Gestión de la seguridad física y lógica para un centro de datos

Transcripción

1 FACULTAD DE INGENIERÍA CARRERA DE INGENIERÍA DE SISTEMAS DE INFORMACIÓN Gestión la seguridad física y lógica para un centro datos PROYECTO PROFESIONAL Para obtener el Título : INGENIERO DE SISTEMAS DE INFORMACIÓN AUTORES: Flores Esteves, Jack Shannon Puppi Becerra, Gino Alfredo ASESOR: Villalta Riega, Rosario l Pilar LIMA PERÚ 2013

2 DEDICATORIA El proyecto Gestión la Seguridad Física y Lógica para un Centro Datos, se lo dicamos a nuestros padres y hermanos, quienes nos ha n apoyado a lo largo nuestra vida y en especial por el apoyo y enseñanzas brindadas, las cuales nos han ayudado a superar todos los problemas y obstáculos que hemos encontrado. También queremos agracerles por el apoyo que nos brindan para seguir ala nte, lo que nos permite crecer como personas y profesionales. Por otro lado, queremos agraceré a todos los profesionales que una u otra forma nos han apoyado con sus enseñanzas a lo largo los cinco años nuestra carrera profesional, compartiend o con nosotros su experiencia y así mejorar mutuamente.

3 TABLA DE CONTENIDO RESUMEN EJECUTIVO... 7 ABSTRACT... 9 INTRODUCCION CAPÍTULO 1: DECLARACIÓN DEL PROYECTO OBJETO DE ESTUDIO DOMINIO DEL PROBLEMA Planteamiento la Solución OBJETIVOS DEL PROYECTO Objetivo general Objetivos específicos INDICADORES DE ÉXITO PLANIFICACIÓN DEL PROYECTO Alcance l Proyecto EQUIPO DE PROYECTO RIESGO DEL PROYECTO CAPÍTULO 2: MARCO TEÓRICO MARCO TEÓRICO ANÁLISIS DE ESTÁNDARES Y NORMAS EUP (Enterprise Unified Process) PMBOK (Project Management Body of Knowledge) BPMN (Business Process Moling Notation) TIA (Telecommunications Industry Association) ITIL (Information Technology Infrastructure Library) ISO NTP ISO/IEC 17799: CAPÍTULO 3: SEGURIDAD FÍSICA Y LÓGICA METODOLOGÍA DE TRABAJO MAPA DE PROCESOS DIAGRAMA DE OBJETIVOS SEGURIDAD A NIVEL FÍSICO Diseño la evaluación y l Checklist Subsistema Arquitectura... 46

4 Subsistema Eléctrico Subsistema Telecomunicaciones Niveles calificación la evaluación Resultados la Evaluación Interpretación Resultados Procesos la gestión la seguridad física Definición Procesos: Gestión Evaluación Seguridad Definición Procesos: Control ingresos Definición Procesos: Revisión Equipos Definición Procesos: Control Protección Ambiental Definición Procesos: Gestión solicitud accesos Política Seguridad Física Introducción Alcance Acrónimos y finiciones Objetivos Objetivo General Objetivos Específicos Enunciado la Política Responsabilidas Violaciones a la política Conceptos y directrices sobre la Política Seguridad Física Protección Física Accesos Controles Acceso Físico Desarrollo Tareas en el Centro datos Protección ambiental Perímetro Seguridad Física Suministros energía Seguridad l cableado Protección las Instalaciones Transporte, protección, y mantenimiento los equipos y documentación Mantenimiento equipos Retiro los equipos e información Desafectación o reutilización segura los equipos Ubicación y protección los equipos y copias seguridad Mapeo procesos con directrices físicas SEGURIDAD A NIVEL LÓGICO Diseño la evaluación y l Checklist Interpretación Resultados Procesos la gestión la seguridad lógica Definición Procesos: Gestión solicitud respaldo información

5 Definición Procesos: Administración Vulnerabilidas y Parches Definición Procesos: Gestión Solicitud Accesos Lógico Definición Procesos: Monitoreo Componentes Definición Procesos: Gestión Pruebas Seguridad Definición Procesos: Restauración Backup Definición Procesos: Control Vulnerabilidas Técnicas Definición Procesos: Gestión Claves Definición Procesos: Revisión e Instalación Software Política Seguridad Lógica Introducción Alcance Acrónimos y finiciones Objetivos Objetivo General Objetivos Específicos Enunciado la Política Responsabilidas Violaciones a la política Conceptos y directrices sobre la Política Seguridad Lógica Gestión Comunicaciones y Operaciones Protección contra software malicioso Gestión respaldo y recuperación Gestión seguridad en res Utilización medios información Monitoreo Control Accesos Responsabilidas los usuarios Gestión acceso usuarios Control acceso a la red Control acceso al sistema operativo Control acceso a las aplicaciones y la información Adquisición y mantenimiento sistemas Requisitos seguridad los sistemas Controles criptográficos Seguridad los archivos l sistema Gestión la vulnerabilidad técnica Mapeo procesos con directrices lógicas CAPÍTULO 4: CONTINUIDAD Y CIERRE DEL PROYECTO CONTINUIDAD DEL PROYECTO INTERACCIONES CON OTROS PROYECTOS DEFINICIÓN DE ROL Y MANUAL DE FUNCIONES

6 Información l Rol Definición Funciones Proceso Control ingresos Proceso Revisión Equipos Proceso Control Protección Ambiental Proceso Revisión e instalación software Proceso Control Vulnerabilidas Técnicas Proceso Gestión Claves Proceso Gestión Solicitud Accesos Proceso Gestión solicitud respaldo información Proceso Administración Vulnerabilidas y Parches Proceso Gestión Solicitud Procesos Lógicos Proceso Monitoreo Componentes Proceso Gestión Pruebas Seguridad Proceso Restauración Backup Proceso Control Vulnerabilidas Técnicas Assessment Seguridad CONCLUSIONES RECOMENDACIONES BIBLIOGRAFÍA ANEXOS ANEXO ANEXO ANEXO

7 RESUMEN EJECUTIVO El contenido l presente documento scribe el trabajo realizado en el proyecto Gestión la Seguridad Física y Lógica para un Centro Datos sarrollado en la empresa virtual IT-Expert. La aplicación este proyecto permitirá establecer roles, procesos y políticas para gestionar manera acuada un centro datos pequeño, el caso análisis es el centro datos la carrera ingeniería sistemas y software durante el segundo semestre l año 2010 y el primer semestre l año La primera problemática a resolver era como cuantificar y tallar el estado actual l centro datos analizado. Un componente esencial en este análisis era estudiar y revisar la información los procesos que rigen la operativa l centro, las directrices y/o políticas establecidas y los activos o recursos que forman parte l caso análisis. Para terminar cuál es el estado real l centro datos, fue necesario investigar acerca estándares y/o normas internacionales y nacionales, las cuales son la base l presente trabajo. Al concluir la investigación, se hizo evinte que no existe un único estándar que asegure la gestión la seguridad (física y lógica) para un centro datos pequeño. Por lo que el proyecto terminó que be tener múltiples fuentes y que éstas ben recoger ambos tipos seguridad. El estándar más importante acerca la seguridad en servidores y centro datos, es la TIA-942, estándar reconocido mundialmente y sobre el cual los mejores y más avanzados centros datos l mundo basan la gestión la seguridad Otro estándar importante que trabaja la seguridad pero enfocado en su componente lógico es la NTP-ISO/IEC 17799:2007, el cual es una adopción la norma ISO/IEC 17799:2005 Information Technology Co of Practice for Information Security Management. Con los estándares finidos, se inició la evaluación l centro datos, con el objetivo finir su estado real y establecer medidas para subsanar las observaciones encontradas. Se crearon dos checklist basados en los estándares y normas mencionados, cada uno ellos se especializa en un enfoque la seguridad. Esta evaluación brindará la pauta lo que be gestionarse en el corto, mediano y largo plazo. Los resultados ambos checklist no fueron los esperados. El resultado estableció que ambos frentes la seguridad estaban en su nivel más bajo y para levantar estas observaciones se necesitaba

8 trabajar sobre las recomendaciones catalogadas como mínimas. Por otro lado, se hizo evinte que era necesario establecer directrices, políticas y procesos que permita hablar un centro datos y no una sala computadoras, lo cual sería posible únicamente si se adoptan los niveles seguridad sugeridos. Uno los principales entregables l proyecto, es la política la misma que cubre los dos frentes seguridad- basándola en la norma NTP-ISO/IEC 17799:2007. Al tener la política instaurada, se finieron y crearon los procesos que brinn soporte a las directrices estas políticas; con la finición l proceso, fue necesario finir los roles para finalmente formar un estándar aplicable a centro datos pequeños. Por último, se han listado algunas recomendaciones y conclusiones l proyecto así como también un manual funciones l rol l oficial seguridad. Con el objetivo continuar con esta iniciativa, se ha esquematizado y finido en un capitulo la continuidad l proyecto. Adicionalmente, se ha creado un assessment seguridad con el fin verificar que los cambios sugeridos por el proyecto se hayan llevado a cabo y ayudar a que cada ciclo se retroalimente la gestión la seguridad con los nuevos requerimientos, incincias, evaluaciones, etc.

9 ABSTRACT The contents of this document scribes the work done in the project of Gestión la Seguridad Física y Lógica para un Centro Datos veloped in the virtual enterprise IT-Expert. The implementation of this project will establish roles, processes and policies to properly manage a small data center; the case analysis is the data center of the career of information systems and software engineering in The first problem to solve was to quantify and tail the current state of the data center analyzed. An essential component of this analysis is to study and review the information governing the operational processes, guilines or policies established and the assets or resources that are part of the case of analysis. To termine the actual state of the data center, it was necessary to investigate standards and international / national standards, which are the basis for establishing policies and processes within the data center. As a result of this investigation, it was conclud that there is no single standard that ensures the management of a small data center around physical security as well as logical security. So, after investigation, it was termined that the project should be based on several standards and that it must collect both types of security. The most important standard is TIA-942, globally recognized standard and on which the best and most advanced data centers in the world base security management to be applied. Another important standard safety working but focused on its logical component is the NTP-ISO/IEC 17799:2007, which is an adoption of ISO / IEC 17799:2005 Information Technology - Co of Practice for Information Security Management. With the fined standards, the project team began the data center assessment, with the aim of fining its actual state and establishes measures to address the observations found. We performed 2 checklist based on the standards and rules mentioned, each checklist specializing in each approach to security. This evaluation will provi the standard of what should be managed in the short, medium and long term. The results of both checklists were not as expected; the results established that both security fronts were at their lowest level and raise these observations that are need to work on the recommendations listed as minimum to have an "acceptable" level of security. On the

10 other hand, it became clear that they should establish guilines, policies and processes that allow talk of a data center and not a computer room; this would be possible only if adopted safety levels suggested. The project team veloped a policy for the two mentioned security fronts, basing on NTP-ISO/IEC 17799:2007 standard. Having the project team fined this policy; processes have been created to provi support to the guilines of these policies, with the finition of the process, it was necessary to fine the roles to finally form a standard applicable to small data center. Finally, we have listed some recommendations and conclusions of the project as well as a functions manual of the role of the Oficial Seguridad. In orr to continue this initiative has been outlined and fined in a chapter called Continuidad l Proyecto. Additionally, it has created a security assessment in orr to verify that the changes suggested by the project have been carried out and help each cycle feedback security management with new requirements, incints, assessments, etc.

11 INTRODUCCION El presente documento correspon a la memoria l proyecto Gestión la Seguridad Física y Lógica para un Centro Datos, el cual tiene como objetivo la finición un estándar que asegure la gestión la seguridad tanto a nivel físico como a nivel lógico para un centro datos. Este proyecto es parte los cursos Taller Proyecto I y Taller Proyecto II, los cuales son obligatorios en la malla curricular la carrera Ingeniería Sistemas Información la Universidad Peruana Ciencias Aplicadas. Dentro estos cursos se maneja el concepto empresa virtual, cada una ellas tiene rubros y objetivos finidos. La empresa virtual encargada los proyectos Tecnologías Información es IT-Expert, el objetivo central esta empresa es brindar servicios tecnológicos calidad al resto las empresas virtuales. Este objetivo se soporta en la gestión diversos proyectos y en la creación nuevos servicios. Este proyecto ha sido elegido como un proyecto viable por la importancia que va cobrando día a día la información en cualquier empresa alredor l mundo, por la falta estándares seguridad para empresas medianas o pequeñas y porqué en la actualidad no se pue terminar si existen procedimientos, normas y/o políticas sobre la seguridad física y lógica en el centro datos. Esto genera que no se pue asegurar la seguridad cada activo presente en el centro datos la carrera Ingeniería Sistemas Información la UPC. El primer capítulo correspon al marco teórico, este capítulo brinda las finiciones claves acerca los conceptos seguridad, estándar, las partes que contiene un estándar; las actividas que corresponn a la seguridad (física y lógica) y cuáles son los estándares más conocidos en cuanto a la seguridad. Por otro lado, también se encontrará el dominio l problema, el planteamiento la solución, los objetivos y la justificación l proyecto. El segundo capítulo correspon a la scripción en sí l proyecto. En este capítulo se tallará la metodología a utilizar, la misma que es una mezcla entre diversos marcos referenciales tales como Enterprise Unified Process (EUP), Project Management Body

12 of Knowledge (PMBOK), Telecommunications Industry Association (TIA), International Organization for Standardization ISO Por otro lado también se talla la organización l proyecto; el alcance y los riesgos. El tercer capítulo correspon a la aplicación la metodología trabajo y la formulación l estándar personalizado, parte esta metodología involucra la creación un checklist para evaluar el centro datos a nivel físico, la interpretación resultados, la nueva escala creada; el resultado la evaluación; la política seguridad física; los procesos que apoyan a la seguridad física y un mapeo objetivos con aspectos específicos la ISO. La misma estructura se sigue para la seguridad lógica. Finalmente en el último capítulo se brindan recomendaciones, se presenta el resultado l assessment y como mantener el proyecto a lo largo l tiempo.

13 CAPÍTULO 1: DECLARACIÓN DEL PROYECTO En el primer capítulo se encontrará la claración l proyecto, la cual permitirá conocer y compren el contexto l análisis utilizado en el proyecto. Objeto Estudio Determinar si existe un estándar que gestione manera acuada la seguridad lógica y física para centro datos pequeña y mediana envergadura aplicable a las empresas peruanas. Dominio l Problema El problema se basa en la poca o la falta seguridad a nivel físico y lógico que posee el centro datos la carrera Ingeniería Sistemas Información. Este déficit se be principalmente a que en el momento l estudio no se contaba con procesos, directrices, políticas, limitación responsabilidas ni estándares a seguir. Planteamiento la Solución La solución planteada para el problema antes tallado consiste en sarrollar una metodología trabajo y evaluación, para así finir los procesos, las políticas y los roles manera que estos sean aplicables y escalables a centros datos baja y mediana envergadura a nivel nacional. Esta metodología está conformada por un sistema evaluación a medida, construido a partir las mejores prácticas scritas en la TIA 942, ITIL, NTP y el Orange Book. Al modificar, purar y establecer las nuevas pautas a seguir, es necesario modificar el sistema evaluación o checklist y crear un esquema calificación acor a las modificaciones realizadas. Esto genera que la metodología incluya un nuevo molo calificación e interpretación resultados. Adicionalmente, es necesario finir cuáles serán los procesos mínimos requeridos para gestionar la seguridad física y lógica en un centro datos. Estos procesos serán molados según la notación BPMN y bajo el enfoque gestión l BPM.

14 Objetivos l Proyecto Objetivo general Evaluar y diseñar los procesos, controles y procedimientos que formarán parte un estándar para gestionar la seguridad física (seguridad ambiental, control acceso, monitoreo, etc.) y la seguridad lógica (permisos en aplicativos, compartidos, bases datos, roles, etc.) en el centro datos la carrera Ingeniería Sistemas Información. Objetivos específicos 1. Evaluar el estado actual l centro datos la carrera. 2. Definir los procesos que regirán a la gestión seguridad lógica y física. 3. Integrar los conceptos la NTP y la TIA 942, para la creación un estándar a usar en el centro datos la carrera. Indicadores éxito. Reducir las observaciones encontradas en un 25% como mínimo. Obtener la conformidad los encargados l centro datos sobre las evaluaciones realizadas y los resultados obtenidos. Visar la metodología utilizada por un experto en el ámbito la gestión la seguridad. Planificación l Proyecto Alcance l Proyecto El alcance l proyecto incluirá: 1. Evaluación la situación actual l centro datos la carrera con base en los niveles l Tier. Referenciar la norma. 2. Creación un estándar personalizado, para el control la seguridad lógica y física l centro datos la carrera Ingeniería Sistemas.

15 3. Desarrollo los diagramas procesos seguridad lógica acors al EBM. 4. Definición controles que ben cumplirse para llegar terminado, consirando el no generar conflictos con los sistemas splegados. 5. El proyecto solo involucrará el centro datos la carrera Ing. De Sistemas Información y Software. 6. Se entregará una relación sugerencias a nivel físico para que sean evaluadas en cuanto a costo/beneficio por el director la carrera, bido a que no se cuenta con presupuesto asignado. El Alcance l proyecto NO incluirá: 1. La creación un software. 2. La adquisición o implementación algún componente hardware o software. 3. La seguridad las empresas virtuales ni los laboratorios asignados a los cursos Talleres. 4. Sugerencias o mejoras sobre aspectos l centro datos que se encuentren bajo responsabilidad Servicios Generales.

16 Equipo Proyecto Comité Proyectos (Jorge Cabrera, Rosario Villalta, Ilver Anache, Maria Bermejo) General Empresas Virtuales (Amanda Sánchez) General IT - Expert (William Romero) Asesor(a) Proyecto (Luis Mamani) Proyecto (Britha Laurel) Ingeniero Procesos Stakeholrs Imagen 01: Equipo Proyecto Fuente: Elaboración Propia Riesgo l Proyecto 1. El contrato validación y verificación firmado con QA caduque antes l fin la inspección. 2. La inspección realizada por parte QA sea incorrecta. 3. Disponibilidad tiempo los usuarios finales, para las reuniones captura requerimientos (niveles seguridad, accesos, roles, etc.) y reuniones control l avance l proyecto. 4. La aceptación o continuidad l proyecto estará a cargo l comité proyectos.

17 5. Incertidumbre por parte los Stakeholrs para finir los requerimientos mínimos.

18 CAPÍTULO 2: MARCO TEÓRICO En el segundo capítulo encontraran, el marco teórico, el cual permitirá comprenr con mayor talle lo que involucra un estándar para la gestión la seguridad, un análisis las normas y estándares utilizados. Marco Teórico Para entenr a plenitud el enfoque y alcance l proyecto se be tener una ia clara los conceptos con los que se trabajará a lo largo este documento, por lo que se ha creído conveniente la elaboración un breve marco teórico que introducirá los términos usados tales como estándar, seguridad y ntro este los seguridad física y seguridad lógica, entre otros. De acuerdo con la finición la Real Acamia Española, estándar es aquello que sirve como tipo, molo, norma, patrón o referencia 1. Así mismo, se pue asociar al significado morno esta palabra que nota lo que es establecido por la autoridad, la costumbre o el consentimiento general. En este sentido se utiliza como sinónimo norma. La palabra estándar proviene l inglés standard, y si se interpreta s el punto vista tecnológico, que es el enfoque que se le va a dar en el presente documento, be entenrse como una especificación que regula la realización ciertos procedimientos, tal forma que garantice la interoperabilidad entre diversas plataformas, la continuidad los productos splegados en los diversos ambientes (producción, sarrollo y pruebas) y el correcto funcionamiento todas y cada una las partes dicho proceso. Actualmente existen entidas, tales como la International Organization for Standardization (ISO), American National Standards Institute (ANSI), Energy Information Administration (EIA), que comparten el objetivo finir los patrones, molos, pasos o pautas que se ben seguir para por efectuar una acuada gestión la seguridad física y lógica. El producto final dichas entidas son normas o 1 Cfr. Real Acamia Española 2011

19 estándares que son aceptados y regulados bajo varios organismos diversos países, los mismos que proponen una solución eficaz a cualquier problema o terminar la forma acuada minimizar su ocurrencia e impacto. El presente proyecto trabaja alredor l concepto seguridad, seguridad física y lógica, pero que involucra la seguridad, según la Real Acamia Española la Lengua, este término hace referencia a la cualidad seguro que tiene algo 2. Sin embargo, el uso que se le da a este término en el presente documento tiene un enfoque diferente. No existe una finición estricta lo que se entien por seguridad, puesto que ésta abarca múltiples y muy diversas áreas relacionadas que van s la protección física l ornador como componentes hardware, hasta la protección la información que contiene o las res que lo comunican con el exterior. 3 En este documento cada vez que se referencie a la palabra seguridad será s el enfoque que menciona la Universidad Ciencias Exactas y Naturales y Agrimensura, es cir: ( ) [Se pue entenr la seguridad como] una característica cualquier sistema (informático o no) que nos indica que ese sistema está libre todo peligro, daño o riesgo, y que es, en cierta manera, infalible. ( ) [Cuando se habla sistemas] se suaviza la finición seguridad y se pasa a hablar fiabilidad (probabilidad que un sistema se comporte tal y como se espera él) más que seguridad; por tanto, se habla sistemas fiables en lugar hacerlo sistemas seguros. (Universidad Ciencias Exactas y Naturales y Agrimensura 2011) Este concepto seguridad lo comparten el Dr. Lucio Molinas Focazzio, el cual fine la seguridad como el hecho asegurar que los recursos informáticos cualquier empresa puedan y siempre cumplan con los propósitos por los cuales fueron diseñados sin ser alterados por circunstancias o factores externos 4 Rodríguez, el cual menciona que seguridad es: y el magister Alejandro [Es el] conjunto medidas (administrativas, organizativas, físicas, técnicas legales y educativas) dirigidas a prevenir, tectar y responr a las acciones que pongan en riesgo la integridad, confincialidad y disponibilidad, la informatización que se procesa, intercambie, reproduzca o conserve a través las tecnologías la información. (Rodríguez, Alejandro 2011) 2 Cfr. Real Acamia Española Cfr. Universidad Técnica Particular Loja Cfr. Molinas, Lucio 2011

20 El concepto seguridad informática, se pue disgregar dos conceptos, los mismos que son el eje central este proyecto, es cir la seguridad física y la seguridad lógica. Por un lado, al finir la seguridad física es ial tomar como base el concepto al que hace mención la Universidad Valencia, esta universidad la fine como: ( ) todos aquellos mecanismos --generalmente prevención y tección-- stinados a proteger físicamente cualquier recurso l sistema; estos recursos son s un simple teclado hasta una cinta respaldo con toda la información que hay en el sistema, pasando por la propia CPU la máquina. Dependiendo l entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre beremos tenerla en cuenta. (Universidad Valencia 2011) Sin embargo, esta finición centraliza el concepto seguridad física únicamente al ámbito la protección información, por eso se be complementar con el cuidado y los procedimientos necesarios para asegurar la infraestructura los sistemas, es cir estructura física, cableado, res, UPS, entre otros. Por otro lado, tal como lo dice Universidad Técnica Particular Loja, no solo basta asegurar los sistemas sobre la seguridad física sino que esta se be completar con la seguridad lógica, ya que la mayoría los daños que pue sufrir un centro cómputo no será sobre los medios físicos sino contra información por él almacenada y procesada 5. Para esta universidad el concepto seguridad lógica gira en torno a la aplicación fensas y procedimientos que resguarn el acceso a los datos y solo permita accer a las personas autorizadas para hacerlo. 6 La seguridad lógica be tener sus objetivos finidos manera coherente, es cir los procedimientos implementados ben apoyar a los objetivos seguridad por los cuales estas medidas fueron implementadas. [Según la Universidad Técnica Privada Loja, las principales funciones la seguridad lógica son:] Restringir el acceso a los programas y archivos. 5 Cfr. Universidad Técnica Particular Loja Cfr. Universidad Técnica Particular Loja 2011

21 Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto. Que la información transmitida sea recibida por el stinatario al cual ha sido enviada y no a otro. Que la información recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios transmisión entre diferentes puntos. Que se disponga pasos alternativos emergencia para la transmisión información. (Universidad Técnica Privada Loja 2011) Si se juntan estas dos finiciones, se pue llegar a la conclusión que un estándar para la gestión la seguridad física y lógica es el conjunto criterios, normas, procedimiento que terminan como se ben llevar a cabo todas las actividas y cuál es la infraestructura acuada con la que be contar un centro datos. Es cir, la seguridad nos fine los activos y los procesos para salvaguardar la Seguridad Física y Lógica. Si se consira que existen diversas formas gestionar la seguridad física y lógica cómo se pue asegurar que se tiene una gestión acuada? La respuesta correcta, es el seguimiento los estándares. Existe una gran variedad estándares que finen procesos, procedimientos, normas, políticas e infraestructura para gestionar la seguridad física y lógica. El estándar más completo en el ámbito la seguridad física es el TIA 942 el cual es la fuente principal sobre la cual se terminará qué acciones se ben llevar a cabo en el centro datos la carrera para una gestión la seguridad física. La norma TIA 942 fine niveles seguridad conocidos como tiers, estos niveles van s el número uno hasta el número cuatro, siendo este último el más completo asegurando una alta tolerancia a fallas y una disponibilidad l % 7 Se be tener en cuenta que para por diseñar el estándar que bería ser implementado según la TIA 942, se ben tener como guía diversos estándares 7 Cfr. TIA 942 White Paper 2011

22 seguridad como el ISO ya que este es la base la TIA 942. Este estándar base, brinda la primera perspectiva la norma, sin embargo, tiene su par peruana en la NTP 17799, la misma que ha sido diseñada con base en la realidad peruana. La norma técnica peruana fine los requisitos mínimos que se ben tener en cuenta al momento diseñar un centro datos y así para controlar la seguridad física. Para por analizar si un centro cómputo tiene implementadas forma correcta las sugerencias la TIA, se pue realizar una evaluación. Al implementar estas medidas seguridad física se está jando lado el aspecto lógico la gestión la seguridad ya que la parte física es sólo es una parte l amplio espectro que se be cubrir para no vivir con una sensación ficticia seguridad. Como se sabe el activo más importante que se posee es la información, y por lo tanto ben existir técnicas, más allá la seguridad física que la aseguren. Estas técnicas las brinda la Seguridad Lógica 8. Por otro lado, para gestionar la seguridad lógica existen diversas soluciones, las mismas que serán cubiertas ntro l alcance l proyecto, tales como: 1. Investigación para las soluciones infecciones virales. 2. Políticas uso programas y información compartida. 3. Políticas administración l sistema seguridad. 4. Políticas para el control LAN públicas y privadas. 5. Políticas para la utilización puertos. 6. Definición planes respaldo y contingencia. 7. Planificación Capacitación a los usuarios finales. Al momento diseñar las medidas seguridad lógica se va a seguir una estructura trabajo ya finida, la misma que ha sido generada a partir una mezcla entre las sugerencias la Universidad Técnica Particular Loja y la metodología trabajo los integrantes l proyecto, esta estructura consiste en: 8 Cfr. Universidad Técnica Particular Loja 2011

23 1. Realizar un análisis riesgos. 2. Cuantificación riesgos. 3. Programa control riesgos. 4. Definición políticas. 5. Implementación políticas y normas. 6. Definición planes (contingencia, continuidad y recuperación). 7. Auditoría interna. Con esta serie pasos se podrá asegurar que la gestión la seguridad lógica se ha llevado a cabo manera correcta y consirando todos los aspectos necesarios. El objetivo estas medidas seguridad es asegurar la continuidad l centro datos la carrera. Finalmente, para tener imparcialidad y un resultado real sobre la gestión seguridad física y lógica, se va brindar al proyecto Auditoría TI la empresa IT-Expert toda la información respectiva al proyecto para que pueda realizar su auditoría sobre la gestión la seguridad física y lógica en el centro cómputo la carrera. Análisis Estándares y Normas EUP (Enterprise Unified Process) El EUP es una extensión l Rational Unified Process (RUP), estándar proceso sarrollo software, don se incluyen dos nuevas fases las cuales son Producción y Retiro, así también como nuevas disciplinas, ntro las cuales encontramos las siete disciplinas empresariales, las mismas que son: 1. Molamiento Empresarial 2. Gestión l Portafolio 3. Arquitectura Empresarial

24 4. Reuso 5. Gestión Personas 6. Administración Empresarial 7. Mejora Procesos Software Asimismo, el EUP permite explorar los procesos negocios, el ambiente externo, la estructura la organización, y las entidas empresariales críticas pertenecientes a la organización. PMBOK (Project Management Body of Knowledge) El Project Management Body of Knowledge (PMBOK) es un estándar sarrollado por el Project Management Institute, que brinda un conjunto buenas prácticas para la gestión proyectos. Estas mejores prácticas se divin en áreas conocimiento, las mismas que son comunes para los proyectos. Las áreas conocimiento son las siguientes: 1. Gestión la Integración l Proyecto 2. Gestión l Alcance l Proyecto 3. Gestión l Tiempo l Proyecto 4. Gestión los Costos l Proyecto 5. Gestión la Calidad l Proyecto 6. Gestión los Recursos Humanos l Proyecto 7. Gestión las Comunicaciones l Proyecto 8. Gestión los Riegos l Proyecto 9. Gestión las Adquisiciones l Proyecto

25 Durante el ciclo vida l proyecto se podrán consirar las buenas prácticas en la mayoría las áreas l conocimiento. La Gestión los Costos y Adquisiciones l Proyecto no serán tomadas en cuenta como referencia por tratarse un proyecto académico en el cuál no se incurrirá en gastos para la gestión y elaboración l mismo. BPMN (Business Process Moling Notation) BPMN es una notación gráfica estandarizada que permite el molado procesos un negocio en particular. Actualmente, la última versión aprobada es la 1.2, pero se está a la espera una versión futura que sería la versión 2.0, que aún se encuentra en beta. El objetivo principal l BPMN es el proveer una notación estándar que permita el molamiento l negocio, tal forma que los procesos sean entendibles, una forma fácil y sencilla, por los involucrados e interesados l negocio. El molado en BPMN se realiza mediante diagramas simples y con un conjunto pequeño elementos gráficos. En la versión actual, se cuenta con cuatro categorías básicas elementos, que son los siguientes: Objetos flujo: Definen el comportamiento los procesos. Está compuesto por eventos, actividas y gateways (Rombos control flujo). Eventos: Ocurren durante el sarrollo un proceso negocio y afectan el flujo l proceso. Se encuentran clasificados en 3 tipos: Imagen 02: Eventos BPMN Fuente: Business Process Moling Notation

26 Actividas: Representan actividas, las cuales puen ser simples o compuestas, que se realiza ntro un proceso negocio. Los dos tipos actividas que existentes: Imagen 03: Actividas BPMN Fuente: Business Process Moling Notation Gateways: Son elementos que sirven para el control l flujo l proceso negocio. Existen 5 tipos compuertas: 1. Compuerta exclusiva 2. Compuerta basada en eventos 3. Compuerta paralela 4. Compuerta inclusiva 5. Compuerta compleja Imagen 04: Gateway BPMN Fuente: Business Process Moling Notation Objetos conexión: Utilizados para unir dos objetos l flujo l proceso negocio. Existen 3 tipos objetos conexión: 1. Líneas Secuencia 2. Asociaciones

27 3. Líneas Mensaje Imagen 05: Conectores BPMN Fuente: Business Process Moling Notation Canales: Se utiliza para organizar las actividas l flujo en diferentes categorías visuales que representan áreas funcionales, roles o responsabilidas. Existen 2 tipos: 1. Pools 2. Lanes Imagen 06: Canales BPMN Fuente: Business Process Moling Notation Artefactos: Proveen información adicional sobre el proceso negocio, existen 3 tipos: 1. Objetos Datos o Grupos 2. Anotaciones 3. Objetos Datos Imagen 07: Artefactos BPMN Fuente: Business Process Moling Notation

28 TIA (Telecommunications Industry Association) La Asociación Industrial Telecomunicaciones público en abril l año 2005 el estándar TIA-942 para lograr unificar ias respecto al diseño áreas tecnología. Este estándar se basa específicamente en uno los principales puntos l presente proyecto, la seguridad física en un centro datos. El estándar se basa en recomendaciones l Uptime Institute, el cual establece cuatro niveles o también llamados tiers, los cuales terminan el nivel disponibilidad l centro. Por otro lado, divi la infraestructura soporte un centro datos en cuatro subsistemas: 1. Telecomunicaciones 2. Arquitectura 3. Sistema Eléctrico 4. Sistema Mecánico 9 Este estándar muestra a talle como cada uno estos subsistemas be cumplir con ciertas condiciones para por calificarlas. El tipo evaluación es asignado en base al menor nivel encontrado, por ejemplo: si 100 condiciones logran ser Tier 3 y una ellas es Tier 2 entonces se concluye que ese subsistema aún está en Tier 2. En otras palabras, la condición con el nivel más bajo es el que termina en que Tier se encuentra el subsistema evaluado en el centro datos. ITIL (Information Technology Infrastructure Library) Según la OGC (Office Government Commerce), ITIL se fine como, la Biblioteca Infraestructura Tecnologías Información es un conjunto prácticas enfocadas en la gestión servicios tecnologías la información, dando scripciones talladas sobre los procedimientos gestión para ayudar a las organizaciones a lograr eficiencia y calidad en sus operaciones TI. 10 Algunos estos procedimientos gestión son los siguientes: 9 Cfr. TIA Cfr. ITIL-OFFICIALSIT-E 2007

29 1. Gestión Incintes 2. Gestión Problemas 3. Gestión Configuraciones 4. Gestión Cambios 5. Gestión Versiones 6. Gestión Niveles Servicio 7. Gestión Financiera 8. Gestión la Capacidad 9. Gestión la Continuidad l Servicio 10. Gestión la Disponibilidad 11. Gestión la Seguridad 11 Dentro ese conjunto procedimientos se encuentra la Gestión Seguridad la cual se dice lo siguiente: La Gestión la Seguridad be conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos seguridad que aseguren que la información esté accesible cuando se necesita por aquellos que tengan autorización para utilizarla. (Osiatis 2009) El conjunto prácticas la gestión seguridad permitirá establecer las bases l proyecto y ver cómo se pue adaptar a las necesidas y características la organización y sus servicios, en este caso el l centro datos la carrera. Por otro lado, se be observar, analizar y tener en cuenta los principales beneficios y dificultas que se tienen al implementar la Gestión la Seguridad en la organización. Con el paso l tiempo ITIL ha cobrado una mayor importancia en las empresas, hoy en día se maneja el concepto obtener el máximo beneficio que brindan las mejores 11 Cfr. Osiatis 2009

30 prácticas recomendadas por ITIL para esto se necesita involucrar a los clientes los servicios TI. Esta forma interpretar ITIL hace que las tecnologías información se conviertan en una experiencia colaborativa entre el cliente y los proveedores l servicio (internos y externos), pero sin scuidar que quienes finen los requerimientos son los clientes. Sin embargo, ITIL no es únicamente para los clientes y los proveedores servicios, puesto que incluye a otros grupos tales como el directorio, la alta dirección, los auditores y los reguladores. Toda gestión necesita ser finida y controlada, la Gestión la Seguridad Física y Lógica no escapa a esta realidad por este motivo cuando se planteó el proyecto se alineó ITIL y COBIT. COBIT proporciona las herramientas para dirigir y supervisar todas las actividas relacionadas con las TI. El objetivo la tabla que se muestra a continuación es mostrar como los procesos y operaciones TI son importantes para todo nivel y por en el proyecto necesita mantener informado a todos los Stakeholrs algunos estos forman parte las divisiones jerárquicas que se muestran en la tabla.

31 Aspectos alta gestión basados en COBIT Alta Gerencias Gerencia Auditoría / Dirección Funcionales TI Cumplimiento Planificar y Organizar TI está alineada con las estrategias l negocio? La empresa está logrando el uso óptimo los recursos internos y externos? Todo el personal la empresa entien los objetivos TI? Se ha entendido el impacto TI en los riesgos la empresa? Se ha establecido la responsabilidad la gestión los riesgos TI? Se han entendido y se están gestionando los riesgos TI? La calidad los sistemas es apropiada para las necesidas la empresa? Adquirir e Implementar Es probable que los nuevos proyectos entreguen soluciones que satisfagan las necesidas l negocio?

32 Es probable que los nuevos proyectos se entreguen a tiempo y ntro l presupuesto? Los nuevos sistemas trabajarán correctamente cuando se implementen? Los cambios serán realizados sin trastornar la actual operación l negocio? Entrega y Soporte Los servicios TI se entregan en línea con los requerimientos y las prioridas l negocio? Están optimizados los costos TI? El personal está capacitado para utilizar los sistemas TI en forma productiva y segura? Los sistemas TI tienen acuada confincialidad, integridad y disponibilidad? Monitorear y Evaluar Se pue medir el sempeño TI y tectar los problemas antes que sea masiado tar? Los controles internos están operando eficazmente? La empresa está cumpliendo las disposiciones regulatorias?

33 El gobierno TI es eficaz? Tabla 1: Aspectos Gestión basados en COBIT Fuente: Elaboración Propia

34 Pero porque usar ITIL y no las mejores prácticas cada empresa?, Tal como lo menciona ISACA la implementación ITIL conlleva a una serie beneficios. Estos beneficios son 1. La adopción eficaz las mejores prácticas ayudará a obtener valor las inversiones TI y los servicios TI: 2. Mejorando la calidad, la respuesta y la fiabilidad las soluciones y los servicios TI. 3. Mejorando la viabilidad, previsibilidad y repetitividad resultados negocio exitosos. 4. Ganando la confianza y el creciente involucramiento usuarios y patrocinadores l negocio. 5. Reduciendo riesgos, incintes y fallas en los proyectos. 6. Mejorando la habilidad l negocio para gestionar y supervisar la realización beneficios TI. La empresa también se beneficia la mejora eficiencias y reducción costos: 1. Evitando la reinvención prácticas probadas. 2. Reduciendo la penncia expertos. 3. Incrementando el potencial l staff, menos experto pero correctamente entrenado. 4. Superando silos verticales y comportamientos no seados. 5. Incrementando la estandarización que conduzca a la reducción costos. 6. Haciéndolo más fácil para aprovechar la ayuda externa a través l uso procesos estandarizados. 34

35 En un clima creciente regulación y preocupación sobre los riesgos relacionados a TI, las mejores prácticas ayudarán a minimizar los aspectos cumplimiento y la preocupación los auditores: 1. Logrando el cumplimiento y la aplicación controles internos práctica normal negocios. 2. Demostrando adherirse a buenas prácticas aceptadas y probadas la industria. 3. Mejorando la confianza y la seguridad la dirección y los socios. 4. Generando respecto los reguladores y otros supervisores externos. La gestión servicios TI se refiere a la planificación, aprovisionamiento, diseño, implementación operación, apoyo y mejora los servicios TI que sean apropiados a las necesidas l negocio. ITIL proporciona un marco trabajo mejores prácticas integral, consistente y coherente para la gestión servicios TI y los procesos relacionados, la promoción un enfoque alta calidad para el logro la eficacia y eficiencia l negocio en la gestión servicios TI. Uno los objetivos ITIL es respaldar mas no fijar los procesos negocio una organización. En este contexto, la OGC no aprueba el término "Cumplimiento con ITIL". El papel l marco trabajo ITIL es scribir los enfoques, las funciones, los roles y procesos en los que las organizaciones puen basar sus propias prácticas. El rol ITIL es brindar orientación en el nivel organizacional más bajo que pueda aplicarse. Debajo ese nivel, para implementar ITIL en una organización se requieren los conocimientos específicos sus procesos negocio para ajustar ITIL a fin lograr una eficacia óptima. ISO NTP ISO/IEC 17799:2005 La norma ISO tiene como finalidad proporcionar un molo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema gestión seguridad información. Esta norma está muy alineada con otras normas como por 35

36 ejemplo la norma ISO 9000:2000 y es aplicable a todos los tipos organizaciones asegurando y proporcionando los controles seguridad que protejan los activos información. 12 La Norma Técnica Peruana (NTP) fue elaborada por el comité Técnico Normalización Codificación e Intercambio Electrónico Datos (EDI), durante los meses junio y julio l año Esta norma es una adopción la Norma ISO/IEC 17799: La norma ISO/IEC 17799:2005 proporciona lineamientos implementación que se ben utilizar cuando se habla diseño controles seguridad. 14 Es cir, la NTP es una adaptación la norma ISO/IEC mencionada pero enfocada en la realidad y el alcance nuestro país. Es por este motivo que el proyecto seguiría los controles y guías implementación presentados por esta norma NTP 17799:2005. La relación que guardan ambos estándares con el proyecto sarrollado es directa, bido a que éstos se basan en la Tecnología la información así también como en un código buenas prácticas para la gestión la seguridad la información, la cual abarca los temas Seguridad Física y Seguridad Lógica, temas principales l presente proyecto profesional. 12 Cfr. QUALITAS Cfr. INDECOPI Cfr. QUALITAS

37 CAPÍTULO 3: SEGURIDAD FÍSICA Y LÓGICA En el presente capítulo se tallará el diseño la metodología que servirá base para la creación l estándar. Amás, se presentará el método interpretación creado para los resultados la evaluación y finalmente se presentará cuáles son las políticas sugeridas. Metodología Trabajo El proyecto Gestión la Seguridad Física y Lógica para un centro datos ha seguido las indicaciones la Guía l PMBOK, es cir se ha estructurado el proyecto en fases. Las cuatro fases que se terminaron son: 1. Planificación (1) 2. Seguridad a Nivel Físico (2) 3. Seguridad a Nivel Lógico (3) 4. Assessment y Cierre l Proyecto (4) La primera fase consiste en la planificación l proyecto per se (el alcance l proyecto, los riesgos, la planificación l cronograma, los entregables, los riesgos y los indicadores éxito l mismo). En esta fase también se llevó a cabo la evaluación los estándares internacionales, el análisis fuentes y se establecieron los requisitos mínimos que se ben alcanzar al implementar los cambios en seguridad sugeridos por el proyecto. Durante la primera fase se ha consirado que el estudio a realizar be tener como base dos criterios, el primero es terminar cuáles son los requerimientos mínimos seguridad con los que be contar el centro datos la carrera y el segundo es la complejidad los controles e implementación requerida por los principales estándares que existen, los cuales han apoyado en diferentes campos la investigación. La segunda fase se caracterizó por el levantamiento información referente a la seguridad física a través reuniones con los encargados l centro datos, reuniones 37

38 con las personas Servicios Generales para spués estas reuniones intificar los riesgos, generar el checklist seguridad física, realizar la evaluación l centro datos, generar los reportes incincias, realizar interpretación resultados, tallar las recomendaciones a implementar y los procesos que ben ser adoptados a partir este ciclo en el centro datos. Todos los procesos creados para soportar la seguridad física han sido creados a partir diversas fuentes y cada uno ellos tiene métricas para el control mismo. La evaluación a nivel físico l centro datos se basa principalmente en la TIA 942 y las recomendaciones brindadas por Purificación Aguilera en su libro seguridad informática. Sin embargo, la TIA 942 es un estándar que tiene un alcance superior al proyecto por lo cual se tuvo que adaptar consirando los requerimientos mínimos para el centro datos. Al mismo tiempo, la escala resultados tuvo que ser modificada, incorporando dos nuevas categorías bido a que el estándar tien a ser resultado superior es cir asume que se be tener un mínimo requisitos por lo cual no existían las categorías: No Existe y No Aplica. Al tener los resultados la evaluación y los procesos finidos, se creó la política seguridad física consirando que ésta be soportar todas las actividas, procesos y los requerimientos mínimos tallados en la primera fase l proyecto. Durante la tercera fase l proyecto se ha realizado el levantamiento información con el personal encargado l centro datos, se creó el checklist para la evaluación a nivel lógico, esta evaluación tiene principalmente tres fuentes, la norma técnica peruana 17799, el Orange Book libro sarrollado por el Ministerio Defensa Estados Unidos y las recomendaciones Purificación Aguilera en su libro Seguridad Informática. Al realizar la evaluación e interpretar los resultados la misma, se logró intificar los riesgos presentes y por en los puntos mejora en seguridad lógica. A partir las carencias tectadas se finieron los procesos para que soporten la seguridad lógica, los mismo que han sido creados a partir diversas fuentes y cada uno ellos tiene métricas para el control mismo. 38

39 Con los resultados la evaluación y los procesos finidos, se creó la política seguridad lógica consirando todas las actividas, procesos y los requerimientos mínimos tallados en la primera fase l proyecto. El proyecto se basa en gestionar la seguridad física y lógica l centro datos la carrera Ingeniería Sistemas Información, por lo que se dividió el proyecto en dos grans partes las cuales abarcarían un aspecto la seguridad cada una. La primera parte se centra en la Seguridad Física l centro datos, la cual, se inició con la evaluación l estado actual centro datos en don se dispuso l estándar TIA-942, el cual es un estándar especializado en lo que refiere a ubicación, cableado, monitoreo, sistemas ventilación, entre otros. Se elaboró un checklist basado en dicho estándar el cual permite tener una visión global estado actual l centro datos. A su vez que, a fin cumplir uno los objetivos l proyecto el cual es el elaborar un estándar para centro datos, se adaptó el checklist específicamente para el centro datos la carrera Ingeniería Sistemas Información ya que a lo largo la evaluación el equipo proyecto terminó que el alcance la TIA-942 es mucho mayor al necesario en el centro datos. Una vez que se hizo evinte el estado actual l centro datos se procedió a elaborar una política seguridad física basando el análisis en la Norma Técnica Peruana - NTP17799 la cual a su vez se basa en el ISO/IEC seguridad la información. La política está divida en 3 diferentes conceptos que apoyan a tres objetivos especificados ntro esta, a su vez que los conceptos están apoyados por directrices. Finalmente, se han elaborado los procesos para apoyar estas directrices manera que se asegure que la Seguridad Física l centro datos está completamente resguardad. La segunda parte l proyecto tiene como objetivo asegurar la Seguridad Lógica, para llevar a cabo esta gestión fue necesaria la elaboración l checklist, el mismo que tiene su origen en la Norma Técnica Peruana NTP17799, el Orange Book, el libro Seguridad Informática Purificación Aguilera, los cuales brindan la base para la evaluación la seguridad lógica l centro datos. 39

40 Debido a las restricciones y el alcance que maneja el proyecto no se brindarán recomendaciones y/o sugerencias a implementar en el diseño lógico o físico l diagrama res. Sin embargo, cabe resaltar que la administración este punto se encuentra bajo responsabilidad l área servicios generales la universidad. Si se sea implementar un esquema seguridad res se bería tener presente los siguientes puntos brindados por la TIA 942: Revisar y adaptar la información l Anexo A. Este capítulo se encarga brindar las mejores prácticas para el diseño l cableado a utilizar en un centro datos, brindando especificaciones distancia, creación circuitos, conexiones con las consolas, conexión cruzada, entre otros. Revisar y adaptar la información l Anexo B. Este capítulo se encarga brindar las mejores prácticas para el diseño la infraestructura las comunicaciones, brindando especificaciones intificación cableado y tipos conexión. Revisar y adaptar la información l Anexo C. Este capítulo se encarga brindar las mejores prácticas para el diseño los controles acceso información, brindando especificaciones cableado UTP, circuitos cerrados, equipos acceso remoto, equipos acceso a proveedores información. Adicionalmente, se be tener presente los siguientes controles para la seguridad res: Configuración Firewall. Internal Firewall Perimeter Firewall Numero puertos entrada. Zona smilitarizada. Configuración la VLAN. 40

41 Se sugiere comprar aplicativos como TIVOLI para llevar un acuado control l uso y la estabilidad la red. 41

42 Mapa Procesos - Imagen 08: Mapa Procesos Fuente: Elaboración Propia 42

43 Diagrama Objetivos Imagen 09: Diagrama Objetivos Fuente: Elaboración Propia 43

44 Seguridad a nivel físico Diseño la evaluación y l Checklist Para por finir manera real y coherente un estándar seguridad (físico y lógico) para el centro datos la carrera, se necesita tener una visión global l estado actual. Esta visión global be dar a conocer los riesgos, las vulnerabilidas y las posibles amenazas que se encuentran presentes ntro las instalaciones para así por terminar qué acciones se ben llevar a cabo para subsanarlas o reducir su impacto. Para obtener esta visión global se llevó a cabo una evaluación, la misma que fue diseñada con las sugerencias l Estándar Telecomunicaciones e Infraestructura para Centro datos (TIA 942) y la Norma Técnica Peruana (NTP 17799). A partir estas sugerencias se creó un checklist evaluaciones, el cual se encargar cubrir los cuatro principales subsistemas conocidos ntro un centro datos. Los cuatro subsistemas que existen son: Subsistema Arquitectónico, Subsistema Eléctrico, Subsistema Telecomunicaciones, Subsistema Mecánico. El subsistema arquitectónico incluye las consiraciones sobre aparcamiento, baños y áreas scanso, CCTV, centro operaciones, componentes l edificio, construcción l edificio, control monitoreo y accesos seguridad, corredores salida, estructura, generador respaldo y áreas almacenamiento combustible, material para techos, monitoreo CCTV, muros, ventanas y puertas resistentes a balas, oficina seguridad, oficinas administrativas, puertas y ventanas, resistividad al fuego, seguridad, ubicación l centro datos y la ubicación los UPS y la sala baterías. El subsistema eléctrico incluye las consiraciones sobre baterías tipo inundado, conexión a tierra, configuración las baterías, sistema eléctrico en general, mantenimiento los equipos, monitoreo l sistema eléctrico, pruebas cargas, requisitos en la sala baterías, sistema cajas l UPS (Diésel), sistema generación standby, sistemas emergencia corte energía (EPO) y UPS. El subsistema mecánico incluye consiraciones sobre la eliminación calor (agua), eliminación calor (aire), selección sitio, sistema agua fría, sistema combustible aceite, sistema control HVAC, sistema refrigeración por agua, sistema refrigeración por aire, sistema tuberías, supresión fuego. 44

45 El subsistema telecomunicaciones incluye consiraciones sobre la ubicación l sitio, cableado, router, switch, paneles eléctricos y tomacorrientes. Consirando cada uno los puntos scritos líneas arriba se creó el checklist que se muestra a continuación: Consirar que el checklist pueda estar en un anexo. 45

46 Subsistema Arquitectura General TIER 1 TIER 2 TIER 3 TIER 4 Selección Sitio 1 Enrutamiento agua o drenaje sin tuberías Permitido pero no Permitido pero no No permitido No permitido en el equipo l centro datos en el centro datos y recomendado recomendado espacio. 2 La presión positiva en el aula informática y espacios asociados en relación con el exterior y que no sean l centro datos 3 Los sagües connsado agua se encuentran en el piso en sala ornadores, agua l humidificador color, y por aspersión scarga agua. No requiere Si Si Si Si Si Si Si 4 Sistemas mecánicos en generadores StandBy No requiere Si Si Si Tabla 2: Subsistema Arquitectura, General Fuente: TIA

47 Sistema refrigeración por agua TIER 1 TIER 2 TIER 3 TIER 4 1 Cubierta terminales No aire acondicionados Una unidad AC Cantidad unidas AC Cantidad unidas AC unidas aire redundantes redundante por área suficiente para mantener suficiente para mantener un acondicionado crítica un área crítica durante la área crítica durante la perdida electricidad perdida electricidad una fuente una fuente 2 Control humedad para el Centro Datos Humidificación provista Humidificación provista Humidificación provista Humidificación provista 3 Servicio eléctrico a los equipos Equipos AC con una Equipos AC con una Múltiples equipos AC con Múltiples equipos AC con mecánicos única ruta acceso única ruta acceso una única ruta acceso una única ruta acceso Tabla 3: Subsistema Arquitectura, Sistema refrigeración Fuente: TIA

48 Eliminación l calor TIER 1 TIER 2 TIER 3 TIER 4 1 Seco-enfriadores (si proce) Seco enfriadores no Un Seco enfriadores Cantidad seco Cantidad seco redundantes redundante por sistema enfriadores suficiente para enfriadores suficiente para mantener un área crítica mantener un área crítica durante la perdida durante la perdida electricidad una fuente electricidad una fuente 2 Circuito cerrado fluido Enfriadores fluido no Un Enfriador fluido Cantidad enfriadores Cantidad enfriadores Enfriadores (si proce) redundantes por sistema fluidos suficiente para fluidos suficiente para mantener un área crítica mantener un área crítica durante la perdida durante la perdida electricidad una fuente electricidad una fuente 3 Bombas circulación Bombas circulación Una Bomba Cantidad bombas Cantidad bombas no redundantes circulación redundante circulación suficiente para circulación suficiente para por sistema mantener un área crítica mantener un área crítica durante la perdida durante la perdida electricidad una fuente electricidad una fuente 48

49 4 Sistema tuberías Sistema connsación Sistema connsación Sistema connsación Sistema connsación agua con una única agua con una única agua con ruta acceso agua con ruta acceso ruta acceso ruta acceso dual. dual. Tabla 4: Subsistema Arquitectura, Eliminación l calor Fuente: TIA

50 Sistema Agua Fría TIER 1 TIER 2 TIER 3 TIER 4 1 Cubierta terminales Aires acondicionados no Un aire acondicionado Cantidad aires Cantidad aires unidas aire redundantes redundante por sistema acondicionados suficiente acondicionados suficiente acondicionado para mantener un área para mantener un área crítica durante la perdida crítica durante la perdida electricidad una electricidad una fuente fuente 2 Control humedad para el Centro Datos Humidificación provista Humidificación provista Humidificación provista Humidificación provista 3 Servicio eléctrico a los equipos Equipos AC con una Equipos AC con una Múltiples equipos AC con Múltiples equipos AC con mecánicos única ruta acceso única ruta acceso una única ruta acceso una única ruta acceso Tabla 5: Subsistema Arquitectura, Sistema Agua Fría Fuente: TIA

51 Eliminación l calor TIER 1 TIER 2 TIER 3 TIER 4 1 Sistema tuberías agua Sistema tuberías Sistema tuberías Sistema tuberías Sistema tuberías agua fría agua fría connsación agua fría connsación agua fría connsación fría connsación agua agua con una única agua con una única agua con rutas acceso con rutas acceso dual ruta acceso ruta acceso dual 2 Bombas circulación agua Bombas circulación Una Bomba Cantidad bombas Cantidad bombas fría agua fría no circulación agua fría circulación agua fría circulación agua fría redundantes redundante por sistema suficiente para mantener suficiente para mantener un un área crítica durante la área crítica durante la perdida electricidad perdida electricidad una fuente una fuente 3 Refrigeradores Refrigeradores Un refrigerador Cantidad refrigeradores Cantidad refrigeradores refrigeración por aire refrigeración por aire no refrigeración por aire refrigeración por aire refrigeración por aire redundantes redundante por sistema suficiente para mantener suficiente para mantener un un área crítica durante la área crítica durante la perdida electricidad perdida electricidad una fuente una fuente 51

52 4 Enfriadores refrigerados por Enfriadores refrigerados Un enfriador refrigerados Cantidad enfriadores Cantidad enfriadores agua por agua no redundantes por agua redundante por refrigerados por agua refrigerados por agua sistema suficiente para mantener suficiente para mantener un un área crítica durante la área crítica durante la perdida electricidad perdida electricidad una fuente una fuente 5 Torres enfriamiento Torres enfriamiento Una torre Cantidad Torres Cantidad Torres no redundantes enfriamiento redundante enfriamiento suficiente enfriamiento suficiente para por sistema para mantener un área mantener un área crítica crítica durante la perdida durante la perdida electricidad una electricidad una fuente fuente 6 Connsadores bombas Connsadores Un connsador Cantidad Cantidad connsadores agua bombas agua no bombas agua connsadores bombas bombas agua redundantes redundante por sistema agua suficiente para suficiente para mantener un mantener un área crítica área crítica durante la durante la perdida perdida electricidad electricidad una fuente una fuente 52

53 7 Sistema tuberías Sistema connsación Sistema connsación Sistema connsación Sistema connsación connsadores agua agua con una única agua con una única agua con ruta acceso agua con ruta acceso ruta acceso ruta acceso dual. dual. Tabla 6: Subsistema Arquitectura, Eliminación l calor Fuente: TIA

54 Sistema refrigeración por aire TIER 1 TIER 2 TIER 3 TIER 4 1 Cubierta terminales No aire acondicionados Una unidad AC Cantidad unidas AC Cantidad unidas AC unidas aire redundantes redundante por área suficiente para mantener suficiente para mantener un acondicionado y al aire libre crítica un área crítica durante la área crítica durante la Connsadores perdida electricidad perdida electricidad una fuente una fuente 2 Servicio eléctrico a los equipos Equipos AC con una Equipos AC con una Múltiples equipos AC con Múltiples equipos AC con mecánicos única ruta acceso única ruta acceso una única ruta acceso una única ruta acceso 3 Control humedad para el Centro Datos Humidificación provista Humidificación provista Humidificación provista Humidificación provista Tabla 7: Subsistema Arquitectura, Sistema Refrigeración por Aire Fuente: TIA

55 Sistema Control HVAC TIER 1 TIER 2 TIER 3 TIER 4 1 Sistema Control HVAC Falla en el sistema Falla en el sistema Falla en el sistema Falla en el sistema control interrumpirá el control no interrumpirá el control no interrumpirá el control no interrumpirá el enfriamiento las áreas enfriamiento las áreas enfriamiento las áreas enfriamiento las áreas críticas críticas críticas críticas 2 Fuente Por para el Electricidad para el Electricidad un UPS a Electricidad un UPS a Electricidad un UPS a los Sistema Control HVAC sistema control los equipos AC los equipos AC equipos AC redundantes HVAC con una única redundantes redundantes ruta acceso Tabla 8: Subsistema Arquitectura, Sistema Control HVAC Fuente: TIA

56 Sistema Tuberías (para la eliminación l calor) TIER 1 TIER 2 TIER 3 TIER 4 1 Fuentes duales para arreglar el Fuente agua única, sin Fuente agua dual, o una Fuente agua dual, o Fuente agua dual, o una agua respaldo en el lugar fuente + respaldo en el una fuente + respaldo en fuente + respaldo en el lugar almacenamiento. lugar almacenamiento. el lugar almacenamiento. almacenamiento. 2 Puntos conexión para el Un único punto Un único punto Dos punto conexión Dos punto conexión sistema connsación l conexión conexión agua Tabla 9: Subsistema Arquitectura, Sistema Tuberías Fuente: TIA

57 Sistema combustible aceite TIER 1 TIER 2 TIER 3 TIER 4 1 Tanques almacenamiento Tanque Múltiples tanques Múltiples tanques Múltiples tanques almacenamiento almacenamiento almacenamiento almacenamiento 2 Las bombas l tanque Una Bomba y/o un tubo Múltiples Bombas, Múltiples Bombas, Múltiples Bombas, múltiples almacenamiento y tuberías provisiones múltiples tubos múltiples tubos tubos provisiones provisiones provisiones Tabla 10: Subsistema Arquitectura, Sistema Combustible Aceite Fuente: TIA

58 Supresión fuego TIER 1 TIER 2 TIER 3 TIER 4 1 Sistema tección fuego No Si Si Si 2 Sistema rociadores contra Cuando sea requerido Pre-Acción (cuando Pre-Acción (cuando Pre-Acción (cuando incendios requerido) requerido) requerido) 3 Sistema supresión gaseosa No No Agentes limpios listados en la NFPA 2001 Agentes limpios listados en la NFPA Sistema aviso temprano tección humo 5 Sistemas tección fugas agua No Si Si Si No Si Si Si Tabla 11: Subsistema Arquitectura, Supresión Fuego Fuente: TIA

59 Subsistema Eléctrico General TIER 1 TIER 2 TIER 3 TIER 4 1 Número rutas llegada/entrega activo y 1 pasivo 2 activos 2 Entrada utilidad. Alimentación única Alimentación única Doble alimentación (600 voltios o más) Doble alimentación (600 voltios o más) s diferentes subestaciones utilidad 3 El sistema permite el mantenimiento concurrido. No No Si Si 4 Equipo cables Cable alimentación Cable dual Cable dual Cable dual alimentación alimentación las única con 100% alimentación con 100% alimentación con 100% con 100% capacidad en computadoras y equipos capacidad capacidad en c/cable capacidad en c/cable c/cable telecomunicaciones. 5 Todos los equipos l sistema eléctrico ben estar etiquetados con la certificación Si Si Si Si 59

60 una prueba laboratorio terceros. 6 Puntos únicos fallo Uno o más puntos únicos Uno o más puntos únicos Ningún punto único Ningún punto único fallo fallo para el equipo fallo para el equipo fallo para el equipo para el equipo servicio servicio eléctrico o servicio eléctrico o servicio eléctrico o eléctrico o sistemas sistemas mecánicos sistemas mecánicos sistemas mecánicos mecánicos 7 Sistema transferencia Interruptor Interruptor Interruptor Interruptor transferencia carga crítica transferencia automática transferencia automática transferencia automática automática (ATS) con la (ATS) con la función (ATS) con la función (ATS) con la función función mantenimiento mantenimiento puente mantenimiento puente mantenimiento puente puente para servir al para servir al interruptor para servir al interruptor para servir al interruptor interruptor como como interrupción al como interrupción al como interrupción al interrupción al por; por; cambio por; cambio automático por; cambio cambio automático s la automático s la s la utilidad hasta el automático s la utilidad hasta el generador utilidad hasta el generador cuando un corte utilidad hasta el cuando un corte por generador cuando un por ocurra. generador cuando un ocurra. corte por ocurra. corte por ocurra. 8 Sitio Celdas Ninguna Ninguna Humidificación provista Ninguna 60

61 9 Generadores l tamaño correcto acuerdo a la capacidad l UPS instalado Si Si Si Si 1 Capacidad l combustible l 8 horas (no requiere l 24 horas 72 horas 96 horas 0 generador (a carga plena) generador si el UPS tiene 8 minutos tiempo respaldo) Tabla 12: Subsistema Eléctrico, General Fuente: TIA

62 UPS TIER 1 TIER 2 TIER 3 TIER 4 1 Redundancia l UPS N N+1 N+1 2N 2 Topología l UPS Módulo único o módulos Módulos paralelos Módulos paralelos Módulos paralelos paralelos no redundantes redundantes o módulos redundantes o módulos redundantes o módulos redundantes distribuidos redundantes distribuidos redundantes distribuidos o o sistema redundante sistema redundante bloqueo bloqueo 3 Acuerdo mantenimiento Por bypass obtenido Por bypass obtenido Por bypass obtenido Por bypass obtenido l rivación en el UPS la misma utilidad la misma utilidad la misma utilidad sistema reserva l UPS alimentación los alimentación los alimentación los el cual es alimentado un módulos l UPS módulos l UPS módulos l UPS bus diferente a los que se usa en los sistemas UPS 4 Nivel voltaje - Distribución Nivel voltaje Nivel voltaje 120/208V Nivel voltaje Nivel voltaje 120/208V Por l UPS 120/208V hasta cargas hasta cargas 1440kVA 120/208V hasta cargas hasta cargas 1440kVA y 1440kVA y 480V y 480V para cargas 1440kVA y 480V 480V para cargas mayores a para cargas mayores a mayores a 1440kVA para cargas mayores a 1440kVA 1440kVA 1440kVA 62

63 5 Tableros paneles - Tableros paneles Tableros paneles Tableros paneles Tableros paneles Distribución l Por l incorporados con incorporados con estándar incorporados con incorporados con estándar UPS estándar interruptores interruptores térmicos estándar interruptores interruptores térmicos térmicos disparo disparo magnético térmicos disparo disparo magnético magnético magnético 6 Todas las computadoras y equipos telecomunicaciones son alimentados con PDU's No No Si Si 7 Transformadores K-Factor Sí, pero no requeridos si Sí, pero no requeridos si se Sí, pero no requeridos si Sí, pero no requeridos si se instalados en PDU's se usan transformadores usan transformadores se usan transformadores usan transformadores anulación armonioso anulación armonioso anulación armonioso anulación armonioso 8 Bus sincronización carga (LBS) No No Si Si 9 Componentes redundantes Diseño UPS estático Diseño UPS estático o Diseño UPS estático o Diseño UPS estático o (UPS) rotatorio. Convertidores rotatorio. Convertidores rotatorio. Convertidores rotatorios M-G Set. rotatorios M-G Set. rotatorios M-G Set. 63

64 10 El UPS se encuentra separado en un panel distribución separado los equipos telecomunicaciones y computadoras. No Si Si Si Tabla 13: Subsistema Eléctrico, UPS Fuente: TIA

65 Conexión a Tierra TIER 1 TIER 2 TIER 3 TIER 4 1 Sistema protección iluminación En base a los análisis En base a los análisis Si Si riesgo según la NFPA riesgo según la NFPA y requerimientos y requerimientos seguro. seguro. 2 Motivos entrada servicio y los motivos l generador se ajusta plenamente a NEC 3 Accesorios iluminación (277v) neutral, aislados la entrada servicio rivados la iluminación l transformador para el aislador fallas tierra 4 La infraestructura la conexión a tierra l centro datos está ntro la sala computadoras. Si si Si Si Si Si Si Si No requerido No requerido Si Si Tabla 14: Subsistema Eléctrico, Conexión a Tierra Fuente: TIA

66 Sistema Emergencia Corte Energía en la sala computadoras (EPO) 1 Activado por el sistema emergencia corte energía (EPO) en las salidas apagando solo al sistema telecomunicaciones y computadoras. 2 El supresor fuego automático se libera spués l apagado l sistema telecomunicaciones 3 Sistema alarma fuego la segunda zona se activa con el apagado l sistema emergencia corte energía (EPO) forma manual 4 El control Maestro sconecta baterías y libera un supresor s una estación atendida 24/7 TIER 1 TIER 2 TIER 3 TIER 4 Si Si Si Si Si Si Si Si No No No Si No No No Si Tabla 15: Subsistema Eléctrico, Sistema Emergencia Corte Energía en la Sala Computadoras Fuente: TIA

67 Sistema Emergencia Corte Energía en sala Baterías (EPO) 1 Activado por los botones l sistema emergencia corte energía (EPO) en las salidas con liberación un supresor manual 2 Se libera el supresor fuego para el sistema zonas únicas spués l apagado l sistema emergencias corte energía 3 Activación l sistema alarma fuego en la segunda zona. Desconecta las baterías en la primera zona con la liberación l supresor en la segunda zona. 4 El control Maestro sconecta baterías y libera un supresor s una estación atendida 24/7 TIER 1 TIER 2 TIER 3 TIER 4 Si Si Si Si Si Si Si Si No No Si Si No No Si Si Tabla 16: Subsistema Eléctrico, Sistema Emergencias Corte Energía en Sala Baterías Fuente: TIA

68 Sistema Emergencia Corte Energía (EPO) TIER 1 TIER 2 TIER 3 TIER 4 1 Apagado l por los recipientes l UPS en el área la sala computadoras. Si Si Si Si 2 Apagado Corriente AC para Cracs y enfriadores Si Si Si Si 3 Cumplimiento l código local (eje. Sistemas separados para el UPS y HVAC) Si Si Si Si Tabla 17: Subsistema Eléctrico, Sistema Emergencia Corte Energía Fuente: TIA

69 Monitoreo l Sistema TIER 1 TIER 2 TIER 3 TIER 4 1 Desplegado localmente en el UPS Si Si Si Si 2 Interface con el BMS No No Si Si 3 Control Remoto No No No Si 4 Mensajes texto automáticos para el servicio localización ingenieros 5 Mensajes texto automáticos para el servicio localización ingenieros No No No Si No No No Si Tabla 18: Subsistema Eléctrico, Monitoreo l Sistema Fuente: TIA

70 Configuración Batería TIER 1 TIER 2 TIER 3 TIER 4 1 Cana baterías comunes para todos los módulos Si No No No 2 Una cana batería para c/módulo No Si Si Si 3 Tiempo espera mínimo para la carga plena 5 min 10 min 15 min 15 min 4 Tipo Batería Válvula plomo- Válvula plomo- Válvula Válvula plomo- ácido (VRLA) o ácido (VRLA) o plomo-ácido ácido (VRLA) o tipo inundado tipo inundado (VRLA) o tipo tipo inundado inundado Tabla 19: Subsistema Eléctrico, Configuración Batería Fuente: TIA

71 Batería Tipo Inundado TIER 1 TIER 2 TIER 3 TIER 4 1 Montaje Racks o gabinetes Racks o gabinetes Racks abiertos Racks abiertos 2 Placas envoltura No Si Si Si 3 Contenedores rrame ácido instalados Si Si Si Si 4 Pruebas batería a carga plena / Horarios inspección Cada 2 años Cada 2 años Cada 2 años Cada 2 años o anual Tabla 20: Subsistema Eléctrico, Batería Tipo Inundado Fuente: TIA

72 Sala Baterías TIER 1 TIER 2 TIER 3 TIER 4 1 Separado los cuartos los equipos UPS y celdas 2 Las canas individuales baterías están aisladas uno con otro 3 Vista a través vidrio inastillable en la puerta la sala baterías. 4 Las sconexiones las baterías se localizan fuera la sala baterías No Si Si Si No Si Si Si No No No Si Si Si Si Si 5 Sistema monitoreo baterías Auto monitoreo l Auto monitoreo l Auto Sistema automatizado UPS UPS monitoreo l centralizado para la revisión UPS temperatura, voltaje e impedancia para cada celda Tabla 21: Subsistema Eléctrico, Sala Baterías Fuente: TIA

73 Sistema Cajas l UPS Rotador (con generadores Diesel) TIER 1 TIER 2 TIER 3 TIER 4 1 Unidas encerradas separadas por las pares nominales fuego No No Si Si 2 Tanques combustibles en el exterior No No Si Si 3 Tanques combustibles en la misma sala que las unidas Si Si No No Tabla 22: Subsistema Eléctrico, Sistema Cajas l UPS Rotador Fuente: TIA

74 Sistema generación Standby TIER 1 TIER 2 TIER 3 TIER 4 1 Generador tamaño Solo para el Solo para el tamaño Solo para el Carga l edificio tamaño las las computadoras y tamaño las total + 1 repuesto computadoras y el el sistema computadoras y el sistema telecomunicaciones, sistema telecomunicaciones eléctrico y mecánico telecomunicacion, eléctrico y es, eléctrico y mecánico mecánico más 1 repuesto 2 Generadores en un único bus Si Si Si No 3 Un único generador por sistema con (1) generador repuesto 4 Una protección falla tierra individual 83 ft. (pies) para c/generador No Si Si Si No Si Si Si Tabla 23: Subsistema Eléctrico, Sistema generación Standby Fuente: TIA

75 Pruebas para el banco cargas TIER 1 TIER 2 TIER 3 TIER 4 1 Solo pruebas los módulos l UPS Solo para el tamaño Solo para el tamaño Solo para el tamaño las Carga l las computadoras y el las computadoras y el computadoras y el sistema edificio total sistema sistema telecomunicaciones, + 1 telecomunicaciones, telecomunicaciones, eléctrico y mecánico más 1 repuesto eléctrico y mecánico eléctrico y mecánico repuesto 2 Solo pruebas los generadores Si Si Si No 3 Pruebas tanto los módulos l UPS como los generadores 4 Una protección falla tierra individual 83 ft. (pies) para c/generador No Si Si Si No Si Si Si 5 Aparamenta l UPS No No No Si 6 Instalado permanente No - Alquilado No - Alquilado No - Alquilado Si Tabla 24: Subsistema Eléctrico, Pruebas para el banco scargas Fuente: TIA

76 Mantenimiento los equipos TIER 1 TIER 2 TIER 3 TIER 4 1 Staff mantenimiento Solo para el tamaño las Solo para el tamaño Solo para el tamaño las Carga l edificio total + 1 computadoras y el sistema las computadoras y computadoras y el sistema repuesto telecomunicaciones, el sistema telecomunicaciones, eléctrico eléctrico y mecánico telecomunicaciones, y mecánico más 1 repuesto eléctrico y mecánico 2 Mantenimiento preventivo Ninguno Ninguno Programa mantenimiento preventivo limitado Programa mantenimiento preventivo comprensivo 3 Programas formación con instituciones Ninguno Ninguno Programa formación comprensiva Programa formación comprensiva que incluye procedimientos operación manual y si es necesario al sistema control bypass Tabla 25: Subsistema Eléctrico, Mantenimiento los Equipos Fuente: TIA

77 Subsistema Mecánico Selección Sitio General TIER 1 TIER 2 TIER 3 TIER 4 1 Enrutamiento agua o drenaje sin tuberías en el equipo l centro datos en el centro datos y espacio. Permitido pero no recomendado Permitido pero no recomendado No permitido No permitido 2 La presión positiva en el aula informática y espacios asociados en relación con el exterior y que no sean l centro datos No requiere Si Si Si 3 Los sagües connsado agua se encuentran en el piso en sala ornadores, agua l humidificador color, y por aspersión scarga agua. Si Si Si Si 4 Sistemas mecánicos en generadores StandBy No requiere Si Si Si Tabla 26: Subsistema Mecánico, General Fuente: TIA

78 Sistema refrigeración por agua TIER 1 TIER 2 TIER 3 TIER 4 Cubierta terminales No aire acondicionados Una unidad AC Cantidad unidas AC Cantidad unidas AC unidas aire acondicionado redundantes redundante por suficiente para mantener suficiente para mantener un 1 área crítica un área crítica durante la área crítica durante la perdida perdida electricidad electricidad una fuente una fuente 2 Control humedad para el Centro Datos Humidificación provista Humidificación provista Humidificación provista Humidificación provista Servicio eléctrico a los equipos Equipos AC con una única ruta Equipos AC Múltiples equipos AC con Múltiples equipos AC con una 3 mecánicos acceso con una única una única ruta acceso única ruta acceso ruta acceso Tabla 27: Subsistema Mecánico, Sistema refrigeración por agua Fuente: TIA

79 Eliminación Calor TIER 1 TIER 2 TIER 3 TIER 4 Seco-enfriadores (si Seco enfriadores no Un Seco enfriadores Cantidad seco Cantidad seco enfriadores proce) redundantes redundante por sistema enfriadores suficiente para suficiente para mantener un 1 mantener un área crítica área crítica durante la perdida durante la perdida electricidad una fuente electricidad una fuente Circuito cerrado fluido Enfriadores fluido no Un Enfriador fluido Cantidad enfriadores Cantidad enfriadores Enfriadores (si proce) redundantes por sistema fluidos suficiente para fluidos suficiente para 2 mantener un área crítica mantener un área crítica durante la perdida durante la perdida electricidad una fuente electricidad una fuente Bombas circulación Bombas circulación Una Bomba Cantidad bombas Cantidad bombas no redundantes circulación redundante circulación suficiente para circulación suficiente para 2 por sistema mantener un área crítica mantener un área crítica durante la perdida durante la perdida electricidad una fuente electricidad una fuente 79

80 Sistema tuberías Sistema connsación Sistema connsación Sistema connsación Sistema connsación 3 agua con una única agua con una única agua con ruta acceso agua con ruta acceso dual. ruta acceso ruta acceso dual. Tabla 28: Subsistema Mecánico, Eliminación Calor Fuente: TIA

81 Sistema Agua Fría TIER 1 TIER 2 TIER 3 TIER 4 Cubierta terminales unidas aire Aires Un aire Cantidad aires Cantidad aires acondicionado acondicionados acondicionado acondicionados suficiente acondicionados 1 no redundantes redundante sistema por para mantener un área crítica durante la perdida suficiente para mantener un área crítica durante la electricidad una fuente perdida electricidad una fuente 2 Control humedad para el Centro Datos Humidificación provista Humidificación provista Humidificación provista Humidificación provista Servicio eléctrico a los equipos mecánicos Equipos AC con Equipos AC con Múltiples equipos AC con Múltiples equipos AC 3 una única ruta una única ruta una única ruta acceso con una única ruta acceso acceso acceso Tabla 29: Subsistema Mecánico, Sistema Agua Fría Fuente: TIA

82 Eliminación l Calor TIER 1 TIER 2 TIER 3 TIER 4 Sistema tuberías Sistema tuberías Sistema tuberías Sistema tuberías agua Sistema tuberías 1 agua fría agua fría connsación agua con una única ruta agua fría connsación agua con una única ruta fría connsación agua con rutas acceso dual agua fría connsación agua con rutas acceso acceso acceso dual Bombas circulación Bombas circulación Una Bomba circulación Cantidad bombas Cantidad bombas agua fría agua fría no redundantes agua fría redundante circulación agua fría circulación agua fría 2 por sistema suficiente para mantener un área crítica durante la perdida suficiente para mantener un área crítica durante la electricidad una fuente perdida electricidad una fuente Refrigeradores Refrigeradores Un refrigerador Cantidad refrigeradores Cantidad refrigeración por aire refrigeración por aire no refrigeración por aire refrigeración por aire refrigeradores redundantes redundante por sistema suficiente para mantener un refrigeración por aire 3 área crítica durante la perdida suficiente para mantener electricidad una fuente un área crítica durante la perdida electricidad una fuente 82

83 Enfriadores refrigerados Enfriadores refrigerados Un enfriador refrigerados Cantidad enfriadores Cantidad enfriadores por agua por agua no redundantes por agua redundante por refrigerados por agua refrigerados por agua 4 sistema suficiente para mantener un área crítica durante la perdida suficiente para mantener un área crítica durante la electricidad una fuente perdida electricidad una fuente Torres enfriamiento Torres enfriamiento no Una torre enfriamiento Cantidad Torres Cantidad Torres redundantes redundante por sistema enfriamiento suficiente para enfriamiento suficiente 5 mantener un área crítica durante la perdida para mantener un área crítica durante la perdida electricidad una fuente electricidad una fuente Connsadores bombas Connsadores bombas Un connsador Cantidad Connsadores Cantidad agua agua no redundantes bombas agua bombas agua suficiente Connsadores 6 redundante por sistema para mantener un área crítica durante la perdida bombas agua suficiente para mantener electricidad una fuente un área crítica durante la perdida electricidad 83

84 una fuente Sistema tuberías Sistema connsación Sistema connsación Sistema connsación Sistema connsación 7 connsadores agua agua con una única agua con una única agua con ruta acceso dual. agua con ruta ruta acceso ruta acceso acceso dual. Tabla 30: Subsistema Mecánico, Eliminación l Calor Fuente: TIA

85 Sistema refrigeración por aire TIER 1 TIER 2 TIER 3 TIER 4 Cubierta terminales unidas aire No aire Una unidad AC Cantidad unidas AC Cantidad unidas AC acondicionado y al aire libre acondicionados redundante por suficiente para mantener un suficiente para mantener 1 Connsadores redundantes área crítica área crítica durante la un área crítica durante la perdida electricidad perdida electricidad una fuente una fuente Servicio eléctrico a los equipos mecánicos Equipos AC con Equipos AC con Múltiples equipos AC con Múltiples equipos AC 2 una única ruta una única ruta una única ruta acceso con una única ruta acceso acceso acceso 3 Control humedad para el Centro Datos Humidificación provista Humidificación provista Humidificación provista Humidificación provista Tabla 31: Subsistema Mecánico, Sistema Refrigeración por aire Fuente: TIA

86 Sistema Control HVAC TIER 1 TIER 2 TIER 3 TIER 4 Sistema Control HVAC Falla en el Falla en el Falla en el sistema Falla en el sistema sistema control sistema control no interrumpirá el control no interrumpirá 1 interrumpirá enfriamiento el control interrumpirá no el enfriamiento las áreas críticas el enfriamiento las áreas críticas las áreas críticas enfriamiento las áreas críticas Fuente Por para el Sistema Control Electricidad para Electricidad Electricidad un UPS a los Electricidad un UPS a HVAC el sistema un UPS a los equipos AC redundantes los equipos AC 2 control HVAC equipos AC redundantes con una única ruta redundantes acceso Tabla 32: Subsistema Mecánico, Sistema Control HVAC Fuente: TIA

87 Sistema Tuberías (para la eliminación l calor) TIER 1 TIER 2 TIER 3 TIER 4 Fuentes duales para arreglar el agua Fuente agua Fuente agua Fuente agua dual, o una Fuente agua dual, o única, sin dual, o una fuente + respaldo en el lugar una fuente + respaldo en 1 respaldo en el lugar fuente + respaldo en el almacenamiento. el lugar almacenamiento. almacenamiento. lugar almacenamiento. 2 Puntos conexión para el sistema connsación l agua Un único punto conexión Un único punto conexión Dos punto conexión Dos punto conexión Tabla 33: Subsistema Mecánico, Sistema Tuberías Fuente: TIA

88 Sistema combustible aceite TIER 1 TIER 2 TIER 3 TIER 4 Tanques almacenamiento Tanque Múltiples Múltiples tanques Múltiples tanques 1 almacenamiento tanques almacenamiento almacenamiento almacenamiento Las bombas l tanque almacenamiento y Una Bomba y/o Múltiples Múltiples Bombas, Múltiples Bombas, 2 tuberías un tubo provisiones Bombas, múltiples tubos múltiples tubos provisiones múltiples tubos provisiones provisiones Tabla 34: Subsistema Mecánico, Sistema Combustible Aceite Fuente: TIA

89 Supresión Fuego TIER 1 TIER 2 TIER 3 TIER 4 1 Sistema tección fuego No Si Si Si 2 Sistema rociadores contra incendios Cuando sea Pre-Acción Pre-Acción (cuando Pre-Acción (cuando requerido (cuando requerido) requerido) requerido) 3 Sistema supresión gaseosa No No Agentes limpios listados en la NFPA 2001 Agentes limpios listados en la NFPA Sistema aviso temprano tección humo No Si Si Si 5 Sistemas tección fugas agua No Si Si Si Tabla 35: Subsistema Mecánico, Supresión Fuego Fuente: TIA

90 Subsistema Telecomunicaciones General Selección Sitio TIER 1 TIER 2 TIER 3 TIER 4 1 Cableado, racks, gabinetes y vías cumplen con las especificaciones la TIA. Si Si Si Si 2 Entradas proveedor accesos encaminadas diversamente y agujeros mantenimiento con un mínimo separación 20m. No Si Si Si 3 Proveedor servicios acceso redundante, proveedores acceso múltiple, oficinas centrales, proveedor accesos rechos vía. No No Si Si 4 Entrada al cuarto secundaria No No Si Si 5 Área distribución secundaria No No No Opcional 6 Rutas Backbone redundantes No No Si Si 7 Cableado horizontal redundante No No No Opcional 8 Los routers y switches tienen suministro por redundante y procesadores No Si Si Si 90

91 9 Múltiples routers y switches para redundancia No No Si Si 10 Paneles, tomacorrientes y cableado parchados y etiquetados por ANSI/TIA/EIA-606-A y el anexo B este estándar. Gabinetes y racks etiquetados en el frente y la parte posterior. Si Si Si Si 11 Cordones y jumpers parcheados y etiquetados en ambos lados con el nombre la conexión en ambos lados. No Si Si Si 12 Documentación cumplimiento con ANSI/TIA/EIA-606-A y el anexo B este estándar para el parcheado los paneles y el parcheado los cables. No No Si Si Tabla 36: Subsistema Telecomunicaciones, General Fuente: TIA

92 Niveles calificación la evaluación Para por estandarizar los resultados la evaluación, se cidió crear una clasificación resultados, los cuales serán tallados a continuación. La evaluación tiene seis posibles resultados: TIER 1: Susceptibles a las interrupciones los dos previstos y actividad no planificada un único camino por el por y la distribución refrigeración, no hay componentes redundantes (N) Pue o no tener un piso elevado, UPS o generador Toma 3 meses para implementación Tiempo inactividad anual 28,8 horas Debe ser cerrado por completo para realizar mantenimiento preventivo TIER 2: Menos susceptibles a la interrupción los dos previstos y actividad no planificada un único camino por el por y la interrupción refrigeración, incluye componentes redundantes (N +1) Incluye un piso falso, UPS y generadores Toma 3 a 6 meses para poner en práctica Tiempo inactividad anual 22,0 horas Mantenimiento la trayectoria alimentación y otras partes la infraestructura requieren un cierre procesamiento TIER 3: 92 Permite la actividad planificada sin interrumpir el equipo sucesos operación hardware, pero todavía no planificado causar una interrupción

93 Múltiples energía y las rutas distribución refrigeración, pero con sólo una ruta activa, incluye componentes redundantes (N +1) La implementación dura 15 a 20 meses Tiempo inactividad anual 1,6 horas Incluye un piso elevado y suficiente capacidad y distribución para llevar carga en una ruta, mientras que realizar el mantenimiento la otra. TIER 4: Actividad planificada no interrumpa la carga y los datos críticos centro pue sostener por lo menos un peor los casos no planificado evento sin impacto la carga crítica Potencia múltiples activos y las rutas distribución refrigeración, incluye componentes redundantes (2 (N +1), es cir, dos UPS cada uno con redundancia N +1) La implementación dura 15 a 20 meses. Tiempo inactividad anual 0,4 horas NO APLICA: Este resultado aplica cuando no se pue evaluar porque el centro datos evaluado no cuenta con la característica que se evaluarán. NO CUMPLE: Este resultado aplica cuando el TIER1 tiene parámetros específicos. La evaluación cada subsistema se llevó a cabo forma inpendiente con el objetivo no mezclar los resultados y que la evaluación cada subsistema sea lo más real y sincera posible. La metodología evaluación se he nominado "El menor arrastra a todos", esta metodología consiste en calificar cada una las sugerencias l 93

94 estándar TIA, asignándole la calificación correspondiente según los tipos resultados y el resultado final cada subsistema es el menor todos. 94

95 Resultados la Evaluación Consirando únicamente la clasificación sarrollada en el proyecto, el resultado la evaluación es: ID A EVALUAR CATEGORIA SUBCATEGORIA RESULTADO Proximidad al área peligro inundación como Arquitectónico Selección sitio 1 en un mapa feral límites riesgo inundación o mapa tasas seguro Tier 2 inundación 2 Proximidad con vías agua costera Arquitectónico Selección sitio Tier 2 3 Proximidad con arterias mayor tráfico Arquitectónico Selección sitio Tier 2 4 Proximidad con aeropuertos Arquitectónico Selección sitio Tier 2 5 Proximidad con una gran área metropolitana Arquitectónico Selección sitio Tier 2 6 División las áreas estacionamiento los visitantes con los empleados Arquitectónico Aparcamiento Tier 2 7 Separados los muelles carga Arquitectónico Aparcamiento Tier 2 95

96 Proximidad l estacionamiento los visitantes Arquitectónico Aparcamiento 8 hacia las pares perimetrales l edificio l data Tier 2 center 9 Número inquilinos ntro l edificio Arquitectónico Aparcamiento Tier 2 10 Tipo construcción Arquitectónico Construcción l edificio Tier 2 11 Muros exteriores Arquitectónico Requerimientos resistividad al fuego Tier 2 12 Muros interiores Arquitectónico Requerimientos resistividad al fuego Tier 2 13 Muros no portantes exteriores Arquitectónico Requerimientos resistividad al fuego Tier 2 14 Marco estructural Arquitectónico Requerimientos resistividad al fuego Tier 2 15 Tabiques al interior lo que no es la sala computadoras Arquitectónico Requerimientos resistividad al fuego Tier 2 96

97 16 Tabiques al interior la sala computadoras Arquitectónico Requerimientos resistividad al fuego Tier 2 17 Ejes cajas Arquitectónico Requerimientos resistividad al fuego Tier 2 18 Pisos y techos planta Arquitectónico Requerimientos resistividad al fuego Tier 2 19 Techos y cubiertas techos Arquitectónico Requerimientos resistividad al fuego Tier 2 20 Cumple con los requisitos l NFPA75 Arquitectónico Requerimientos resistividad al fuego Tier 1 21 Barreras vapor para los muros y techo la sala computadores Arquitectónico Componentes l edificio Tier 1 22 Múltiples entradas al edificio con controles seguridad Arquitectónico Componentes l edificio Tier 2 23 Piso la construcción l panel Arquitectónico Componentes l edificio Tier 2 97

98 24 Bajo la estructura Arquitectónico Componentes l edificio Tier 2 25 Construcción los techos Arquitectónico Techos ntro las salas computadoras Tier 2 26 Altura l techo Arquitectónico Componentes l edificio Tier 1 27 Clase Arquitectónico Material para techos Tier 4 28 Tipo Arquitectónico Material para techos Tier 2 29 Resistencia al levantamiento l viento Arquitectónico Material para techos Tier 1 30 Azotea a cuestas Arquitectónico Material para techos No aplica 31 Ratio fuego f Arquitectónico Puertas y ventanas Tier 2 32 Tamaño la puerta Arquitectónico Puertas y ventanas Tier 2 33 Dispositivo seguridad unipersonal, portal o algún otro hardware signado para prevenir que se cuelguen Arquitectónico Puertas y ventanas Tier 1 98

99 34 No hay ventanas exteriores en el perímetro la sala computadoras Arquitectónico Puertas y ventanas Tier 2 35 Construcción provee protección contra la radiación electromagnética Arquitectónico Puertas y ventanas Tier 2 36 Vestíbulo entrada Arquitectónico Puertas y ventanas Tier 1 37 Separado físicamente otras áreas l centro datos Arquitectónico Puertas y ventanas Tier 1 38 Separación fuego otras áreas l centro datos Arquitectónico Puertas y ventanas Tier 2 39 Counter seguridad Arquitectónico Puertas y ventanas Tier 2 Dispositivo seguridad unipersonal, portal o algún Arquitectónico Puertas y ventanas 40 otro hardware signado para prevenir que se Tier 2 cuelguen 41 Separado físicamente otras áreas l centro datos Arquitectónico Oficinas administrativas Tier 1 99

100 42 Separación fuego otras áreas l centro datos Arquitectónico Oficinas administrativas Tier 2 43 Separado físicamente otras áreas l centro datos Arquitectónico Oficina seguridad Tier 1 44 Separación fuego otras áreas l centro datos Arquitectónico Oficina seguridad Tier 1 45 Mirillas 180 grados en el equipo seguridad y cuartos monitoreo Arquitectónico Oficina seguridad Tier 1 Equipos seguridad y cuartos monitoreo con Arquitectónico Oficina seguridad 46 16mm (5/8 in) mara contrachapada (excepto don la resistencia a balas es recomendada o Tier 1 requerida) 47 Cuarto seguridad dicado para el equipo seguridad y vigilancia Arquitectónico Oficina seguridad Tier 2 48 Separado físicamente otras áreas l centro datos Arquitectónico Centro operaciones Tier 2 100

101 49 Separación fuego otras áreas l centro datos Arquitectónico Centro operaciones Tier 2 50 Proximidad con la sala computadoras Arquitectónico Centro operaciones Tier 2 51 Proximidad con la sala computadoras y áreas soporte Arquitectónico Baños y áreas scanso Tier 2 52 Separación fuego otras áreas l centro datos y áreas soporte Arquitectónico Baños y áreas scanso Tier 2 53 Ancho los pasillos para el mantenimiento, reparación o eliminación equipos Arquitectónico Ups y sala baterías Tier 2 54 Proximidad con la sala computadoras Arquitectónico Ups y sala baterías Tier 2 55 Separación fuego otras áreas l centro datos y áreas soporte Arquitectónico Ups y sala baterías Tier 2 56 Separación fuego otras áreas l centro datos y áreas soporte Arquitectónico Corredores requeridos salida Tier 2 57 Ancho Arquitectónico Corredores requeridos Tier 2 101

102 salida 58 Área envíos y recibimientos Arquitectónico Corredores requeridos salida Tier 1 59 Separado físicamente otras áreas l centro datos Arquitectónico Corredores requeridos salida Tier 1 60 Separación fuego otras áreas l centro datos Arquitectónico Corredores requeridos salida Tier 2 61 Protección física los muros expuestas al levantamiento equipo tráfico Arquitectónico Corredores requeridos salida Tier 2 62 Número muelles carga Arquitectónico Corredores requeridos salida Tier 1 63 Muelles carga separados las áreas aparcamiento Arquitectónico Corredores requeridos salida Tier 2 64 Counter seguridad Arquitectónico Corredores requeridos salida Tier 2 102

103 Proximidad con la sala computadoras y áreas Arquitectónico Generador y áreas 65 soporte almacenamiento Tier 2 combustible 66 Proximidad a áreas acceso al público Arquitectónico Generador y áreas almacenamiento combustible Tier 2 67 Capacidad l ups l CPU l sistema Arquitectónico Seguridad Tier 1 68 Capacidad l ups los paneles recopilación datos (paneles campo) Arquitectónico Seguridad Tier 1 69 Capacidad l ups l dispositivo campo Arquitectónico Seguridad Tier 1 70 Staff seguridad por turno Arquitectónico Seguridad Tier 1 71 Generadores Arquitectónico Control, monitoreo y accesos seguridad Tier 1 72 Ups, teléfonos y cuartos. Arquitectónico Control, monitoreo y accesos seguridad Tier 1 103

104 73 Bóvedas fibra Arquitectónico Control, monitoreo y accesos seguridad Tier 1 74 Puertas salida emergencia Arquitectónico Control, monitoreo y accesos seguridad Tier 1 75 Ventana/apertura accesible s el exterior Arquitectónico Control, monitoreo y accesos seguridad Tier 1 76 Centro operaciones seguridad Arquitectónico Control, monitoreo y accesos seguridad Tier 2 77 Centro operaciones red Arquitectónico Control, monitoreo y accesos seguridad Tier 2 78 Cuartos equipos seguridad Arquitectónico Control, monitoreo y accesos seguridad Tier 1 79 Puertas en cuartos cómputo Arquitectónico Control, monitoreo y accesos seguridad Tier 1 80 Puertas perímetro l edificio Arquitectónico Control, monitoreo y Tier 1 104

105 accesos seguridad 81 Puerta l vestíbulo hacia el piso Arquitectónico Control, monitoreo y accesos seguridad Tier 1 82 Counter seguridad en el vestíbulo Arquitectónico Muros, ventanas y puertas resistentes a balas Tier 2 83 Counter seguridad en envíos y recepción Arquitectónico Muros, ventanas y puertas resistentes a balas Tier 3 84 Perímetro l edificio y aparcamiento Arquitectónico Monitoreo CCTV Tier 2 85 Generadores Arquitectónico Monitoreo CCTV Tier 2 86 Puertas acceso controladas Arquitectónico Monitoreo CCTV Tier 1 87 Pisos cuarto computo Arquitectónico Monitoreo CCTV Tier 2 88 Ups, teléfonos y cuartos. Arquitectónico Monitoreo CCTV Tier 2 89 Grabación CCTV todas las actividas en todas las cámaras Arquitectónico Ctv. Tier 2 105

106 90 Ratio grabación (frames por segundo) Arquitectónico Ctv. Tier 2 91 Zona sísmica Arquitectónico Estructural Tier 4 92 Instalación signada para los requerimientos zona sísmica Arquitectónico Estructural Tier 3 93 Espectro respuesta sísmicas locales - grados aceleraciones Arquitectónico Estructural Tier 2 94 Factor importancia Arquitectónico Estructural Tier 1 Equipo telecomunicaciones gabinetes/racks Arquitectónico Estructural 95 anclados a la base o soportada en la parte superior y Tier 1 base Limitaciones flexión en los equipos Arquitectónico Estructural 96 telecomunicaciones ntro los límites aceptables Tier 2 por los accesorios eléctricos 97 Deterioro los recorridos los conductos eléctricos y las banjas los cables Arquitectónico Estructural Tier 1 106

107 98 Deterioro l recorrido l mayor sistema mecánico Arquitectónico Estructural Tier 1 99 Capacidad l piso carga superimpuesta en carga viva Arquitectónico Estructural Tier Capacidad colgante l piso para cargas auxiliares suspendidas s abajo Arquitectónico Estructural Tier Grosor la losa concreto Arquitectónico Estructural Tier 1 Mezcla concreto sobre las flautas los pisos Arquitectónico Estructural 102 elevados afecta al tamaño l ancla que se pueda Tier 1 instalar 103 Lfrs l edificio que indique splazamiento la estructura Arquitectónico Estructural Tier Disipación la energía l edificio - pasivo (absorción energía) Arquitectónico Estructural Tier 2 107

108 Ups/batería vs composición l edificio. Pisos Arquitectónico Estructural 105 concreto son más difíciles mejorar para cargas intensas. Enmarcados acero con cubierta Tier 1 metal y llenado mucho más sencillo mejorar 106 Enmarcados acero y llenado Arquitectónico Estructural Tier Cableado, racks, gabinetes y vías cumplen con las especificaciones la TIA. Telecomunicaciones Selección sitio No cumple Entradas proveedor accesos encaminadas Telecomunicaciones Selección sitio 108 diversamente y agujeros mantenimiento con un Tier 1 mínimo separación 20m. Proveedor servicios acceso redundante, Telecomunicaciones Selección sitio 109 proveedores acceso múltiple, oficinas centrales, No aplica proveedor accesos rechos vía. 110 Entrada al cuarto secundaria Telecomunicaciones Selección sitio Tier Área distribución secundaria Telecomunicaciones Selección sitio Tier 3 108

109 112 Rutas backbone redundantes Telecomunicaciones Selección sitio Tier Cableado horizontal redundante Telecomunicaciones Selección sitio Tier Los routers y switches tienen suministro por redundante y procesadores Telecomunicaciones Selección sitio Tier Múltiples routers y switches para redundancia Telecomunicaciones Selección sitio Tier 2 Paneles, tomacorrientes y cableado parchados y Telecomunicaciones Selección sitio 116 etiquetados por ANSI/TIA/eia-606-a y el anexo b este estándar. Gabinetes y racks etiquetados en el No cumple frente y la parte posterior. Cordones y jumpers parcheados y etiquetados en Telecomunicaciones Selección sitio 117 ambos lados con el nombre la conexión en No cumple ambos lados. Documentación cumplimiento con Telecomunicaciones Selección sitio 118 ANSI/TIA/eia-606-a y el anexo b este estándar para el parcheado los paneles y el parcheado Tier 2 los cables. 109

110 Enrutamiento agua o tubería drenaje no estén Sistema mecánico Selección sitio 119 asociadas con los equipos l centro datos en los Tier 4 espacios l data center La presión es positiva en el ambiente Sistema mecánico Selección sitio 120 computadoras y espacios asociados, en relación con el exterior y otros ambientes que no pertenezcan al Tier 4 centro datos Desagües piso para el agua connsada, la l Sistema mecánico Selección sitio 121 humidificador agua lavatorios y aspersores No aplica agua en el data center. 122 Sistemas mecánicos en generadores standby Sistema mecánico Selección sitio Tier Terminales ntro l data center unidas aire acondicionado Sistema mecánico Sistema refrigeración por agua Tier Control humedad para el centro datos Sistema mecánico Sistema refrigeración por agua No cumple 125 Servicio eléctrico a los equipos mecánicos Sistema mecánico Sistema refrigeración Tier 2 110

111 por agua 126 Dry-coolers (si aplica) Sistema mecánico Eliminación calor1 No aplica 127 Closed-circuit fluid coolers (en caso aplique) Sistema mecánico Eliminación calor1 No aplica 128 Bombas circulación Sistema mecánico Eliminación calor1 No aplica 129 Sistema tuberías Sistema mecánico Eliminación calor1 No aplica 130 Terminales unidas aire acondicionado ntro l data center Sistema mecánico Sistema agua fría Tier Control humedad para el centro datos Sistema mecánico Sistema agua fría No cumple 132 Servicio eléctrico a los equipos mecánicos Sistema mecánico Sistema agua fría No aplica 133 Sistema tuberías agua fría Sistema mecánico Eliminación calor2 No aplica 134 Bombas circulación agua fría Sistema mecánico Eliminación calor2 No aplica 135 Enfriadoras Sistema mecánico Eliminación calor2 No aplica 136 Enfriadores refrigerados por agua Sistema mecánico Eliminación calor2 No aplica 111

112 137 Torres enfriamiento Sistema mecánico Eliminación calor2 No aplica 138 Connsadores bombas agua Sistema mecánico Eliminación calor2 Tier Sistema tuberías connsadores agua Sistema mecánico Eliminación calor2 Tier Unidas aire acondicionado al aire libre e internas Sistema mecánico Sistema refrigeración por aire Tier Servicio eléctrico a los equipos mecánicos Sistema mecánico Sistema refrigeración por aire Tier Control humedad para el centro datos Sistema mecánico Sistema refrigeración por aire No aplica 143 Sistema control HVAC Sistema mecánico Sistema control HVAC No cumple 144 Fuente por para el sistema control HVAC Sistema mecánico Sistema control HVAC No cumple 145 Fuentes duales para el agua aporte Sistema mecánico Sistema tuberías No aplica 146 Puntos conexión para el sistema connsación l agua Sistema mecánico Sistema tuberías No aplica 112

113 147 Estantes almacenamiento Sistema mecánico Sistema combustible aceite No aplica 148 Almacenamiento bombas y tuberías Sistema mecánico Sistema combustible aceite No aplica 149 Sistema tección fuego Sistema mecánico Supresión fuego Tier Sistema rociadores contra incendios Sistema mecánico Supresión fuego No aplica 151 Sistema supresión gaseosa Sistema mecánico Supresión fuego Tier Sistema aviso temprano tección humo Sistema mecánico Supresión fuego Tier Sistemas tección fugas agua Sistema mecánico Supresión fuego Tier Número rutas llegada/entrega. Eléctrico General Tier Línea amperaje. Eléctrico General Tier El sistema permite el mantenimiento concurrido. Eléctrico General Tier 2 113

114 157 Equipo cables alimentación las computadoras y equipos telecomunicaciones. Eléctrico General Tier 1 Todos los equipos l sistema eléctrico ben estar Eléctrico General 158 etiquetados con la certificación una prueba No cumple laboratorio terceros. 159 Puntos únicos fallo Eléctrico General Tier Sistema transferencia carga crítica Eléctrico General No cumple 161 Llave bypass Eléctrico General Tier Generadores l tamaño correcto acuerdo a la capacidad l ups instalado Eléctrico General No cumple 163 Capacidad l combustible l generador (a carga plena) Eléctrico General Tier Redundancia l ups Eléctrico Ups No cumple 165 Topología l ups Eléctrico Ups No cumple 114

115 166 Acuerdo mantenimiento rivación en el ups Eléctrico Ups No cumple 167 Nivel voltaje - distribución por l ups Eléctrico Ups No cumple 168 Tableros paneles - distribución l por l ups Eléctrico Ups No cumple 169 Todas las computadoras y equipos telecomunicaciones son alimentados con PDU's Eléctrico Ups No cumple 170 Transformadores k-factor instalados en PDU s Eléctrico Ups No cumple 171 Bus sincronización carga (lbs.) Eléctrico Ups No cumple 172 Componentes redundantes (ups) Eléctrico Ups No cumple El ups se encuentra separado en un panel Eléctrico Ups 173 distribución separado los equipos No cumple telecomunicaciones y computadoras. 174 Sistema protección iluminación Eléctrico Conexión a tierra No cumple 175 Terraje l generador y la entrada servicio cumple con la norma NEC Eléctrico Conexión a tierra Tier 4 115

116 Accesorios iluminación (277v) neutral, aislados Eléctrico Conexión a tierra 176 la entrada servicio rivados la iluminación l transformador para el aislador No cumple fallas tierra 177 La infraestructura la conexión a tierra l data center está ntro la sala computadoras. Eléctrico Conexión a tierra Tier 2 Activado por el sistema emergencia corte Eléctrico Conexión a tierra 178 energía (EPO) en las salidas apagando solo al No cumple sistema telecomunicaciones y computadoras. 179 El supresor fuego automático se libera spués l apagado l sistema telecomunicaciones Eléctrico Conexión a tierra No cumple Sistema alarma fuego la segunda zona se Eléctrico Conexión a tierra 180 activa con el apagado l sistema emergencia Tier 3 corte energía (EPO) forma manual 181 El control maestro sconecta baterías y libera un supresor s una estación atendida 24/7 Eléctrico Conexión a tierra Tier 3 116

117 Activado por los botones l sistema emergencia Eléctrico Sistemas emergencia 182 corte energía (EPO) en las salidas con corte energía (EPO) No cumple liberación un supresor manual Se libera el supresor fuego para el sistema Eléctrico Sistemas emergencia 183 zonas únicas spués l apagado l sistema corte energía (EPO) No cumple emergencias corte energía Activación l sistema alarma fuego en la Eléctrico Sistemas emergencia 184 segunda zona. Desconecta las baterías en la primera zona con la liberación l supresor en la segunda corte energía (EPO) No cumple zona. 185 El control maestro sconecta baterías y libera un supresor s una estación atendida 24/7 Eléctrico Sistemas emergencia corte energía (EPO) Tier Apagado l por los recipientes l ups en el área la sala computadoras. Eléctrico Sistemas emergencia corte energía (EPO) No cumple 187 Apagado corriente AC para cracs y enfriadores Eléctrico Sistemas emergencia corte energía (EPO) No cumple 117

118 188 Cumplimiento l código local (eje. Sistemas separados para el ups y HVAC) Eléctrico Sistemas emergencia corte energía (EPO) No cumple 189 Desplegado localmente en el ups Eléctrico Monitoreo l sistema No cumple 190 Interface con el BMS Eléctrico Monitoreo l sistema Tier Control remoto Eléctrico Monitoreo l sistema Tier Mensaje texto automático para el servicio localización ingenieros Eléctrico Monitoreo l sistema Tier Mensaje texto automático para el servicio localización ingenieros Eléctrico Monitoreo l sistema Tier Cana baterías comunes para todos los módulos Eléctrico Configuración la batería No cumple 195 Una cana batería para c/módulo Eléctrico Configuración la batería No cumple 196 Tiempo espera mínimo para la carga plena Eléctrico Configuración la batería No cumple 197 Tipo batería Eléctrico Configuración la batería No cumple 118

119 198 Montaje Eléctrico Baterías tipo inundado No cumple 199 Placas envoltura Eléctrico Baterías tipo inundado No cumple 200 Contenedores rrame ácido instalados Eléctrico Baterías tipo inundado No cumple 201 Pruebas batería a carga plena / horarios inspección Eléctrico Baterías tipo inundado No cumple 202 Separado los cuartos los equipos ups y celdas Eléctrico Sala baterías No cumple 203 Las canas individuales baterías están aisladas uno con otro Eléctrico Sala baterías No cumple 204 Vista a través vidrio inastillable en la puerta la sala baterías. Eléctrico Sala baterías No cumple 205 Las sconexiones las baterías se localizan fuera la sala baterías Eléctrico Sala baterías No cumple 206 Sistema monitoreo baterías Eléctrico Sala baterías No cumple 207 Unidas encerradas separadas por las pares Eléctrico Sistema cajas l ups rotador (con generadores No cumple 119

120 nominales fuego diésel) 208 Tanques combustibles en el exterior Eléctrico Sistema cajas l ups rotador (con generadores diésel) No cumple Tanques combustibles en la misma sala que las Eléctrico Sistema cajas l ups 209 unidas rotador (con generadores No cumple diésel) 210 Tamaño l generador Eléctrico Sistema generación standby Tier Generadores en un único bus Eléctrico Sistema generación standby Tier Un único generador por sistema con (1) generador repuesto Eléctrico Sistema generación standby Tier Protección falla tierra individual 83 ft. (pies) para c/generador Eléctrico Sistema generación standby No aplica 120

121 214 Pruebas a los módulos l ups Eléctrico Pruebas para el banco cargas No cumple 215 Pruebas los generadores Eléctrico Pruebas para el banco cargas Tier Pruebas al ups y generadores simultáneamente Eléctrico Pruebas para el banco cargas No cumple 217 Llave bypass l ups Eléctrico Pruebas para el banco cargas No cumple 218 Equipos instalados permanentemente Eléctrico Pruebas para el banco cargas Tier Staff mantenimiento Eléctrico Mantenimiento los equipos Tier Mantenimiento preventivo Eléctrico Mantenimiento los equipos Tier Programas formación con instituciones Eléctrico Mantenimiento los Tier 2 121

122 equipos Tabla 37: Resultado la Evaluación Física Fuente: Evaluación Propia 122

123 Interpretación Resultados Al momento analizar los resultados evaluación a nivel global se obtiene el siguiente resultado: Evaluación Data Center Sistemas-Software Total TIER 1 52 TIER 2 79 TIER 3 12 TIER 4 8 NO APLICA 20 NO CUMPLE 50 TIER 1 TIER 2 TIER 3 TIER 4 NO APLICA NO CUMPLE Imagen 10: Evaluación Data Center Sistemas - Software 1 Fuente: Elaboración Propia Este gráfico muestra que el gran porcentaje sugerencias brindadas por el checklist se encuentran en el nivel "TIER2", especialmente en el subsistema arquitectónico ya que el centro datos ha cubierto gran parte las sugerencias consiradas como críticas para este subsistema. Asimismo, el alto número sugerencias que se encuentran ntro la categoría "No Cumple" se be a que el centro datos no cumple con las características mínimas para ser evaluado como TIER1, en el subsistema eléctrico es don se presenta el alto porcentaje "No Cumple" ya que inclusive el nivel más bajo tiene requerimientos. Por otro lado, si se realiza la evaluación por cada subsistema finido en esta memoria se obtiene el siguiente resultado: 123

124 Evaluación Data Center Sistemas-Software por Subsistema ARQUITECTÓNICO ELÉCTRICO SISTEMA MECÁNICO TELECOMUNICACIONES TIER TIER TIER TIER NO APLICA NO CUMPLE TIER 1 TIER 2 TIER 3 TIER 4 NO APLICA NO CUMPLE Imagen 11: Evaluación Data Center Sistemas Software 2 Fuente: Elaboración Propia Al interpretar los resultados la evaluación se evincia que todos los subsistemas tienen por lo menos una sugerencia en nivel TIER1 lo cual hace que el resultado global la evaluación para el centro datos la carrera sea TIER1. Al mismo tiempo, cada subsistema tiene como resultado TIER1 puesto que es la menor calificación alcanzada por cada uno. Si se consiran los resultados esta evaluación a talle, se puen diseñar las políticas y recomendaciones que ayudarán a superar la calificación TIER1 para cada subsistema, logrando esta forma que el centro datos se encuentre en TIER2. La estrategia a seguir para cada uno los subsistemas es el levantar las observaciones calificadas como TIER1, No Aplica y No Cumple que se encuentren ntro l alcance l proyecto, para lograr esto se ha establecido una política que cubrirá las onces grans directrices sugeridos por la NTP

125 Para cubrir las ficiencias encontradas se berían comprar e implementar las siguientes recomendaciones. Recomendación Tipo Costo aproximado Puerta Contrafuego / Barra Anti pánico Seguridad Física $1,600 Staff seguridad (turno) Seguridad Física $1,000 (mensual) Sistema Biométrico Seguridad Física $700 2 Gabinetes Seguridad Física $4,000 Medidor Temperatura y Humedad Seguridad Física $150 Aire Acondicionado precisión (Liebert, Emerson) Seguridad Física $25,000 Estantes almacenamiento Seguridad Física $200 Sistema Rociadores contra incendios (FM tectores marca Vesda) Seguridad Física $30,000 Sistemas tección fugas agua Seguridad Física $1,500 Certificación los equipos Seguridad Física $3,000 Generadores l tamaño correcto acuerdo a la capacidad l UPS instalado Seguridad Física $30,000 Tableros Paneles distribución por l UPS Seguridad Física $3,500 UPS (2x2kva) Seguridad Física $4,000 Tabla 38: Recomendaciones Adquisiciones a Nivel Físico 125

126 Fuente: Elaboración Propia Procesos la gestión la seguridad física Definición Procesos: Gestión Evaluación Seguridad. Propósito l Proceso El propósito l proceso Gestión Evaluación Seguridad es terminar cuál es el procedimiento acuado para llevar a cabo las pruebas seguridad al interior las instalaciones l centro datos y terminar si surgen nuevas incincias en el centro datos. Descripción El proceso Gestión Evaluación Seguridad inicia cada segunda semana cada trimestre l ciclo académico. Es en este momento que el Seguridad revisa su manual funciones y revisa el talle l proceso aquí scrito para terminar cuál es el flujo acuado para llevar a cabo la evaluación l centro datos según el checklist. El alcance las pruebas se limita únicamente a los componentes que se encuentren ntro l centro datos la carrera Ingeniería Sistemas Información. Las pruebas que se llevarán a cabo han sido terminadas mediante un análisis seguridad y en estas se ben obtener los siguientes indicadores: Número nuevos incintes. Número incintes repetitivos. Número incintes tectados. Número modificaciones en el checklist Al final proceso el Seguridad se encarga notificar al General IT-Expert sobre las nuevas incincias encontradas para que esté al tanto las mismas y los posibles riesgos inherentes a estas fallas. 126

127 Roles Roles Seguridad Proyectos y Recursos IT-Expert Descripción Encargado gestionar y supervisar todo lo relacionado a Seguridad ntro l Centro Cómputo. Es la persona encargada administrar los servidores l centro cómputo, realizar seguimiento a los proyectos la empresa y atenr solicitus servicios TI las empresas virtuales. Encargado monitorear el avance y la presentación los entregables, amás realizar las coordinaciones necesarias entre el Jefe Proyecto y el Comité Proyectos. Entradas l Proceso Entrada Descripción Encargado Elaboración Salidas l Proceso Salida Descripción Encargado Elaboración Acciones tomadas El Seguridad toma acciones en base al informe consolidado enviado a los s IT-Expert y Capstone. Seguridad 127

128 Caracterización Entrada Actividad Salida Descripción Responsable Manual Oficial Seguridad. 1 - Inicio Checklist Seguridad Físico. El proceso inicia cada segunda semana l ciclo académico. Seguridad Checklist Seguridad Lógico. Manual Manual 2 Oficial Seguridad. Checklist Seguridad Físico. Revisar el manual l Oficial Seguridad Oficial Seguridad. Checklist Seguridad Físico. El gerente seguridad revisa el manual sus funciones para terminar cómo se ben realizar las evaluaciones que se sarrollaran a continuación. Seguridad Checklist Checklist Seguridad Seguridad 128

129 Lógico. Lógico. Checklist Checklist 3 Seguridad Físico. Checklist Seguridad Checklist coherente Seguridad Físico. Checklist Seguridad Se analiza si el checklist seguridad físico o lógico es coherente con el estado l centro datos. Seguridad Lógico. Lógico. Checklist Checklist 4 Seguridad Físico. Checklist Seguridad Actualizar checklist Seguridad Físico. Checklist Seguridad En caso no se encuentre actualizado el checklist con las nuevas incincias o actualizaciones los diversos estándares usados. Seguridad Lógico. Lógico. Checklist Checklist 5 Seguridad Físico. Checklist Verificar tipo Seguridad Seguridad Físico. Checklist Esta actividad sirve para terminar cuál es el tipo evaluación que se sea realizar según manual. Seguridad Seguridad Seguridad 129

130 Lógico. Lógico. 6 Checklist Seguridad Físico. Evaluar Seguridad Física Informe Evaluación El gerente seguridad se encarga llevar a cabo las pruebas con el objetivo generar el reporte evaluación. Seguridad 7 Checklist Seguridad Lógico. Evaluar Seguridad Lógica Informe Evaluación El gerente seguridad se encarga llevar a cabo las pruebas con el objetivo generar el reporte evaluación. Seguridad 8 Informe Evaluación Generar Físico Informe Informe Evaluación Esta actividad genera el reporte la evaluación seguridad a nivel físico. Seguridad 9 Informe Evaluación Generar Lógico Informe Informe Evaluación Esta actividad genera el reporte la evaluación seguridad a nivel lógico. Seguridad 10 Informe Evaluación Consolidar Enviar informes y Informe Evaluación Esta actividad sirve para terminar consolidar todos los documentos necesarios para informar al Seguridad Proyectos y Recursos el estado la 130

131 evaluación. 11 Informe Evaluación Recibir y Reenviar Informe Consolidado Informe Evaluación El Proyectos y Recursos recibe el informe consolidado y se lo reenvía al la empresa virtual IT-Expert. Proyectos Recursos y El la empresa virtual IT- 12 Informe Evaluación Revisar y brindar VoBo Informe Evaluación Expert revisa y verifica que el informe sea coherente y se hayan consirados Expert IT- todos los activos l centro datos. 13 Informe Evaluación Incoherente Solicitar correcciones Informe Evaluación Incoherente El IT-Expert solicita la revisión y posible re-evaluación l centro datos. Expert IT- 14 Informe Evaluación Incoherente Recibir y Reenviar correcciones Informe Evaluación Incoherente El Proyectos y Recursos recibe y reenvía el informe al Seguridad para que este vuelva a realizar s u informe. Proyectos Recursos y 15 Informe Evaluación Enviar Consolidado Informe Informe Evaluación El IT-Expert envía el informe al las Empresas Virtuales. Expert IT- 131

132 16 Informe Evaluación Revisar Informe Informe Evaluación El las empresas virtuales revisa el informe. Capstone 17 Informe Evaluación Enviar Comentarios Acciones tomar a El las empresas virtuales envía las acciones a tomar al IT-Expert. Capstone 18 Acciones tomar a Recepcionar y Enviar Acciones a Tomar Acciones tomar a El IT-Expert recepciona y envía las observaciones y acciones a tomar al Proyectos y Recursos. Expert IT- 19 Acciones tomar a Recibir y Reenviar Acciones a tomar Acciones tomar a Proyectos y Recursos la empresa IT-Expert recibe y reenviar el documento con las acciones a tomar al Seguridad. Proyectos Recursos. y 20 Acciones tomar a Recibir Acciones a tomar Acciones tomadas El recibe las acciones a tomar y realiza la tarea indicada según el documento. Seguridad 132

133 21 Acciones tomadas Fin - Finaliza el proceso con el Seguridad luego haber tomado acabo las acciones mencionadas. Seguridad Tabla 39: Gestión Evaluación Seguridad Fuente: Elaboración Propia 133

134 Diagrama l Proceso Imagen 12: Gestión Evaluación Seguridad Fuente: Elaboración Propia 134

135 Definición Procesos: Control ingresos Propósito l Proceso El propósito l proceso Control Ingresos es controlar las entradas tanto solicitantes con permisos o sin permisos asegurando la integridad, disponibilidad y confincialidad. Se basa en las políticas finidas para la gestión la seguridad física y lógica. Finalmente, este proceso es clave para mantener protegido daños y robos al centro datos la carrera. Descripción El proceso Control Ingresos se inicia cuando un solicitante sea alumno, operador o visitante requiere ingresar al centro datos a realizar alguna actividad y genera la solicitud a través Recursos. El gerente seguridad turno be asegurarse que los ingresantes al centro datos cumplan con ciertos requisitos pendiendo si tienen permisos ingreso o no, como por ejemplo, presentación DNI/TIU, presentación permiso autorización ingreso y presentación permiso ingreso dispositivos tecnológicos. Roles Roles Área Funcional Descripción Seguridad IT-Expert Encargado l centro datos la carrera. Vela por la seguridad éste. Entradas l Proceso Entrada Descripción Encargado Elaboración Solicitud ingreso al Centro Datos Nace la necesidad ingresar al centro datos a realizar alguna actividad por lo que el solicitante envía una solicitud que es revisada por el supervisor turno l centro datos. Seguridad 135

136 Salidas l Proceso Salida Descripción Encargado Elaboración Este documento contiene el talle los Registro Ingresos ingresos al centro datos por día, hora, nombre, documento intidad, tipo ingresante, si contó con permisos ingreso Seguridad dispositivos tecnológicos, el talle estos. 136

137 Caracterización Entrada Actividad Salida Descripción Responsable 1 - Inicio Solicitud ingreso al Centro Datos Un recurso otra empresa solicita ingresar al centro datos la carrera. Seguridad 2 Pedido ingreso al Centro Datos Ingresar solicitud Ingreso Solicitud ingreso al Centro Datos Los responsables algún proyecto sarrollado en otra empresa virtual le hacen llegar a su Recursos un pedido ingreso al centro datos, éste lo valida y genera la solicitud. Recursos 3 Solicitud ingreso al Centro Datos Revisar Solicitud Ingreso Solicitud ingreso al Centro Datos recibida El supervisor l Centro Datos se encarga Revisarla solicitud. Seguridad 4 Solicitud ingreso al Centro Datos recibida Revisar documentación Solicitud ingreso al Centro Datos revisada El supervisor revisa la documentación l solicitante. Seguridad 137

138 No contó con la 5 Solicitud ingreso al Centro Datos revisada Validar documentación documentación requerida. Contó con la documentación El supervisor revisar la documentación, asegurándose que esta pertenece efectivamente al solicitante. Seguridad requerida 6 No contó con la documentación requerida. Cancelación -- En caso la documentación no era la requerida se da por terminado el proceso. Seguridad 7 Contó con la documentación requerida Solicitar dispositivos tecnológicos Dispositivos tecnológicos solicitados Después validar la documentación, el supervisor, se encarga solicitar los dispositivos tecnológicos con los que cuenta el ingresante a fin evitar que se ingrese cualquier dispositivo no permitido. Seguridad 8 Dispositivos tecnológicos solicitados Validar permisos ingreso dispositivos tecnológicos No cuenta con permisos. Cuenta con permisos El supervisor revisa que tengo los permisos para ingresar con los dispositivos tecnológicos. Seguridad 138

139 En caso no cuente con permisos, el solicitante pue ingresar 9 No cuenta con permisos. Guardar dispositivos tecnológicos Dispositivos tecnológicos confiscados pero sin los dispositivos tecnológicos, por lo que el supervisor se encarga confiscarlos hasta el término la visita al centro datos. En esta actividad se podrá verificar el número dispositivos tecnológicos guardados (confiscados) al centro Seguridad datos forma diaria/semanal/mensual. En caso el solicitante cuente con permisos, se encarga 10 Cuenta permisos con Registrar dispositivos tecnológicos Dispositivos tecnológicos registrados registrar los dispositivos tecnológicos que están permitidos y que se están ingresando al centro datos. En esta actividad se podrá verificar el número dispositivos tecnológicos registrados Seguridad (ingresados) al centro datos forma diaria/semanal/mensual. Dispositivos 11 tecnológicos registrados Dispositivos tecnológicos Ingresar Dispositivos tecnológicos ingresados Se permite el ingreso al solicitante, validando si se confiscaron dispositivos o se registraron. En esta actividad se podrá verificar el porcentaje dispositivos registrados vs confiscados en el centro datos diariamente/semanalmente/mensualmente. Seguridad confiscados 139

140 El supervisor registra la información l solicitante así como 12 Dispositivos tecnológicos ingresados Registrar ingreso Registro Ingresos también si se ingresó con o sin dispositivos tecnológicos, registrando también el talle estos. En esta actividad se podrá verificar el número registros realizados (ingresos) al centro Seguridad datos forma diaria/semanal/mensual. 14 Registro Ingresos Fin -- El proceso finaliza cuando el solicitante ingresa al centro datos. Seguridad Tabla 40: Control Ingresos Fuente: Elaboración Propia 140

141 Diagrama l Proceso Imagen 13: Control Ingresos Fuente: Elaboración Propia 141

142 Definición Procesos: Revisión Equipos Propósito l Proceso El propósito l proceso Revisión Equipos es el monitorear el equipamiento l centro datos asegurando así la disponibilidad y confincialidad la información los alumnos la carrera. Se basa en las políticas finidas para la gestión la seguridad física y lógica. Finalmente, este proceso es clave para mantener siempre equipado y monitoreado la mejor manera el centro datos. Descripción El proceso Revisión Equipos se inicia cuando el supervisor turno be realizar según el cronograma la revisión equipos l centro datos. Dentro esta actividad el supervisor verifica si se ha retirado algún equipo sin autorización así como también si se necesita revocar algún equipo l cuál su garantía este por expirar. En caso pérdida el supervisor be comunicar al jefe supervisores este tema siendo el mismo jefe el que verifique revisando reportes generales revisión equipos pasados en caso haya habido una equivocación por parte alguno los supervisores que realizaron los reportes pasados; si no es así entonces realiza un informe para el área seguridad la universidad con el fin que investiguen sobre el extravío l equipo. Por otro lado, en el caso una s asignación, el supervisor be realizar una solicitud al jefe supervisores para que este su conformidad respecto l equipo o equipos a ser safectado o safectados. Roles Roles Área Funcional Descripción General IT-Expert Encargada monitorear el avance y la presentación los entregables, amás realizar las coordinaciones necesarias entre el Jefe Proyecto y el Comité Proyectos. Proyectos y IT-Expert Encargado supervisar y administrar todos los proyectos la empresa IT- 142

143 Recursos Expert. Administrador l Centro Datos IT-Expert Encargado turno l centro datos. Seguridad IT-Expert Encargado gestionar y supervisar todo lo relacionado a Seguridad tanto ntro como fuera l Centro Cómputo. Entradas l Proceso Entrada Descripción Encargado Elaboración Cronograma Contiene las fechas en la cual revisiones están programadas las revisiones Seguridad equipos. equipos. Salidas l Proceso Salida Descripción Encargado Elaboración Reporte general revisión equipos Este documento muestra el reporte todas las incincias ocurridas durante la actividad revisión equipos. Administrador l Centro Datos 143

144 Caracterización Entrada Actividad Salida Descripción Responsable 1 -- Inicio Realización revisión Inicia el proceso al inicio l ciclo según cronograma académico. Seguridad 2 Realización revisión Revisar equipos Resultado revisión equipos El supervisor se encarga realizar la revisión los equipos l centro datos al inicio l ciclo académico. Seguridad 3 Resultado revisión equipos Validar retiro equipo sin aviso *Si, se retiró. *No se retiró. El supervisor revisa si se retiró algún equipo o no sin ningún aviso. Seguridad El supervisor comunica al jefe 4 Sí, se retiró Comunicar pérdida equipo Mensaje pérdida supervisores sobre la pérdida l equipo(s). En esta actividad se podrá intificar el número equipos perdidos en el ciclo Seguridad académico. 5 Mensaje pérdida Revisar reporte retiro equipos Reporte completamente revisado El jefe supervisores revisa manera tallada los reportes pasados sobre retiros los equipos a fin comprobar si el Administrador l Centro 144

145 equipo fue retirado sin ningún aviso. Datos El jefe supervisores elabora un informe 6 Reporte completamente revisado Elaborar informe seguridad Informe seguridad para el área seguridad la universidad comunicando la pérdida l equipo y ese modo se inicien las investigaciones l Administrador l Centro Datos caso. 7 Informe seguridad Término -- El jefe supervisores envía el informe para que el área seguridad la universidad se encargue l asunto. Administrador l Centro Datos El supervisor luego verificar que no se 8 No se retiró Revocar o cambiar algún equipo Si es necesario. No es necesario. realizaron retiros sin aviso valida si es necesario realizar alguna reasignación o Seguridad cambio a algún equipo l centro datos. El supervisor elabora una solicitud 9 Si es necesario Elaborar solicitud revocación equipos Solicitud revocación equipos revocación equipos para que este sea revisado y sea dado por conforme por el Seguridad jefe supervisores. 145

146 10 Solicitud revocación equipos Enviar Solicitud revocación equipos Envío realizado El supervisor envía la Solicitud revocación equipos elaborada. Seguridad 11 Envío completado Revisar solicitus para conformidad Solicitud atendida El jefe supervisores revisa y atien la solicitud. Administrador l Centro Datos 12 Solicitud atendida Validar conformidad *Si se brindó conformidad. *No se brindó conformidad. El jefe supervisores valida si se brindó o no se brindó la conformidad la solicitud. Administrador l Centro Datos 13 * No se brindó conformidad *No es necesario. Validar disconformidad / revocación Fue con disconformidad / sin revocación. El supervisor verifica si se procerá a realizar el reporte pendiendo si no necesito una revocación o se le fue negada una revocación. Seguridad 14 Si se brindó. Enviar solicitud conformidad Envío conformidad realizado. El jefe supervisores envía la conformidad la Solicitud revocación equipos. Administrador l Centro Datos 146

147 15 Envío conformidad realizado. Enviar simultáneamente Envío realizado simultáneo El jefe supervisores envía la conformidad la Solicitud revocación equipos. Administrador l Centro Datos Revisar 16 Envío simultáneo realizado conformidad solicitud Solicitud revocación equipos revisada El General IT-Expert recibe y revisa la solicitud. General revocación 17 Solicitud revocación equipos revisada Comunicar revocación Comunicación realizada El General IT-Expert se comunica con el gerente proyectos y recursos. General 18 *Comunicación realizada. *No es conforme. Atenr solicitud Solicitud atendida El atien la solicitud. Proyectos Recursos. y 19 Solicitud atendida Realizar documento requerimiento para la revocación equipo Documento requerimientos El realiza el documento pendiendo los requerimientos que esta revocación requiera. Proyectos Recursos. y 147

148 20 Documento requerimientos Enviar documento requerimientos Envío documento requerimientos realizado El gerente envía el documento a ser validado por el gerente general IT- Expert. Proyectos Recursos. y 21 Envío documento requerimientos realizado Revisar documento requerimientos Revisión completada El General IT-Expert revisa el documento requerimientos elaborado por el gerente proyectos y recursos. General 22 Revisión completada Validar documento *Si es conforme. *No es conforme. El gerente general valida si el documento es conforme o no. General 23 Si es conforme Enviar conformidad documento requerimientos Envío documento requerimientos realizado El gerente general envía el documento con su conformidad. General Recepción y revisión 24 Envío documento requerimientos realizado Revisar conformidad documento requerimientos conformidad documento requerimientos El supervisor recibe y revisa el documento. Seguridad completada 148

149 *Registro equipos 25 revocados *Recepción y revisión conformidad documento Verificar Verificación completada El supervisor verifica que tenga ambos documentos para procer a realizar Seguridad requerimientos completada 26 Verificación completada Realizar tareas en base a requerimientos Equipo realizando tareas revocado El supervisor realiza la revocación en base a los requerimientos. Seguridad 27 *Equipo revocado realizando tareas. *Fue con disconformidad / sin revocación. Validar tareas previas Con / sin tareas previas. El supervisor verifica la información la revisión equipos previo a hacer el reporte general la revisión equipos. Seguridad El supervisor realizar el reporte la revisión programada. Esta actividad 28 Con / sin tareas previas. Realizar reporte general la revisión equipos Reporte General la Revisión Equipos permitirá intificar el número equipos sin problemas en el ciclo académico así también permitirá calcular el porcentaje Seguridad equipos con problemas vs equipos sin problemas al inicio l ciclo. 149

150 29 Reporte General la Revisión Equipos Enviar reporte general la revisión los equipos Envío l reporte general la revisión los equipos El supervisor envía el reporte al Jefe supervisores. Seguridad 30 Envío l reporte general la revisión los equipos Revisar el reporte general la revisión los equipos Reporte General la Revisión Equipos revisado El jefe supervisores proce a revisar el reporte para luego archivarlo. Administrador l Centro Datos 31 No se brindó. Enviar disconformidad solicitud Disconformidad enviada El jefe supervisores envía la disconformidad al supervisor Seguridad 32 Disconformidad enviada Revisar disconformidad solicitud Disconformidad recibida, no se brindó. El supervisor recibe la disconformidad Seguridad 33 Envío simultáneo realizado Revisar conformidad solicitud revocación Conformidad recibida El supervisor recibe la conformidad. Seguridad 34 Conformidad recibida Registrar equipo(s) a Registro equipos El supervisor elabora un documento que a futuro le ayudará en el reporte general la 150

151 ser revocado(s) revocados revisión equipos. Esta actividad permitirá intificar el número equipos revocados en el ciclo académico. Seguridad El Seguridad envía el registro 35 Registro equipos revocados Enviar en Simultáneo Registro equipos revocados equipos revocados al Capstone a modo informativo a su vez que pasa a Seguridad verificar. 36 Registro equipos revocados Recibir Registro Equipos a ser revocados -- El Capstone recibe el listado los equipos que serán revocados l centro datos a modo informativo. Capstone 37 Registro equipos revocados Fin -- El proceso se da por concluido el gerente seguridad revisa el reporte general la revisión equipos Administrador l Centro Datos Tabla 41: Revisión Equipos Fuente: Elaboración Propia 151

152 Diagrama l Proceso Imagen 14: Revisión Equipos Fuente: Elaboración Propia 152

153 Definición Procesos: Control Protección Ambiental Propósito l Proceso El propósito l proceso Control Protección Ambiental es monitorear y controlar las operaciones inspección respecto a la protección ambiental l centro datos. Dentro estas están los suministros energía, la protección instalaciones y en menor grado el cableado. Descripción El proceso Control Protección Ambiental se inicia cuando el gerente seguridad spués revisar su cronograma envía la solicitud a un operador servicios generales para que este inspeccione los suministros energía que corresponn al edificio don se encuentra ubicado el centro datos. Este una vez que realiza la inspección envía al gerente seguridad un reporte con los resultados ésta en la cual también incluye observaciones y/o incincias. Luego recibir dicho reporte el gerente seguridad proce a enviar una solicitud al supervisor turno l centro datos para que este realice un reporte respecto a cómo ha estado protegida las instalaciones l centro datos especificándose si se registró alguna incincia s el último reporte realizado. El supervisor envía el reporte al gerente seguridad. Éste analiza ambos reportes recibidos y realiza su reporte incincias el cual es un resumen ambos reportes. Este reporte es enviado al director la carrera Ingeniería Sistemas Información el cuál spués revisarlo analiza los resultados y envía al gerente seguridad un documento don especifica las observaciones y/o requerimientos que hay que realizar para por mejorar tanto el suministro energía como la protección las instalaciones. Roles Roles Área Funcional Descripción Seguridad IT-Expert Encargado gestionar y supervisar todo lo relacionado a Seguridad en el Centro Cómputo. 153

154 Administrador Centro Datos l IT-Expert Encargado turno l centro datos. Operador IT-Expert Es el encargado realizar los mantenimientos. Director la Facultad Es el encargado velar por el bien educativo Carrera Ingeniería la carrera ingeniería sistemas. Entradas l Proceso Entrada Descripción Encargado Elaboración Necesidad inspeccionar los suministros energía La realización esta inspección es importante bido a que ayuda a controlar y monitorear la protección ambiental l centro datos. seguridad Salidas l Proceso Salida Descripción Encargado Elaboración Documento requerimientos y/o observaciones revisado Este documento que fue elaborado por el director la carrera contiene las observaciones y/o requerimientos que se necesitan para mejorar la protección ambiental l centro datos. Director la Carrera Ingeniería Sistemas información 154

155 Caracterización Entrada Actividad Salida Descripción Responsable Cronograma la 1 -- Inicio inspección suministros El gerente seguridad, al inicio l ciclo académico be revisar su cronograma actividas. Seguridad energía 2 Cronograma la inspección suministros energía Redactar solicitud inspección suministros energía Solicitud Inspección Suministros Energía El Seguridad se encarga realizar una solicitud a los operadores servicios generales para que estos realicen las tareas revisión los suministros energía y revisión cableado respecto al centro datos. Esta actividad se realiza cada mes. Seguridad Solicitud Enviar solicitud Solicitud 3 Inspección Suministros inspección suministros Inspección Suministros El gerente seguridad envía la solicitud al operador para que este pueda realizar la inspección. Seguridad Energía energía Energía enviado 4 Solicitud Inspección Suministros Inspeccionar suministros Reporte Inspección El operador envía un reporte inspección suministros al gerente seguridad. Operador 155

156 Energía enviado energía Suministros Revisión 5 Reporte Inspección Suministros Revisar Reporte Inspección Suministros Reporte Inspección Suministros El gerente seguridad revisa el reporte y saca conclusiones respecto a esto Seguridad realizado 6 Revisión Reporte Inspección Suministros realizado Redactar solicitud reporte Protección Instalaciones Solicitud Reporte Protección Instalaciones El gerente seguridad luego revisar el reporte suministros energía pasa a redactar la solicitud protección instalaciones que será enviado al supervisor turno. Seguridad 7 Solicitud Reporte Protección Instalaciones Enviar solicitud reporte protección instalaciones Solicitud Reporte Protección Instalaciones enviado El gerente seguridad envía la Solicitud Reporte Protección Instalaciones al supervisor turno. Seguridad 8 Solicitud Revisar Solicitud Solicitud El supervisor recibe la solicitud reporte protección Administrador 156

157 Reporte reporte Reporte instalaciones. l Centro Protección Protección Protección Datos Instalaciones Instalaciones Instalaciones enviado revisado Solicitud 9 Reporte Protección Instalaciones Elaborar Reporte Protección Instalaciones Reporte Protección Instalaciones El supervisor realiza el reporte respecto al resultado la actividad realizada Administrador l Centro Datos revisado 10 Reporte Protección Instalaciones Enviar Reporte Protección Instalaciones Reporte Protección Instalaciones enviado El supervisor envía el Reporte Protección Instalaciones al gerente seguridad Administrador l Centro Datos 11 Reporte Protección Instalaciones Revisar Reporte Protección Instalaciones Reporte Protección Instalaciones revisado El gerente seguridad proce a revisar el reporte enviado por el supervisor. Seguridad 157

158 Reporte El gerente seguridad realiza el reporte incincias. 12 Protección Instalaciones Realizar Reporte Incincias Reporte Incincias En esta actividad se podrá verificar el número incincias reportadas en cada ciclo académico en los Seguridad revisado suministros energía l centro datos. 13 Reporte Incincias Enviar Reporte Incincias enviado El gerente seguridad envía el reporte incincias al director carrera sistemas. Seguridad 14 Reporte Incincias por enviar a Director Enviar Reporte Incincias a Director Reporte Incincias El gerente seguridad envía el reporte incincias al director la carrera quien es el encargado l centro datos Seguridad 15 Reporte Incincias Revisar redactar documentación y Reporte Incincias revisado El director la carrera revisa el reporte enviado por el gerente seguridad y elabora el documento requerimientos y/o observaciones. Director la Carrera 16 *Reporte Incincias * Reporte Incincias Revisar Reporte Incincias El gerente seguridad recibe el reporte incincias revisado por el Director la Carrera ingeniería Sistemas Información. Seguridad 158

159 revisado 17 Documento requerimientos y/o observaciones Revisión documento requerimientos y/o observaciones Documento requerimientos y/o observaciones revisado El gerente seguridad revisa el documento y toma las medidas para realizar los cambios u observaciones mencionadas Seguridad 18 Documento requerimientos y/o observaciones revisado Fin -- El proceso finaliza cuando el gerente seguridad revisa el documento requerimientos y/o observaciones. Seguridad Tabla 42: Control Protección Ambiental Fuente: Elaboración Propia 159

160 Diagrama l Proceso Imagen 15: Control protección ambiental Fuente: Elaboración Propia 160

161 Definición Procesos: Gestión solicitud accesos Propósito l Proceso El propósito l proceso Gestión Solicitud Accesos es finir cuál es la secuencia actividas a seguir y el flujo acuado para solicitar acceso físico al centro datos la carrera Ingeniería Sistemas y Software. Este proceso guarda estrecha relación con las políticas finidas para la gestión la seguridad física y lógica. Al mismo tiempo, este proceso es clave para el inicio las actividas pase a producción y spliegue ntro l centro datos. Descripción El proceso Gestión Solicitud Accesos se inicia cuando el Proyectos y Recursos IT-Expert la empresa IT-Expert solicita a cada gerente recursos las empresas virtuales la relación alumnos que ben contar con acceso al centro datos por pertenecer a los cursos Taller Desempeño 1, Taller Desempeño 2, Taller Proyectos 1 y Taller Proyectos 2. Luego, esta lista be ser revisada por el Proyecto y Recursos, el mismo que visa la relación y solicita su atención por parte l Seguridad IT-Expert. Posterior a ello, el Seguridad IT-Expert proce a revisar la lista, tramita y notifica los cambios. Roles Roles Proyectos y Recursos. Seguridad Descripción Es la persona encargada administrar los servidores l centro cómputo, realizar seguimiento a los proyectos la empresa y atenr solicitus servicios TI las empresas virtuales. Encargado gestionar y supervisar todo lo relacionado a Seguridad ntro l Centro Cómputo. Entradas l Proceso 161

162 Entrada Descripción Encargado Elaboración Listado Este documento contiene la lista Gerencia Proyectos recursos por alumnos con las que contará la empresa y Recursos IT- empresa. virtual a lo largo l ciclo. Expert Salidas l Proceso Salida Descripción Encargado Elaboración Listado alumnos accesos con Este documento consiste en tener el listado alumnos que cuentan con acceso físico al centro datos, el mismo que se genera a partir un Excel. l Seguridad 162

163 Caracterización Entrada Actividad Salida Descripción Responsable 1 - Inicio Solicitud alumnos por empresa virtual El proceso inicia cuando el gerente proyectos y recursos la empresa IT- Expert solicita al resto empresas virtuales la relación alumnos a los cuales se les be tramitar el acceso al centro datos. Proyectos Recursos. y 2 Solicitud alumnos por empresa virtual Generar lista Alumnos Matriculados Listado alumnos empresa. por El gerente recursos cada uno las empresas virtuales que forman parte taller sempeño 1 y 2, y taller proyecto 1 y 2 crea la lista alumnos que forman parte su empresa. Recursos. 3 Listado alumnos por empresa. Crear relación alumnos Listado alumnos a dar acceso. Se prepara el documento que contendrá la relación alumnos cada empresa virtual que contarán con acceso físico al centro datos. Los datos que be tener este listado es: Código Alumno, Nombre l Alumno, Empresa, Proyecto. Proyectos Recursos. y 4 Listado Es conforme? Listado En esta actividad se verifica/analiza si se necesita una revisión la alumnos a alumnos a dar lista alumnos por parte l gerente recursos cada empresa Proyectos y 163

164 dar acceso. acceso. virtual. En caso sea necesaria una validación por parte l gerente Recursos. Listado alumnos a dar recursos cada empresa se envía un correo con la lista y las observaciones encontradas. acceso a En caso no se requiera una verificación adicional se proce a visar revalidar. la relación y asignar. 5 Listado alumnos a dar acceso. Visar y asignar para atención Solicitud Atención Lista alumnos visada. El gerente proyectos y recursos IT-Expert se encarga revisar que el listado alumnos contenga todos los datos mencionados en el punto A y que cuente con la conformidad l gerente general la empresa solicitante. Proyectos Recursos. y 6 Listado alumnos a dar acceso a revalidar. Reformular relación alumnos Listado alumnos a dar acceso a revalidar. El gerente proyectos y recursos IT-Expert pue solicitar la revisión la lista porque esta no cumple con los requisitos mínimos indispensables, mediante un mensaje se envía la relación al gerente recursos la empresa virtual correspondiente para su revisión. Proyectos Recursos. y 7 Listado alumnos a dar acceso a Es conforme? Listado alumnos a dar acceso a El gerente seguridad, verifica que la relación enviada sea revalidada o visada cumpla con todos los requisitos necesarios antes Seguridad 164

165 revalidar. Solicitud Atención revalidar. Lista alumnos visada. tramitar los accesos. Lista alumnos visada. 8 Listado Tramitar accesos Relación El responsable brindar accesos tramita los accesos físicos para l alumnos alumnos con los alumnos que figuran en el listado, esta labor consiste en Seguridad visado. accesos. actualizar la información en la base datos GSFL en la tabla SOL_ACC ingresando todos los datos mencionados en el punto A, para que esta forma esta información sea explotada s un Excel con programación VBA. 9 Listado Solicitar revisión Listado El gerente seguridad IT-Expert pue solicitar la revisión alumnos a lista alumnos a dar la lista al gerente proyectos y recursos porque esta no está acor Seguridad dar acceso a alumnos. acceso a a las especificaciones o algún requerimiento mínimo ha sido revalidar. revalidar. obviado. Reporte Esta revisión se pue dar hasta en tres oportunidas, si se produce 165

166 cancelación por por cuarta vez el proceso se finaliza y se genera el reporte iteraciones. cancelación por iteraciones. 10 Relación alumnos con accesos. Generar Accesos. reporte Reporte alumnos acceso. con El gerente seguridad genera un reporte para en el cual se lista a las personas que cuentan con acceso al centro datos. Seguridad l Reporte 11 alumnos con acceso. Reporte cancelación por Fin Correo Notificación El gerente seguridad envía un correo informativo en el cual se indica que se han brindado los accesos respectivos, este correo tiene como stinatario al Proyecto y Recursos IT-Expert y a los alumnos involucrados. Seguridad iteraciones. Tabla 43: Gestión Solicitud Accesos Fuente: Elaboración Propia 166

167 Diagrama l Proceso Imagen 16: Gestión Solicitud Accesos Fuente: Elaboración Propia 167

168 Política Seguridad Física Introducción La seguridad física brinda el marco para minimizar los riesgos daños e interferencias a la información y a las operaciones l centro datos la carrera Ingeniería Sistemas Información, al mismo tiempo previene evitar al máximo el riesgo accesos no autorizados, mediante el establecimiento perímetros seguridad. Se distinguen tres conceptos a tener en cuenta: la protección física accesos, la protección ambiental y el transporte, protección y mantenimiento equipamiento y documentación; los cuáles se tocarán manera tallada en la sección Conceptos y aspectos específicos sobre la Política Seguridad Física. Alcance Esta política aplicará a todo el personal vinculado laboralmente y educativamente con la UPC así también terceros que tengan acceso a los recursos información l centro datos la carrera. Acrónimos y finiciones UPS Sistema alimentación ininterrumpida (Uninterruptible Power Supply). TIA Asociación la Industria Telecomunicaciones (Telecomunications Industry Asociation). Centro Datos Centro datos carrera Ingeniería Sistemas en la Universidad Peruana Ciencias Aplicadas. Objetivos Objetivo General Brindar las bases para prevenir, asegurar, controlar, monitorear, mantener y supervisar los diversos factores que puedan afectar la disponibilidad l centro datos la carrera. Objetivos Específicos 176

169 Prevenir e impedir el acceso físico no autorizado, amás evitar interrupciones a las actividas educativas, daños o robos los activos l centro datos la carrera. Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento l equipamiento informático que alberga la información l centro datos la carrera. Proteger los equipos l centro datos en su traslado y permanencia fuera las áreas protegidas, por motivos mantenimiento u otros. Enunciado la Política Los equipos informáticos y áreas aledañas al centro datos la carrera, ben cumplir con todas las políticas funcionales y procedimientos seguridad física, con el fin evitar el acceso por personas no autorizadas, daño e interferencia a los recursos e infraestructura información. Responsabilidas Es responsabilidad l director la carrera Ingeniería Sistemas Información e Ingeniería Software la aprobación esta política. Violaciones a la política En caso se viole la Política Seguridad Física se dispone aplicar las siguientes sanciones: Suspensión o acceso restringido al centro datos. Reembolso por algún daño causado. Suspensión sin pago salario. Demanda civil o penal. Estas sanciones se encuentran en el Reglamento Disciplina la Universidad Peruana Ciencias Aplicadas. 169

170 Conceptos y directrices sobre la Política Seguridad Física Protección Física Accesos Se be controlar y proteger tanto ntro las instalaciones como al momento accer los equipos y la información l centro datos, englobando dos aspectos específicos como son: el control acceso físico y el sarrollo las tareas ntro l centro datos. Controles Acceso Físico El centro datos be ser protegido mediante controles acceso físico a fin permitir el acceso sólo al personal autorizado. Estos controles ben ser aplicados por el supervisor turno l centro datos para así, proteger al centro datos accesos no autorizados por lo que soporta el concepto protección física accesos. Recomendaciones y controles adicionales: Inspeccionar y supervisar a los alumnos y/o visitantes l centro datos registrando código, nombres, actividad a realizar, fecha y horario l ingreso y egreso. Para esto se necesitará la creación una base datos. El mantenimiento esta base datos estará a cargo l DBA la empresa virtual IT-Expert el cual a su vez se encargará realizar el reporte esta información pendiendo lo que requiera l jefe supervisores l centro datos. Por otro lado, el supervisor turno l centro datos be velar por que se cumplan los requerimientos seguridad l centro datos a las personas que estén ingresando. Limitar y controlar el acceso al centro datos a las personas autorizadas, las cuales berán contar con un código intificación. El ingreso l personal también be ser registrado. Estos registros ben ser almacenados en una base datos. Revisar y actualizar cada mes los registros accesos al centro datos los cuales ben ser documentados y firmados por el encargado principal l centro datos. Revisar los registros almacenados en la base datos sobre los ingresos y egresos hacia el centro datos la carrera. Esta actividad be ser realizada por el DBA la empresa IT-Expert. 170

171 Clasificar en categorías los diferentes tipos personal que podrán tener acceso al centro datos, ntro los cuales ben estar: operadores y usuarios (trabajo regular), mantenimiento y retiro (trabajo periódico) y visitantes (alumnos o terceros) que necesiten utilizar los equipos y la información l centro datos manera temporal. Desarrollo Tareas en el Centro datos Para incrementar la seguridad l centro datos, se be establecer controles y lineamientos para el personal que trabaja en él, así como para las actividas terceros y alumnos que se n ntro este. Estos lineamientos y controles tienen que estar ligadas específicamente con la protección física accesos y permisos. Recomendaciones y controles adicionales: Dar a conocer al personal la existencia l centro datos y las actividas que allí se llevan a cabo, sólo si es necesario para el sarrollo sus funciones. El supervisor turno be estar al tanto todo trabajo o actividad llevada a cabo por alumnos y/o terceros. El supervisor turno be mantener cerrado el ingreso e inspeccionar el centro datos cada intervalo tiempo cuando este se encuentre socupado. El supervisor be limitar el acceso al centro datos alumnos y/o terceros que no se encuentren autorizados, en caso estos cuenten con una autorización, ben ser monitoreados. El supervisor turno be guardar un registro todos los alumnos y/o terceros con autorización acceso al centro datos. Impedir el ingreso al centro datos con equipos que registren información visual o auditiva a menos que estos hayan sido bidamente autorizados por el director la carrera Ingeniería Software y Sistemas. Así también prohibir fumar y consumir alimentos y/o bebidas ntro las instalaciones l centro datos. Protección ambiental 171

172 Asegura y controla que las instalaciones estén protegidas, que el suministro energía sea ininterrumpido, el perímetro l centro datos cuente con las señalizaciones, barreras físicas, mecanismos control y ubicación correctos. Perímetro Seguridad Física El lugar en el cual el centro datos la carrera se encuentra instalado be estar protegido por diversas barreras y controles físicos a fin proteger las áreas que contienen instalaciones procesamiento información, suministro energía eléctrica, aire acondicionado. Este aspecto forma parte l concepto la protección ambiental que be ser cubierto por la seguridad física. Recomendaciones y controles adicionales: Establecer y documentar claramente el perímetro seguridad. Ubicar las instalaciones l centro datos ntro l perímetro un edificio o área construcción físicamente sólida. Las pares ben ser sólidas y las puertas ben estar protegidas contra accesos no autorizados mediante alarmas, cerraduras y mecanismos control. En el caso l mecanismo control, se sugiere implementar un área recepción atendida por personal, permitiendo el acceso al centro datos exclusivamente al personal autorizado, registrando cada ingreso y egreso en forma precisa. Expandir las barreras físicas necesarias (2.7m), s el piso real hasta el techo real, a fin crear un espacio ial para los equipos así como también impedir incendios, humedad e inundación (contaminación ambiental). Tener intificados claramente todas las puertas emergencia/incendio un perímetro seguridad. Designar a un responsable seguridad que se encargue llevar los registros los principales equipos a proteger y sus medidas protección física. Suministros energía 172

173 Los equipos ben estar protegidos a posibles fallas en el suministro energía u otras anomalías eléctricas. El suministro energía be estar acuerdo con las especificaciones l fabricante o proveedor cada equipo. Recomendaciones y controles adicionales: Disponer múltiples enchufes o líneas suministro para evitar un único punto falla en el suministro energía. Contar con varias líneas alimentación energía así también contar con múltiples enchufes para evitar fallas en el suministro energía en caso contar sólo con un único punto. Contar con un UPS para asegurar la continuidad la disponibilidad los equipos que sustentan las operaciones críticas l centro datos así también como proteger fallos suministro. Estos sistemas alimentación ininterrumpida ben ser implementados preferencia en los equipos operaciones críticas, los cuales ben ser terminados por los encargados así también como por los alumnos propietarios la información. Estos equipos UPS ben ser probados mensualmente para asegurar el correcto funcionamiento estos. Ubicar los interruptores emergencia cerca a las salida(s) l centro datos con la finalidad facilitar un corte energía rápido ante un caso crítico. Proveer iluminación emergencia así también como protección contra scargas eléctricas en el centro datos y alredores en caso producirse una falla en el suministro energía. Instalar un generador respaldo en caso que el generador principal sufra algún sperfecto asegurando que el tiempo funcionamiento la UPS permita el encendido manual l mismo. Ambos generadores ben ser inspeccionados y probados mensualmente para asegurar que funcionen correctamente. Seguridad l cableado El cableado energía eléctrica y comunicaciones que transporta datos o brinda apoyo a los servicios información estará protegido contra intercepción o daño, 173

174 asegurando que la disponibilidad l centro datos no se vea afectado manera crítica. Recomendaciones y controles adicionales: Evitar que el cableado red atraviese vías públicas a fin protegerlo daños e interceptaciones. Tener separados los cables comunicaciones con los cables energía a fin evitar interferencias. Tener los cables energía conectadas a tierra. Proteger el cableado comunicaciones (red) mediante canaletas. Utilizar medios transmisión alternativos. Protección las Instalaciones La selección y el diseño l área l centro datos be tener en cuenta la posibilidad daño producido por incendio, inundación, explosión, agitación civil, y otras formas sastres naturales o provocados por el hombre, brindando un protección ambiental ntro l centro datos. Recomendaciones y controles adicionales: Ubicar las instalaciones críticas en lugares a los cuales no pueda accer personal no autorizado. Controlar que las puertas y ventanas l centro datos permanezcan cerradas en caso no contar con personal en las instalaciones, asegurando con una protección especial en las ventanas. Separar las áreas principales l centro datos a ser atendidas por el personal aquellos que serán atendidos por terceros. Almacenar los materiales peligrosos en lugares seguros a distancia, como estantes o aranceles que se encuentren ubicados en el counter seguridad. 174

175 Ubicar el equipamiento soporte (impresoras, fax, etc.) ntro l centro datos para evitar comprometer información sensible y su utilización por personal no autorizado. Transporte, protección, y mantenimiento los equipos y documentación Busca controlar, monitorear y supervisar el mantenimiento los equipos l centro datos, el retiro los equipos, la reutilización o safectación estos, ubicación y copias seguridad. Incluye también las políticas escritorios y pantallas limpias. Mantenimiento equipos El mantenimiento l equipamiento se realizará manera permanente para asegurar integridad y disponibilidad, previniendo también que la información los equipos no se vea afectada durante estas actividas. Recomendaciones y controles adicionales: Establecer un plan mantenimiento preventivo, en el cuál se be incluir la frecuencia con el cual se brindará el servicio así también como la autorización formal los responsables l centro datos la carrera Ingeniería Sistemas y Software. Establecer que sólo el personal mantenimiento con autorización podrá llevar a cabo reparaciones o brindar mantenimiento en los equipos l centro datos la carrera. Registrar todos los mantenimientos realizados sean preventivos o correctivos así también como los tipos fallas encontradas o supuestas en estos. Registrar cualquier retiro por mantenimiento los equipos l centro datos la carrera. Realizar una copia resguardo a la información confincial cualquier equipo que vaya a ser retirado por mantenimiento eliminando la información en este previo retiro. Retiro los equipos e información El equipamiento, la información y el software no serán retirados l centro datos sin autorización formal. 175

176 Periódicamente, se llevarán a cabo comprobaciones puntuales para tectar el retiro no autorizado activos l centro datos, las que serán llevadas a cabo por los encargados l centro datos. El personal será puesto en conocimiento la posibilidad realización dichas comprobaciones. Recomendaciones y controles adicionales: Realizar un chequeo semanal los equipos l centro datos a fin evitar que alguno ellos haya sido retiro manera no autorizada. Registrar fecha, hora, nombre y código la persona encargada l centro datos y nombre l tercero que proceda a retirar equipo(s) l centro datos. Políticas escritorios y pantallas limpias Proteger documentos en papel y dispositivos almacenamiento removibles en las instalaciones l centro datos la carrera, a fin reducir los riesgos acceso no autorizado, pérdida y daño la información, tanto durante el horario normal trabajo como fuera l mismo. Recomendaciones y controles adicionales: Almacenar bajo llave, cuando corresponda, los documentos en papel y los medios informáticos, en gabinetes y/u otro tipo mobiliario seguro cuando no están siendo utilizados, especialmente fuera l horario trabajo. Asegurar que la información crítica l centro datos esté bidamente guardada en un gabinete bajo llave, especialmente si no hay ningún encargado en el centro datos. Proteger mediante contraseñas y/o cerraduras los terminales o computadores personales que se encuentran satendidos; también be ser sconectados la red. En caso haya una necesidad accer a estos equipos be guardarse un registro con el motivo, fecha, hora y nombre la persona. Desafectación o reutilización segura los equipos La información pue verse comprometida por una safectación o una reutilización scuidada l equipamiento. Todo medio almacenamiento conteniendo material sensible be ser struido físicamente. 176

177 Recomendaciones y controles adicionales: Destruir toda la información los medios almacenamiento a ser safectados los equipos en caso estos pasen a ser reutilizados o safectados para que la información sensible no sea filtrada por terceros o personal no autorizado. Borrar manera completa la información l medio almacenamiento que será reutilizado en otros ambientes para evitar que la información sensible llegue a manos personal no autorizado ni terceros. Ubicación y protección los equipos y copias seguridad Los equipos l centro datos ben ser ubicados y protegidos manera que se minimice el riesgo amenazas y sastres ambientales así también como accesos no autorizados. Recomendaciones y controles adicionales: Ubicar los equipos en un sitio don se minimice el acceso innecesario y provea un control acceso acuado. Proveer un control accesos acuado hacia el centro datos. Ubicar los equipos l centro datos en un lugar don sea fácil supervisar. Tener en cuenta las recomendaciones brindadas por la TIA 942 respecto al subsistema Arquitectónico para minimizar el riesgo amenazas : robo, incendios, explosivos, humo, inundaciones o filtraciones agua, polvo, vibraciones, corte energía eléctrica y rrumbes. Revisar cada mes las condiciones ambientales manera que no afecten el correcto funcionamiento l centro datos. Consirar el impacto las amenazas scritas en el punto d) que tengan lugar en zonas próximas al centro datos. 177

178 Mapeo procesos con directrices físicas Imagen 17: Mapeo procesos con directrices físicas Fuente: Elaboración Propia 178

179 Seguridad a nivel lógico Diseño la evaluación y l Checklist Para por aplicar las medidas necesarias al igual que en la fase la gestión la seguridad física, se be analizar toda la información disponible pero esta vez que sobre la seguridad lógica. Las fuentes que se tomaron en cuenta para realizar este checklist son la NTP 17799, el Orange Book l ministerio fensa Estados Unidos y el libro seguridad informática Purificación Aguilera. 179

180 Conceptos Aspectos específicos Pregunta Control Acceso Control acceso al sistema operativo Intificación y Autentificación usuarios Control Acceso Control acceso al sistema operativo Los usuarios se intifican al ingresar al sistema Control Acceso Control acceso al sistema operativo Los usuarios se autentifican al ingresar al sistema Control Acceso Control acceso al sistema operativo Los usuarios tienen asignados roles Control Acceso Control acceso al sistema operativo Se han establecido las modalidas acceso correspondientes Control Acceso Control acceso al sistema operativo Se ha finido horario atención a usuarios Control Acceso Control acceso al sistema operativo Se ha implementado una política encriptación contraseñas usuarios Control Acceso Control acceso al sistema operativo Se ha finido cuál es el periodo caducidad las contraseñas Control Acceso Control acceso al sistema operativo Se ha finido cuál es la longitud mínima y los 180

181 caracteres que be contener una contraseña Control Acceso Control acceso al sistema operativo Existe un lista control accesos Control Acceso Control acceso al sistema operativo Existen etiquetas seguridad Control Acceso Control acceso al sistema operativo Existe un sistema sincronización password Control Acceso Control acceso al sistema operativo Existe un control sobre los puertos todos los dispositivos l server Control Acceso Control acceso al sistema operativo Existen firewalls que impidan accesos no seados Control Acceso Control acceso a las aplicaciones y la información Intificación y Autentificación usuarios Control Acceso Control acceso a las aplicaciones y la información Los usuarios se intifican al ingresar al sistema Control Acceso Control acceso a las aplicaciones y la información Los usuarios se autentifican al ingresar al sistema 181

182 Control Acceso Control acceso a las aplicaciones y la información Los usuarios tienen asignados roles Control Acceso Control acceso a las aplicaciones y la información Se han establecido las modalidas acceso correspondientes Control Acceso Control acceso a las aplicaciones y la información Se ha finido horario atención a usuarios Control Acceso Control acceso a las aplicaciones y la información Se ha implementado una política encriptación contraseñas usuarios Control Acceso Control acceso a las aplicaciones y la información Se ha finido cuál es el periodo caducidad las contraseñas Control Acceso Control acceso a las aplicaciones y la información Se ha finido cuál es la longitud mínima y los caracteres que be contener una contraseña Control Acceso Control acceso a las aplicaciones y la información Existe un lista control accesos Control Acceso Control acceso a las aplicaciones y la Se han finido que puertos pue usar cada aplicación 182

183 información Control Acceso Control acceso a las aplicaciones y la información (BD) Intificación y Autentificación usuarios Control Acceso Control acceso a las aplicaciones y la información (BD) Los usuarios se intifican al ingresar al sistema Control Acceso Control acceso a las aplicaciones y la información (BD) Los usuarios se autentifican al ingresar al sistema Control Acceso Control acceso a las aplicaciones y la información (BD) Los usuarios tienen asignados roles Control Acceso Control acceso a las aplicaciones y la información (BD) Se han establecido las modalidas acceso correspondientes Control Acceso Control acceso a las aplicaciones y la información (BD) Se ha finido horario atención a usuarios Control Acceso Control acceso a las aplicaciones y la información (BD) Se ha implementado una política encriptación contraseñas usuarios 183

184 Control Acceso Control acceso a las aplicaciones y la información (BD) Se ha finido cuál es el periodo caducidad las contraseñas Control Acceso Control acceso a las aplicaciones y la información (BD) Se ha finido cuál es la longitud mínima y los caracteres que be contener una contraseña Control Acceso Control acceso a las aplicaciones y la información (BD) Existe un lista control accesos Control Acceso Control acceso a las aplicaciones y la información (BD) Existen firewalls que impidan accesos no seados Control Acceso Control acceso a la red Se han finido los accesos a recursos compartidos Control Acceso Control acceso a la red Se han creados grupos con perfiles para manejar los accesos. Control Acceso Responsabilidas usuarios Se ha finido cuales son las responsabilidas los usuarios Control Acceso Responsabilidas usuarios Se ha finido cuales son las sanciones los usuarios por infringir las normas 184

185 Control Acceso Requisitos negocio para el control accesos Se ha establecido una política don se finan cuáles son los requisitos mínimos control accesos. Gestión las comunicaciones y operaciones Procedimientos y responsabilidas operación Se han probado que los equipos procesen la información forma acuada Gestión las comunicaciones y operaciones Procedimientos y responsabilidas operación Se han finido los procedimientos ante incincias Gestión las comunicaciones y operaciones Planificación y aceptación l sistema Se han finido todos los procesos que se llevan a cabo ntro l centro datos Gestión las comunicaciones y operaciones Planificación y aceptación l sistema Se lleva a cabo una planificación sobre los servicios que se brindan Gestión las comunicaciones y Planificación y aceptación l sistema Se llevan a cabo pruebas para asegurar que se va a cumplir con los servicios contratados. 185

186 operaciones Gestión las comunicaciones y operaciones Planificación y aceptación l sistema Se han finidos SLA's para cada servicio brindado Gestión las comunicaciones y operaciones Protección contra software malicioso Se han instalado en todos los servidores antivirus Gestión las comunicaciones y operaciones Protección contra software malicioso Se han habilitado las actualizaciones l antivirus Gestión las comunicaciones y operaciones Protección contra software malicioso Se realizan escaneos completos para verificar que no esté infectado. Gestión las comunicaciones y operaciones Protección contra software malicioso Se han habilitado las herramientas escaneo virus/malware en tiempo real 186

187 Gestión las comunicaciones y operaciones Protección contra software malicioso Se ha implementado un firewall que impida accesos no seados Gestión las comunicaciones y operaciones Protección contra software malicioso Se ha probado que el firewall y su configuración Gestión las comunicaciones y operaciones Gestión l respaldo y recuperación Se ha finido el proceso respaldo información Gestión las comunicaciones y operaciones Gestión l respaldo y recuperación Se ha finido la periodicidad l respaldo la información Gestión las comunicaciones y operaciones Gestión l respaldo y recuperación Se ha finido cuál es el proceso acuado recuperación información Gestión las comunicaciones y Gestión la seguridad en res Se han bloqueado los puertos l servidor 187

188 operaciones Gestión las comunicaciones y operaciones Utilización medios informáticos Se han bloqueado los puertos USB Gestión las comunicaciones y operaciones Utilización medios informáticos Se ha bloqueado el uso la grabadora CD/DVD Gestión las comunicaciones y operaciones Utilización medios informáticos Se ha bloqueado el uso disquetera Gestión las comunicaciones y operaciones Monitoreo Se ha finido que se be realizar monitoreo sobre el uso centro datos Gestión las comunicaciones y operaciones Monitoreo Se guardan transacciones sobre las operaciones realizadas en el centro datos 188

189 Gestión las comunicaciones y operaciones Monitoreo Se guardan log intentos no autorizados Gestión las comunicaciones y operaciones Monitoreo Se guardan log fallas en el firewall Gestión las comunicaciones y operaciones Monitoreo Se guardan log intentos fallidos Adquisición, sarrollo y mantenimiento sistemas Controles criptográficos Uso cifrado para la protección información sensible para la información transportada en medios removibles Adquisición, sarrollo y mantenimiento sistemas Controles criptográficos Las contraseñas usan sistemas criptográficos para ser creadas Adquisición, sarrollo y mantenimiento sistemas Controles criptográficos Control contraseñas (creación, recuperación, finición) 189

190 Adquisición, sarrollo y mantenimiento sistemas Seguridad los archivos sistema Se ha implementado algún control software, accesos sobre los archivos l sistema Adquisición, sarrollo y mantenimiento sistemas Seguridad los archivos sistema Cuál es el procedimiento para modificar archivos en el disco l sistema? Adquisición, sarrollo y mantenimiento sistemas Seguridad las aplicaciones Se controlan las modificaciones en los sistemas l centro datos Adquisición, sarrollo y mantenimiento sistemas Seguridad las aplicaciones Se hace un monitoreo aleatorio logs transaccionales para verificar el uso acuado los sistemas. Adquisición, sarrollo y mantenimiento sistemas Seguridad los procesos sarrollo y soporte Se han finido los ambientes sarrollo Adquisición, sarrollo y mantenimiento sistemas Seguridad los procesos sarrollo y soporte Se han finido los ambientes pruebas Adquisición, sarrollo y mantenimiento sistemas Seguridad los procesos sarrollo y soporte Se evalúa los impactos producidos por cambios en el ambiente pruebas Adquisición, sarrollo y Seguridad los procesos sarrollo y Se evalúa los impactos producidos por cambios en el 190

191 mantenimiento sistemas soporte ambiente sarrollo Adquisición, sarrollo y mantenimiento sistemas Seguridad los procesos sarrollo y soporte Se tiene un historial control versiones Adquisición, sarrollo y mantenimiento sistemas Seguridad los procesos sarrollo y soporte Se tiene un historial las peticiones cambio en los sistemas Adquisición, sarrollo y mantenimiento sistemas Seguridad los procesos sarrollo y soporte Se han documentado todos los cambios y los rollbacks necesarios para regresar a una versión anterior. Adquisición, sarrollo y mantenimiento sistemas Gestión la vulnerabilidad técnica Existe un documento análisis vulnerabilidas Adquisición, sarrollo y mantenimiento sistemas Gestión la vulnerabilidad técnica Se han llevado a cabo acciones para mitigar estas vulnerabilidas Adquisición, sarrollo y mantenimiento sistemas Requisitos seguridad los sistemas Se ha establecido una política don se finan cuáles son los requisitos mínimos seguridad los sistemas. Tabla 44: Checklist a Nivel Lógico Fuente: NTP

192 Interpretación Resultados Al aplicar la evaluación dada por el checklist, se obtuvieron los siguientes resultados: 25 Resultado la Evaluación por Conceptos Adquisición, sarrollo y mantenimiento sistemas Control Acceso Gestión las comunicaciones y operaciones Adquisición, sarrollo y mantenimiento sistemas Control Acceso Gestión las comunicaciones y operaciones Imagen 18: Resultado la Evaluación por Conceptos Fuente: Elaboración Propia Resultado por Directriz A B C D E F G H I J K L M N O P Q R S A B C D E F G H I J K L M N O P Q R S Imagen 19: Resultado por Directriz 192 Fuente: Elaboración Propia

193 ID A B C D E F G H I J K L M N O P Q R S Directrices Control acceso a la red Control acceso a las aplicaciones y la información Control acceso a las aplicaciones y la información (BD) Control acceso al sistema operativo Controles criptográficos Gestión la vulnerabilidad técnica Gestión la seguridad en res Gestión l respaldo y recuperación Monitoreo Planificación y aceptación l sistema Procedimientos y responsabilidas operación Protección contra software malicioso Requisitos negocio para el control accesos Requisitos seguridad los sistemas Responsabilidas usuarios Seguridad las aplicaciones Seguridad los archivos sistema Seguridad los procesos sarrollo y soporte Utilización medios informáticos 193

194 Tabla 45: Aspectos Específicos Fuente: Elaboración Propia Estos resultados indican que; ntro la seguridad lógica se han establecido tres conceptos y estos tres el más sarrollado es el control accesos, sin embargo existen aspectos específicos que ben ser cubiertos ntro esta y por otro lado, el concepto menos trabajado es el adquisición sarrollo y mantenimiento sistemas pero se be tomar en consiración que existe un área como servicios generales que se encarga controlar muchas estas actividas, las mismas que no puen ser modificadas o abarcadas por el proyecto. Procesos la gestión la seguridad lógica Definición Procesos: Gestión solicitud respaldo información Propósito l Proceso El propósito l proceso Gestión Solicitud Respaldo Información es el resguardar la información que resi en el centro datos la carrera Ingeniería Sistemas y Software y en los ambientes producción y sarrollo. Este proceso surgió bido a la política seguridad lógica, la cual establece que ante algún incinte o problema que haya sufrido el centro datos be existir un repositorio que almacene la información para evitar tiempos inoperatividad en el servicio. Descripción El proceso Gestión Solicitud Respaldo Información inicia cuando el gerente proyectos y recursos la empresa IT-Expert solicita la creación los archivos respaldo, esta solicitud pue ser respaldo base datos o archivos en la carpeta l file server cada empresa. El gerente seguridad recibe la solicitud y termina cuál es el tipo solicitud y proce a crear los archivos respaldo, resguardando estos en una carpeta asignada para cada tipo respaldo. El alcance que tiene las copias seguridad se limita únicamente a la información que se encuentre en el centro datos la carrera Ingeniería Sistemas y Software la UPC, es cir bases datos en los ambientes producción y archivos en el file 194

195 server 15. Luego, esta lista be ser revisada por el General la empresa, el mismo que visa la relación y solicita su atención por parte IT-Expert. Posterior a ello, el Proyectos y Recursos proce a revisar la lista y solicita al alumno encargado que tramite y notifique los cambios. Roles Roles Proyectos y Recursos. Seguridad Descripción Es la persona encargada administrar los servidores l centro cómputo, realizar seguimiento a los proyectos la empresa y atenr solicitus servicios TI las empresas virtuales. Encargado gestionar y supervisar todo lo relacionado a Seguridad tanto ntro como fuera l Centro Cómputo. Entradas l Proceso Entrada Descripción Encargado Elaboración Lista carpetas o bases datos a respaldar Este documento contiene la lista carpetas en el file server o nombres las bases datos que se encuentran en el centro datos a ser respaldadas. Gerencia Proyectos Recursos Expert y IT- Salidas l Proceso Salida Descripción Encargado Elaboración Informe Este documento consiste en el listado las l 195

196 trabajo. carpetas o bases datos respaldadas, las actividas, incincias y soluciones que se han seguido a lo largo proceso. Seguridad 196

197 Caracterización Entrada Actividad Salida Descripción Responsable El proceso inicia cuando se le envía 1 Listado carpetas o bases datos a respaldar. Inicio Listado carpetas o bases datos a respaldar. un correo al Proyectos y Recursos, este correo contiene el listado carpetas o bases datos a respaldar, esta solicitud pue ser generada por el Recursos Proyectos y Recursos. cualquiera empresa virtual. 2 Listado carpetas o bases datos a respaldar Solicitar respaldo información. Listado carpetas o bases datos a respaldar El Proyectos y Recursos. genera el listado carpetas o bases datos que ben ser respaldadas Proyectos y Recursos. 3 Listado carpetas o bases datos a respaldar Analizar verificar solicitud y Listado carpetas o bases datos a respaldar Resultado l El gerente seguridad analizar y verifica que la solicitud sea factible y que cumpla con los estándares scritos en la política respaldo Seguridad 197

198 análisis. información. Listado 4 carpetas o bases datos a respaldar Resultado l Determinar mecanismo copia. Manual mecanismo a seguir. El gerente seguridad revisa en base a su análisis preliminar cuál es el manual que be seguir para realizar esta solicitud. Seguridad análisis. Informe trabajo. 5 Manual mecanismo seguir. a Qué tipo solicitud es? Listado carpetas o bases datos a respaldar. Manual mecanismo a seguir. Dependiendo l tipo solicitud (base datos o carpetas) se be seguir un terminado flujo que se encuentra en la política seguridad. Seguridad 6 Listado carpetas o bases Determinar intificar e el Informe trabajo. El gerente seguridad termina cuál es la cantidad y los nombres 198

199 datos a número bases Listado carpetas o las bases datos a respaldar. Seguridad respaldar. datos para bases datos a Manual respaldo. respaldar. mecanismo a seguir. Informe trabajo. 7 Listado carpetas o bases datos a respaldar. Informe trabajo. Determinar intificar número carpetas respaldo. e el para Informe trabajo. Listado carpetas o bases datos a respaldar El gerente seguridad terminar cuál es la cantidad y los nombres las carpetas a respaldar. Seguridad 8 Informe trabajo. Listado Generar backup las base datos. Informe trabajo Archivos.bak respaldo las base El gerente seguridad ejecuta los scripts respaldo cada base datos. Seguridad 199

200 carpetas o bases datos a respaldar datos. Lista archivos.bak respaldados. Log procesos las bases datos 9 Informe trabajo. Listado carpetas o bases datos a respaldar Respaldar información las carpetas. Informe trabajo. Lista carpetas respaldadas l file server. Listado carpetas o bases datos a respaldar. El gerente seguridad copia la información contenida en cada carpeta a una ruta específica, esta ruta se encuentra en la política respaldo información. Seguridad 10 Informe trabajo Archivos.bak respaldo las Verificar y supervisar log backup. Informe trabajo. Log procesos. El gerente seguridad be revisar el log cada base datos respaldada y certifica que no exista error alguno. Seguridad 200

201 base datos. Lista archivos.bak respaldados. Log procesos las bases datos 11 Log procesos. Informe trabajo. Se encontraron errores en el log? Informe trabajo. Listado carpetas o bases datos a respaldar. Log procesos. En caso se encuentren errores en el log procesos, se be realizar nuevamente el proceso backup la base o bases que terminaron con error. Seguridad 12 Informe trabajo. Listado carpetas o bases datos a Determinar Flujo Informe trabajo. Listado carpetas o bases datos a respaldar Esta actividad se encarga discernir si la actividad Generar backup se inició un flujo normal o un reproceso se necesita consolidar. Seguridad. 201

202 respaldar. Log procesos. Informe Listado carpetas o trabajo. Listado bases datos a respaldadas. Como la solicitud pue ser tres tipos, primero que sea solo respaldo Seguridad carpetas o bases Copias las base datos, que sea solo 13 datos a Consolidar carpetas l file respaldo las carpeta l file respaldar. server. server o ambos. El gerente Lista carpetas respaldadas l Archivos.bak respaldo las base seguridad be consolidar la data en una única ubicación. file server. datos. 14 Copias las carpetas l file server. Archivos.bak Verificar archivos generados. los Informe trabajo. Copias las carpetas l file server. El gerente be supervisar que todos los archivos se puedan abrir sin problemas. Seguridad respaldo las Archivos.bak 202

203 base datos. respaldo las base Listado datos. carpetas o bases datos a respaldadas. 15 Copias las carpetas l file server. Archivos.bak respaldo las base datos. Compactar archivos respaldo. Archivos compactados. Informe trabajo. Lista carpetas respaldadas l file server. El gerente seguridad be compactar los generados por los respaldos utilizando el compresor instalado en el servidor. Seguridad Informe trabajo. Lista archivos.bak respaldo las base datos. 16 Lista carpetas respaldadas l Guardar archivos los Informe trabajo. El gerente seguridad be organizar los archivos generados en Seguridad 203

204 file server. Lista archivos.bak respaldo las base datos. generados. las carpetas correspondientes l servidor. Informe trabajo. Archivos compactados. 17 Informe trabajo. Ingresar bitácora. en Bitácora actualizada Informe trabajo. El gerente seguridad be ingresar la lista carpetas o base datos respaldados, la fecha y el estado los archivos. Seguridad 18 -Bitácora actualizada Fin Informe trabajo. El gerente seguridad be enviar un correo al Proyectos y Seguridad -Informe Recursos para hacer público que los 204

205 trabajo. respaldos se han llevado a cabo. Tabla 46: Gestión Solicitud respaldo información Fuente: Elaboración Propia 205

206 Diagrama l Proceso Imagen 20: Gestión solicitud respaldo información Fuente: Elaboración Propia 206

207 Definición Procesos: Administración Vulnerabilidas y Parches Propósito l Proceso El proceso Administración Vulnerabilidas y Parches es el que se encarga terminar cuáles son las actualizaciones y/o parches que el sistema operativo l servidor necesita tener instalado ntro l centro datos la carrera ingeniería sistemas y software. Descripción El proceso Administración Vulnerabilidas y Parches inicia cada tres semanas cuando se realiza una revisión cuáles son las actualizaciones que se encuentran en estado pendiente. Este proceso interactúa con la el análisis vulnerabilidas que se lleva a cabo en otro proyecto la empresa IT-Expert. Roles Roles Proyectos y Recursos. l Seguridad Descripción Administración los servidores l centro cómputo. Realizar seguimiento a los proyectos la empresa Encargado atenr solicitus servicios TI requerido por las empresas virtuales Encargado gestionar y supervisar todo lo relacionado a Seguridad tanto ntro l Centro Cómputo. 207

208 Entrada l Proceso Entrada Descripción Encargado Elaboración Listado recursos por empresa. Este documento contiene la lista alumnos con las que contará la empresa virtual a lo largo l ciclo. Gerencia Recursos empresa virtual. Salidas l Proceso Salida Descripción Encargado Elaboración Listado alumnos accesos con Este documento consiste en tener el listado alumnos que cuentan con acceso lógico a la carpeta correspondiente l centro datos. Seguridad l 208

209 Caracterización Entrada Actividad Salida Descripción Responsable 0 Inicio Resultado la Evaluación Seguridad. El gerente seguridad inicia el proceso administración vulnerabilidas en dos momentos, el primero es cuando se ha tectado una nueva vulnerabilidad en el sistema o cuando se inicia cada ciclo académico. Seguridad. Proceso que se encarga elaborar un BIA (Business Impact 1 Resultado la Evaluación Seguridad. Intificación vulnerabilidas Business Impact Analysis. Analysis) con el objetivo encontrar vulnerabilidas y/o amenazas que puedan afectar forma consirable el sistema. Este proceso tiene como información base los resultados la evaluación sarrollada por el Seguridad. Seguridad. Business Impact Análisis Plan Acción Proceso que se encarga elaborar un plan acción para 2 Analysis vulnerabilidas mitigar los impactos todas y cada una las vulnerabilidas y amenazas que fueron tectadas en el Seguridad. BIA. 220

210 El gerente recursos y proyectos IT-Expert se encarga revisar toda la información con la que se dispone para por terminar si es provechoso el implementar los 3 Plan Acción Es conforme? Plan acción Visado. Informe sustento. cambios sugeridos. Esta es la actividad más crítica ntro l proceso puesto que si el análisis costo beneficio es incorrecto se pue impactar directamente sobre los servicios brindados. Recursos Proyectos IT-Expert y En caso sea acuado implementar los cambios se crea el plan acción visado, en caso no sea recomendable implementar los cambios se crea el informe sustento. El Seguridad se encarga realizar todas las implementaciones y cambios tallados y requeridos en el 4 Plan Acción Visado. Implementar Parches. Informe implementación documento l plan acción. Al mismo tiempo el Seguridad se encarga ir registrando todas las incincias que puen salir en el proceso con el objetivo Seguridad. tener mapeadas todas las actividas en caso se necesite hacer un rollback. 210

211 El Seguridad be realizar un monitoreo por tres 5 Informe Implementación. Monitorear. Reporte Monitoreo semanas para asegurar que todos y cada uno los cambios implementados no han afectado el correcto funcionamiento Seguridad. los sistemas ni los servicios. Reporte Si el Seguridad encuentra fallas durante el 6 Reporte Monitoreo. Se encontraron fallas? Incincias. Reporte monitoreo be generar un reporte con la falla encontrada. En caso no se encuentren fallas se crear los reportes Seguridad. Monitoreo. monitoreo. 7 Reporte Incincias. Deshacer cambios los Reporte Cambios. El Seguridad utiliza el reporte Incincias y el Plan acción para realizar un rollback todos los cambios realizados y regresar a un estado seguro. Seguridad. 8 Reporte Incincias. Reporte Monitoreo. Consolidar para Reporte Reporte Incincias. Reporte Monitoreo. Esta actividad sirve para consolidar todos los documentos necesarios y crear el reporte final. Si se encontraron fallas durante el monitoreo, se utiliza el reporte cambios para crear el reporte, por otro lado, si no se encontraron fallas se utiliza el reporte incincias y monitoreo para crear el Seguridad Reporte Reporte reporte final. 211

212 Cambios. Cambios Reporte Incincias. 9 Reporte Monitoreo. Enviar Reporte Reporte Final El Seguridad genera los reportes necesarios para sustentar el resultado l proceso. Seguridad. Reporte Cambios Informe El Seguridad envía un correo al 10 sustento. Reporte Final Fin Reporte Final Recursos y Proyecto IT-Expert con el objetivo informar que el proceso se ha llevado a cabo forma correcta y que no han surgido problemas. Seguridad. Tabla 47: Administración vulnerabilidas y parches Fuente: Elaboración Propia 212

213 Diagrama Procesos Imagen 21: Administración vulnerabilidas y parches Fuente: Elaboración Propia 213

214 Definición Procesos: Gestión Solicitud Accesos Lógico Propósito l Proceso El propósito l proceso Gestión Solicitud Accesos Lógico es finir cuál es la secuencia actividas a seguir y el flujo acuado para solicitar acceso lógico a las carpetas l servidor creadas para cada empresa virtual en el centro datos la carrera Ingeniería Sistemas y Software. Este proceso guarda estrecha relación con las políticas finidas para la gestión la seguridad física y lógica. Descripción El proceso Gestión Solicitud Accesos se inicia cuando el gerente recursos cada empresa virtual genera la relación alumnos su empresa que ben tener acceso a las carpetas cada empresa. Los únicos alumnos que ben tener acceso a dichas carpetas son los alumnos Taller Desempeño 1, Taller Desempeño 2, Taller Proyectos 1 y Taller Proyectos 2. Luego, esta lista be ser revisada por el General la empresa, el mismo que visa la relación y solicita su atención por parte IT-Expert. Posterior a ello, el gerente proyectos y recursos IT-Expert revisan la lista y solicita al alumno encargado que tramite y notifique los accesos solicitados. Roles Área Funcional Proyectos y Recursos. Seguridad Descripción Alumno encargado administrar los servidores l centro cómputo, realizar seguimiento a los proyectos la empresa y también es el encargado atenr solicitus servicios TI requerido por las empresas virtuales. Encargado gestionar y supervisar todo lo relacionado a Seguridad ntro l Centro Cómputo. 214

215 Entradas l Proceso Entrada Descripción Encargado Elaboración Listado alumnos por empresa Este documento contiene la lista alumnos con las que contará la empresa virtual a lo largo l ciclo. Gerencia Recursos virtual. empresa Salidas l Proceso Salida Descripción Encargado Elaboración Este documento consiste en tener el Listado alumnos listado alumnos que cuentan con con accesos acceso lógico a la carpeta Seguridad correspondiente l centro datos. 215

216 Caracterización Entrada Actividad Salida Descripción Responsable El proceso inicia cuando el gerente proyectos y recursos 1 Inicio Listado alumnos por empresa la empresa IT- Expert solicita al resto empresas virtuales la relación alumnos a los cuales se les be otorgar acceso lógico a los files server cada empresa virtual ntro l centro datos la carrera Ingeniería Sistemas y Proyectos Recursos. y Software la UPC. Se prepara el documento que contendrá la relación alumnos Listado Crear Listado la empresa que contarán con acceso lógico a las carpetas 2 alumnos por relación alumnos por cada empresa virtual ntro l centro datos. Los datos que Proyectos y empresa alumnos empresa be tener este listado es: Código Alumno, Nombre l Recursos. Alumno, Empresa. Listado Es Relación El gerente proyectos y recursos IT-Expert revisan cada 3 alumnos por conforme? alumnos relación alumnos por empresa, verifica que esta sea correcta Proyectos y empresa revisada. y que se cumplan con los requisitos mínimos. En caso ser Recursos. 216

217 Relación correcta se pasa a visar la misma. alumnos revalidar a En caso ser incorrecta se retorna al gerente recurso la empresa virtual correspondiente para su atención. En caso sea necesaria una validación la lista alumnos el Relación Reformular Relación gerente recursos la empresa virtual be revisar, 4 alumnos a relación alumnos modificar según corresponda la relación alumnos y enviarla Proyectos y revalidar alumnos corregida. al gerente proyectos y recursos para que este verifique Recursos. nuevamente que todo se encuentre según lo estipulado. 5 Relación alumnos revisada. Visar y asignar para atención Relación alumnos visada. El gerente proyectos y recursos visar la relación alumnos como señal conformidad y revisión y riva al gerente seguridad la relación para que esta sea atendida. Proyectos Recursos. y 6 Relación alumnos visada. Relación alumnos corregida. Es conforme? Relación alumnos por revisar. Relación alumnos Se verifica si se necesita una revisión la lista alumnos por parte l gerente proyectos y recursos. En caso la lista sea correcta se proce a su atención y en caso no serla se solicita una revisión adicional al gerente recursos la empresa solicitante. Seguridad 217

218 Relación visada. alumnos revisada. Relación 7 Relación alumnos revisar. por Solicitar revisión lista alumnos. alumnos revisada. Reporte cancelación por El gerente seguridad IT-Expert pue solicitar la revisión la lista porque esta no cumple con los requisitos mínimos indispensables. Esta revisión se pue dar hasta en tres oportunidas, si se produce por cuarta vez el proceso se finaliza y se genera el reporte cancelación por iteraciones. Seguridad iteraciones. Relación Tramitar Relación El gerente seguridad es el responsable brindar accesos, alumnos visada. accesos permisos este tramita los accesos lógicos para los alumnos que figuran en Seguridad brindados por el listado, esta labor consiste en actualizar la información en la 8 alumno. base datos GSFL en la tabla SOL_ACC ingresando todos los datos mencionados en el punto 1, para que esta forma esta información sea explotada s un Excel con programación VBA. 218

219 Relación Cuando se haya terminado la actualización los datos en la permisos Reporte base datos, el gerente seguridad be enviar un correo Seguridad 9 brindados alumno. por Notificar accesos. relación permisos - tallando los cambios al responsable l centro datos y recordándole la ruta don se encuentra el Excel que genera el alumnos. reporte listado accesos permitidos y también a los alumnos a los cuales se les brindo el acceso correspondiente. Reporte 10 relación permisos - alumnos. Reporte cancelación por Fin Correo notificación El gerente seguridad se encarga enviar un correo al gerente recursos cada empresa virtual con la relación alumnos que cuentan con acceso a la carpeta compartida. Seguridad iteraciones. Tabla 48: Gestión solicitud accesos lógicos Fuente: Elaboración Propia 219

220 Diagrama l Proceso Imagen 22: Gestión solicitud accesos lógicos Fuente: Elaboración Propia 220

221 Definición Procesos: Monitoreo Componentes Propósito l Proceso El proceso Monitoreo Componentes consiste en llevar a cabo una serie actividas para terminar si el funcionamiento todos los componentes l centro datos la carrera Ingeniería Sistemas y Software. Por otro lado, este proceso se encarga supervisar que la carga trabajo que tiene el centro datos en la actualidad se encuentra ntro la capacidad l centro datos y así evitar incintes. Descripción El proceso Monitoreo Componentes inicia cada tres semanas durante el horario talleres proyecto (Lunes 4-7 pm y Miércoles 4-7). Este proceso tiene que evaluar cada uno los componentes l centro datos la carrera. Roles Rol Descripción Seguridad l Encargado gestionar y supervisar todo lo relacionado a la seguridad ntro l Centro Cómputo. Entradas l Proceso Entrada Descripción Encargado Elaboración Lista Métricas por componente l Sistema. Este documento contiene la lista métricas a calcular para cada uno los componentes l sistema ntro l centro datos la carrera. Gerencia Recursos y Proyectos 221

222 Salidas l Proceso Salida Descripción Encargado Elaboración Reporte Final l Sistema. Este documento consiste un informe sobre el estado actual l sistema y cada componente evaluado. l Seguridad 222

223 Caracterización Entrada Actividad Salida Descripción Responsable 1 Inicio Lista Métricas por componente l Sistema. Este proceso inicia cada tres semanas a partir l inicio clases cada ciclo regular y durante los horarios talleres sempeño y taller proyecto. Seguridad. En esta actividad el gerente seguridad se encarga realizar 2 Lista Métricas por componente l Sistema. Monitorear particiones. Reporte Métricas Particiones. un monitoreo y control sobre el sempeño las particiones en cada uno los servidores l centro datos la carrera. Las métricas que be calcular son Velocidad Lectura, Velocidad Escritura, Porcentaje Uso y Tiempo Seguridad. Acceso. Reporte Se tectaron Reporte En caso se encuentren fallas se inicia el proceso Métricas fallas? Incincia Intificación Problemas y se crea un reporte incincia, Seguridad. 3 Particiones. Particiones. en caso contrario se proce a realizar el siguiente monitoreo. Reporte Métricas 223

224 Particiones. 4 Reporte Métricas Particiones. Reporte Incincia Particiones. Monitorear discos. Reporte Métricas Disco. En esta actividad el gerente seguridad se encarga realizar un monitoreo y control sobre el sempeño cada uno los discos duros en los servidores l centro datos la carrera. Las métricas que be calcular son Velocidad Lectura, Velocidad Escritura, Porcentaje Uso y Tiempo Acceso. Seguridad. Reporte 5 Reporte Métricas Disco. Se tectaron fallas? Incincia Discos. Reporte Métricas En caso se encuentren fallas se inicia el proceso Intificación Problemas y se crea un reporte incincia, en caso contrario se proce a realizar el siguiente monitoreo. Seguridad. Disco. 6 Reporte Métricas Disco. Monitorear sempeño la CPU. Reporte Métricas CPU. En esta actividad el gerente seguridad se encarga realizar un monitoreo y control sobre el sempeño todos los CPU s ntro l centro datos la carrera. Las métricas que be calcular son Porcentaje Uso Sistema, Porcentaje Seguridad. 224

225 Reporte Uso Aplicaciones, Porcentaje Memoria Utilizado y Incincia Porcentaje CPU utilizado. Discos. 7 Reporte Métricas CPU. Se tectaron fallas? Reporte Incincia CPU. En caso se encuentren fallas se inicia el proceso Intificación Problemas y se crea un reporte incincia, en caso contrario se proce a realizar el siguiente monitoreo. Seguridad. 8 Reporte Métricas CPU. Reporte Incincia CPU. Verificar uso ancho banda Reporte Métricas ancho banda. En esta actividad el gerente seguridad se encarga realizar un monitoreo y control sobre el uso l ancho banda l servidor. Las métricas a calcular son Tiempo subida archivos, Tiempo bajada archivos, Numero MB por segundo y Tiempo respuesta. Seguridad. 9 Reporte Métricas ancho banda. Se tectaron fallas? Reporte Incincia Ancho Banda. En caso se encuentren fallas se inicia el proceso Intificación Problemas y se crea un reporte incincia, en caso contrario se proce a realizar el siguiente monitoreo. Seguridad. 225

226 Reporte Métricas Seguridad. 10 ancho banda. Reporte Incincia Revisar logs sistemas. Reporte Métricas Logs Sistema. l En esta actividad el gerente seguridad se encarga revisar los logs l sistema para verificar que no se haya presentado algún inconveniente con el sistema. Ancho Banda. 11 Reporte Métricas Logs Sistema. l Se tectaron fallas? Reporte Incincia Logs. En caso se encuentren fallas se inicia el proceso Intificación Problemas y se crea un reporte incincia, en caso contrario se proce a realizar el siguiente monitoreo. Seguridad. Reporte En esta actividad el gerente seguridad se encarga realizar 12 Incincia Logs. Reporte Métricas Logs l Probar equipos red. Reporte Métricas Red. un monitoreo y control sobre el sempeño las particiones en cada uno los servidores l centro datos la carrera. La métrica a calcular es el Tiempo respuesta Router/Switch, Número paquetes enviados, Número paquetes recibidos y Número paquetes perdidos. Seguridad. 226

227 Sistema. Reporte Reporte Métricas Incincia Seguridad. Red. Equipos 13 Se tectaron fallas? Red. Reporte Problemas. En caso se encuentren fallas se inicia el proceso Intificación Problemas y se crea un reporte incincia, en caso contrario se proce a realizar el siguiente monitoreo. Reporte Métricas Red. 14 Reporte Incincia Logs. Reporte Incincia Intificación Problemas. Plan Acción. Reporte Problemas. Proceso aún no finido por ser parte l proyecto alumnos TP1. Seguridad. Equipos 227

228 Red. Reporte Incincia Ancho Banda. Reporte Incincia CPU. Reporte Incincia Discos. Reporte Incincia Particiones. 15 Reporte Problemas. Generar Reporte. Reporte Final l Sistema. El gerente seguridad generar un reporte consolidado los reportes cada incincia en caso se haya presentado alguna o crea un reporte con el estado l sistema y las métricas Seguridad. 228

229 Reporte Métricas Red. calculadas en cada actividad monitoreo. 16 Reporte l Sistema. Final Fin Reporte Final l Sistema. El reporte es enviado al Recursos y Proyectos IT-Expert y el General la empresa IT-Expert Seguridad. Tabla 49: Monitoreo Componentes Fuente: Elaboración Propia 229

230 Diagrama Procesos Imagen 23: Monitoreo Componentes Fuente: Elaboración Propia 230

231 Definición Procesos: Gestión Pruebas Seguridad Propósito l Proceso El propósito l proceso Gestión Pruebas Seguridad es terminar cuál es el procedimiento acuado para llevar a cabo las pruebas seguridad al interior las instalaciones l centro datos y terminar si surgen nuevas incincias con respecto a la seguridad para que sean atendidas por la Gestión Problemas y al mismo tiempo para obtener indicadores sempeño l centro datos. Descripción El proceso Gestión Pruebas Seguridad inicia cada primer día hábil cada trimestre l ciclo académico. Es aquí cuando el Seguridad revisa la bitácora errores para terminar si han surgido nuevos incintes que ben ser rivados a la Gestión Problemas para que esta pueda terminar cuál es la causa l mismo y así aplicar las medidas correctivas necesarias. El alcance las pruebas se limita únicamente a los componentes que se encuentren ntro l centro datos la carrera Ingeniería Sistemas Información. Las pruebas que se llevarán a cabo han sido terminadas mediante un análisis seguridad y en estas se ben obtener los siguientes indicadores: Número nuevos incintes. Número incintes repetitivos. Número incintes tectados. Al final proceso el Seguridad se encarga notificar al General IT-Expert sobre las nuevas incincias encontradas para que esté al tanto las mismas y los posibles riesgos inherentes a estas fallas. 231

232 Roles Roles Descripción Seguridad Encargado gestionar y supervisar todo lo relacionado a Seguridad ntro l Centro Cómputo. Entradas l Proceso Entrada Descripción Encargado Elaboración Listado pruebas realizar a Este documento contiene la lista pruebas/software a utilizar para terminar si el centro datos se encuentra en un nivel mínimo aceptable. Gerencia Proyectos Recursos Expert y IT- Salidas l Proceso Salida Descripción Encargado Elaboración Informe Pruebas Seguridad. Este documento consiste en el listado las pruebas realizadas, las incincias registradas y los posibles impactos las mismas. l Seguridad 232

233 Caracterización Entrada Actividad Salida Descripción Responsable 1 - Inicio Listado pruebas a El proceso inicia por solicitud expresa l gerente proyectos y Seguridad realizar recursos IT-Expert 2 Listado pruebas realizar a Revisar bitácora errores Listado errores bitácora. en El gerente seguridad revisa la relación incincias registradas en la bitácora para así terminar si existe un incinte no registrado Seguridad antes o no. 3 Listado errores bitácora. en Se encontraron nuevas fallas? Listado Nuevos Incintes. Listado Errores en Al revisar la bitácora el gerente seguridad be analizar si se trata un nuevo problema o uno ya conocido, en caso se trate un nuevo problema se riva el caso a la Gestión Problemas para que Seguridad 233

234 bitácora. lo intifique. El proceso aún no se ha terminado 4 Listado Nuevos Incintes. Gestión Problemas finir por los alumnos proyecto 1, sin embargo, este proceso tiene como input la información encontrada en las Seguridad pruebas seguridad. Esta actividad sirve para 5 Listado Errores bitácora. en Consolidar Listado Errores bitácora. en terminar consolidar todos los documentos necesarios la actividad Realizar las pruebas Seguridad según manual. El gerente seguridad se encarga 6 Listado Errores bitácora. en Realizar pruebas Manual las según Resultado la Evaluación. llevar a cabo las pruebas scritas en el Manual Pruebas con el objetivo intificar el origen las incincias Seguridad encontradas en la bitácora que no 234

235 han sido rivadas a la Gestión Problemas. Listado 7 Resultado la Evaluación. Se fallas? encontraron Incincias encontrado durante Evaluación. la En caso encontrarse fallas se notifican las mismas y se analiza si ben ser enviadas a la Gestión Problemas o se be buscar una Seguridad Listado solución a este incinte. Nuevas Fallas. 8 Listado Incincias encontrado durante Evaluación. la Registrar Incincias Encontradas Listado fallas registradas. El gerente seguridad registra las incincias encontradas para que estas sirvan ayuda a futuros problemas que se puedan presentar. Seguridad 9 Listado Incincias encontrado durante la Consolidar Listado fallas registradas. Esta actividad sirve para terminar consolidar todos los documentos necesarios la actividad Crear informe pruebas Seguridad 235

236 Evaluación. seguridad Listado Nuevas Fallas. Listado fallas registradas. 10 Listado fallas Crear informe pruebas Informe Pruebas El gerente seguridad se encarga crear el informe pruebas seguridad para que el Seguridad registradas. seguridad Seguridad. General IT-Expert esté al tanto las mismas. 11 Informe Pruebas Seguridad. Fin Correo Notificación Se envía el Informe Pruebas Seguridad al Proyectos y Recursos la empresa IT- Expert. Seguridad Tabla 50: Gestión Pruebas Seguridad Fuente: Elaboración Propia 236

237 Diagrama l Proceso Imagen 24: Gestión Pruebas Seguridad Fuente: Elaboración Propia 237

238 Definición Procesos: Restauración Backup Propósito l Proceso El propósito l proceso restauración backup es terminar cuál es el procedimiento acuado para llevar a cabo la restauración los archivos que han sido almacenados en un archivo respaldo. Descripción El proceso restauración backup inicia cuando le llega al gerente proyectos y recursos la empresa virtual IT-Expert una solicitud restauración archivos respaldo. El gerente be validar y verificar que la solicitud cumpla con los requisitos mínimos para ser atendido. El gerente seguridad termina qué tipo solicitud es, es cir si se trata la restauración una base datos o algún archivo l file server respaldado. El gerente seguridad be notificar a la gestión problemas si se presenta algún problema l cual no tiene conocimiento ni información disponible a lo largo l proceso. Finalmente, el gerente seguridad envía el informe restauración para dar por finalizado el proceso. Roles Roles Seguridad Proyectos y Recursos Descripción Encargado gestionar y supervisar todo lo relacionado a Seguridad ntro l Centro Cómputo. Es la persona encargada administrar los servidores l centro cómputo, realizar seguimiento a los proyectos la empresa y atenr solicitus servicios TI las empresas virtuales. 238

239 Entradas l Proceso Entrada Descripción Encargado Elaboración Este documento contiene la lista archivos y/o bases datos que ben ser restaurados, este Gerencia Formato documento be tener un sustento l porque se Proyectos y restauración. necesita la restauración y la conformidad l Recursos IT- gerente l recursos la empresa que solicite Expert el servicio. Salidas l Proceso Salida Descripción Encargado Elaboración Este documento consiste en el listado los Informe Restauración. archivos que se han restaurado exitosamente y cuales han sufrido problemas a los largo l proceso y han sido rivados a la gestión Seguridad l problemas para su atención 239

240 Caracterización Entrada Actividad Salida Descripción Responsable 1 Formato restauración. Inicio Formato restauración. El proceso inicia por solicitud expresa cualquier empresa virtual a la cual IT- Expert brinda servicios. Proyectos y Recursos. El gerente proyectos y recursos la 2 Formato restauración. Revisar/Derivar el caso. Conformidad atención. Formato restauración empresa IT-Expert se encarga revisar que el formato restauración cumpla con todas las indicaciones y requisitos presentes en el formato. Una vez verificada la información en el formato, se riva al Proyectos y Recursos. gerente seguridad para su atención. 3 Formato restauración. Verificar el tipo solicitud Listado archivos a El gerente seguridad se encarga revisar y terminar qué tipo solicitud se trata y cuál es el procedimiento Seguridad 240

241 Conformidad restaurar. a seguir. La solicitud restauración pue atención. Manual Restauración. ser dos tipos: Archivos en el File Server o Restauración Base Datos. 4 Listado archivos a restaurar. Manual Restauración. Ejecutar proceso Restauración Base Datos Listado archivos restaurados. El gerente seguridad sigue el procedimiento tallado en el Manual Restauración para restaurar la base datos solicitada. Seguridad 5 Listado archivos a restaurar. Manual Restauración. Restaurar archivos l file server. Listado archivos restaurados. El gerente seguridad sigue el procedimiento tallado en el Manual Restauración para restaurar archivos que se encuentren ntro l File Server. Seguridad 6 Listado archivos restaurados. Verificar errores/problemas Resultado Validación Archivos El gerente seguridad verifica y comprueba que los archivos (base datos, archivos) que han sido restaurados se Seguridad 241

242 Restaurados. Listado archivos restaurados. encuentren habilitados y no tengan problemas. El proceso Gestión Problemas tiene 7 Resultado Validación Archivos Gestión Problemas como inputs los posibles errores que aparecen en la restauración backup. Y el output aún no se tiene finido pues forma Seguridad Restaurados. parte un proyecto alumnos taller proyecto1 8 Resultado Validación Archivos Restaurados. Listado archivos restaurados. Consolidar Resultado Validación Archivos Restaurados. Listado archivos restaurados. Esta actividad se encarga unificar y controlar el inicio la actividad Crear Informe Restauración ya que está pue iniciarse s la Gestión Problemas en caso se hayan presentado problemas nuevos o iniciar directamente dado que no se encontraron nuevos problemas. Seguridad 242

243 Resultado 9 Validación Archivos Restaurados. Listado archivos Crear informe restauración. Informe Restauración El gerente seguridad se encarga crear el informe restauración en el cual se talla cuáles son los archivos restaurados y cuál es el estado los mismos. Seguridad restaurados. 10 Informe Restauración Fin Se envía el Informe Restauración al Proyectos y Recursos la empresa IT-Expert. Seguridad Tabla 51: Restauración Backup Fuente: Elaboración Propia 243

244 Diagrama l Proceso Imagen 25: Restauración Backup Fuente: Elaboración Propia 244

245 Definición Procesos: Control Vulnerabilidas Técnicas Propósito l Proceso El propósito l proceso control vulnerabilidas técnicas es el finir, controlar y monitorear a los recursos que sempeñan un rol en el manejo las vulnerabilidas técnicas los sistemas l centro datos. Descripción El proceso Control vulnerabilidas técnicas se inicia cuando el gerente seguridad fine los roles y responsabilidas en base a los diferentes sistemas y aplicativos splegados en el centro datos la carrera. Una vez finido esto se envía el documento al General y este lo lega al Proyectos y Recursos para que este asigne dichos roles entre los recursos la empresa virtual IT- Expert. El recurso envía su conformidad al Proyectos y Recursos, el cuál será revisado por este y enviado vuelta al gerente seguridad para que este fina la línea tiempo, evaluación parches y termine el monitoreo y evaluación las vulnerabilidas con cada recurso responsable por los sistemas l centro datos. Roles Roles Área Funcional Descripción General IT-Expert Encargada monitorear el avance y la presentación los entregables, amás realizar las coordinaciones necesarias entre el Jefe Proyecto y el Comité Proyectos. Proyectos y Recursos IT-Expert Encargado supervisar y administrar todos los proyectos la empresa IT- Expert. Recurso IT-Expert Alumno IT-Expert que se encuentra cursando los cursos Taller 245

246 Desempeño o Taller Proyectos. Seguridad IT-Expert Encargado gestionar y supervisar todo lo relacionado a Seguridad tanto ntro como fuera l Centro Cómputo. Entradas l Proceso Entrada Descripción Encargado Elaboración Necesidad control Al inicio l ciclo académico el gerente vulnerabilidas seguridad tendrá que finir los roles y técnicas los responsabilidas respecto a los sistemas l Seguridad sistemas l centro datos. centro datos Salidas l Proceso Salida Descripción Encargado Elaboración Documento monitoreo y evaluación las vulnerabilidas técnicas Este documento indica el plan a seguir para el control, monitoreo y evaluación los sistemas l centro datos respecto a sus vulnerabilidas técnicas. Seguridad 246

247 Caracterización Entrada Actividad Salida Descripción Responsable 1 -- Inicio Necesidad control vulnerabilidas técnicas los sistemas l centro datos. Inicia el proceso. Seguridad 2 Necesidad control vulnerabilidas técnicas los sistemas l centro datos Definir roles y responsabilidas Documento roles y responsabilidas sobre el control vulnerabilidas técnicas Cada período académico el jefe seguridad turno fine los roles y responsabilidas sobre los sistemas l centro datos. Esto se da cada inicio ciclo académico. Seguridad Documento roles y 3 responsabilidas sobre el control vulnerabilidas Enviar documento Documento roles y responsabilidas enviado El jefe seguridad envía el documento al gerente general la empresa virtual IT-Expert. Seguridad técnicas 247

248 4 Documento roles y responsabilidas enviado Revisar documento roles y responsabilidas Recepción y revisión documento roles y responsabilidas revisado El gerente general la empresa virtual IT- Expert revisa el documento. General 5 Recepción y revisión documento roles y responsabilidas revisado Enviar documento Envío documento roles y responsabilidas revisado enviado El gerente general la empresa virtual IT- Expert envía al gerente proyectos y recursos el documento. General 6 Envío documento roles y responsabilidas revisado enviado Revisar documento roles y responsabilidas Recepción y revisión documento roles y responsabilidas revisado El gerente proyectos y recursos revisa el documento. Proyectos Recursos y 7 Recepción y revisión documento roles y responsabilidas revisado Enviar documento Envío documento roles y responsabilidas revisado enviado El gerente proyectos y recursos envía a los recursos la empresa tanto a Helpsk como a Service Desk el documento. Proyectos Recursos y 8 Envío documento roles y Revisar documento roles y Revisión documento roles y El recurso revisa el documento roles y Recurso 248

249 responsabilidas responsabilidas responsabilidas responsabilidas a talle. revisado enviado revisado Revisión documento 9 roles y responsabilidas Enviar conformidad Conformidad recurso El recurso envía su conformidad respecto al rol y responsabilidad asignado. Recurso revisado 10 Conformidad recurso Revisar conformidas Conformidad proyectos y recursos El gerente se encarga revisar las conformidas y informar al jefe seguridad sobre esto. Proyectos Recursos y El jefe seguridad elabora el documento 11 Conformidad proyectos y recursos Definir línea tiempo Documento finición línea tiempo finición línea tiempo respecto a los sistemas l centro datos enfocándose en las vulnerabilidas técnicas potenciales y Seguridad relevantes. 12 Documento finición línea tiempo Definir parches evaluación Documento evaluación parches El jefe seguridad elabora el documento evaluación parches con los aplicativos actuales con los que cuenta el centro datos, indicando en este cuáles serán los pasos por Seguridad 249

250 cada aplicativo para ejecutar la actividad en caso sea requerida. En esta actividad se podrá verificar el número parches finidos por aplicativo en el ciclo académico. El jefe seguridad se encarga realizar un monitoreo y evaluación acompañado los 13 Documento evaluación parches Monitorear evaluar vulnerabilidas técnicas y las Documento monitoreo y evaluación las vulnerabilidas técnicas recursos asignados a cada sistema o aplicativo a realizar una pequeña evaluación sobre las vulnerabilidas técnicas. Esta actividad se realiza cada inicio y fin ciclo académico. En esta actividad se podrá intificar el número Seguridad vulnerabilidas técnicas evaluadas y monitoreadas durante el ciclo académico. 14 Documento monitoreo y evaluación las vulnerabilidas técnicas Fin -- El proceso finaliza cuando el gerente seguridad revisa el documento monitoreo y evaluación las vulnerabilidas técnicas. Seguridad Tabla 52: Control Vulnerabilidas Técnicas 250

251 Fuente: Elaboración Propia 251

252 Diagrama l Proceso Imagen 26: Control Vulnerabilidas Técnicas Fuente: Elaboración Propia 252

253 Definición Procesos: Gestión Claves Propósito l Proceso El propósito l proceso Gestión Claves es el monitorear a lo largo l ciclo académico en curso el proceso atención registro, re inicialización y control las contraseñas los recursos las empresas virtuales específicamente las la empresa virtual IT-Expert. Este proceso es clave para mantener protegido los datos los aplicativos l centro datos la facultad. Descripción El proceso Gestión Claves se inicia cuando se inicia el ciclo académico en curso y el Proyectos y Recursos la empresa virtual IT-Expert elabora el documento con el consolidado los recursos con sus roles, así también con los perfiles en los aplicativos con los que cuenta el centro datos. Este documento es enviado y validado por Service Desk, en caso no pase la validación se envía el documento al Proyectos y Recursos para que corrija los errores, por otro lado, si pasa la validación, se envía a Helpsk para que este intifique a los encargados cada aplicativo y se asignen las contraseñas a los recursos que lo requieren, informando a estos sobre su contraseña y haciéndoles recordar que tienen que cambiarla a una su preferencia personal. Al final l ciclo se reinicializan las contraseñas a todos los recursos por parte los encargados los aplicativos. Roles Roles Descripción Administración los servidores l centro cómputo. Proyectos y Recursos. Realizar seguimiento a los proyectos la empresa Encargado atenr solicitus servicios TI requerido por las empresas virtuales 253

254 l Seguridad Encargado - Helpsk Encargado - Service Desk Encargado gestionar y supervisar todo lo relacionado a Seguridad tanto ntro como fuera l Centro Cómputo. Recurso la empresa virtual IT-Expert que se encargan atenr solicitus legadas por Service Desk. Recurso la empresa virtual IT-Expert que se encargan atenr validar y legar solicitus o requerimientos los usuarios. Entradas l Proceso Entrada Descripción Encargado Elaboración Se elabora el documento con el mapeo Inicio Ciclo Académico recursos, roles, perfiles y aplicativos para que Service Desk y Helpsk puedan brindar las contraseñas a los recursos la Proyectos Recursos y empresa. Salidas l Proceso Salida Descripción Encargado Elaboración Reporte problemas. Encuesta ciclo final. Al finalizar el ciclo los recursos Helpsk elaborarán un reporte indicando si se tuvo inconvenientes con las contraseñas en algún aplicativo (como borrado aleatorio, etc.) así como también la aplicación una encuesta en la cual se verificará si la gestión las contraseñas fue óptima. Helpsk 254

255 Caracterización Entrada Actividad Salida Descripción Responsable 1 -- Inicio Lista alumnos matriculados Se Inicia el proceso obteniendo la lista alumnos matriculados en los cursos TDP1, TDP2, TP1 y TP2 en el presente ciclo académico. Proyectos Recursos y 2 Lista alumnos matriculados Elaborar documento recursos, roles y aplicativos Documento recursos, roles y aplicativos El recursos elabora el documento con el fin mapear los recursos con los roles que sempeñarán en el ciclo académico así como también con los aplicativos que estos usaran a lo largo l ciclo. Proyectos Recursos y 3 Documento recursos, roles y aplicativos Enviar documento Documento recursos, roles y aplicativos enviado El envía el documento a Service Desk para que este vali el documento y lo legué. Proyectos Recursos y 4 *Documento recursos, roles y aplicativos enviado. * Documento recursos, roles y Intificar si es corrección o primera entrega Documento recursos, roles y aplicativos intificado El encargado Service Desk intifica si es una corrección o una primera entrega, ya que en caso sea una primera entrega se valida todo el documento y si es una corrección se validan las correcciones únicamente. Encargado - Service Desk 255

256 aplicativos corregido. 5 Documento recursos, roles y aplicativos intificado Revisar documento recursos, roles y aplicativos Documento recursos, roles y aplicativos recibido Service Desk Revisa el documento para validarlo. Encargado - Service Desk 6 Documento recursos, roles y aplicativos recibido Validar documento recursos, roles y aplicativos Conforme. No conforme. Service Desk valida el documento. Encargado - Service Desk 7 No conforme Enviar conformidad no Documento recursos, roles y aplicativos no conforme enviado Service Desk envía el documento sin conformidad al Proyectos y Recursos para que este realice las correcciones necesarias. Encargado - Service Desk 8 Documento recursos, roles y aplicativos no Corregir documento recursos, roles y Documento recursos, roles y aplicativos El realiza las correcciones necesarias al documento. Proyectos Recursos y 256

257 conforme enviado aplicativos corregido 9 Documento recursos, roles y aplicativos corregido Enviar documento corregido Documento recursos, roles y aplicativos corregido y enviado El envía el documento a Service Desk para que este vali el documento y lo legué. Proyectos Recursos y 10 Conforme Enviar documento Documento recursos, roles y aplicativos enviado Service Desk lega la solicitud a Helpsk. Encargado - Service Desk 11 Documento recursos, roles y aplicativos enviado Revisar documento recursos, roles y aplicativos Documento recursos, roles y aplicativos recibidos Helpsk Revisa el documento y asigna a un recurso para que atienda la solicitud Encargado - Helpsk 12 Documento recursos, roles y aplicativos recibidos Revisar relación recursos encargados Relación recursos revisado Helpsk revisa la relación recursos encargados los aplicativos Encargado - Helpsk 13 Relación Intificar Recurso Dependiendo l aplicativo Helpsk intifica a los encargados los aplicativos y les lega la lista los Encargado - 257

258 recursos revisado recurso para tarea intificado recursos que necesitarán que se les cree una contraseña nueva o que se les reinicie la contraseña Helpsk *Recurso El encargado Helpsk verifica la procencia ya que 14 intificado * No conformidad enviada Verificar procencia Procencia verificada si es un recurso que recién se ha asignar es porque hay que realizar todo el registro en cambio, si proviene l gerente recursos es porque solo hay que realizar las Encargado - Helpsk correcciones realizadas por éste. El recurso registra la contraseña para el recurso IT- Expert que usará el aplicativo y en caso ya cuenta con una 15 Procencia verificada Registrar corregir contraseña o Contraseña registrada / corregida contraseña s el ciclo pasado se procerá a reiniciar la contraseña. En esta actividad se podrá intificar el número contraseñas registradas y corregidas en el ciclo Encargado - Helpsk académico así como también el número contraseñas mal registradas y mal corregidas en el ciclo académico. 16 Contraseña registrada / corregida Enviar información registro Información enviada Se envía un correo a todos los recursos a los cuales se les ha registrado una contraseña y se les recuerda que tienen que cambiar esa contraseña y colocar una propia. Encargado - Helpsk 258

259 17 Información enviada Recepción información contraseñas Información contraseñas recibida El recibe la información las contraseñas registradas. Proyectos Recursos y El verifica que las contraseñas brindadas sean las 18 Información contraseñas recibida Verificar información registro contraseñas *Conforme. *No conforme. mismas que las solicitadas en el documento recursos, roles y aplicativos. En esta actividad se podrá intificar el porcentaje contraseñas registradas y corregidas manera correcta versus las contraseñas que fueron mal Proyectos Recursos y registradas en el ciclo académico. 19 No conforme. Enviar conformidad no No enviada conformidad El envía la no conformidad la información las contraseñas para que el encargado Helpsk revise sus errores ingreso. Proyectos Recursos y 20 Conforme Enviar conformidad Conformidad enviada El envía su conformidad con la tarea realizada por el encargado Helpsk. Proyectos Recursos y 21 Conformidad enviada Registrar en la BD Registros realizados El encargado Helpsk se encarga registrar la información en la base datos. En esta actividad se podrá intificar Número registros contraseñas en la Encargado - Helpsk 259

260 Base datos a lo largo l ciclo académico. Al finalizar el ciclo académico se proce a reiniciar todas 22 Registros realizados Reiniciar contraseñas Registros realizados revisados las contraseñas los recursos la empresa virtual IT- Expert. Por lo que el encargado revisa los registros Encargado - Helpsk realizados en el presente ciclo académico. 23 Registros realizados revisados Reiniciar contraseñas Contraseñas reiniciadas Se reinician las contraseñas al finalizar el ciclo académico y se realiza un informe tallando esta actividad. Encargado - Helpsk 24 Contraseñas reiniciadas Fin -- El proceso finaliza cuando el encargado reinicia las contraseñas los usuarios l ciclo académico que esta por culminar. Encargado - Helpsk Tabla 53: Gestión Claves Fuente: Elaboración Propia 260

261 Diagrama l Proceso Imagen 27: Gestión Claves Fuente: Elaboración Propia 261

262 Definición Procesos: Revisión e Instalación Software Propósito l Proceso El propósito l proceso Revisión e instalación software es la controlar y proteger el centro datos la instalación cualquier software que no cuente con los requisitos necesarios que indican que es seguro y así no poner en riesgo la seguridad la información l centro datos. Descripción El proceso Revisión e instalación software se inicia cuando nace una solicitud parte un recurso la empresa virtual IT-Expert tiene la necesidad instalar un aplicativo, por lo que envía una solicitud en don talla la información l aplicativo. Esta solicitud es enviada a Service Desk don se atien y se valida el formato ésta. En caso la validación sea correcta, la solicitud es enviada al gerente seguridad Helpsk el cual se encargará evaluar y validar la información l software a ser instalado así como también ver si es factible la instalación l mismo en el centro datos, reuniéndose con el recurso la empresa virtual para afinar talles sobre la instalación l aplicativo. Roles Roles Área Funcional Descripción Seguridad IT-Expert Es el encargado velar por la seguridad l centro datos. Recurso IT-Expert Es el recurso la empresa virtual IT- IT-Expert Expert el cual pue estar cursando los cursos taller sempeño o proyecto. Service Desk IT-Expert Es el encargado controlar y monitorear las solicitus los usuarios. 262

263 Entradas l Proceso Entrada Descripción Encargado Elaboración Necesidad La necesidad instalar un nuevo software en el Instalación un nuevo software en el centro centro datos siempre es una necesidad para los recursos las diferentes empresas virtuales la carrera especialmente la empresa virtual Recurso Expert IT- datos IT-Expert. Salidas l Proceso Salida Descripción Encargado Elaboración Software instalado correctamente registrado. El software es registrado bidamente en la base datos don están registrados los aplicativos que están splegados en el centro datos. Jefe Seguridad - Helpsk 263

264 Caracterización Entrada Actividad Salida Descripción Responsable 1 -- Inicio Necesidad Instalación un nuevo software en el centro datos Se inicia el proceso al necesitarse la instalación un nuevo software en el centro datos. Recurso Expert IT- 2 Necesidad Instalación un nuevo software en el centro datos Redactar solicitud instalación software en el centro datos Solicitud instalación nuevo software en el centro datos Recurso Expert Un recurso la empresa virtual IT- Expert redacta una solicitud instalación un nuevo software en el centro datos en vista a una necesidad. IT- 3 Solicitud instalación nuevo software en el centro datos Enviar solicitud Solicitud instalación nuevo software en el centro datos enviado El recurso la empresa IT-Expert envía la solicitud a Service Desk. Recurso Expert IT- 4 Solicitud instalación nuevo software en el centro Revisar *Solicitud instalación nuevo software en el centro Un recurso Service Desk se encarga revisar la solicitud, en Service Desk 264

265 datos solicitud datos aceptada. *Solicitud instalación nuevo software en el centro datos rechazada. caso aceptar se lega el pedido. En caso que no se acepta, se rechaza la solicitud. 5 Solicitud instalación nuevo software en el centro datos rechazada. Enviar solicitud rechazada Solicitud instalación nuevo software en el centro datos rechazada enviada. El recurso Service Desk envía la respuesta a la solicitud l usuario. Service Desk Solicitud instalación Al ser rechazada la solicitud se envía nuevo software en el centro una respuesta al usuario explicándole 6 datos rechazada enviada. *Solicitud instalación nuevo software en el centro Término -- la razón l rechazo dando por finalizado el proceso. El usuario en caso see reenviar otra solicitud Recurso Expert IT- datos aceptada enviada tendrá que iniciar el proceso revisada rechazada enviada. nuevamente. 7 Solicitud instalación nuevo software en el centro datos aceptada Enviar solicitud aceptada Solicitud instalación nuevo software en el centro datos aceptada enviada. El recurso Service Desk lega la solicitud la solicitud hacia Helpsk Service Desk 265

266 Revisar 8 Solicitud instalación nuevo software en el centro datos aceptada enviada. solicitud instalación software en el centro Solicitud instalación nuevo software en el centro datos aceptada enviada recibida El jefe seguridad quien es el encargado velar por la seguridad l centro datos recibe la solicitud y proce a revisarla. Seguridad datos El jefe seguridad quien es el encargado velar por la seguridad 9 Solicitud instalación nuevo software en el centro datos aceptada enviada revisada Validar solicitud instalación *Solicitud instalación nuevo software en el centro datos aceptada enviada revisada aceptada. *Solicitud instalación nuevo software en el centro datos aceptada enviada revisada rechazada. l centro datos revisa la solicitud y realiza un estudio en el cual ve si el software a instalar cuenta con todos los requisitos necesarios seguridad. Esta actividad permitirá intificar el número vulnerabilidas básicas con las que cuentan los aplicativos rechazados en el ciclo académico así también el Seguridad porcentaje aplicativos aceptados vs rechazados en el ciclo académico. 266

267 10 *Solicitud instalación nuevo software en el centro datos aceptada enviada revisada rechazada. Enviar solicitud rechazada Solicitud instalación nuevo software en el centro datos aceptada enviada revisada rechazada enviada. El jefe seguridad envía su respuesta al usuario tallando el motivo l rechazo. Seguridad 11 *Solicitud instalación nuevo software en el centro datos aceptada enviada revisada aceptada. Enviar solicitud aceptada Solicitud instalación nuevo software en el centro datos aceptada enviada revisada aceptada enviada El jefe seguridad envía su respuesta al usuario indicándole el día en que se llevará a cabo la reunión para ver talles sobre la instalación Seguridad 12 Solicitud instalación nuevo software en el centro datos aceptada enviada revisada aceptada enviada Revisar respuesta Solicitud instalación nuevo software en el centro datos aceptada enviada revisada aceptada enviada revisada. El usuario recibe y revisa la respuesta enviada por el jefe seguridad. Recurso Expert IT- 13 Solicitud instalación nuevo software en el centro datos aceptada enviada revisada aceptada enviada Establecer reunión Acta reunión El usuario se reúne con el jefe seguridad especificando los talles la instalación l software en el centro datos. Recurso Expert IT- 267

268 revisada. 14 Acta reunión. *Software instalado manera incorrecta. Instalar software en el centro datos Software instalado El jefe seguridad se encarga realizar la instalación l software en el centro datos. Seguridad 15 Software instalado Validar instalación l software *Software instalado correctamente. *Software instalado manera incorrecta. El usuario verifica si el software fue instalado manera correcta. Recurso Expert IT- Registrar El jefe seguridad registra el nuevo nuevo software a talle ntro l registro 16 Software correctamente. instalado software en la lista aplicativos l Software instalado correctamente registrado. don se encuentran todos los aplicativos que cuenta el centro datos. Esta actividad permitirá Seguridad centro intificar el número aplicativos datos instalados en el ciclo académico. 17 Software instalado Fin -- El proceso finaliza al concretarse la instalación l software y a su vez 268

269 correctamente registrado. este es registrado. Seguridad Tabla 54: Revisión e Instalación Software Fuente: Elaboración Propia 269

270 Diagrama l Proceso Imagen 28: Revisión e instalación Software Fuente: Elaboración Propia 270

271 Política Seguridad Lógica Introducción La seguridad lógica brinda el marco para proteger a la información en el uso aplicativos y sistemas durante las operaciones en el centro datos la facultad Ingeniería. También, previene evitar al máximo el riesgo accesos no autorizados, mediante el establecimiento controles accesos. Se distinguen tres conceptos a tener en cuenta: gestión comunicaciones y operaciones, control accesos y la adquisición y mantenimiento sistemas; los cuáles se tocan manera tallada en los puntos: , y en este mismo documento. Alcance Esta política aplicará a todo el personal vinculado laboralmente y educativamente con la UPC así también terceros que tengan acceso a los recursos información l data center la universidad. Acrónimos y finiciones Data Center Centro datos la carrera Ingeniería Sistemas y Software la Universidad Peruana Ciencias Aplicadas. Objetivos Objetivo General Establecer las políticas básicas que normarán la infraestructura stinada a brindar seguridad lógica los sistemas l centro datos. Objetivos Específicos Asegurar las operaciones los recursos tratamiento información se realicen manera segura y correcta en el centro datos. Controlar los accesos a la información los sistemas l centro datos. Asegurar que los sistemas a ser adquiridos, splegados y/o mantenidos cuenten con la seguridad requerida para evitar intrusiones y pérdida información. 271

272 Enunciado la Política Los sistemas y aplicativos l centro datos la facultad Ingeniería, ben cumplir con todas las políticas funcionales y procedimientos seguridad lógica, con el fin evitar el acceso por personas no autorizadas, daño e interferencia a los recursos información. Responsabilidas Es responsabilidad l director las carreras Ingeniería Sistemas Información e Ingeniería Software la aprobación esta política. Violaciones a la política En caso se viole la Política Seguridad Lógica se dispone aplicar las siguientes sanciones: Suspensión o acceso restringido al data center. Reembolso por algún daño causado. Suspensión sin pago salario. Demanda civil o penal. Estas sanciones se encuentran en el Reglamento Disciplina la Universidad Peruana Ciencias Aplicadas. Conceptos y directrices sobre la Política Seguridad Lógica Gestión Comunicaciones y Operaciones Se be asegurar la operación correcta y segura los recursos que tratan la información. Todos estos recursos ben tener responsabilidas y procedimientos establecidos modo que las operaciones sean las indicadas y ante incincias las respuestas sean ejecutadas sin problemas. Protección contra software malicioso Los sistemas l centro datos ben estar protegidos contra software malicioso. Todos los usuarios los sistemas ben conocer los peligros este software y los 272

273 encargados u administradores estos ben controlar y prevenir mediante medidas especiales, tectando y evitando su ingreso a los sistemas. Recomendaciones y controles adicionales: El Seguridad be implementar procedimientos recolección información referido a nuevos virus o software maliciosos. El Seguridad be solicitar la instalación y actualización cada ciclo software tección y reparación virus. Este software be tener las opciones para explorar tanto los sistemas l centro cómputo como los medios externos que estén conectados a estos sistemas. Así también be contar con la opción revisión archivos adjuntos correos electrónicos. Finalmente be verificar cualquier código malicioso en las páginas web. El Seguridad be establecer un plan continuidad en caso se presente apropiado para la recuperación ataques virus. Esto incluye tanto data como software los sistemas l centro datos. Gestión respaldo y recuperación Se be mantener la integridad y la disponibilidad los sistemas información. Para esto, se ben establecer procesos rutinarios para generar respaldos hacienda copias seguridad (backup). Recomendaciones y controles adicionales: El DBA be almacenar los respaldos en una localización diferente a la l centro datos, a fin, estos se no se vean afectados a daños en caso se algún problema o incinte en el centro datos. El DBA be probar los medios respaldo cada inicio ciclo estudios, para que estos sean confianza en caso emergencias. El DBA be finir el nivel necesario recuperación la información. Se be comprobar y verificar a cada inicio ciclo académico que el proceso recuperación es eficaz y cumple con tiempos ntro lo aceptable. Gestión seguridad en res 273

274 Se be asegurar la protección la infraestructura apoyo e información en las res. Recomendaciones y controles adicionales: El Seguridad be solicitar cada inicio ciclo académico un reporte los servicios red, electricidad y sistemas ventilación al área soluciones generales a fin por planificar, en caso se necesite, nuevas adquisiciones referidas a estos servicios y amás tener un control sobre estos elementos que brindan una protección ambiental al centro datos. Utilización medios información Evitar daños a los sistemas l centro datos causados por medio información internos como externos, a fin que no se vea afectada la disponibilidad estos. Estos medio ben ser controlados y físicamente protegidos. Recomendaciones y controles adicionales: Todo medio información interno be ser almacenado por medio l Supervisor en los lugares en los cuales el fabricante recomienda. Todo medio información externo be ser registrado al ingresar al centro datos y previo a realizarse alguna actividad con este, be ser explorado por el software tección virus a fin evitar daños en los sistemas. Esta actividad be ser supervisada por el Supervisor. Monitoreo Toda actividad procesamiento información no autorizada be ser tectada. Todos los sistemas con los que cuenta el centro datos ben ser monitoreados por sus respectivos administradores, teniendo siempre un registro los usuarios y las operaciones que estos realizaron en el sistema, a fin asegurar la intificación los problemas. Recomendaciones y controles adicionales: El nivel monitoreo requerido be ser terminado por una evaluación riesgos. Los resultados esta evaluación riesgos ben ser analizados por el Seguridad l centro datos con el propósito establecer los procedimientos para el uso l monitoreo. 274

275 Los administradores los sistemas/aplicativos l centro datos ben monitorear lo siguiente: accesos autorizados, intentos accesos no autorizados, operaciones privilegiadas, alertas o fallas l sistema y cambio o intentos cambio en la configuración los sistemas l centro datos. Todo esto en base a la evaluación riesgos previamente analizada por el Seguridad. Control Accesos Se be controlar el acceso a la información los sistemas l centro datos. Solo los usuarios con autorización ben por accer a los sistemas l centro datos indicados. Requisitos negocio para el control accesos El Seguridad be establecer, documentar y revisar una política control accesos basándose en los requerimientos seguridad los sistemas l centro datos. Debe establecer las reglas y rechos cada usuario o grupo usuario. Recomendaciones y controles adicionales: Esta política be contemplar: requisitos seguridad los aplicativos, información relativa a las aplicaciones y los riesgos esta información y perfiles acceso usuarios estandarizados. Especificar las reglas a cumplir siempre con las reglas opcionales. Responsabilidas los usuarios Los usuarios los sistemas l centro datos ben ser conscientes sus responsabilidas en el mantenimiento la eficacia las medidas control acceso en particular respecto al uso contraseñas y la seguridad l material puesto a su disposición. Recomendaciones y controles adicionales: Todos los usuarios ben ser informados acerca : mantener la confincialidad las contraseñas, seleccionar contraseñas buena calidad con una longitud mínima caracteres, cambiar las contraseñas en cada cierto tiempo evitando usar contraseñas 275

276 antiguas, cambiar las contraseñas temporales que se asigna al ingresar por primera vez al sistema y no compartir contraseñas usuarios individuales. Cerrar sesión los sistemas l centro datos al terminar realizar las actividas turno, evitando jar sesiones usuario activas. Todos los equipos l centro datos ben protegerse o bloquearse spués estar 5 minutos inactivos uso. Esto se aplica para todos los equipos sin excepción. Gestión acceso usuarios Los usuarios acuados ben tener accesos autorizados a los sistemas información l centro datos. Se be cubrir todo el ciclo vida estos accesos, s el registro inicial hasta la baja los usuarios que no requieran dichos accesos. Recomendaciones y controles adicionales: El Proyectos y Recursos be aprobar el listado los accesos y contraseñas los usuarios que se brindan en el ciclo académico en curso. Se be brindar intificadores únicos a los usuarios, esta forma pue vincular a los usuarios y responsabilizarles sus acciones. Se be garantizar que se provea acceso a los sistemas l centro datos hasta que se complete el proceso gestión claves. La eliminación inmediata las autorizaciones (claves) acceso al finalizar el ciclo académico en curso. El administrador l sistema información l centro datos be realizar una revisión periódica estos accesos. Control acceso a la red Se be controlar el acceso a los servicios red, usando mecanismos acuados intificación para los usuarios así también como un control accesos los usuarios a los servicios información. Recomendaciones y controles adicionales: 276

277 Se be restringir la capacidad conexión los usuarios por medio filtros. Las aplicaciones más comunes a ser restringidas ben ser: correo electrónico, acceso interactivo, acceso a las aplicaciones y transferencia archivos. Control acceso al sistema operativo Se be evitar accesos no autorizados a los equipos l centro datos. Mediante herramientas seguridad que permitan restringir el acceso a los sistemas los equipos y también que estas herramientas sean capaces registrar todas las acciones involucradas con el acceso a los equipo. Recomendaciones y controles adicionales: No se ben mostrar mensajes ayuda durante el proceso conexión. Limitar los intentos fallidos conexión. No mostrar la contraseña ingresada, preferencia mostrar caracteres simbólicos. Se be restringir los tiempos conexión, preferencia si el sistema operativo se encuentra sin actividad por 10 minutos, se be consirar re-autentificarse spués este tiempo. Control acceso a las aplicaciones y la información Se be restringir el acceso lógico a los sistemas aplicaciones solo a los usuarios que cuenten con accesos autorizados. Para esto las aplicaciones l centro datos ben controlar el acceso los usuarios a la información, protegerse accesos no autorizados y no comprometer la seguridad otros sistemas en caso comparta información. Recomendaciones y controles adicionales: Controlar los rechos acceso los usuarios y otras aplicaciones (lectura, escritura, borrado y ejecución). Adquisición y mantenimiento sistemas Los sistemas a l centro datos a ser adquiridos ben tener requisitos seguridad establecidos por el Seguridad, así también contar con controles 277

278 criptográficos básicos como es el caso las claves o contraseñas. Finalmente establecer una gestión vulnerabilidas técnicas que sea efectiva. Requisitos seguridad los sistemas Se be asegurar que los sistemas información l centro datos sean seguros, que cuenten con mecanismos seguridad propios. Recomendaciones y controles adicionales: Se be tener en cuenta que los requisitos y controles seguridad ben reflejar el valor los equipos información, amás, prever el posible daño al centro datos en caso fallas o ausencia seguridad. En caso adquirir productos comprados, estos ben ser probados formalmente y contra con un proceso adquisición. Tener en cuenta los requisitos seguridad establecidos. Controles criptográficos Se be proteger la confincialidad, autenticidad e integridad la información los aplicativos en el centro datos. Recomendaciones y controles adicionales: Se be usar sistemas y técnicas criptográficas para proteger la información sometida a riesgo, específicamente en este caso las contraseñas. Generar claves para distintas aplicaciones. Almacenar claves, así también en la forma como el usuario la obtuvo. Cambiar o actualizar las claves así también como los procedimientos para realizar dichas actividas. Las claves ben ser revocadas al finalizar el ciclo académico. Específicamente las claves los usuarios no privilegiados los aplicativos Seguridad los archivos l sistema Se be asegurar los archivos los aplicativos los sistemas l centro datos. Recomendaciones y controles adicionales: 278

279 El oficial seguridad be controlar la instalación software en los sistemas l centro datos. Gestión la vulnerabilidad técnica Se be reducir los riesgos resultantes la explotación vulnerabilidas técnicas. Debe establecerse una gestión vulnerabilidas técnicas manera efectiva y sistemática con métricas tomadas para confirmar su efectividad. Recomendaciones y controles adicionales: Se ben finir los roles y responsabilidas asociados con la gestión vulnerabilidas técnicas, incluyendo el monitoreo vulnerabilidas, la evaluación vulnerabilidas, el parchado y cualquier otra responsabilidad coordinada. Se be finir una línea tiempo para reaccionar ante notificaciones vulnerabilidas técnicas relevantes. Los parches ben ser probados y evaluados antes que sean instalados con el fin asegurar que sean efectivos. En caso no existan parches, se be consirar otros controles como apagar los servicios y capacidas relacionadas a la vulnerabilidad y aumento en la precaución la vulnerabilidad. Los sistemas en alto riesgo ben ser tratados primero. 279

280 Mapeo procesos con directrices lógicas Imagen 29: Mapeo procesos con directrices lógicas Fuente: Elaboración Propia 280

281 Capítulo 4: Continuidad y Cierre l Proyecto Página jada en blanco intencionalmente 295

282 CAPÍTULO 4: CONTINUIDAD Y CIERRE DEL PROYECTO En el presente capítulo se presentará el resultado l assessment realizado al centro datos la carrera Ingeniería Sistemas y Software. Por otro lado, se presentará el planteamiento continuidad l proyecto con el objetivo que este siga a lo largo l tiempo a pesar que los dueños l proyecto no sigan a cargo l mismo. Finalmente, se presentarán las conclusiones a las que se llegó a lo largo la investigación y l proyecto. Continuidad l Proyecto Todo proyecto basado ITIL tiene que consirar e incluir la mejora continua l proceso. El proyecto Gestión la Seguridad Física y Lógica no escapa a esta realidad, motivo por el cual se ha diseñado la siguiente estructura para mantener el proyecto a lo largo l tiempo. Definir interacciones entre proyectos Definir el rol l Oficial Seguridad Assessment Seguridad Crear el manual responsabilidas l Oficial Seguridad Proceso Mantenimiento Políticas y Controles Seguridad Interacciones con otros Proyectos Si se consira que el flujo acuado l proyecto be ser el propuesto por Osiatis, se pue apreciar que la Gestión la Seguridad guarda relación por la Gestión la Continuidad, Gestión Cambios, Gestión Incintes, Gestión Configuraciones, Gestión Capacidad, Gestión Niveles Servicio. 282

283 Imagen 30: Procesos ITIL Fuente: Osiatis.com Para cada interacción se be finir cuál es el requerimiento entrada y salida, al final l análisis el resultado fue el siguiente: 283

284 Imagen 31: Procesos ITIL - Primer Nivel Fuente: Osiatis.com La Gestión Niveles Servicios, nos brinda: Los requisitos seguridad establecidos en los SLA s, OLA s y UC s. Y el proyecto GSFL apoya en: Supervisar el cumplimiento los mismos. La Gestión Incintes, nos brinda: Los incintes clasificados como incintes seguridad. Y el proyecto GSFL apoya en: Recuperar el servicio, con los conocimientos seguridad que se posee. Actualizar la política seguridad y/o pruebas necesarias para prevenir los incintes reportados. La Gestión la Capacidad, nos brinda: 284

285 La capacidad los recursos TI. Recursos suficientes para la provisión l servicio TI. Y el proyecto GSFL apoya en: Enviar métricas para calcular los tiempos inoperatividad l servicio. Actualizar la política seguridad y/o pruebas necesarias para prevenir tiempos inoperatividad. La Gestión la Problemas, nos brinda: Causas los problemas tectados. Solución los problemas tectados. Y el proyecto GSFL apoya en: Actualizar la política seguridad y/o pruebas necesarias para prevenir que aparezcan estos problemas. La Gestión Cambios, nos brinda: Relación cambios a implementar con un estudio impacto. Y el proyecto GSFL apoya en: Aprobación los RFC. Programar pruebas sobre los cambios. Analizar criticidad activos nuevos. En conjunto con la Gestión Continuidad Servicios TI, se elabora el plan recuperación y el plan prevención La Gestión la Seguridad le brinda a la Gestión Versiones: 285

286 Los requerimientos seguridad establecidos para cada nivel servicio. El Centro Servicios, nos brinda: Los nuevos incintes seguridad. Protocolos seguridad que están fallando. Y el proyecto GSFL apoya en: Realizar pruebas seguridad. Actualizar la política seguridad. Al finalizar este análisis se pue diagramar el proyecto Gestión la Seguridad (consirando la mejora continua) la siguiente forma: Planificación Implementación Evaluación Post- Mantenimiento Evaluación Mantenimiento Imagen 32: Rueda Continuidad Fuente: Elaboración Propia En la fase l mantenimiento se encuentra la mejora continua la gestión la seguridad. 286

287 Definición Rol y Manual Funciones Información l Rol Definición El Oficial Seguridad es el responsable asegurar la confincialidad, integridad y disponibilidad los activos, información, datos y servicios tecnología la información ntro la empresa IT-Expert y el centro datos la carrera Ingeniería Sistemas Información. Usualmente está involucrado con la Gestión la Seguridad que tiene un alcance más amplio que el los servicios TI e incluye manejo documentos, accesos al centro datos, entre otros. Funciones El Oficial Seguridad dispone funciones en los diferentes procesos diseñados e implementados por el proyecto GSFL, a continuación se mostrará estas funciones por proceso: Proceso Control ingresos El oficial seguridad be asegurarse que los ingresantes al centro datos cumplan con ciertos requisitos pendiendo si tienen permisos ingreso o no, como por ejemplo, presentación DNI/TIU, presentación permiso autorización ingreso y presentación permiso ingreso dispositivos tecnológicos, también asegurarse registrar cualquier tipo dispositivo tecnológico que este ingresando con el ingresante confiscando aquellos no permitidos y registrando aquellos que no están permitidos. Finalmente be registrar la información l ingresante como: nombre, DNI, Código l TIU Universitario, fecha, hora ingreso, hora salida, cantidad dispositivos tecnológicos, talle los dispositivos tecnológicos y duración visita. Proceso Revisión Equipos 287

288 El proceso Revisión Equipos se inicia cuando el Oficial Seguridad turno be realizar según el cronograma la revisión equipos l centro datos. Dentro esta actividad el oficial seguridad verifica si se ha retirado algún equipo sin autorización así como también si se necesita sasignar algún equipo l cuál su garantía este por expirar. En caso pérdida el oficial seguridad be comunicar al jefe supervisores este tema siendo el mismo jefe el que verifique revisando reportes generales revisión equipos pasados en caso haya habido una equivocación por parte alguno los supervisores que realizaron los reportes pasados; si no es así entonces realiza un informe para el área seguridad la universidad con el fin que investiguen sobre el extravío l equipo. Por otro lado, en el caso una s asignación, el oficial seguridad be realizar una solicitud al administrador l centro datos para que este su conformidad respecto l equipo o equipos a ser safectado o safectados. Proceso Control Protección Ambiental El proceso Control Protección Ambiental se inicia cuando el Administrador l centro datos spués revisar su cronograma envía la solicitud a un operador servicios generales para que este inspeccione los suministros energía que corresponn al edificio don se encuentra ubicado el centro datos. Este una vez que realiza la inspección envía al oficial seguridad un reporte con los resultados ésta en la cual también incluye observaciones y/o incincias. Luego recibir dicho reporte el Administrador l centro datos proce a enviar una solicitud al supervisor turno l centro datos para que este realice un reporte respecto a cómo ha estado protegida las instalaciones l centro datos especificándose si se registró alguna incincia s el último reporte realizado. El oficial seguridad envía el reporte al Administrador l centro datos. Éste analiza ambos reportes recibidos y realiza su reporte incincias el cual es un resumen ambos reportes. Este reporte es enviado al director la carrera Ingeniería Sistemas Información el cuál spués revisarlo analiza los resultados y envía al gerente seguridad un documento don especifica las observaciones y/o requerimientos que hay que realizar para por mejorar tanto el suministro energía como la protección las instalaciones. Proceso Revisión e instalación software 288

289 El proceso Revisión e instalación software se inicia cuando nace una solicitud parte un recurso la empresa virtual IT-Expert tiene la necesidad instalar un aplicativo, por lo que envía una solicitud en don talla la información l aplicativo. Esta solicitud es enviada a Service Desk don se atien y se valida el formato ésta. En caso la validación sea correcta, la solicitud es enviada al Oficial Seguridad el cual se encargará evaluar y validar la información l software a ser instalado así como también ver si es factible la instalación l mismo en el centro datos, reuniéndose con el recurso la empresa virtual para afinar talles sobre la instalación l aplicativo. El oficial seguridad luego que el recurso la empresa verifique que se ha instalado correctamente procerá a registrar dicho software en la Bases datos don se registran la información los aplicativos l centro datos. Se registra: nombre, siglas, sistemas operativos con los que trabaja, tamaño, funcionalidad, problemas instalación (en caso sucedió), fecha instalación, duración la instalación, responsable la instalación y responsable l aplicativo. Proceso Control Vulnerabilidas Técnicas El proceso Control vulnerabilidas técnicas se inicia cuando el oficial seguridad fine los roles y responsabilidas en base a los diferentes sistemas y aplicativos splegados en el centro datos la carrera. Una vez finido esto se envía el documento al General y este lo lega al Proyectos y Recursos para que este asigne dichos roles entre los recursos la empresa virtual IT- Expert. El recurso envía su conformidad al Proyectos y Recursos, el cuál será revisado por este y enviado vuelta al oficial seguridad para que este fina la línea tiempo, evaluación parches y termine el monitoreo y evaluación las vulnerabilidas con cada recurso responsable por los sistemas l centro datos. Proceso Gestión Claves En este proceso, el oficial seguridad tiene que realizar las revisiones que las claves están cumpliendo con las políticas la seguridad lógica establecidas para el centro datos. Proceso Gestión Solicitud Accesos El proceso Gestión Solicitud Accesos se inicia cuando el Proyectos y Recursos IT-Expert la empresa IT-Expert solicita a cada gerente recursos las 289

290 empresas virtuales la relación alumnos que ben contar con acceso al centro datos por pertenecer a los cursos Taller Desempeño 1, Taller Desempeño 2, Taller Proyectos 1 y Taller Proyectos 2. Luego, esta lista be ser revisada por el Proyecto y Recursos, el mismo que visa la relación y solicita su atención por parte l Oficial Seguridad IT-Expert. Posterior a ello, el Seguridad IT-Expert proce a revisar la lista, tramita y notifica los cambios. Proceso Gestión solicitud respaldo información El proceso Gestión Solicitud Respaldo Información inicia cuando el gerente proyectos y recursos la empresa IT-Expert solicita la creación los archivos respaldo, esta solicitud pue ser respaldo base datos o archivos en la carpeta l file server cada empresa. El oficial seguridad recibe la solicitud y termina cuál es el tipo solicitud y proce a crear los archivos respaldo, resguardando estos en una carpeta asignada para cada tipo respaldo. El alcance que tiene las copias seguridad se limita únicamente a la información que se encuentre en el centro datos la carrera Ingeniería Sistemas y Software la UPC, es cir bases datos en los ambientes producción y archivos en el file server. Luego, esta lista be ser revisada por el General la empresa, el mismo que visa la relación y solicita su atención por parte IT-Expert. Posterior a ello, el Proyectos y Recursos proce a revisar la lista y solicita al alumno encargado que tramite y notifique los cambios. Proceso Administración Vulnerabilidas y Parches El proceso Administración Vulnerabilidas y Parches inicia cada tres semanas cuando se realiza una revisión cuáles son las actualizaciones que se encuentran en estado pendiente. Este proceso interactúa con la el análisis vulnerabilidas que se lleva a cabo en otro proyecto la empresa IT-Expert. El oficial Seguridad se encarga intificar vulnerabilidas, analizar las vulnerabilidas intificadas y luego comunicarse con el Procesos y Recursos para por implementar parches. Al ser implementados estos parches se encarga monitorear durante 3 semanas el aplicativo para asegurarse que no se ha afectado el correcto funcionamiento los 290

291 sistemas y servicios. En caso encontrar fallas se shacen los cambios por medio un rollback. Si spués l monitoreo todo fue correcto, se enviará un reporte al Proyectos y Recursos. Proceso Gestión Solicitud Procesos Lógicos El proceso Gestión Solicitud Accesos se inicia cuando el gerente recursos cada empresa virtual genera la relación alumnos su empresa que ben tener acceso a las carpetas cada empresa. Los únicos alumnos que ben tener acceso a dichas carpetas son los alumnos Taller Desempeño 1, Taller Desempeño 2, Taller Proyectos 1 y Taller Proyectos 2. Luego, esta lista be ser revisada por el General la empresa, el mismo que visa la relación y solicita su atención por parte IT-Expert. Posterior a ello, el gerente proyectos y recursos IT-Expert revisan la lista y solicita al alumno encargado que tramite y notifique los accesos solicitados. Proceso Monitoreo Componentes El oficial Seguridad se encarga l proceso Monitoreo Componentes. Este inicia cada tres semanas durante el horario talleres proyecto (Lunes 4-7 pm y miércoles 4-7). Este proceso tiene que evaluar cada uno los componentes l centro datos la carrera. Proceso Gestión Pruebas Seguridad El proceso Gestión Pruebas Seguridad inicia cada primer día hábil cada trimestre l ciclo académico. Es aquí cuando el Oficial Seguridad revisa la bitácora errores para terminar si han surgido nuevos incintes que ben ser rivados a la Gestión Problemas para que esta pueda terminar cuál es la causa l mismo y así aplicar las medidas correctivas necesarias. El alcance las pruebas se limita únicamente a los componentes que se encuentren ntro l centro datos la carrera Ingeniería Sistemas Información. Las pruebas que se llevarán a cabo han sido terminadas mediante un análisis seguridad y en estas se ben obtener los siguientes indicadores: 291

292 Número nuevos incintes. Número incintes repetitivos. Número incintes tectados. Al final proceso el Oficial Seguridad se encarga notificar al General IT-Expert sobre las nuevas incincias encontradas para que esté al tanto las mismas y los posibles riesgos inherentes a estas fallas. Proceso Restauración Backup El proceso restauración backup inicia cuando le llega al gerente proyectos y recursos la empresa virtual IT-Expert una solicitud restauración archivos respaldo. El gerente be validar y verificar que la solicitud cumpla con los requisitos mínimos para ser atendido. El oficial seguridad termina qué tipo solicitud es, es cir si se trata la restauración una base datos o algún archivo l file server respaldado. El oficial seguridad be notificar a la gestión problemas si se presenta algún problema l cual no tiene conocimiento ni información disponible a lo largo l proceso. Finalmente, el oficial seguridad envía el informe restauración para dar por finalizado el proceso. Proceso Control Vulnerabilidas Técnicas El proceso Control vulnerabilidas técnicas se inicia cuando el gerente seguridad fine los roles y responsabilidas en base a los diferentes sistemas y aplicativos splegados en el centro datos la carrera. Una vez finido esto se envía el documento al General y este lo lega al Proyectos y Recursos para que este asigne dichos roles entre los recursos la empresa virtual IT- Expert. El recurso envía su conformidad al Proyectos y Recursos, el cuál será revisado por este y enviado vuelta al gerente seguridad para que este fina la línea tiempo, evaluación parches y termine el monitoreo y evaluación las vulnerabilidas con cada recurso responsable por los sistemas l centro datos. Assessment Seguridad Con el objetivo verificar que los cambios sugeridos por el proyecto se hayan llevado a cabo, que se estén cumpliendo las políticas, las recomendaciones y se respeten los 292

293 niveles mínimos requeridos se ha creado un listado preguntas para que sirvan como assessment la gestión la seguridad en el centro datos. Al mismo tiempo, esta evaluación ayuda a que ciclo a ciclo se retroalimente la gestión la seguridad con los resultados las evaluaciones, los resultados las incincias, los nuevos requerimientos y los nuevos riesgos tectados. El assessment se diseñó a partir diversas recomendaciones seguridad, las mismas que se encuentran en las diversas fuentes bibliográficas consultadas por el proyecto. 293

294 Assessment Seguridad. Control Si No N/A Comentarios Existen métodos físicos para prevenir el acceso no autorizado a la información? Existen métodos para prevenir que las personas dañen información? Existen métodos físicos para prevenir que las personas interfieran con la información? Se tiene la información sensible y crítica la organización en un área asegurada? Se han finido perímetros seguridad para proteger información sensible y crítica? No existe un área procesamiento información al interior l centro datos. No existe un área procesamiento información al interior l centro datos. Se utilizan controles entrada para 294

295 proteger la información sensible y crítica? Se toma en cuenta los riesgos seguridad y se aseguran los perímetros seguridad en realidad para reducir el riesgo seguridad? Toman en cuenta la seguridad los requisitos los activos información y se aseguran cumplimiento? Se pue reducir el riesgo y cumplir con los requisitos seguridad, asegurando que los perímetros seguridad son lo suficientemente fuertes? Las barreras seguridad física y perímetros libres no tienen carencias físicas ni bilidas? Sus sistemas tección intrusos cubren todos centros comunicaciones y Se puen implementar más mejoras a nivel físico incurriendo en costo. Se be implementar mejores barreras pero esta implementación incurre en costo. El control viene dado por el encargado l 295

296 las salas informática? centro datos Sus sistemas tección intrusos cumplir con todas las normas regionales, nacionales o internacionales? Utiliza con llave para proteger a las oficinas su organización la información y la información las instalaciones procesamiento Registra la fecha y hora los visitantes entrar o salir las zonas seguras? Se supervisa a todos los visitantes a las zonas seguras a menos que su acceso fue previamente aprobado? Se permite el acceso a áreas seguras sólo si el acceso ha sido autorizado y los visitantes tienen una específica razón por No se cuenta con área procesamiento información, sin embargo, el acceso al centro datos es controlado por el staff y siempre se encuentra bajo llave. Se ha diseñado una base datos que contiene esta data El encargado l centro datos be permanecer durante la presencia personal externo. Los únicos que puen brindar acceso son los gerentes generales cada empresa virtual. 296

297 la cual ben tener acceso Utiliza los controles autenticación (por ejemplo, control acceso tarjeta y el PIN) para validar y autorizar el acceso? Mantiene registros seguridad todos los accesos a las zonas seguras Revisa los rechos acceso a las áreas seguridad forma regular? Se actualiza los rechos acceso a las áreas seguridad forma regular Se revocan los rechos acceso a las áreas seguridad en caso sea necesario hacerlo? Se guarda un historial los accesos (entrada y salida) Antes brindar accesos se be comprobar que los accesos hayan sido otorgados a la persona que see ingresar. Existe un proceso que se encarga l mantenimiento los accesos tanto físicos como lógicos. Cada ciclo se revoca los accesos para que sean tramitados nuevamente. Utiliza métodos físicos para proteger sus Se ha recomendado implementar CTVC para 297

298 instalaciones los daños que causados por el hombre puen causar Utiliza métodos físicos para proteger sus instalaciones los daños que puen causar incendios? Cómo se protegen sus instalaciones los daños fuga agua s el techo, s abajo, o la oficina al lado podría causar? Cómo se protegen sus instalaciones los daños un incendio en un edificio vecino podría causar? Usted supervisará todas las actividas en las áreas seguridad? tectar cambios temperatura abruptos ntro l centro datos. Se ha recomendado implementar alarmas para tectar cambios temperatura abruptos ntro l centro datos. Se ha recomendado implementar sensores humedad y fuga agua a fin evitar que esto afecte el funcionamiento l centro datos. Cabe resaltar que el mantenimiento las instalaciones agua/sagüe pen única y exclusivamente Servicios Generales. No existen instalaciones alredor El personal encargado l centro datos be verificar todas las actividas realizadas ntro 298

299 este. Cómo se previene el uso no autorizado equipo vio ntro las áreas seguridad? Se tiene el control puntos acceso público a fin evitar personas no autorizadas? Se previene daños a los equipos su organización? Cómo se previene la pérdida los equipos su organización? Se supervisan todas las actividas sarrolladas ntro l centro datos. Las personas externas a la universidad solo puen ingresar con autorización servicios generales y siempre bajo la supervisión l encargado l centro datos. Se ha diseñado el proceso Revisión Equipos para evitar este tipo inconvenientes. Cabe mencionar que el mantenimiento no pue ser modificado por el proyecto ya que está a disposición Servicios Generales y el área sistemas la universidad. No se pue retirar ningún equipo l centro datos sin la autorización l área sistemas y/o director la carrera. 299

300 Cómo se previene el robo equipo su organización? Se protegen los equipos contra amenazas físicas? Se protegen los equipos contra las amenazas ambientales? Cómo se protege su equipo para evitar interrupciones en el trabajo? Es usted el proteger a su equipo a través la eliminación acuada? Utiliza los controles especiales para proteger las instalaciones apoyo? No se pue retirar ningún equipo l centro datos sin la autorización l área sistemas y/o director la carrera. Toda actividad es supervisada por el encargado l centro datos. Se ha diseñado el proceso Control Protección Ambiental. Se tiene un generador respaldo que brinda energía respaldo a todo el pabellón don se encuentra el centro datos, sin embargo, se está recomendando que se instale y compre un UPS y un generador para el centro datos. Se ha especificado en la política cuál es el procedimiento correcto para sechar equipos. No existen instalaciones apoyo. 300

301 Se utilizan controles para minimizar los riesgos radiación electromagnética? Se protegen los equipos ante scargas eléctricas rayos? El equipo aire acondicionado instalado en el centro datos cubre la manda l mismo? Los lires o personal seguridad información ntro la organización tienen la experiencia y habilidas necesarias? Existe una persona u área ntro la organización que tengo como tarea principal la seguridad información? En la evaluación realizada se tectó que el aire acondicionado no cumple con los requerimientos mínimos por la TIA para alcanzar el nivel acuado, motivo por el cual se ha recomendado la adquisición uno nuevo. El personal contratado ha sido evaluado para cubrir la plaza y tiene conocimiento las funciones que le corresponn y cuáles son sus responsabilidas. Se ha creado un rol ntro la organización llamado oficial seguridad, este rol va acor a las sugerencias ITIL. 301

302 Las funciones seguridad información tiene la autoridad necesaria para gestionar y asegurar el cumplimiento acor al plan seguridad? Las funciones seguridad información tienen los recursos necesarios para gestionar y asegurar el cumplimiento acor al plan seguridad? La responsabilidad cada agrupación componente claramente asignada, arquitectura, res, comunicaciones, procesos y auditoria? Se reporta constantemente la función la seguridad información a los líres la empresa? La organización tiene documentación sobre los aspectos la seguridad Debido a la interacción con Servicios Generales y el área sistemas la universidad, se ben respetar las autonomías y los límites establecidos por ellos. El oficial seguridad no cuenta con presupuesto para realizar cambios masivos y/o requeridos por el centro datos. No se tiene información sobre los límites entre Servicios Generales y el área Sistemas la Universidad. 302

303 información? La organización tiene intificados los activos críticos y las funciones que penn ellos? Se tiene redactada una estrategia seguridad información? Se han asignado costos a cada activo por perdidas los equipos? La estrategia seguridad tiene finida un revisión y actualización periódica? No se ha tenido acceso al costo cada activo. Tabla 55: Assessment Seguridad Fuente: Elaboración Propia 303

304 CONCLUSIONES Tal como se analizó en el primer capítulo, una vez concluida la evaluación se pue terminar que los niveles seguridad l centro datos salieron con un puntaje inferior al seado. Al mismo tiempo, en cada aspecto evaluado se encontró por lo menos una característica no atendida lo que evita que se le pueda asignar el nivel Tier2. El en capítulo uno, se concluyó que el estándar TIA 942 y las recomendaciones brindadas por el Orange Book son muy ambiciosas para el centro datos analizado, motivo por el cual, se crearon checklist (físico/lógico) para alcanzar un nivel mínimo recomendable. Si se establece que el estado óptimo es el recomendado por estas fuentes se incurriría en un costo superior al millón dólares americanos. Como se afirmó en el primer capítulo spués realizada la evaluación e interpretación TIA 942, se pue afirmar que dicho estándar no es suficiente para representar el verdaro estado un centro datos, bido al alto grado especialización en la seguridad física y su baja gestión la seguridad lógica. No obstante, a partir esta publicación se pue obtener los mejores estándares seguridad física y ser complementados con otros que se enfoquen en la seguridad lógica. Tal cual se mostró en evaluación seguridad lógica, no existe documentación sobre ninguna las responsabilidas los encargados l centro datos. No existe una clara segregación funciones entre el personal encargado l centro datos y área sistemas la universidad. Como quedó mostrado al revisar las mejores prácticas gestión la seguridad, es necesario finir los procesos que se encargan manejar la seguridad a nivel físico y lógico con las directrices seguridad. Al revisar toda la documentación que ha sido utilizada para la construcción este proyecto, se pue concluir que no existe un único estándar que asegure una gestión acuada la seguridad. Sin embargo, cada uno estos se pue rescatar cada 304

305 requisito y formar un estándar que conlleve a una gestión global la seguridad en un centro datos. 305

306 RECOMENDACIONES En el capítulo 3, luego realizar la interpretación resultados la evaluación física l centro datos se tectó que, éste, be invertir en la compra e implementación activos que brinn soporte a la seguridad a nivel físico. Las vulnerabilidas tectadas puen ser cubiertas mediante la adquisición. En base a lo sarrollado en nuestro proyecto en lo que respecta a seguridad lógica, es posible sarrollar aplicativos específicos para el tema sarrollado. Estos puen ser futuros proyectos tesis para los alumnos Ing. De Software ntro l centro estudios. Lo sarrollado en este documento pue ser usado para evaluar un centro datos cualquiera, por otro lado la política sarrollada y los procesos establecidos si puen ser aplicados en centro datos ntro un centro estudios mientras que el resultado la evaluación sea un nivel TIER 1. El centro datos be realizar evaluaciones al inicio cada ciclo, bido a que a lo largo l tiempo se van implementando cambios por los proyectos vigentes. El centro datos be establecer un benchmarking con una periodicidad establecida (no mayor a un año), comparándose contra instituciones estatales y bancarias bido a que éstas son las que más se han enfocado en el sarrollo la gestión la seguridad. Se recomienda para futuros proyectos intentar accer a la información la infraestructura l centro datos que administra actualmente el área servicios generales, ya que con esa información se podría brindar recomendaciones según los estándares a implementar y modificar el diseño la misma. 306

307 BIBLIOGRAFÍA DELTA ASESORES (2011) Métricas Proyectos (Consulta: 04 Abril l 2011) ENTERPRISE UNIFIED PROCESS (EUP) 2009 ( (Consulta 13 abril 2011) INDECOPI (2007) EDI. Tecnología la información. Código buenas prácticas para la gestión l a seguridad información. Lima, Perú Institute Technology Infrastructure Library (ITIL) (2007) ITIL Overview and Benefits (Consulta 13 abril 2011) ( MOLINAS, Lucio (2011) Seguridad (Consulta: 04 Abril l 2011) REAL ACADEMIA ESPAÑOLA DE LA LENGUA (Consulta: 04 Abril l 2011) 307

308 OSIATIS (2011) ITIL-Gestión Servicios TI (consulta 14 abril 2011) ( la_seguridad/vision_ general_gestion la_seguridad/vision_general_gestion la_seguridad.php) QUALITAS (2011) ISO (consulta 15 abril 2011) ( RODRÍGUEZ Cuervo, Alejandro (2011) Acercamiento al surgimiento y sarrollo la seguridad informática. d=29 (Consulta: 04 Abril l 2011) TE CONNECTIVITY (2011) TIA-942 White Paper - Data Centre Standards Overview E.pdf (Consulta: 04 Abril l 2011) Telecommunications Industry Association (TIA) (2005) TIA-942 Telecommunications Infrastructure Standard for Data Center. Arlington, U.S.A UNIVERSIDAD DE CIENCIAS EXACTAS Y NATURALES Y AGRIMENSURA (2011) Qué es seguridad? X012.htm (Consulta: 04 Abril l 2011) UNIVERSIDAD DE VALENCIA (2011) Instalación y configuración segura sistemas Unix (Consulta: 04 Abril l 2011) 308

309 UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA (2011) Texto - Guía: Organización, Dirección y Administración Centros Cómputo (Consulta: 04 Abril l 2011) 309

310 ANEXOS ANEXO 1 Gestión De Seguridad Física y Lógica para un Centro Datos Project Charter Especialidad Vacante(s)s/Nombres Ing. Sistemas Información 2 Ing. De Software 0 Historial revisiones Versión Fecha Autores: Descripción l cambio /04/2011 Gino Puppi B. Desarrollo l Project Charter Jack Flores E. 310

311 Uno los principales problemas que acontece a los alumnos que forman parte las empresas virtuales, es el hecho no por accer al centro cómputo y/o no contar con los niveles acceso correspondientes a nivel BD, aplicaciones y SO. Con el objetivo brindar una solución a esta problemática, se concibió el proyecto Gestión la Seguridad Lógica y Física, el cual tiene como principal objetivo el crear un estándar a utilizar en el centro cómputo la carrera. El proyecto tiene sus ejes centrales en el uso estándares internacionales y nacionales como la TIA 942 y la NTP Al finalizar el proyecto, se logrará diseñaran y finirán los procesos y el estándar acuado para el centro datos. Objetivos l negocio El objetivo principal IT-Expert es administrar los recursos tecnológicos las carreras Sistemas Información y Software brindando servicios tecnológicos manera efectiva para la gestión acuada la información las empresas virtuales la UPC, así como la acuada asesoría y/o consultoría en los temas su competencia. Objetivo General Diseñar los procesos, controles y procedimientos (estándar) para gestionar la seguridad física (seguridad ambiental, control acceso, monitoreo, estándares, etc.) y la seguridad lógica (permisos en aplicativos, compartidos, bases datos, roles, etc.) en el centro cómputo la carrera. Objetivos específicos O.E.1: Evaluar el estado actual l Centro cómputo la carrera. O.E.2: Definir los procesos que regirán a la gestión seguridad lógica y física para las empresas virtuales. O.E.3: Integrar los conceptos la NTP y la TIA 942, para la creación un estándar a usar en el centro cómputo la carrera. 311

312 Indicadores éxito I.1: Aprobación l estándar seguridad lógico y físico para el centro datos y los laboratorios por parte un especialista en el campo TI. I.2 Certificado calidad emitido por la empresa QA evinciando la conformidad con la documentación sobre los procesos sugeridos. I.4 Conformidad por parte los gerentes generales las empresas virtuales acerca los procesos finidos para la gestión la seguridad física y lógica. Alcance l proyecto El alcance l proyecto incluirá: Evaluación la situación actual l Centro datos la carrera con base en los niveles l Tier. Sugerencia las implementaciones necesarias en el Centro datos la carrera para lograr el nivel 2 Tier. Desarrollo los diagramas procesos y diagrama primer nivel acors al EBM. Definición controles que ben cumplirse para llegar al TIER terminado y no generen conflictos con los sistemas splegados. Creación un estándar personalizado, para el control la seguridad lógica y física en las empresas virtuales. El proyecto solo involucrará al centro cómputo y laboratorios la carrera Ing. De Sistemas Información y Software. Al finalizar el proyecto se realizará una encuesta con el objetivo terminar el nivel satisfacción los usuarios respecto a la seguridad l sistema. 312

313 El Alcance l proyecto NO incluirá: La creación un software. La adquisición o implementación algún componente hardware o software. El comité proyectos asignará un asesor especialista en IT, el cual guiará el sarrollo l proyecto y compartirá sus conocimientos sobre tecnologías información y en base a estos conocimientos se basarán los entregables l presente proyecto. Se contará con el apoyo alumnos Taller Desempeño Profesional 1 y 2. Se contará con el apoyo la empresa QA para el aseguramiento la calidad los entregables según los plazos pactados por ambas partes. No se podrá modificar las fechas entrega terminadas por el comité proyectos. No se contará con recursos QA capacitados disponibles para validar el estándar creado. No se cuenta con presupuesto aprobado para este proyecto. Equipo l proyecto Comité proyectos General IT-Expert Jorge Cabrera Berrios; Rosario Villalta Riega María Hilda Bermejo; Carlos Raymundo William Romero Jefe proyecto Gino Puppi B. Equipo l Proyecto Jack Flores E. Equipo Apoyo Recursos por parte la empresa IT-Expert Recursos validadores la empresa QA. 313

314 Stakeholrs Stakeholr Descripción Tipo Impacto Acción Comité Proyectos Son los encargados aprobar el proyecto, brindan las pautas sobre las cuales se be llevar a cabo. Externo Alto Mantener Contacto William Romero IT-Expert, brinda los requerimientos claves acerca l proyecto. Interno Alto Mantener Contacto Encargados l Proyecto Alumnos que brindarán toda la información acerca l proyecto. Interno Alto (No Aplica) Usuarios Alumnos matriculados en los talleres sempeño y proyecto Externo Bajo Monitorear Luis Mamani Es el encargado brindar sugerencias en base a su experiencia para ser aplicadas en el proyecto. Interno Medio Mantener Informado l Proyecto Es el actor principal l proyecto, se encarga manejar la información y controlar el cumplimiento los requerimientos los clientes. Interno Alto Mantener Contacto Empresa QA Es la encargada asegurar el nivel calidad l proyecto, inspeccionando los documentos relacionados a este. Externo Medio Mantener Informado Encargados l Centro Computo Son los encargados administrar el Data Center. Externo Bajo Monitorear Se ha terminado que para los Stakeholrs que tienen un impacto Alto se ha a seguir una estrategia contacto continuo, ya que estos tienen un gran por e interés ntro l proyecto. Por otro lado, para los Stakeholrs impacto Medio se va a seguir una estrategia mantenerlos informados, puesto que estos tienen un gran por pero un interés bajo. Finalmente, con los Stakeholrs que tienen un impacto Bajo se va a seguir una estrategia monitoreo ya que ellos se va a extraer información relevante al proyecto pero estos no tienen ni por ni interés en el mismo. 314

315 Fases e Hitos l proyecto * Hitos y entregables en color gris 315

316 Enfoque Trabajo (Declaración Básica) Se han consirado cuatro fases que se respetarán y guiarán el sarrollo l presente proyecto: Evaluación l Sistema, Definición Procesos, Diseño las Directivas y Cierre Proyecto. En la fase Evaluación l Sistema, se evaluará al sistema actual (centro cómputo y laboratorios) para terminar en qué nivel seguridad se encuenta. En la fase Definición Procesos, se diseñaran los procesos actuales y/o se crearan los procesos necesarios para dar soporte a la gestión seguridad. En la fase Diseño las Directivas, se evaluará las restricciones impuestas por los proyectos splegados y se diseñaran todos los controles acuerdo al estándar TIA 942 y la NTP En la fase Cierre l Proyecto, se realizará la entrega l informe final al Comité Organizativo para su sustentación l proyecto. Riesgos El contrato validación y verificación firmado con QA caduque antes l fin la inspección y las pruebas. La inspección y pruebas realizadas por parte QA sean incorrectas. Disponibilidad tiempo los usuarios finales, para las reuniones captura requerimientos (niveles seguridad, accesos, roles, etc.) y reuniones control l avance l proyecto. La aceptación o continuidad l proyecto estará a cargo l comité proyectos. Los Stakeholrs no finan las expectativas los requerimientos mínimos. Aprobación IT-Expert Comité proyectos Fecha 316

317 ANEXO 2 GESTIÓN DE LA SEGURIDAD FÍSICA Y LÓGICA Plan Proyecto

318 Sección 1. Resumen l Proyecto Descripción l Proyecto Uno los principales problemas que acontece a los alumnos que forman parte las empresas virtuales, es el hecho no por accer al centro cómputo y/o no contar con los niveles acceso correspondientes a nivel BD, aplicaciones y SO. Al mismo tiempo no se tiene la seguridad que sus proyectos son resguardados bajo algún criterio o parámetro seguridad. Con el objetivo brindar una solución a esta problemática, se concibió el proyecto Gestión la Seguridad Lógica y Física, el cual tiene como principal objetivo el crear un estándar a utilizar ntro l sistema las empresas virtuales y el centro cómputo la carrera. El proyecto tiene sus ejes centrales en el uso estándares internacionales y nacionales como la TIA 942 y la NTP Adicionalmente, la empresa se rige por el uso ITIL V3.0 el mismo que será utilizado en la gestión la configuración para este proyecto. Al finalizar el proyecto, se logrará diseñar los procesos y el estándar acuado para las empresas virtuales ntro la carrera. 1.2 Objetivos Objetivos l negocio El objetivo principal IT-Expert es administrar los recursos tecnológicos las carreras Sistemas Información y Software brindando servicios tecnológicos manera efectiva para la gestión acuada la información las empresas virtuales la UPC, así como la acuada asesoría y/o consultoría en los temas su competencia Objetivo General Diseñar los procesos, controles y procedimientos (estándar) para gestionar la seguridad física (seguridad ambiental, control acceso, monitoreo, estándares, etc.) y la seguridad lógica (permisos en aplicativos, compartidos, bases datos, roles, etc.) en el centro cómputo la carrera. 318

319 1.2.3 Objetivos específicos O.E.1: Evaluar el estado actual l Centro cómputo la carrera. O.E.2: Definir los procesos que regirán a la gestión seguridad lógica y física para las empresas virtuales. O.E.3: Integrar los conceptos la NTP y la TIA 942, para la creación un estándar a usar en el centro cómputo la carrera. 1.3 Alcance Inclusiones l Proyecto Evaluación la situación actual l Centro datos la carrera con base en los niveles l Tier. Desarrollo los diagramas procesos y diagrama primer nivel acors al EBM. Definición controles que ben cumplirse para llegar al TIER terminado y no generen conflictos con los sistemas splegados. Creación un estándar personalizado, para el control la seguridad lógica y física en las empresas virtuales. El proyecto solo involucrará al centro cómputo y laboratorios la carrera Ing. De Sistemas Información y Software. Al finalizar el proyecto se realizará una encuesta con el objetivo terminar el nivel satisfacción los usuarios respecto a la seguridad l sistema. Exclusiones l Proyecto La creación un software. La adquisición o implementación algún componente hardware o software

320 1.4 Asunciones El comité proyectos asignará un asesor especialista en IT, el cual guiará el sarrollo l proyecto y compartirá sus conocimientos sobre tecnologías información y en base a estos conocimientos se basarán los entregables l presente proyecto. Se contará con el apoyo alumnos Taller Desempeño Profesional 1 y 2. Se contará con el apoyo la empresa QA para el aseguramiento la calidad los entregables según los plazos pactados por ambas partes. Sección 2. Organización l Proyecto 2.1 Estructura l Proyecto Rol Comité Proyectos General IT- Expert Responsable Jorge Cabrera; Rosario Villalta; Carlos Raymundo. William Romero. Proyecto Gino Puppi B. Equipo Proyecto Jack Flores E. Equipo Apoyo Alumnos IT-Expert. 320

321 2.2 Stakeholrs Describir a los Stakeholrs l proyecto y cuál es su función. Función l Stakeholr Comité Proyectos William Romero Encargados l Proyecto Usuarios Luis Mamani l Proyecto Empresa QA Encargados l Centro Cómputo Stakeholr Son los encargados aprobar el proyecto, brindan las pautas sobre las cuales se be llevar a cabo. IT-Expert, brinda los requerimientos claves acerca l proyecto. Alumnos que brindarán toda la información acerca l proyecto. Alumnos matriculados en los talleres sempeño y proyecto. Es el encargado brindar sugerencias en base a su experiencia para ser aplicadas en el proyecto. Es el actor principal l proyecto, se encarga manejar la información y controlar el cumplimiento los requerimientos los clientes. Es la encargada asegurar el nivel calidad l proyecto, inspeccionando los documentos relacionados a este. Son los encargados administrar el Centro datos

322 Sección 3. Estructura Trabajo 3.1 Métodos, Herramientas, y Técnicas Métodos: Se tendrá referencia al marco recomendaciones ITIL. Se tendrá una referencia a la NTP y la TIA 942. Se tendrá una referencia a la metodología EUP. Lenguaje molamiento BPMN. Se tendrá una referencia al ISO Herramientas: Microsoft Office Bizagi Process Moler. SQL

323 3.2 Actividas e Hitos Hito Formulación y Aprobación l Charter l Proyecto Fecha Estimada Termino 25/03/11 Checklist evaluación l Centro datos 04/04/11 Reporte Incincias respecto a la Arquitectura l Centro datos Reporte Incincias respecto al Sistema Eléctrico l Centro datos Reporte Incincias respecto a las Telecomunicaciones Centro datos Reporte Incincias respecto al Sistema Mecánico l Centro datos 18/04/11 23/05/11 30/05/11 13/06/11 Reporte Incincias l Sistema 15/06/11 Informe estado l Centro datos 22/06/11 Políticas, Controles y Normas 04/07/11 Elaboración y presentación l plan trabajo Ciclo Auditoría interna. Ciclo Elaboración la memoria final l proyecto Ciclo Actualización l estándar a su versión final Ciclo

324 Sección 4. Riesgos Riesgos El contrato validación y verificación firmado con QA caduque antes l fin la inspección. La inspección realizada por parte QA sea incorrecta. Disponibilidad tiempo los usuarios finales, para las reuniones captura requerimientos (niveles seguridad, accesos, roles, etc.) y reuniones control l avance l proyecto. La aceptación o continuidad l proyecto estará a cargo l comité proyectos. Incisión por parte los Stakeholrs para finir los requerimientos mínimos. Sección 5. Historial Revisión Versión Nombre Descripción Fecha 1.0 Plan Proyecto Creación l documento 03/04/ Plan Proyecto Modificación según sugerencias William Romero 04/04/ Plan Proyecto Modificación según sugerencias Luis Mamani 10/04/11 324

325 Sección 6. Aprobación Nombre Cargo Firma Fecha Jorge Cabrera Director las carreras Computación Rosario Villalta William Romero Luis Mamani Coordinadora Ing. De Sistemas Información. General IT-Expert Asesor Proyecto

326 ANEXO 3 Cronograma Proyecto GSFL Cronograma Proyecto GSFL Cronograma Proyecto GSFL

327