UNIVERSIDAD PRIVADA DOMINGO SAVIO

FACULTAD DE INGENIERIA
INGENIERIA EN REDES Y TELECOMUNICACIONES
ANALISIS DE LAS NECESIDADES DE PROTECCION DE LA EMPRESA
HTC

DOCENTE:
MORALES ROXANA JANNETH
ESTUDIANTES:
JAIME FERNANDO ACARAPI MORALES
MAURICIO RAINER CHUMACERO MOLLINEDO
YERKO MIJAEL LOPEZ QUIA
CRISTIAN DANIEL RAMIREZ VARGAS
KEVIN ANGUAR VEGA VILLEGAS
MATERIA:
SEGURIDAD INFORMATICA I

DICIEMBRE 2021
LA PAZ – BOLIVIA
 Índice.

Contenido
MARCO TEÓRICO: ................................................................................................................... 1
Introducción .................................................................................................................................. 1
Aspectos generales de la empresa ................................................................................................ 1
HTC ............................................................................................................................................ 1
Misión ........................................................................................................................................ 2
Visión ......................................................................................................................................... 2
Ubicación ................................................................................................................................... 2
Problemática ................................................................................................................................. 3
Objetivo general ............................................................................................................................ 3
Objetivos específicos ..................................................................................................................... 4
Diagrama jerárquico gestión empresarial ..................................................................................... 4
Definición del área de estudio ...................................................................................................... 4
Data Center ............................................................................................................................... 4
Marco Practico .............................................................................................................................. 6
Evaluación del estado actual de la seguridad nivel data center (utilizando modelo COBIT) ........ 6
Caracterización del sistema informático, en relación con la seguridad........................................ 7
Norma ISO 27031 ...................................................................................................................... 7
¿Por qué es importante la ISO 27031?...................................................................................... 7
Infraestructura del data center ................................................................................................. 8
Niveles de data center .............................................................................................................. 9
Identificación de las amenazas y estimación de los riesgos (matriz de riesgos)......................... 11
Conclusiones en relación con el trabajo realizado ...................................................................... 12
Bibliografía .................................................................................................................................. 13
MARCO TEÓRICO:

Introducción

¿Quién no ha sido sujeto de robo de información o ha contribuido indirectamente

en el mismo?

El enfoque de esta investigación versa en torno a los riesgos y vulnerabilidades

de los datos que ocurren día a día alrededor del mundo, donde la seguridad
informática toma cartas en el asunto protegiendo la infraestructura informática
(Red, servidores y data center) y la información en si, por los distintos modelos
y planes que plantean, adaptándose a distintas empresas, analizando el estado
actual de la empresa, generando políticas de seguridad y planes de contingencia,
llevando un seguimiento riguroso de la empresa, detallando el antes, el ahora y
el después.

En esta ocasión se empleará el modelo COBIT 5 que posibilita que TI sea

gobernada y gestionada de forma general, teniendo en cuenta los procesos del
negocio y sus respectivas áreas funcionales, gracias a su gran versatilidad el
modelo COBIT puede ser implementado en todo tipo de empresas sin importar
que sean privadas o públicas.

Aspectos generales de la empresa

HTC

Es una empresa legalmente establecida en Bolivia que presta servicios en

asesoramiento, consultoría, diseño, soporte e implementación en soluciones que
integran transmisión de voz, datos y video integrados. High Tech Center Bolivia
está formada por un equipo multidisciplinario, joven, responsable y altamente
comprometido. El personal de nuestra empresa está en constante capacitación
y actualización en nuevas tecnologías, soluciones y servicios para aprovechar al
máximo la capacidad instalada de nuestros clientes.

1
Nuestra empresa tiene la Certificación PARTNER PREMIER otorgada por Cisco
Systems, a empresas con personal certificado que facilitan al cliente acceso a
las tecnologías, soluciones y servicios de Cisco. Las certificaciones Cisco están
reconocidas a nivel mundial en el ámbito de telecomunicaciones y redes,
asegurando tanto a individuos como compañías una especialización técnica muy
alta, que incluye:

• Conocimientos especializados que incluyen: Seguridad, Comunicaciones

Unificadas, Wireless, Storage, Routing, y Switching.

• Amplia experiencia para ayudarle a construir y optimizar su red.

• Dedicación excelente y esmerada que le asegura una implantación exitosa

Misión

Contribuir de manera efectiva al crecimiento de las Telecomunicaciones en

Bolivia, a través de un buen asesoramiento, soporte e implementación,
brindando a nuestros clientes performance en sus comunicaciones y asegurando
de esta manera la continuidad de su negocio.

Visión

Ser identificados por el mercado boliviano como proveedores de soluciones

integrales en Telecomunicaciones y Capacitación, por esto HTC tiene el
compromiso de actualización y capacitación permanente de su personal para
brindar un servicio de excelencia a nuestros clientes.

Ubicación

Avenida Arce # 2071 Edificio Villa Elena Piso 3 Oficina 7

Teléfono/Fax: + 591 2 244 4843 5

Cell + 591 67010012, 67010013, 67195009

La Paz Bolivia

2
Problemática

Actualmente muchas empresas en Bolivia no cumplen las normas de seguridad

informática, exponiendo en muchos casos información valiosa y confidencial.

Objetivo general

 Analizar e implementar un plan de seguridad informática basándose en el

modelo COBIT 5 y la norma ISO 27031, para subsanar la confidencialidad,
integridad y confiabilidad del data center de la empresa HTC.

3
Objetivos específicos

 Analizar la situación actual de la empresa para determinar el estado de la

seguridad informática mediante las normas COBIT 5 en la empresa HTC.
 Determinar los riesgos que puedan causar vulnerabilidad en los procesos
y el manejo de información empleando las normas COBIT 5 en el data
center de la empresa HTC.
 Diseñar una matriz de riesgos donde detalle las amenazas y
vulnerabilidades del sistema de información del data center de HTC.

Diagrama jerárquico gestión empresarial

Definición del área de estudio

Data Center

El área de estudio según el modelo COBIT para el proyecto seleccionado es el

CPD que esta normado por la ISO 27031.

Un diseño Tier 1 admite interrupciones planeadas y no planeadas. Disponen de

sistemas de aire acondicionado y también de distribución de energía, pero no
suelen tener: suelo técnico, UPS o generados eléctricos. (cliAtec, 2011)

4
Este sistema puede tener varios puntos de fallo, sobre todo cuando la carga es
máxima en situaciones críticas. También puede tener errores de operación o
fallos en su infraestructura lo que provoca la interrupción de sus data centers.
(cliAtec, 2011)

Además, la infraestructura del data center deberá estar fuera de servicio una vez
al año para su mantenimiento o reparación. La tasa máxima de disponibilidad del
CPD es 99.671% del tiempo. (cliAtec, 2011)

La buena implementación de un CPD debe estar regida bajo criterios, reglas y

requisitos mininos avalados por Instituciones Internacionales (ISO, ANSI, TIA,
etc.) dedicadas a la definición clara de prácticas recomendadas y aceptables
para la correcta operación de un CPD, esto debido a que cualquier falla en
alguno de los elementos que conforman la estructura de un CPD puede
perjudicar la continuidad del negocio afectando la imagen de la empresa y su
economía. (tier1.es., s.f.)

Un CPD no sólo es construcción, hardware, software y telecomunicaciones. La

infraestructura física de un CPD la componen una serie de subsistemas como el
de climatización, el eléctrico, el sistema de protección contra incendios y otros.
(tier1.es., s.f.)

Tomamos en cuenta los aspectos necesarios para cumplir con normativas y

estándares para CPDS, incluyendo:

-Acondicionamiento de obra civil

-Seguridad Física

-Suministro de energía eléctrica

-Sistema de transmisión de datos

-Acondicionamiento del Ambiente

-Sistema de detección de inundaciones

-Sistema de detección y supresión de incendios

5
Marco Practico

Evaluación del estado actual de la seguridad nivel data center

(utilizando modelo COBIT)

Data Center SI NO MOTIVO

El acceso al servidor de la empresa
Efectividad ✅ siempre está disponible para realizar
efectivamente los procesos de las áreas
requeridas

Los pocos recursos que tiene la

Eficiencia ✅ empresa son los necesarios para llevar
a cabo los procesos de manera optima

No tiene controles de acceso óptimos,

Confidencialidad ❌ dejando una brecha en el proceso de
confidencialidad

La brecha en el proceso de
Integridad ❌ confidencialidad deja una duda en la
integridad de la información ya que la
misma pudo haber sido modificada por
personas no autorizadas

La información sigue un proceso

Disponibilidad ✅ cuidadoso permitiendo tener los datos al
personal autorizado en cualquier
momento

Apego a Toda información confidencial para el

estándares ❌ proceso de negocio no se rige bajo
políticas de seguridad creadas
internamente en la empresa

El proceso de la integridad de la
información no es el adecuando y por
❌
Confiabilidad esta razón la información pudo haber
sido alterada inapropiadamente

6
Caracterización del sistema informático, en relación con la
seguridad.

Norma ISO 27031

La norma ISO 27031 es un estándar especificado en la norma ISO 27001 de

gestión de seguridad para servir como una guía para la “Gestión de la Tecnología
de Información y Comunicación y obtención de Continuidad de Negocio”. (Toro,
2017)

La norma ISO 27001 describe los conceptos y principios de la tecnología de

información y comunicación. Además, proporciona un marco de métodos y
procesos para identificar y especificar todos los aspectos para mejorar la
preparación de las TIC de una empresa para asegurar la continuidad de negocio.
(Toro, 2017)

En el ámbito de la aplicación de la norma ISO 27031 podemos decir que abarca

todos los eventos e incidentes que se relacionan con la seguridad que puede
tener un impacto en la infraestructura y los sistemas TIC. Incluye y se extiende
a las prácticas de manejo de incidentes de seguridad de la información y la
gestión de la planificación y preparación para las TIC y los servicios. (Toro, 2017)

Las interrupciones en los servicios prestados a través de las infraestructuras y

sistemas gestionados afectan a la continuidad de los procesos de negocio.
Cuando la norma ISO 27031 es usado como una guía, permite a las
organizaciones estar listas contra eventos imprevistos en un entorno cambiante
y arriesgado. (Toro, 2017)

¿Por qué es importante la ISO 27031?

La norma ISO 27031 es importante para la información y comunicación de la

tecnología de gestión de continuidad por los siguientes motivos:

 Las organizaciones se basan de forma principal en la infraestructura de

TI.

7
  Muchas organizaciones requieren infraestructuras de información y
tecnología de las comunicaciones y los sistemas de apoyo a los procesos
críticos de negocio.
 Apoyo a los procesos de gestión en relación con el caso de la información
y la tecnología de la comunicación, la continuidad del negocio, los
desastres y la intervención de emergencia.
 Un plan de continuidad de negocio puede ser insuficiente si no se tiene
en cuenta la disponibilidad y la continuidad de la información y la
tecnología de la comunicación.

Infraestructura del data center

Componentes Descripción Tiene

Debe coincidir con los requisitos de altura y
Arquitectura anchura que necesitan los racks y sistemas ✅
de cableado.
Se refiera a distribución, conmutación y
Potencia derivación de energía, y ha de estar ❎
redundada por diferentes sistemas
Sistemas de fuente de alimentación
UPS ininterrumpida que brindan protección contra ✅
cortes de energía cortos y suministro de
energía inestable como sobretensiones.
Sistema de energía de respaldo, como un
Sistemas de producción generador con almacenamiento de
de energía combustible. También es común que los ❎
centros de datos tengan un sistema de
paneles solares en el techo o cerca.
Enfriar hardware y proporcionar calefacción,
Control ambiental ventilación, aire acondicionado, ❎
humidificación y deshumidificación para la
instalación.
Protección contra Sistemas activos para la protección contra
incendios incendios, como detectores de humo y un ❎
sistema de rociadores contra incendios.
El hardware del centro de datos
generalmente se monta en racks que
Racks maximizan el uso del espacio en las ✅
instalaciones y su estructura permite cablear
y refrigerar los equipos que contiene.
Un sistema para administrar la gran longitud
Sistema de cableado de cables que conectan cada máquina en un ✅
centro de datos a energía, redes, dispositivos
y recursos.

8
 Dispositivos de red y seguridad que brindan
Infraestructura de red servicios básicos como la conectividad a ✅
Internet.
Los centros de datos tienen múltiples
Conectividad conexiones de fibra a Internet ❎
proporcionadas por múltiples operadores.
Un área para que las compañías de
Sala Meet-me telecomunicaciones conecten físicamente ❎
sus redes e intercambien tráfico.
Los centros de datos están diseñados para
Seguridad Física la seguridad con pocas ventanas y ❎
características como mantraps para control
de acceso.
Una sala para el personal de operaciones
Centro de operaciones con herramientas para monitorear, ❎
de red NOC administrar, mantener y asegurar los
recursos informáticos.

Niveles de data center

Los CPDS se clasifican en función de unos estándares seguridad. ANSI/TIA-942

es como se denomina y agrupa los CPDS en niveles:

Tier I. Centro de datos Básico: Tiene una disponibilidad del 99.671%, se puede
parar como máximo unas 28’82 horas al año. (Grup, 2020)

 No hay componentes redundantes.

 El servicio puede interrumpirse por actividades planeadas o no planeadas
 Por tareas de mantenimiento del CPD se tendría que parar su
funcionamiento.

Tier II. Centro de datos Redundante. Tiene una disponibilidad objetivo es del
99.741, se puede parar como máximo unas 22’68 horas al año. (Grup, 2020)

 Componentes redundantes (N+1)

 Están Conectados a una única línea de distribución eléctrica y de
refrigeración.
 El mantenimiento infraestructura requiere una interrupción del servicio.
 Menos susceptible a interrupciones por actividades planeadas o no
planeadas.

9
Tier III. Centro de datos Mantenimiento Concurrente. Tiene una
disponibilidad objetivo es del 99.982%, se puede parar como máximo unas 1.57
horas al año.

 Componentes redundantes (N+1)

 Sin parón de funcionamiento por tareas de mantenimiento
 Conectados múltiples líneas de distribución eléctrica y de refrigeración,
pero únicamente con una activa.

Tier IV. Centro de Datos Tolerante a Fallos. Tiene una disponibilidad objetivo
es del 99.995% %, se puede parar como máximo unas 52.56 minutos horas al
año. (Grup, 2020)

 Conectados múltiples líneas de distribución eléctrica y de refrigeración

con múltiples componentes redundantes (2 (N+1) significa 2 UPS con
redundancia N+1).

 Sin parón de funcionamiento por tareas de mantenimiento

(Grup, 2020)

10
 Identificación de las amenazas y estimación de los riesgos (matriz
de riesgos)

Probabilidad de amenazas Probabilidad de vulnerabilidad

Acceso no autorizado al
Técnicos Organizativa Humanas

donde los recursos son

fácilmente afectados

Corte del suministro

Condiciones locales
Falta de protección

Robo o hurto de

Falta de control de

Falta de control de
física adecuada

servidores, etc
por desastres

información de
data center

eléctrico

Perdida de
Matriz de análisis Magnitud

usuario

acceso

acceso
de riesgo de daños

3 2 4 2 1 1 3 2
Datos e información
Documentos
institucionales
(Proyectos, Planes, 2 6 4 8 4 2 2 6 4
Evaluaciones,
Informes, etc.)
Infraestructura
(Planes,
4 12 8 16 8 4 4 12 8
Documentación,
etc.)
Datos e
información no 3 9 6 12 6 3 3 9 6
institucionales
Sistema e Infraestructura
Equipos de la red
cableada (router, 1 3 2 4 2 1 1 3 2
switch, etc.)
Equipos de la red
inalámbrica
1 3 2 4 2 1 1 3 2
(router, punto de
acceso, etc.)
Cortafuego 3 2 4 2 1 1 3 2
1
Servidores 9 6 12 6 3 3 9 6
3
Edificio (Oficinas,
Recepción, Sala de
espera, Sala de 3 9 6 12 6 3 1 9 6
reunión, Bodega,
etc.)
Personal
Dirección /
1 3 2 4 2 1 1 3 2
Coordinación
Informática /
Soporte técnico 1 3 2 4 2 1 1 3 2
interno
Servicio de
2 6 4 8 4 2 2 6 4
limpieza de planta

11
Conclusiones en relación con el trabajo realizado

Tras el análisis, las vulnerabilidades y riesgos en la infraestructura y control de

acceso identificados en la empresa HTC pueden ser expeditamente rectificados
aplicando políticas estrictas en el área del data center y así también cumplir con
la norma ISO 27031.

Tal y como hemos podido comprobar, detallando la matriz de riesgos y

vulnerabilidades la empresa HTC tiene falencias en la infraestructura de su data
center, algunas de alto riesgo y muchas otras de bajo riesgo que pueden ser
solucionadas a la brevedad.

12
Bibliografía

cliAtec. (10 de Noviembre de 2011). cliatec.com. Obtenido de cliatec.com:

https://cliatec.com/diseno-data-center/

Grup, I. D. (21 de Febrero de 2020). idgrup.com. Obtenido de idgrup.com:

https://idgrup.com/data-center-que-es-como-tiene-que-ser-y-que-tipos-hay/

tier1.es., C. . (s.f.). www.tier1.es. Obtenido de https://www.tier1.es/portal/cpd

Toro, R. (2 de Febrero de 2017). www.pmg-ssi.com. Obtenido de www.pmg-ssi.com:

https://www.pmg-ssi.com/2017/02/que-es-la-iso-27031/

13