Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de
Authors Flores Esteves, Jack Shannon; Puppi Becerra, Gino Alfredo
Publisher
ría - lu ial
Universidad Peruana de Ciencias Aplicadas (UPC)
o
c
In 4 iv
Rights info:eu-repo/semantics/openAccess
di IN E en
a
Download date
31 s
24/09/2020 22:45:32
ic
so fid
át
c
Item License http://creativecommons.org/licenses/by-nc-nd/4.0/
x
n
Link to Item rm
http://hdl.handle.net/10757/301540
o
C
fo
F
u
ra
Pa
to
Au
FACULTAD DE INGENIERÍA
de
ría - lu ial
o
CARRERA DE INGENIERÍA DE SISTEMAS DE INFORMACIÓN
c
In 4 iv
di IN E en
a
31 s
ic
Gestión de la seguridad física y lógica para un centro
so fid
át
c
de datos
x
n
rm
o
C
fo
F
PROYECTO PROFESIONAL
u
to
AUTORES:
Flores Esteves, Jack Shannon
Puppi Becerra, Gino Alfredo
Au
ASESOR:
Villalta Riega, Rosario del Pilar
LIMA – PERÚ
2013
de
DEDICATORIA
ría - lu ial
o
El proyecto Gestión de la Seguridad Física y Lógica para un Centro de
c
In 4 iv
Datos, se lo dedicamos a nuestros padres y hermanos, quienes nos ha n
di IN E en
a
apoyado a lo largo de nuestra vida y en especial por el apoyo y
31 s
ic
enseñanzas brindadas, las cuales nos han ayudado a superar todos los
so fid
át
c
agradecerles por el apoyo que nos brindan para seguir adela nte, lo que
x
n
fo
Por otro lado, queremos agradeceré a todos los profesionales que de una
F
u otra forma nos han apoyado con sus enseñanzas a lo largo de los cinco
u
to
Au
TABLA DE CONTENIDO
ABSTRACT ................................................................................................................................................ 9
INTRODUCCION ..................................................................................................................................... 11
de
CAPÍTULO 1: DECLARACIÓN DEL PROYECTO .......................................................................................... 13
ría - lu ial
OBJETO DE ESTUDIO ................................................................................................................................ 13
o
DOMINIO DEL PROBLEMA ......................................................................................................................... 13
c
In 4 iv
Planteamiento de la Solución ........................................................................................................ 13
di IN E en
OBJETIVOS DEL PROYECTO ........................................................................................................................ 14
a
31 s
Objetivo general ............................................................................................................................ 14
ic
so fid
át
c
INDICADORES DE ÉXITO............................................................................................................................. 14
x
rm
Alcance del Proyecto ..................................................................................................................... 14
o
fo
RIESGO DEL PROYECTO............................................................................................................................. 16
F
METODOLOGÍA DE TRABAJO...................................................................................................................... 37
MAPA DE PROCESOS ............................................................................................................................... 42
DIAGRAMA DE OBJETIVOS......................................................................................................................... 43
SEGURIDAD A NIVEL FÍSICO ........................................................................................................................ 44
Diseño de la evaluación y del Checklist .......................................................................................... 44
Subsistema de Arquitectura ............................................................................................................................. 46
Subsistema Eléctrico ......................................................................................................................................... 59
Subsistema de Telecomunicaciones ................................................................................................................. 90
Niveles de calificación de la evaluación ......................................................................................... 92
Resultados de la Evaluación .......................................................................................................... 95
Interpretación de Resultados ....................................................................................................... 123
Procesos de la gestión de la seguridad física ................................................................................ 126
Definición de Procesos: Gestión de Evaluación de Seguridad....................................................................... 126
Definición de Procesos: Control de ingresos .................................................................................................. 135
de
Definición de Procesos: Revisión de Equipos ................................................................................................. 142
Definición de Procesos: Control de Protección Ambiental............................................................................ 153
ría - lu ial
Definición de Procesos: Gestión de solicitud de accesos ............................................................................. 161
o
Política de Seguridad Física ......................................................................................................... 168
c
Introducción .................................................................................................................................................... 168
In 4 iv
Alcance............................................................................................................................................................. 168
di IN E en
a
31 s
Acrónimos y definiciones ................................................................................................................................ 168
ic
Objetivos .......................................................................................................................................................... 168
so fid
át
c
Objetivos Específicos ................................................................................................................................. 168
x
n
fo
Conceptos y directrices sobre la Política de Seguridad Física .................................................................. 170
F
to
de
Introducción .................................................................................................................................................... 271
Alcance............................................................................................................................................................. 271
ría - lu ial
Acrónimos y definiciones ................................................................................................................................ 271
o
Objetivos .......................................................................................................................................................... 271
c
In 4 iv
Objetivo General ........................................................................................................................................ 271
di IN E en
a
Objetivos Específicos ................................................................................................................................. 271
31 s
Enunciado de la Política ............................................................................................................................. 272
ic
so fid
át
Violaciones a la política ............................................................................................................................. 272
c
Conceptos y directrices sobre la Política de Seguridad Lógica ................................................................ 272
x
n
rm
Gestión de Comunicaciones y Operaciones ........................................................................................ 272
o
de
Proceso Gestión de Solicitud de Accesos.................................................................................................. 289
Proceso Gestión de solicitud de respaldo de información ...................................................................... 290
ría - lu ial
Proceso Administración de Vulnerabilidades y Parches .......................................................................... 290
o
Proceso Gestión de Solicitud de Procesos Lógicos ................................................................................... 291
c
In 4 iv
Proceso Monitoreo de Componentes ....................................................................................................... 291
di IN E en
a
Proceso Gestión de Pruebas de Seguridad ............................................................................................... 291
31 s
Proceso de Restauración de Backup ......................................................................................................... 292
ic
so fid
át
Assessment de Seguridad ............................................................................................................................... 292
x c
n
fo
BIBLIOGRAFÍA ...................................................................................................................................... 307
F
ANEXOS................................................................................................................................................ 310
u
to
Au
RESUMEN EJECUTIVO
de
durante el segundo semestre del año 2010 y el primer semestre del año 2011.
ría - lu ial
La primera problemática a resolver era como cuantificar y detallar el estado actual del
o
c
centro de datos analizado. Un componente esencial en este análisis era estudiar y revisar
In 4 iv
di IN E en
la información de los procesos que rigen la operativa del centro, las directrices y/o
a
31 s
políticas establecidas y los activos o recursos que forman parte del caso de análisis. Para
ic
so fid
determinar cuál es el estado real del centro de datos, fue necesario investigar acerca de
át
c
estándares y/o normas internacionales y nacionales, las cuales son la base del presente
x
n
trabajo.
rm
o
fo
asegure la gestión de la seguridad (física y lógica) para un centro de datos pequeño. Por
F
lo que el proyecto determinó que debe tener múltiples fuentes y que éstas deben recoger
u
to
Con los estándares definidos, se inició la evaluación del centro de datos, con el objetivo
de definir su estado real y establecer medidas para subsanar las observaciones
encontradas. Se crearon dos checklist basados en los estándares y normas mencionados,
cada uno de ellos se especializa en un enfoque de la seguridad. Esta evaluación brindará
la pauta de lo que debe gestionarse en el corto, mediano y largo plazo. Los resultados de
ambos checklist no fueron los esperados. El resultado estableció que ambos frentes de la
seguridad estaban en su nivel más bajo y para levantar estas observaciones se necesitaba
trabajar sobre las recomendaciones catalogadas como mínimas. Por otro lado, se hizo
evidente que era necesario establecer directrices, políticas y procesos que permita hablar
de un centro de datos y no de una sala de computadoras, lo cual sería posible
únicamente si se adoptan los niveles de seguridad sugeridos.
Uno de los principales entregables del proyecto, es la política –la misma que cubre los
dos frentes de seguridad- basándola en la norma NTP-ISO/IEC 17799:2007. Al tener la
de
política instaurada, se definieron y crearon los procesos que brinden soporte a las
directrices de estas políticas; con la definición del proceso, fue necesario definir los
ría - lu ial
roles para finalmente formar un estándar aplicable a centro de datos pequeños.
o
c
In 4 iv
Por último, se han listado algunas recomendaciones y conclusiones del proyecto así
di IN E en
como también un manual de funciones del rol del oficial de seguridad. Con el objetivo
a
31 s
de continuar con esta iniciativa, se ha esquematizado y definido en un capitulo la
ic
so fid
át
c
el fin de verificar que los cambios sugeridos por el proyecto se hayan llevado a cabo y
x
n
rm
ayudar a que cada ciclo se retroalimente la gestión de la seguridad con los nuevos
o
fo
F
u
ra
Pa
to
Au
ABSTRACT
The contents of this document describes the work done in the project of “Gestión de la
Seguridad Física y Lógica para un Centro de Datos” developed in the virtual enterprise
IT-Expert. The implementation of this project will establish roles, processes and
policies to properly manage a small data center; the case analysis is the data center of
de
the career of information systems and software engineering in 2011.
ría - lu ial
The first problem to solve was to quantify and detail the current state of the data center
o
analyzed. An essential component of this analysis is to study and review the information
c
In 4 iv
governing the operational processes, guidelines or policies established and the assets or
di IN E en
a
31 s
resources that are part of the case of analysis. To determine the actual state of the data
ic
center, it was necessary to investigate standards and international / national standards,
so fid
át
c
which are the basis for establishing policies and processes within the data center.
x
n
rm
o
As a result of this investigation, it was concluded that there is no single standard that
C
ensures the management of a small data center around physical security as well as
fo
F
logical security. So, after investigation, it was determined that the project should be
based on several standards and that it must collect both types of security. The most
u
important standard is TIA-942, globally recognized standard and on which the best and
ra
most advanced data centers in the world base security management to be applied.
Another important standard safety working but focused on its logical component is the
Pa
to
With the defined standards, the project team began the data center assessment, with the
aim of defining its actual state and establishes measures to address the observations
found. We performed 2 checklist based on the standards and rules mentioned, each
checklist specializing in each approach to security. This evaluation will provide the
standard of what should be managed in the short, medium and long term. The results of
both checklists were not as expected; the results established that both security fronts
were at their lowest level and raise these observations that are needed to work on the
recommendations listed as minimum to have an "acceptable" level of security. On the
other hand, it became clear that they should establish guidelines, policies and processes
that allow talk of a data center and not a computer room; this would be possible only if
adopted safety levels suggested.
The project team developed a policy for the two mentioned security fronts, basing on
NTP-ISO/IEC 17799:2007 standard. Having the project team defined this policy;
processes have been created to provide support to the guidelines of these policies, with
the definition of the process, it was necessary to define the roles to finally form a
de
standard applicable to small data center.
ría - lu ial
Finally, we have listed some recommendations and conclusions of the project as well as
o
c
a functions manual of the role of the “Oficial de Seguridad”. In order to continue this
In 4 iv
di IN E en
initiative has been outlined and defined in a chapter called “Continuidad del Proyecto”.
a
31 s
Additionally, it has created a security assessment in order to verify that the changes
ic
so fid
suggested by the project have been carried out and help each cycle feedback security
át
c
management with new requirements, incidents, assessments, etc.
x
n
rm
o
C
fo
F
u
ra
Pa
to
Au
INTRODUCCION
de
lógico para un centro de datos.
ría - lu ial
Este proyecto es parte de los cursos Taller de Proyecto I y Taller de Proyecto II, los
o
cuales son obligatorios en la malla curricular de la carrera de Ingeniería de Sistemas de
c
In 4 iv
Información de la Universidad Peruana de Ciencias Aplicadas. Dentro de estos cursos
di IN E en
a
31 s
se maneja el concepto de empresa virtual, cada una de ellas tiene rubros y objetivos
ic
definidos. La empresa virtual encargada de los proyectos de Tecnologías de
so fid
át
c
tecnológicos de calidad al resto de las empresas virtuales. Este objetivo se soporta en la
x
n
rm
gestión de diversos proyectos y en la creación de nuevos servicios.
o
C
Este proyecto ha sido elegido como un proyecto viable por la importancia que va
fo
F
cobrando día a día la información en cualquier empresa alrededor del mundo, por la
u
la seguridad física y lógica en el centro de datos. Esto genera que no se puede asegurar
la seguridad de cada activo presente en el centro de datos de la carrera de Ingeniería de
Pa
to
El primer capítulo corresponde al marco teórico, este capítulo brinda las definiciones
Au
claves acerca de los conceptos de seguridad, estándar, las partes que contiene un
estándar; las actividades que corresponden a la seguridad (física y lógica) y cuáles son
los estándares más conocidos en cuanto a la seguridad. Por otro lado, también se
encontrará el dominio del problema, el planteamiento de la solución, los objetivos y la
justificación del proyecto.
de
resultados, la nueva escala creada; el resultado de la evaluación; la política de seguridad
física; los procesos que apoyan a la seguridad física y un mapeo de objetivos con
ría - lu ial
aspectos específicos de la ISO. La misma estructura se sigue para la seguridad lógica.
o
c
In 4 iv
Finalmente en el último capítulo se brindan recomendaciones, se presenta el resultado
di IN E en
del assessment y como mantener el proyecto a lo largo del tiempo.
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
CAPÍTULO 1: DECLARACIÓN DEL PROYECTO
Objeto de Estudio
de
“Determinar si existe un estándar que gestione de manera adecuada la seguridad
ría - lu ial
lógica y física para centro de datos de pequeña y mediana envergadura aplicable a las
o
empresas peruanas”.
c
In 4 iv
di IN E en
a
Dominio del Problema
31 s
ic
so fid
El problema se basa en la poca o la falta de seguridad a nivel físico y lógico que posee
át
c
el centro de datos de la carrera de Ingeniería de Sistemas de Información. Este déficit se
x
n
fo
Planteamiento de la Solución
F
metodología de trabajo y evaluación, para así definir los procesos, las políticas y los
ra
roles de manera que estos sean aplicables y escalables a centros de datos de baja y
mediana envergadura a nivel nacional.
Pa
to
Objetivo general
Evaluar y diseñar los procesos, controles y procedimientos que formarán parte de un
estándar para gestionar la seguridad física (seguridad ambiental, control de acceso,
monitoreo, etc.) y la seguridad lógica (permisos en aplicativos, compartidos, bases de
datos, roles, etc.) en el centro de datos de la carrera de Ingeniería de Sistemas de
de
Información.
ría - lu ial
Objetivos específicos
o
c
In 4 iv
1. Evaluar el estado actual del centro de datos de la carrera.
di IN E en
a
31 s
2. Definir los procesos que regirán a la gestión de seguridad lógica y física.
ic
so fid
át
c
estándar a usar en el centro de datos de la carrera.
x
n
rm
o
Indicadores de éxito.
C
fo
Reducir las observaciones encontradas en un 25% como mínimo.
F
seguridad.
to
de
6. Se entregará una relación de sugerencias a nivel físico para que sean evaluadas
en cuanto a costo/beneficio por el director de la carrera, debido a que no se
ría - lu ial
cuenta con presupuesto asignado.
o
c
In 4 iv
El Alcance del proyecto NO incluirá:
di IN E en
a
31 s
1. La creación de un software.
ic
so fid
át
2. La adquisición o implementación de algún componente de hardware o software.
x c
n
rm
3. La seguridad de las empresas virtuales ni los laboratorios asignados a los cursos
o
de Talleres.
C
fo
F
4. Sugerencias o mejoras sobre aspectos del centro de datos que se encuentren bajo
responsabilidad de Servicios Generales.
u
ra
Pa
to
Au
Equipo de Proyecto
Comité de Proyectos
(Jorge Cabrera, Rosario Villalta, Ilver Anache,
Maria Bermejo)
de
Gerente General de Empresas
Virtuales (Amanda Sánchez)
ría - lu ial
o
c
In 4 iv
Gerente General de
Asesor(a) de Proyecto
di IN E en
IT - Expert
a
31 s (Luis Mamani)
(William Romero)
ic
so fid
Gerente de Proyecto
át
c
(Britha Laurel)
x
n
rm
o
C
Ingeniero de
fo
Stakeholders
Procesos
F
u
to
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
CAPÍTULO 2: MARCO TEÓRICO
de
Marco Teórico
ría - lu ial
Para entender a plenitud el enfoque y alcance del proyecto se debe tener una idea clara
o
de los conceptos con los que se trabajará a lo largo de este documento, por lo que se ha
c
In 4 iv
creído conveniente la elaboración de un breve marco teórico que introducirá los
di IN E en
a
31 s
términos usados tales como estándar, seguridad y dentro de este los de seguridad física
ic
so fid
át
c
De acuerdo con la definición de la Real Academia Española, estándar es aquello que
x
n
rm
sirve como tipo, modelo, norma, patrón o referencia1. Así mismo, se puede asociar al
o
significado moderno de esta palabra que denota lo que es establecido por la autoridad, la
C
fo
costumbre o el consentimiento general. En este sentido se utiliza como sinónimo de
F
norma.
u
to
proceso.
1
Cfr. Real Academia Española 2011
estándares que son aceptados y regulados bajo varios organismos de diversos países, los
mismos que proponen una solución eficaz a cualquier problema o determinar la forma
adecuada de minimizar su ocurrencia e impacto.
de
Sin embargo, el uso que se le da a este término en el presente documento tiene un
ría - lu ial
enfoque diferente. No existe una definición estricta de lo que se entiende por seguridad,
o
puesto que ésta abarca múltiples y muy diversas áreas relacionadas que van desde la
c
In 4 iv
protección física del ordenador como componentes hardware, hasta la protección de la
di IN E en
información que contiene o de las redes que lo comunican con el exterior.3 En este
a
31 s
documento cada vez que se referencie a la palabra seguridad será desde el enfoque que
ic
so fid
át
x c
n
libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible.
C
comporte tal y como se espera de él) más que de seguridad; por tanto, se
habla de sistemas fiables en lugar de hacerlo de sistemas seguros.”
u
Este concepto de seguridad lo comparten el Dr. Lucio Molinas Focazzio, el cual define
la seguridad como el hecho de asegurar que los recursos informáticos de cualquier
Pa
to
empresa puedan y siempre cumplan con los propósitos por los cuales fueron diseñados
sin ser alterados por circunstancias o factores externos4 y el magister Alejandro
Rodríguez, el cual menciona que seguridad es:
Au
2
Cfr. Real Academia Española 2011
3
Cfr. Universidad Técnica Particular de Loja 2011
4
Cfr. Molinas, Lucio 2011
El concepto de seguridad informática, se puede disgregar dos conceptos, los mismos
que son el eje central de este proyecto, es decir la seguridad física y la seguridad lógica.
Por un lado, al definir la seguridad física es ideal tomar como base el concepto al que
hace mención la Universidad de Valencia, esta universidad la define como:
de
respaldo con toda la información que hay en el sistema, pasando por la
propia CPU de la máquina. Dependiendo del entorno y los sistemas a
ría - lu ial
proteger esta seguridad será más o menos importante y restrictiva,
aunque siempre deberemos tenerla en cuenta.” (Universidad de Valencia
o
2011)
c
In 4 iv
di IN E en
a
Sin embargo, esta definición centraliza el concepto de seguridad física únicamente al
31 s
ic
ámbito de la protección de información, por eso se debe complementar con el cuidado y
so fid
át
c
estructura física, cableado, redes, UPS, entre otros.
x
n
rm
o
Por otro lado, tal como lo dice Universidad Técnica Particular de Loja, no solo basta
C
asegurar los sistemas sobre la seguridad física sino que esta se debe completar con la
fo
F
seguridad lógica, ya que la mayoría de los daños que puede sufrir un centro de cómputo
no será sobre los medios físicos sino contra información por él almacenada y
u
to
La seguridad lógica debe tener sus objetivos definidos de manera coherente, es decir los
procedimientos implementados deben apoyar a los objetivos de seguridad por los cuales
Au
5
Cfr. Universidad Técnica Particular de Loja 2011
6
Cfr. Universidad Técnica Particular de Loja 2011
Asegurar que los operadores puedan trabajar sin una supervisión
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
de
Que la información recibida sea la misma que ha sido transmitida.
ría - lu ial
Que existan sistemas alternativos secundarios de transmisión entre
o
diferentes puntos.c
In 4 iv
Que se disponga de pasos alternativos de emergencia para la transmisión
di IN E en
de información.” (Universidad Técnica Privada de Loja 2011)
a
31 s
ic
Si se juntan estas dos definiciones, se puede llegar a la conclusión que un estándar para
so fid
át
c
la gestión de la seguridad física y lógica es el conjunto de criterios, normas,
x
n
procedimiento que determinan como se deben llevar a cabo todas las actividades y cuál
rm
o
seguridad nos define los activos y los procesos para salvaguardar la Seguridad Física y
fo
F
Lógica.
u
seguimiento de los estándares. Existe una gran variedad de estándares que definen
Pa
La norma TIA 942 define niveles de seguridad conocidos como tiers, estos niveles van
desde el número uno hasta el número cuatro, siendo este último el más completo
asegurando una alta tolerancia a fallas y una disponibilidad del 99.995%7
Se debe tener en cuenta que para poder diseñar el estándar que debería ser
implementado según la TIA 942, se deben tener como guía diversos estándares de
7
Cfr. TIA 942 White Paper 2011
seguridad como el ISO 27000 ya que este es la base de la TIA 942. Este estándar base,
brinda la primera perspectiva de la norma, sin embargo, tiene su par peruana en la NTP
17799, la misma que ha sido diseñada con base en la realidad peruana. La norma técnica
peruana define los requisitos mínimos que se deben tener en cuenta al momento de
diseñar un centro de datos y así para controlar la seguridad física.
Para poder analizar si un centro de cómputo tiene implementadas de forma correcta las
de
sugerencias de la TIA, se puede realizar una evaluación.
ría - lu ial
Al implementar estas medidas de seguridad física se está dejando de lado el aspecto
o
lógico de la gestión de la seguridad ya que la parte física es sólo es una parte del amplio
c
In 4 iv
espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como
di IN E en
se sabe el activo más importante que se posee es la información, y por lo tanto deben
a
31 s
existir técnicas, más allá de la seguridad física que la aseguren. Estas técnicas las brinda
ic
so fid
la Seguridad Lógica8.
át
x c
n
Por otro lado, para gestionar la seguridad lógica existen diversas soluciones, las mismas
rm
o
que serán cubiertas dentro del alcance del proyecto, tales como:
C
fo
1. Investigación para las soluciones de infecciones virales.
F
8
Cfr. Universidad Técnica Particular de Loja 2011
1. Realizar un análisis de riesgos.
2. Cuantificación de riesgos.
4. Definición de políticas.
de
6. Definición de planes (contingencia, continuidad y recuperación).
ría - lu ial
o
7. Auditoría interna.
c
In 4 iv
di IN E en
Con esta serie de pasos se podrá asegurar que la gestión de la seguridad lógica se ha
a
31 s
llevado a cabo de manera correcta y considerando todos los aspectos necesarios. El
ic
so fid
át
c
la carrera.
x
n
rm
o
información respectiva al proyecto para que pueda realizar su auditoría sobre la gestión
de la seguridad física y lógica en el centro de cómputo de la carrera.
u
ra
to
desarrollo de software, donde se incluyen dos nuevas fases las cuales son Producción y
Retiro, así también como nuevas disciplinas, dentro de las cuales encontramos las siete
disciplinas empresariales, las mismas que son:
1. Modelamiento Empresarial
3. Arquitectura Empresarial
4. Reuso
5. Gestión de Personas
6. Administración Empresarial
de
estructura de la organización, y las entidades empresariales críticas pertenecientes a la
ría - lu ial
organización.
o
c
PMBOK (Project Management Body of Knowledge)
In 4 iv
di IN E en
a
El Project Management Body of Knowledge (PMBOK) es un estándar desarrollado por
31 s
ic
el Project Management Institute, que brinda un conjunto de buenas prácticas para la
so fid
át
c
mismas que son comunes para los proyectos. Las áreas de conocimiento son las
x
n
siguientes: rm
o
C
fo
F
to
de
BPMN es una notación gráfica estandarizada que permite el modelado de procesos de
ría - lu ial
un negocio en particular. Actualmente, la última versión aprobada es la 1.2, pero se está
o
a la espera de una versión futura que sería la versión 2.0, que aún se encuentra en beta.
c
In 4 iv
di IN E en
a
31 s
ic
El objetivo principal del BPMN es el de proveer una notación estándar que permita el
so fid
át
c
modelamiento del negocio, de tal forma que los procesos sean entendibles, de una forma
x
n
fácil y sencilla, por los involucrados e interesados del negocio. El modelado en BPMN
rm
o
gráficos. En la versión actual, se cuenta con cuatro categorías básicas de elementos, que
fo
F
to
de
Imagen 03: Actividades BPMN
ría - lu ial
Fuente: Business Process Modeling Notation
o
c
In 4 iv
di IN E en
a
31 s
Gateways: Son elementos que sirven para el control del flujo del proceso de negocio.
ic
so fid
át
x c
n
1. Compuerta exclusiva
rm
o
fo
F
3. Compuerta paralela
u
4. Compuerta inclusiva
ra
5. Compuerta compleja
Pa
to
Au
Objetos de conexión: Utilizados para unir dos objetos del flujo del proceso de negocio.
Existen 3 tipos de objetos de conexión:
1. Líneas de Secuencia
2. Asociaciones
3. Líneas de Mensaje
de
Canales: Se utiliza para organizar las actividades del flujo en diferentes categorías
ría - lu ial
visuales que representan áreas funcionales, roles o responsabilidades. Existen 2 tipos:
o
c
In 4 iv
1. Pools
di IN E en
a
2. Lanes
31 s
ic
so fid
át
x c
n
rm
o
C
fo
Imagen 06: Canales BPMN
F
to
2. Anotaciones
3. Objetos de Datos
Au
Este estándar se basa específicamente en uno de los principales puntos del presente
proyecto, la seguridad física en un centro de datos. El estándar se basa en
recomendaciones del Uptime Institute, el cual establece cuatro niveles o también
de
llamados tiers, los cuales determinan el nivel de disponibilidad del centro.
ría - lu ial
Por otro lado, divide la infraestructura soporte de un centro de datos en cuatro
o
subsistemas:
c
In 4 iv
di IN E en
1. Telecomunicaciones
a
31 s
ic
2. Arquitectura
so fid
át
c
3. Sistema Eléctrico
x
n
rm
o
4. Sistema Mecánico9
C
fo
Este estándar muestra a detalle como cada uno de estos subsistemas debe cumplir con
F
menor nivel encontrado, por ejemplo: si 100 condiciones logran ser Tier 3 y una de ellas
es Tier 2 entonces se concluye que ese subsistema aún está en Tier 2. En otras palabras,
ra
la condición con el nivel más bajo es el que determina en que Tier se encuentra el
Pa
9
Cfr. TIA-942 2005
10
Cfr. ITIL-OFFICIALSIT-E 2007
1. Gestión de Incidentes
2. Gestión de Problemas
3. Gestión de Configuraciones
4. Gestión de Cambios
5. Gestión de Versiones
de
6. Gestión de Niveles de Servicio
ría - lu ial
o
7. Gestión Financiera
c
In 4 iv
di IN E en
8. Gestión de la Capacidad
a
31 s
ic
9. Gestión de la Continuidad del Servicio
so fid
át
c
10. Gestión de la Disponibilidad
x
n
rm
o
fo
Dentro de ese conjunto de procedimientos se encuentra la Gestión de Seguridad de la
F
“La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que
ra
to
Por otro lado, se debe observar, analizar y tener en cuenta los principales beneficios y
dificultades que se tienen al implementar la Gestión de la Seguridad en la organización.
Con el paso del tiempo ITIL ha cobrado una mayor importancia en las empresas, hoy en
día se maneja el concepto de obtener el máximo beneficio que brindan las mejores
11
Cfr. Osiatis 2009
prácticas recomendadas por ITIL para esto se necesita involucrar a los clientes de los
servicios de TI. Esta forma de interpretar ITIL hace que las tecnologías de información
se conviertan en una experiencia colaborativa entre el cliente y los proveedores del
servicio (internos y externos), pero sin descuidar que quienes definen los requerimientos
son los clientes. Sin embargo, ITIL no es únicamente para los clientes y los proveedores
de servicios, puesto que incluye a otros grupos tales como el directorio, la alta
dirección, los auditores y los reguladores.
de
Toda gestión necesita ser definida y controlada, la Gestión de la Seguridad Física y
ría - lu ial
Lógica no escapa a esta realidad por este motivo cuando se planteó el proyecto se alineó
o
ITIL y COBIT. COBIT proporciona las herramientas para dirigir y supervisar todas las
c
In 4 iv
actividades relacionadas con las TI.
di IN E en
a
31 s
El objetivo de la tabla que se muestra a continuación es demostrar como los procesos y
ic
so fid
operaciones de TI son importantes para todo nivel y por ende el proyecto necesita
át
c
mantener informado a todos los Stakeholders algunos de estos forman parte de las
x
n
rm
divisiones jerárquicas que se muestran en la tabla.
o
C
fo
F
u
ra
Pa
to
Au
de
Aspectos de alta gestión basados en COBIT Alta Gerencias Gerencia Auditoría /
Dirección Funcionales de TI Cumplimiento
ría - lu ial
o
Planificar y Organizar
c
In 4 iv
di IN E en
¿TI está alineada con las estrategias del negocio?
a
31 s
ic
¿La empresa está logrando el uso óptimo de los recursos internos y externos?
s o f id
át
c
¿Todo el personal de la empresa entiende los objetivos de TI?
x
n
rm
o
¿Se ha entendido el impacto de TI en los riesgos de la empresa?
C
fo
¿Se ha establecido la responsabilidad de la gestión de los riesgos de TI?
F
¿Se han entendido y se están gestionando los riesgos de TI?
u
¿La calidad de los sistemas es apropiada para las necesidades de la empresa?
ra
Adquirir e Implementar
Pa
to
¿Es probable que los nuevos proyectos entreguen soluciones que satisfagan las necesidades del
negocio?
Au
de
¿Es probable que los nuevos proyectos se entreguen a tiempo y dentro del presupuesto?
ría - lu ial
¿Los nuevos sistemas trabajarán correctamente cuando se implementen?
o
c
¿Los cambios serán realizados sin trastornar la actual operación del negocio?
In 4 iv
di IN E en
a
31 s
Entrega y Soporte
ic
s o f id
¿Los servicios de TI se entregan en línea con los requerimientos y las prioridades del negocio?
át
x c
n
rm
¿Están optimizados los costos de TI? o
C
¿El personal está capacitado para utilizar los sistemas de TI en forma productiva y segura?
fo
F
¿Los sistemas de TI tienen adecuada confidencialidad, integridad y disponibilidad?
u
Monitorear y Evaluar
ra
¿Se puede medir el desempeño de TI y detectar los problemas antes que sea demasiado tarde?
Pa
to
¿Los controles internos están operando eficazmente?
de
¿El gobierno de TI es eficaz?
ría - lu ial
Tabla 1: Aspectos de Gestión basados en COBIT
o
c
Fuente: Elaboración Propia
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
Pero ¿porque usar ITIL y no las mejores prácticas de cada empresa?, Tal como lo
menciona ISACA la implementación de ITIL conlleva a una serie de beneficios. Estos
beneficios son
de
2. Mejorando la calidad, la respuesta y la fiabilidad de las soluciones y los
servicios de TI.
ría - lu ial
o
3. Mejorando la viabilidad, previsibilidad y repetitividad de resultados de negocio
c
In 4 iv
exitosos.
di IN E en
a
31 s
ic
4. Ganando la confianza y el creciente involucramiento de usuarios y
so fid
át
x c
n
fo
beneficios de TI.
F
u
6. Haciéndolo más fácil para aprovechar la ayuda externa a través del uso de
procesos estandarizados.
34
En un clima de creciente regulación y preocupación sobre los riesgos relacionados a TI,
las mejores prácticas ayudarán a minimizar los aspectos de cumplimiento y la
preocupación de los auditores:
de
3. Mejorando la confianza y la seguridad de la dirección y los socios.
ría - lu ial
o
4. Generando respecto de los reguladores y otros supervisores externos.
c
In 4 iv
di IN E en
La gestión de servicios de TI se refiere a la planificación, aprovisionamiento, diseño,
a
31 s
implementación operación, apoyo y mejora de los servicios de TI que sean apropiados a
ic
so fid
las necesidades del negocio. ITIL proporciona un marco de trabajo de mejores prácticas
át
c
integral, consistente y coherente para la gestión de servicios de TI y los procesos
x
n
rm
relacionados, la promoción de un enfoque de alta calidad para el logro de la eficacia y
o
fo
F
Uno de los objetivos de ITIL es respaldar mas no fijar los procesos de negocio de una
organización. En este contexto, la OGC no aprueba el término "Cumplimiento con
u
ITIL". El papel del marco de trabajo de ITIL es describir los enfoques, las funciones, los
ra
roles y procesos en los que las organizaciones pueden basar sus propias prácticas. El rol
de ITIL es brindar orientación en el nivel organizacional más bajo que pueda aplicarse.
Pa
to
Debajo de ese nivel, para implementar ITIL en una organización se requieren los
conocimientos específicos de sus procesos de negocio para ajustar ITIL a fin de lograr
una eficacia óptima.
Au
35
ejemplo la norma ISO 9000:2000 y es aplicable a todos los tipos de organizaciones
asegurando y proporcionando los controles de seguridad que protejan los activos de
información.12
de
ría - lu ial
La norma ISO/IEC 17799:2005 proporciona lineamientos de implementación que se
deben utilizar cuando se habla de diseño de controles de seguridad.14 Es decir, la NTP
o
c
In 4 iv
17799 es una adaptación de la norma ISO/IEC mencionada pero enfocada en la realidad
di IN E en
y el alcance de nuestro país. Es por este motivo que el proyecto seguiría los controles y
a
31 s
guías de implementación presentados por esta norma NTP 17799:2005.
ic
so fid
át
c
La relación que guardan ambos estándares con el proyecto desarrollado es directa,
x
n
abarca los temas de Seguridad Física y Seguridad Lógica, temas principales del presente
fo
F
proyecto profesional.
u
ra
Pa
to
Au
12
Cfr. QUALITAS 2011
13
Cfr. INDECOPI 2007
14
Cfr. QUALITAS 2011
36
CAPÍTULO 3: SEGURIDAD FÍSICA Y LÓGICA
de
sugeridas.
ría - lu ial
Metodología de Trabajo
o
El proyecto Gestión de la Seguridad Física y Lógica para un centro de datos ha seguido
c
In 4 iv
las indicaciones de la Guía del PMBOK, es decir se ha estructurado el proyecto en
di IN E en
a
31 s
fases. Las cuatro fases que se determinaron son:
ic
so fid
1. Planificación (1)
át
x c
n
fo
F
La primera fase consiste en la planificación del proyecto per se (el alcance del proyecto,
ra
los riesgos, la planificación del cronograma, los entregables, los riesgos y los
indicadores de éxito del mismo). En esta fase también se llevó a cabo la evaluación de
Pa
to
Durante la primera fase se ha considerado que el estudio a realizar debe tener como base
dos criterios, el primero es determinar cuáles son los requerimientos mínimos de
seguridad con los que debe contar el centro de datos de la carrera y el segundo es la
complejidad de los controles e implementación requerida por los principales estándares
que existen, los cuales han apoyado en diferentes campos de la investigación.
de
La evaluación a nivel físico del centro de datos se basa principalmente en la TIA 942 y
ría - lu ial
las recomendaciones brindadas por Purificación Aguilera en su libro seguridad
o
informática. Sin embargo, la TIA 942 es un estándar que tiene un alcance superior al
c
In 4 iv
proyecto por lo cual se tuvo que adaptar considerando los requerimientos mínimos para
di IN E en
a
31 s
el centro de datos. Al mismo tiempo, la escala de resultados tuvo que ser modificada,
ic
incorporando dos nuevas categorías debido a que el estándar tiende a ser de resultado
so fid
át
c
superior es decir asume que se debe tener un mínimo de requisitos por lo cual no
existían las categorías: “No Existe” y “No Aplica”.
x
n
rm
o
fo
seguridad física considerando que ésta debe soportar todas las actividades, procesos y
F
el personal encargado del centro de datos, se creó el checklist para la evaluación a nivel
lógico, esta evaluación tiene principalmente tres fuentes, la norma técnica peruana
Pa
to
38
Con los resultados de la evaluación y los procesos definidos, se creó la política de
seguridad lógica considerando todas las actividades, procesos y los requerimientos
mínimos detallados en la primera fase del proyecto.
de
dos grandes partes las cuales abarcarían un aspecto de la seguridad cada una.
ría - lu ial
La primera parte se centra en la Seguridad Física del centro de datos, la cual, se inició
o
con la evaluación del estado actual de centro de datos en donde se dispuso del estándar
c
In 4 iv
TIA-942, el cual es un estándar especializado en lo que refiere a ubicación, cableado,
di IN E en
a
31 s
monitoreo, sistemas de ventilación, entre otros. Se elaboró un checklist basado en dicho
ic
so fid
estándar el cual permite tener una visión global de estado actual del centro de datos. A
át
c
su vez que, a fin de cumplir uno de los objetivos del proyecto el cual es el de elaborar
x
n
mayor al necesario en el centro de datos. Una vez que se hizo evidente el estado actual
del centro de datos se procedió a elaborar una política de seguridad física basando el
u
to
conceptos están apoyados por directrices. Finalmente, se han elaborado los procesos
para apoyar estas directrices de manera que se asegure que la Seguridad Física del
centro de datos está completamente resguardad.
Au
La segunda parte del proyecto tiene como objetivo asegurar la Seguridad Lógica, para
llevar a cabo esta gestión fue necesaria la elaboración del checklist, el mismo que tiene
su origen en la Norma Técnica Peruana NTP17799, el Orange Book, el libro de
Seguridad Informática de Purificación Aguilera, los cuales brindan la base para la
evaluación de la seguridad lógica del centro de datos.
39
Debido a las restricciones y el alcance que maneja el proyecto no se brindarán
recomendaciones y/o sugerencias a implementar en el diseño lógico o físico del
diagrama de redes. Sin embargo, cabe resaltar que la administración de este punto se
encuentra bajo responsabilidad del área de servicios generales de la universidad.
de
Revisar y adaptar la información del Anexo A.
ría - lu ial
Este capítulo se encarga de brindar las mejores prácticas para el diseño del cableado a
o
utilizar en un centro de datos, brindando especificaciones de distancia, creación de
c
In 4 iv
circuitos, conexiones con las consolas, conexión cruzada, entre otros.
di IN E en
a
31 s
ic
Revisar y adaptar la información del Anexo B.
so fid
át
c
Este capítulo se encarga de brindar las mejores prácticas para el diseño de la
x
n
fo
Revisar y adaptar la información del Anexo C.
F
u
Este capítulo se encarga de brindar las mejores prácticas para el diseño los controles de
acceso de información, brindando especificaciones de cableado UTP, circuitos cerrados,
ra
to
Configuración de Firewall.
Au
Internal Firewall
Perimeter Firewall
Numero de puertos de entrada.
Zona desmilitarizada.
Configuración de la VLAN.
40
Se sugiere comprar aplicativos como TIVOLI para llevar un adecuado control del uso y
de la estabilidad de la red.
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
41
de
Mapa de Procesos
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
-
to
Imagen 08: Mapa de Procesos
42
de
Diagrama de Objetivos
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
43
Seguridad a nivel físico
de
determinar qué acciones se deben llevar a cabo para subsanarlas o reducir su impacto.
ría - lu ial
Para obtener esta visión global se llevó a cabo una evaluación, la misma que fue
o
diseñada con las sugerencias del Estándar de Telecomunicaciones e Infraestructura para
c
In 4 iv
di IN E en
Centro de datos (TIA 942) y la Norma Técnica Peruana 17799 (NTP 17799). A partir de
a
31 s
estas sugerencias se creó un checklist de evaluaciones, el cual se encargar de cubrir los
ic
so fid
át
c
subsistemas que existen son: Subsistema Arquitectónico, Subsistema Eléctrico,
x
n
fo
áreas de descanso, CCTV, centro de operaciones, componentes del edificio,
F
material para techos, monitoreo CCTV, muros, ventanas y puertas resistentes a balas,
oficina de seguridad, oficinas administrativas, puertas y ventanas, resistividad al fuego,
Pa
seguridad, ubicación del centro de datos y la ubicación de los UPS y la sala de baterías.
to
Considerando cada uno de los puntos descritos líneas arriba se creó el checklist que se
muestra a continuación: Considerar que el checklist pueda estar en un anexo.
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
45
de
Subsistema de Arquitectura
ría - lu ial
o
Selección de Sitio
c
In 4 iv
di IN E en
1 Enrutamiento de agua o de drenaje sin tuberías Permitido pero no Permitido pero no No permitido No permitido
a
31 s
en el equipo del centro de datos en el centro de datos y recomendado recomendado
ic
s o f id
espacio.
át
x c
n
2 La presión positiva en el aula de informática y espacios No requiere Si Si Si
rm
o
asociados en relación con el exterior y que no sean del
C
centro de datos
fo
F
3 Los desagües de condensado de agua se encuentran en el Si Si Si Si
u
piso en sala de ordenadores, de agua del humidificador de
color, y por aspersión de descarga de agua.
ra
to
Tabla 2: Subsistema de Arquitectura, General
Fuente: TIA-942
Au
46
de
Sistema de refrigeración por agua TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Cubierta de terminales de No aire acondicionados Una unidad AC Cantidad de unidades AC Cantidad de unidades AC
o
unidades de aire redundantes redundante por área suficiente para mantener suficiente para mantener un
c
In 4 iv
acondicionado crítica un área crítica durante la área crítica durante la
di IN E en
a
perdida de electricidad de perdida de electricidad de
31 s
ic
una fuente una fuente
s o f id
át
c
2 Control de humedad para el Humidificación provista Humidificación provista Humidificación provista Humidificación provista
x
Centro de Datos
n
rm
o
3 Servicio eléctrico a los equipos Equipos AC con una Equipos AC con una Múltiples equipos AC con Múltiples equipos AC con
C
fo
mecánicos única ruta de acceso única ruta de acceso una única ruta de acceso una única ruta de acceso
F
u
Tabla 3: Subsistema de Arquitectura, Sistema de refrigeración
ra
Fuente: TIA-942
Pa
to
Au
47
de
Eliminación del calor TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Seco-enfriadores (si procede) Seco enfriadores no Un Seco enfriadores Cantidad de seco Cantidad de seco
o
redundantes redundante por sistema enfriadores suficiente para enfriadores suficiente para
c
In 4 iv
mantener un área crítica mantener un área crítica
di IN E en
a
durante la perdida de durante la perdida de
31 s
ic
electricidad de una fuente electricidad de una fuente
s o f id
át
c
2 Circuito cerrado de fluido Enfriadores de fluido no Un Enfriador de fluido Cantidad de enfriadores de Cantidad de enfriadores de
x
Enfriadores (si procede) redundantes
n por sistema fluidos suficiente para fluidos suficiente para
rm
o mantener un área crítica mantener un área crítica
C
durante la perdida de durante la perdida de
fo
F
electricidad de una fuente electricidad de una fuente
u
3 Bombas de circulación Bombas de circulación Una Bomba de Cantidad de bombas de Cantidad de bombas de
ra
48
de
4 Sistema de tuberías Sistema de condensación Sistema de condensación Sistema de condensación Sistema de condensación de
de agua con una única de agua con una única de agua con ruta de acceso agua con ruta de acceso
ría - lu ial
ruta de acceso ruta de acceso dual. dual.
o
c
In 4 iv
Tabla 4: Subsistema de Arquitectura, Eliminación del calor
di IN E en
a
31 s
Fuente: TIA-942
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
49
de
Sistema de Agua Fría TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Cubierta de terminales Aires acondicionados no Un aire acondicionado Cantidad de aires Cantidad de aires
o
unidades de aire redundantes redundante por sistema acondicionados suficiente acondicionados suficiente
c
In 4 iv
acondicionado para mantener un área para mantener un área
di IN E en
a
crítica durante la perdida crítica durante la perdida de
31 s
ic
de electricidad de una electricidad de una fuente
s o f id
fuente
át
x c
2 Control de humedad para el Humidificación provista
n Humidificación provista Humidificación provista Humidificación provista
rm
Centro de Datos
o
C
fo
3 Servicio eléctrico a los equipos Equipos AC con una Equipos AC con una Múltiples equipos AC con Múltiples equipos AC con
F
mecánicos única ruta de acceso única ruta de acceso una única ruta de acceso una única ruta de acceso
u
Tabla 5: Subsistema de Arquitectura, Sistema de Agua Fría
ra
Fuente: TIA-942
Pa
to
Au
50
de
Eliminación del calor TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Sistema de tuberías de agua Sistema de tuberías de Sistema de tuberías de Sistema de tuberías de Sistema de tuberías de agua
o
fría agua fría condensación agua fría condensación agua fría condensación de fría condensación de agua
c
In 4 iv
de agua con una única de agua con una única agua con rutas de acceso con rutas de acceso dual
di IN E en
a
ruta de acceso ruta de acceso dual
31 s
ic
s o f id
2 Bombas de circulación de agua Bombas de circulación Una Bomba de Cantidad de bombas de Cantidad de bombas de
át
c
fría de agua fría no circulación de agua fría circulación de agua fría circulación de agua fría
x
redundantes
n redundante por sistema suficiente para mantener suficiente para mantener un
rm
o un área crítica durante la área crítica durante la
C
perdida de electricidad de perdida de electricidad de
fo
F
una fuente una fuente
u
3 Refrigeradores de Refrigeradores de Un refrigerador de Cantidad de refrigeradores Cantidad de refrigeradores
ra
refrigeración por aire refrigeración por aire no refrigeración por aire de refrigeración por aire de refrigeración por aire
redundantes redundante por sistema suficiente para mantener suficiente para mantener un
Pa
51
de
4 Enfriadores refrigerados por Enfriadores refrigerados Un enfriador refrigerados Cantidad de enfriadores Cantidad de enfriadores
agua por agua no redundantes por agua redundante por refrigerados por agua refrigerados por agua
ría - lu ial
sistema suficiente para mantener suficiente para mantener un
o
un área crítica durante la área crítica durante la
c
In 4 iv
perdida de electricidad de perdida de electricidad de
di IN E en
a
31 s
una fuente una fuente
ic
s o f id
5 Torres de enfriamiento Torres de enfriamiento Una torre de Cantidad de Torres de Cantidad de Torres de
át
c
no redundantes enfriamiento redundante enfriamiento suficiente enfriamiento suficiente para
x
n
rm
por sistema para mantener un área mantener un área crítica
o
crítica durante la perdida durante la perdida de
C
fo
de electricidad de una electricidad de una fuente
F
fuente
u
6 Condensadores de bombas de Condensadores de Un condensador de Cantidad de Cantidad de condensadores
ra
to
mantener un área crítica área crítica durante la
durante la perdida de perdida de electricidad de
electricidad de una fuente una fuente
Au
52
de
7 Sistema de tuberías de Sistema de condensación Sistema de condensación Sistema de condensación Sistema de condensación de
condensadores de agua de agua con una única de agua con una única de agua con ruta de acceso agua con ruta de acceso
ría - lu ial
ruta de acceso ruta de acceso dual. dual.
o
c
In 4 iv
Tabla 6: Subsistema de Arquitectura, Eliminación del calor
di IN E en
a
31 s
Fuente: TIA-942
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
53
de
Sistema de refrigeración por aire TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Cubierta de terminales No aire acondicionados Una unidad AC Cantidad de unidades AC Cantidad de unidades AC
o
unidades de aire redundantes redundante por área suficiente para mantener suficiente para mantener un
c
In 4 iv
acondicionado y al aire libre crítica un área crítica durante la área crítica durante la
di IN E en
a
Condensadores perdida de electricidad de perdida de electricidad de
31 s
ic
una fuente una fuente
s o f id
át
c
2 Servicio eléctrico a los equipos Equipos AC con una Equipos AC con una Múltiples equipos AC con Múltiples equipos AC con
x
mecánicos
n
única ruta de acceso única ruta de acceso una única ruta de acceso una única ruta de acceso
rm
o
3 Control de humedad para el Humidificación provista Humidificación provista Humidificación provista Humidificación provista
C
fo
Centro de Datos
F
u
Tabla 7: Subsistema de Arquitectura, Sistema de Refrigeración por Aire
ra
Fuente: TIA-942
Pa
to
Au
54
de
Sistema de Control HVAC TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Sistema de Control HVAC Falla en el sistema de Falla en el sistema de Falla en el sistema de Falla en el sistema de
o
control interrumpirá el control no interrumpirá el control no interrumpirá el control no interrumpirá el
c
In 4 iv
enfriamiento de las áreas enfriamiento de las áreas enfriamiento de las áreas enfriamiento de las áreas
di IN E en
a
críticas críticas críticas críticas
31 s
ic
s o f id
2 Fuente de Poder para el Electricidad para el Electricidad de un UPS a Electricidad de un UPS a Electricidad de un UPS a los
át
c
Sistema de Control HVAC sistema de control los equipos AC los equipos AC equipos AC redundantes
x
n
HVAC con una única redundantes redundantes
rm
ruta de acceso
o
C
fo
F
Tabla 8: Subsistema de Arquitectura, Sistema de Control HVAC
u
Fuente: TIA-942
ra
Pa
to
Au
55
de
Sistema de Tuberías (para la
TIER 1 TIER 2 TIER 3 TIER 4
eliminación del calor)
ría - lu ial
o
1 Fuentes duales para arreglar el Fuente de agua única, sin Fuente de agua dual, o una Fuente de agua dual, o Fuente de agua dual, o una
c
In 4 iv
agua respaldo en el lugar de fuente + respaldo en el una fuente + respaldo en fuente + respaldo en el lugar
di IN E en
a
almacenamiento. lugar de almacenamiento. el lugar de de almacenamiento.
31 s
ic
almacenamiento.
s o f id
át
c
2 Puntos de conexión para el Un único punto de Un único punto de Dos punto de conexión Dos punto de conexión
x
sistema de condensación del conexión
n conexión
rm
agua
o
C
fo
F
Tabla 9: Subsistema de Arquitectura, Sistema de Tuberías
u
Fuente: TIA-942
ra
Pa
to
Au
56
de
Sistema de combustible de aceite TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Tanques de almacenamiento Tanque de Múltiples tanques de Múltiples tanques de Múltiples tanques de
o
almacenamiento almacenamiento almacenamiento almacenamiento
c
In 4 iv
di IN E en
2 Las bombas del tanque de Una Bomba y/o un tubo Múltiples Bombas, Múltiples Bombas, Múltiples Bombas, múltiples
a
31 s
almacenamiento y tuberías de provisiones múltiples tubos de múltiples tubos de tubos de provisiones
ic
s o f id
provisiones provisiones
át
x c
n
Tabla 10: Subsistema de Arquitectura, Sistema de Combustible de Aceite
rm
o Fuente: TIA-942
C
fo
F
u
ra
Pa
to
Au
57
de
Supresión de fuego TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Sistema de detección de fuego No Si Si Si
o
c
2 Sistema de rociadores contra Cuando sea requerido Pre-Acción (cuando Pre-Acción (cuando Pre-Acción (cuando
In 4 iv
di IN E en
incendios requerido) requerido) requerido)
a
31 s
ic
3 Sistema de supresión gaseosa No No Agentes limpios listados Agentes limpios listados en
s o f id
át
en la NFPA 2001 la NFPA 2001
x c
n
rm
4 Sistema de aviso temprano de No o Si Si Si
detección de humo
C
fo
F
5 Sistemas de detección de fugas No Si Si Si
de agua
u
ra
Fuente: TIA-942
Pa
to
Au
58
de
Subsistema Eléctrico
ría - lu ial
o
1 Número de rutas de 1 1 1 activo y 1 pasivo 2 activos
c
In 4 iv
llegada/entrega.
di IN E en
a
31 s
2 Entrada de utilidad. Alimentación única Alimentación única Doble alimentación (600 Doble alimentación (600
ic
s o f id
voltios o más) voltios o más) desde
át
c
diferentes subestaciones de
x
n
rm
o utilidad
C
3 El sistema permite el No No Si Si
fo
F
mantenimiento concurrido.
u
4 Equipo de cables de Cable de alimentación Cable dual de Cable dual de Cable dual de alimentación
alimentación de las única con 100% de alimentación con 100% de alimentación con 100% con 100% de capacidad en
ra
telecomunicaciones.
to
5 Todos los equipos del sistema Si Si Si Si
eléctrico deben estar
Au
59
de
de una prueba de laboratorio de
terceros.
ría - lu ial
o
6 Puntos únicos de fallo Uno o más puntos únicos Uno o más puntos únicos Ningún punto único de Ningún punto único de fallo
c
In 4 iv
de fallo para el equipo de de fallo para el equipo de fallo para el equipo de para el equipo de servicio
di IN E en
a
servicio eléctrico o servicio eléctrico o servicio eléctrico o eléctrico o sistemas
31 s
ic
sistemas mecánicos sistemas mecánicos sistemas mecánicos mecánicos
s o f id
át
c
7 Sistema de transferencia de Interruptor de Interruptor de Interruptor de Interruptor de transferencia
x
carga crítica
n
transferencia automática transferencia automática transferencia automática automática (ATS) con la
rm
o
(ATS) con la función de (ATS) con la función de (ATS) con la función de función de mantenimiento
C
mantenimiento de puente mantenimiento de puente mantenimiento de puente de puente para servir al
fo
F
para servir al interruptor para servir al interruptor para servir al interruptor interruptor como
como interrupción al como interrupción al como interrupción al interrupción al poder;
u
poder; cambio poder; cambio automático poder; cambio cambio automático desde la
ra
automático desde la desde la utilidad hasta el automático desde la utilidad hasta el generador
utilidad hasta el generador cuando un corte utilidad hasta el cuando un corte de poder
Pa
to
generador cuando un de poder ocurra. generador cuando un ocurra.
corte de poder ocurra. corte de poder ocurra.
Au
60
de
9 Generadores del tamaño Si Si Si Si
correcto de acuerdo a la
ría - lu ial
capacidad del UPS instalado
o
c
In 4 iv
1 Capacidad del combustible del 8 horas (no requiere del 24 horas 72 horas 96 horas
di IN E en
a
0 generador (a carga plena) generador si el UPS tiene
31 s
ic
8 minutos de tiempo de
s o f id
respaldo)
át
x c
n
rm
o Tabla 12: Subsistema Eléctrico, General
Fuente: TIA-942
C
fo
F
u
ra
Pa
to
Au
61
de
UPS TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Redundancia del UPS N N+1 N+1 2N
o
c
2 Topología del UPS Módulo único o módulos Módulos paralelos Módulos paralelos Módulos paralelos
In 4 iv
di IN E en
paralelos no redundantes redundantes o módulos redundantes o módulos redundantes o módulos
a
31 s
redundantes distribuidos redundantes distribuidos redundantes distribuidos o
ic
s o f id
o sistema redundante de sistema redundante de
át
c
bloqueo bloqueo
x
n
rm
3 Acuerdo de mantenimiento de Poder bypass obtenido de Poder bypass obtenido de Poder bypass obtenido de Poder bypass obtenido del
o
derivación en el UPS la misma utilidad de la misma utilidad de la misma utilidad de sistema de reserva del UPS
C
fo
alimentación de los alimentación de los alimentación de los el cual es alimentado de un
F
módulos del UPS módulos del UPS módulos del UPS bus diferente a los que se
u
usa en los sistemas de UPS
ra
4 Nivel de voltaje - Distribución Nivel de voltaje Nivel de voltaje 120/208V Nivel de voltaje Nivel de voltaje 120/208V
Pa
de Poder del UPS 120/208V hasta cargas hasta cargas de 1440kVA 120/208V hasta cargas hasta cargas de 1440kVA y
to
de 1440kVA y 480V y 480V para cargas de 1440kVA y 480V 480V para cargas mayores a
para cargas mayores a mayores a 1440kVA para cargas mayores a 1440kVA
1440kVA 1440kVA
Au
62
de
5 Tableros de paneles - Tableros de paneles Tableros de paneles Tableros de paneles Tableros de paneles
Distribución del Poder del incorporados con incorporados con estándar incorporados con incorporados con estándar
ría - lu ial
UPS estándar de interruptores de interruptores térmicos estándar de interruptores de interruptores térmicos de
o
térmicos de disparo de disparo magnético térmicos de disparo disparo magnético
c
In 4 iv
magnético magnético
di IN E en
a
31 s
ic
6 Todas las computadoras y No No Si Si
s o f id
equipos de
át
c
telecomunicaciones son
x
n
rm
alimentados con PDU's
o
C
7 Transformadores K-Factor Sí, pero no requeridos si Sí, pero no requeridos si se Sí, pero no requeridos si Sí, pero no requeridos si se
fo
F
instalados en PDU's se usan transformadores usan transformadores de se usan transformadores usan transformadores de
de anulación armonioso anulación armonioso de anulación armonioso anulación armonioso
u
ra
8 Bus de sincronización de No No Si Si
carga (LBS)
Pa
to
9 Componentes redundantes Diseño de UPS estático Diseño de UPS estático o Diseño de UPS estático o Diseño de UPS estático o
(UPS) rotatorio. Convertidores rotatorio. Convertidores rotatorio. Convertidores
rotatorios M-G Set. rotatorios M-G Set. rotatorios M-G Set.
Au
63
de
10 El UPS se encuentra separado No Si Si Si
en un panel de distribución
ría - lu ial
separado de los equipos de
o
telecomunicaciones y
c
In 4 iv
computadoras.
di IN E en
a
31 s
ic
Tabla 13: Subsistema Eléctrico, UPS
s o f id
át
c
Fuente: TIA-942
x
n
rm
o
C
fo
F
u
ra
Pa
to
Au
64
de
Conexión a Tierra TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Sistema de protección de iluminación En base a los análisis de En base a los análisis de Si Si
o
riesgo según la NFPA riesgo según la NFPA 780
c
In 4 iv
780 y requerimientos de y requerimientos de
di IN E en
a
seguro. seguro.
31 s
ic
s o f id
2 Motivos de entrada de servicio y los motivos del Si si Si Si
át
c
generador se ajusta plenamente a NEC
x
n
rm
3 Accesorios de iluminación (277v) neutral, Si Si Si Si
o
aislados de la entrada de servicio derivados de la
C
fo
iluminación del transformador para el aislador de
F
fallas de tierra
u
4 La infraestructura de la conexión a tierra del No requerido No requerido Si Si
ra
computadoras.
to
Tabla 14: Subsistema Eléctrico, Conexión a Tierra
Fuente: TIA-942
Au
65
de
Sistema de Emergencia de Corte de Energía en la sala de
TIER 1 TIER 2 TIER 3 TIER 4
computadoras (EPO)
ría - lu ial
o
1 Activado por el sistema de emergencia de corte de Si Si Si Si
c
In 4 iv
energía (EPO) en las salidas apagando solo al sistema
di IN E en
a
de telecomunicaciones y computadoras.
31 s
ic
s o f id
2 El supresor de fuego automático se libera después del Si Si Si Si
át
c
apagado del sistema de telecomunicaciones
x
n
rm
3 Sistema de alarma de fuego de la segunda zona se No No No Si
o
activa con el apagado del sistema de emergencia de
C
fo
corte de energía (EPO) de forma manual
F
u
4 El control Maestro desconecta baterías y libera un No No No Si
supresor desde una estación atendida 24/7
ra
Pa
Tabla 15: Subsistema Eléctrico, Sistema de Emergencia de Corte de Energía en la Sala de Computadoras
to
Fuente: TIA-942
Au
66
de
Sistema de Emergencia de Corte de Energía en sala de
TIER 1 TIER 2 TIER 3 TIER 4
Baterías (EPO)
ría - lu ial
o
1 Activado por los botones del sistema de emergencia Si Si Si Si
c
In 4 iv
de corte de energía (EPO) en las salidas con liberación
di IN E en
a
de un supresor manual
31 s
ic
s o f id
2 Se libera el supresor de fuego para el sistema de zonas Si Si Si Si
át
c
únicas después del apagado del sistema de
x
emergencias de corte de energía
n
rm
o
3 Activación del sistema de alarma de fuego en la No No Si Si
C
fo
segunda zona. Desconecta las baterías en la primera
F
zona con la liberación del supresor en la segunda
u
zona.
ra
Fuente: TIA-942
Au
67
de
Sistema de Emergencia de Corte de Energía (EPO) TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Apagado del poder de los recipientes del UPS en el Si Si Si Si
o
área de la sala de computadoras.
c
In 4 iv
di IN E en
2 Apagado de Corriente AC para Cracs y enfriadores Si Si Si Si
a
31 s
ic
3 Cumplimiento del código local (eje. Sistemas Si Si Si Si
s o f id
át
separados para el UPS y HVAC)
x c
n
rm
Tabla 17: Subsistema Eléctrico, Sistema de Emergencia de Corte de Energía
o
C
Fuente: TIA-942
fo
F
u
ra
Pa
to
Au
68
de
Monitoreo del Sistema TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Desplegado localmente en el UPS Si Si Si Si
o
c
2 Interface con el BMS No No Si Si
In 4 iv
di IN E en
a
31 s
3 Control Remoto No No No Si
ic
s o f id
4 Mensajes de texto automáticos para el servicio de No No No Si
át
c
localización de ingenieros
x
n
rm
o
5 Mensajes de texto automáticos para el servicio de No No No Si
C
localización de ingenieros
fo
F
Tabla 18: Subsistema Eléctrico, Monitoreo del Sistema
u
Fuente: TIA-942
ra
Pa
to
Au
69
de
Configuración de Batería TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Cadena de baterías comunes para todos los módulos Si No No No
o
c
2 Una cadena de batería para c/módulo No Si Si Si
In 4 iv
di IN E en
a
31 s
3 Tiempo de espera mínimo para la carga plena 5 min 10 min 15 min 15 min
ic
s o f id
4 Tipo de Batería Válvula de plomo- Válvula de plomo- Válvula de Válvula de plomo-
át
c
ácido (VRLA) o de ácido (VRLA) o de plomo-ácido ácido (VRLA) o de
x
n
rm
o tipo inundado tipo inundado (VRLA) o de tipo tipo inundado
inundado
C
fo
F
Tabla 19: Subsistema Eléctrico, Configuración de Batería
u
Fuente: TIA-942
ra
Pa
to
Au
70
de
Batería de Tipo Inundado TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Montaje Racks o gabinetes Racks o gabinetes Racks abiertos Racks abiertos
o
c
2 Placas de envoltura No Si Si Si
In 4 iv
di IN E en
a
31 s
3 Contenedores de derrame de ácido instalados Si Si Si Si
ic
s o f id
4 Pruebas de batería a carga plena / Horarios de Cada 2 años Cada 2 años Cada 2 años Cada 2 años o anual
át
c
inspección
x
n
rm
o
Tabla 20: Subsistema Eléctrico, Batería de Tipo Inundado
C
fo
Fuente: TIA-942
F
u
ra
Pa
to
Au
71
de
Sala de Baterías TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Separado de los cuartos de los equipos UPS No Si Si Si
o
y celdas
c
In 4 iv
di IN E en
2 Las cadenas individuales de baterías están No Si Si Si
a
31 s
aisladas de uno con otro
ic
s o f id
át
3 Vista a través de vidrio inastillable en la No No No Si
x c
puerta de la sala de baterías.
rm
4 Las desconexiones de las baterías se Si
o Si Si Si
C
fo
localizan fuera de la sala de baterías
F
5 Sistema de monitoreo de baterías Auto monitoreo del Auto monitoreo del Auto Sistema automatizado
u
UPS UPS monitoreo del centralizado para la revisión de
ra
to
Tabla 21: Subsistema Eléctrico, Sala de Baterías
Fuente: TIA-942
Au
72
de
Sistema de Cajas del UPS Rotador (con generadores Diesel) TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Unidades encerradas separadas por las paredes No No Si Si
o
nominales de fuego
c
In 4 iv
di IN E en
2 Tanques de combustibles en el exterior No No Si Si
a
31 s
ic
3 Tanques de combustibles en la misma sala que las Si Si No No
s o f id
át
unidades
x c
n
rm
Tabla 22: Subsistema Eléctrico, Sistema de Cajas del UPS Rotador
o
C
Fuente: TIA-942
fo
F
u
ra
Pa
to
Au
73
de
Sistema de generación Standby TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Generador de tamaño Solo para el Solo para el tamaño Solo para el Carga del edificio
o
tamaño de las de las computadoras y tamaño de las total + 1 de repuesto
c
In 4 iv
computadoras y el el sistema de computadoras y el
di IN E en
a
sistema de telecomunicaciones, sistema de
31 s
ic
telecomunicaciones eléctrico y mecánico telecomunicacion
s o f id
, eléctrico y es, eléctrico y
át
c
mecánico mecánico más 1
x
n
rm
repuesto
o
C
2 Generadores en un único bus Si Si Si No
fo
F
3 Un único generador por sistema con (1) generador de No Si Si Si
u
repuesto
ra
Fuente: TIA-942
Au
74
de
Pruebas para el banco de cargas TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Solo pruebas de los módulos del UPS Solo para el tamaño de Solo para el tamaño de Solo para el tamaño de las Carga del
o
las computadoras y el las computadoras y el computadoras y el sistema edificio total
c
In 4 iv
sistema de sistema de de telecomunicaciones, + 1 de
di IN E en
a
telecomunicaciones, telecomunicaciones, eléctrico y mecánico más 1 repuesto
31 s
ic
eléctrico y mecánico eléctrico y mecánico repuesto
s o f id
át
c
2 Solo pruebas de los generadores Si Si Si No
x
n
rm
3 Pruebas tanto de los módulos del UPS como de No
o Si Si Si
C
los generadores
fo
F
4 Una protección de falla de tierra individual de No Si Si Si
u
83 ft. (pies) para c/generador
ra
Fuente: TIA-942
75
de
Mantenimiento de los equipos TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Staff de mantenimiento Solo para el tamaño de las Solo para el tamaño Solo para el tamaño de las Carga del edificio total + 1 de
o
computadoras y el sistema de las computadoras y computadoras y el sistema de repuesto
c
In 4 iv
de telecomunicaciones, el sistema de telecomunicaciones, eléctrico
di IN E en
a
eléctrico y mecánico telecomunicaciones, y mecánico más 1 repuesto
31 s
ic
eléctrico y mecánico
s o f id
át
c
2 Mantenimiento preventivo Ninguno Ninguno Programa de mantenimiento Programa de mantenimiento
x
n preventivo limitado preventivo comprensivo
rm
o
3 Programas de formación Ninguno Ninguno Programa de formación Programa de formación
C
fo
con instituciones comprensiva comprensiva que incluye
F
procedimientos de operación
u
manual y si es necesario al
ra
76
de
Subsistema Mecánico
ría - lu ial
General
o
TIER 1 TIER 2 TIER 3 TIER 4
Selección de Sitio
c
In 4 iv
di IN E en
a
31 s
Enrutamiento de agua o de drenaje sin tuberías
Permitido pero no Permitido pero no
ic
1 en el equipo del centro de datos en el centro de datos y No permitido No permitido
s o f id
recomendado recomendado
át
espacio.
x c
n
rm
La presión positiva en el aula de informática y espacios
o
2 asociados en relación con el exterior y que no sean del No requiere Si Si Si
C
fo
centro de datos
F
Los desagües de condensado de agua se encuentran en el
u
3 piso en sala de ordenadores, de agua del humidificador Si Si Si Si
ra
Fuente: TIA-942
77
de
Sistema de refrigeración por agua TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
Cubierta de terminales de No aire acondicionados Una unidad AC Cantidad de unidades AC Cantidad de unidades AC
o
unidades de aire acondicionado redundantes redundante por suficiente para mantener suficiente para mantener un
c
In 4 iv
1 área crítica un área crítica durante la área crítica durante la perdida
di IN E en
a
perdida de electricidad de de electricidad de una fuente
31 s
ic
una fuente
s o f id
át
c
Control de humedad para el Humidificación provista Humidificación Humidificación provista Humidificación provista
2
x
Centro de Datos
n provista
rm
o
Servicio eléctrico a los equipos Equipos AC con una única ruta Equipos AC Múltiples equipos AC con Múltiples equipos AC con una
C
fo
3 mecánicos de acceso con una única una única ruta de acceso única ruta de acceso
F
ruta de acceso
u
Tabla 27: Subsistema Mecánico, Sistema de refrigeración por agua
ra
Fuente: TIA-942
Pa
to
Au
78
de
Eliminación de Calor TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
Seco-enfriadores (si Seco enfriadores no Un Seco enfriadores Cantidad de seco Cantidad de seco enfriadores
o
procede) redundantes redundante por sistema enfriadores suficiente para suficiente para mantener un
c
In 4 iv
1 mantener un área crítica área crítica durante la perdida
di IN E en
a
durante la perdida de de electricidad de una fuente
31 s
ic
electricidad de una fuente
s o f id
át
c
Circuito cerrado de fluido Enfriadores de fluido no Un Enfriador de fluido Cantidad de enfriadores de Cantidad de enfriadores de
x
Enfriadores (si procede) redundantes
n por sistema fluidos suficiente para fluidos suficiente para
rm
2
o mantener un área crítica mantener un área crítica
C
durante la perdida de durante la perdida de
fo
F
electricidad de una fuente electricidad de una fuente
u
Bombas de circulación Bombas de circulación Una Bomba de Cantidad de bombas de Cantidad de bombas de
ra
79
de
Sistema de tuberías Sistema de condensación Sistema de condensación Sistema de condensación de Sistema de condensación de
3 de agua con una única de agua con una única agua con ruta de acceso agua con ruta de acceso dual.
ría - lu ial
ruta de acceso ruta de acceso dual.
o
c
In 4 iv
Tabla 28: Subsistema Mecánico, Eliminación de Calor
di IN E en
a
31 s
Fuente: TIA-942
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
80
de
ría - lu ial
Sistema de Agua Fría TIER 1 TIER 2 TIER 3 TIER 4
o
Cubierta de terminales unidades de aire Aires Un aire Cantidad de aires Cantidad de aires
c
In 4 iv
di IN E en
acondicionado acondicionados acondicionado acondicionados suficiente acondicionados
a
31 s
no redundantes redundante por para mantener un área suficiente para mantener
ic
1
s o f id
sistema crítica durante la perdida de un área crítica durante la
át
c
electricidad de una fuente perdida de electricidad de
x
n una fuente
rm
o
Control de humedad para el Centro de Datos Humidificación Humidificación Humidificación provista Humidificación provista
C
2
fo
provista provista
F
u
Servicio eléctrico a los equipos mecánicos Equipos AC con Equipos AC con Múltiples equipos AC con Múltiples equipos AC
3 una única ruta de una única ruta una única ruta de acceso con una única ruta de
ra
to
Tabla 29: Subsistema Mecánico, Sistema de Agua Fría
Fuente: TIA-942
Au
81
de
Eliminación del Calor TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
Sistema de tuberías de Sistema de tuberías de Sistema de tuberías de Sistema de tuberías de agua Sistema de tuberías de
o
agua fría agua fría condensación de agua fría condensación de fría condensación de agua agua fría condensación
1
c
In 4 iv
agua con una única ruta agua con una única ruta con rutas de acceso dual de agua con rutas de
di IN E en
a
de acceso de acceso acceso dual
31 s
ic
s o f id
Bombas de circulación de Bombas de circulación de Una Bomba de circulación Cantidad de bombas de Cantidad de bombas de
át
c
agua fría agua fría no redundantes de agua fría redundante circulación de agua fría circulación de agua fría
x
n por sistema suficiente para mantener un suficiente para mantener
rm
2
o área crítica durante la perdida un área crítica durante la
C
de electricidad de una fuente perdida de electricidad de
fo
F
una fuente
u
Refrigeradores de Refrigeradores de Un refrigerador de Cantidad de refrigeradores de Cantidad de
ra
refrigeración por aire refrigeración por aire no refrigeración por aire refrigeración por aire refrigeradores de
redundantes redundante por sistema suficiente para mantener un refrigeración por aire
Pa
una fuente
82
de
Enfriadores refrigerados Enfriadores refrigerados Un enfriador refrigerados Cantidad de enfriadores Cantidad de enfriadores
por agua por agua no redundantes por agua redundante por refrigerados por agua refrigerados por agua
ría - lu ial
sistema suficiente para mantener un suficiente para mantener
o
4
área crítica durante la perdida un área crítica durante la
c
In 4 iv
de electricidad de una fuente perdida de electricidad de
di IN E en
a
31 s
una fuente
ic
s o f id
Torres de enfriamiento Torres de enfriamiento no Una torre de enfriamiento Cantidad de Torres de Cantidad de Torres de
át
c
redundantes redundante por sistema enfriamiento suficiente para enfriamiento suficiente
x
n
rm
mantener un área crítica para mantener un área
5
o
durante la perdida de crítica durante la perdida
C
fo
electricidad de una fuente de electricidad de una
F
fuente
u
Condensadores de bombas Condensadores de bombas Un condensador de Cantidad de Condensadores Cantidad de
ra
6
to
durante la perdida de suficiente para mantener
electricidad de una fuente un área crítica durante la
perdida de electricidad de
Au
83
de
una fuente
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
Sistema de tuberías de Sistema de condensación Sistema de condensación Sistema de condensación de Sistema de condensación
s o f id
át
7 condensadores de agua de agua con una única de agua con una única agua con ruta de acceso dual. de agua con ruta de
x c
ruta de acceso ruta de acceso acceso dual.
rm
o
Tabla 30: Subsistema Mecánico, Eliminación del Calor
C
fo
F
Fuente: TIA-942
u
ra
Pa
to
Au
84
de
Sistema de refrigeración por aire TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
Cubierta de terminales unidades de aire No aire Una unidad AC Cantidad de unidades AC Cantidad de unidades AC
o
acondicionado y al aire libre acondicionados redundante por suficiente para mantener un suficiente para mantener
c
In 4 iv
1 Condensadores redundantes área crítica área crítica durante la un área crítica durante la
di IN E en
a
perdida de electricidad de perdida de electricidad de
31 s
ic
una fuente una fuente
s o f id
át
c
Servicio eléctrico a los equipos mecánicos Equipos AC con Equipos AC con Múltiples equipos AC con Múltiples equipos AC
x
2
nuna única ruta de una única ruta una única ruta de acceso con una única ruta de
rm
o acceso de acceso acceso
C
fo
Control de humedad para el Centro de Datos Humidificación Humidificación Humidificación provista Humidificación provista
F
3
provista provista
u
Tabla 31: Subsistema Mecánico, Sistema de Refrigeración por aire
ra
Fuente: TIA-942
Pa
to
Au
85
de
Sistema de Control HVAC TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
Sistema de Control HVAC Falla en el Falla en el Falla en el sistema de Falla en el sistema de
o
sistema de control sistema de control no interrumpirá el control no interrumpirá
c
In 4 iv
interrumpirá el control no enfriamiento de las áreas el enfriamiento de las
di IN E en
1
a
enfriamiento de interrumpirá el críticas áreas críticas
31 s
ic
las áreas críticas enfriamiento de
s o f id
las áreas críticas
át
x c
n
Fuente de Poder para el Sistema de Control Electricidad para Electricidad de Electricidad de un UPS a los Electricidad de un UPS a
rm
HVAC
oel sistema de un UPS a los equipos AC redundantes los equipos AC
C
2 control HVAC equipos AC redundantes
fo
F
con una única ruta redundantes
de acceso
u
ra
Fuente: TIA-942
to
Au
86
de
Sistema de Tuberías (para la eliminación del calor) TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
Fuentes duales para arreglar el agua Fuente de agua Fuente de agua Fuente de agua dual, o una Fuente de agua dual, o
o
única, sin dual, o una fuente + respaldo en el lugar una fuente + respaldo en
c
In 4 iv
respaldo en el fuente + de almacenamiento. el lugar de
di IN E en
1
a
lugar de respaldo en el almacenamiento.
31 s
ic
almacenamiento. lugar de
s o f id
almacenamiento.
át
x c
n
Puntos de conexión para el sistema de Un único punto Un único punto Dos punto de conexión Dos punto de conexión
rm
2
condensación del agua
o de conexión de conexión
C
fo
F
Tabla 33: Subsistema Mecánico, Sistema de Tuberías
u
Fuente: TIA-942
ra
Pa
to
Au
87
de
Sistema de combustible de aceite TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
Tanques de almacenamiento Tanque de Múltiples Múltiples tanques de Múltiples tanques de
o
1 almacenamiento tanques de almacenamiento almacenamiento
c
In 4 iv
almacenamiento
di IN E en
a
31 s
Las bombas del tanque de almacenamiento y Una Bomba y/o Múltiples Múltiples Bombas, Múltiples Bombas,
ic
s o f id
tuberías un tubo de Bombas, múltiples tubos de múltiples tubos de
2
át
c
provisiones múltiples tubos provisiones provisiones
x
n de provisiones
rm
o
C
Tabla 34: Subsistema Mecánico, Sistema de Combustible de Aceite
fo
F
Fuente: TIA-942
u
ra
Pa
to
Au
88
de
Supresión de Fuego TIER 1 TIER 2 TIER 3 TIER 4
ría - lu ial
1 Sistema de detección de fuego No Si Si Si
o
c
2 Sistema de rociadores contra incendios Cuando sea Pre-Acción Pre-Acción (cuando Pre-Acción (cuando
In 4 iv
di IN E en
requerido (cuando requerido) requerido)
a
31 s
requerido)
ic
s o f id
át
3 Sistema de supresión gaseosa No No Agentes limpios listados en Agentes limpios listados
x c
la NFPA 2001 en la NFPA 2001
rm
4 Sistema de aviso temprano de detección de
o No Si Si Si
C
fo
humo
F
5 Sistemas de detección de fugas de agua No Si Si Si
u
ra
Fuente: TIA-942
Pa
to
Au
89
de
Subsistema de Telecomunicaciones
General
ría - lu ial
o
Selección de Sitio TIER 1 TIER 2 TIER 3 TIER 4
c
In 4 iv
di IN E en
1 Cableado, racks, gabinetes y vías cumplen con las especificaciones de la TIA. Si Si Si Si
a
31 s
ic
Entradas de proveedor de accesos encaminadas diversamente y agujeros de mantenimiento No Si Si Si
s o f id
2
át
c
con un mínimo de separación de 20m.
x
n
rm
Proveedor de servicios de acceso redundante, proveedores de acceso múltiple, oficinas No No Si Si
3
o
centrales, proveedor de accesos de derechos de vía.
C
fo
F
4 Entrada al cuarto secundaria No No Si Si
u
5 Área de distribución secundaria No No No Opcional
ra
to
7 Cableado horizontal redundante No No No Opcional
90
de
9 Múltiples routers y switches para redundancia No No Si Si
ría - lu ial
Paneles, tomacorrientes y cableado parchados y etiquetados por ANSI/TIA/EIA-606-A y el Si Si Si Si
10
o
anexo B de este estándar. Gabinetes y racks etiquetados en el frente y la parte posterior.
c
In 4 iv
di IN E en
Cordones y jumpers parcheados y etiquetados en ambos lados con el nombre de la No Si Si Si
a
31 s
11
conexión en ambos lados.
ic
s o f id
át
Documentación de cumplimiento con ANSI/TIA/EIA-606-A y el anexo B de este estándar No No Si Si
c
12
x
para el parcheado de los paneles y el parcheado de los cables.
rm
o
Tabla 36: Subsistema de Telecomunicaciones, General
C
fo
F
Fuente: TIA-942
u
ra
Pa
to
Au
91
Niveles de calificación de la evaluación
Para poder estandarizar los resultados de la evaluación, se decidió crear una
clasificación de resultados, los cuales serán detallados a continuación.
TIER 1:
de
Susceptibles a las interrupciones de los dos previstos y actividad no planificada
ría - lu ial
un único camino por el poder y la distribución de refrigeración, no hay
o
componentes redundantes (N)
c
In 4 iv
Puede o no tener un piso elevado, UPS o generador
di IN E en
a
31 s
ic
Toma 3 meses para implementación
so fid
át
c
Tiempo de inactividad anual de 28,8 horas
x
n
rm
Debe ser cerrado por completo para realizar mantenimiento preventivo
o
C
fo
TIER 2:
F
TIER 3:
de
carga en una ruta, mientras que realizar el mantenimiento de la otra.
ría - lu ial
TIER 4:
o
c
In 4 iv
Actividad planificada no interrumpa la carga y los datos críticos centro puede
di IN E en
sostener por lo menos un peor de los casos no planificado evento sin impacto de
a
31 s
la carga crítica
ic
so fid
át
c
Potencia de múltiples activos y las rutas de distribución de refrigeración, incluye
x
n
redundancia N +1)
C
fo
La implementación dura 15 a 20 meses.
F
u
NO APLICA:
Pa
NO CUMPLE:
Au
93
estándar TIA, asignándole la calificación correspondiente según los tipos de resultados
y el resultado final de cada subsistema es el menor de todos.
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
94
de
Resultados de la Evaluación
Considerando únicamente la clasificación desarrollada en el proyecto, el resultado de la evaluación es:
ría - lu ial
o
ID A EVALUAR CATEGORIA SUBCATEGORIA RESULTADO
c
In 4 iv
di IN E en
a
Proximidad al área de peligro de inundación como Arquitectónico Selección de sitio
31 s
ic
en un mapa federal de límites de riesgo de
s o f id
1 Tier 2
inundación o mapa de tasas de seguro de
át
c
inundación
x
n
rm
2 Proximidad con vías de agua costera
o Arquitectónico Selección de sitio Tier 2
C
fo
3 Proximidad con arterias de mayor tráfico Arquitectónico Selección de sitio Tier 2
F
u
4 Proximidad con aeropuertos Arquitectónico Selección de sitio Tier 2
ra
5 Proximidad con una gran área metropolitana Arquitectónico Selección de sitio Tier 2
Pa
95
de
Proximidad del estacionamiento de los visitantes Arquitectónico Aparcamiento
8 hacia las paredes perimetrales del edificio del data Tier 2
ría - lu ial
center
o
c
In 4 iv
9 Número de inquilinos dentro del edificio Arquitectónico Aparcamiento Tier 2
di IN E en
a
31 s
10 Tipo de construcción Arquitectónico Construcción del edificio Tier 2
ic
s o f id
át
Muros exteriores Arquitectónico Requerimientos de
c
11 Tier 2
x
resistividad al fuego
rm
Muros interiores
o Arquitectónico Requerimientos de
C
12 Tier 2
fo
resistividad al fuego
F
Muros no portantes exteriores Arquitectónico Requerimientos de
u
13 Tier 2
resistividad al fuego
ra
resistividad al fuego
to
Tabiques al interior de lo que no es la sala de Arquitectónico Requerimientos de
15 Tier 2
computadoras resistividad al fuego
Au
96
de
Tabiques al interior de la sala de computadoras Arquitectónico Requerimientos de
16 Tier 2
resistividad al fuego
ría - lu ial
o
Ejes de cajas Arquitectónico Requerimientos de
17 Tier 2
c
In 4 iv
resistividad al fuego
di IN E en
a
31 s
Pisos y techos de planta Arquitectónico Requerimientos de
ic
18 Tier 2
s o f id
resistividad al fuego
át
x c
Techos y cubiertas de techos Arquitectónico Requerimientos de
rm
19 Tier 2
resistividad al fuego
o
C
fo
Cumple con los requisitos del NFPA75 Arquitectónico Requerimientos de
Tier 1
F
20
resistividad al fuego
u
Barreras de vapor para los muros y techo de la sala Arquitectónico Componentes del edificio
21 Tier 1
ra
de computadores
Pa
97
de
24 Bajo la estructura Arquitectónico Componentes del edificio Tier 2
ría - lu ial
Construcción de los techos Arquitectónico Techos dentro de las salas
25 Tier 2
o
de computadoras
c
In 4 iv
di IN E en
26 Altura del techo Arquitectónico Componentes del edificio Tier 1
a
31 s
ic
27 Clase Arquitectónico Material para techos Tier 4
s o f id
át
c
28 Tipo Arquitectónico Material para techos Tier 2
x
n
rm
29 Resistencia al levantamiento del viento
o Arquitectónico Material para techos Tier 1
C
fo
30 Azotea a cuestas Arquitectónico Material para techos No aplica
F
31 Ratio de fuego f Arquitectónico Puertas y ventanas Tier 2
u
ra
98
de
No hay ventanas exteriores en el perímetro de la Arquitectónico Puertas y ventanas
34 Tier 2
sala de computadoras
ría - lu ial
o
Construcción provee protección contra la radiación Arquitectónico Puertas y ventanas
35 Tier 2
c
In 4 iv
electromagnética
di IN E en
a
31 s
36 Vestíbulo de entrada Arquitectónico Puertas y ventanas Tier 1
ic
s o f id
át
Separado físicamente de otras áreas del centro de Arquitectónico Puertas y ventanas
c
37 Tier 1
x
datos
rm
o
Separación de fuego de otras áreas del centro de Arquitectónico Puertas y ventanas
C
38 Tier 2
fo
datos
F
39 Counter de seguridad Arquitectónico Puertas y ventanas Tier 2
u
Dispositivo de seguridad unipersonal, portal o algún Arquitectónico Puertas y ventanas
ra
cuelguen
to
Separado físicamente de otras áreas del centro de Arquitectónico Oficinas administrativas
41 Tier 1
datos
Au
99
de
Separación de fuego de otras áreas del centro de Arquitectónico Oficinas administrativas
42 Tier 2
datos
ría - lu ial
o
Separado físicamente de otras áreas del centro de Arquitectónico Oficina de seguridad
43 Tier 1
c
In 4 iv
datos
di IN E en
a
31 s
Separación de fuego de otras áreas del centro de Arquitectónico Oficina de seguridad
ic
44 Tier 1
s o f id
datos
át
x c
Mirillas de 180 grados en el equipo de seguridad y Arquitectónico Oficina de seguridad
rm
45 Tier 1
cuartos de monitoreo
o
C
fo
Equipos de seguridad y cuartos de monitoreo con Arquitectónico Oficina de seguridad
F
16mm (5/8 in) madera contrachapada (excepto
46 Tier 1
u
donde la resistencia a balas es recomendada o
requerida)
ra
47 Tier 2
to
seguridad y vigilancia
100
de
Separación de fuego de otras áreas del centro de Arquitectónico Centro de operaciones
49 Tier 2
datos
ría - lu ial
o
50 Proximidad con la sala de computadoras Arquitectónico Centro de operaciones Tier 2
c
In 4 iv
di IN E en
Proximidad con la sala de computadoras y áreas de Arquitectónico Baños y áreas de descanso
a
31 s
51 Tier 2
soporte
ic
s o f id
át
Separación de fuego de otras áreas del centro de Arquitectónico Baños y áreas de descanso
c
52 Tier 2
x
datos y áreas de soporte
rm
Ancho de los pasillos para el mantenimiento,
o Arquitectónico Ups y sala de baterías
C
53 Tier 2
fo
reparación o eliminación de equipos
F
54 Proximidad con la sala de computadoras Arquitectónico Ups y sala de baterías Tier 2
u
Separación de fuego de otras áreas del centro de Arquitectónico Ups y sala de baterías
ra
55 Tier 2
datos y áreas de soporte
Pa
to
Separación de fuego de otras áreas del centro de Arquitectónico Corredores requeridos de
56 Tier 2
datos y áreas de soporte salida
Au
101
de
salida
ría - lu ial
Área de envíos y recibimientos Arquitectónico Corredores requeridos de
58 Tier 1
o
salida
c
In 4 iv
di IN E en
Separado físicamente de otras áreas del centro de Arquitectónico Corredores requeridos de
a
31 s
59 Tier 1
datos salida
ic
s o f id
át
Separación de fuego de otras áreas del centro de Arquitectónico Corredores requeridos de
c
60 Tier 2
x
datos salida
rm
Protección física de los muros expuestas al
o Arquitectónico Corredores requeridos de
C
61 Tier 2
fo
levantamiento de equipo de tráfico salida
F
Número de muelles de carga Arquitectónico Corredores requeridos de
u
62 Tier 1
salida
ra
aparcamiento salida
to
Counter de seguridad Arquitectónico Corredores requeridos de
64 Tier 2
salida
Au
102
de
Proximidad con la sala de computadoras y áreas de Arquitectónico Generador y áreas de
65 soporte almacenamiento de Tier 2
ría - lu ial
combustible
o
c
In 4 iv
Proximidad a áreas de acceso al público Arquitectónico Generador y áreas de
di IN E en
a
66 almacenamiento de Tier 2
31 s
ic
combustible
s o f id
át
c
67 Capacidad del ups del CPU del sistema Arquitectónico Seguridad Tier 1
x
n
rm
Capacidad del ups de los paneles de recopilación de Arquitectónico Seguridad
68
o Tier 1
datos (paneles de campo)
C
fo
F
69 Capacidad del ups del dispositivo de campo Arquitectónico Seguridad Tier 1
u
70 Staff de seguridad por turno Arquitectónico Seguridad Tier 1
ra
accesos de seguridad
to
Ups, teléfonos y cuartos. Arquitectónico Control, monitoreo y
72 Tier 1
accesos de seguridad
Au
103
de
Bóvedas de fibra Arquitectónico Control, monitoreo y
73 Tier 1
accesos de seguridad
ría - lu ial
o
Puertas de salida de emergencia Arquitectónico Control, monitoreo y
74 Tier 1
c
In 4 iv
accesos de seguridad
di IN E en
a
31 s
Ventana/apertura accesible desde el exterior Arquitectónico Control, monitoreo y
ic
75 Tier 1
s o f id
accesos de seguridad
át
x c
Centro de operaciones de seguridad Arquitectónico Control, monitoreo y
rm
76 Tier 2
accesos de seguridad
o
C
fo
Centro de operaciones de red Arquitectónico Control, monitoreo y
Tier 2
F
77
accesos de seguridad
u
Cuartos de equipos de seguridad Arquitectónico Control, monitoreo y
78 Tier 1
ra
accesos de seguridad
Pa
104
de
accesos de seguridad
ría - lu ial
Puerta del vestíbulo hacia el piso Arquitectónico Control, monitoreo y
81 Tier 1
o
accesos de seguridad
c
In 4 iv
di IN E en
Counter de seguridad en el vestíbulo Arquitectónico Muros, ventanas y puertas
a
31 s
82 Tier 2
resistentes a balas
ic
s o f id
át
Counter de seguridad en envíos y recepción Arquitectónico Muros, ventanas y puertas
c
83 Tier 3
x
resistentes a balas
rm
84 Perímetro del edificio y aparcamiento
o Arquitectónico Monitoreo CCTV Tier 2
C
fo
F
85 Generadores Arquitectónico Monitoreo CCTV Tier 2
u
86 Puertas de acceso controladas Arquitectónico Monitoreo CCTV Tier 1
ra
105
de
90 Ratio de grabación (frames por segundo) Arquitectónico Ctv. Tier 2
ría - lu ial
91 Zona sísmica Arquitectónico Estructural Tier 4
o
c
Instalación designada para los requerimientos de Arquitectónico Estructural
In 4 iv
92 Tier 3
di IN E en
zona sísmica
a
31 s
ic
Espectro de respuesta - grados de aceleraciones Arquitectónico Estructural
s o f id
93 Tier 2
át
sísmicas locales
x c
n
rm
94 Factor de importancia o Arquitectónico Estructural Tier 1
C
Equipo de telecomunicaciones gabinetes/racks Arquitectónico Estructural
fo
F
95 anclados a la base o soportada en la parte superior y Tier 1
base
u
Limitaciones de deflexión en los equipos de Arquitectónico Estructural
ra
106
de
98 Deterioro del recorrido del mayor sistema mecánico Arquitectónico Estructural Tier 1
ría - lu ial
Capacidad del piso de carga superimpuesta en carga Arquitectónico Estructural
99 Tier 1
o
viva
c
In 4 iv
di IN E en
Capacidad colgante del piso para cargas auxiliares Arquitectónico Estructural
a
31 s
100 Tier 1
suspendidas desde abajo
ic
s o f id
át
101 Grosor de la losa de concreto Arquitectónico Estructural Tier 1
x c
n
rm
Mezcla de concreto sobre las flautas de los pisos
o Arquitectónico Estructural
102 elevados afecta al tamaño del ancla que se pueda Tier 1
C
fo
instalar
F
Lfrs del edificio que indique desplazamiento de la Arquitectónico Estructural
u
103 Tier 1
estructura
ra
(absorción de energía)
to
Au
107
de
Ups/batería vs composición del edificio. Pisos de Arquitectónico Estructural
concreto son más difíciles de mejorar para cargas
ría - lu ial
105 Tier 1
intensas. Enmarcados de acero con cubierta de
o
metal y llenado mucho más sencillo de mejorar
c
In 4 iv
di IN E en
a
106 Enmarcados de acero y llenado Arquitectónico Estructural Tier 1
31 s
ic
s o f id
Cableado, racks, gabinetes y vías cumplen con las Telecomunicaciones Selección de sitio
107 No cumple
át
c
especificaciones de la TIA.
x
n
rm
Entradas de proveedor de accesos encaminadas Telecomunicaciones Selección de sitio
o
108 diversamente y agujeros de mantenimiento con un Tier 1
C
fo
mínimo de separación de 20m.
F
u
Proveedor de servicios de acceso redundante, Telecomunicaciones Selección de sitio
109 proveedores de acceso múltiple, oficinas centrales, No aplica
ra
to
110 Entrada al cuarto secundaria Telecomunicaciones Selección de sitio Tier 2
108
de
112 Rutas backbone redundantes Telecomunicaciones Selección de sitio Tier 2
ría - lu ial
113 Cableado horizontal redundante Telecomunicaciones Selección de sitio Tier 3
o
c
Los routers y switches tienen suministro de poder Telecomunicaciones Selección de sitio
In 4 iv
114 Tier 1
di IN E en
redundante y procesadores
a
31 s
ic
115 Múltiples routers y switches para redundancia Telecomunicaciones Selección de sitio Tier 2
s o f id
át
c
Paneles, tomacorrientes y cableado parchados y Telecomunicaciones Selección de sitio
x
n
rm
etiquetados por ANSI/TIA/eia-606-a y el anexo b
116 No cumple
o
de este estándar. Gabinetes y racks etiquetados en el
C
fo
frente y la parte posterior.
F
Cordones y jumpers parcheados y etiquetados en Telecomunicaciones Selección de sitio
u
117 ambos lados con el nombre de la conexión en No cumple
ra
ambos lados.
Pa
109
de
Enrutamiento de agua o tubería de drenaje no estén Sistema mecánico Selección de sitio
119 asociadas con los equipos del centro de datos en los Tier 4
ría - lu ial
espacios del data center
o
c
In 4 iv
La presión es positiva en el ambiente de Sistema mecánico Selección de sitio
di IN E en
a
computadoras y espacios asociados, en relación con
31 s
120 Tier 4
ic
el exterior y otros ambientes que no pertenezcan al
s o f id
centro de datos
át
x c
n
Desagües de piso para el agua condensada, la del Sistema mecánico Selección de sitio
rm
o
121 humidificador de agua de lavatorios y aspersores de No aplica
C
agua en el data center.
fo
F
122 Sistemas mecánicos en generadores standby Sistema mecánico Selección de sitio Tier 1
u
Terminales de unidades de aire acondicionado Sistema mecánico Sistema de refrigeración
ra
123 Tier 1
dentro del data center por agua
Pa
to
Control de humedad para el centro de datos Sistema mecánico Sistema de refrigeración
124 No cumple
por agua
125 Servicio eléctrico a los equipos mecánicos Sistema mecánico Sistema de refrigeración Tier 2
Au
110
de
por agua
ría - lu ial
126 Dry-coolers (si aplica) Sistema mecánico Eliminación de calor1 No aplica
o
c
127 Closed-circuit fluid coolers (en caso aplique) Sistema mecánico Eliminación de calor1 No aplica
In 4 iv
di IN E en
a
31 s
128 Bombas de circulación Sistema mecánico Eliminación de calor1 No aplica
ic
s o f id
129 Sistema de tuberías Sistema mecánico Eliminación de calor1 No aplica
át
x c
n
Terminales unidades de aire acondicionado dentro Sistema mecánico Sistema de agua fría
rm
130 o Tier 1
del data center
C
fo
131 Control de humedad para el centro de datos Sistema mecánico Sistema de agua fría No cumple
F
132 Servicio eléctrico a los equipos mecánicos Sistema mecánico Sistema de agua fría No aplica
u
ra
133 Sistema de tuberías de agua fría Sistema mecánico Eliminación de calor2 No aplica
Pa
134 Bombas de circulación de agua fría Sistema mecánico Eliminación de calor2 No aplica
to
135 Enfriadoras Sistema mecánico Eliminación de calor2 No aplica
136 Enfriadores refrigerados por agua Sistema mecánico Eliminación de calor2 No aplica
Au
111
de
137 Torres de enfriamiento Sistema mecánico Eliminación de calor2 No aplica
ría - lu ial
138 Condensadores de bombas de agua Sistema mecánico Eliminación de calor2 Tier 1
o
c
139 Sistema de tuberías de condensadores de agua Sistema mecánico Eliminación de calor2 Tier 2
In 4 iv
di IN E en
a
31 s
Unidades de aire acondicionado al aire libre e Sistema mecánico Sistema de refrigeración
140 Tier 1
ic
internas por aire
s o f id
át
c
Servicio eléctrico a los equipos mecánicos Sistema mecánico Sistema de refrigeración
x
141 Tier 1
rm
o por aire
C
Control de humedad para el centro de datos Sistema mecánico Sistema de refrigeración
fo
142 No aplica
F
por aire
u
143 Sistema de control HVAC Sistema mecánico Sistema de control HVAC No cumple
ra
144 Fuente de poder para el sistema de control HVAC Sistema mecánico Sistema de control HVAC No cumple
Pa
145 Fuentes duales para el agua de aporte Sistema mecánico Sistema de tuberías No aplica
to
Puntos de conexión para el sistema de condensación Sistema mecánico Sistema de tuberías
146 No aplica
del agua
Au
112
de
Estantes de almacenamiento Sistema mecánico Sistema de combustible de
147 No aplica
aceite
ría - lu ial
o
Almacenamiento de bombas y tuberías Sistema mecánico Sistema de combustible de
148 No aplica
c
In 4 iv
aceite
di IN E en
a
31 s
149 Sistema de detección de fuego Sistema mecánico Supresión de fuego Tier 4
ic
s o f id
át
150 Sistema de rociadores contra incendios Sistema mecánico Supresión de fuego No aplica
x c
n
rm
151 Sistema de supresión gaseosa o Sistema mecánico Supresión de fuego Tier 2
C
152 Sistema de aviso temprano de detección de humo Sistema mecánico Supresión de fuego Tier 4
fo
F
153 Sistemas de detección de fugas de agua Sistema mecánico Supresión de fuego Tier 1
u
154 Número de rutas de llegada/entrega. Eléctrico General Tier 2
ra
to
El sistema permite el mantenimiento concurrido. Eléctrico General
156 Tier 2
Au
113
de
Equipo de cables de alimentación de las Eléctrico General
157 computadoras y equipos de telecomunicaciones. Tier 1
ría - lu ial
o
Todos los equipos del sistema eléctrico deben estar Eléctrico General
c
In 4 iv
158 etiquetados con la certificación de una prueba de No cumple
di IN E en
a
31 s
laboratorio de terceros.
ic
s o f id
159 Puntos únicos de fallo Eléctrico General Tier 2
át
x c
n
rm
160 Sistema de transferencia de carga crítica o Eléctrico General No cumple
fo
F
Generadores del tamaño correcto de acuerdo a la Eléctrico General
162 No cumple
u
capacidad del ups instalado
ra
to
164 Redundancia del ups Eléctrico Ups No cumple
114
de
166 Acuerdo de mantenimiento de derivación en el ups Eléctrico Ups No cumple
ría - lu ial
167 Nivel de voltaje - distribución de poder del ups Eléctrico Ups No cumple
o
c
168 Tableros de paneles - distribución del poder del ups Eléctrico Ups No cumple
In 4 iv
di IN E en
a
31 s
Todas las computadoras y equipos de Eléctrico Ups
169 No cumple
ic
telecomunicaciones son alimentados con PDU's
s o f id
át
c
170 Transformadores k-factor instalados en PDU’s Eléctrico Ups No cumple
x
n
rm
171 Bus de sincronización de carga (lbs.)
o Eléctrico Ups No cumple
C
fo
172 Componentes redundantes (ups) Eléctrico Ups No cumple
F
El ups se encuentra separado en un panel de Eléctrico Ups
u
173 distribución separado de los equipos de No cumple
ra
telecomunicaciones y computadoras.
Pa
115
de
Accesorios de iluminación (277v) neutral, aislados Eléctrico Conexión a tierra
de la entrada de servicio derivados de la
ría - lu ial
176 No cumple
iluminación del transformador para el aislador de
o
fallas de tierra
c
In 4 iv
di IN E en
a
La infraestructura de la conexión a tierra del data Eléctrico Conexión a tierra
31 s
177 Tier 2
ic
center está dentro de la sala de computadoras.
s o f id
át
c
Activado por el sistema de emergencia de corte de Eléctrico Conexión a tierra
x
178 energía (EPO) en las salidas apagando solo al
n No cumple
rm
o
sistema de telecomunicaciones y computadoras.
C
fo
El supresor de fuego automático se libera después Eléctrico Conexión a tierra
F
179 No cumple
del apagado del sistema de telecomunicaciones
u
Sistema de alarma de fuego de la segunda zona se Eléctrico Conexión a tierra
ra
116
de
Activado por los botones del sistema de emergencia Eléctrico Sistemas de emergencia de
182 de corte de energía (EPO) en las salidas con corte de energía (EPO) No cumple
ría - lu ial
liberación de un supresor manual
o
c
In 4 iv
Se libera el supresor de fuego para el sistema de Eléctrico Sistemas de emergencia de
di IN E en
a
183 zonas únicas después del apagado del sistema de corte de energía (EPO) No cumple
31 s
ic
emergencias de corte de energía
s o f id
át
c
Activación del sistema de alarma de fuego en la Eléctrico Sistemas de emergencia de
x
n
segunda zona. Desconecta las baterías en la primera corte de energía (EPO)
rm
184 No cumple
o
zona con la liberación del supresor en la segunda
C
zona.
fo
F
El control maestro desconecta baterías y libera un Eléctrico Sistemas de emergencia de
u
185 Tier 2
supresor desde una estación atendida 24/7 corte de energía (EPO)
ra
Apagado del poder de los recipientes del ups en el Eléctrico Sistemas de emergencia de
186 No cumple
Pa
117
de
Cumplimiento del código local (eje. Sistemas Eléctrico Sistemas de emergencia de
188 No cumple
separados para el ups y HVAC) corte de energía (EPO)
ría - lu ial
o
189 Desplegado localmente en el ups Eléctrico Monitoreo del sistema No cumple
c
In 4 iv
di IN E en
190 Interface con el BMS Eléctrico Monitoreo del sistema Tier 3
a
31 s
ic
191 Control remoto Eléctrico Monitoreo del sistema Tier 2
s o f id
át
c
Mensaje de texto automático para el servicio de Eléctrico Monitoreo del sistema
x
192 Tier 3
rm
localización de ingenieros o
C
Mensaje de texto automático para el servicio de Eléctrico Monitoreo del sistema
fo
193 Tier 3
F
localización de ingenieros
u
194 Cadena de baterías comunes para todos los módulos Eléctrico Configuración de la batería No cumple
ra
195 Una cadena de batería para c/módulo Eléctrico Configuración de la batería No cumple
Pa
196 Tiempo de espera mínimo para la carga plena Eléctrico Configuración de la batería No cumple
to
197 Tipo de batería Eléctrico Configuración de la batería No cumple
Au
118
de
198 Montaje Eléctrico Baterías de tipo inundado No cumple
ría - lu ial
199 Placas de envoltura Eléctrico Baterías de tipo inundado No cumple
o
c
200 Contenedores de derrame de ácido instalados Eléctrico Baterías de tipo inundado No cumple
In 4 iv
di IN E en
a
31 s
Pruebas de batería a carga plena / horarios de Eléctrico Baterías de tipo inundado
201 No cumple
ic
inspección
s o f id
át
c
202 Separado de los cuartos de los equipos ups y celdas Eléctrico Sala de baterías No cumple
x
n
rm
o
Las cadenas individuales de baterías están aisladas Eléctrico Sala de baterías
203 No cumple
C
de uno con otro
fo
F
Vista a través de vidrio inastillable en la puerta de Eléctrico Sala de baterías
204 No cumple
u
la sala de baterías.
ra
to
206 Sistema de monitoreo de baterías Eléctrico Sala de baterías No cumple
207 Unidades encerradas separadas por las paredes Eléctrico Sistema de cajas del ups No cumple
Au
119
de
nominales de fuego diésel)
ría - lu ial
Tanques de combustibles en el exterior Eléctrico Sistema de cajas del ups
o
208 rotador (con generadores No cumple
c
In 4 iv
diésel)
di IN E en
a
31 s
Tanques de combustibles en la misma sala que las Eléctrico Sistema de cajas del ups
ic
s o f id
209 unidades rotador (con generadores No cumple
át
c
diésel)
x
n
rm
Tamaño del generador Eléctrico Sistema de generación
210
o Tier 2
standby
C
fo
F
Generadores en un único bus Eléctrico Sistema de generación
211 Tier 3
u
standby
ra
Un único generador por sistema con (1) generador Eléctrico Sistema de generación
212 Tier 1
de repuesto standby
Pa
to
Protección de falla de tierra individual de 83 ft. Eléctrico Sistema de generación
213 No aplica
(pies) para c/generador standby
Au
120
de
Pruebas a los módulos del ups Eléctrico Pruebas para el banco de
214 No cumple
cargas
ría - lu ial
o
Pruebas de los generadores Eléctrico Pruebas para el banco de
215 Tier 3
c
In 4 iv
cargas
di IN E en
a
31 s
Pruebas al ups y generadores simultáneamente Eléctrico Pruebas para el banco de
ic
216 No cumple
s o f id
cargas
át
x c
Llave de bypass del ups Eléctrico Pruebas para el banco de
rm
217 No cumple
cargas
o
C
fo
Equipos instalados permanentemente Eléctrico Pruebas para el banco de
Tier 4
F
218
cargas
u
Staff de mantenimiento Eléctrico Mantenimiento de los
219 Tier 2
ra
equipos
Pa
121
de
equipos
ría - lu ial
Tabla 37: Resultado de la Evaluación Física
o
Fuente: Evaluación Propia
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
122
Interpretación de Resultados
Al momento de analizar los resultados de evaluación a nivel global se obtiene el siguiente
resultado:
de
80
70
ría - lu ial
60
o
50
c
In 4 iv
40 TIER 1
TIER 2
di IN E en
30
a
31 s
20 TIER 3
TIER 4
ic
10
so fid
NO APLICA
0
Total
át
NO CUMPLE
c
TIER 1 52
x
TIER 2 79
n
rm
TIER 3 12
o
TIER 4 8
NO APLICA 20
C
fo
NO CUMPLE 50
F
Este gráfico muestra que el gran porcentaje de sugerencias brindadas por el checklist se
Pa
to
categoría "No Cumple" se debe a que el centro de datos no cumple con las características
mínimas para ser evaluado como TIER1, en el subsistema eléctrico es donde se presenta el
alto porcentaje de "No Cumple" ya que inclusive el nivel más bajo tiene requerimientos.
Por otro lado, si se realiza la evaluación por cada subsistema definido en esta memoria se
obtiene el siguiente resultado:
123
Evaluación Data Center Sistemas-Software por Subsistema
70
60
50
40
de
TIER 1
30
TIER 2
20 TIER 3
ría - lu ial
TIER 4
10 NO APLICA
o
NO CUMPLE
0
c
In 4 iv
ARQUITECTÓNICO ELÉCTRICO SISTEMA MECÁNICO TELECOMUNICACIONES
di IN E en
TIER 1 40 3 7 2
a
31 s
TIER 2 61 11 3 4
TIER 3 2 8 2
ic
TIER 4 2 2 4
so fid
NO APLICA 1 1 17 1
át
c
NO CUMPLE 43 4 3
x
n
rm
Imagen 11: Evaluación Data Center Sistemas – Software 2
o
C
Al interpretar los resultados de la evaluación se evidencia que todos los subsistemas tienen
u
por lo menos una sugerencia en nivel TIER1 lo cual hace que el resultado global de la
evaluación para el centro de datos de la carrera sea TIER1. Al mismo tiempo, cada
ra
subsistema tiene como resultado TIER1 puesto que es la menor calificación alcanzada por
Pa
cada uno.
to
Si se consideran los resultados de esta evaluación a detalle, se pueden diseñar las políticas y
recomendaciones que ayudarán a superar la calificación de TIER1 para cada subsistema,
Au
La estrategia a seguir para cada uno de los subsistemas es el levantar las observaciones
calificadas como TIER1, No Aplica y No Cumple que se encuentren dentro del alcance del
proyecto, para lograr esto se ha establecido una política que cubrirá las onces grandes
directrices sugeridos por la NTP 17799.
124
Para cubrir las deficiencias encontradas se deberían comprar e implementar las siguientes
recomendaciones.
de
Staff de seguridad (turno) Seguridad Física $1,000 (mensual)
ría - lu ial
Sistema Biométrico Seguridad Física $700
o
c
In 4 iv
2 Gabinetes Seguridad Física $4,000
di IN E en
a
31 s
Medidor de Temperatura y Humedad Seguridad Física $150
ic
so fid
át
c
Emerson)
x
n
rm
o
fo
F
to
125
Fuente: Elaboración Propia
de
Propósito del Proceso
El propósito del proceso de Gestión de Evaluación Seguridad es determinar cuál es el
ría - lu ial
procedimiento adecuado para llevar a cabo las pruebas de seguridad al interior de las
o
c
instalaciones del centro de datos y determinar si surgen nuevas incidencias en el centro de
In 4 iv
di IN E en
datos.
a
31 s
ic
Descripción
so fid
át
El proceso de Gestión de Evaluación de Seguridad inicia cada segunda semana de cada
x c
trimestre del ciclo académico. Es en este momento que el Gerente de Seguridad revisa su
n
rm
manual de funciones y revisa el detalle del proceso aquí descrito para determinar cuál es el
o
flujo adecuado para llevar a cabo la evaluación del centro de datos según el checklist.
C
fo
F
El alcance de las pruebas se limita únicamente a los componentes que se encuentren dentro
u
del centro de datos de la carrera de Ingeniería de Sistemas de Información. Las pruebas que
se llevarán a cabo han sido determinadas mediante un análisis de seguridad y en estas se
ra
to
Roles Descripción
de
Es la persona encargada de administrar de los servidores del centro
Gerente de Proyectos
ría - lu ial
de cómputo, realizar seguimiento a los proyectos de la empresa y
y Recursos
o
atender solicitudes de servicios de TI de las empresas virtuales.
c
In 4 iv
di IN E en
Encargado de monitorear el avance y la presentación de los
a
Gerente IT-Expert
31 sentregables, además de realizar las coordinaciones necesarias entre
ic
so fid
át
x c
n
rm
Entradas del Proceso
o
fo
F
- - -
u
ra
to
127
Caracterización
Entrada Actividad Salida Descripción Responsable
de
Manual de
ría - lu ial
Oficial de
o
Seguridad.
c
In 4 iv
di IN E en
Gerente de
Checklist de
a
31 s
El proceso inicia cada segunda semana Seguridad
1 - Inicio Seguridad
ic
del ciclo académico.
s o f id
Físico.
át
x c
n Checklist de
rm
o
Seguridad
C
Lógico.
fo
F
Manual de Manual de
u
Oficial de Oficial de
Seguridad. Seguridad. El gerente de seguridad revisa el
ra
para Gerente de
Revisar el manual manual de sus funciones
Checklist de del Seguridad
de Checklist de determinar cómo se deben realizar las
Pa
2 Oficial
to
Seguridad Seguridad Seguridad evaluaciones que se desarrollaran a
Físico. Físico. continuación.
Au
Checklist de Checklist de
Seguridad Seguridad
128
Lógico. Lógico.
de
Checklist de Checklist de
Seguridad Seguridad
ría - lu ial
Se analiza si el checklist de seguridad Gerente de
Físico. Físico.
o
3 Checklist coherente físico o lógico es coherente con el Seguridad
c
In 4 iv
Checklist de Checklist de estado del centro de datos.
di IN E en
a
Seguridad Seguridad
31 s
ic
Lógico. Lógico.
s o f id
át
c
Checklist de Checklist de
x
Seguridad
n Seguridad
rm
En caso no se encuentre actualizado el Gerente de
o
Físico. Físico.
Actualizar checklist con las nuevas incidencias o Seguridad
C
4
fo
Checklist de checklist Checklist de actualizaciones de los diversos
F
estándares usados.
Seguridad Seguridad
u
Lógico. Lógico.
ra
Checklist de Checklist de
Pa
Seguridad Seguridad
129
Lógico. Lógico.
de
El gerente de seguridad se encarga de Gerente de
Checklist de
Evaluar Seguridad Informe de llevar a cabo las pruebas con el Seguridad
ría - lu ial
6 Seguridad
Física Evaluación objetivo de generar el reporte de
o
Físico.
evaluación.
c
In 4 iv
di IN E en
a
El gerente de seguridad se encarga de Gerente
31 s
de
Checklist de
ic
Evaluar Seguridad Informe de llevar a cabo las pruebas con el Seguridad
s o f id
7 Seguridad
Lógica Evaluación objetivo de generar el reporte de
át
c
Lógico.
evaluación.
x
n
rm
o
Gerente de
C
Informe de Generar Informe Informe de Esta actividad genera el reporte de la Seguridad
fo
8
F
Evaluación Físico Evaluación evaluación de seguridad a nivel físico.
u
9
Evaluación Lógico Evaluación evaluación de seguridad a nivel lógico. Seguridad
Pa
to
Esta actividad sirve para determinar Gerente de
Informe de Consolidar y Informe de consolidar todos los documentos Seguridad
10
Evaluación Enviar informes Evaluación necesarios para informar al Gerente de
Au
130
evaluación.
de
El Gerente de Proyectos y Recursos
Recibir y Reenviar Gerente de
Informe de Informe de recibe el informe consolidado y se lo
ría - lu ial
11 Informe Proyectos y
Evaluación Evaluación reenvía al Gerente de la empresa
o
Consolidado Recursos
virtual IT-Expert.
c
In 4 iv
di IN E en
a
El Gerente de la empresa virtual IT-
31 s
ic
Informe de Revisar y brindar Informe de Expert revisa y verifica que el informe Gerente IT-
s o f id
12
Evaluación VoBo Evaluación sea coherente y se hayan considerados Expert
át
c
todos los activos del centro de datos.
x
n
rm
o
Informe de Informe de El Gerente IT-Expert solicita la
Solicitar Gerente IT-
C
13 Evaluación Evaluación revisión y posible re-evaluación del
fo
correcciones Expert
F
Incoherente Incoherente centro de datos.
u
realizar s u informe.
to
Informe de Enviar Informe Informe de El Gerente IT-Expert envía el informe Gerente IT-
15
Evaluación Consolidado Evaluación al Gerente de las Empresas Virtuales. Expert
Au
131
Informe de Informe de El Gerente de las empresas virtuales Gerente
16 Revisar Informe
Evaluación Evaluación revisa el informe. Capstone
de
El Gerente de las empresas virtuales
Informe de Enviar Acciones a Gerente
ría - lu ial
17 envía las acciones a tomar al Gerente
Evaluación Comentarios tomar Capstone
o
IT-Expert.
c
In 4 iv
di IN E en
El Gerente IT-Expert recepciona y
a
31 s
Recepcionar y
Acciones a Acciones a envía las observaciones y acciones a Gerente IT-
ic
18 Enviar Acciones a
s o f id
tomar tomar tomar al Gerente de Proyectos y Expert
át
c
Tomar
Recursos.
x
n
rm
o
Gerente de Proyectos y Recursos de la
Gerente de
C
Acciones a Recibir y Reenviar Acciones a empresa IT-Expert recibe y reenviar el
fo
19 Proyectos y
F
tomar Acciones a tomar tomar documento con las acciones a tomar al
Recursos.
Gerente de Seguridad.
u
132
Finaliza el proceso con el Gerente de Gerente de
Acciones
21 Fin - Seguridad luego de haber tomado Seguridad
de
tomadas
acabo las acciones mencionadas.
ría - lu ial
o
Tabla 39: Gestión de Evaluación de Seguridad
c
In 4 iv
Fuente: Elaboración Propia
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
133
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Imagen 12: Gestión de Evaluación de Seguridad
134
Definición de Procesos: Control de ingresos
de
centro de datos de la carrera.
Descripción
ría - lu ial
o
El proceso de Control de Ingresos se inicia cuando un solicitante sea alumno, operador
c
In 4 iv
o visitante requiere ingresar al centro de datos a realizar alguna actividad y genera la
di IN E en
a
31 s
solicitud a través de Gerente de Recursos. El gerente de seguridad de turno debe
ic
asegurarse que los ingresantes al centro de datos cumplan con ciertos requisitos
so fid
át
c
dependiendo si tienen permisos de ingreso o no, como por ejemplo, presentación de
x
n
fo
Roles
F
u
to
135
Salidas del Proceso
Salida Descripción Encargado de
Elaboración
de
ingresante, si contó con permisos de ingreso de
dispositivos tecnológicos, el detalle de estos.
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
136
de
Caracterización
ría - lu ial
o
Entrada Actividad Salida Descripción Responsable
c
In 4 iv
di IN E en
Solicitud de
a
31 s
Un recurso de otra empresa solicita ingresar al centro de datos de Gerente de
1 - Inicio ingreso al Centro
ic
la carrera. Seguridad
s o f id
de Datos
át
c
Pedido de ingreso Solicitud de Los responsables de algún proyecto desarrollado en otra empresa
x
n
rm
Ingresar solicitud Gerente de
2 al Centro de ingreso al Centro virtual le hacen llegar a su Gerente de Recursos un pedido de
de Ingreso
o Recursos
Datos de Datos ingreso al centro de datos, éste lo valida y genera la solicitud.
C
fo
F
Solicitud de Solicitud de
Revisar Solicitud El supervisor del Centro de Datos se encarga de Revisarla Gerente de
u
3 ingreso al Centro ingreso al Centro
de Ingreso solicitud. Seguridad
de Datos de Datos recibida
ra
Solicitud de Solicitud de
Pa
Revisar Gerente de
to
4 ingreso al Centro ingreso al Centro El supervisor revisa la documentación del solicitante.
documentación Seguridad
de Datos recibida de Datos revisada
Au
137
de
No contó con la
documentación
ría - lu ial
Solicitud de
Validar requerida. El supervisor revisar la documentación, asegurándose que esta Gerente de
o
5 ingreso al Centro
documentación Contó con la pertenece efectivamente al solicitante. Seguridad
c
In 4 iv
de Datos revisada
documentación
di IN E en
a
31 s
requerida
ic
s o f id
No contó con la
át
c
En caso la documentación no era la requerida se da por Gerente de
6 documentación Cancelación --
x
n terminado el proceso. Seguridad
rm
requerida.
o
C
Después de validar la documentación, el supervisor, se encarga
fo
Contó con la Solicitar Dispositivos
F
de solicitar los dispositivos tecnológicos con los que cuenta el Gerente de
7 documentación dispositivos tecnológicos
ingresante a fin de evitar que se ingrese cualquier dispositivo no Seguridad
u
requerida tecnológicos solicitados
permitido.
ra
Dispositivos
de ingreso de permisos. El supervisor revisa que tengo los permisos para ingresar con los Gerente de
to
8 tecnológicos
dispositivos Cuenta con dispositivos tecnológicos. Seguridad
solicitados
tecnológicos permisos
Au
138
de
En caso no cuente con permisos, el solicitante puede ingresar
pero sin los dispositivos tecnológicos, por lo que el supervisor se
ría - lu ial
Guardar Dispositivos
No cuenta con encarga confiscarlos hasta el término de la visita al centro de Gerente de
o
9 dispositivos tecnológicos
permisos. datos. En esta actividad se podrá verificar el número de Seguridad
c
In 4 iv
tecnológicos confiscados
dispositivos tecnológicos guardados (confiscados) al centro de
di IN E en
a
31 s
datos de forma diaria/semanal/mensual.
ic
s o f id
En caso el solicitante cuente con permisos, se encarga de
át
c
Registrar Dispositivos registrar los dispositivos tecnológicos que están permitidos y que
x
Cuenta con
n Gerente de
rm
10 dispositivos tecnológicos se están ingresando al centro de datos. En esta actividad se podrá
permisos
o Seguridad
tecnológicos registrados verificar el número de dispositivos tecnológicos registrados
C
fo
(ingresados) al centro de datos de forma diaria/semanal/mensual.
F
Dispositivos
u
tecnológicos Se permite el ingreso al solicitante, validando si se confiscaron
ra
registrados Dispositivos
dispositivos o se registraron. En esta actividad se podrá verificar Gerente de
11 Ingresar tecnológicos
Pa
139
de
ría - lu ial
El supervisor registra la información del solicitante así como
o
Dispositivos también si se ingresó con o sin dispositivos tecnológicos,
Registro de Gerente de
c
In 4 iv
12 tecnológicos Registrar ingreso registrando también el detalle de estos. En esta actividad se podrá
di IN E en
Ingresos Seguridad
a
ingresados verificar el número de registros realizados (ingresos) al centro de
31 s
ic
datos de forma diaria/semanal/mensual.
s o f id
át
c
Registro de El proceso finaliza cuando el solicitante ingresa al centro de Gerente de
14 Fin --
x
Ingresos
n datos. Seguridad
rm
o
C
Tabla 40: Control de Ingresos
fo
F
Fuente: Elaboración Propia
u
ra
Pa
to
Au
140
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Imagen 13: Control de Ingresos
141
Definición de Procesos: Revisión de Equipos
de
siempre equipado y monitoreado de la mejor manera el centro de datos.
Descripción
ría - lu ial
o
El proceso de Revisión de Equipos se inicia cuando el supervisor de turno debe realizar
c
In 4 iv
según el cronograma la revisión de equipos del centro de datos. Dentro de esta actividad
di IN E en
a
31 s
el supervisor verifica si se ha retirado algún equipo sin autorización así como también si
ic
se necesita revocar algún equipo del cuál su garantía este por expirar. En caso de
so fid
át
c
pérdida el supervisor debe comunicar al jefe de supervisores este tema siendo el mismo
x
n
caso haya habido una equivocación por parte de alguno de los supervisores que
C
realizaron los reportes pasados; si no es así entonces realiza un informe para el área de
fo
F
seguridad de la universidad con el fin de que investiguen sobre el extravío del equipo.
Por otro lado, en el caso de una des asignación, el supervisor debe realizar una solicitud
u
al jefe de supervisores para que este de su conformidad respecto del equipo o equipos a
ra
Roles
to
de
IT-Expert lo relacionado a Seguridad tanto dentro
como fuera del Centro de Cómputo.
ría - lu ial
o
c
In 4 iv
Entradas del Proceso
di IN E en
a
Entrada
31 sDescripción Encargado de Elaboración
ic
so fid
át
c
revisiones de están programadas las revisiones Gerente de Seguridad
x
n
equipos.
rm de equipos.
o
C
fo
F
Reporte
ra
revisión de Datos
to
143
de
Caracterización
Entrada Actividad Salida Descripción Responsable
ría - lu ial
o
1 -- Inicio Realización de revisión Inicia el proceso al inicio del ciclo Gerente de
c
In 4 iv
según cronograma académico. Seguridad
di IN E en
a
31 s
El supervisor se encarga de realizar la
ic
Resultado de revisión Gerente de
s o f id
2 Realización de revisión Revisar equipos revisión de los equipos del centro de datos
de equipos Seguridad
át
c
al inicio del ciclo académico.
x
n
rm
Resultado de revisión de Validar retiro de *Si, se retiró. El supervisor revisa si se retiró algún Gerente de
3
o
equipos equipo sin aviso *No se retiró. equipo o no sin ningún aviso. Seguridad
C
fo
F
El supervisor comunica al jefe de
u
supervisores sobre la pérdida del equipo(s).
Comunicar pérdida de Gerente de
4 Sí, se retiró Mensaje de pérdida En esta actividad se podrá identificar el
ra
equipo Seguridad
número de equipos perdidos en el ciclo
Pa
académico.
to
Revisar reporte de Reporte revisado El jefe de supervisores revisa de manera Administrador
5 Mensaje de pérdida detallada los reportes pasados sobre retiros
retiro de equipos completamente del Centro de
Au
144
de
equipo fue retirado sin ningún aviso. Datos
ría - lu ial
El jefe de supervisores elabora un informe
o
para el área de seguridad de la universidad Administrador
Reporte revisado Elaborar informe de
c
In 4 iv
6 Informe de seguridad comunicando la pérdida del equipo y de ese del Centro de
di IN E en
completamente seguridad
a
modo se inicien las investigaciones del Datos
31 s
ic
caso.
s o f id
át
c
El jefe de supervisores envía el informe Administrador
x
7 Informe de seguridad Término
n -- para que el área de seguridad de la del Centro de
rm
o universidad se encargue del asunto. Datos
C
fo
El supervisor luego de verificar que no se
F
Revocar o cambiar Si es necesario. realizaron retiros sin aviso valida si es Gerente de
u
8 No se retiró
algún equipo No es necesario. necesario realizar alguna reasignación o Seguridad
ra
145
de
Solicitud de revocación de Enviar Solicitud de El supervisor envía la Solicitud de Gerente de
10 Envío realizado
equipos revocación de equipos revocación de equipos elaborada. Seguridad
ría - lu ial
o
Administrador
Revisar solicitudes El jefe de supervisores revisa y atiende la
c
In 4 iv
11 Envío completado Solicitud atendida del Centro de
di IN E en
para conformidad solicitud.
a
Datos
31 s
ic
s o f id
*Si se brindó
Administrador
át
c
conformidad. El jefe de supervisores valida si se brindó o
12 Solicitud atendida Validar conformidad del Centro de
x
n *No se brindó no se brindó la conformidad de la solicitud.
rm
Datos
o conformidad.
C
fo
El supervisor verifica si se procederá a
F
* No se brindó Validar Fue con
realizar el reporte dependiendo si no Gerente de
u
13 conformidad *No es disconformidad / disconformidad / sin
necesito de una revocación o se le fue Seguridad
necesario. revocación revocación.
ra
146
de
El jefe de supervisores envía la Administrador
Envío de conformidad Enviar Envío simultáneo
15 conformidad de la Solicitud de revocación del Centro de
ría - lu ial
realizado. simultáneamente realizado
de equipos. Datos
o
c
In 4 iv
Revisar de
di IN E en
a
conformidad de Solicitud de revocación El Gerente General de IT-Expert recibe y
31 s
16 Envío simultáneo realizado Gerente General
ic
solicitud de de equipos revisada revisa la solicitud.
s o f id
revocación
át
x c
n El Gerente General de IT-Expert se
rm
Solicitud de revocación de Comunicar Comunicación
17
o comunica con el gerente de proyectos y Gerente General
equipos revisada revocación realizada
C
recursos.
fo
F
Gerente de
u
*Comunicación realizada.
18 Atender solicitud Solicitud atendida El Gerente atiende la solicitud. Proyectos y
*No es conforme.
ra
Recursos.
Pa
Realizar documento
to
El Gerente realiza el documento Gerente de
de requerimiento para Documento de
19 Solicitud atendida dependiendo de los requerimientos que esta Proyectos y
la revocación de requerimientos
revocación requiera. Recursos.
equipo
Au
147
de
Envío de documento de El gerente envía el documento a ser Gerente de
Documento de Enviar documento de
20 requerimientos validado por el gerente general de IT- Proyectos y
ría - lu ial
requerimientos requerimientos
realizado Expert. Recursos.
o
c
In 4 iv
El Gerente General de IT-Expert revisa el
di IN E en
Envío de documento de Revisar documento
a
21 Revisión completada documento de requerimientos elaborado Gerente General
31 s
requerimientos realizado de requerimientos
ic
por el gerente de proyectos y recursos.
s o f id
át
c
*Si es conforme. El gerente general valida si el documento
22 Revisión completada Validar documento Gerente General
x
n *No es conforme. es conforme o no.
rm
o
Enviar conformidad Envío de documento de
C
El gerente general envía el documento con
fo
23 Si es conforme de documento de requerimientos Gerente General
F
su conformidad.
requerimientos realizado
u
Recepción y revisión
ra
148
de
*Registro de equipos
revocados *Recepción y
ría - lu ial
Verificación El supervisor verifica que tenga ambos Gerente de
25 revisión de conformidad de Verificar
o
completada documentos para proceder a realizar Seguridad
documento de
c
In 4 iv
requerimientos completada
di IN E en
a
31 s
ic
Realizar tareas en Equipo revocado El supervisor realiza la revocación en base Gerente de
s o f id
26 Verificación completada
base a requerimientos realizando tareas a los requerimientos. Seguridad
át
x c
*Equipo revocado
n
rm
El supervisor verifica la información de la
realizando tareas. *Fue
o Con / sin tareas Gerente de
27 Validar tareas previas revisión de equipos previo a hacer el
C
con disconformidad / sin previas. Seguridad
fo
reporte general de la revisión de equipos.
F
revocación.
u
El supervisor realizar el reporte de la
ra
149
de
Enviar reporte general Envío del reporte
Reporte General de la El supervisor envía el reporte al Jefe de Gerente de
29 de la revisión de los general de la revisión
ría - lu ial
Revisión de Equipos supervisores. Seguridad
equipos de los equipos
o
c
In 4 iv
Envío del reporte general Revisar el reporte Reporte General de la Administrador
di IN E en
El jefe de supervisores procede a revisar el
a
30 de la revisión de los general de la revisión Revisión de Equipos del Centro de
31 s
reporte para luego archivarlo.
ic
equipos de los equipos revisado Datos
s o f id
át
c
Enviar
Disconformidad El jefe de supervisores envía la Gerente de
x
31 No se brindó. disconformidad
n de
rm
enviada disconformidad al supervisor Seguridad
solicitud
o
C
fo
Revisar
F
Disconformidad Gerente de
32 Disconformidad enviada disconformidad de El supervisor recibe la disconformidad
u
recibida, no se brindó. Seguridad
solicitud
ra
Revisar conformidad
Gerente de
Pa
150
de
ser revocado(s) revocados revisión de equipos. Esta actividad Seguridad
permitirá identificar el número de equipos
ría - lu ial
revocados en el ciclo académico.
o
c
In 4 iv
El Gerente de Seguridad envía el registro
di IN E en
a
Registro de equipos Registro de equipos de equipos revocados al Gerente Capstone Gerente de
31 s
35 Enviar en Simultáneo
ic
revocados revocados a modo informativo a su vez que pasa a Seguridad
s o f id
verificar.
át
x c
Recibir Registro de
n El Gerente Capstone recibe el listado de los
rm
Registro de equipos Gerente
36 Equipos a
oser -- equipos que serán revocados del centro de
revocados Capstone
C
revocados datos a modo informativo.
fo
F
El proceso se da por concluido el gerente Administrador
u
Registro de equipos
37 Fin -- de seguridad revisa el reporte general de la del Centro de
revocados
ra
151
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Imagen 14: Revisión de Equipos
152
Definición de Procesos: Control de Protección Ambiental
de
Descripción
ría - lu ial
El proceso de Control de Protección Ambiental se inicia cuando el gerente de seguridad
o
después de revisar su cronograma envía la solicitud a un operador de servicios generales
c
In 4 iv
para que este inspeccione los suministros de energía que corresponden al edificio donde
di IN E en
a
31 s
se encuentra ubicado el centro de datos. Este una vez que realiza la inspección envía al
ic
gerente de seguridad un reporte con los resultados de ésta en la cual también incluye
so fid
át
c
observaciones y/o incidencias. Luego de recibir dicho reporte el gerente de seguridad
x
n
procede a enviar una solicitud al supervisor de turno del centro de datos para que este
rm
o
realice un reporte respecto a cómo ha estado protegida las instalaciones del centro de
C
to
que realizar para poder mejorar tanto el suministro de energía como la protección de las
instalaciones.
Roles
Au
153
Administrador del Encargado de turno del centro de datos.
IT-Expert
Centro de Datos
de
Entradas del Proceso
Entrada
ría - lu ial
Descripción Encargado de Elaboración
o
c
In 4 iv
La realización de esta inspección
di IN E en
Necesidad de
a
inspeccionar los
31 s
es importante debido a que ayuda
ic
a controlar y monitorear la Gerente de seguridad
so fid
suministros de
át
protección ambiental del centro de
c
energía
datos.
x
n
rm
o
C
fo
Salidas del Proceso
F
Ingeniería de Sistemas de
to
154
de
Caracterización
Entrada Actividad Salida Descripción Responsable
ría - lu ial
o
Cronograma de la
c
In 4 iv
inspección de El gerente de seguridad, al inicio del ciclo académico Gerente de
di IN E en
1 -- Inicio
a
suministros de debe revisar su cronograma de actividades. Seguridad
31 s
ic
energía
s o f id
át
c
Redactar El Gerente de Seguridad se encarga de realizar una
Cronograma de la Solicitud de
x
solicitud de
n solicitud a los operadores de servicios generales para
rm
inspección de Inspección de Gerente de
2 inspección de
o que estos realicen las tareas de revisión de los
suministros de Suministros de Seguridad
C
suministros de suministros de energía y revisión de cableado respecto
fo
energía Energía
F
energía al centro de datos. Esta actividad se realiza cada mes.
u
Solicitud de Enviar solicitud Solicitud de
ra
suministros de Inspección
Suministros de
155
de
Energía enviado energía Suministros
ría - lu ial
Revisión de
o
Reporte de Revisar Reporte Reporte de
c
El gerente de seguridad revisa el reporte y saca Gerente de
In 4 iv
5 Inspección de de Inspección de Inspección de
di IN E en
conclusiones respecto a esto Seguridad
a
31 s
Suministros Suministros Suministros
ic
realizado
s o f id
át
c
Revisión de Redactar
x
Solicitud de El gerente de seguridad luego de revisar el reporte de
rm
Reporte de solicitud de
Reporte de suministros de energía pasa a redactar la solicitud de Gerente de
6 Inspección de reporte de
o
Protección de protección de instalaciones que será enviado al Seguridad
C
fo
Suministros Protección de
Instalaciones supervisor de turno.
F
realizado Instalaciones
u
Solicitud de
Solicitud de Enviar solicitud
ra
Reporte de
Reporte de de reporte de El gerente de seguridad envía la Solicitud de Reporte de Gerente de
7 Protección de
Pa
8
Au
Solicitud de Revisar Solicitud Solicitud de El supervisor recibe la solicitud de reporte de protección Administrador
156
de
Reporte de de reporte de Reporte de de instalaciones. del Centro de
Protección de Protección de Protección de Datos
ría - lu ial
Instalaciones Instalaciones Instalaciones
o
enviado revisado
c
In 4 iv
di IN E en
a
Solicitud de
31 s
ic
Reporte de Elaborar Reporte Reporte de Administrador
s o f id
El supervisor realiza el reporte respecto al resultado de
9 Protección de de Protección de Protección de del Centro de
át
c
la actividad realizada
Instalaciones Instalaciones Instalaciones Datos
x
n
rm
revisado
o
C
Reporte de
fo
Reporte de Enviar Reporte Administrador
F
Protección de El supervisor envía el Reporte de Protección de
10 Protección de de Protección de del Centro de
Instalaciones Instalaciones al gerente de seguridad
u
Instalaciones Instalaciones Datos
enviado
ra
Reporte de
Pa
157
de
Reporte de El gerente de seguridad realiza el reporte de incidencias.
Protección de Realizar Reporte Reporte de En esta actividad se podrá verificar el número de Gerente de
ría - lu ial
12
Instalaciones de Incidencias Incidencias incidencias reportadas en cada ciclo académico en los Seguridad
o
revisado suministros de energía del centro de datos.
c
In 4 iv
di IN E en
a
Reporte de
31 s
Reporte de El gerente de seguridad envía el reporte de incidencias Gerente de
ic
13 Enviar Incidencias
s o f id
Incidencias al director de carrera de sistemas. Seguridad
enviado
át
x c
Reporte de Enviar Reporte
n El gerente de seguridad envía el reporte de incidencias
rm
Reporte de Gerente de
14 Incidencias por de Incidencias a
o al director de la carrera quien es el encargado del centro
Incidencias Seguridad
C
enviar a Director Director de datos
fo
F
Revisar y Reporte de El director de la carrera revisa el reporte enviado por el
u
Reporte de Director de la
15 redactar Incidencias gerente de seguridad y elabora el documento de
Incidencias Carrera
ra
158
de
revisado
ría - lu ial
Revisión de
Documento de
o
Documento de documento de El gerente de seguridad revisa el documento y toma las
requerimientos Gerente de
c
In 4 iv
17 requerimientos requerimientos medidas para realizar los cambios u observaciones
di IN E en
y/o observaciones Seguridad
a
y/o observaciones y/o mencionadas
31 s
revisado
ic
observaciones
s o f id
át
c
Documento de
El proceso finaliza cuando el gerente de seguridad
x
requerimientos
n Gerente de
rm
18 Fin -- revisa el documento de requerimientos y/o
y/o observaciones
o Seguridad
observaciones.
C
revisado
fo
F
Tabla 42: Control de Protección Ambiental
u
Fuente: Elaboración Propia
ra
Pa
to
Au
159
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Imagen 15: Control de protección ambiental
Au
160
Definición de Procesos: Gestión de solicitud de accesos
de
lógica. Al mismo tiempo, este proceso es clave para el inicio las actividades de pase a
ría - lu ial
producción y despliegue dentro del centro datos.
o
Descripción
c
In 4 iv
El proceso de Gestión de Solicitud de Accesos se inicia cuando el Gerente de Proyectos
di IN E en
a
31 s
y Recursos IT-Expert de la empresa IT-Expert solicita a cada gerente de recursos de las
ic
empresas virtuales la relación de alumnos que deben contar con acceso al centro de
so fid
át
c
datos por pertenecer a los cursos de Taller de Desempeño 1, Taller de Desempeño 2,
x
n
Taller de Proyectos 1 y Taller de Proyectos 2. Luego, esta lista debe ser revisada por el
rm
o
Gerente Proyecto y Recursos, el mismo que visa la relación y solicita su atención por
C
Roles
ra
Roles Descripción
Pa
to
empresas virtuales.
161
Entrada Descripción Encargado de
Elaboración
de
Salidas del Proceso
Salida
ría - lu ial
Descripción Encargado de
o
Elaboración
c
In 4 iv
di IN E en
a
Listado de
31 s
Este documento consiste en tener el
ic
listado de alumnos que cuentan con
so fid
át
c
accesos
que se genera a partir de un Excel.
x
n
rm
o
C
fo
F
u
ra
Pa
to
Au
162
de
Caracterización
ría - lu ial
o
Entrada Actividad Salida Descripción Responsable
c
In 4 iv
di IN E en
El proceso inicia cuando el gerente de proyectos y recursos de la
a
31 s
Solicitud de Gerente de
empresa IT- Expert solicita al resto de empresas virtuales la
ic
1 - Inicio alumnos por Proyectos y
s o f id
relación de alumnos a los cuales se les debe tramitar el acceso al
empresa virtual Recursos.
át
c
centro de datos.
x
n
rm
Solicitud de
Generar lista de Listado
o de El gerente de recursos de cada uno de las empresas virtuales que
alumnos por Gerente de
C
2 Alumnos alumnos por forman parte de taller de desempeño 1 y 2, y taller de proyecto 1 y
fo
empresa Recursos.
F
Matriculados empresa. 2 crea la lista de alumnos que forman parte de su empresa.
virtual
u
Se prepara el documento que contendrá la relación de alumnos de
ra
alumnos datos. Los datos que debe tener este listado es: Código de Alumno,
to
empresa. acceso. Recursos.
Nombre del Alumno, Empresa, Proyecto.
4 Listado de ¿Es conforme? Listado de En esta actividad se verifica/analiza si se necesita una revisión de la Gerente de
Au
alumnos a alumnos a dar lista de alumnos por parte del gerente de recursos de cada empresa Proyectos y
163
de
dar acceso. acceso. virtual. En caso sea necesaria una validación por parte del gerente Recursos.
de recursos de cada empresa se envía un correo con la lista y las
ría - lu ial
Listado de
observaciones encontradas.
o
alumnos a dar
c
In 4 iv
acceso a En caso no se requiera una verificación adicional se procede a visar
di IN E en
a
revalidar. la relación y asignar.
31 s
ic
s o f id
Solicitud de El gerente de proyectos y recursos de IT-Expert se encarga de
át
c
Listado de Gerente de
Visar y asignar Atención revisar que el listado de alumnos contenga todos los datos
x
n
5 alumnos a Proyectos y
rm
para atención mencionados en el punto A y que cuente con la conformidad del
Lista de alumnos
dar acceso.
o gerente general de la empresa solicitante.
Recursos.
visada.
C
fo
F
El gerente de proyectos y recursos de IT-Expert puede solicitar la
Listado de Listado de
u
Reformular revisión de la lista porque esta no cumple con los requisitos Gerente de
alumnos a alumnos a dar
6 relación de mínimos indispensables, mediante un mensaje se envía la relación Proyectos y
ra
revisión.
to
Listado de Listado de
El gerente de seguridad, verifica que la relación enviada sea Gerente de
7 alumnos a ¿Es conforme? alumnos a dar
revalidada o visada cumpla con todos los requisitos necesarios antes Seguridad
Au
164
de
revalidar. revalidar. de tramitar los accesos.
ría - lu ial
Solicitud de Lista de alumnos
o
Atención visada.
c
In 4 iv
di IN E en
Lista de
a
31 s
alumnos
ic
s o f id
visada.
át
c
8 Listado de Tramitar accesos Relación de El responsable de brindar accesos tramita los accesos físicos para Gerente del
x
n
rm
alumnos alumnos con los alumnos que figuran en el listado, esta labor consiste en Seguridad
o
visado. accesos. actualizar la información en la base de datos GSFL en la tabla
C
fo
SOL_ACC ingresando todos los datos mencionados en el punto A,
F
para que de esta forma esta información sea explotada desde un
u
Excel con programación VBA.
ra
9 Listado de Solicitar revisión Listado de El gerente de seguridad de IT-Expert puede solicitar la revisión de Gerente de
Pa
alumnos a de lista de alumnos a dar la lista al gerente de proyectos y recursos porque esta no está acorde Seguridad
to
dar acceso a alumnos. acceso a a las especificaciones o algún requerimiento mínimo ha sido
revalidar. revalidar. obviado.
Au
165
de
cancelación por por cuarta vez el proceso se finaliza y se genera el reporte de
iteraciones. cancelación por iteraciones.
ría - lu ial
o
Relación de Reporte de Gerente del
Generar reporte El gerente de seguridad genera un reporte para en el cual se lista a
c
In 4 iv
10 alumnos con alumnos con Seguridad
di IN E en
de Accesos. las personas que cuentan con acceso al centro de datos.
a
accesos. acceso.
31 s
ic
s o f id
Reporte de Gerente de
át
c
alumnos con Seguridad
x
n
acceso. El gerente de seguridad envía un correo informativo en el cual se
rm
11 Reporte
Correo
o de indica que se han brindado los accesos respectivos, este correo tiene
de Fin
C
Notificación como destinatario al Gerente de Proyecto y Recursos de IT-Expert
fo
cancelación
F
y a los alumnos involucrados.
por
u
iteraciones.
ra
to
Fuente: Elaboración Propia
Au
166
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Imagen 16: Gestión de Solicitud de Accesos
Au
167
Política de Seguridad Física
Introducción
La seguridad física brinda el marco para minimizar los riesgos de daños e interferencias
a la información y a las operaciones del centro de datos de la carrera de Ingeniería de
Sistemas de Información, al mismo tiempo previene evitar al máximo el riesgo de
accesos no autorizados, mediante el establecimiento de perímetros de seguridad.
de
Se distinguen tres conceptos a tener en cuenta: la protección física de accesos, la
ría - lu ial
protección ambiental y el transporte, protección y mantenimiento de equipamiento y
o
documentación; los cuáles se tocarán de manera detallada en la sección de Conceptos y
c
In 4 iv
aspectos específicos sobre la Política de Seguridad Física.
di IN E en
a
Alcance
31 s
ic
so fid
át
c
UPC así también terceros que tengan acceso a los recursos de información del centro de
x
n
datos de la carrera. rm
o
C
Acrónimos y definiciones
fo
F
Asociation).
Pa
Objetivos
Au
Objetivo General
Objetivos Específicos
176
Prevenir e impedir el acceso físico no autorizado, además de evitar
interrupciones a las actividades educativas, daños o robos de los activos del
centro de datos de la carrera.
de
Proteger los equipos del centro de datos en su traslado y permanencia fuera de
ría - lu ial
las áreas protegidas, por motivos de mantenimiento u otros.
o
Enunciado de la Política
c
In 4 iv
di IN E en
“Los equipos informáticos y áreas aledañas al centro de datos de la carrera, deben
a
31 s
cumplir con todas las políticas funcionales y procedimientos de seguridad física, con el
ic
so fid
fin de evitar el acceso por personas no autorizadas, daño e interferencia a los recursos e
át
c
infraestructura de información.”
x
n
rm
o
Responsabilidades
C
Violaciones a la política
ra
to
169
Conceptos y directrices sobre la Política de Seguridad Física
de
Controles de Acceso Físico
ría - lu ial
El centro de datos debe ser protegido mediante controles de acceso físico a fin de
o
permitir el acceso sólo al personal autorizado. Estos controles deben ser aplicados por el
c
In 4 iv
supervisor de turno del centro de datos para así, proteger al centro de datos de accesos
di IN E en
a
31 s
no autorizados por lo que soporta el concepto de protección física de accesos.
ic
so fid
át
c
Inspeccionar y supervisar a los alumnos y/o visitantes del centro de datos registrando
x
n
rm
código, nombres, actividad a realizar, fecha y horario del ingreso y egreso. Para esto se
o
fo
estará a cargo del DBA de la empresa virtual IT-Expert el cual a su vez se encargará de
F
supervisores del centro de datos. Por otro lado, el supervisor de turno del centro de
datos debe velar por que se cumplan los requerimientos de seguridad del centro de datos
ra
to
Limitar y controlar el acceso al centro de datos a las personas autorizadas, las cuales
deberán contar con un código de identificación. El ingreso del personal también debe
ser registrado. Estos registros deben ser almacenados en una base de datos.
Au
Revisar y actualizar cada mes los registros de accesos al centro de datos los cuales
deben ser documentados y firmados por el encargado principal del centro de datos.
Revisar los registros almacenados en la base de datos sobre los ingresos y egresos hacia
el centro de datos de la carrera. Esta actividad debe ser realizada por el DBA de la
empresa IT-Expert.
170
Clasificar en categorías los diferentes tipos de personal que podrán tener acceso al
centro de datos, dentro de los cuales deben estar: operadores y usuarios (trabajo
regular), mantenimiento y retiro (trabajo periódico) y visitantes (alumnos o terceros)
que necesiten utilizar los equipos y la información del centro de datos de manera
temporal.
de
Para incrementar la seguridad del centro de datos, se debe establecer controles y
lineamientos para el personal que trabaja en él, así como para las actividades de terceros
ría - lu ial
y alumnos que se den dentro de este. Estos lineamientos y controles tienen que estar
o
ligadas específicamente con la protección física de accesos y permisos.
c
In 4 iv
di IN E en
a
31 s
Recomendaciones y controles adicionales:
ic
Dar a conocer al personal la existencia del centro de datos y las actividades que allí se
so fid
át
x c
n
El supervisor de turno debe estar al tanto de todo trabajo o actividad llevada a cabo por
rm
o
fo
El supervisor de turno debe mantener cerrado el ingreso e inspeccionar el centro de
F
El supervisor debe limitar el acceso al centro de datos de alumnos y/o terceros que no se
ra
encuentren autorizados, en caso estos cuenten con una autorización, deben ser
Pa
monitoreados.
to
El supervisor de turno debe guardar un registro de todos los alumnos y/o terceros con
autorización de acceso al centro de datos.
Au
Impedir el ingreso al centro de datos con equipos que registren información visual o
auditiva a menos que estos hayan sido debidamente autorizados por el director de la
carrera de Ingeniería de Software y Sistemas. Así también prohibir fumar y consumir
alimentos y/o bebidas dentro de las instalaciones del centro de datos.
Protección ambiental
171
Asegura y controla que las instalaciones estén protegidas, que el suministro de energía
sea ininterrumpido, el perímetro del centro de datos cuente con las señalizaciones,
barreras físicas, mecanismos de control y ubicación correctos.
de
contienen instalaciones de procesamiento de información, de suministro de energía
eléctrica, de aire acondicionado. Este aspecto forma parte del concepto de la protección
ría - lu ial
ambiental que debe ser cubierto por la seguridad física.
o
c
In 4 iv
Recomendaciones y controles adicionales:
di IN E en
a
Establecer y documentar claramente el perímetro de seguridad.
31 s
ic
so fid
Ubicar las instalaciones del centro de datos dentro del perímetro de un edificio o área de
át
c
construcción físicamente sólida. Las paredes deben ser sólidas y las puertas deben estar
x
n
Expandir las barreras físicas necesarias (2.7m), desde el piso real hasta el techo real, a
fin de crear un espacio ideal para los equipos así como también impedir incendios,
Pa
Suministros de energía
172
Los equipos deben estar protegidos a posibles fallas en el suministro de energía u otras
anomalías eléctricas. El suministro de energía debe estar de acuerdo con las
especificaciones del fabricante o proveedor de cada equipo.
de
Contar con varias líneas de alimentación de energía así también contar con múltiples
ría - lu ial
enchufes para evitar fallas en el suministro de energía en caso de contar sólo con un
o
único punto.
c
In 4 iv
Contar con un UPS para asegurar la continuidad de la disponibilidad de los equipos que
di IN E en
a
31 s
sustentan las operaciones críticas del centro de datos así también como de proteger de
ic
so fid
át
c
implementados de preferencia en los equipos de operaciones críticas, los cuales deben
x
n
ser determinados por los encargados así también como por los alumnos propietarios de
rm
o
la información. Estos equipos UPS deben ser probados mensualmente para asegurar el
C
Ubicar los interruptores de emergencia cerca a las salida(s) del centro de datos con la
u
to
suministro de energía.
173
asegurando que la disponibilidad del centro de datos no se vea afectado de manera
crítica.
Tener separados los cables de comunicaciones con los cables de energía a fin de evitar
de
interferencias.
ría - lu ial
Tener los cables de energía conectadas a tierra.
o
c
In 4 iv
Proteger el cableado de comunicaciones (red) mediante canaletas.
di IN E en
a
31 s
Utilizar medios de transmisión alternativos.
ic
so fid
át
Protección de las Instalaciones
x c
n
La selección y el diseño del área del centro de datos debe tener en cuenta la posibilidad
rm
o
de daño producido por incendio, inundación, explosión, agitación civil, y otras formas
C
autorizado.
Pa
to
Controlar que las puertas y ventanas del centro de datos permanezcan cerradas en caso
de no contar con personal en las instalaciones, asegurando con una protección especial
en las ventanas.
Au
Separar las áreas principales del centro de datos a ser atendidas por el personal de
aquellos que serán atendidos por terceros.
174
Ubicar el equipamiento de soporte (impresoras, fax, etc.) dentro del centro de datos para
evitar comprometer información sensible y su utilización por personal no autorizado.
de
copias de seguridad. Incluye también las políticas de escritorios y pantallas limpias.
ría - lu ial
Mantenimiento de equipos
o
c
In 4 iv
El mantenimiento del equipamiento se realizará de manera permanente para asegurar
di IN E en
integridad y disponibilidad, previniendo también que la información de los equipos no
a
31 s
se vea afectada durante estas actividades.
ic
so fid
át
c
Recomendaciones y controles adicionales:
x
n
rm
o
fo
con el cual se brindará el servicio así también como la autorización formal de los
F
Establecer que sólo el personal de mantenimiento con autorización podrá llevar a cabo
ra
Registrar cualquier retiro por mantenimiento de los equipos del centro de datos de la
Au
carrera.
de
alguno de ellos haya sido retiro de manera no autorizada.
ría - lu ial
Registrar fecha, hora, nombre y código de la persona encargada del centro de datos y
o
nombre del tercero que proceda a retirar equipo(s) del centro de datos.
c
In 4 iv
Políticas de escritorios y pantallas limpias
di IN E en
a
31 s
ic
Proteger documentos en papel y dispositivos de almacenamiento removibles en las
so fid
instalaciones del centro de datos de la carrera, a fin de reducir los riesgos de acceso no
át
c
autorizado, pérdida y daño de la información, tanto durante el horario normal de trabajo
x
n
Almacenar bajo llave, cuando corresponda, los documentos en papel y los medios
informáticos, en gabinetes y/u otro tipo de mobiliario seguro cuando no están siendo
u
Asegurar que la información crítica del centro de datos esté debidamente guardada en
Pa
haya una necesidad de acceder a estos equipos debe guardarse un registro con el motivo,
fecha, hora y nombre de la persona.
de
personal no autorizado ni terceros.
ría - lu ial
Ubicación y protección de los equipos y copias de seguridad
o
Los equipos del centro de datos deben ser ubicados y protegidos de manera que se
c
In 4 iv
minimice el riesgo de amenazas y desastres ambientales así también como accesos no
di IN E en
a
autorizados. 31 s
ic
so fid
át
c
Ubicar los equipos en un sitio donde se minimice el acceso innecesario y provea un
x
n
fo
F
Ubicar los equipos del centro de datos en un lugar donde sea fácil de supervisar.
u
Tener en cuenta las recomendaciones brindadas por la TIA 942 respecto al subsistema
ra
to
y derrumbes.
Revisar cada mes las condiciones ambientales de manera que no afecten el correcto
funcionamiento del centro de datos.
Au
177
de
Mapeo de procesos con directrices físicas
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
Imagen 17: Mapeo de procesos con directrices físicas
u
Fuente: Elaboración Propia
ra
Pa
to
Au
178
Seguridad a nivel lógico
de
libro seguridad informática de Purificación Aguilera.
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
179
de
Conceptos Aspectos específicos Pregunta
ría - lu ial
Control de Acceso Control de acceso al sistema operativo Identificación y Autentificación de usuarios
o
c
Control de Acceso Control de acceso al sistema operativo Los usuarios se identifican al ingresar al sistema
In 4 iv
di IN E en
a
31 s
Control de Acceso Control de acceso al sistema operativo Los usuarios se autentifican al ingresar al sistema
ic
s o f id
Control de Acceso Control de acceso al sistema operativo Los usuarios tienen asignados roles
át
x c
n Se han establecido las modalidades de acceso
rm
Control de Acceso Control de acceso al sistema operativo
o correspondientes
C
fo
Control de Acceso Control de acceso al sistema operativo Se ha definido horario de atención a usuarios
F
u
Se ha implementado una política de encriptación de
Control de Acceso Control de acceso al sistema operativo
contraseñas de usuarios
ra
Control de Acceso Control de acceso al sistema operativo Se ha definido cuál es la longitud mínima y los
Au
180
de
caracteres que debe contener una contraseña
ría - lu ial
Control de Acceso Control de acceso al sistema operativo Existe un lista de control de accesos
o
c
Control de Acceso Control de acceso al sistema operativo Existen etiquetas de seguridad
In 4 iv
di IN E en
a
31 s
Control de Acceso Control de acceso al sistema operativo Existe un sistema de sincronización de password
ic
s o f id
Existe un control sobre los puertos de todos los
át
c
Control de Acceso Control de acceso al sistema operativo
dispositivos del server
x
n
rm
Control de Acceso
o
Control de acceso al sistema operativo Existen firewalls que impidan accesos no deseados
C
fo
Control de acceso a las aplicaciones y la
F
Control de Acceso Identificación y Autentificación de usuarios
información
u
Control de acceso a las aplicaciones y la
ra
to
Control de acceso a las aplicaciones y la
Control de Acceso Los usuarios se autentifican al ingresar al sistema
información
Au
181
de
Control de acceso a las aplicaciones y la
Control de Acceso Los usuarios tienen asignados roles
información
ría - lu ial
o
Control de acceso a las aplicaciones y la Se han establecido las modalidades de acceso
Control de Acceso
c
In 4 iv
información correspondientes
di IN E en
a
31 s
Control de acceso a las aplicaciones y la
ic
Control de Acceso Se ha definido horario de atención a usuarios
s o f id
información
át
x c
Control de acceso a las aplicaciones y la Se ha implementado una política de encriptación de
rm
Control de Acceso
información contraseñas de usuarios
o
C
fo
Control de acceso a las aplicaciones y la Se ha definido cuál es el periodo de caducidad de las
F
Control de Acceso
información contraseñas
u
Control de acceso a las aplicaciones y la Se ha definido cuál es la longitud mínima y los
Control de Acceso
ra
Control de Acceso Se han definido que puertos puede usar cada aplicación
Control de acceso a las aplicaciones y la
Au
182
de
información
ría - lu ial
Control de acceso a las aplicaciones y la
Control de Acceso Identificación y Autentificación de usuarios
o
información (BD)
c
In 4 iv
di IN E en
Control de acceso a las aplicaciones y la
a
31 s
Control de Acceso Los usuarios se identifican al ingresar al sistema
información (BD)
ic
s o f id
át
c
Control de acceso a las aplicaciones y la
Control de Acceso Los usuarios se autentifican al ingresar al sistema
x
información (BD)
rm
o
Control de acceso a las aplicaciones y la
C
Control de Acceso Los usuarios tienen asignados roles
fo
información (BD)
F
Control de acceso a las aplicaciones y la Se han establecido las modalidades de acceso
u
Control de Acceso
información (BD) correspondientes
ra
Control de Acceso
información (BD)
to
Control de acceso a las aplicaciones y la Se ha implementado una política de encriptación de
Control de Acceso
información (BD) contraseñas de usuarios
Au
183
de
Control de acceso a las aplicaciones y la Se ha definido cuál es el periodo de caducidad de las
Control de Acceso
información (BD) contraseñas
ría - lu ial
o
Control de acceso a las aplicaciones y la Se ha definido cuál es la longitud mínima y los
Control de Acceso
c
In 4 iv
información (BD) caracteres que debe contener una contraseña
di IN E en
a
31 s
Control de acceso a las aplicaciones y la
ic
Control de Acceso Existe un lista de control de accesos
s o f id
información (BD)
át
x c
Control de acceso a las aplicaciones y la
rm
Control de Acceso Existen firewalls que impidan accesos no deseados
información (BD)
o
C
fo
Control de Acceso Control de acceso a la red Se han definido los accesos a recursos compartidos
F
Se han creados grupos con perfiles para manejar los
u
Control de Acceso Control de acceso a la red
accesos.
ra
Control de Acceso
usuarios
to
Se ha definido cuales son las sanciones de los usuarios
Control de Acceso Responsabilidades de usuarios
por infringir las normas
Au
184
de
Requisitos de negocio para el control de Se ha establecido una política donde se definan cuáles
Control de Acceso
accesos son los requisitos mínimos de control de accesos.
ría - lu ial
o
Gestión de las
Procedimientos y responsabilidades de Se han probado que los equipos procesen la información
c
In 4 iv
comunicaciones y
di IN E en
operación de forma adecuada
a
31 s
operaciones
ic
s o f id
Gestión de las
Procedimientos y responsabilidades de
át
c
comunicaciones y Se han definido los procedimientos ante incidencias
operación
x
n
rm
operaciones o
C
Gestión de las
fo
Se han definido todos los procesos que se llevan a cabo
Planificación y aceptación del sistema
F
comunicaciones y
dentro del centro de datos
operaciones
u
Gestión de las
ra
operaciones
to
Se llevan a cabo pruebas para asegurar que se va a
Gestión de las Planificación y aceptación del sistema
cumplir con los servicios contratados.
comunicaciones y
Au
185
de
operaciones
ría - lu ial
Gestión de las
o
comunicaciones y Planificación y aceptación del sistema Se han definidos SLA's para cada servicio brindado
c
In 4 iv
operaciones
di IN E en
a
31 s
Gestión de las
ic
s o f id
comunicaciones y Protección contra software malicioso Se han instalado en todos los servidores antivirus
át
c
operaciones
x
n
rm
Gestión de las
o
Protección contra software malicioso Se han habilitado las actualizaciones del antivirus
C
comunicaciones y
fo
F
operaciones
u
Gestión de las
Se realizan escaneos completos para verificar que no
comunicaciones y Protección contra software malicioso
ra
esté infectado.
operaciones
Pa
to
Gestión de las
Se han habilitado las herramientas de escaneo de
comunicaciones y Protección contra software malicioso
virus/malware en tiempo real
operaciones
Au
186
de
Gestión de las
Se ha implementado un firewall que impida accesos no
comunicaciones y Protección contra software malicioso
ría - lu ial
deseados
operaciones
o
c
In 4 iv
Gestión de las
di IN E en
a
31 s
comunicaciones y Protección contra software malicioso Se ha probado que el firewall y su configuración
ic
operaciones
s o f id
át
c
Gestión de las
x
n
rm
comunicaciones y Gestión del respaldo y recuperación
o Se ha definido el proceso de respaldo de información
operaciones
C
fo
F
Gestión de las
Se ha definido la periodicidad del respaldo de la
comunicaciones y Gestión del respaldo y recuperación
u
información
operaciones
ra
Gestión de las
Se ha definido cuál es el proceso adecuado de
Pa
Gestión de las Gestión de la seguridad en redes Se han bloqueado los puertos del servidor
Au
comunicaciones y
187
de
operaciones
ría - lu ial
Gestión de las
o
comunicaciones y Utilización de medios informáticos Se han bloqueado los puertos USB
c
In 4 iv
operaciones
di IN E en
a
31 s
Gestión de las
ic
s o f id
comunicaciones y Utilización de medios informáticos Se ha bloqueado el uso de la grabadora de CD/DVD
át
c
operaciones
x
n
rm
Gestión de las
o
Utilización de medios informáticos Se ha bloqueado el uso de disquetera
C
comunicaciones y
fo
F
operaciones
u
Gestión de las
Se ha definido que se debe realizar monitoreo sobre el
comunicaciones y Monitoreo
ra
to
Gestión de las
Se guardan de transacciones sobre las operaciones
comunicaciones y Monitoreo
realizadas en el centro de datos
operaciones
Au
188
de
Gestión de las
comunicaciones y Monitoreo Se guardan log de intentos no autorizados
ría - lu ial
operaciones
o
c
In 4 iv
Gestión de las
di IN E en
a
31 s
comunicaciones y Monitoreo Se guardan log de fallas en el firewall
ic
operaciones
s o f id
át
c
Gestión de las
x
n
rm
comunicaciones y Monitoreo o Se guardan log de intentos fallidos
operaciones
C
fo
Uso de cifrado para la protección de información
F
Adquisición, desarrollo y
Controles criptográficos sensible para la información transportada en medios
u
mantenimiento de sistemas
removibles
ra
189
de
Adquisición, desarrollo y Se ha implementado algún control software, accesos
Seguridad de los archivos de sistema
mantenimiento de sistemas sobre los archivos del sistema
ría - lu ial
o
Adquisición, desarrollo y ¿Cuál es el procedimiento para modificar archivos en el
Seguridad de los archivos de sistema
c
In 4 iv
mantenimiento de sistemas disco del sistema?
di IN E en
a
31 s
Adquisición, desarrollo y Se controlan las modificaciones en los sistemas del
ic
Seguridad de las aplicaciones
s o f id
mantenimiento de sistemas centro de datos
át
x c
Adquisición, desarrollo y Se hace un monitoreo aleatorio de logs transaccionales
rm
Seguridad de las aplicaciones
mantenimiento de sistemas para verificar el uso adecuado de los sistemas.
o
C
fo
Adquisición, desarrollo y Seguridad de los procesos de desarrollo y
F
Se han definido los ambientes de desarrollo
mantenimiento de sistemas soporte
u
Adquisición, desarrollo y Seguridad de los procesos de desarrollo y
Se han definido los ambientes de pruebas
ra
Adquisición, desarrollo y Seguridad de los procesos de desarrollo y Se evalúa los impactos producidos por cambios en el
to
mantenimiento de sistemas soporte ambiente de pruebas
Adquisición, desarrollo y Seguridad de los procesos de desarrollo y Se evalúa los impactos producidos por cambios en el
Au
190
de
mantenimiento de sistemas soporte ambiente de desarrollo
ría - lu ial
Adquisición, desarrollo y Seguridad de los procesos de desarrollo y
Se tiene un historial de control de versiones
o
mantenimiento de sistemas soporte
c
In 4 iv
di IN E en
Adquisición, desarrollo y Seguridad de los procesos de desarrollo y Se tiene un historial de las peticiones de cambio en los
a
31 s
mantenimiento de sistemas soporte sistemas
ic
s o f id
át
c
Adquisición, desarrollo y Seguridad de los procesos de desarrollo y Se han documentado todos los cambios y los rollbacks
x
mantenimiento de sistemas soporte necesarios para regresar a una versión anterior.
rm
o
Adquisición, desarrollo y
C
Gestión de la vulnerabilidad técnica Existe un documento de análisis de vulnerabilidades
fo
mantenimiento de sistemas
F
Adquisición, desarrollo y Se han llevado a cabo acciones para mitigar estas
u
Gestión de la vulnerabilidad técnica
mantenimiento de sistemas vulnerabilidades
ra
Fuente: NTP17799
191
Interpretación de Resultados
Al aplicar la evaluación dada por el checklist, se obtuvieron los siguientes resultados:
20
de
15
ría - lu ial
10
o
5
c
In 4 iv
di IN E en
0
a
31 s
Adquisición, desarrollo y Control de Acceso Gestión de las comunicaciones
ic
mantenimiento de sistemas y operaciones
so fid
át
c
Control de Acceso
x
n
fo
Imagen 18: Resultado de la Evaluación por Conceptos
F
9
Pa
8
to
7
6
5
4
Au
3
2
1
0
A B C D E F G H I J K L M N O P Q R S
A B C D E F G H I J K L M N O P Q R S
de
ría - lu ial
E Controles criptográficos
o
F Gestión de la vulnerabilidad técnica
c
In 4 iv
di IN E en
a
G
31 s
Gestión de la seguridad en redes
ic
so fid
át
x c
n
I Monitoreo
rm
o
fo
F
to
O Responsabilidades de usuarios
Au
193
Tabla 45: Aspectos Específicos
Estos resultados indican que; dentro de la seguridad lógica se han establecido tres
conceptos y de estos tres el más desarrollado es el control de accesos, sin embargo
existen aspectos específicos que deben ser cubiertos dentro de esta y por otro lado, el
de
concepto menos trabajado es el de adquisición desarrollo y mantenimiento de sistemas
ría - lu ial
pero se debe tomar en consideración que existe un área como servicios generales que se
o
encarga de controlar muchas de estas actividades, las mismas que no pueden ser
c
In 4 iv
modificadas o abarcadas por el proyecto.
di IN E en
a
31 s
Procesos de la gestión de la seguridad lógica
ic
so fid
át
c
Definición de Procesos: Gestión de solicitud de respaldo de información
x
n
debido a la política de seguridad lógica, la cual establece que ante algún incidente o
problema que haya sufrido el centro de datos debe existir un repositorio que almacene la
ra
Descripción
to
El alcance que tiene las copias de seguridad se limita únicamente a la información que
se encuentre en el centro de datos de la carrera de Ingeniería de Sistemas y Software de
la UPC, es decir bases de datos en los ambientes de producción y archivos en el file
194
server15. Luego, esta lista debe ser revisada por el Gerente General de la empresa, el
mismo que visa la relación y solicita su atención por parte de IT-Expert. Posterior a ello,
el Gerente de Proyectos y Recursos procede a revisar la lista y solicita al alumno
encargado que tramite y notifique los cambios.
Roles
Roles Descripción
de
Gerente de Proyectos Es la persona encargada de administrar de los servidores del
ría - lu ial
o
y Recursos. centro de cómputo, realizar seguimiento a los proyectos de la
c
In 4 iv
empresa y atender solicitudes de servicios de TI de las
di IN E en
empresas virtuales.
a
31 s
ic
Encargado de gestionar y supervisar todo lo relacionado a
so fid
Gerente de Seguridad
át
c
Seguridad tanto dentro como fuera del Centro de Cómputo.
x
n
rm
o
fo
Entrada Descripción Encargado de
F
Elaboración
u
Lista de carpetas o
en el file server o nombres de las bases de Proyectos y
bases de datos a
datos que se encuentran en el centro de datos Recursos IT-
Pa
respaldar
to
195
trabajo. carpetas o bases de datos respaldadas, las Seguridad
actividades, incidencias y soluciones que se han
seguido a lo largo de proceso.
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
196
de
Caracterización
Entrada Actividad Salida Descripción Responsable
ría - lu ial
o
El proceso inicia cuando se le envía
c
In 4 iv
un correo al Gerente de Proyectos y Gerente de
di IN E en
Listado de
a
Listado de carpetas o Recursos, este correo contiene el Proyectos y
31 s
carpetas o bases
ic
1 Inicio bases de datos a listado de carpetas o bases de datos a Recursos.
s o f id
de datos a
respaldar. respaldar, esta solicitud puede ser
át
c
respaldar.
generada por el Gerente de Recursos
x
n
rm
de cualquiera empresa virtual.
o
C
Gerente de
fo
Listado de
F
Listado de carpetas o El Gerente de Proyectos y Recursos. Proyectos y
carpetas o bases Solicitar respaldo
2 bases de datos a genera el listado de carpetas o bases Recursos.
u
de datos a de información.
respaldar de datos que deben ser respaldadas
respaldar
ra
Pa
Resultado del
197
de
análisis. de información.
ría - lu ial
Listado de
o
carpetas o bases El gerente de seguridad revisa en
c
In 4 iv
de datos a Determinar Manual de base a su análisis preliminar cuál es Gerente de
di IN E en
4 mecanismo de
a
respaldar
31 s
mecanismo a seguir. el manual que debe seguir para Seguridad
copia.
ic
realizar esta solicitud.
s o f id
Resultado del
át
c
análisis.
x
n
rm
Informe de trabajo.
o
C
fo
Listado de carpetas o Dependiendo del tipo de solicitud
F
bases de datos a (base de datos o carpetas) se debe
Manual de
¿Qué tipo de respaldar. Gerente de
u
5 mecanismo a seguir un determinado flujo que se
solicitud es? Seguridad
seguir. encuentra en la política de
ra
Manual de
mecanismo a seguir. seguridad.
Pa
to
6 Listado de Determinar e Informe de trabajo. El gerente de seguridad determina
Gerente de
Au
198
de
de datos a número de bases Listado de carpetas o las bases de datos a respaldar. Seguridad
respaldar. de datos para bases de datos a
ría - lu ial
respaldo. respaldar.
o
Manual de
c
In 4 iv
mecanismo a
di IN E en
a
seguir.
31 s
ic
s o f id
Informe de
át
c
trabajo.
x
n
rm
7 Listado de El gerente de seguridad determinar Gerente de
o
carpetas o bases Determinar e Informe de trabajo. cuál es la cantidad y los nombres de Seguridad
C
fo
de datos a identificar el las carpetas a respaldar.
F
número de Listado de carpetas o
respaldar.
u
carpetas para bases de datos a
Informe de respaldo. respaldar
ra
trabajo.
Pa
to
Informe de Generar backup Informe de trabajo El gerente de seguridad ejecuta los
Gerente de
8 trabajo. de las base de scripts de respaldo de cada base de
Archivos .bak de Seguridad
datos. datos.
Listado de respaldo de las base
Au
199
de
carpetas o bases de datos.
de datos a
ría - lu ial
Lista de archivos
respaldar
o
.bak respaldados.
c
In 4 iv
di IN E en
Log de procesos de
a
31 s
las bases de datos
ic
s o f id
9 Informe de trabajo. El gerente de seguridad copia la Gerente de
át
c
Informe de información contenida en cada Seguridad
x
n
rm
trabajo. Lista de carpetas
carpeta a una ruta específica, esta
Respaldar
o respaldadas del file
ruta se encuentra en la política de
C
Listado de información
fo
de server.
respaldo de información.
F
carpetas o bases las carpetas.
de datos a Listado de carpetas o
u
respaldar bases de datos a
ra
respaldar.
Pa
respaldo de las
200
de
base de datos.
ría - lu ial
Lista de archivos
o
.bak respaldados.
c
In 4 iv
di IN E en
Log de procesos
a
31 s
de las bases de
ic
s o f id
datos
át
c
Informe de trabajo. Gerente de
x
n
rm
En caso se encuentren errores en el
Seguridad
Log de procesos.
o Listado de carpetas o log de procesos, se debe realizar
¿Se encontraron
C
fo
11 Informe bases de datos a nuevamente el proceso de backup de
de errores en el log?
F
respaldar. la base o bases que terminaron con
trabajo.
u
error.
Log de procesos.
ra
de datos a
201
de
respaldar.
ría - lu ial
Log de procesos.
o
Informe de Listado de carpetas o Gerente de
c
In 4 iv
di IN E en
trabajo. bases de datos a Seguridad
a
31 s
Como la solicitud puede ser de tres
respaldadas.
ic
Listado de tipos, primero que sea solo respaldo
s o f id
carpetas o bases Copias de las de base de datos, que sea solo
át
c
13 de datos a Consolidar carpetas del file respaldo de las carpeta del file
x
n
rm
respaldar. server. server o ambos. El gerente de
o
seguridad debe consolidar la data en
C
fo
Lista de carpetas Archivos .bak de
una única ubicación.
F
respaldadas del respaldo de las base
u
file server. de datos.
ra
de
to
14 server. archivos los archivos se puedan abrir sin
carpetas del file
generados. problemas.
server.
Archivos .bak de
Au
202
de
base de datos. respaldo de las base
de datos.
ría - lu ial
Listado de
o
carpetas o bases
c
In 4 iv
de datos a
di IN E en
a
respaldadas.
31 s
ic
s o f id
Archivos Gerente de
át
c
Copias de las compactados. Seguridad
x
n
carpetas del file
rm
Informe de trabajo.
server.
o
El gerente de seguridad debe
C
Compactar
fo
Archivos .bak de Lista de carpetas compactar los generados por los
F
15 archivos de respaldadas del file
respaldo de las respaldos utilizando el compresor
respaldo.
u
base de datos. server. instalado en el servidor.
ra
to
las base de datos.
16 Lista de carpetas Guardar los Informe de trabajo. El gerente de seguridad debe Gerente de
organizar los archivos generados en Seguridad
Au
203
de
file server. generados. las carpetas correspondientes del
servidor.
ría - lu ial
Lista de archivos
o
.bak de respaldo
c
In 4 iv
de las base de
di IN E en
a
datos.
31 s
ic
s o f id
Informe de
át
c
trabajo.
x
n
rm
Archivos
o
compactados.
C
fo
F
El gerente de seguridad debe Gerente de
en Bitácora actualizada
u
Informe de Ingresar ingresar la lista de carpetas o base de Seguridad
17
trabajo. bitácora. datos respaldados, la fecha y el
Informe de trabajo.
ra
to
-Bitácora El gerente de seguridad debe enviar Gerente de
18 actualizada Fin Informe de trabajo. un correo al Gerente de Proyectos y Seguridad
Recursos para hacer público que los
-Informe de
Au
204
de
trabajo. respaldos se han llevado a cabo.
ría - lu ial
Tabla 46: Gestión de Solicitud de respaldo de información
o
Fuente: Elaboración Propia
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
205
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
Imagen 20: Gestión de solicitud de respaldo de información
ra
to
Au
206
Definición de Procesos: Administración de Vulnerabilidades y Parches
de
Descripción
ría - lu ial
El proceso de Administración de Vulnerabilidades y Parches inicia cada tres semanas
o
cuando se realiza una revisión de cuáles son las actualizaciones que se encuentran en
c
In 4 iv
estado pendiente. Este proceso interactúa con la el análisis de vulnerabilidades que se
di IN E en
a
31 s
lleva a cabo en otro proyecto de la empresa IT-Expert.
ic
so fid
Roles
át
x c
n
Roles rm Descripción
o
C
cómputo.
Gerente de Proyectos y
u
to
Cómputo.
207
Entrada del Proceso
Entrada Descripción Encargado de
Elaboración
de
ría - lu ial
Salidas del Proceso
o
Salida Descripción Encargado de
c
In 4 iv
Elaboración
di IN E en
a
Listado
31 s
de Este documento consiste en tener el listado de
ic
Gerente del
so fid
át
c
accesos carpeta correspondiente del centro de datos.
x
n
rm
o
C
fo
F
u
ra
Pa
to
Au
208
de
Caracterización
ría - lu ial
o
Entrada Actividad Salida Descripción Responsable
c
In 4 iv
di IN E en
El gerente de seguridad inicia el proceso de administración
a
31 s
Resultado de la
de vulnerabilidades en dos momentos, el primero es cuando Gerente de
ic
0 Inicio Evaluación de
s o f id
se ha detectado una nueva vulnerabilidad en el sistema o Seguridad.
Seguridad.
át
c
cuando se inicia cada ciclo académico.
x
n
rm
Proceso que se encarga de elaborar un BIA (Business Impact
o
Analysis) con el objetivo de encontrar vulnerabilidades y/o
C
Resultado de la Identificación Business
fo
amenazas que puedan afectar de forma considerable el Gerente de
F
1 Evaluación de de Impact
sistema. Este proceso tiene como información base los Seguridad.
u
Seguridad. vulnerabilidades Analysis.
resultados de la evaluación desarrollada por el Gerente de
ra
Seguridad.
Pa
Business Impact Análisis de Plan de Acción Proceso que se encarga de elaborar un plan de acción para Gerente de
to
Analysis vulnerabilidades mitigar los impactos de todas y cada una de las Seguridad.
2
vulnerabilidades y amenazas que fueron detectadas en el
BIA.
Au
220
de
El gerente de recursos y proyectos de IT-Expert se encarga
de revisar toda la información con la que se dispone para
ría - lu ial
poder determinar si es provechoso el implementar los
o
Plan de acción cambios sugeridos. Esta es la actividad más crítica dentro del Gerente de
c
In 4 iv
Visado. proceso puesto que si el análisis de costo beneficio es Recursos y
di IN E en
a
31 s
3 Plan de Acción ¿Es conforme? incorrecto se puede impactar directamente sobre los Proyectos
ic
Informe de
servicios brindados.
s o f id
IT-Expert
sustento.
át
c
En caso sea adecuado implementar los cambios se crea el
x
n
rm
plan de acción visado, en caso de no sea recomendable
o
implementar los cambios se crea el informe de sustento.
C
fo
F
El Gerente de Seguridad se encarga de realizar todas las
implementaciones y cambios detallados y requeridos en el
u
documento del plan de acción. Al mismo tiempo el Gerente
Plan de Acción Implementar Informe de Gerente de
ra
to
tener mapeadas todas las actividades en caso se necesite
hacer un rollback.
Au
210
de
El Gerente de Seguridad debe realizar un monitoreo por tres
Informe de Reporte de semanas para asegurar que todos y cada uno de los cambios Gerente de
ría - lu ial
5 Monitorear.
Implementación. Monitoreo implementados no han afectado el correcto funcionamiento Seguridad.
o
de los sistemas ni los servicios.
c
In 4 iv
di IN E en
a
Reporte de Si el Gerente de Seguridad encuentra fallas durante el
31 s
ic
Incidencias. monitoreo debe generar un reporte con la falla encontrada.
Reporte de ¿Se encontraron Gerente de
s o f id
6
át
Monitoreo. fallas? de En caso no se encuentren fallas se crear los reportes de Seguridad.
c
Reporte
x
n
Monitoreo. monitoreo.
rm
o
El Gerente de Seguridad utiliza el reporte de Incidencias y el
C
Reporte de Deshacer los Reporte de Gerente de
fo
7 Plan de acción para realizar un rollback de todos los cambios
F
Incidencias. cambios Cambios. Seguridad.
realizados y regresar a un estado seguro.
u
Reporte de Reporte de Esta actividad sirve para consolidar todos los documentos
ra
Reporte de Reporte de
211
de
Cambios. Cambios
ría - lu ial
Reporte de
o
Incidencias.
c
In 4 iv
di IN E en
Reporte de El Gerente de Seguridad genera los reportes necesarios para Gerente de
a
31 s
9 Enviar Reporte Reporte Final
Monitoreo. sustentar el resultado del proceso. Seguridad.
ic
s o f id
Reporte de
át
c
Cambios
x
n
rm
Informe de
o El Gerente de Seguridad envía un correo al Gerente de Gerente de
C
fo
sustento. Recursos y Proyecto de IT-Expert con el objetivo de Seguridad.
10 Fin Reporte Final
F
informar que el proceso se ha llevado a cabo de forma
Reporte Final
u
correcta y que no han surgido problemas.
ra
212
de
Diagrama de Procesos
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
Imagen 21: Administración de vulnerabilidades y parches
u
Fuente: Elaboración Propia
ra
Pa
to
Au
213
Definición de Procesos: Gestión de Solicitud de Accesos Lógico
de
las políticas definidas para la gestión de la seguridad física y lógica.
Descripción
ría - lu ial
o
El proceso de Gestión de Solicitud de Accesos se inicia cuando el gerente de recursos
c
In 4 iv
de cada empresa virtual genera la relación de alumnos de su empresa que deben tener
di IN E en
a
31 s
acceso a las carpetas de cada empresa. Los únicos alumnos que deben tener acceso a
ic
dichas carpetas son los alumnos de Taller de Desempeño 1, Taller de Desempeño 2,
so fid
át
c
Taller de Proyectos 1 y Taller de Proyectos 2. Luego, esta lista debe ser revisada por el
x
n
Gerente General de la empresa, el mismo que visa la relación y solicita su atención por
rm
o
revisan la lista y solicita al alumno encargado que tramite y notifique los accesos
fo
F
solicitados.
u
Roles
ra
to
214
Entradas del Proceso
Entrada Descripción Encargado de
Elaboración
de
ría - lu ial
Salidas del Proceso
o
Salida Descripción Encargado de
c
In 4 iv
Elaboración
di IN E en
a
31 sEste documento consiste en tener el
ic
so fid
át
c
con accesos acceso lógico a la carpeta Seguridad
x
n
fo
F
u
ra
Pa
to
Au
215
de
Caracterización
ría - lu ial
o
Entrada Actividad Salida Descripción Responsable
c
In 4 iv
di IN E en
El proceso inicia cuando el gerente de proyectos y recursos de
a
31 s
la empresa IT- Expert solicita al resto de empresas virtuales la
ic
Listado de Gerente de
s o f id
relación de alumnos a los cuales se les debe otorgar acceso
1 Inicio alumnos por Proyectos y
át
c
lógico a los files server de cada empresa virtual dentro del
empresa Recursos.
x
n centro de datos de la carrera de Ingeniería de Sistemas y
rm
o Software de la UPC.
C
fo
Se prepara el documento que contendrá la relación de alumnos
F
Listado de Crear Listado de de la empresa que contarán con acceso lógico a las carpetas de Gerente de
u
2 alumnos por relación de alumnos por cada empresa virtual dentro del centro de datos. Los datos que Proyectos y
ra
empresa alumnos empresa debe tener este listado es: Código de Alumno, Nombre del Recursos.
Alumno, Empresa.
Pa
to
Listado de ¿Es Relación de El gerente de proyectos y recursos de IT-Expert revisan cada Gerente de
3 alumnos por conforme? alumnos relación de alumnos por empresa, verifica que esta sea correcta Proyectos y
empresa revisada. y que se cumplan con los requisitos mínimos. En caso de ser Recursos.
Au
216
de
Relación de correcta se pasa a visar la misma.
alumnos a
ría - lu ial
En caso de ser incorrecta se retorna al gerente de recurso de la
revalidar
o
empresa virtual correspondiente para su atención.
c
In 4 iv
di IN E en
En caso sea necesaria una validación de la lista de alumnos el
a
31 s
Relación de Reformular Relación de gerente de recursos de la empresa virtual debe revisar, Gerente de
ic
s o f id
4 alumnos a relación de alumnos modificar según corresponda la relación de alumnos y enviarla Proyectos y
át
c
revalidar alumnos corregida. al gerente de proyectos y recursos para que este verifique Recursos.
x
n nuevamente que todo se encuentre según lo estipulado.
rm
o
Visar y Relación de El gerente de proyectos y recursos visar la relación de alumnos Gerente de
C
Relación de
fo
5 asignar para alumnos como señal de conformidad y revisión y deriva al gerente de Proyectos y
F
alumnos revisada.
atención visada. seguridad la relación para que esta sea atendida. Recursos.
u
Relación de Relación de Se verifica si se necesita una revisión de la lista de alumnos por
ra
alumnos visada. alumnos por parte del gerente de proyectos y recursos. En caso la lista sea
¿Es Gerente de
Pa
217
de
Relación de visada.
alumnos
ría - lu ial
revisada.
o
c
In 4 iv
Relación de
di IN E en
a
alumnos
31 s
El gerente de seguridad de IT-Expert puede solicitar la revisión
Solicitar
ic
revisada.
Relación de de la lista porque esta no cumple con los requisitos mínimos
s o f id
revisión de Gerente de
át
7 alumnos por indispensables. Esta revisión se puede dar hasta en tres
c
lista de Reporte de Seguridad
x
revisar. oportunidades, si se produce por cuarta vez el proceso se
n
cancelación
rm
alumnos.
finaliza y se genera el reporte de cancelación por iteraciones.
por
o
C
iteraciones.
fo
F
Relación de Tramitar Relación de El gerente de seguridad es el responsable de brindar accesos, Gerente de
u
alumnos visada. accesos permisos este tramita los accesos lógicos para los alumnos que figuran en Seguridad
ra
218
de
Relación de Cuando se haya terminado la actualización de los datos en la Gerente de
permisos Reporte de base de datos, el gerente de seguridad debe enviar un correo Seguridad
ría - lu ial
brindados por Notificar relación detallando los cambios al responsable del centro de datos y
o
9
alumno. accesos. permisos - recordándole la ruta donde se encuentra el Excel que genera el
c
In 4 iv
alumnos. reporte de listado de accesos permitidos y también a los
di IN E en
a
31 s
alumnos a los cuales se les brindo el acceso correspondiente.
ic
s o f id
Reporte de Gerente de
át
c
relación permisos Seguridad
x
n
rm
- alumnos. El gerente de seguridad se encarga de enviar un correo al
Correo de
10 Fin
o gerente de recursos de cada empresa virtual con la relación de
notificación
C
Reporte de
fo
alumnos que cuentan con acceso a la carpeta compartida.
F
cancelación por
iteraciones.
u
ra
219
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Imagen 22: Gestión de solicitud de accesos lógicos
Au
220
Definición de Procesos: Monitoreo de Componentes
de
actualidad se encuentra dentro de la capacidad del centro de datos y así evitar
ría - lu ial
incidentes.
o
Descripción
c
In 4 iv
El proceso de Monitoreo de Componentes inicia cada tres semanas durante el horario de
di IN E en
a
31 s
talleres de proyecto (Lunes 4-7 pm y Miércoles de 4-7). Este proceso tiene que evaluar
ic
cada uno de los componentes del centro de datos de la carrera.
so fid
át
c
Roles
x
n
rm
o
Rol Descripción
C
fo
F
Elaboración
Lista de Métricas
a calcular para cada uno de los Gerencia de Recursos
por componente
componentes del sistema dentro del y Proyectos
del Sistema.
centro de datos de la carrera.
221
Salidas del Proceso
Salida Descripción Encargado de
Elaboración
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
222
de
Caracterización
Entrada Actividad Salida Descripción Responsable
ría - lu ial
o
Lista de
Este proceso inicia cada tres semanas a partir del inicio de
c
In 4 iv
Métricas por Gerente de
di IN E en
1 Inicio clases de cada ciclo regular y durante los horarios de talleres
a
componente Seguridad.
31 s
de desempeño y taller de proyecto.
ic
del Sistema.
s o f id
át
c
En esta actividad el gerente de seguridad se encarga de realizar
x
Lista de
n un monitoreo y control sobre el desempeño de las particiones
rm
Reporte de
Métricas por Monitorear
o en cada uno de los servidores del centro de datos de la carrera. Gerente de
2 Métricas de
C
componente del particiones. Las métricas que debe calcular son Velocidad de Lectura, Seguridad.
fo
Particiones.
F
Sistema. Velocidad de Escritura, Porcentaje de Uso y Tiempo de
Acceso.
u
ra
Reporte de ¿Se detectaron Reporte de En caso se encuentren fallas se inicia el proceso de Gerente de
Métricas de fallas? Incidencia de Identificación de Problemas y se crea un reporte de incidencia, Seguridad.
Pa
223
de
Particiones.
ría - lu ial
Reporte de En esta actividad el gerente de seguridad se encarga de realizar
o
Métricas de un monitoreo y control sobre el desempeño de cada uno de los
c
In 4 iv
Particiones. Reporte de
Monitorear discos duros en los servidores del centro de datos de la carrera. Gerente de
di IN E en
4 Métricas de
a
31 s
discos. Las métricas que debe calcular son Velocidad de Lectura, Seguridad.
Reporte de Disco.
ic
Velocidad de Escritura, Porcentaje de Uso y Tiempo de
s o f id
Incidencia de
át
Acceso.
c
Particiones.
x
n
rm
Reporte de
o
Incidencia de
C
fo
Reporte de En caso se encuentren fallas se inicia el proceso de
¿Se detectaron Discos.
F
Gerente de
5 Métricas de Identificación de Problemas y se crea un reporte de incidencia,
fallas? Seguridad.
u
Disco. Reporte de en caso contrario se procede a realizar el siguiente monitoreo.
Métricas de
ra
Disco.
Pa
to
Reporte de Monitorear Reporte de En esta actividad el gerente de seguridad se encarga de realizar
Gerente de
6 Métricas de desempeño de Métricas de un monitoreo y control sobre el desempeño de todos los CPU
Disco. la CPU. CPU. ’s dentro del centro de datos de la carrera. Las métricas que Seguridad.
Au
224
de
Reporte de Uso de Aplicaciones, Porcentaje de Memoria Utilizado y
Incidencia de Porcentaje de CPU utilizado.
ría - lu ial
Discos.
o
c
In 4 iv
Reporte de Reporte de En caso se encuentren fallas se inicia el proceso de
di IN E en
¿Se detectaron Gerente de
a
7 Métricas de Incidencia de Identificación de Problemas y se crea un reporte de incidencia,
31 s
fallas? Seguridad.
ic
CPU. CPU. en caso contrario se procede a realizar el siguiente monitoreo.
s o f id
át
c
Reporte de
x
n
Métricas de En esta actividad el gerente de seguridad se encarga de realizar
rm
Reporte
o de
CPU. Verificar uso un monitoreo y control sobre el uso del ancho de banda del
Métricas de Gerente de
C
8 de ancho de servidor. Las métricas a calcular son Tiempo de subida de
fo
Reporte de banda ancho de Seguridad.
F
archivos, Tiempo de bajada de archivos, Numero de MB por
Incidencia de banda.
segundo y Tiempo de respuesta.
u
CPU.
ra
Reporte de Reporte de
En caso se encuentren fallas se inicia el proceso de
Pa
225
de
Reporte de Gerente de
Métricas de Seguridad.
ría - lu ial
ancho de Reporte de
o
banda. En esta actividad el gerente de seguridad se encarga de revisar
c
Revisar logs de Métricas de
In 4 iv
10 los logs del sistema para verificar que no se haya presentado
di IN E en
de sistemas. Logs del
a
Reporte
31 s
algún inconveniente con el sistema.
Sistema.
ic
Incidencia de
s o f id
Ancho de
át
c
Banda.
x
n
rm
Reporte de
o
Reporte de Gerente de
En caso se encuentren fallas se inicia el proceso de
C
Métricas de ¿Se detectaron Incidencia de Seguridad.
fo
11 Identificación de Problemas y se crea un reporte de incidencia,
F
Logs del fallas? Logs.
en caso contrario se procede a realizar el siguiente monitoreo.
Sistema.
u
ra
Logs. Probar equipos en cada uno de los servidores del centro de datos de la carrera.
to
12 Métricas de
de red. La métrica a calcular es el Tiempo de respuesta de
Reporte de Red.
Router/Switch, Número de paquetes enviados, Número de
Métricas de
Au
226
de
Sistema.
ría - lu ial
Reporte de Reporte de Gerente de
o
Métricas de Incidencia de Seguridad.
c
In 4 iv
Red. Equipos de
di IN E en
a
Red.
31 s
En caso se encuentren fallas se inicia el proceso de
ic
¿Se detectaron
s o f id
13 Reporte de Identificación de Problemas y se crea un reporte de incidencia,
fallas?
át
c
Problemas. en caso contrario se procede a realizar el siguiente monitoreo.
x
n
rm
Reporte de
o
Métricas de
C
fo
Red.
F
u
Reporte de
Plan de
Incidencia de
ra
Acción.
Logs. Identificación Proceso aún no definido por ser parte del proyecto de alumnos Gerente de
14
Pa
227
de
Red.
ría - lu ial
Reporte de
o
Incidencia de
c
In 4 iv
Ancho de
di IN E en
a
Banda.
31 s
ic
s o f id
Reporte de
át
c
Incidencia de
x
CPU.
n
rm
o
Reporte de
C
fo
Incidencia de
F
Discos.
u
Reporte de
ra
Incidencia de
Pa
Particiones.
to
Reporte de Generar Reporte Final El gerente de seguridad generar un reporte consolidado los Gerente de
15 Problemas. reportes de cada incidencia en caso se haya presentado alguna Seguridad.
Reporte. del Sistema.
Au
228
de
Reporte de calculadas en cada actividad de monitoreo.
Métricas de
ría - lu ial
Red.
o
c
In 4 iv
Reporte Final Reporte Final El reporte es enviado al Gerente de Recursos y Proyectos de Gerente de
di IN E en
16 Fin
a
del Sistema. del Sistema. IT-Expert y el Gerente General de la empresa IT-Expert Seguridad.
31 s
ic
s o f id
Tabla 49: Monitoreo de Componentes
át
c
Fuente: Elaboración Propia
x
n
rm
o
C
fo
F
u
ra
Pa
to
Au
229
de
Diagrama de Procesos
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
Imagen 23: Monitoreo de Componentes
u
Fuente: Elaboración Propia
ra
Pa
to
Au
230
Definición de Procesos: Gestión de Pruebas de Seguridad
de
para obtener indicadores de desempeño del centro de datos.
ría - lu ial
o
Descripción
c
In 4 iv
El proceso de Gestión de Pruebas de Seguridad inicia cada primer día hábil de cada
di IN E en
a
31 s
trimestre del ciclo académico. Es aquí cuando el Gerente de Seguridad revisa la bitácora
ic
de errores para determinar si han surgido nuevos incidentes que deben ser derivados a la
so fid
át
c
Gestión de Problemas para que esta pueda determinar cuál es la causa del mismo y así
x
n
fo
dentro del centro de datos de la carrera de Ingeniería de Sistemas de Información. Las
F
pruebas que se llevarán a cabo han sido determinadas mediante un análisis de seguridad
u
231
Roles
Roles Descripción
de
Entradas del Proceso
ría - lu ial
Entrada Descripción Encargado de
o
c Elaboración
In 4 iv
Este documento contiene la lista de Gerencia de
di IN E en
a
Listado de 31 s
pruebas/software a utilizar para determinar si Proyectos y
ic
pruebas a
el centro de datos se encuentra en un nivel Recursos IT-
so fid
realizar
át
c
mínimo aceptable. Expert
x
n
rm
o
fo
Salida Descripción Encargado de Elaboración
F
u
to
Au
232
de
Caracterización
ría - lu ial
o
Entrada Actividad Salida Descripción Responsable
c
In 4 iv
di IN E en
de El proceso inicia por solicitud Gerente de
Listado
a
31 s
1 - Inicio pruebas a expresa del gerente de proyectos y Seguridad
ic
s o f id
realizar recursos de IT-Expert
át
x c
n
rm
o El gerente de seguridad revisa la
de relación de incidencias registradas Gerente de
Listado de Listado
Revisar bitácora de
C
en en la bitácora para así determinar si Seguridad
fo
2 pruebas a errores
errores
F
realizar bitácora. existe un incidente no registrado
u
antes o no.
ra
¿Se encontraron
to
3 errores en Incidentes. de un nuevo problema o de uno ya Seguridad
nuevas fallas?
bitácora. conocido, en caso se trate de un
Listado de nuevo problema se deriva el caso a
Au
233
de
bitácora. lo identifique.
ría - lu ial
El proceso aún no se ha terminado
o
de definir por los alumnos de Gerente de
c
Listado de
In 4 iv
Gestión de proyecto 1, sin embargo, este Seguridad
di IN E en
4 Nuevos
a
31 s
Problemas proceso tiene como input la
Incidentes.
ic
información encontrada en las
s o f id
pruebas de seguridad.
át
x c
n
rm
o Esta actividad sirve para
Listado de Listado de determinar consolidar todos los
Gerente de
C
fo
5 Errores en Consolidar Errores en documentos necesarios de la
Seguridad
F
bitácora. bitácora. actividad Realizar las pruebas
u
según manual.
ra
234
de
han sido derivadas a la Gestión de
Problemas.
ría - lu ial
o
Listado de
c
In 4 iv
Incidencias En caso de encontrarse fallas se
di IN E en
a
encontrado notifican las mismas y se analiza si Gerente de
31 s
Resultado de la ¿Se encontraron durante
ic
la deben ser enviadas a la Gestión de Seguridad
7
s o f id
Evaluación. fallas? Evaluación.
át
Problemas o se debe buscar una
x c
de solución a este incidente.
n Listado
rm
o Nuevas Fallas.
C
fo
Listado de
F
El gerente de seguridad registra las Gerente de
Incidencias Registrar Listado de
u
incidencias encontradas para que Seguridad
8 encontrado Incidencias fallas
estas sirvan de ayuda a futuros
ra
to
Listado de Listado de Esta actividad sirve para
determinar consolidar todos los Gerente de
9 Incidencias Consolidar fallas
encontrado registradas. documentos necesarios de la Seguridad
Au
235
de
Evaluación. de seguridad
ría - lu ial
Listado de
o
Nuevas Fallas.
c
In 4 iv
di IN E en
Listado de
a
31 s
fallas
ic
s o f id
registradas.
át
c
El gerente de seguridad se encarga
x
n
rm
de de crear el informe de pruebas de Gerente de
Listado de Crear informe de Informe
o
10 fallas pruebas de Pruebas de seguridad para que el Gerente Seguridad
C
fo
registradas. seguridad Seguridad. General de IT-Expert esté al tanto
F
de las mismas.
u
Se envía el Informe de Pruebas de Gerente de
ra
Informe de
Correo de Seguridad al Gerente de Proyectos Seguridad
11 Pruebas de Fin
Pa
236
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
Imagen 24: Gestión de Pruebas de Seguridad
ra
to
Au
237
Definición de Procesos: Restauración de Backup
de
Descripción
El proceso de restauración de backup inicia cuando le llega al gerente de proyectos y
ría - lu ial
recursos de la empresa virtual IT-Expert una solicitud de restauración de archivos de
o
respaldo. El gerente debe validar y verificar que la solicitud cumpla con los requisitos
c
In 4 iv
mínimos para ser atendido. El gerente de seguridad determina qué tipo de solicitud es,
di IN E en
a
31 s
es decir si se trata de la restauración de una base de datos o de algún archivo del file
ic
server respaldado. El gerente de seguridad debe notificar a la gestión de problemas si se
so fid
át
c
presenta algún problema del cual no tiene conocimiento ni información disponible a lo
x
n
fo
Roles
F
u
Roles Descripción
ra
to
238
Entradas del Proceso
Entrada Descripción Encargado de
Elaboración
de
restauración. necesita la restauración y la conformidad del Recursos IT-
gerente del recursos de la empresa que solicite Expert
o
c
In 4 iv
di IN E en
a
Salidas del Proceso 31 s
ic
Salida Descripción Encargado de
so fid
Elaboración
át
x c
n
to
Au
239
de
Caracterización
ría - lu ial
o
Entrada Actividad Salida Descripción Responsable
c
In 4 iv
di IN E en
Gerente de
a
31 s
El proceso inicia por solicitud expresa de Proyectos y
Formato de Formato de
ic
1 Inicio cualquier empresa virtual a la cual IT- Recursos.
s o f id
restauración. restauración.
át
c
Expert brinda servicios.
x
n
rm
o El gerente de proyectos y recursos de la
C
fo
Conformidad de empresa IT-Expert se encarga de revisar Gerente de
F
atención. que el formato de restauración cumpla con Proyectos y
Formato de Revisar/Derivar
u
2 todas las indicaciones y requisitos Recursos.
restauración. el caso. Formato de presentes en el formato. Una vez verificada
ra
240
de
Conformidad restaurar. a seguir. La solicitud de restauración puede
de atención. ser de dos tipos: Archivos en el File Server
ría - lu ial
Manual de
o Restauración de Base de Datos.
o
Restauración.
c
In 4 iv
di IN E en
Listado de
a
31 s
archivos a El gerente de seguridad sigue
el Gerente de
Ejecutar proceso Listado de
ic
procedimiento detallado en el Manual de Seguridad
s o f id
restaurar.
4 de Restauración archivos
át
c
Restauración para restaurar la base de
Manual de de Base de Datos restaurados.
x
n
datos solicitada.
rm
Restauración.
o
C
fo
Listado de
F
archivos a Restaurar El gerente de seguridad sigue
el Gerente de
Listado de
procedimiento detallado en el Manual de Seguridad
u
restaurar.
5 archivos del file archivos
Restauración para restaurar archivos que se
de server. restaurados.
ra
to
Listado de
Verificar Resultado de El gerente de seguridad verifica
y Gerente de
6 archivos
errores/problemas Validación de comprueba que los archivos (base de datos, Seguridad
restaurados.
Au
241
de
Restaurados. encuentren de habilitados y no tengan
problemas.
ría - lu ial
Listado de
o
archivos
c
In 4 iv
restaurados.
di IN E en
a
31 s
El proceso Gestión de Problemas tiene
ic
s o f id
Resultado de como inputs los posibles errores que Gerente de
át
c
Validación de Gestión de aparecen en la restauración de backup. Y el Seguridad
7
x
Archivos Problemas
n output aún no se tiene definido pues forma
rm
Restaurados.
o parte de un proyecto de alumnos de taller
C
de proyecto1
fo
F
Resultado de Resultado de Esta actividad se encarga de unificar y
u
Validación de Validación de controlar el inicio de la actividad Crear
ra
Seguridad
to
Listado de Listado de caso se hayan presentado problemas
nuevos o iniciar directamente dado que no
archivos archivos
restaurados. restaurados. se encontraron nuevos problemas.
Au
242
de
Resultado de
Validación de
ría - lu ial
Archivos El gerente de seguridad se encarga de crear Gerente de
o
Restaurados. Crear informe de Informe de el informe de restauración en el cual se Seguridad
c
9
In 4 iv
restauración. Restauración detalla cuáles son los archivos restaurados
di IN E en
a
Listado de
31 s
y cuál es el estado de los mismos.
ic
archivos
s o f id
restaurados.
át
x c
n Se envía el Informe de Restauración al Gerente de
rm
10
Informe de
Fin
o Gerente de Proyectos y Recursos de la Seguridad
C
Restauración
fo
empresa IT-Expert.
F
u
Tabla 51: Restauración de Backup
ra
to
Au
243
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
to
Au
244
Definición de Procesos: Control de Vulnerabilidades Técnicas
de
Descripción
El proceso de Control de vulnerabilidades técnicas se inicia cuando el gerente de
ría - lu ial
seguridad define los roles y responsabilidades en base a los diferentes sistemas y
o
aplicativos desplegados en el centro de datos de la carrera. Una vez definido esto se
c
In 4 iv
envía el documento al Gerente General y este lo delega al Gerente de Proyectos y
di IN E en
a
31 s
Recursos para que este asigne dichos roles entre los recursos de la empresa virtual IT-
ic
Expert. El recurso envía su conformidad al Gerente de Proyectos y Recursos, el cuál
so fid
át
c
será revisado por este y enviado de vuelta al gerente de seguridad para que este defina la
x
n
vulnerabilidades con cada recurso responsable por los sistemas del centro de datos.
C
fo
Roles
F
u
to
245
Desempeño o Taller de Proyectos.
de
Entrada Descripción Encargado de
ría - lu ial
Elaboración
o
Necesidad de
c
In 4 iv
di IN E en
control de Al inicio del ciclo académico el gerente de
a
vulnerabilidades
31 s
seguridad tendrá que definir los roles y Gerente de
ic
so fid
át
c
sistemas del centro de datos.
x
n
centro de datos
rm
o
C
fo
Salidas del Proceso
F
Elaboración
ra
Documento de
Este documento indica el plan a seguir para el
Pa
monitoreo y
to
246
de
Caracterización
Entrada Actividad Salida Descripción Responsable
ría - lu ial
o
-- Inicio Necesidad de control de Inicia el proceso. Gerente de
c
In 4 iv
vulnerabilidades Seguridad
di IN E en
1
a
técnicas de los sistemas
31 s
ic
del centro de datos.
s o f id
át
c
Documento de roles y
Necesidad de control de Cada período académico el jefe de seguridad de
x
n responsabilidades sobre
rm
vulnerabilidades Definir roles y turno define los roles y responsabilidades sobre Gerente de
2
o el control de
técnicas de los sistemas responsabilidades los sistemas del centro de datos. Esto se da cada Seguridad
C
vulnerabilidades
fo
del centro de datos inicio de ciclo académico.
F
técnicas
u
Documento de roles y
ra
247
de
Recepción y revisión de
Documento de roles y Revisar documento
documento de roles y El gerente general de la empresa virtual IT- Gerente
ría - lu ial
4 responsabilidades de roles y
responsabilidades Expert revisa el documento. General
o
enviado responsabilidades
revisado
c
In 4 iv
di IN E en
a
Recepción y revisión de Envío de documento de
31 s
El gerente general de la empresa virtual IT-
ic
documento de roles y roles y Gerente
s o f id
5 Enviar documento Expert envía al gerente de proyectos y recursos
responsabilidades responsabilidades General
át
c
el documento.
revisado revisado enviado
x
n
rm
Envío de documento de
o Recepción y revisión de
Revisar documento Gerente de
C
roles y documento de roles y El gerente de proyectos y recursos revisa el
fo
6 de roles y Proyectos y
F
responsabilidades responsabilidades documento.
responsabilidades Recursos
revisado enviado revisado
u
ra
248
de
responsabilidades responsabilidades responsabilidades responsabilidades a detalle.
revisado enviado revisado
ría - lu ial
o
Revisión de documento
c
In 4 iv
de roles y El recurso envía su conformidad respecto al rol
di IN E en
9 Enviar conformidad Conformidad de recurso Recurso
a
responsabilidades y responsabilidad asignado.
31 s
ic
revisado
s o f id
át
c
Conformidad de El gerente se encarga de revisar las Gerente de
Revisar
x
10 Conformidad de recurso
n Gerente de proyectos y conformidades y de informar al jefe de Proyectos y
rm
conformidades
o recursos seguridad sobre esto. Recursos
C
fo
El jefe de seguridad elabora el documento de
F
Conformidad de Documento de definición de línea de tiempo respecto a los
u
Definir línea de Gerente de
11 Gerente de proyectos y definición de línea de sistemas del centro de datos enfocándose en las
tiempo Seguridad
ra
to
Documento de El jefe de seguridad elabora el documento de
Definir evaluación Documento de evaluación de parches con los aplicativos Gerente de
12 definición de línea de
de parches evaluación de parches actuales con los que cuenta el centro de datos, Seguridad
tiempo
Au
249
de
cada aplicativo para ejecutar la actividad en caso
sea requerida. En esta actividad se podrá
ría - lu ial
verificar el número de parches definidos por
o
aplicativo en el ciclo académico.
c
In 4 iv
di IN E en
a
El jefe de seguridad se encarga de realizar un
31 s
ic
monitoreo y evaluación acompañado de los
s o f id
recursos asignados a cada sistema o aplicativo a
át
c
Monitorear y Documento de
realizar una pequeña evaluación sobre las
x
Documento de evaluar
n
las monitoreo y evaluación Gerente de
rm
13 vulnerabilidades técnicas. Esta actividad se
evaluación de parches vulnerabilidades
o de las vulnerabilidades Seguridad
realiza cada inicio y fin de ciclo académico. En
C
técnicas técnicas
fo
esta actividad se podrá identificar el número de
F
vulnerabilidades técnicas evaluadas y
u
monitoreadas durante el ciclo académico.
ra
Documento de
El proceso finaliza cuando el gerente de
monitoreo y evaluación Gerente de
Pa
250
Pa
ra C
u o n
Au s o f id
di IN E en
to F x c c
ría - lu ial
31 s
In 4 iv
Fuente: Elaboración Propia
fo o
rm de
át
ic
a
251
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
252
Definición de Procesos: Gestión de Claves
de
aplicativos del centro de datos de la facultad.
ría - lu ial
o
Descripción
c
In 4 iv
El proceso de Gestión de Claves se inicia cuando se inicia el ciclo académico en curso y
di IN E en
el Gerente de Proyectos y Recursos de la empresa virtual IT-Expert elabora el
a
31 s
documento con el consolidado de los recursos con sus roles, así también con los perfiles
ic
so fid
en los aplicativos con los que cuenta el centro de datos. Este documento es enviado y
át
c
validado por Service Desk, en caso no pase la validación se envía el documento al
x
n
rm
Gerente de Proyectos y Recursos para que corrija los errores, por otro lado, si pasa la
o
validación, se envía a Helpdesk para que este identifique a los encargados de cada
C
fo
aplicativo y se asignen las contraseñas a los recursos que lo requieren, informando a
F
estos sobre su contraseña y haciéndoles recordar que tienen que cambiarla a una de su
u
preferencia personal. Al final del ciclo se reinicializan las contraseñas a todos los
recursos por parte de los encargados de los aplicativos.
ra
Pa
to
Roles
Roles Descripción
Au
253
Encargado de gestionar y supervisar todo lo relacionado a
Gerente del Seguridad
Seguridad tanto dentro como fuera del Centro de Cómputo.
de
Desk
los usuarios.
ría - lu ial
o
c
In 4 iv
Entradas del Proceso
di IN E en
a
Entrada
31 s
Descripción Encargado de
ic
Elaboración
so fid
át
c
Se elabora el documento con el mapeo de
x
n
Inicio de Ciclo rm
recursos, roles, perfiles y aplicativos para Gerente de
o
fo
brindar las contraseñas a los recursos de la Recursos
F
empresa.
u
to
254
de
Caracterización
ría - lu ial
Entrada Actividad Salida Descripción Responsable
o
c
In 4 iv
Se Inicia el proceso obteniendo la lista de alumnos Gerente de
di IN E en
Lista de alumnos
a
1 -- Inicio matriculados en los cursos de TDP1, TDP2, TP1 y TP2 en Proyectos y
31 s
matriculados
ic
el presente ciclo académico. Recursos
s o f id
át
c
Elaborar El Gerente de recursos elabora el documento con el fin de
Documento de Gerente de
x
Lista de alumnos documento de
n mapear los recursos con los roles que desempeñarán en el
rm
2 recursos, roles y Proyectos y
matriculados recursos, roles y
o ciclo académico así como también con los aplicativos que
aplicativos Recursos
C
aplicativos estos usaran a lo largo del ciclo.
fo
F
Documento de Documento de Gerente de
u
Enviar El Gerente envía el documento a Service Desk para que
3 recursos, roles y recursos, roles y Proyectos y
documento este valide el documento y lo delegué.
ra
recursos, roles y
255
de
aplicativos
corregido.
ría - lu ial
o
Documento de Revisar
Documento de
c
In 4 iv
recursos, roles y documento de Encargado -
di IN E en
5 recursos, roles y Service Desk Revisa el documento para validarlo.
a
aplicativos recursos, roles y Service Desk
31 s
aplicativos recibido
ic
identificado aplicativos
s o f id
át
c
Validar
Documento de
x
documento de Conforme.
n Encargado -
rm
6 recursos, roles y Service Desk valida el documento.
o
recursos, roles y No conforme. Service Desk
aplicativos recibido
C
aplicativos
fo
F
Documento de
u
Service Desk envía el documento sin conformidad al
Enviar no recursos, roles y Encargado -
7 No conforme Gerente de Proyectos y Recursos para que este realice las
ra
to
Gerente de
Documento de Corregir Documento
de El Gerente realiza las correcciones necesarias al
8 Proyectos y
recursos, roles y documento de recursos, roles y documento.
Recursos
aplicativos no recursos, roles y aplicativos
Au
256
de
conforme enviado aplicativos corregido
ría - lu ial
Documento de Documento de
Enviar Gerente de
o
recursos, roles y recursos, roles y El Gerente envía el documento a Service Desk para que
9 documento Proyectos y
c
In 4 iv
aplicativos aplicativos este valide el documento y lo delegué.
di IN E en
corregido Recursos
a
corregido corregido y enviado
31 s
ic
s o f id
Documento de
Enviar Encargado -
át
c
10 Conforme recursos, roles y Service Desk delega la solicitud a Helpdesk.
documento Service Desk
x
n
aplicativos enviado
rm
o
Revisar
C
Documento de Documento de
fo
documento de Helpdesk Revisa el documento y asigna a un recurso para Encargado -
F
11 recursos, roles y recursos, roles y
recursos, roles y que atienda la solicitud Helpdesk
u
aplicativos enviado aplicativos recibidos
aplicativos
ra
257
de
recursos revisado recurso para tarea identificado recursos que necesitarán que se les cree una contraseña Helpdesk
nueva o que se les reinicie la contraseña
ría - lu ial
o
*Recurso El encargado de Helpdesk verifica la procedencia ya que
c
In 4 iv
identificado si es un recurso que recién se ha de asignar es porque hay
di IN E en
Verificar Procedencia Encargado -
a
14 * No conformidad que realizar todo el registro en cambio, si proviene del
31 s
procedencia verificada Helpdesk
ic
enviada gerente de recursos es porque solo hay que realizar las
s o f id
correcciones realizadas por éste.
át
x c
n El recurso registra la contraseña para el recurso de IT-
rm
o Expert que usará el aplicativo y en caso ya cuenta con una
C
Registrar o Contraseña contraseña desde el ciclo pasado se procederá a reiniciar
fo
Procedencia Encargado -
F
15 corregir registrada / la contraseña. En esta actividad se podrá identificar el
verificada Helpdesk
contraseña corregida número de contraseñas registradas y corregidas en el ciclo
u
académico así como también el número de contraseñas
ra
Contraseña Enviar Se envía un correo a todos los recursos a los cuales se les
to
Información Encargado -
16 registrada / información de ha registrado una contraseña y se les recuerda que tienen
enviada Helpdesk
corregida registro que cambiar esa contraseña y colocar una propia.
Au
258
de
Recepción de Gerente de
Información Información de El Gerente recibe la información de las contraseñas
17 información de Proyectos y
ría - lu ial
enviada contraseñas recibida registradas.
contraseñas Recursos
o
c
In 4 iv
El Gerente verifica que las contraseñas brindadas sean las
di IN E en
a
Verificar mismas que las solicitadas en el documento de recursos,
31 s
Gerente de
ic
Información de información de *Conforme. roles y aplicativos. En esta actividad se podrá identificar
s o f id
18 Proyectos y
contraseñas recibida registro de *No conforme. el porcentaje de contraseñas registradas y corregidas de
át
c
Recursos
contraseñas manera correcta versus las contraseñas que fueron mal
x
n
rm
registradas en el ciclo académico.
o
C
El Gerente envía la no conformidad de la información de Gerente de
fo
Enviar no No conformidad
F
19 No conforme. las contraseñas para que el encargado de Helpdesk revise Proyectos y
conformidad enviada
sus errores de ingreso. Recursos
u
ra
Gerente de
Enviar Conformidad El Gerente envía su conformidad con la tarea realizada
20 Conforme Proyectos y
Pa
259
de
Base de datos a lo largo del ciclo académico.
ría - lu ial
Al finalizar el ciclo académico se procede a reiniciar todas
o
Reiniciar Registros realizados las contraseñas de los recursos de la empresa virtual IT- Encargado -
22 Registros realizados
c
In 4 iv
contraseñas revisados Expert. Por lo que el encargado revisa los registros Helpdesk
di IN E en
a
realizados en el presente ciclo académico.
31 s
ic
s o f id
Registros realizados Reiniciar Contraseñas Se reinician las contraseñas al finalizar el ciclo académico Encargado -
23
át
c
revisados contraseñas reiniciadas y se realiza un informe detallando esta actividad. Helpdesk
x
n
rm
El proceso finaliza cuando el encargado reinicia las
Contraseñas
o Encargado -
24 Fin -- contraseñas de los usuarios del ciclo académico que esta
C
reiniciadas Helpdesk
fo
por culminar.
F
u
Tabla 53: Gestión de Claves
ra
to
Au
260
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
to
Fuente: Elaboración Propia
Au
261
Definición de Procesos: Revisión e Instalación de Software
de
Descripción
ría - lu ial
El proceso de Revisión e instalación de software se inicia cuando nace una solicitud de
o
parte de un recurso de la empresa virtual IT-Expert tiene la necesidad de instalar un
c
In 4 iv
aplicativo, por lo que envía una solicitud en donde detalla la información del aplicativo.
di IN E en
a
31 s
Esta solicitud es enviada a Service Desk donde se atiende y se valida el formato de ésta.
ic
En caso la validación sea correcta, la solicitud es enviada al gerente de seguridad de
so fid
át
c
Helpdesk el cual se encargará de evaluar y validar la información del software a ser
x
n
instalado así como también ver si es factible la instalación del mismo en el centro de
rm
o
datos, reuniéndose con el recurso de la empresa virtual para afinar detalles sobre la
C
Roles
u
IT-Expert
to
262
Entradas del Proceso
Entrada Descripción Encargado de
Elaboración
de
en el centro de de la carrera especialmente de la empresa virtual
datos IT-Expert.
ría - lu ial
o
c
In 4 iv
Salidas del Proceso
di IN E en
a
Salida Descripción
31 s Encargado de
ic
Elaboración
so fid
át
c
Software
El software es registrado debidamente en la base Jefe de
x
n
instalado
rm de datos donde están registrados los aplicativos Seguridad -
o
correctamente
que están desplegados en el centro de datos. Helpdesk
C
registrado.
fo
F
u
ra
Pa
to
Au
263
de
Caracterización
ría - lu ial
o
Entrada Actividad Salida Descripción Responsable
c
In 4 iv
di IN E en
Necesidad de Instalación de Se inicia el proceso al necesitarse la
a
31 s
Recurso IT-
1 -- Inicio un nuevo software en el instalación de un nuevo software en
ic
Expert
s o f id
centro de datos el centro de datos.
át
c
Redactar
x
n
rm
Un recurso de la empresa virtual IT-
solicitud de
Necesidad de Instalación de
o Solicitud de instalación de Expert redacta una solicitud de
instalación de Recurso IT-
C
2 un nuevo software en el nuevo software en el centro instalación de un nuevo software en
fo
software en el Expert
F
centro de datos de datos el centro de datos en vista a una
centro de
u
necesidad.
datos
ra
264
de
de datos solicitud de datos aceptada. caso de aceptar se delega el pedido.
*Solicitud de instalación de En caso que no se acepta, se rechaza
ría - lu ial
nuevo software en el centro la solicitud.
o
de datos rechazada.
c
In 4 iv
di IN E en
a
Solicitud de instalación de Enviar Solicitud de instalación de
31 s
El recurso de Service Desk envía la
ic
5 nuevo software en el centro solicitud nuevo software en el centro Service Desk
s o f id
respuesta a la solicitud del usuario.
de datos rechazada. rechazada de datos rechazada enviada.
át
x c
Solicitud de instalación de
n Al ser rechazada la solicitud se envía
rm
nuevo software en el centro
o una respuesta al usuario explicándole
C
de datos rechazada enviada. la razón del rechazo dando por
fo
Recurso IT-
F
6 *Solicitud de instalación de Término -- finalizado el proceso. El usuario en
Expert
nuevo software en el centro caso desee reenviar otra solicitud
u
de datos aceptada enviada tendrá que iniciar el proceso
ra
265
de
Revisar
solicitud de Solicitud de instalación de El jefe de seguridad quien es el
ría - lu ial
Solicitud de instalación de
instalación de nuevo software en el centro encargado de velar por la seguridad Gerente de
o
8 nuevo software en el centro
software en el de datos aceptada enviada del centro de datos recibe la solicitud Seguridad
c
In 4 iv
de datos aceptada enviada.
centro de recibida y procede a revisarla.
di IN E en
a
31 s
datos
ic
s o f id
El jefe de seguridad quien es el
át
c
encargado de velar por la seguridad
x
n
rm
del centro de datos revisa la solicitud
o *Solicitud de instalación de
y realiza un estudio en el cual ve si el
C
nuevo software en el centro
fo
software a instalar cuenta con todos
F
Solicitud de instalación de de datos aceptada enviada
Validar los requisitos necesarios de
nuevo software en el centro revisada aceptada. Gerente de
u
9 solicitud de seguridad. Esta actividad permitirá
de datos aceptada enviada *Solicitud de instalación de Seguridad
instalación identificar el número de
ra
266
de
*Solicitud de instalación de Solicitud de instalación de
Enviar El jefe de seguridad envía su
nuevo software en el centro nuevo software en el centro Gerente de
ría - lu ial
10 solicitud respuesta al usuario detallando el
de datos aceptada enviada de datos aceptada enviada Seguridad
o
rechazada motivo del rechazo.
revisada rechazada. revisada rechazada enviada.
c
In 4 iv
di IN E en
a
El jefe de seguridad envía su
31 s
*Solicitud de instalación de Solicitud de instalación de
ic
Enviar respuesta al usuario indicándole el
s o f id
nuevo software en el centro nuevo software en el centro Gerente de
11 solicitud día en que se llevará a cabo la
át
c
de datos aceptada enviada de datos aceptada enviada Seguridad
aceptada reunión para ver detalles sobre la
x
revisada aceptada.
n
revisada aceptada enviada
rm
instalación
o
C
Solicitud de instalación de
fo
Solicitud de instalación de
F
nuevo software en el centro
nuevo software en el centro Revisar El usuario recibe y revisa la respuesta Recurso IT-
12 de datos aceptada enviada
u
de datos aceptada enviada respuesta enviada por el jefe de seguridad. Expert
revisada aceptada enviada
revisada aceptada enviada
ra
revisada.
Pa
centro de datos.
revisada aceptada enviada
267
de
revisada.
ría - lu ial
Instalar
Acta de reunión. El jefe de seguridad se encarga de
o
software en el Gerente de
14 *Software instalado de Software instalado realizar la instalación del software en
c
In 4 iv
centro de Seguridad
di IN E en
manera incorrecta. el centro de datos.
a
datos
31 s
ic
s o f id
*Software instalado
Validar
át
c
correctamente. *Software El usuario verifica si el software fue Recurso IT-
15 Software instalado instalación del
x
n instalado de manera instalado de manera correcta. Expert
rm
software
o incorrecta.
C
fo
Registrar El jefe de seguridad registra el nuevo
F
nuevo software a detalle dentro del registro
u
software en la donde se encuentran todos los
Software instalado Software instalado Gerente de
ra
Gerente de
instalación del software y a su vez
268
de
correctamente registrado. este es registrado. Seguridad
ría - lu ial
Tabla 54: Revisión e Instalación de Software
o
Fuente: Elaboración Propia
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
269
de
Diagrama del Proceso
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
Imagen 28: Revisión e instalación de Software
ra
to
Au
270
Política de Seguridad Lógica
Introducción
La seguridad lógica brinda el marco para proteger a la información en el uso de
aplicativos y sistemas durante las operaciones en el centro de datos de la facultad de
Ingeniería. También, previene evitar al máximo el riesgo de accesos no autorizados,
mediante el establecimiento de controles de accesos.
de
Se distinguen tres conceptos a tener en cuenta: gestión de comunicaciones y
ría - lu ial
operaciones, control de accesos y la adquisición y mantenimiento de sistemas; los
o
cuáles se tocan de manera detallada en los puntos: 3.7.8.1, 3.7.8.2 y 3.7.8.3 en este
c
In 4 iv
mismo documento.
di IN E en
a
Alcance
31 s
ic
so fid
át
c
UPC así también terceros que tengan acceso a los recursos de información del data
x
n
rm
center de la universidad.
o
C
Acrónimos y definiciones
fo
F
Objetivos
Pa
Objetivo General
to
Objetivos Específicos
Asegurar las operaciones de los recursos de tratamiento de información se realicen de
manera segura y correcta en el centro de datos.
Asegurar que los sistemas a ser adquiridos, desplegados y/o mantenidos cuenten con la
seguridad requerida para evitar intrusiones y pérdida de información.
271
Enunciado de la Política
“Los sistemas y aplicativos del centro de datos de la facultad de Ingeniería, deben
cumplir con todas las políticas funcionales y procedimientos de seguridad lógica, con el
fin de evitar el acceso por personas no autorizadas, daño e interferencia a los recursos de
información.”
Responsabilidades
de
Es responsabilidad del director de las carreras de Ingeniería de Sistemas de Información
e Ingeniería de Software la aprobación de esta política.
ría - lu ial
o
Violaciones a la política
c
In 4 iv
En caso se viole la Política de Seguridad Lógica se dispone de aplicar las siguientes
di IN E en
a
sanciones:
31 s
ic
so fid
át
x c
n
fo
F
272
encargados u administradores de estos deben controlar y prevenir mediante medidas
especiales, detectando y evitando su ingreso a los sistemas.
de
software de detección y reparación de virus. Este software debe tener las opciones para
ría - lu ial
explorar tanto los sistemas del centro de cómputo como los medios externos que estén
o
conectados a estos sistemas. Así también debe contar con la opción de revisión de
c
In 4 iv
archivos adjuntos de correos electrónicos. Finalmente debe verificar cualquier código
di IN E en
malicioso en las páginas web.
a
31 s
ic
so fid
át
c
apropiado para la recuperación de ataques de virus. Esto incluye tanto data como
x
n
fo
Se debe mantener la integridad y la disponibilidad de los sistemas de información. Para
F
esto, se deben establecer procesos rutinarios para generar respaldos hacienda copias de
u
seguridad (backup).
ra
El DBA debe almacenar los respaldos en una localización diferente a la del centro de
to
datos, a fin de, estos se no se vean afectados a daños en caso se de algún problema o
incidente en el centro de datos.
Au
El DBA debe probar los medios de respaldo cada inicio de ciclo de estudios, para que
estos sean de confianza en caso de emergencias.
273
Se debe asegurar la protección de la infraestructura de apoyo e información en las redes.
de
ambiental al centro de datos.
ría - lu ial
Utilización de medios de información
o
Evitar daños a los sistemas del centro de datos causados por medio de información
c
In 4 iv
internos como externos, a fin de que no se vea afectada la disponibilidad de estos. Estos
di IN E en
a
medio deben ser controlados y físicamente protegidos.
31 s
ic
so fid
át
c
Todo medio de información interno debe ser almacenado por medio del Supervisor en
x
n
Todo medio de información externo debe ser registrado al ingresar al centro de datos y
C
fo
previo a realizarse alguna actividad con este, debe ser explorado por el software de
F
detección de virus a fin de evitar daños en los sistemas. Esta actividad debe ser
u
Monitoreo
Pa
Todos los sistemas con los que cuenta el centro de datos deben ser monitoreados por sus
respectivos administradores, teniendo siempre un registro de los usuarios y las
operaciones que estos realizaron en el sistema, a fin de asegurar la identificación de los
Au
problemas.
274
Los administradores de los sistemas/aplicativos del centro de datos deben monitorear lo
siguiente: accesos autorizados, intentos de accesos no autorizados, operaciones
privilegiadas, alertas o fallas del sistema y cambio o intentos de cambio en la
configuración de los sistemas del centro de datos. Todo esto en base a la evaluación de
riesgos previamente analizada por el Gerente de Seguridad.
Control de Accesos
de
Se debe controlar el acceso a la información de los sistemas del centro de datos. Solo
los usuarios con autorización deben de poder acceder a los sistemas del centro de datos
indicados.
ría - lu ial
o
Requisitos de negocio para el control de accesos
c
In 4 iv
di IN E en
a
El Gerente de Seguridad debe establecer, documentar y revisar una política de control
31 s
ic
de accesos basándose en los requerimientos de seguridad de los sistemas del centro de
so fid
datos. Debe establecer las reglas y derechos de cada usuario o grupo de usuario.
át
x c
n
usuarios estandarizados.
u
to
Los usuarios de los sistemas del centro de datos deben ser conscientes de sus
responsabilidades en el mantenimiento de la eficacia de las medidas de control de
Au
275
antiguas, cambiar las contraseñas temporales que se asigna al ingresar por primera vez
al sistema y no compartir contraseñas de usuarios individuales.
Cerrar sesión de los sistemas del centro de datos al terminar de realizar las actividades
de turno, evitando dejar sesiones de usuario activas.
Todos los equipos del centro de datos deben protegerse o bloquearse después de estar 5
minutos inactivos de uso. Esto se aplica para todos los equipos sin excepción.
de
Gestión de acceso de usuarios
ría - lu ial
Los usuarios adecuados deben tener accesos autorizados a los sistemas de información
o
c
del centro de datos. Se debe cubrir todo el ciclo de vida de estos accesos, desde el
In 4 iv
di IN E en
registro inicial hasta la baja de los usuarios que no requieran dichos accesos.
a
31 s
ic
Recomendaciones y controles adicionales:
so fid
át
El Gerente de Proyectos y Recursos debe aprobar el listado de los accesos y contraseñas
c
rm
o
Se debe brindar identificadores únicos a los usuarios, de esta forma puede vincular a los
C
fo
usuarios y responsabilizarles de sus acciones.
F
Se debe garantizar que se provea acceso a los sistemas del centro de datos hasta que se
u
académico en curso.
to
El administrador del sistema de información del centro de datos debe realizar una
revisión periódica de estos accesos.
Au
276
Se debe restringir la capacidad de conexión de los usuarios por medio de filtros. Las
aplicaciones más comunes a ser restringidas deben ser: correo electrónico, acceso
interactivo, acceso a las aplicaciones y transferencia de archivos.
de
equipos y también que estas herramientas sean capaces de registrar todas las acciones
involucradas con el acceso a los equipo.
ría - lu ial
o
Recomendaciones y controles adicionales:
c
In 4 iv
No se deben mostrar mensajes de ayuda durante el proceso de conexión.
di IN E en
a
31 s
Limitar los intentos fallidos de conexión.
ic
so fid
át
No mostrar la contraseña ingresada, de preferencia mostrar caracteres simbólicos.
x c
n
rm
Se debe restringir los tiempos de conexión, de preferencia si el sistema operativo se
o
fo
este tiempo.
F
Se debe restringir el acceso lógico a los sistemas de aplicaciones solo a los usuarios que
ra
cuenten con accesos autorizados. Para esto las aplicaciones del centro de datos deben
controlar el acceso de los usuarios a la información, protegerse de accesos no
Pa
to
Controlar los derechos de acceso de los usuarios y otras aplicaciones (lectura, escritura,
borrado y ejecución).
277
criptográficos básicos como es el caso de las claves o contraseñas. Finalmente
establecer una gestión de vulnerabilidades técnicas que sea efectiva.
de
Se debe tener en cuenta que los requisitos y controles de seguridad deben reflejar el
ría - lu ial
valor de los equipos de información, además de, prever el posible daño al centro de
o
datos en caso de fallas o ausencia de seguridad.
c
In 4 iv
di IN E en
En caso de adquirir productos comprados, estos deben ser probados formalmente y
a
31 s
contra con un proceso de adquisición. Tener en cuenta los requisitos de seguridad
ic
so fid
establecidos.
át
c
Controles criptográficos
x
n
rm
o
to
Cambiar o actualizar las claves así también como los procedimientos para realizar
Au
dichas actividades.
Las claves deben ser revocadas al finalizar el ciclo académico. Específicamente las
claves de los usuarios no privilegiados de los aplicativos
de
Recomendaciones y controles adicionales:
ría - lu ial
Se deben definir los roles y responsabilidades asociados con la gestión de
o
vulnerabilidades técnicas, incluyendo el monitoreo de vulnerabilidades, la evaluación de
c
In 4 iv
vulnerabilidades, el parchado y cualquier otra responsabilidad coordinada.
di IN E en
a
31 s
Se debe definir una línea de tiempo para reaccionar ante notificaciones de
ic
so fid
át
c
Los parches deben ser probados y evaluados antes de que sean instalados con el fin de
x
n
rm
asegurar que sean efectivos. En caso no existan parches, se debe considerar otros
o
fo
aumento en la precaución de la vulnerabilidad.
F
u
to
Au
279
de
Mapeo de procesos con directrices lógicas
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
s o f id
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Imagen 29: Mapeo de procesos con directrices lógicas
280
Capítulo 4: Continuidad y Cierre del Proyecto
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
295
CAPÍTULO 4: CONTINUIDAD Y CIERRE DEL
PROYECTO
de
planteamiento de continuidad del proyecto con el objetivo que este siga a lo largo del
ría - lu ial
tiempo a pesar que los dueños del proyecto no sigan a cargo del mismo. Finalmente, se
o
presentarán las conclusiones a las que se llegó a lo largo de la investigación y del
c
In 4 iv
proyecto.
di IN E en
a
31 s
ic
so fid
át
Continuidad del Proyecto
x c
n
rm
Todo proyecto basado de ITIL tiene que considerar e incluir la mejora continua del
o
fo
motivo por el cual se ha diseñado la siguiente estructura para mantener el proyecto a lo
F
to
Assessment de Seguridad
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
Imagen 30: Procesos ITIL
F
Fuente: Osiatis.com
u
ra
to
Au
283
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
Imagen 31: Procesos ITIL - Primer Nivel
so fid
át
Fuente: Osiatis.com
x c
n
rm
La Gestión de Niveles de Servicios, nos brinda:
o
fo
F
to
de
de inoperatividad.
ría - lu ial
o
La Gestión de la Problemas, nos brinda:
c
In 4 iv
Causas de los problemas detectados.
di IN E en
a
31 s
ic
Solución de los problemas detectados.
so fid
át
c
Y el proyecto GSFL apoya en:
x
n
rm
Actualizar la política de seguridad y/o pruebas necesarias para prevenir que
o
fo
F
to
de
Realizar pruebas de seguridad.
ría - lu ial
o
Actualizar la política de seguridad.
c
In 4 iv
di IN E en
a
Al finalizar este análisis se puede diagramar el proyecto de Gestión de la Seguridad
31 s
ic
(considerando la mejora continua) de la siguiente forma:
so fid
át
x c
n
rm Planificación
o
C
fo
Implementación
F
u
ra
Evaluación
Post-
Pa
Mantenimiento Evaluación
to
Mantenimiento
Au
Definición
de
disponibilidad de los activos, información, datos y servicios de tecnología de la
ría - lu ial
información dentro de la empresa IT-Expert y el centro de datos de la carrera Ingeniería
o
de Sistemas de Información.
c
In 4 iv
di IN E en
Usualmente está involucrado con la Gestión de la Seguridad que tiene un alcance más
a
31 s
amplio que el de los servicios de TI e incluye manejo de documentos, accesos al centro
ic
so fid
át
x c
n
rm
o
Funciones
C
fo
El Oficial de Seguridad dispone de funciones en los diferentes procesos diseñados e
F
proceso:
ra
El oficial de seguridad debe asegurarse que los ingresantes al centro de datos cumplan
to
con ciertos requisitos dependiendo si tienen permisos de ingreso o no, como por
ejemplo, presentación de DNI/TIU, presentación de permiso de autorización de ingreso
y presentación de permiso de ingreso de dispositivos tecnológicos, también asegurarse
Au
287
El proceso de Revisión de Equipos se inicia cuando el Oficial de Seguridad de turno
debe realizar según el cronograma la revisión de equipos del centro de datos. Dentro de
esta actividad el oficial de seguridad verifica si se ha retirado algún equipo sin
autorización así como también si se necesita desasignar algún equipo del cuál su
garantía este por expirar. En caso de pérdida el oficial de seguridad debe comunicar al
jefe de supervisores este tema siendo el mismo jefe el que verifique revisando reportes
generales de revisión de equipos pasados en caso haya habido una equivocación por
de
parte de alguno de los supervisores que realizaron los reportes pasados; si no es así
entonces realiza un informe para el área de seguridad de la universidad con el fin de que
ría - lu ial
investiguen sobre el extravío del equipo. Por otro lado, en el caso de una des asignación,
o
c
el oficial de seguridad debe realizar una solicitud al administrador del centro de datos
In 4 iv
di IN E en
para que este de su conformidad respecto del equipo o equipos a ser desafectado o
a
desafectados.
31 s
ic
so fid
át
c
Proceso Control de Protección Ambiental
x
n
servicios generales para que este inspeccione los suministros de energía que
fo
F
corresponden al edificio donde se encuentra ubicado el centro de datos. Este una vez
que realiza la inspección envía al oficial de seguridad un reporte con los resultados de
u
ésta en la cual también incluye observaciones y/o incidencias. Luego de recibir dicho
ra
reporte el Administrador del centro de datos procede a enviar una solicitud al supervisor
de turno del centro de datos para que este realice un reporte respecto a cómo ha estado
Pa
to
288
El proceso de Revisión e instalación de software se inicia cuando nace una solicitud de
parte de un recurso de la empresa virtual IT-Expert tiene la necesidad de instalar un
aplicativo, por lo que envía una solicitud en donde detalla la información del aplicativo.
Esta solicitud es enviada a Service Desk donde se atiende y se valida el formato de ésta.
En caso la validación sea correcta, la solicitud es enviada al Oficial de Seguridad el cual
se encargará de evaluar y validar la información del software a ser instalado así como
también ver si es factible la instalación del mismo en el centro de datos, reuniéndose
de
con el recurso de la empresa virtual para afinar detalles sobre la instalación del
aplicativo. El oficial de seguridad luego de que el recurso de la empresa verifique que se
ría - lu ial
ha instalado correctamente procederá a registrar dicho software en la Bases de datos
o
c
donde se registran la información de los aplicativos del centro de datos. Se registra:
In 4 iv
di IN E en
nombre, siglas, sistemas operativos con los que trabaja, tamaño, funcionalidad,
a
31 s
problemas de instalación (en caso sucedió), fecha de instalación, duración de la
ic
so fid
át
x c
rm
o
Recursos para que este asigne dichos roles entre los recursos de la empresa virtual IT-
ra
to
En este proceso, el oficial de seguridad tiene que realizar las revisiones de que las claves
están cumpliendo con las políticas de la seguridad lógica establecidas para el centro de
datos.
de
Proceso Gestión de solicitud de respaldo de información
El proceso de Gestión de Solicitud de Respaldo de Información inicia cuando el gerente
ría - lu ial
de proyectos y recursos de la empresa IT-Expert solicita la creación de los archivos de
o
respaldo, esta solicitud puede ser de respaldo de base de datos o de archivos en la
c
In 4 iv
carpeta del file server de cada empresa. El oficial de seguridad recibe la solicitud y
di IN E en
a
31 s
determina cuál es el tipo de solicitud y procede a crear los archivos de respaldo,
ic
resguardando estos en una carpeta asignada para cada tipo de respaldo.
so fid
át
c
El alcance que tiene las copias de seguridad se limita únicamente a la información que
x
n
rm
se encuentre en el centro de datos de la carrera de Ingeniería de Sistemas y Software de
o
fo
server. Luego, esta lista debe ser revisada por el Gerente General de la empresa, el
F
mismo que visa la relación y solicita su atención por parte de IT-Expert. Posterior a ello,
u
to
290
sistemas y servicios. En caso de encontrar fallas se deshacen los cambios por medio de
un rollback. Si después del monitoreo todo fue correcto, se enviará un reporte al Gerente
de Proyectos y Recursos.
de
acceso a las carpetas de cada empresa. Los únicos alumnos que deben tener acceso a
dichas carpetas son los alumnos de Taller de Desempeño 1, Taller de Desempeño 2,
ría - lu ial
Taller de Proyectos 1 y Taller de Proyectos 2. Luego, esta lista debe ser revisada por el
o
Gerente General de la empresa, el mismo que visa la relación y solicita su atención por
c
In 4 iv
parte de IT-Expert. Posterior a ello, el gerente de proyectos y recursos de IT-Expert
di IN E en
a
31 s
revisan la lista y solicita al alumno encargado que tramite y notifique los accesos
ic
solicitados.
so fid
át
c
Proceso Monitoreo de Componentes
x
n
rm
El oficial de Seguridad se encarga del proceso de Monitoreo de Componentes. Este
o
inicia cada tres semanas durante el horario de talleres de proyecto (Lunes 4-7 pm y
C
fo
miércoles de 4-7). Este proceso tiene que evaluar cada uno de los componentes del
F
El proceso de Gestión de Pruebas de Seguridad inicia cada primer día hábil de cada
Pa
trimestre del ciclo académico. Es aquí cuando el Oficial de Seguridad revisa la bitácora
to
de errores para determinar si han surgido nuevos incidentes que deben ser derivados a la
Gestión de Problemas para que esta pueda determinar cuál es la causa del mismo y así
aplicar las medidas correctivas necesarias.
Au
291
Número de nuevos incidentes.
de
y de los posibles riesgos inherentes a estas fallas.
ría - lu ial
Proceso de Restauración de Backup
o
El proceso de restauración de backup inicia cuando le llega al gerente de proyectos y
c
In 4 iv
recursos de la empresa virtual IT-Expert una solicitud de restauración de archivos de
di IN E en
a
31 s
respaldo. El gerente debe validar y verificar que la solicitud cumpla con los requisitos
ic
mínimos para ser atendido. El oficial de seguridad determina qué tipo de solicitud es, es
so fid
át
c
decir si se trata de la restauración de una base de datos o de algún archivo del file server
x
rm
o
será revisado por este y enviado de vuelta al gerente de seguridad para que este defina la
línea de tiempo, evaluación de parches y determine el monitoreo y evaluación de las
vulnerabilidades con cada recurso responsable por los sistemas del centro de datos.
Assessment de Seguridad
Con el objetivo verificar que los cambios sugeridos por el proyecto se hayan llevado a
cabo, que se estén cumpliendo las políticas, las recomendaciones y se respeten los
292
niveles mínimos requeridos se ha creado un listado de preguntas para que sirvan como
assessment de la gestión de la seguridad en el centro de datos. Al mismo tiempo, esta
evaluación ayuda a que ciclo a ciclo se retroalimente la gestión de la seguridad con los
resultados de las evaluaciones, los resultados de las incidencias, los nuevos
requerimientos y los nuevos riesgos detectados.
de
que se encuentran en las diversas fuentes bibliográficas consultadas por el proyecto.
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
293
de
Assessment de Seguridad.
ría - lu ial
Control Si No N/A Comentarios
o
¿Existen métodos físicos para prevenir el
c
In 4 iv
di IN E en
acceso no autorizado a la información?
a
31 s
ic
¿Existen métodos para prevenir que las No existe un área de procesamiento de
s o f id
át
personas dañen información? información al interior del centro de datos.
x c
¿Existen métodos físicos para prevenir que
n
rm
o No existe un área de procesamiento de
las personas interfieran con la información al interior del centro de datos.
C
fo
información?
F
¿Se tiene la información sensible y crítica
u
de la organización en un área asegurada?
ra
294
de
proteger la información sensible y crítica?
ría - lu ial
¿Se toma en cuenta los riesgos de
o
seguridad y se aseguran los perímetros de
c
In 4 iv
seguridad en realidad para reducir el
di IN E en
a
riesgo de seguridad?
31 s
ic
¿Toman en cuenta la seguridad de los
s o f id
át
c
requisitos de los activos de información y
x
se aseguran de cumplimiento?
n
rm
o
¿Se puede reducir el riesgo y cumplir con Se pueden implementar más mejoras a nivel
C
fo
los requisitos de seguridad, asegurando físico incurriendo en costo.
F
que los perímetros de seguridad son lo
u
suficientemente fuertes?
ra
¿Las barreras de seguridad física y Se debe implementar mejores barreras pero esta
Pa
¿Sus sistemas de detección de intrusos El control viene dado por el encargado del
Au
295
de
las salas de informática? centro de datos
ría - lu ial
¿Sus sistemas de detección de intrusos
o
cumplir con todas las normas regionales,
c
In 4 iv
nacionales o internacionales?
di IN E en
a
31 s
¿Utiliza con llave para proteger a las No se cuenta con área de procesamiento de
ic
s o f id
oficinas de su organización la información información, sin embargo, el acceso al centro
át
c
y la información de las instalaciones de de datos es controlado por el staff y siempre se
x
procesamiento
n encuentra bajo llave.
rm
o
¿Registra la fecha y hora los visitantes Se ha diseñado una base de datos que contiene
C
fo
entrar o salir de las zonas seguras? esta data
F
¿Se supervisa a todos los visitantes a las
u
El encargado del centro de datos debe
zonas seguras a menos que su acceso fue permanecer durante la presencia de personal
ra
296
de
la cual deben tener acceso
ría - lu ial
¿Utiliza los controles de autenticación (por
o
ejemplo, control de acceso tarjeta y el PIN)
c
In 4 iv
para validar y autorizar el acceso?
di IN E en
a
31 s
¿Mantiene registros de seguridad de todos Se guarda un historial de los accesos (entrada y
ic
s o f id
los accesos a las zonas seguras salida)
át
c
¿Revisa los derechos de acceso a las áreas Antes de brindar accesos se debe comprobar
x
n
rm
de seguridad de forma regular? que los accesos hayan sido otorgados a la
o
persona que desee ingresar.
C
fo
F
¿Se actualiza los derechos de acceso a las Existe un proceso que se encarga del
u
áreas de seguridad de forma regular mantenimiento de los accesos tanto físicos
como lógicos.
ra
¿Se revocan los derechos de acceso a las Cada ciclo se revoca los accesos para que sean
Pa
to
áreas de seguridad en caso sea necesario tramitados nuevamente.
hacerlo?
¿Utiliza métodos físicos para proteger sus Se ha recomendado implementar CTVC para
Au
297
de
instalaciones de los daños que causados detectar cambios de temperatura abruptos
por el hombre pueden causar dentro del centro de datos.
ría - lu ial
o
¿Utiliza métodos físicos para proteger sus Se ha recomendado implementar alarmas para
c
In 4 iv
instalaciones de los daños que pueden detectar cambios de temperatura abruptos
di IN E en
a
causar incendios? dentro del centro de datos.
31 s
ic
¿Cómo se protegen sus instalaciones de los
s o f id
Se ha recomendado implementar sensores de
át
c
daños fuga de agua desde el techo, desde humedad y fuga de agua a fin de evitar que esto
x
abajo, o de la oficina de al lado podría
n afecte el funcionamiento del centro de datos.
rm
causar?
o
Cabe resaltar que el mantenimiento de las
C
fo
instalaciones agua/desagüe depende única y
F
exclusivamente de Servicios Generales.
u
¿Cómo se protegen sus instalaciones de los No existen instalaciones alrededor
ra
podría causar?
to
¿Usted supervisará todas las actividades en El personal encargado del centro de datos debe
las áreas de seguridad? verificar todas las actividades realizadas dentro
Au
298
de
de este.
ría - lu ial
¿Cómo se previene el uso no autorizado de Se supervisan todas las actividades
o
equipo de video dentro de las áreas de desarrolladas dentro del centro de datos.
c
In 4 iv
seguridad?
di IN E en
a
31 s
¿Se tiene el control de puntos de acceso Las personas externas a la universidad solo
ic
s o f id
público a fin de evitar personas no pueden ingresar con autorización de servicios
át
c
autorizadas? generales y siempre bajo la supervisión del
x
n encargado del centro de datos.
rm
o
¿Se previene de daños a los equipos de su Se ha diseñado el proceso de Revisión de
C
fo
organización? Equipos para evitar este tipo de inconvenientes.
F
Cabe mencionar que el mantenimiento no
u
puede ser modificado por el proyecto ya que
ra
to
¿Cómo se previene la pérdida de los No se puede retirar ningún equipo del centro de
equipos de su organización? datos sin la autorización del área de sistemas
y/o director de la carrera.
Au
299
¿Cómo se previene el robo de equipo de su
de
No se puede retirar ningún equipo del centro de
organización? datos sin la autorización del área de sistemas
ría - lu ial
y/o director de la carrera.
o
c
In 4 iv
¿Se protegen los equipos contra amenazas Toda actividad es supervisada por el encargado
di IN E en
a
físicas? del centro de datos.
31 s
ic
¿Se protegen los equipos contra las
s o f id
Se ha diseñado el proceso Control de
át
c
amenazas ambientales? Protección Ambiental.
x
n
rm
¿Cómo se protege su equipo para evitar Se tiene un generador de respaldo que brinda
o
interrupciones en el trabajo? energía de respaldo a todo el pabellón donde se
C
fo
encuentra el centro de datos, sin embargo, se
F
está recomendando que se instale y compre un
u
UPS y un generador para el centro de datos.
ra
300
¿Se utilizan controles para minimizar los
de
riesgos de radiación electromagnética?
ría - lu ial
o
¿Se protegen los equipos ante descargas
c
In 4 iv
eléctricas de rayos?
di IN E en
a
31 s
¿El equipo de aire acondicionado instalado En la evaluación realizada se detectó que el aire
ic
s o f id
en el centro de datos cubre la demanda del acondicionado no cumple con los
át
c
mismo? requerimientos mínimos por la TIA para
x
n alcanzar el nivel adecuado, motivo por el cual
rm
o se ha recomendado la adquisición de uno
C
nuevo.
fo
F
¿Los lideres o personal de seguridad de El personal contratado ha sido evaluado para
u
información dentro de la organización cubrir la plaza y tiene conocimiento de las
ra
to
¿Existe una persona u área dentro de la Se ha creado un rol dentro de la organización
organización que tengo como tarea llamado oficial de seguridad, este rol va acorde
principal la seguridad de información? a las sugerencias de ITIL.
Au
301
de
de
¿Las funciones de seguridad Debido a la interacción con Servicios
información tiene la autoridad necesaria Generales y el área de sistemas de la
ría - lu ial
para gestionar y asegurar el cumplimiento universidad, se deben respetar las autonomías y
o
acorde al plan de seguridad? los límites establecidos por ellos.
c
In 4 iv
di IN E en
de
a
¿Las funciones de seguridad El oficial de seguridad no cuenta con
31 s
ic
información tienen los recursos necesarios presupuesto para realizar cambios masivos y/o
s o f id
para gestionar y asegurar el cumplimiento requeridos por el centro de datos.
át
c
acorde al plan de seguridad?
x
n
rm
¿La responsabilidad de cada agrupación
o No se tiene información sobre los límites entre
C
de componente claramente asignada, Servicios Generales y el área de Sistemas de la
fo
F
arquitectura, redes, comunicaciones, Universidad.
procesos y auditoria?
u
¿Se reporta constantemente la función de
ra
de la empresa?
to
¿La organización tiene documentación
sobre los aspectos de la seguridad de
Au
302
de
información?
ría - lu ial
¿La organización tiene identificados los
o
activos críticos y las funciones que
c
In 4 iv
dependen de ellos?
di IN E en
a
31 s
¿Se tiene redactada una estrategia de
ic
s o f id
seguridad de información?
át
c
¿Se han asignado costos a cada activo por No se ha tenido acceso al costo de cada activo.
x
n
rm
perdidas de los equipos?
o
C
¿La estrategia de seguridad tiene definida
fo
F
un de revisión y actualización periódica?
u
Tabla 55: Assessment de Seguridad
ra
to
Au
303
CONCLUSIONES
Tal como se analizó en el primer capítulo, una vez concluida la evaluación se puede
determinar que los niveles de seguridad del centro de datos salieron con un puntaje
inferior al deseado. Al mismo tiempo, en cada aspecto evaluado se encontró por lo
de
menos una característica no atendida lo que evita que se le pueda asignar el nivel Tier2.
ría - lu ial
El en capítulo uno, se concluyó que el estándar TIA 942 y las recomendaciones
o
brindadas por el Orange Book son muy ambiciosas para el centro de datos analizado,
c
In 4 iv
motivo por el cual, se crearon checklist (físico/lógico) para alcanzar un nivel mínimo
di IN E en
a
31 s
recomendable. Si se establece que el estado óptimo es el recomendado por estas fuentes
ic
se incurriría en un costo superior al millón de dólares americanos.
so fid
át
c
Como se afirmó en el primer capítulo después de realizada la evaluación e
x
n
rm
interpretación de TIA 942, se puede afirmar que dicho estándar no es suficiente para
o
seguridad física y ser complementados con otros que se enfoquen en la seguridad lógica.
ra
to
No existe una clara segregación de funciones entre el personal encargado del centro de
datos y área de sistemas de la universidad.
Au
304
requisito y formar un estándar que conlleve a una gestión global de la seguridad en un
centro de datos.
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
305
RECOMENDACIONES
de
detectadas pueden ser cubiertas mediante la adquisición.
ría - lu ial
En base a lo desarrollado en nuestro proyecto en lo que respecta a seguridad lógica, es
o
posible desarrollar aplicativos específicos para el tema desarrollado. Estos pueden ser
c
In 4 iv
futuros proyectos de tesis para los alumnos de Ing. De Software dentro del centro de
di IN E en
a
estudios. 31 s
ic
so fid
Lo desarrollado en este documento puede ser usado para evaluar un centro de datos
át
c
cualquiera, por otro lado la política desarrollada y los procesos establecidos si pueden
x
n
fo
El centro de datos debe realizar evaluaciones al inicio de cada ciclo, debido a que a lo
F
largo del tiempo se van implementando cambios por los proyectos vigentes.
u
que éstas son las que más se han enfocado en el desarrollo de la gestión de la seguridad.
to
generales, ya que con esa información se podría brindar recomendaciones según los
estándares a implementar y modificar el diseño de la misma.
306
BIBLIOGRAFÍA
de
(Consulta: 04 de Abril del 2011)
ría - lu ial
o
ENTERPRISE UNIFIED PROCESS (EUP)
c
In 4 iv
2009 (http://www.enterpriseunifiedprocess.com/)
di IN E en
a
(Consulta 13 de abril 2011)
31 s
ic
so fid
át
c
INDECOPI (2007) EDI. Tecnología de la información. Código de buenas prácticas para
x
n
fo
Institute Technology Infrastructure Library (ITIL) (2007) ITIL Overview and Benefits
F
(http://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx)
ra
Pa
http://www.pol.una.py/descargas/category/35-4.html?download=317%3A.-.
(Consulta: 04 de Abril del 2011)
Au
307
OSIATIS (2011) ITIL-Gestión de Servicios TI (consulta 14 de abril de 2011)
(http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/vision_
general_gestion_de_la_seguridad/vision_general_gestion_de_la_seguridad.php)
de
ría - lu ial
RODRÍGUEZ Cuervo, Alejandro (2011) Acercamiento al surgimiento y desarrollo de la
o
seguridad informática.
c
In 4 iv
http://revista.iplac.rimed.cu/index.php?option=com_content&task=view&id=201&Itemi
di IN E en
d=29
a
31 s
(Consulta: 04 de Abril del 2011)
ic
so fid
át
c
TE CONNECTIVITY (2011) TIA-942 White Paper - Data Centre Standards Overview
x
n
rm
http://www.adckrone.com/eu/en/webcontent/support/PDFs/enterprise/Generic/102264B
o
E.pdf
C
fo
(Consulta: 04 de Abril del 2011)
F
to
(2011)
¿Qué es seguridad?
http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MonogSO/SEGUNI
Au
X012.htm
(Consulta: 04 de Abril del 2011)
308
UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA (2011) Texto - Guía:
Organización, Dirección y Administración de Centros de Cómputo
http://www.utpl.edu.ec/eva/descargas/material/184/G18901.6.pdf
(Consulta: 04 de Abril del 2011)
de
ría - lu ial
o
c
In 4 iv
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
309
ANEXOS
ANEXO 1
de
Gestión De Seguridad Física y Lógica para un Centro de Datos
ría - lu ial
Project Charter
o
Especialidad
c Vacante(s)s/Nombres
In 4 iv
di IN E en
a
31 s
Ing. Sistemas de Información 2
ic
so fid
Ing. De Software 0
át
x c
n
rm
o
C
fo
F
Historial de revisiones
u
to
Jack Flores E.
Au
310
Uno de los principales problemas que acontece a los alumnos que forman parte de las
empresas virtuales, es el hecho de no poder acceder al centro de cómputo y/o no contar
con los niveles de acceso correspondientes a nivel BD, aplicaciones y SO.
de
El proyecto tiene sus ejes centrales en el uso de estándares internacionales y nacionales
ría - lu ial
como la TIA 942 y la NTP 17799.
o
Al finalizar el proyecto, se logrará diseñaran y definirán los procesos y el estándar
c
In 4 iv
adecuado para el centro de datos.
di IN E en
a
31 s
ic
Objetivos del negocio
so fid
át
c
El objetivo principal de IT-Expert es administrar los recursos tecnológicos de las
x
n
la UPC, así como la adecuada asesoría y/o consultoría en los temas de su competencia.
fo
F
Objetivo General
u
Objetivos específicos
Au
O.E.2: Definir los procesos que regirán a la gestión de seguridad lógica y física para las
empresas virtuales.
O.E.3: Integrar los conceptos de la NTP 17799 y la TIA 942, para la creación de un
estándar a usar en el centro de cómputo de la carrera.
311
Indicadores de éxito
I.1: Aprobación del estándar de seguridad lógico y físico para el centro de datos y
los laboratorios por parte de un especialista en el campo de TI.
de
I.4 Conformidad por parte de los gerentes generales de las empresas virtuales acerca
de los procesos definidos para la gestión de la seguridad física y lógica.
ría - lu ial
o
Alcance del proyecto
c
In 4 iv
di IN E en
El alcance del proyecto incluirá:
a
31 s
ic
Evaluación de la situación actual del Centro de datos de la carrera con base en
so fid
át
los niveles del Tier.
x c
n
rm
Sugerencia de las implementaciones necesarias en el Centro de datos la carrera
o
fo
Desarrollo de los diagramas de procesos y diagrama de primer nivel acordes al
F
EBM.
u
to
312
El Alcance del proyecto NO incluirá:
La creación de un software.
de
presente proyecto.
ría - lu ial
Se contará con el apoyo de alumnos de Taller de Desempeño Profesional 1 y 2.
o
c
In 4 iv
Se contará con el apoyo de la empresa QA para el aseguramiento de la calidad
di IN E en
a
31 s
de los entregables según los plazos pactados por ambas partes.
ic
so fid
át
c
proyectos.
x
n
rm
No se contará con recursos de QA capacitados disponibles para validar el
o
estándar creado.
C
fo
F
Comité de proyectos
to
313
Stakeholders
de
ría - lu ial
Stakeholder Descripción Tipo Impacto Acción
o
Son los encargados de aprobar el proyecto, brindan las pautas sobre las cuales se debe llevar a
Comité de Proyectos cabo. Externo Alto Mantener Contacto
c
In 4 iv
William Romero Gerente de IT-Expert, brinda los requerimientos claves acerca del proyecto. Interno Alto Mantener Contacto
di IN E en
Encargados del
a
31 s
Proyecto Alumnos que brindarán toda la información acerca del proyecto. Interno Alto (No Aplica)
Usuarios Alumnos matriculados en los talleres de desempeño y proyecto Externo Bajo Monitorear
ic
Es el encargado de brindar sugerencias en base a su experiencia para ser aplicadas en el
s o f id
Luis Mamani proyecto. Interno Medio Mantener Informado
át
Es el actor principal del proyecto, se encarga de manejar la información y controlar el
c
Gerente del Proyecto cumplimiento de los requerimientos de los clientes. Interno Alto Mantener Contacto
x
n
Es la encargada de asegurar el nivel de calidad del proyecto, inspeccionando los documentos
rm
Empresa QA relacionados a este. o Externo Medio Mantener Informado
Encargados del Centro
de Computo Son los encargados de administrar el Data Center. Externo Bajo Monitorear
C
fo
F
Se ha determinado que para los Stakeholders que tienen un impacto “Alto” se ha a seguir una estrategia de contacto continuo, ya que estos tienen
u
un gran poder e interés dentro del proyecto. Por otro lado, para los Stakeholders de impacto “Medio” se va a seguir una estrategia de mantenerlos
ra
informados, puesto que estos tienen un gran poder pero un interés bajo. Finalmente, con los Stakeholders que tienen un impacto “Bajo” se va a
seguir una estrategia de monitoreo ya que de ellos se va a extraer información relevante al proyecto pero estos no tienen ni poder ni interés en el
Pa
to
mismo.
Au
314
Fases
ra C
u o n
Au s o f id
di IN E en
to F x c c
Hitos
ría - lu ial
31 s
In 4 iv
fo o
rm de
del
át
ic
a
315
proyecto
Enfoque de Trabajo (Declaración Básica)
Se han considerado cuatro fases que se respetarán y guiarán el desarrollo del presente
proyecto: Evaluación del Sistema, Definición de Procesos, Diseño de las Directivas y
Cierre de Proyecto.
de
En la fase Definición de Procesos, se diseñaran los procesos actuales y/o se crearan los
ría - lu ial
procesos necesarios para dar soporte a la gestión de seguridad.
o
c
In 4 iv
En la fase de Diseño de las Directivas, se evaluará las restricciones impuestas por los
di IN E en
a
31 s
proyectos desplegados y se diseñaran todos los controles de acuerdo al estándar TIA
ic
942 y la NTP 17799.
so fid
át
c
En la fase Cierre del Proyecto, se realizará la entrega del informe final al Comité
x
n
Riesgos
C
fo
F
316
Pa
r
a C
ANEXO 2
u o n
Au so fid
di IN E en
to F x c c
317
ría - lu ial
31 s
In 4 iv
fo o
SEGURIDAD FÍSICA
Y LÓGICA
GESTIÓN DE LA
rm de
át
ic
317
Plan
a
Proyecto
de
Sección 1. Resumen del Proyecto
Uno de los principales problemas que acontece a los alumnos que forman parte de las
empresas virtuales, es el hecho de no poder acceder al centro de cómputo y/o no contar
con los niveles de acceso correspondientes a nivel BD, aplicaciones y SO. Al mismo
tiempo no se tiene la seguridad que sus proyectos son resguardados bajo algún criterio o
de
parámetro de seguridad.
ría - lu ial
Con el objetivo de brindar una solución a esta problemática, se concibió el proyecto
“Gestión de la Seguridad Lógica y Física”, el cual tiene como principal objetivo el crear
o
c
In 4 iv
un estándar a utilizar dentro del sistema de las empresas virtuales y el centro de
di IN E en
cómputo de la carrera.
a
31 s
El proyecto tiene sus ejes centrales en el uso de estándares internacionales y nacionales
ic
so fid
como la TIA 942 y la NTP 17799. Adicionalmente, la empresa se rige por el uso de
át
c
ITIL V3.0 el mismo que será utilizado en la gestión de la configuración para este
x
n
proyecto. rm
o
Al finalizar el proyecto, se logrará diseñar los procesos y el estándar adecuado para las
C
fo
empresas virtuales dentro de la carrera.
F
1.2 Objetivos
u
318
1.2.3 Objetivos específicos
O.E.2: Definir los procesos que regirán a la gestión de seguridad lógica y física para las
empresas virtuales.
O.E.3: Integrar los conceptos de la NTP 17799 y la TIA 942, para la creación de un
de
estándar a usar en el centro de cómputo de la carrera.
ría - lu ial
1.3 Alcance
o
Inclusiones del Proyecto
c
In 4 iv
di IN E en
a
31 s
Evaluación de la situación actual del Centro de datos de la carrera con base en los
ic
niveles del Tier.
so fid
át
c
Desarrollo de los diagramas de procesos y diagrama de primer nivel acordes al EBM.
x
n
rm
o
La creación de un software.
319
319
1.4 Asunciones
de
Se contará con el apoyo de la empresa QA para el aseguramiento de la calidad de los
entregables según los plazos pactados por ambas partes.
ría - lu ial
o
Sección 2. Organización del Proyecto
c
In 4 iv
di IN E en
2.1 Estructura del Proyecto
a
31 s
ic
Rol Responsable
so fid
át
c
Comité de Proyectos Jorge Cabrera; Rosario Villalta; Carlos Raymundo.
x
n
rm
o
Expert
fo
F
to
Au
320
2.2 Stakeholders
de
William Romero Gerente de IT-Expert, brinda los requerimientos claves
ría - lu ial
acerca del proyecto.
o
c
In 4 iv
Encargados del Proyecto Alumnos que brindarán toda la información acerca del
di IN E en
proyecto.
a
31 s
ic
Usuarios Alumnos matriculados en los talleres de desempeño y
so fid
át
c
proyecto.
x
n
fo
F
to
Cómputo
321
321
Sección 3. Estructura de Trabajo
Métodos:
de
Se tendrá una referencia a la metodología EUP.
Lenguaje de modelamiento BPMN.
ría - lu ial
Se tendrá una referencia al ISO 27000.
o
Herramientas:
c
In 4 iv
di IN E en
a
31 s
Microsoft Office 2007.
ic
Bizagi Process Modeler.
so fid
át
c
SQL 2008.
x
n
rm
o
C
fo
F
u
ra
Pa
to
Au
322
3.2 Actividades e Hitos
de
Checklist de evaluación del Centro de datos 04/04/11
ría - lu ial
Reporte de Incidencias respecto a la Arquitectura 18/04/11
o
del Centro de datos
c
In 4 iv
di IN E en
Reporte de Incidencias respecto al Sistema 23/05/11
a
31 s
Eléctrico del Centro de datos
ic
so fid
át
c
Reporte de Incidencias respecto a las 30/05/11
x
n
fo
Mecánico del Centro de datos
F
u
323
323
Sección 4. Riesgos
Riesgos
de
Disponibilidad de tiempo de los usuarios finales, para las reuniones de captura de
ría - lu ial
requerimientos (niveles de seguridad, accesos, roles, etc.) y reuniones de control del
o
avance del proyecto.
c
In 4 iv
di IN E en
La aceptación o continuidad del proyecto estará a cargo del comité de proyectos.
a
31 s
ic
so fid
Indecisión por parte de los Stakeholders para definir los requerimientos mínimos.
át
x c
n
rm
o
fo
F
to
324
Sección 6. Aprobación
de
Información.
ría - lu ial
William Romero Gerente General de IT-Expert
o
c
In 4 iv
Luis Mamani Asesor de Proyecto
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
r a
Pa
to
Au
325
325
ANEXO 3
Cronograma Proyecto GSFL
de
ría - lu ial
o
c
In 4 iv
Cronograma Proyecto GSFL 2011-01
di IN E en
a
31 s
ic
so fid
át
x c
n
rm
o
C
fo
F
u
ra
Pa
to
Au
326
Pa
r
a C
u o n
Au so fid
di IN E en
to F x c c
327
ría - lu ial
31 s
In 4 iv
fo o
rm de
át
ic
327
a