I INTRODUCCIÓN. 1.1 Objetivos



Documentos relacionados
Universidad Francisco Gavidia Tecnología, Humanismo y Calidad

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Proceso: AI2 Adquirir y mantener software aplicativo

Módulo 7: Los activos de Seguridad de la Información

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES

Infraestructura Tecnológica. Sesión 12: Niveles de confiabilidad

Portal de Compras del Gobierno del Estado de Baja California ( A. Antecedentes

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

Gestión de la Configuración

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

Capítulo IV. Manejo de Problemas

ALOJAMIENTO DE SERVIDORES EN EL C.P.D.

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

Infraestructura Tecnológica. Sesión 11: Data center

SOLUCIONES DE CONTINUIDAD DE NEGOCIO

Procedimiento de Sistemas de Información

OPTIMA CONSULTING SAS

Security Health Check

Soporte. Misión y Visión

Arquitectura de red distribuida: escalabilidad y equilibrio de cargas en un entorno de seguridad

TEMA 5: La explotación de un servicio TI

CREACIÓN DE UN DEPARTAMENTO DE RELACIONES PÚBLICAS PARA LOS ALMACENES EL CHOCHO Y EL CAMPEÓN

SEGURIDAD DE LA INFORMACIÓN

Preguntas Frec uentes Ia a S

Test de intrusión (Penetration Test) Introducción

Por otro lado podemos enunciar los objetivos más específicos de nuestro estudio:

RECOMENDACIONES. HALLAZGOS Objetivos especifico Justificación/Norma ANEXO

CAPITULO I. Introducción. En la actualidad, las empresas están tomando un papel activo en cuanto al uso de sistemas y

CALIDAD DEL SOFTWARE TESTS DE EXAMEN ACTUALIZADO SEP TEMA 3 NORMALIZACIÓN Y CERTIFICACIÓN: NORMA ISO 9001:2000

México, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS

CAPÍTULO I. FORMULACIÓN DEL PROBLEMA

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Ministerio de Comunicaciones, Infraestructura y Vivienda Normas y Políticas de Uso de Hardware y Software

Norma ISO 14001: 2004

Panorama de la ISO 9001 y de la ISO Traducido y adaptado por L.Vaccaro del original en inglés (R. Frost, ISO)

Sistemas de Gestión de Calidad. Control documental

CAPITULO V. Conclusiones y recomendaciones. Este capítulo tiene como objetivo mostrar las conclusiones más significativas que se

Pruebas y Resultados PRUEBAS Y RESULTADOS AGNI GERMÁN ANDRACA GUTIERREZ

Elementos requeridos para crearlos (ejemplo: el compilador)

Enterprise Risk Management

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

TALLER: ISO Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco

Traslado de Data Center

Unidad III. Software para la administración de proyectos.

ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

INFORME TECNICO ESTANDARIZACION DE SERVICIOS

WhiteHat Tools. Resumen del Producto

GUÍA METODOLÓGICA PARA LA FORMACIÓN CON E-LEARNING DIRIGIDA A COLECTIVOS SIN ALTA CUALIFICACIÓN CAPÍTULO 4. Dirección Técnica:

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

Bechtle Solutions Servicios Profesionales

Funcionalidades Software SAT GotelGest.Net (Software de Servicio de Asistencia Técnica)

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

SISTEMA DE GESTION ISO 9001:2008

CAPÍTULO I. Introducción. En la industria del hospedaje a través del tiempo se han dado diversos cambios en la

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor

INGENIERÍA DE SOFTWARE. Sesión 3: Tipos

Mapa de procesos de la Universidad

Riesgo: Se puede llegar al destino sin información veraz y oportuna?

Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.

ENFOQUE ISO 9000:2000

Diseño de un sistema de gestión de calidad. Caso: centro de cómputo de la división académica de informática y sistemas (CCDAIS)

CURSO COORDINADOR INNOVADOR

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

Infraestructura Extendida de Seguridad IES

ONGOING ONLINE. Servicios de Mantenimiento Preventivo, Correctivo, Predictivo y Monitoreo 24x7x365 de Data Centers

UNIVERSIDAD NACIONAL DE INGENIERÍA

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

APOLO GESTION INTEGRAL.

Estatuto de Auditoría Interna

Centro: Advocate Health Care Cargo: Política de facturación y cobros. Fecha de entrada en vigencia: 12/1/2015

Técnico de Soporte Informático TEMA 03 CENTRO DE PROCESAMIENTO DE DATOS

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Técnico y sus funciones. 5. Función de los líderes. 6 Función del analista de datos. 6. Metas del Help Desk. 7 Definir el alcance del Help Desk.

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

INTRODUCCIÓN CAPITULO I 1.1 PLANTEAMIENTO DEL PROBLEMA.

LA AUDITORÍA APLICADA A LA LOGÍSTICA. Dr. ARMANDO VALDES GARRIDO-LECCA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO

La introducción de la red informática a nivel mundial ha producido un. constante cambio a nivel empresarial y personal, permitiendo acortar las

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

5. Qué pueden aportar los Presupuestos Participativos a Lodosa?

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Entidad Certificadora y Políticas Pertinentes

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

ISO/IEC Sistema de Gestión de Seguridad de la Información

"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios

Qué es un Sistema de Calidad? Qué es ISO? El nombre de ISO. Qué son las normas ISO?

GLOSARIO DE TÉRMINOS

CONOCIMIENTOS DATACENTER.. Ingeniero: Germán Andrés Zuluaga R

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Ventajas del software del SIGOB para las instituciones

INTERVENTORIA ENFOCADA A LA INFORMATICA EN REDES Y COMUNICACIONES DE LA UNAD SEDE REGIONAL.

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

Introducción. La certificación bajo la norma ISO garantiza que una empresa tiene implantado un SGSI y refuerza su imagen de marca.


ERPUP (Pequeñas y Medianas Empresas)

Transcripción:

I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora, o por querer tener una imagen de alta tecnología a nivel mundial, una auditoría de redes respalda la disponibilidad y seguridad como una manera de control de algún estándar básico establecidos en normas. El aplicar una norma o certificarse en alguna de ellas requiere de un proceso largo y se deben cumplir todos los aspectos para poder obtener la acreditación, esta evaluación es realizada por personal certificado que corrobora que todos los puntos son cumplidos. Este proyecto no esta orientado a permitir una certificación sino a recopilar las mejores practicas y llevar a un data center a un nivel de alto desempeño y seguridad, debido a que no existe en la actualidad una norma especifica para los data center, este documento pretende ser la base para una norma sobre estos, debido a que son la base principal de las operaciones corporativas en la actualidad. Uno de los objetivos principales de este proyecto es proporcionar soluciones concretas en los data center que nos provean una alta disponibilidad, debido a que en la actualidad las empresas necesitan la más alta disponibilidad de sus servicios, algunas empresas de procesos críticos como bancos demandan una disponibilidad del 99.999 en sus operaciones ya que si los servicios no están disponibles por fallas en la red esto ocasiona altas pérdidas económicas. En la mayoría de las normas solo están identificados los riesgos pero no indican como solucionarlos ni las herramientas con las que se pueden solventar los riesgos, este proyecto pretende ser el complemento de esas normas que faciliten a los auditores de redes las tareas de análisis en las empresas. Página 6 de 73

1.2 Alcances Como se mencionó en los objetivos, se proyecta que el trabajo sea una herramienta complementaria para la auditoría de redes ya que proporcionará soluciones a los riesgos en las redes de datos. Debido a que una auditoría de redes puede contemplar muchos aspectos como bases de datos, servidores Web, Cableado, seguridad en la información, equipo de comunicaciones y data center por mencionar algunos, el proyecto tiene la finalidad de proporcionar soluciones a la disponibilidad y seguridad del data center, por ello se incluirán aspectos directamente involucrados con este, en tal sentido los temas centrales de auditoría estarán enfocados a los equipos de comunicaciones y seguridad de data center. El proyecto contempla la puesta en práctica de la auditoría en dos data center corporativos, estos proveerán un marco de referencia de casos reales y necesidades actuales por solventar riesgos en redes corporativas, este proceso incluirá un estudio de la situación actual y recopilación de información; se utilizará la metodología proporcionada en este proyecto para dar soluciones a los riesgos encontrados y elevar el nivel de disponibilidad y seguridad en el data center. Para facilitar y sistematizar el proceso de auditoría de un data center se elaborará una herramienta de recopilación de puntos claves que se deben cumplir para la base de la norma que se diseñará, la herramienta permitiría manejar empresas, las evaluaciones, la lista de objetivos a cumplir, reportes, recomendaciones y análisis de los resultados obtenidos en las evaluaciones, la herramienta permitirá configurar varios criterios que aplicarían en el ámbito de las redes, de manera que a una infraestructura se le podrían realizar varios análisis y obtener todos los resultados de la auditoría; en los puntos de análisis en los que se requiera del resultado de una herramienta especializada, se recomendará el uso de esta como un punto del análisis. Página 7 de 73

1.3 Limitaciones El presente trabajo no pretende incluir todas las normas, certificaciones y RFC s que existen en la actualidad referentes a la disponibilidad o seguridad de los sistemas de información, se hará una investigación sobre las mejores prácticas en el tema de data center y seguridad de los mismos partiendo del objetivo de proveer soluciones específicas a los riesgos de disponibilidad y seguridad en las redes de datos. Las soluciones de la auditoría no están contempladas en el presupuesto del proyecto, el solucionar problemas del data center requiere en muchas ocasiones de una gran inversión debido a que la redundancia y aspectos de seguridad ocasionan el doble de la inversión original, por tanto el presupuesto para la solución de los riesgos encontrados en la auditoría corre a cargo de la empresa propietaria del data center. 1.4 A quien está dirigido el documento El presente documento está dirigido a los auditores de sistemas como una herramienta base para el análisis de puntos de riesgos en la infraestructura principal de datos en las organizaciones. El documento además puede ser usado por personal de TI que desea evaluar el estado del data center y tener una base certificada de las vulnerabilidades que se encuentren en el data center, debido a que el documento se basa en estándares, normas, buenas prácticas, certificaciones y documentos técnicos. El público al que está dirigido el documento tendrá una base para elevar el nivel de seguridad, confiabilidad y disponibilidad de los servicios de red que utiliza su organización. Página 8 de 73

1.5 Organización del documento El presente documento esta dividido en siete capítulos de la siguiente manera: El primer capítulo Introducción describe los objetivos del proyecto que se ha desarrollado, así como una breve descripción de lo que se desarrolla en el tema. El segundo capítulo Marco Conceptual contiene los conceptos básicos de auditorías que son el centro del presente tema así como las categorías principales de estudio para los data centers que se han recopilado en este documento; además se describe la importancia de la disponibilidad que debe tener una data center en una empresa. En el capítulo tres Análisis del Problema se describen los puntos del problema de auditoría en los data center y por que es importante la disponibilidad en el data center, además de la conclusión para desarrollar un software que automatice el proceso de la auditoría. El cuarto capítulo Solución Propuesta presenta las evaluaciones que se recopilaron de todos los documentos técnicos que involucran las categorías de riesgos que se presentan en este documento y se detalla el análisis de desarrollo del software que administra las auditorías y que contará con las evaluaciones de este proyecto. El quinto capítulo Resultados y verificación experimental presenta la documentación referente a dos análisis realizados con el software en dos empresas que dispusieron sus data center para el análisis, se presenta el documento resumen de la auditoría y una carta de aceptación de los resultados de la auditoría, no así el detalle de los puntos pues esto compromete la seguridad de las empresas evaluadas, de esta manera se garantiza la confidencialidad del análisis. Página 9 de 73

El capítulo seis Bibliografía y Referencias Estudiadas lista las referencias de todos los documentos de los que se obtuvo la información para determinar los puntos de evaluación, documentos como certificaciones ISO, estándares internacionales, Normas de empresas certificadoras, RFC s y documentos técnicos de buenas practicas y libros comerciales. El último capítulo de Anexo presenta el manual de usuario del software desarrollado. 1.6 Justificación del Tema Se denomina centro de proceso de datos a aquella ubicación donde se concentran todos los recursos necesarios para el procesamiento de información de una organización. También se conoce como centro de cálculo o data center en el idioma Inglés. La disponibilidad de los recursos para las operaciones diarias en las compañías es esencial, por lo que se ha vuelto un tema de mucha prioridad en los sistemas informáticos corporativos, en particular el acceso a la información. Esta información puede estar localizada dentro del ambiente privado, dentro de la misma compañía, público o remoto (Internet). Así mismo la comunicación constante interna y entre los diferentes socios o proveedores son vitales para asegurar la continuidad del negocio día a día. El contar con un data center de alta disponibilidad es un reto, y que debe ser un objetivo de mucha prioridad para evitar la pérdida temporal, prolongada o permanente de servicios de acceso a la red privada o pública. Sin importar la categoría del centro de datos: a) Tier-1 Nivel 1 = no hay capacidad de componentes redundantes (único enlace ascendente y servidores). b) Tier-2 Página 10 de 73

Nivel 2 = Nivel 1 + capacidad componentes redundantes. c) Tier-3 Nivel 3 = Nivel 1 + 2 + Nivel Doble-powered equipos y múltiples uplinks. d) Tier-4 Nivel 4 = Nivel 1 + Nivel 2 + 3 + Tier todos los componentes están completamente tolerante a fallos incluidos los uplinks, almacenamiento, refrigeración, iluminación, aire acondicionado sistemas, servidores, etc. Todo es doble potencia. Los centros de datos Nivel 4 son considerados como más sólidas y menos propensos a sufrir averías. Nivel 4 está diseñado para albergar los servidores de misión crítica y sistemas informáticos, totalmente redundante con subsistemas (refrigeración, electricidad, red de vínculos, almacenamiento, etc.) y compartimentado las zonas de seguridad controladas por acceso biométrico. Naturalmente, la más simple es un Tier 1 del centro de datos utilizado por pequeñas empresas o comercios. Es necesario descubrir los posibles puntos donde el riesgo es mayor y que pueden provocar la pérdida del servicio. Contar con una infraestructura de red que permita el acceso continuo a los servicio de red es el objeto de estudio de este trabajo, que pretende brindar una solución de redundancia real al centro de datos actual que cuenta con conexiones únicas de acceso y se vuelven puntos únicos de falla. Siendo así que cuando hay problemas en la conectividad y acceso no es posible de ninguna manera garantizar la continuidad del servicio sino hasta que el problema se resuelve, ya sea por personal de la empresa o por personal de las compañías que brindan el servicio. Por lo tanto el contar con una solución que provea alta disponibilidad y redundancia no solo al nivel de conectividad, sino también a nivel de seguridad y acceso a los datos será de mucho beneficio no solo para las empresas a las que se sometan en estudio, sino para todas aquellas que tiene como objetivo la continuidad del negocio. Página 11 de 73

Partiendo de un estudio preliminar basado en la infraestructura actual en el centro de datos y posterior análisis se brindara una solución bajo un objetivo propuesto, optimizando el uso de los recursos actuales y dentro del presupuesto asignado. Existen diversos programas de auditoría y control interno de cuestionarios (ICQs). Este material puede ser utilizado como guía por los miembros en el ejercicio de sus funciones sobre temas específicos. El uso de estos productos no asegura un resultado exitoso. A la hora de determinar la corrección de cualquier procedimiento específico o de prueba, la auditoría profesional debe aplicar su propio criterio profesional a las circunstancias específicas presentadas por el sistema en particular de tecnología de la información. El éxito de las organizaciones al comprender los beneficios de la tecnología de la información (TI) y utilizar este conocimiento para conducir el valor de sus negocios. Reconocen la crítica dependencia de muchos procesos de negocios en TI, de la necesidad de cumplir con el aumento de la demanda, el cumplimiento de las normas y los beneficios de la gestión de riesgo con eficacia. La sistematización del proceso de auditoría de redes que platearemos en este documento, es un marco de gestión de TI con el apoyo conjunto de herramientas que permitirá a los administradores poder cerrar la brecha de los riesgos empresariales y la alta disponibilidad a los sistemas de información. El sistema permitirá el desarrollo de políticas claras y buenas prácticas para el control de centro de datos dentro de las organizaciones, a lo que se hace hincapié en el cumplimiento de las normas y la ayuda a las organizaciones y profesionales del área aumentar el valor alcanzado a partir de TI. Página 12 de 73

El proyecto puede además servir como una herramienta de apoyo en asignaturas o proyectos universitarios referentes a las auditorías debido a que en la actualidad muy pocos auditores sistematizan sus auditorías, estas son desarrolladas en papel o en el mejor de los casos se organiza en una hoja de cálculo y la solución sistematizada propuesta en este proyecto puede generalizarse para cualquier tipo de auditoría. Página 13 de 73

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback