar los planos del cableado
evidencia planos de la
normatividad y aspectos de seguridad. El estructurado que se extiende por la
infraestructura de red
no tener planos del cableado estructurado entidad para tener poder analizar la
No hay elementos de seguridad
de la red, carece de visión para decisiones escalabilidad de la red
física, elementos contra incendio,
de escalamiento
o desastres naturales
Entregar y dar soporte
(DS)
Detalle de la Prueba
Proceso Consecuencia Recomendación Riesgo
(Hallazgo)
ZONA DE RIESGO
Existe documentos que especifican las funciones a realizarse por el personal del
proceso y su nivel de compromiso es muy alto, sin embargo, falta concientizar a la
gerencia para realizar una alineación de los objetivos de negocio con los de TI, con
el fin de tener los recursos que abastezcan las necesidades tecnológicas.
El Centro Radiológico Digital Américas C.R.A., desde la gerencia hasta los niveles
operativos, se han concientizado de las fallas que existen y que se evidencian en
los resultados de la auditoria.
Aun con las deficiencias tecnológicas que existen en la empresa, se destaca que el
personal en general está comprometido con el logro de objetivos, y esto es un factor
que ayuda a mitigar los riesgos de manera implícita, sin embargo, se debe
establecer modelo de administración de riesgos más estructurados.
GLOSARIO DE TÉRMINOS
Evidencia: Es toda información que utiliza el AI, para determinar, si el ente o los
datos auditados siguen los criterios u objetivos de la auditoría.
Los activos de información son los recursos que utiliza un Sistema de Gestión de
Seguridad de la Información para que las organizaciones funcionen y consigan los
objetivos que se han propuesto por la alta dirección. Los activos incluyen toda la
información y soporte que la organización requiera para conducir el negocio58, es
importante que los activos se deben agrupar en varios tipos según la función de
tratamiento sobre la información, a continuación de realiza una clasificación de los
diferentes tipos de activos de información.
58SGSI Blog especializado en Sistemas de Gestión de Seguridad de la Información. ISO 27001: Los
activos de información. [En línea], 2015. Disponible en: https://www.pmg-ssi.com/2015/03/iso-27001-
los-activos-de-informacion/
y cliente de Correo electrónico, Antivirus, Antispam, filtrado de contenido web,
software de telefonía.
VALOR ACTIVO
01 Organización
02 Personal
03 Software
04 Hardware
05 Redes
06 Ubicación
Valor
Confidencia
Listado de activos Tipo Descripción Integridad Disponibilidad del
lidad
Activo
Evidencias digitales,
valor probatorio de la
información
Datos Digitales 1 Alto Alto Alto Alto
almacenada o
transmitida en
formato digital
Infraestructura
Base de Datos
2 tecnológica Alto Alto Alto Alto
Clientes
compartida
Copias de
4 Alto Alto Alto Alto
Seguridad
Activos Tangibles
Correo, Fax,
1 Evidencias Físicas Alto Alto Alto Alto
Libros, Informes
Impresos
Activos
Bienes que posee la
Intangibles,
empresa y que no
Conocimiento, 1 Alto Alto Alto Alto
pueden ser percibidos
Valor de la Imagen
físicamente
de Marca Patentes
Infraestructura
Software
3 tecnológica Alto Alto Alto Alto
Corporativo
compartida
Canales de Información Dirigida a
5 Alto Alto Alto Alto
Comunicación Clientes
Valor
Listado de
Tipo Descripción Confidencialidad Integridad Disponibilidad del
Activos
Activo
Infraestructura Lugar donde se
TI Estructuras 6 encuentra ubicada Medio Medio Medio Medio
Físicas la organización
Lugar donde se
Infraestructura
6 encuentra ubicado Alto Alto Alto Alto
TI
lo MC,
Elementos que se
Equipos utilizan para
Pasivos Red 5 interconectar los Alto Alto Alto Alto
LAN dispositivos de
una red de datos
Dispositivos, los
cuales se
interconectan con
segmentos de
cable a las
Equipos computadoras y
Activos Red 5 servidores con el Alto Alto Alto Alto
LAN fin de pasar datos
y comunicar
internamente o
externamente a
las personas de
una compañía.
Es el recurso más
importante y
básico ya que son
los que
Personal 2 Alto Alto Alto Alto
desarrollan el
trabajo de la
productividad de
bienes o servicios.
Fuente: Elaboración propia
2. PROPUESTA DE CLASIFICACIÓN DE LA INFORMACIÓN
La guía de clasificación tiene que incluir una clasificación inicial y una reclasificación,
que se realizará a través del tiempo, encontrándose en concordancia con las
políticas de control determinadas por la organización en su Sistema de Gestión de
Seguridad de la Información. La definición de la clasificación de los activos de
información tiene que ser realizada por el responsable de dicho activo y ser revisada
cada periódicamente para controlar que se encuentra actualizado al nivel de
seguridad oportuno.
60 Ibid. Pag 4
2.1 PROCESO PARA CLASIFICAR LA INFORMACIÓN SEGÚN ISO 27001
CONFIDENCIALIDAD DESCRIPCIÓN
Información disponible sólo para un proceso de la entidad y que en caso de ser
RESERVADA
conocida por terceros sin autorización puede conllevar un impacto negativo de
(INF.R)
índole legal, operativa, de pérdida de imagen o económica
Información disponible para todos los procesos de la entidad y que en caso de
ser conocida por terceros sin autorización puede conllevar un impacto negativo
CLASIFICADA para los procesos de la misma. Esta información es propia de la entidad o de
(INF.C) terceros y puede ser utilizada por todos los funcionarios de la entidad para
realizar labores propias de los procesos, pero no puede ser conocida por
terceros sin autorización del propietario.
Información que puede ser entregada o publicada sin restricciones a cualquier
PÚBLICA
persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni
(INF.P)
a las actividades y procesos de la entidad.
Activos de Información que deben ser incluidos en el inventario y que aún no
NO CLASIFICADA
han sido clasificados, deben ser tratados como activos de Información
(INF.N.C)
Reservada.
INTEGRIDAD DESCRIPCIÓN
Información cuya pérdida de exactitud y completitud puede conllevar un
ALTA
impacto negativo de índole legal o económica, retrasar sus funciones, o
(INT.A)
generar pérdidas de imagen severas de la entidad.
Información cuya pérdida de exactitud y completitud puede conllevar un
MEDIA
impacto negativo de índole legal o económica, retrasar sus funciones, o
(INT.M)
generar pérdida de imagen moderado a funcionarios de la entidad.
BAJA Información cuya pérdida de exactitud y completitud conlleva un impacto
(INT.B) no significativo para la entidad o entes externos.
Activos de Información que deben ser incluidos en el inventario y que aún
NO CLASIFICADA
no han sido clasificados, deben ser tratados como activos de información
(INT.N.C)
de integridad ALTA.
DISPONIBILIDAD DESCRIPCIÓN
Disponibilidad se refiere a la habilidad de la comunidad de usuarios para
acceder al sistema
ALTA (DIS.A)
Supone que la información pueda ser recuperada en el momento que se
necesite, evitando su pérdida o bloqueo.
La Media disponibilidad de la información puede afectar la operación normal
MEDIA (DIS.M) de la entidad o entes externos, pero no conlleva implicaciones legales,
económicas o de pérdida de imagen.
La Baja Disponibilidad de la información puede conllevar un impacto negativo
BAJA (DIS.B) de índole legal o económica, retrasar sus funciones, o generar pérdida de
imagen moderado de la entidad.
Activos de Información que deben ser incluidos en el inventario y que aún no
NO CLASIFICADA
han sido clasificados, deben ser tratados como activos de información de
(DIS.N.C)
disponibilidad ALTA.
Fuente: Secretaría General de la Alcaldía Mayor De Bogotá. Inventario de Activos de Información. [En línea], 2013., p 25-26.
Disponible en: https://secretariageneral.gov.co/sites/default/files/linemientos-
distritales/L_11%20Inventario%20de%20Activos%20de%20Informaci%C3%B3n.pdf
ANEXO E
PROPUESTA DE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Objetivos
Para cumplir con estos objetivos el SGSI, se basa en la identificación de los activos
de información involucrados en los procesos de negocios y en los procesos de
soporte de la empresa, lo cual implica llevar a cabo, junto a los responsables de los
diferentes procesos de la empresa, las siguientes actividades esenciales:
Esta política aplica a toda la empresa, sus funcionarios, contratistas y las partes
interesadas en general del Centro Radiológico Digital Américas CRA. También es
aplicable a todo activo de información que la organización posea en la actualidad o
en el futuro, de manera que la no inclusión explícita en el presente documento, no
constituye argumento para no proteger estos activos de información.
Plano Suba
ENTREVISTAS USUARIOS
Versión 1.0
CUESTIONARIO GENERAL
ÁREA
RED DE DATOS CENTRO RADIOLÓGICO DIGITAL AMÉRICAS CRA
¿Qué piensa de la atención que brinda el personal de informática o TI, a los demás
integrantes del Centro Radiológico Digital Américas CRA?
A. Insatisfactoria B. Satisfactoria C. Excelente ¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
ÁREA
RED DE DATOS CENTRO RADIOLÓGICO DIGITAL AMÉRICAS CRA
¿Se cuenta con un proceso para dar mantenimiento preventivo y/o correctivo al
software?
Seguridad de la Información
¿Existen métodos de respaldo de información?
ÁREA
RED DE DATOS CENTRO RADIOLÓGICO DIGITAL AMÉRICAS CRA