Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Universidad de Chile
Contenido de este Capítulo 2
Provisión de Servicios TI
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica
2
Contenido de este Capítulo 2
Provisión de Servicios TI
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica
3
Las plataformas digitales están compuestas de diferentes capas de
tecnologías e información, que se integran para su funcionamiento
Arquitectura Genérica TI
Experiencia del Cliente
CX / UX
Aplicaciones Usuario Final
Seguridad de la Información
Productividad + Colaboración
Aplicaciones de Negocio
Registro + Diferenciación + Innovación
Observabilidad
Servicios + Microservicios + APIs
Redes de Conectividad
4
La infraestructura TI asociada a la arquitectura genérica TI se encuentra
alojada físicamente en uno o más Data Centers interconectados
Data Center
Arquitectura Genérica TI
Aplicaciones
Apps
Usuario
Final
Cómputo Almacenamiento
MS
MW BD
SO
Seguridad Conectividad
5
La instalaciones de un Data Center deben cumplir estándares
industriales tanto de diseño, construcción como de operación para
garantizar la continuidad y sustentabilidad de sus servicios
• Sistemas de Aire Acondicionado y Circulación
• Sistemas de Manejo de Aguas
• Sistemas Eléctricos, Grupos Electrógenos y UPS
• Redes de Conectividad (MeetMe Room)
• Seguridad Física
• Salas de Monitoreo y Control
• Salas de Operación de clientes
• Salas de Racks
Oficinas de
Clientes
(DRP)
Banco UPS de
Respaldo Eléctrico
Exclusivas o Compartidas
Salas de
Grupos
Almacenamiento
Electrógenos
de Cintas
de Respaldo
Magnéticas
7
Contenido de este Capítulo 2
Provisión de Servicios
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica
8
La infraestructura TI de una empresa se encuentra distribuida en diferente
localidades y es interconectada a través de redes de comunicaciones y
telecomunicaciones
Planta
AREA METROPOLITANA
Cómputo Almacenamiento
MS
MW BD
SO
MAN
METROPOLITAN
AREA NETWORK
Sucursal
9
La infraestructura TI se aloja en forma redundante en Data
Centers para asegurar la continuidad operacional
• La infraestructura crítica para el negocio se aloja en Data Center propios o de terceros
(proveedores de servicios de “housing” y/o “hosting” de infraestructura TI).
• Una arquitectura redundante debe al menos considerar 2 Data Centers, permitiendo
activar planes de continuidad del negocio (BCP) y de recuperación ante desastres (DRP)
▪ DC Primario: aloja infraestructura con la información “activa” o real
▪ DC Secundario: aloja infraestructura con información replicada o respaldada
• Los Data Center pueden estar trabajando en forma sincronizada o asíncrona (con
desface en las actualizaciones de datos).
Red Anillo
Redundante
Nube Cloud
Casa ISP
ISP
Ciber
Café ISP
Internet
ISP Service ISP
Provider
Red Anillo
Redundante
11
Existen varios proveedores de Servicios de Data Centers a nivel global que
alojan la infraestructura TI de aquellos proveedores de Servicios Cloud
12
Características del “Cloud Computing”
• Tecnologías Internet
• Servicios Escalables de…
• Provisión Elástica
• Servicios Compartidos
• Uso Medido
Modos de Uso
• Demanda por autoservicio
• Organización TI puede actuar como:
▪ Consumidor
▪ Proveedor
▪ “Broker” o “Corredora” de proveedores de
servicios Cloud para la empresa que sirve
Fuente: Gartner – “Cloud Computing Primer for 2019”, ID: G00375766”, 2019 13
Dentro del Cloud existen capas agregadas de servicios que son
consumidos de acuerdo a la necesidad del cliente (demanda)
Interfaz
Usuario DaaS = Desktop como Servicio
Final
Aplicaciones
Cómputo
MS
Almacenamiento
PaaS = Plataforma como Servicio
MW BD
SO
14
Los diferentes servicios Cloud permiten construir soluciones
privadas, públicas o híbridas (mixtas)
Solución Híbrida
EJEMPLO
Ambiente
APP
Cloud Desarrollo
Pública
Cloud
Ambiente
APP
Prueba
Cloud
TRANSPORTE
Híbrida
Data Center
Ambiente
Cloud APP
Producción
Privada
15
“Cloud First” es la estrategia que se espera que las
Org-TI adopten para habilitar la transformación digital
• El consumo del SaaS, por individuos y empresas, ha provocado la
“consumerización” de TI
▪ Cambia la forma en que las Org-TI responden a las demandas de sus clientes.
• Gran incremento en el gasto de los servicios Cloud, producto de la
proliferación de los casos-de-uso exitosos.
• Cloud es el vehículo a la Inteligencia Artificial (IA), los Negocios Digitales
y la Internet de las Cosas (IoT).
• El elaborar una estrategia Cloud es uno de los principales desafíos que
enfrentan las empresas hoy
▪ Se confunde con el plan de adopción o migración a Servicios Cloud
▪ Hay múltiples alternativas de estrategias y rutas disponibles
Fuente: Gartner – “Cloud Computing Primer for 2019”, ID: G00375766, 2019 16
Contenido de este Capítulo
Provisión de Servicios
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica
17
La continuidad del negocio se debe asegurar definiendo planes de
contingencia y recuperación ante desastres (incidente mayor)
INCIDENTE
MAYOR
BCP Servicios
Servicios Normales Servicios en Contingencia
PLAN DE CONTINUIDAD DEL NEGOCIO Normales
Pruebas DRP
Respaldos
BCP + DRP
Inicio Recuperación de Servicios Recuperación de Servicios
DRP TI Mínimos para el Negocio TI a niveles normales
✓ × × ✓
PRIMARIO
✓ ? ✓ ✓
SECUNDARIO
18
Plan de Continuidad del Negocio (BCP)
OBJECTIVO
• (el negocio) Tener la capacidad de continuar la entrega de los productos y
servicios, a niveles aceptables predefinidos, luego de un incidente mayor
CONTENIDO
• Constitución del Comité de BCP
• Plan Comunicacional y de Coordinación
• Sistemas, Procesos, Procedimientos e Instructivos para operar en modo
contingencia
• Plan de Pruebas Periódicas
RESULTADO ESPERADO
• Reactivación de la entrega de productos y servicios de acuerdo a los tiempos y
niveles aceptables predefinidos
RESPONSABILIDAD DEFINICION Y EJECUCION
• Unidades del negocio impactadas
19
Plan de Recuperación ante Desastres (DRP)
OBJECTIVO
• (la Org-TI) Contar con las políticas, herramientas y procedimientos para habilitar
la recuperación o continuidad de los servicios de infraestructura y aplicaciones
TI que soportan los sistemas críticos del negocio luego de un incidente mayor
CONTENIDO
• Constitución del Comité de DRP
• Plan Comunicacional y de Coordinación (interna y con el negocio)
• Sistemas, Procesos, Procedimientos e Instructivos que permitan la recuperación
de los servicios TI
• Plan de Pruebas Periódicas
RESULTADO ESPERADO
• Recuperación del mínimo de Servicios TI predefinidos, en los tiempos
comprometidos con el negocio
RESPONSABILIDAD DEFINICION Y EJECUCION
• Org-TI
20
Contenido de este Capítulo
Provisión de Servicios
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica
21
Noticias de Ciberataques en los últimos meses…
22
La empresa debe contar con un Sistema de Gestión de
Seguridad de la Información (ISMS)
El estándar ISO/EIC 27001:2013 establece un conjunto de prácticas y
controles que permiten:
• Examinar sistemáticamente los riesgos de seguridad, considerando las
amenazas, vulnerabilidades y su impacto en el negocio.
• Diseñar e implementar un conjunto coherente e integral de controles
de seguridad y/o otras acciones para abordar aquellos riesgos que se
consideren inaceptables.
• Adoptar un proceso de gestión que garantice que los controles (de
seguridad de la información) satisfagan de forma continua las
necesidades de seguridad de la información de la organización.
23
Se requiere una estructura de gobierno corporativo efectiva para enfrentar
el cada vez más complejo y amenazante Ciber-Espacio
PROPOSITO LIDER MIEMBROS
Asegura que los Chief Risk Officer • Líderes del Negocio
Gobierno requerimientos del negocio (CRO) = Gerente de • Gerente de Seguridad
Seguridad de sean definidos, adecuados Riesgo Corporativo • Gerente de Legal
y cumplidos. • Gerente de RRHH
la Información • CIO
• CISO
Fuente: Gartner, “Security Governance, Management and Operations Are Not the Same", 2015, G00235293 24
Funciones y Servicios de un SOC
Funciones
• Monitoreo de eventos de Seguridad
• Gestión de Amenazas y
Vulnerabilidades
• Gestión de respuesta ante
incidentes de Ciber Seguridad
• Administración y Mantención de
dispositivos de Seguridad TI
• Gestión del Cumplimiento de
políticas y prácticas de Seguridad
• Capacitación de Seguridad de la
Información
Fuente: Gartner, "Security Governance, Management and Operations Are Not the Same", 2015, G00235293 25
Funciones y Servicios de un SOC
Servicios
• Respuesta ante Incidentes de Ciber Seguridad
• Análisis de Malware
• Análisis Forense
• Análisis de Inteligencia de Amenazas
• Análisis de Riesgos y Modelamiento de Rutas de Amenazas
• Implementación de medidas de mitigación
• Evaluación y análisis de Vulnerabilidades
• Testeos de Penetración
• Priorización y coordinación de implementación de remediaciones
• Diseño de la arquitectura de Seguridad
• Consultoría de Seguridad
• Registro y distribución de Datos de Seguridad Auditables
• Capacitación en concientización sobre seguridad
Fuente: Gartner, "Security Governance, Management and Operations Are Not the Same", 2015, G00235293 26
Gestión de la Identidad (personal)
HOLA
Mi nombre es
Fuente: Gartner, "Security Governance, Management and Operations Are Not the Same", 2015, G00235293 27
Tipos de Malware
Fuente: Gartner, "Security Governance, Management and Operations Are Not the Same", 2015, G00235293 28
Contenido de este Capítulo
Provisión de Servicios
• Arquitectura Genérica TI
• Modalidades de Provisión de servicios
• Continuidad del Negocio y Planes de Contingencia
• Seguridad de la Información
• Gestión de Renovación Tecnológica
29
Para asegurar la continuidad de los servicios entregados al negocio es
necesario gestionar el ciclo de vida de los activos TI – Renovación
Tecnológica
SOPORTE HW / SW
Proveedor Representante
END OF
Fabricación END OF LIFE
SUPPORT
MANTENCION PREVENTIVA
Plan de mantención periódica para administrar activos y aplicar
upgrades y parches del fabricante (remediación de bugs y/o
vulnerabilidades - seguridad de la información)
30
La gestión de la renovación tecnológica incluye una serie continua de
proyectos para reemplazar la tecnología antes que quede obsoleta
Proyecto
Inicial
Tecnológica
Renovación
Proyecto
EVALUACION
PROYECTO
DE
RENOVACION
TECNOLOGICA
31
La Gestión de Renovación Tecnológica está íntimamente relacionada con la
Gestión del Riesgo y de la Seguridad de la Información
Mayor
• Aumenta el potencial impacto a la continuidad
Impacto al del negocio de estos incidentes (ej. Incidentes
Negocio mayores)
32
La adopción de Servicios Cloud reduce la gestión de la
renovación tecnológica
• Al subscribir Servicios Cloud el activo utilizado pertenece al
proveedor Cloud
33
Próximo Capítulo 3
34