Tecnología de la Información ( IN7N2 )

Provisión de Servicios ( Capítulo 2 )

Prof. Titular: Eduardo Díaz Ly

Prof. Auxiliar: Paulo Sáez A.

Universidad de Chile
Contenido de este Capítulo 2

Provisión de Servicios TI
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica

2
Contenido de este Capítulo 2

Provisión de Servicios TI
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica

3
Las plataformas digitales están compuestas de diferentes capas de
tecnologías e información, que se integran para su funcionamiento

Arquitectura Genérica TI
Experiencia del Cliente
CX / UX
Aplicaciones Usuario Final
Seguridad de la Información

Productividad + Colaboración
Aplicaciones de Negocio
Registro + Diferenciación + Innovación

Observabilidad
Servicios + Microservicios + APIs

Base de Datos + Middleware

Sistemas Operativos + Virtualizador

Infraestructura Hardware
Cómputo + Almacenamiento + Respaldo

Redes de Conectividad

4
La infraestructura TI asociada a la arquitectura genérica TI se encuentra
alojada físicamente en uno o más Data Centers interconectados

Data Center

Arquitectura Genérica TI
Aplicaciones
Apps
Usuario
Final

Cómputo Almacenamiento
MS
MW BD
SO

Seguridad Conectividad

5
La instalaciones de un Data Center deben cumplir estándares
industriales tanto de diseño, construcción como de operación para
garantizar la continuidad y sustentabilidad de sus servicios
• Sistemas de Aire Acondicionado y Circulación
• Sistemas de Manejo de Aguas
• Sistemas Eléctricos, Grupos Electrógenos y UPS
• Redes de Conectividad (MeetMe Room)
• Seguridad Física
• Salas de Monitoreo y Control
• Salas de Operación de clientes
• Salas de Racks

Data Center Cuidad de Los Valles - Chile

6
 Data Center por dentro
Sistemas de Salas de
Control Monitoreo y
Climático Control

Oficinas de
Clientes
(DRP)

Salas de Servidores y Redes

Banco UPS de
Respaldo Eléctrico

Exclusivas o Compartidas

Salas de
Grupos
Almacenamiento
Electrógenos
de Cintas
de Respaldo
Magnéticas

7
Contenido de este Capítulo 2

Provisión de Servicios
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica

8
 La infraestructura TI de una empresa se encuentra distribuida en diferente
localidades y es interconectada a través de redes de comunicaciones y
telecomunicaciones
Planta
AREA METROPOLITANA

Oficinas Data Center

WAN
WIDE AREA
NETWORK
Aplicaciones
Interfaz
Usuario
Final

Cómputo Almacenamiento
MS
MW BD
SO

LAN Seguridad LAN Conectividad

LOCAL AREA NETWORK

MAN
METROPOLITAN
AREA NETWORK

Sucursal
9
La infraestructura TI se aloja en forma redundante en Data
Centers para asegurar la continuidad operacional
• La infraestructura crítica para el negocio se aloja en Data Center propios o de terceros
(proveedores de servicios de “housing” y/o “hosting” de infraestructura TI).
• Una arquitectura redundante debe al menos considerar 2 Data Centers, permitiendo
activar planes de continuidad del negocio (BCP) y de recuperación ante desastres (DRP)
▪ DC Primario: aloja infraestructura con la información “activa” o real
▪ DC Secundario: aloja infraestructura con información replicada o respaldada
• Los Data Center pueden estar trabajando en forma sincronizada o asíncrona (con
desface en las actualizaciones de datos).

Data Center Data Center

Primario Secundario

Red Anillo
Redundante

Requerimiento CMF*: Distancia mínima 100 Km

*CMF = Comisión para el Mercado Financiero de Chile 10

La nube o Cloud está compuesta por muchos Data Centers interconectados,
compartiendo infraestructura y servicios de forma abierta y pública

Nube Cloud

Casa ISP

ISP
Ciber
Café ISP

Internet
ISP Service ISP
Provider

Data Center Data Center

Primario Secundario

Red Anillo
Redundante

11
Existen varios proveedores de Servicios de Data Centers a nivel global que
alojan la infraestructura TI de aquellos proveedores de Servicios Cloud

2455 Data Centers certificados por Uptime Institute

Fuente: Uptime Institute - Junio 2023
https://uptimeinstitute.com/tier-certification/tier-certification-list
Evaluación de los
proveedores de servicios
de Data Center e En 2021 existían cerca de 8 mil Data Center a nivel
Interconexión mundial.
Fuente: IDC 2021

12
Características del “Cloud Computing”

• Tecnologías Internet
• Servicios Escalables de…
• Provisión Elástica
• Servicios Compartidos
• Uso Medido

Modos de Uso
• Demanda por autoservicio
• Organización TI puede actuar como:
▪ Consumidor
▪ Proveedor
▪ “Broker” o “Corredora” de proveedores de
servicios Cloud para la empresa que sirve

Fuente: Gartner – “Cloud Computing Primer for 2019”, ID: G00375766”, 2019 13
Dentro del Cloud existen capas agregadas de servicios que son
consumidos de acuerdo a la necesidad del cliente (demanda)

Interfaz
Usuario DaaS = Desktop como Servicio
Final
Aplicaciones

SaaS = Software como Servicio

Cómputo
MS
Almacenamiento
PaaS = Plataforma como Servicio
MW BD
SO

IaaS = Infraestructura como Servicio

Seguridad Conectividad

14
Los diferentes servicios Cloud permiten construir soluciones
privadas, públicas o híbridas (mixtas)
Solución Híbrida
EJEMPLO
Ambiente
APP
Cloud Desarrollo
Pública
Cloud
Ambiente
APP
Prueba

Cloud

TRANSPORTE
Híbrida
Data Center

Ambiente
Cloud APP

Producción
Privada

15
“Cloud First” es la estrategia que se espera que las
Org-TI adopten para habilitar la transformación digital
• El consumo del SaaS, por individuos y empresas, ha provocado la
“consumerización” de TI
▪ Cambia la forma en que las Org-TI responden a las demandas de sus clientes.
• Gran incremento en el gasto de los servicios Cloud, producto de la
proliferación de los casos-de-uso exitosos.
• Cloud es el vehículo a la Inteligencia Artificial (IA), los Negocios Digitales
y la Internet de las Cosas (IoT).
• El elaborar una estrategia Cloud es uno de los principales desafíos que
enfrentan las empresas hoy
▪ Se confunde con el plan de adopción o migración a Servicios Cloud
▪ Hay múltiples alternativas de estrategias y rutas disponibles

Fuente: Gartner – “Cloud Computing Primer for 2019”, ID: G00375766, 2019 16
Contenido de este Capítulo

Provisión de Servicios
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica

17
 La continuidad del negocio se debe asegurar definiendo planes de
contingencia y recuperación ante desastres (incidente mayor)
INCIDENTE
MAYOR

BCP Servicios
Servicios Normales Servicios en Contingencia
PLAN DE CONTINUIDAD DEL NEGOCIO Normales

Pruebas DRP
Respaldos
BCP + DRP
Inicio Recuperación de Servicios Recuperación de Servicios
DRP TI Mínimos para el Negocio TI a niveles normales

PLAN RECUPERACION ANTE DESASTRE

✓ × × ✓
PRIMARIO

✓ ? ✓ ✓
SECUNDARIO

Pérdida de Datos Pérdida de Servicios TI

RPO RTO
RECOVERY POINT OBJECTIVE RECOVERY TIME OBJECTIVE

18
Plan de Continuidad del Negocio (BCP)
OBJECTIVO
• (el negocio) Tener la capacidad de continuar la entrega de los productos y
servicios, a niveles aceptables predefinidos, luego de un incidente mayor
CONTENIDO
• Constitución del Comité de BCP
• Plan Comunicacional y de Coordinación
• Sistemas, Procesos, Procedimientos e Instructivos para operar en modo
contingencia
• Plan de Pruebas Periódicas
RESULTADO ESPERADO
• Reactivación de la entrega de productos y servicios de acuerdo a los tiempos y
niveles aceptables predefinidos
RESPONSABILIDAD DEFINICION Y EJECUCION
• Unidades del negocio impactadas

19
Plan de Recuperación ante Desastres (DRP)
OBJECTIVO
• (la Org-TI) Contar con las políticas, herramientas y procedimientos para habilitar
la recuperación o continuidad de los servicios de infraestructura y aplicaciones
TI que soportan los sistemas críticos del negocio luego de un incidente mayor
CONTENIDO
• Constitución del Comité de DRP
• Plan Comunicacional y de Coordinación (interna y con el negocio)
• Sistemas, Procesos, Procedimientos e Instructivos que permitan la recuperación
de los servicios TI
• Plan de Pruebas Periódicas
RESULTADO ESPERADO
• Recuperación del mínimo de Servicios TI predefinidos, en los tiempos
comprometidos con el negocio
RESPONSABILIDAD DEFINICION Y EJECUCION
• Org-TI

20
Contenido de este Capítulo

Provisión de Servicios
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica

21
Noticias de Ciberataques en los últimos meses…

22
La empresa debe contar con un Sistema de Gestión de
Seguridad de la Información (ISMS)
El estándar ISO/EIC 27001:2013 establece un conjunto de prácticas y
controles que permiten:
• Examinar sistemáticamente los riesgos de seguridad, considerando las
amenazas, vulnerabilidades y su impacto en el negocio.
• Diseñar e implementar un conjunto coherente e integral de controles
de seguridad y/o otras acciones para abordar aquellos riesgos que se
consideren inaceptables.
• Adoptar un proceso de gestión que garantice que los controles (de
seguridad de la información) satisfagan de forma continua las
necesidades de seguridad de la información de la organización.

La empresa establece el alcance del uso de la norma ISO 27001 para

obtener la certificación de su cumplimiento.

23
 Se requiere una estructura de gobierno corporativo efectiva para enfrentar
el cada vez más complejo y amenazante Ciber-Espacio
PROPOSITO LIDER MIEMBROS
Asegura que los Chief Risk Officer • Líderes del Negocio
Gobierno requerimientos del negocio (CRO) = Gerente de • Gerente de Seguridad
Seguridad de sean definidos, adecuados Riesgo Corporativo • Gerente de Legal
y cumplidos. • Gerente de RRHH
la Información • CIO
• CISO

Asegura que las funciones Chief Information • Gtes. de Seguridad

Gestión de seguridad cuenten con Security Office (CISO) • Gte. RR.PP.
los recursos y se ejecuten = Oficial de • Gte. Controlaria
Seguridad de adecuadamente para Seguridad de la • Gerente Compras
la Información cumplir los requerimientos Información • Gte. SOC
del negocio.

Ejecuta las acciones diarias SOC Manager • Profesionales

Operación para que buscan mitigar los especialistas de
Operación Seguridad de riesgos de seguridad Seguridad
TI la Información
(SOC)

Fuente: Gartner, “Security Governance, Management and Operations Are Not the Same", 2015, G00235293 24
Funciones y Servicios de un SOC

Funciones
• Monitoreo de eventos de Seguridad
• Gestión de Amenazas y
Vulnerabilidades
• Gestión de respuesta ante
incidentes de Ciber Seguridad
• Administración y Mantención de
dispositivos de Seguridad TI
• Gestión del Cumplimiento de
políticas y prácticas de Seguridad
• Capacitación de Seguridad de la
Información

Fuente: Gartner, "Security Governance, Management and Operations Are Not the Same", 2015, G00235293 25
Funciones y Servicios de un SOC

Servicios
• Respuesta ante Incidentes de Ciber Seguridad
• Análisis de Malware
• Análisis Forense
• Análisis de Inteligencia de Amenazas
• Análisis de Riesgos y Modelamiento de Rutas de Amenazas
• Implementación de medidas de mitigación
• Evaluación y análisis de Vulnerabilidades
• Testeos de Penetración
• Priorización y coordinación de implementación de remediaciones
• Diseño de la arquitectura de Seguridad
• Consultoría de Seguridad
• Registro y distribución de Datos de Seguridad Auditables
• Capacitación en concientización sobre seguridad

Fuente: Gartner, "Security Governance, Management and Operations Are Not the Same", 2015, G00235293 26
Gestión de la Identidad (personal)

Autentificación de múltiples factores (Multifactor Authentication)

HOLA
Mi nombre es

Algo que yo sé Algo que yo tengo Algo que yo soy

Al usar una mayor cantidad de factores conjuntamente, mayor es la

seguridad de identificar acertadamente a un individuo / persona

Fuente: Gartner, "Security Governance, Management and Operations Are Not the Same", 2015, G00235293 27
Tipos de Malware

Malware: SW diseñado con el propósito de realizar tareas maliciosas en

sistemas computaciones / informáticos

Ingeniería Social: un agresor (attacker) manipula o engaña a las personas

para que divulguen información u otorguen acceso a ciertas cosas que no
deberían ser compartidas. Este accionar tiene propósitos maliciosos.
• Phishing: un email es enviado con propósito malicioso, intentando que
el emisor aparezca como auténtico y legítimo.
• Smishing: “phishing”, pero utilizando un mensaje de texto o SMS
• Spoofing: ciber-criminales enviando un email / texto o haciendo una
llamada que parezca proveniente de una fuente confiable

Ramsomware: solicitud de rescate a cambio de entregar acceso digital

Fuente: Gartner, "Security Governance, Management and Operations Are Not the Same", 2015, G00235293 28
Contenido de este Capítulo

Provisión de Servicios
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica

29
 Para asegurar la continuidad de los servicios entregados al negocio es
necesario gestionar el ciclo de vida de los activos TI – Renovación
Tecnológica
SOPORTE HW / SW
Proveedor Representante

SOPORTE DEL FABRICANTE EXTENDIDO OBSOLETO

• Fabricante desarrolla y provee parches y upgrades (SW)
Fabricante

• Fabricante provee componentes (HW)

GARANTIA DEL FABRICANTE (HW)

END OF
Fabricación END OF LIFE
SUPPORT

⓿ Vida del Activo TI [años] ❸ ❺ ❼

En Fuera de Desconexión Write-off de
Compra Instalación
Servicio Servicio y Retiro Activo Fijo

PROYECTO COMISION EN PRODUCCION DECOMISION

Organización TI

CONTRATO DE SOPORTE Y MANTENCIÓN

con Fabricante o Proveedor Representante

MANTENCION PREVENTIVA
Plan de mantención periódica para administrar activos y aplicar
upgrades y parches del fabricante (remediación de bugs y/o
vulnerabilidades - seguridad de la información)

GESTION de la RENOVACION TECNOLOGICA

Roadmap Estratégico de Renovación Tecnológica, incluye CAPEX
de Inversión o su conversión a OPEX en Servicios Cloud

30
 La gestión de la renovación tecnológica incluye una serie continua de
proyectos para reemplazar la tecnología antes que quede obsoleta
Proyecto
Inicial
Tecnológica
Renovación
Proyecto

EVALUACION
PROYECTO
DE
RENOVACION
TECNOLOGICA
31
La Gestión de Renovación Tecnológica está íntimamente relacionada con la
Gestión del Riesgo y de la Seguridad de la Información

• No contar con un Roadmap financiado para la

Renovación Tecnológica oportuna provoca mayor
Mayor grado de obsolescencia de los activos TI
Obsolescencia
• A mayor obsolescencia, hay menor soporte de los
fabricantes y menor capacidad de respuesta ante
Mayor aparición de nuevas vulnerabilidades de HW y
Vulnerabilidad
SW
• Aumenta el riesgo de ocurrencia (probabilidad)
Mayor de incidentes (ej. Ciber-Seguridad, Falla HW sin
Riesgo
repuesto)

Mayor
• Aumenta el potencial impacto a la continuidad
Impacto al del negocio de estos incidentes (ej. Incidentes
Negocio mayores)

32
La adopción de Servicios Cloud reduce la gestión de la
renovación tecnológica
• Al subscribir Servicios Cloud el activo utilizado pertenece al
proveedor Cloud

• El Proveedor de Servicios Cloud realiza en forma

transparente para el consumidor la renovación tecnológica
de la infraestructura TI subyacente

• El Proveedor de Servicios Cloud mantiene un catálogo de los

servicios disponible con información de las versiones y
niveles de “parchado” del HW y SW subyacente

33
Próximo Capítulo 3

• Estructura Corporativa de la Operación TI

• Estructuras de las Organizaciones TI
▪ 5 Patrones de Focos de Acción
▪ 5 Niveles de Madurez
• 3 Roles de las Organizaciones TI

34