Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Plan de Seguridad Física de Los Activos TIC - MITUR

    Cargado por

    Frank Fernandez
    10 vistas34 páginas

    Título original

    Plan de Seguridad Física de Los Activos TIC -MITUR

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF o lea en línea desde Scribd
    Marcar por contenido inapropiado
    10 vistas34 páginas

    Plan de Seguridad Física de Los Activos TIC - MITUR

    Cargado por

    Frank Fernandez

    Copyright:

    © All Rights Reserved
    Descargue como PDF o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 34
    PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR, Ministerio de Turismo Repiblica Dominicana PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR Septiembre , 2021 Version 002 PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR CONTENIDO INTRODUCCION OBJETIVO GENERAL. OBJETIVOS ESPECIFICOS. ALCANCE Y RESPONSABILIDADES DE CUMPLIMIENTO . _ DESCRIPCION Y DETALLE DE LA PLATAFORMA TECNOLOGICA.. EVALUACION Y CALIFICACION DE IMPACTO EN LOS PROCESOS Y EQUIPOS. 6.1. TIPOS DE DATOS, EQUIPOS ¥ REDES, QUE SON VULNERABLES Y NECESARIOS DI PROTEGER ANTE CUALQUIER RIESGO DE SEGURIDAD. 6.2. EQUIPOS (HARDWARE)... 63. SERVIDORES, MODELOS OPERACIONALES (SOFTWARE). w. 6.4. SERVICIOS EXTERNOS.. 68. ESTRUCTURA FISICA. 7, _ EVALUACION Y CLASIFICACION DE RIESGOS.. 8, PLANES DE CONTINGENCIAS CONTRA RIESGOS IDENTIFICADOS. 8.1. SEGURIDAD FISICA CENTRO DE DATOS MITUR.. 8.1.1. INCENDIO. ei 82. PLAN DE CONTINGENCIAS PARA SEGURIDAD PERIMETRAL CENTRO DE DATOS (VIRUS, MALWARE, HACKERS, RANSOMWARE) .n ataoes Ss 83. PLAN DE CONTINGENCIA CONTRA INCENDIO, HURACANES, TORMENTAS Y VARIACIONES SiSMICAS. 6 83.1. VARIACIONES SiSMICAS.. ee 8.3.2. AVERIAS DE HARDWARE POR FALLAS ELECTRICAS: 83.3. PERDIDA DE DATOS, ERROR HUMANO, BORRADO INTENCIONAL. 834.FALLA DE SERVICIOS: INFRAESTRUCTURA DE DOMINIO, SERVICIOS Di COMUNICACION Y DATOS.. ent 84, PLAN DE CONTINGENCIA Y CONTINUIDAD 1 $4.1.PLAN DE CONTINGENCIA PARA CONTINUIDAD EN LOS SERVICIOS TECNOLOGICOS. a 9. POLITICAS PARA LA ADMINISTRACION DE LOS CONTROLES DE ACCESO. 9.1. ACCESO DE ENTRADA Y SALIDA DEL MINISTERIO. 9.2. CONTROLES DE ACCESO A AREAS RESTRINGIDAS. 93, CONTROLES DE ACCESO A AREAS DE SERVIDORES.. 9.4. CONTROL DE ACCESO AL SISTEMA OPERATIVO. 9.8. CONTROL DE ACCESO A LA RED vinnonnen 96. CONTROL DE ACCESO A LOS MEDIOS DE RESPALDO... Boe eh bE Rk in nb SBS25 2 10. 1A. 102. 103. PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR, PLAN DE CONTINGENCIAS PARA BACKUP. BACKUP BASE DE DATOS SQL SERVER BACKUP SERVIDORES.. BACKUP ESTACIONES DE TRABAJO (COMPUTADORAS): PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR. 1, INTRODUCCION El presente Plan de Seguridad fisica de los Activos Tecnolégicos del MITUR, ha sido disefiado de acuerdo a lo previsto en el Reglamento No. 491-07 de aplicacién a la Ley No. 10-07 que Instituye el Sistema Nacional de Control Intero y de la Contraloria General de la Repiiblica y al ‘Manual del Sistema de Control Intemo de la entidad, aprobado por la Maxima Autoridad Ejecutiva del MITUR. El numeral 4 del Articulo 47 del referido Reglamento de la Ley No. 10-07, define el componente de Informacion y Comunicacién como sigue: "Las entidades y los organismos bajo el ambito de la Ley 10-07, deben establecer los mecanismos y los sistemas més adecuados para obtener, procesar, generar y comunicar de manera eficaz, ¢ficiente y econdmica, Iainformacién financiera, administrativa, de gestién y de otro tipo requerida en el desarrollo de sus procesos, transacciones y actividades, asi como en la operacién de sus sistemas de control con miras al logro de los objetivos institucionales' Los principales elementos que se consideran en este Plan son los siguientes: a) Redes instaladas en la Institucién. b)_Identificacién de los activos vulnerables. ©) Evaluacién y clasificacién de riesgos. 4) Prioridad de proteccién. ©) Precauciones adecuadas contra riesgos identificados. 4) Seguridad fisica del centro de datos en MITUR. 2) Contingencia: Seguridad y Continuidad de los Servicios h) Falla de los servicios de comunicacién y datos. i) Otros Controles de Seguridad. La claboracién de este Manual para el Plan de Seguridad Fisica de los Activos Tecnol6gicos del MITUR, también esté en cumplimiento de las politicas establecidas en el Manual del Sistema de Control Intemo del MITUR, seccién 4,3 Canales de Comunicacién Intema y Externa del componente Informacién y Comunicacién y el Manual de Politicas Comunicacional Institucional. La Direccién de Planificacién y Desarrollo y la Direccién de Tecnologia de la Informacién y Comunicacién (TIC), tienen la responsabilidad de la implementacién, socializacion y divulgacién a todo el personal de la institucién y en especial el personal tecnol6gico, de _ las politicas contempladas en el presente manual, asi como también de su monitoreo permanente. B] Plan de Seguridad Fisica de los Activos Tecnolégicos del MITUR es un documento que se revisara cada dos afios. PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR 2. OBJETIVO GENERAL Garantizar Ia Seguridad y Continuidad de los Servicios que componen el Sistema de Informacién Tecnolégico del Ministerio de Turismo, ante posibles riesgos que pudieran afectar las operaciones al presentarse alguna amenaza de indole fisica, interna o externa. 3. OBJETIVOS ESPECIFICOS ‘© Prevenir 0 minimizar pérdidas de datos 0 archivos criticos para la continuidad operativa de la institucién. ‘© Proteger la infraestructura tecnol6gica. ‘© Trazar los lineamientos para la recuperacién de los servicios informéticos ante un desastre o falla de los servicios. ‘© Continuar con las operaciones de las diferentes unidades orgénicas de la institueién que hacen uso de los sistemas tecnolégicos. © Prevenir o minimizar dafios permanentes a los recursos financieros en activos tecnolégicos. 4, ALCANCE Y RESPONSABILIDADES DE CUMPLIMIENTO EI Plan de Seguridad Fisica de los Activos Tecnologicos del MITUR, es de aplicacién en todas las, freas funcionales en la estructura orgénica que hacen uso de los activos y sistemas de informacion tecnolégicos. EI Plan de Seguridad Fisica de los Activos Tecnolégicos constituye el documento fundamental para el control y la seguridad en el manejo de las tecnologias informaticas en el Ministerio, a partir de los lineamientos establecidos por la OGTIC en las Normas NORTIC, para el aseguramiento del correcto uso ¢ implementacién de las TIC en todas las entidades Gubernamentales de nuestro pais. EI Encargado de Seguridad y Monitoreo en coordin: con el Director de Tecnologia, son los responsables directos de la ejecucién del Plan de Seguridad de los Activos Teenolégicos del MITUR, con el apoyo del equipo de trabajo de las demas areas Operativas y de Desarrollo de Sistemas del Departamento tecnolégico. La Direccién de Planificacién y Desarrollo y el El Director(a) de la Direccién de Tecnologia de la Informacién y Comunicacién (TIC), tienen la responsabilidad de la implementacién, socializacion y divulgacién a todo el personal de la institucién y en especial el personal tecnolégico, de tas politicas contempladas en el presente manual, asi como también de su monitoreo permanente. PLAN DE SEGURIDAD FISICA. DE LOS ACTIVOS TECNOLOGICOS DEL MITUR 5. DESCRIPCION Y DETALLE DE LA PLATAFORMA TECNOLOGICA. En este Manual de Plan de Seguridad Fisica de los Activos Tecnolégicos MITUR, se desarrollan Jos lineamientos de seguridad que nos permitirin dar respuesta de forma oportuna y eficaz a ‘cualquier daiio que se presente en los equipos y sistemas informaticos por desastres 0 eventos naturales u otros incidentes tanto internos como extemos, para poder garantizar la seguridad y la continuidad de la infraestructura tecnolégica en el Ministerio. EI Ministerio cuenta con un total de 690 computadoras PC, 22 servidores fisicos y 256 impresoras conectados a Ia red, distribuidas de la siguiente manera: Sede Luperén cuenta con 409 computadoras PC, 16 Servidores y 210 impresoras/scanner; Oficina México cuenta con 117 computadoras PC, 2 Servidores y 24 impresoras, Offeina Savifién cuenta con 20 computadoras PC, 1 Servidor y 5 impresoras, CEIZTUR cuenta con 64 computadoras PC, 1 Servidor y 13 impresoras. En el resto del pais, oficinas regionales: 80 computadoras PC, 2 Servidores y 17 Impresoras. El Centro de Datos se encuentra ubicado en el tercer piso, donde se alojan los equipos y servicios que garantizan Ia interconectividad, ademas se conectan con los demas pisos del Ministerio. El centro de datos conecta la Sede Central Luperén, mediante una Red Privada Virtual (VPN), con las demés localidades: Oficina México, Oficina Savifién, MITUR Puerto Plata, MITUR Bavaro, CEIZTUR, AILA). ‘A continuacién, se mostrara el conjunto de equipos fisicos (hardware) con que cuenta el Ministerio: > | EQUIPO DESCRIPCION | CANTIDAD UBICACION. 30 en MITUR Principal, 5 en la Equipos deRedde | 4. sede México, 2 en Savifién, 4 en Datos CEIZTUR, 3 en OPT Puerto Plata y 1 en OPT Bavaro. 16 a nivel central, 2 a Sede México 22 | y 1 Oficina Savifién, 1 CEIZTUR, 1 Puerto Plata, 1 Bavaro 409 a nivel central, 117 Oficina en 1 Switches Servidores Servidores Datos, Fisicos Aplicaciones 3, |Computadores| Estaciones de 699 _ | !México, 20 Oficina Savifién, 64 vr Usuarios CEIZTUR y 80 Oficinas del Interior. fe 210 a nivel central, 24 Oficina en la Impresién de : ara 4. | Impresoras Dances 256 México, 5 Oficina Savifién y 17 Oficinas del Interior. i 404 a nivel Cental, 74 en la 5, | Teletonia IP paper 509 Oficina de la México y 31 en la Oficina Savin Equipos de Control de | Seguridad Acceso y 6. ‘Acceso y Fisica. 21 21 anivel Central Asistencia PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR ‘+ REDES INSTALADAS. La red del MITUR garantiza la conectividad entre todas las estaciones de trabajo, con una topologia estrella, donde todos los pisos se conectan por fibra dptica a los equipos centrales ubicados en el tercer piso (IDF) y desde aqui al centro de datos. Tenemos 5 subtedes de las cuales 2 son para administracién de Switch, 1 para servidores y servicios, 1 para usuarios internos de la institucién y 1 para conexién VPN con las regionales. Tenemos 30 provincias conectadas mediante VPN punto a punto de cara a un Cisco ASA que permite obtener los servicios administrativos y comerciales para poder trabajar. 6, EVALUACION Y CALIFICACION DE IMPACTO EN LOS PROCESOS Y EQUIPOS La Direccién TIC y la alta Direccién deberin identificar y categorizar la informacién para establecer su nivel de proteccién y criticidad de la misma. A continuacién presentamos las tres dimensiones correspondientes a los aspectos de Confidencialidad, Integridad y Disponibilidad a ser protegidos; asi como los tres niveles de criticidad que son: Alta, Media y Baja, por cada uno de los siguientes aspectos. * Criticidad Alta: Son sistemas de datos técnicos y/o equipos especiales, que si se pierden cuestan més que el sistema informético que los procesa y se requiere de mucho esfuerzo y dinero recuperarlos. ‘© Criticidad Media: Son datos internos y/o equipos necesarios para los procesos internos, sélo pueden ser modificados por la persona autorizada; es una informacién con trato especial para no poner en riesgo los procesos necesarios para Ia rentabilidad de la instituci6n. ‘+ Criticidad Baja: Documentos y/o equipos que contienen especificaciones técnicas, que son usados constantemente por todo el personal sin que se requiera el conocimiento especializado para su manejo. PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR IPOS DE DATOS, EQUIPOS Y REDES, QUE SON VULNERABLES Y 1ECESARIOS DE PROTEGER ANTE CUALQUIER RIESGO DE SEGURIDAD. DIRECCION 5 D TIPO DEDATOS Spc ons RELEVANCIA L Dormeone sea Financiero Alta Financiero 2. | Documentos/Sistema RRIH | Recursos Humanos | Media 3. Documentos Direceién Juridica Alta 4 Documentos BID Media 3 Documentos Personal en General Baja Documentos/Sistema de : 6. ee Almacén Media 7 Documentos Sint de Correspondencia Alta Correspondencia 62. EQUIPOS (HARDWARE). NUMERO 1 | SeRvipoREQuIPOs | NUMERO ROLESISERVICIOS RELEVANCIA SERVIDOR DE ANTIVIRUS 1.) POWERSDSE | oycscri | VIRTUALIZADOS SERVIDORES | Alta RVRPRX Y ASTERISK (MDG) POWER EDGE ; SERVIDOR DE DATA 2. a H8N72B1 Rene Alta POWER EDGE BASE DE DATOS - AREA i R310 ee PROGRAMACION fie POWER EDGE SERVIDOR DE TELEFONIA - 2850 ee ASTERISK. ae SERVIDOR DE POWER EDGE VIRTUALIZACION / fh R710 GGGPMN1 | VigTyALIZADOs SERVIDORES | “"* DCO! - EXCH SERVIDOR DE POWER EDGE VIRTUALIZACION /LYNC § R710 GGHOMNI | SERVER 2010 / VIRTUALES Ale DCO2 - SQLOL 7, | POWER ADGE | ovpucri | PARA DESARROLLADORES Alta a | POWER EDGE | Ggn7api | FOREFRONT TMG2010-WSUS | Alta POWER EDGE CONTROLADOR DE DOMINIO, s R310 oe DHCP, DNS cia 8 PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR SERVIDOR EDGE DE LYNC 2013 1] POWRERPGE | oypicr | / SERVIDOR DE TELEFONIA - Alta ASTERISK POWER EDGE SERVIDOR DE APLICACIONES - n Pe 9yDQCPl i Alta ‘CONTROLADOR DE DOMINIO POWER EDGE SECUNDARIO / DHCP, DNS/ i R720 SHTN®Z1 | ViRTUALIZADOLYNC 2013 ¥ | Alt FOREFRONT TMG 2010 | OO | eee FILE SERVER Alta 14 Roviers/Switches Comunicacién/Datos Media 6.3. SERVIDORES, MODELOS OPERACIONALES (SOFTWARE). DIRECCION? i | apticactones | sevinoratosapo |, DIRECCION © J petevancta SRV DeOy Direccién de Tecnologia 1} Ditestodio Active. | POOSERVER MES | is ta fafoemacion y Alta SRV-DCOL SRV" | Comunieacién TIC | BIDPRIN | SRVACT, : Direccién de Teenologia SRVPREPROSFT, 2, | Base de Datos'sQL | OD, dela Informacion y Alta SRVCA Sistema : a leet PDCSERVER Direecién Financiera Alte 4 Suen PDCSERVER Correspondencia Alta Conespondencia 5._| Sistema Almacéa_| _ PDCSERVER Almacén Media «| SistemaRecusos | pocgraver | Diresiinde Recunos |. Humanos Humanos Dieocién de Recursos 7. | Sistema Camet PDCSERVER | Humanos Direccién de | Baja Empresas y Servicios 6.4, SERVICIOS EXTERNOS. | wPOSERVICIO PROVEEDOR REDUNDANGIA” | RELEVANGIA 1. | Comunicacién deDatos | ALTICE WIND TELECOM Alta Comunieaciin CLARO 3 Telefonia DOMINICANA AuTIGH Ale) 3. | _ Sistema Eléctrico CDEEE | PLANTAELECTRICA| Alta PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR 6.5. ESTRUCTURA FISICA, @ AREA ELEMENTOS RELEVANGIA 1 Ceniro de Datos Racks/Servidores Alta IDF Untermediate Data Frame), : # MDF (Master Data Frame). pete Switches pede 3. Cuartos UPS's UPS's Alta 7, EVALUACION Y CLASIFICACION DE RIESGOS. A continuacién se detallan los posibles Riesgos que interrumpirian el normal desarrollo del funcionamiento de las operaciones y/o prestacion de servicios especificos La Probabilidad: Es la estimacién cuantificable de 1a materializacién del riesgo. Probabilidad Baja (1):Son aquellas situaciones donde la exposicién al riesgo es ocasional o esporidica. No es esperable que se materialice el riesgo, aunque puede ser concebible. Probabilidad Media(2): Bl riesgo puede presentarse con una frecuencia menor que alta, Esto implica que existen bases para creer, sin descartar que suceda, que su frecuencia no sea tan preocupante como en el caso de probabilidad alta, Probabilidad Alta(3): Situacién deficiente donde el riesgo se presenta de manera continua, Normalmente la materializacién del riesgo ocurre en un corto espacio de tiempo. E| Impacto: Es definido como el efecto y/o consecuencia que se produce si el riesgo Hlegase a ocurrir, no seré necesariamente la negacién total de la meta u objetivo, sino determinar cuan grave cs el dafio o efecto que se puede producir y responde a las siguientes preguntas: Impacto bajo(1):_Se reconoce que existe un riesgo, pero no se considera que el resultado vaya a ‘modificar el resultado de manera importante como para tomar algin tipo de medida inmediata, Impacto Medio(2): Son aquellos casos en que se considera la materialidad menor que alto. Estos casos indican que, aunque los andlisis revelan un efecto importante, este no afectard la totalidad del objetivo ni pondré en peligro los resultados asociados al mismo, por lo cual las medidas correctivas podrian ser tomadas en un segundo plano. Impacto Alto): Se afecta en forma material el objetivo o los resultados que lo representan, Esto quiere decir, que el riesgo conllevaria a elaborar un Plan de Mitigacién Prioritario. 10 PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR FRECAUEIONACEION rascos {AGHVO | FHONARILADAD] GRAVEDADIIPAGrO [inencro] _ *PEAUGIONC Sistema conta ncendio Cnt de Dato, Rel Servidor FC Datos Fisioos ae er Tnoendio | Usuarios, Switches, 1 structures . Tajo le atti > peri (Underwriters Laboratories) y i acery Mota. Aaivins,Poias de Vins, | Bose de Datos, PC Peedi de Datos, Dao Seguridad Pecintal Maina, |Usuios Aptacones| 3 Lips, Rabo de | 3 | Actlizaciones, Seema de Rankomvare | Sita Gperves Tnfomacion. Resp en mete Fisiony ena ne uracanes, | Cento de Datos, Rack, sas suc Ant Sion Tomenssy | Seridors,Swiche, | 5 pxvttos Ros |, | maison Racks, Sistema Cables, ne, de Resid enmetioe Commins, : Fscosalleraoe yen ube Sevres, PC naib eeatie upon poe por Averias | Usuarios Swiches, | | Datos fiseosDiseos | | anal aria. Hardware | Comumesson, Ae Peioe Sistema de Resp co Acondicionado. i” medios Fisicos y en la nube. Romie | gee rie Sistema de Respléo on : Pada de Dales, Dato iedin Fos yen abe Humano. | "(eer de 3 igo. 3 Borrado | Aplicaciones) y PC Bi Inenciona. | "Uso PLAN DE SEGURIDAD FISICA DE LOS ACTIVOS TECNOLOGICOS DEL MITUR, Falla Eléetrie, Servidores, PC ‘Usuarios, Switches, Comunieacion. Dafos Fisicos Discos ures, Funcionamiento ‘de Equipos. Coniamos coa sistema de ‘UPS central, asegurando asi aque los servicios de MITUR no se vean aectados por falls cletricas, el mismo cuenta con un banco de bateris que ‘nos brinda una autonomia eléetriea de 3 horas. _Equipos protegidos por garanta del fabricante Sistema de Respaldo en sedis Fisicosy en la rube, Damain Controller (Controlader de Hackers | peminay Die Sere i de Dats, Dato hee aay intrusos, | File Server, App Server LLégico, Robo de i cee: Ingenieria ‘Sita de Respaldo en Social ae — medias Fisicos y en la ube, Aplicaciones) y PC | x Unsrios, Se pred con inns Sustracciin de | pe ysuarios. Beste de retin

    También podría gustarte