Escolar Documentos
Profissional Documentos
Cultura Documentos
DECLARACIN
_______________________
Vodia S. Enrquez N.
_______________________
Pablo A. Torres E.
II
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Vodia Sebastin Enrquez
Novillo y Pablo Andrs Torres Enrquez, bajo mi supervisin.
_______________________________
III
AGRADECIMIENTO
Vodia Enrquez
Pablo Torres
IV
DEDICATORIA
A mi familia.
Vodia Enrquez
DEDICATORIA
A mis padres Jorge y Margarita, los cuales siempre me apoyaron con todo a pesar
de las claras limitaciones econmicas que hemos tenido, y siempre me dieron el
amor y el cario que me han hecho una persona con los pies en la tierra.
A mis hermanos David, Beln y Sofa, que siempre estuvieron en las buenas y las
malas, con sus bromas y chistes, y me dieron la mejor infancia que una persona
puede tener.
A la vida, por indicarme el bien y el mal desde diferentes puntos de vista, por
hacerme una persona fuerte, y por sorprenderme cuando pareca que nada ms
lo podra hacer.
Pablo Torres
VI
TABLA DE CONTENIDOS
DECLARACIN .........................................................................................
CERTIFICACIN .......................................................................................
AGRADECIMIENTO ...................................................................................
DEDICATORIA ...........................................................................................
CONTENIDO ..............................................................................................
NDICE DE FIGURAS ................................................................................
NDICE DE TABLAS...................................................................................
ANEXOS ....................................................................................................
RESUMEN .................................................................................................
PRESENTACIN .......................................................................................
I
II
III
IV
VI
XXII
XXIV
XXI
XXVI
XXVII
CONTENIDO
TOMO I
CAPTULO 1
MARCO TERICO
1.1
1.1.1
DEFINICIN ...........................................................................................................1
1.1.2
1.1.3
1.2
1.2.1
1.2.1.1
1.2.1.1.1
Caractersticas Arquitectnicas................................................................ 11
1.2.1.1.2
1.2.1.1.3
VII
1.2.1.1.4
1.2.1.2
1.2.1.3
1.2.1.4
1.2.1.5
1.2.1.6
1.2.1.7
1.2.1.8
1.2.1.9
1.2.2
1.2.2.1
1.2.2.2
1.2.2.3
1.2.3
1.2.4
1.2.4.1
1.2.4.2
Cableado de Backbone............................................................................... 24
1.2.4.3
1.2.5
1.2.5.1
1.2.5.2
1.2.5.3
1.3
1.3.1
1.3.2
1.3.2.1
1.3.2.1.1
1.3.2.2
1.3.2.2.1
1.3.2.3
1.3.2.3.1
VIII
1.3.2.4
1.3.2.4.1
1.4
1.4.1
INTRODUCCIN .................................................................................................. 44
1.4.2
DEFINICIN DE INFORMACIN.......................................................................... 46
1.4.3
1.4.4
1.4.4.1
Confidencialidad ......................................................................................... 47
1.4.4.2
Integridad ................................................................................................... 47
1.4.4.3
Disponibilidad ............................................................................................. 47
1.4.4.4
Autenticacin .............................................................................................. 47
1.5
1.5.1
VULNERABILIDADES........................................................................................... 48
1.5.2
AMENAZAS .......................................................................................................... 48
1.5.2.1
1.5.2.1.1
1.5.2.1.2
1.5.2.2
1.5.2.2.1
1.5.2.2.2
1.5.2.3
1.5.3
1.5.2.3.1
Accidentales............................................................................................ 49
1.5.2.3.2
Intencionales ........................................................................................... 49
ATAQUES............................................................................................................. 50
1.5.3.1
1.5.3.1.1
Intercepcin ............................................................................................ 50
1.5.3.1.2
Modificacin ............................................................................................ 51
1.5.3.1.3
Interrupcin ............................................................................................. 51
1.5.3.1.4
Fabricacin ............................................................................................. 51
1.5.3.2
1.5.3.2.1
Tipos de Ataques........................................................................................ 52
Reconocimiento de sistemas ................................................................... 52
IX
1.5.4
1.5.3.2.2
1.5.3.2.3
1.5.3.2.4
1.5.3.2.5
1.5.3.2.6
IP Spoofing ............................................................................................. 53
1.5.3.2.7
1.5.3.2.8
1.5.3.2.9
1.5.3.2.10
1.5.3.2.11
1.5.3.2.12
1.5.3.2.13
1.5.3.2.14
ATACANTES ........................................................................................................ 57
1.5.4.1
1.6
Tipos de Atacante....................................................................................... 57
1.5.4.1.1
Hackers................................................................................................... 57
1.5.4.1.2
Crackers ................................................................................................. 57
1.5.4.1.3
Phreaker ................................................................................................. 58
1.5.4.1.4
Spammers............................................................................................... 58
1.5.4.1.5
Carders ................................................................................................... 58
1.5.4.1.6
1.5.4.1.7
Phisher.................................................................................................... 58
1.6.1
1.6.1.1
1.6.1.2
1.6.2
FIREWALL ............................................................................................................ 61
1.6.2.1
1.6.2.1.1
1.6.2.1.2
Proxy-Gateways de Aplicaciones............................................................. 62
1.6.3
1.6.2.1.3
1.6.2.1.4
1.6.2.1.5
Screened Subnet..................................................................................... 63
1.6.2.1.6
1.6.3.1
1.6.4
WRAPPERS ......................................................................................................... 66
1.6.5
1.6.6
1.7
1.7.1
INTRODUCCIN .................................................................................................. 68
1.7.2
OBJETIVO ............................................................................................................ 68
1.7.3
ALCANCE ............................................................................................................. 69
1.7.4
1.7.5
1.7.6
1.7.6.1
1.7.6.2
1.7.6.3
1.7.6.4
1.7.7
1.7.7.1
1.7.7.2
Capacitacin............................................................................................... 78
1.7.8
1.7.9
XI
CAPTULO 2
2.1
ANTECEDENTES ....................................................................................................... 80
2.2
2.2.1
2.2.2
2.2.2.1
2.2.2.2
2.2.2.3
2.2.2.4
2.2.3
2.3
2.3.1
2.3.1.1
2.3.2
2.3.2.1
2.3.2.2
2.3.2.3
2.3.2.4
2.3.3
2.3.3.1
2.3.4
2.3.4.1
2.3.5
2.3.5.1
2.3.5.2
2.3.5.3
XII
2.3.5.4
2.3.5.5
2.4
2.3.5.5.1
2.3.5.5.2
2.3.5.5.3
2.4.1
2.4.2
2.4.3
2.4.4
2.4.5
2.4.6
2.4.7
2.4.8
2.5
2.5.1
2.5.2
2.5.3
2.5.3.1
2.5.3.2
2.5.4
2.5.4.1
2.5.4.2
2.5.4.3
2.5.4.4
2.5.4.5
2.5.4.6
XIII
CAPTULO 3
3.1
3.1.1
3.1.2
3.1.3
3.1.4
3.2
3.2.1
3.2.2
3.2.2.1
3.2.3
3.2.2.1.1
3.2.2.1.2
3.2.3.1
3.2.3.2
3.2.3.3
3.2.4
3.2.4.1
3.2.4.2
3.2.4.3
3.2.5
3.2.5.1
3.2.6
3.2.6.1
3.2.6.2
3.2.6.3
XIV
3.3
3.3.1
3.3.1.1
3.3.1.2
3.3.1.3
3.3.1.4
3.3.1.5
3.3.2
3.3.2.1
3.3.2.2
3.3.2.3
3.3.3
3.3.3.1
Evaluacin del Riesgo de los Subsistemas del Data Center ...................... 240
3.3.3.1.1
3.3.3.1.2
3.3.3.1.3
3.3.3.1.4
3.3.3.1.5
3.3.3.1.6
3.3.3.1.7
3.3.3.1.8
TOMO II
CAPTULO 4
4.1
4.1.1
XV
4.1.1.1
4.1.1.2
4.1.1.3
4.1.1.4
4.1.2
4.1.3
4.2
4.2.1
4.2.2
4.2.2.1
4.2.2.1.1
4.2.2.1.2
4.2.2.1.3
4.2.2.1.4
4.2.2.1.5
4.2.2.1.6
4.2.2.1.7
4.2.2.1.8
4.2.2.2
4.2.3
4.2.2.2.1
4.2.2.2.2
4.2.2.2.3
4.2.3.1
4.2.3.1.1
4.2.3.1.2
4.2.3.1.3
4.2.3.2
4.2.3.2.1
XVI
4.2.3.2.2
4.2.4
4.2.4.1
4.2.4.1.2
4.2.4.1.3
4.2.4.2.1
4.2.4.2.2
4.2.4.2.3
4.2.4.3
4.2.4.3.1
4.2.4.3.2
4.2.4.3.3
4.2.5.1
4.2.5.1.1
4.2.5.1.2
4.2.5.1.3
4.2.5.1.4
4.2.5.1.5
4.2.5.1.6
4.2.5.2
4.2.6
4.2.4.1.1
4.2.4.2
4.2.5
4.2.5.2.1
4.2.5.2.2
4.2.5.2.3
4.2.5.2.4
4.2.5.2.5
4.2.5.2.6
4.2.5.2.7
XVII
4.2.6.1
4.2.6.1.1
4.2.6.1.2
4.2.6.1.3
4.2.6.1.4
4.2.6.2
4.2.6.2.1
4.2.6.2.2
4.2.6.2.3
4.2.6.3
4.2.6.3.1
4.2.6.3.2
4.2.6.4
4.2.6.4.1
4.2.6.4.2
4.2.6.5
4.2.6.5.1
4.2.6.6
4.2.6.6.1
4.2.6.6.2
4.2.6.7
4.2.6.7.1
4.2.6.7.2
4.2.6.7.3
4.2.6.7.4
4.2.6.8
4.2.6.8.1
4.2.6.8.2
4.2.6.8.3
4.2.6.8.4
4.2.6.9
XVIII
4.2.7
4.2.6.9.1
4.2.6.9.2
4.2.6.9.3
4.2.6.9.4
4.2.6.9.5
4.2.6.9.6
4.2.7.1
4.2.7.1.1
4.2.7.2
4.2.7.2.1
4.2.7.2.2
4.2.7.2.3
4.2.7.2.4
4.2.7.3
4.2.7.3.1
4.2.7.3.2
4.2.7.3.3
4.2.7.4
4.2.7.4.1
4.2.7.4.2
4.2.7.4.3
4.2.7.4.4
4.2.7.4.5
4.2.7.4.6
4.2.7.4.7
4.2.7.5
4.2.7.5.1
4.2.7.5.2
4.2.7.5.3
4.2.7.5.4
XIX
4.2.7.5.5
4.2.7.5.6
4.2.7.6
4.2.7.6.1
4.2.7.6.2
4.2.7.7
4.2.8
4.2.7.7.1
4.2.7.7.2
Tele-Trabajo.......................................................................................... 442
4.2.8.1
4.2.8.1.1
4.2.8.2
4.2.8.2.1
4.2.8.2.2
4.2.8.2.3
4.2.8.2.4
4.2.8.3
4.2.8.3.1
4.2.8.3.2
4.2.8.4
4.2.8.4.1
4.2.8.4.2
4.2.8.4.3
4.2.8.5
4.2.8.5.1
4.2.8.5.2
4.2.8.5.3
4.2.8.5.4
4.2.8.5.5
XX
4.2.8.6
4.2.8.6.1
4.2.9
4.2.9.1
4.2.9.1.1
4.2.9.1.2
4.2.9.2
4.2.9.2.1
4.2.9.2.2
4.2.9.2.3
4.2.10
4.2.10.1
4.2.10.1.1
4.2.10.1.2
4.2.10.1.3
4.2.10.1.4
4.2.10.1.5
4.2.11
CUMPLIMIENTO................................................................................................. 490
4.2.11.1
4.2.11.1.1
4.2.11.1.2
4.2.11.1.3
4.2.11.1.4
4.2.11.1.5
4.2.11.1.6
4.2.11.2
XXI
4.2.11.2.1
4.2.11.2.2
4.2.11.3
4.2.11.3.1
4.2.11.3.2
5.1
CONCLUSIONES...................................................................................................... 509
5.2
RECOMENDACIONES.............................................................................................. 517
TOMO III
ANEXOS
XXII
NDICE DE FIGURAS
Figura 1.1: El CDC 600 el primer supercomputador........................................................................2
Figura 1.2: Microcomputadoras que ocuparon el lugar de las anticuadas Mainframes ....................3
Figura 1.3: Data Center de Google .................................................................................................4
Figura 1.4: Green Data Center .......................................................................................................5
Figura 1.5: Interconexin de las reas de un Data Center ..............................................................9
Figura 1.6: Distribucin de espacios en un Data Center................................................................ 10
Figura 1.7: reas de un Data Center ............................................................................................ 11
Figura 1.8: Topologa tpica de un Data Center ............................................................................ 18
Figura 1.9: Topologa de Data Center Reducido ........................................................................... 19
Figura 1.10: Topologa de Data Center Distribuido ....................................................................... 20
Figura 1.11: Configuracin de pasillos fros y calientes................................................................. 21
Figura 1.12: Rack con organizadores verticales ........................................................................... 23
Figura 1.13: Cableado Horizontal usando una topologa en estrella .............................................. 24
Figura 1.14: Cableado Backbone usando una topologa en estrella .............................................. 26
Figura 1.15: Cableado de fibra ptica centralizado ....................................................................... 27
Figura 1.16: Sistema de piso falso con bandejas de cables .......................................................... 29
Figura 1.17: Sistema de bandejas de cable areas ...................................................................... 30
Figura 1.18: Redundancia de las reas del Data Center para varios Tiers .................................... 31
Figura 1.19: Modelo de Tier I: Infraestructura bsica .................................................................... 35
Figura 1.20: Modelo de Tier II: Infraestructura con componentes redundantes.............................. 38
Figura 1.21: Modelo de Tier III: Infraestructura concurrentemente mantenible .............................. 41
Figura 1.22: Modelo de Tier IV: Infraestructura tolerante a fallas .................................................. 44
Figura 1.23: Clases ms comunes de vulnerabilidades ................................................................ 45
Figura 1.24: Intercepcin de la Informacin .................................................................................. 50
Figura 1.25: Modificacin de la Informacin.................................................................................. 51
Figura 1.26: Interrupcin de la Informacin................................................................................... 51
Figura 1.27: Fabricacin de la Informacin ................................................................................... 52
Figura 1.28: a) Three-Way Handshake, b) Sync Flood ................................................................. 57
Figura 1.29: Firewall..................................................................................................................... 61
Figura 1.30: Proceso del Proxy Gateway...................................................................................... 62
Figura 1.31: Proceso Dual-Homed Host ....................................................................................... 62
Figura 1.32: Screened Host.......................................................................................................... 63
Figura 1.33: Screened Subnet ...................................................................................................... 64
Figura 1.34: Funcionamiento de un ACL ...................................................................................... 65
Figura 1.35: Estructura de la Norma ISO/IEC 27001:2005 ............................................................ 71
Figura 1.36: Modelo PDCA........................................................................................................... 72
Figura 2.1: Distribucin del mercado de Servicios Portadores en Quito ........................................ 82
XXIII
XXIV
NDICE DE TABLAS
Tabla 2.1: Operadores ISPs predominantes en Quito ................................................................... 83
Tabla 2.2: Simbologa para evaluacin del tiering ......................................................................... 84
Tabla 2.3: Evaluacin del Subsistema de Telecomunicaciones .................................................... 85
Tabla 2.4: Evaluacin del Subsistema Arquitectnico ................................................................... 87
Tabla 2.5: Evaluacin del Subsistema Elctrico ............................................................................ 89
Tabla 2.6: Evaluacin del Subsistema Mecnico .......................................................................... 91
Tabla 2.7: Evaluacin global de los Data Centers visitados .......................................................... 92
Tabla 2.8: Aspectos claves del almacenamiento de las cintas magnticas.................................. 105
Tabla 2.9: Distancias de Cableado Estructurado ........................................................................ 109
Tabla 2.10: Parmetros de Fibra ptica Multimodo .................................................................... 110
Tabla 2.11: Lmites de Temperatura y Humedad dentro del Cuarto de Equipos .......................... 120
Tabla 2.12: Inventario de Equipos del Sistema de Telecomunicaciones...................................... 142
Tabla 2.13: Inventario de Equipos del Sistema Mecnico ........................................................... 143
Tabla 2.14: Inventario de Equipos del Sistema Elctrico ............................................................. 144
Tabla 2.15: Inventario de Equipos del Sistema Detector de Incendios ........................................ 145
Tabla 2.16: Inventario de Equipos del Sistema Extintor de Incendios.......................................... 146
Tabla 2.17: Inventario de Equipos del Sistema de Videovigilancia IP .......................................... 146
Tabla 2.18: Inventario de Equipos del Control de Acceso ........................................................... 147
Tabla 3.1: Criterio de Valoracin del Costo del Activo................................................................. 160
Tabla 3.2: Criterio de Valoracin de la Prdida de Reputacin y Confianza del Cliente ............... 160
Tabla 3.3: Criterio de Valoracin de Violacin de la Ley y Regulaciones..................................... 161
Tabla 3.4: Criterio de Valoracin de Prdida de Ventaja Competitiva.......................................... 161
Tabla 3.5: Criterio de Valoracin de Violacin de la Informacin Privada .................................... 161
Tabla 3.6: Criterio de Valoracin de Violacin del Contrato de Confidencialidad del Cliente........ 161
Tabla 3.7: Criterio de Valoracin de Interrupcin del Servicio ..................................................... 162
Tabla 3.8: Criterio de Valoracin de Interrupcin de la Administracin y Gestin ........................ 162
Tabla 3.9: Criterio de Valoracin de Incumplimiento del Contrato Cliente ................................... 162
Tabla 3.10: Criterios de Valoracin de la Confidencialidad de los Activos ................................... 163
Tabla 3.11: Criterios de Valoracin de la Integridad de los Activos ............................................. 163
Tabla 3.12: Criterios de Valoracin de la Disponibilidad de los Activos ....................................... 163
Tabla 3.13: Criterios de Valoracin del Nivel de Importancia del Activo ...................................... 164
Tabla 3.14: Criterio de Grado de Afectacin sobre un Activo ...................................................... 168
Tabla 3.15: Criterios de Valoracin del Impacto .......................................................................... 168
Tabla 3.16: Criterios de Valoracin del Impacto Total ................................................................. 169
Tabla 3.17: Criterios de Valoracin de Probabilidad de Ocurrencia ............................................. 170
Tabla 3.18: Criterios de Valoracin del Riesgo ........................................................................... 172
Tabla 3.19: Criterios de Valoracin del Riesgo Total................................................................... 172
XXV
XXVI
RESUMEN
El presente proyecto plantea el diseo de un Sistema de Gestin de Seguridad de
la Informacin para un Data Center modelo Tier III, en base a la norma ISO/IEC
27001. Se realiza un anlisis de los posibles riegos de un Data Center de alta
gama y se proponen controles y polticas que garanticen la seguridad de su
informacin.
En el captulo 1 se realiza una descripcin sobre los Data Centers, as como los
conceptos referentes a la seguridad de la informacin, ataques, vulnerabilidades y
los mtodos de mitigacin de riesgos. Adems se detalla la normativa
internacional
27001:2005.
XXVII
Los anexos incluyen los diagramas y esquemas de los subsistemas del Data
Center, el Anlisis de Riesgos detallado de los todos los activos y los objetivos de
control y controles descritos en la norma ISO/IEC 27001:2005.
PRESENTACIN
En la actualidad la demanda de servicios tales como hosting, housing y cloud
computing por parte de diversas instituciones ha generado la necesidad de
establecer Data Centers ms seguros y robustos para poder cubrirlos. La norma
ANSI/TIA942-A establece los lineamientos de diseo de Data Centers de gama
alta, como el Data Center Tier III, cuya infraestructura est destinada a preservar
la seguridad fsica de la informacin con altos niveles de redundancia, pero no
asegura un buen manejo de la informacin.
Este proyecto es de importancia ya que puede servir de gua para futuros trabajos
relacionados con la seguridad de la informacin o para que los ISPs que cuentan
con Data Centers de Gama Alta obtengan una certificacin ISO/IEC 27001:2005,
lo que las ayudar a ganar reputacin y clientes, mejorando sus ingresos, y
evitando que la integridad, disponibilidad y confidencialidad de los datos
almacenados y procesados en el Data Center se vean comprometidos.
CAPTULO 1
MARCO TERICO
1
1.1.1 DEFINICIN
asociados,
como
sistemas
de
almacenamiento
Los Data Centers, como se los conoce en la actualidad, han tenido una evolucin
desde los primeros tiempos de la computacin hasta el desarrollo de nuevas
tecnologas que trabajen de forma eficiente y con mayor responsabilidad hacia el
medio ambiente.
Los centros de datos tienen sus races en los enormes cuartos de informtica de
los primeros tiempos de la industria de la computacin. Los sistemas informticos
iniciales eran complejos para operar y mantener, y requeran un ambiente
especial para trabajar. Se necesitaban muchos cables para conectar todos los
componentes y surgieron mtodos para organizarlos, como los estndares para
montar equipos en racks1, pisos falsos y las bandejas de cable (areas o
subterrneas). Adems, las viejas computadoras requeran una gran cantidad de
alimentacin, y tenan que ser enfriadas para evitar el sobrecalentamiento. La
seguridad era importante, las computadoras eran costosas y se utilizaban con
frecuencia para fines militares. Los Data Centers iniciales no estaban diseados
para proporcionar facilidades de red avanzadas, ni cumplan los requerimientos
mnimos de ancho de banda y velocidad de las arquitecturas actuales. La Figura
1.1 muestra al CDC 600, el antecesor de los cuartos de cmputo modernos.
Figura 1.2: Microcomputadoras que ocuparon el lugar de las anticuadas Mainframes4 [3]
Algunos servicios ofrecidos por Data Centers son: [1] [7] [8] [9]
preventivo
de
los
equipos
solucin
de
cualquier
inconveniente.
TELECOMUNICACIONES
PARA
DATA
CENTERS
ANSI/TIA-942-A [10]
La Asociacin de Industrias de Telecomunicaciones (TIA) desarroll el estndar
ANSI/TIA-942-A con el propsito de proveer requerimientos y guas para el diseo
e instalacin de un Data Center.
La Figura 1.5 ilustra la interconexin de los espacios del Data Center a travs del
cableado estructurado. Las Figuras 1.6 y 1.7 muestran las distribuciones de
dichas reas en un Data Center tpico.
Proveedor de
Acceso
Proveedor de
Acceso
Cuarto de Entrada
Cuarto de Entrada
ENI
ENI
MDA
MDA
MC
MC
IDA
IC
HDA
Cableado
Horizontal para
espacios fuera el
Cuarto de Cmputo
HC
HC
ZDA
ZDA
CP
CP
EDA
HC
IC
HDA
EF
TR
IDA
EF
EDA
EF
EDA
EF
EDA
EF
EDA
EF
EDA
Leyenda
Cableado de Backbone
Cableado Horizontal
Cross-connect
Inter-connect
Toma de red
Espacio de Telecomunicaciones
ENI
MC
IC
HC
CP
MDA
IDA
HDA
ZDA
EDA
TR
EF
ZDA
Cuarto de Cmputo
Cuarto de
Entrada 1
MDA/IDA
Cuarto de
Telecomunicaciones
EDA
HDA
EDA
EDA
Cuarto de
Entrada 2
MDA/IDA
EDA
LEYENDA
10
11
El tamao del Cuarto de Cmputo debe cumplir con los requerimientos de los
equipos incluyendo los espacios libres apropiados. Si se tienen UPSs5 que
contengan bateras de celdas inundadas6 deben estar ubicados en un cuarto
separado.
UPS: Dispositivo que proporciona energa elctrica de respaldo por un tiempo limitado durante
un apagn a los elementos que tenga conectado.
6
Batera de celdas inundadas: Tambin llamadas bateras de celda hmeda o de cido y plomo.
Son aquellas donde sus partes internas se encuentran cubiertas por lquido y son las ms
comnmente utilizadas en los automotores.
12
La capacidad de carga del piso deber ser suficiente para soportar tanto la carga
distribuida y concentrada de los equipos instalados como del cableado asociado y
los medios de comunicacin. La capacidad mnima de carga distribuida en el piso
deber ser de 7,2 kPa (150 lbf/ft2) y la recomendada es de 12 kPa (250 lbf/ft2).
13
El HVAC debe estar operativo 24 horas al da, 365 das al ao, mantener una
temperatura de 18C a 27C, dar una humedad de 60% y tener alimentacin
elctrica independiente para los equipos de telecomunicaciones. El sistema HVAC
debe estar conectado al sistema generador de reserva del Cuarto de Cmputo o
del edificio, en su defecto.
14
El espacio del Cuarto de Entrada debe estar dimensionado para cumplir con los
requerimientos de nmero de proveedores de acceso, nmero y tipos de circuitos,
equipos, tanto del proveedor como del Data Center y vas para el cableado.
Router o Enrutador: dispositivo de capa 3 que permite la interconexin entre dispositivos IP que
se encuentran en redes diferentes.
9
Switch o Conmutador: dispositivo de capa 2 que permite interconectar dos o ms segmentos de
red basados en la direccin MAC de destino de las tramas en la red.
10
LAN: Local Area Network, sistema de comunicacin entre computadoras, donde su distancia de
separacin es corta.
11
SAN: Storage Area Network, red dedicada al almacenamiento que est conectada a las redes
de comunicacin de una compaa.
15
16
utilizados
para
modificaciones
en
las
se
utiliza
normalmente
en
entornos
donde
se
requieren
de
almacenamiento,
incluidos
los
sistemas
equipos
de
12
PDU: dispositivo equipado con mltiples salidas diseado para distribuir energa elctrica a un
rack de computadoras o equipos de red.
17
Se permite cableado punto a punto entre equipos de esta rea; la longitud del
cableado no debe ser mayor a 15 m, y este cableado debe establecerse entre los
equipos de racks adyacentes o gabinetes de la misma fila.
Es el espacio que soporta el cableado para las zonas fuera del Cuarto de
Cmputo; normalmente est fuera del Cuarto de Cmputo, pero se puede
combinar con el rea de Distribucin Principal, Intermedia u Horizontal.
Son espacios fuera del Cuarto de Cmputo que ayudan al soporte de las
instalaciones del Data Center; stos pueden incluir un centro de operaciones,
oficinas de personal de soporte, cuartos de seguridad, cuartos elctricos, cuartos
de mquinas, bodegas y zonas de carga.
18
Proveedores
de Acceso
Cuarto de Entrada
(Punto de Demarcacin y
Equipos del Proveedor)
Proveedores
de Acceso
Oficinas, Centro de
Operaciones y Cuartos de
Soporte
Cuarto de Cmputo
Cuarto de Telecomunicaciones
(Switches LAN del Centro de
Operaciones y Oficinas)
rea de Distribucin
Horizontal
(Switches LAN/SAN/KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/KVM)
rea de Distribucin de
Equipos
(Racks/Gabinetes)
rea de Distribucin de
Equipos
(Racks/Gabinetes)
rea de Distribucin de
Equipos
(Racks/Gabinetes)
rea de Distribucin de
Zona
rea de Distribucin de
Equipos
(Racks/Gabinetes)
Leyenda
Cableado Backbone
Cableado Horizontal
Espacio de Telecomunicaciones
En el diseo reducido se puede unificar el cross-connect principal y el crossconnect horizontal en una sola rea principal de distribucin, posiblemente en un
solo gabinete o rack, que sirve directamente a las reas de Distribucin de Zona y
Equipos. Tambin se consolidan el Cuarto de Telecomunicaciones y el Cuarto de
Entrada para el cableado de las reas de apoyo como el centro de operaciones y
oficinas (ver Figura 1.9).
19
Proveedores de Acceso
Cuarto de Cmputo
Oficinas, Centro de
Operaciones y Cuartos de
Soporte
rea de Distribucin de
Zona
rea de Distribucin de
Equipos
(Racks/Gabinetes)
rea de Distribucin de
Equipos
(Racks/Gabinetes)
Leyenda
Cableado Backbone
Cableado Horizontal
Espacio de Telecomunicaciones
Esta topologa es utilizada por grandes Data Centers que se encuentran ubicados
en varios pisos o habitaciones. En estos casos se tendrn varias cross-connects
ubicadas en las reas de Distribucin Intermedias. En cada cuarto o piso estarn
las IDAs. Podran necesitarse tambin varios cuartos de telecomunicaciones
cuando los Data Centers contengan oficinas grandes o muy separadas.
20
reas. Las IDAs servirn a varias HDAs y EDAs. La Figura 1.10 muestra el
diagrama de un Data Center distribuido.
Proveedores de
Acceso
Proveedores de
Acceso
Oficinas, Centro de
Operaciones y
Cuartos de Soporte
Cuarto de Entrada
Primario
(Punto de Demarcacin y
Equipos del Proveedor)
Cuarto de Entrada
Secundario
(Punto de Demarcacin y
Equipos del Proveedor)
Cuarto de
Telecomunicaciones
(Switches LAN del
Centro de Operaciones
y Oficinas)
rea de Distribucin
Principal
(Routers, Switches LAN/
SAN de core, PBX,
Multiplexores M13)
Cuarto de Cmputo
rea de Distribucin
Intermedia
(Switches LAN/SAN)
rea de Distribucin
Intermedia
(Switches LAN/SAN)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
de Zona
rea de Distribucin
Horizontal
(Switches, LAN/SAN/
KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
de Equipos
(Racks/Gabinetes)
rea de Distribucin
de Equipos
(Racks/Gabinetes)
rea de Distribucin
de Equipos
(Racks/Gabinetes)
rea de Distribucin
de Equipos
(Racks/Gabinetes)
Leyenda
Cableado Backbone
Cableado Horizontal
Espacio de Telecomunicaciones
Los racks estn equipados con rieles laterales de montaje en los que se acopla el
equipamiento; adems, pueden estar equipados con paneles laterales, una tapa,
puertas delanteras y traseras.
Los gabinetes se colocarn de modo que tengan una distribucin frente con frente
en una fila; de esta forma se crean pasillos fros y calientes (Figura 1.11). Para
mejorar el flujo de aire natural, se colocarn paneles de relleno en los espacios de
los racks que no se utilicen.
21
Los pasillos fros estn en la parte frontal de los gabinetes y racks. Si hay un piso
de acceso, los cables de distribucin de energa se instalarn bajo el piso.
22
Cuando se utiliza refrigeracin por debajo del suelo, los cortes de las baldosas
solo deben ser utilizados para acomodar los sistemas de ventilacin y rutas de
cables. Las aberturas de las baldosas deben permanecer siempre selladas para
minimizar prdidas de presin de aire y su colocacin ser debajo de los
gabinetes, administradores verticales de cables, entre racks o en cualquier sitio
que evite riesgos por tropiezos.
Los racks que son compatibles con el piso falso sern atornillados a la losa de
cemento o a un canal de metal asegurado a la losa, mediante varillas roscadas
que se penetran a travs de las baldosas.
23
24
25
26
HDA
HC
HDA
IDA
IC
HC
HDA
IDA
IC
HC
TR
HC/MC
MDA
MC
Cuarto de Entrada
ENI
HDA
HDA
HC
HC
Leyenda
Cableado de Backbone
Espacio de Telecomunicaciones
ENI
MC
IC
HC
MDA
IDA
HDA
TR
27
El cableado centralizado provee conexiones desde las EDAs hacia los crossconnect centralizados por medio de conexin directa, empalmes o interconexin
en el HDA, como se muestra en la Figura 1.15.
28
en
Cuartos
de
Equipos
Comunes
(CER).
Si
se
requieren
Se lo utiliza en equipos diseados para ser cableados desde abajo (ver Figura
1.16). No debe abandonarse cables en el piso falso. Si no tienen terminacin en el
MDA o HDA, se retirarn. El cableado de telecomunicaciones bajo el piso falso
29
estar en bandejas de cable que no bloqueen el flujo de aire; stas deben tener
una profundidad mxima de 150 mm.
30
de conductos para los cables de fibra, el cual se puede asegurar a las mismas
barras colgantes utilizadas para apoyar las bandejas de cable.
En los pasillos y otros espacios comunes en los Data Centers de Internet, las
bandejas de cable areas tendrn fondos slidos o estar colocados por lo menos
2,7 m por encima del piso terminado. La profundidad mxima recomendada de
cualquiera de las bandejas de cable es de 150 mm. La Figura 1.17 muestra la
distribucin de cableado utilizando bandejas de cable areas.
31
Figura 1.18: Redundancia de las reas del Data Center para varios Tiers [10]
Un Data Center puede tener diferentes Tiers dependiendo del nivel que tenga
cada uno de los subsistemas de telecomunicaciones, elctricos, arquitectnicos y
mecnicos. Aunque tpicamente la clasificacin general de un Data Center se lo
realiza basado en el componente de menor Tier.
32
Redundancia 2N
33
Un Tier I tpicamente puede tener dos cadas del sistema de 12 horas por ao
debido a mantenimiento. El tiempo de inactividad es de 28,8 horas anual con una
disponibilidad del 99,671%.
informticas).
Infraestructura de TI solo para procesos internos.
Compaas que hacen uso de la Web como una herramienta de mercadeo.
Compaas que basan su negocio en Internet, pero que no requieren
calidad en sus servicios.
34
Sistema de Telecomunicaciones
Algunos de los posibles puntos de fallos pueden ser producidos por cortes en los
servicios o equipos del proveedor, falla de routers, switches, dao en el cableado
estructurado, cualquier evento catastrfico en el Cuarto de Entrada o MDA, que
pudieran detener las operaciones de telecomunicaciones del Data Center.
Sistema Elctrico
Sistema Mecnico
13
ATS (Automatic Transfer Switch): es un switch elctrico que conmuta la carga entre dos fuentes
de forma automtica en caso de cada de una de ellas.
35
36
Sistema de Telecomunicaciones
Los fallos potenciales del Tier II pueden deberse a que el equipo del proveedor,
los switches LAN y SAN estn conectados al mismo sistema elctrico o estn
soportados por un nico sistema HVAC. Un evento catastrfico en el MDA o en el
37
Proteccin
mnima
contra
algunos
eventos
fsicos
que
causen
Sistema Elctrico
Sistema Mecnico
38
Figura 1.20: Modelo de Tier II: Infraestructura con componentes redundantes [16]
Un Data Center de este tipo permite realizar cualquier actividad planeada sobre
cualquier componente de la infraestructura sin interrupciones en la operacin.
Debe tener una doble lnea de distribucin de los componentes, de forma tal que
sea posible realizar mantenimiento o pruebas en una lnea, mientras que la otra
atiende la totalidad de la carga. La Figura 1.21 ilustra la infraestructura de un Tier
III.
39
Sistema de Telecomunicaciones
40
Un evento catastrfico dentro del MDA que interrumpa todos los servicios de
telecomunicaciones del Data Center, o un evento dentro del HDA que corte los
servicios en las reas que sirve.
Sistema Elctrico
Sistema Mecnico
14
Automatic Static Transfer Switches: son conmutadores elctricos que permiten transferir una
carga entre dos fuentes de energa de forma automtica e inmediata.
41
Equipo de refrigeracin con redundancia N+1, N+2, 2N, o 2(N+1) debe ser
dedicado para el Data Center.
Se deben colocar detectores de fugas de agua en los canales.
Este Data Center provee la capacidad de realizar cualquier actividad planeada sin
interrupciones en las cargas crticas, pero adems permite a la infraestructura
continuar operando ante un evento crtico no planeado.
Requiere dos lneas de distribucin simultneamente activas, tpicamente en una
configuracin 2(N+1), como se muestra en la Figura 1.22.
42
Sistema de Telecomunicaciones
Algunos posibles puntos de fallo son: en la nica MDA, en caso de que no sea
factible implementar una segunda rea, o en el HDA y cableado horizontal, si el
cableado redundante no es instalado.
43
Sistema Elctrico
Sistema Mecnico
44
1.4.1 INTRODUCCIN
45
15
46
17
Activos: Son los recursos controlados que le permite a una organizacin realizar su actividad y
tener un beneficio futuro.
47
1.4.4.1 Confidencialidad
1.4.4.2 Integridad
1.4.4.3 Disponibilidad
1.4.4.4 Autenticacin
48
1.5 VULNERABILIDADES,
AMENAZAS,
ATAQUES
ATACANTES [21]
1.5.1 VULNERABILIDADES
1.5.2 AMENAZAS
Son aquellas que aprovechan las vulnerabilidades del software que interviene en
el intercambio de informacin en una determinada red.
49
1.5.2.3.1 Accidentales
1.5.2.3.2 Intencionales
50
1.5.3 ATAQUES
1.5.3.1.1 Intercepcin
18
X.800: Recomendacin que describe las caractersticas bsicas que deben ser consideradas
cuando se quiere conectar una computadora con otras, ya sea conectarse a Internet o a una Red
de rea Local, de forma segura.
19
ITU: Unin Internacional de Telecomunicaciones por sus siglas en Ingls
51
1.5.3.1.2 Modificacin
1.5.3.1.3 Interrupcin
1.5.3.1.4 Fabricacin
52
53
Tiene como fin observar los datos y el trfico transmitido en una red de
informacin, a travs de un sniffer20, para planificar un ataque activo.
1.5.3.2.6 IP Spoofing
Hace referencia al enmascaramiento IP21, que es manipular la cabecera de los
paquetes que se transmiten, para simular un equipo que se encuentra dentro de
una red, y realizar un ataque. Otro ataque que se basa en IP spoofing es el
llamado hijacking, donde se suplanta la direccin IP de la vctima para obtener
una sesin ya establecida previamente.
20
Sniffer: es un programa informtico que registra la informacin que se transmite en una red de
computadoras, as como la actividad realizada en un determinado ordenador.
21
Internet Protocol: es un protocolo utilizado para la comunicacin de datos a travs de una red
por medio del direccionamiento de paquetes.
22
Domain Name System: es un sistema que permite traducir nombres inteligibles para las
personas en identificadores binarios asociados con los equipos conectados a la red.
54
55
56
23
TCP: Es un protocolo que garantiza que los datos sern entregados en su destino sin errores y
en el mismo orden en que se transmitieron.
57
Conexin
de
routers
maliciosos,
que
proporcionarn
tablas
de
1.5.4.1.1 Hackers
1.5.4.1.2 Crackers
Personas que despus de romper los controles de acceso, producen daos en los
sistemas de informacin para obtener un beneficio.
58
1.5.4.1.3 Phreaker
1.5.4.1.4 Spammers
1.5.4.1.5 Carders
1.5.4.1.7 Phisher
59
1.6 MTODOS
UTILIZADOS
PARA
GARANTIZAR
LA
1.6.1 PENETRATION
TEST,
ETHICAL
HACKING
PRUEBA
DE
VULNERABILIDAD
Zona Desmilitarizada (Demilitarized Zone): es una red que se ubica entre la red interna de una
organizacin y una red externa. La intencin de la DMZ es asegurar que los servidores de acceso
pblico no puedan comunicarse con otros segmentos de la red interna.
60
Trata de observar las vulnerabilidades de una red que puede explotar un atacante
interno con privilegios bajos. Se hacen pruebas como las siguientes:
25
UDP: Permite el envo de datagramas a travs de la red sin que se haya establecido
previamente una conexin
26
ICMP: Protocolo que se usa para enviar mensajes de control, indicando por ejemplo que un
servicio determinado no est disponible o que un router o host no puede ser localizado.
27
WWW: Es un sistema de distribucin de informacin basado en hipertexto o hipermedios
enlazados y accesibles a travs de Internet.
28
FTP: Es un protocolo de red para la transferencia de archivos entre sistemas conectados a una
red TCP
29
SMTP: Protocolo de red basado en texto, utilizados para el intercambio de mensajes de correo
electrnico entre computadoras u otros dispositivos
61
Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs
del firewall.
Slo el trfico autorizado, definido por la poltica local de seguridad, es
permitido.
El filtrado lo realizan los routers tomando como criterios los protocolos de red,
direcciones IP de origen y destino confiables y los puertos UDP y TCP.
62
63
En este esquema se utilizan dos routers: uno exterior y otro interior. El router
exterior tiene la misin de bloquear el trfico no deseado en ambos sentidos:
hacia la red interna y hacia la red externa. El router interior hace lo mismo con la
red interna y la DMZ (zona entre el router externo y el interno). La Figura 1.33
muestra el proceso de Screened Subnet.
64
Son aplicaciones que actan en un solo ordenador, para proteger del ingreso de
virus, gusanos y/o troyanos cuando existe una conexin a una red no confiable.
65
Cliente AAA
Es aquel dispositivo de red en el cual est el programa que soporta los servicios
de seguridad AAA, para la obtencin de acceso a la red. Los dispositivos enviarn
sus peticiones de acceso y autorizacin al ACS, el cual permitir o denegar el
acceso; si la autenticacin es vlida se establecer la conexin.
Usuario Final
66
67
30
Modo Promiscuo: Es aquel en el que una computadora conectada a una red compartida, tanto la
basada en cable de cobre como la basada en tecnologa inalmbrica, captura todo el trfico que
circula por ella.
68
1.7.1 INTRODUCCIN
1.7.2 OBJETIVO
69
1.7.3 ALCANCE
70
Este Estndar Internacional adopta el modelo del proceso Planear-HacerChequear-Actuar (PDCA por sus siglas en ingls), el cual se puede aplicar a
todos los procesos SGSI.
La Figura 1.35 muestra los tipos de seguridad, as como su relacin con los
diferentes controles de seguridad.
71
72
73
Definir el alcance y los lmites del SGSI en trminos de las caractersticas del
negocio, la organizacin, la ubicacin, activos, tecnologa, incluyendo los
detalles de los controles y la justificacin de cualquier exclusin del alcance.
74
b) Desarrollar los criterios para aceptar los riesgos e identificar los niveles de
riesgo aceptables.
a) Identificar los activos dentro del alcance del SGSI y los propietarios de
estos activos.
75
76
identificados,
los
cuales incluyen
tener
en
consideracin
el
77
Medir la efectividad de los controles para verificar que se hayan cumplido los
requerimientos de seguridad.
Realizar una revisin gerencial del SGSI sobre una base regular para asegurar
que el alcance permanezca adecuado y se identifiquen las mejoras en el
proceso SGSI.
78
1.7.7.2 Capacitacin
79
Debe realizarse un mejoramiento continuo del SGSI, que incluya las polticas,
controles, auditoras de la seguridad de la informacin y la revisin gerencial. Es
necesario tomar en cuenta, adicionalmente, las acciones correctivas y preventivas
para solventar las no-conformidades con los requerimientos del SGSI,
identificando las causas, evaluando e implementando soluciones apropiadas para
cada caso.
80
CAPTULO 2
SITUACIN ACTUAL DE LOS DATA CENTERS TIER III EN
ALGUNOS ISPs DE LA CIUDAD DE QUITO
2
2.1 ANTECEDENTES
El
crecimiento
de
varios
sectores
econmicos,
como
el
de
seguros,
Independiente del origen de los Data Centers, stos deben seguir varios
estndares internacionales conforme a su diseo y seguridad, de tal manera que
pueda cumplir con los conceptos de confidencialidad, integridad y disponibilidad
ofrecidos en sus servicios.
81
82
MEGADATOS S.A.
2%
RESTO DE ISPs
6%
TELCONET S.A.
4%
PUNTO NET S.A.
6%
SURAMERICANA DE
TELECOMUNICACIO
NES S.A. SURATEL
25%
[NOMBRE DE
CATEGORA]
[PORCENTAJE]
83
No.
1
PERMISIONARIO
CORPORACIN
NACIONAL DE
TELECOMUNICACIONES
SURAMERICANA DE
TELECOMUNICACIONES
S.A. SURATEL
Cuentas
Cuentas Cuentas
Conmutadas Dedicadas Totales
Usuarios
Conmutados
Usuarios
Dedicados
Usuarios
Totales
1.256
529.804
531.060
5.024
3.096.382 3.101.406
150.527
150.527
1.401.662 1.401.662
1.291
32.170
33.461
5.164
318.780
323.944
TELCONET S.A.
29
7.396
7.425
116
206.672
206.788
LEVEL 3 ECUADOR
LVLT S.A. (GLOBAL
CROSSING)
278
647
925
1.112
148.178
149.290
MEGADATOS S.A.
37.849
37.849
139.375
139.375
de
Telecomunicaciones
con
un
Tier
IV,
T4;
Subsistema
Arquitectnico con un Tier III, A3; Subsistema Elctrico con un Tier II, E2; y
Subsistema Mecnico con un Tier I, M1.
84
La valoracin general del Tier de un Data Center no se mide por el promedio del
grado de disponibilidad de sus subsistemas individuales, sino que est definida
por el nivel del subsistema ms dbil que interviene en la operacin.
Descripcin
El Operador cumple con las especificaciones del Tier, de acuerdo a la norma ANSI/TIA942-A.
El Operador NO cumple con las especificaciones del Tier, de acuerdo a la norma
ANSI/TIA-942-A.
Las especificaciones NO son requeridas por el Tier, de acuerdo a la norma ANSI/TIA942-A.
Tabla 2.2: Simbologa para evaluacin del tiering
85
Operador A
Operador B
Operador C
SUBSISTEMA DE
TELECOMUNICACIONES
Cumplimiento
del Tier
Cumplimiento
del Tier
Cumplimiento
del Tier
Componentes de Verificacin
T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4
General
Cumplimiento de las normas de la ANSI/TIA
para cableado, racks y rutas
Evaluacin
Los datos de la Tabla 2.3 evidencian que el Operador A cumple con todos los
requerimientos para tener una alta disponibilidad, a prueba de fallos, cuya
categora corresponde al Tier IV en el subsistema de telecomunicaciones (T4).
86
SUBSISTEMA ARQUITECTNICO
Componentes de Verificacin
Eleccin del sitio
Construccin dedicada solo para el Data
Center sin otros propsitos
Proximidad de 91 m a reas de inundacin,
costas o autopistas
Espacio adecuado alrededor del Data Center
para minimizar impactos de instalaciones
adyacentes
Parqueadero
reas de parqueo separadas para
empleados y visitantes
Parqueadero separado de los puntos de
descarga
Construccin del edificio
Cumple con requerimientos de construccin
antissmicos
Racks anclados al piso o soportados por la
base
Proteccin de resistencia de fuego en las
paredes, piso y techo
Puntos de seguridad en las entradas del
edificio
Resistencia al fuego en puertas y ventanas
Altura de las puertas en los cuartos de
equipos no menor a 2,49 m
Sin ventanas externas en el permetro del
cuarto de cmputo
Vestbulo de entrada y reas
Administrativas
Punto de seguridad en el lobby
Personal o equipamiento necesario para
prevenir acceso no autorizado
Separacin fsica y de fuego del vestbulo de
entrada de otras reas del Data Center
Separacin fsica y de fuego de las reas
administrativas de otras reas del Data
Center
Oficina de seguridad
Separacin fsica y de fuego de la oficina de
seguridad de otras reas del Data Center
Visin de 180 grados en el cuarto de
Operador A
Cumplimiento
del Tier
Operador B
Cumplimiento
del Tier
Operador C
Cumplimiento
del Tier
A1 A2 A3 A4 A1 A2 A3 A4 A1 A2 A3 A4
87
SUBSISTEMA ARQUITECTNICO
Componentes de Verificacin
Operador A
Cumplimiento
del Tier
Operador B
Cumplimiento
del Tier
Operador C
Cumplimiento
del Tier
A1 A2 A3 A4 A1 A2 A3 A4 A1 A2 A3 A4
seguridad
Personal o equipamiento dedicado y cuarto
de monitoreo
SUBSISTEMA ARQUITECTNICO
Componentes de Verificacin
Seguridad y monitoreo
Respaldo de 24h de capacidad de UPS para
el sistema de seguridad
Turnos de 24/7 para personal de seguridad
Control de acceso al Cuarto de Cmputo y
otros espacios
Control de acceso al edificio
Control de acceso por tarjeta inteligente para
cuarto de generadores, UPS, salidas de
emergencia, NOC, SOC, permetro del
edificio
Control de acceso por sistema biomtrico
para el cuarto de cmputo
CCTV en el permetro del edificio,
generadores, cuarto de cmputo, UPS,
puertas de acceso
Grabacin de actividades de las cmaras del
CCTV
Centro de Operaciones
Separacin fsica y de fuego entre el centro
de operaciones y otras reas del Data Center
Proximidad inmediata o adyacente al cuarto
de cmputo
Cuarto de Bateras, UPS y puntos de
descarga
Cuarto de UPSs y bateras separado del
cuarto de cmputo
Pasillos anchos en el cuarto de UPS
Proximidad inmediata del cuarto de UPS al
cuarto de cmputo
Separacin fsica y de fuego entre el rea de
descarga y otras reas del Data Center
2 puntos de descarga mnimos
Evaluacin
Operador A
Cumplimiento
del Tier
Operador B
Cumplimiento
del Tier
Operador C
Cumplimiento
del Tier
A1 A2 A3 A4 A1 A2 A3 A4 A1 A2 A3 A4
Tabla 2.4: Evaluacin del Subsistema Arquitectnico (Pgina 2 de 2)
88
89
Operador A
Operador B
Operador C
SUBSISTEMA ELCTRICO
Cumplimiento
del Tier
Cumplimiento
del Tier
Cumplimiento
del Tier
Componentes de Verificacin
E1 E2 E3 E4 E1 E2 E3 E4 E1 E2 E3 E4
General
-
Evaluacin
90
SUBSISTEMA MECNICO
Componentes de Verificacin
General
Redundancia N+1 en aires
acondicionados, coolers, bombas, etc.
No existen rutas para la tubera de agua
que no est asociada con el Data Center
Drenaje de agua en el piso en cuarto de
cmputo
Sistema HVAC
Suficientes aires acondicionados para
mantener la temperatura estable en caso
de falla elctrica
Mltiples rutas de alimentacin elctrica
para los aires acondicionados
Redundancia de rutas para las tuberas
del sistema de enfriamiento
Fuentes de agua alternas y duales para
sistema de agua helada
Falla del sistema de control del HVAC no
interrumpe con el enfriamiento de reas
criticas
Mltiples sistemas de almacenamiento de
combustible
Supresin de fuego
Empresa A
Empresa B
Empresa C
Cumplimiento
del Tier
Cumplimiento
del Tier
Cumplimiento
del Tier
M1 M2 M3 M4 M1 M2 M3 M4 M1 M2 M3 M4
91
Evaluacin
Segn se verifica en la Tabla 2.6, ninguno de los Data Centers de los operadores
obtiene un Tier IV en el subsistema mecnico.
El Operador A posee redundancias 2N en equipamiento de aires acondicionados,
chillers34, vlvulas, rutas de distribucin para la alimentacin elctrica de los aires
acondicionados, y dispone de sistemas de deteccin y extincin de incendios
utilizando agentes gaseosos normados. Este Data Center fue el nico con un
sistema de tuberas para el transporte de agua fra hacia las UMAs (Unidad
Manejadora de Aire)35, que mantienen estable la temperatura del cuarto de
cmputo, aunque no posee un tanque de almacenamiento de agua para continuar
la operacin de refrigeracin. Debido a esta falencia est categorizado como Tier
III (M3).
34
Chiller: Mquina trmica que remueve el calor de un lquido a travs de compresin de vapor o
por un sistema de refrigeracin por absorcin.
35
Unidad Manejadora de Aire (UMA): Es un aparato que trata el aire en aspectos como correcto
caudal, limpieza, temperatura y humedad para el sistema HVAC.
92
Operador A
Operador B
Operador C
Cumplimiento Cumplimiento Cumplimiento
del Tier
del Tier
del Tier
I II III IV I II III IV I II III IV
La evaluacin general reflej que solo uno de los Data Centers investigados
cumpli los requerimientos de un Data Center de Tier III, segn la norma
ANSI/TIA-942-A. Por consiguiente, este Centro de Datos, conforme al anlisis de
sus realidades y falencias, servir de base para implementar la estructura
genrica de un Data Center Tier III.
93
Conviene sealar que el centro de datos modelo, al cumplir la norma ANSI/TIA942-A, incorpora algunas exigencias de seguridad sobre la infraestructura, pero
no contempla una gestin adecuada de la seguridad de la Informacin, temtica
que ser desarrollada en los captulos siguientes.
El Data Center Tier III est compuesto por varios sistemas, los cuales aseguran la
correcta operatividad, disponibilidad y seguridad de los datos. Estos sistemas
estn clasificados de la siguiente forma:
Sistema Arquitectnico.
Sistema de Telecomunicaciones.
Sistema Elctrico.
Sistema de Climatizacin o Mecnico.
Sistemas de Apoyo (Videovigilancia IP36, Control de Acceso37, Deteccin y
Extincin de Incendios).
36
Videovigilancia IP: Es una tecnologa de vigilancia visual que permite transmitir video en formato
digital a travs de una red IP.
37
Control de Acceso: Sistema que permite el ingreso o salida de una instalacin por medio de
dispositivos de acceso como lectores de proximidad, magnticos, de cdigos de barras o
biomtrico.
94
El edificio no debe construirse en un lugar plano que podra estar afectado por
inundaciones. Asimismo, debe ubicarse lejos de autopistas principales, plantas
qumicas, bases militares y aeropuertos, a una distancia mnima de 1 km.
95
segn
el
PLAN
METROPOLITANO
DE
ORDENAMIENTO
TERRITORIAL - PMOT [36], el Data Center Tier III debe estar ubicado fuera de
las zonas de falla, en una zona industrial alejada de las reas residenciales y
protegidas.
96
Las instalaciones del Data Center dispondrn de un solo sitio de parqueos, con
una entrada nica, el mismo que se asignar exclusivamente para el personal de
la empresa. No habr parqueadero interno para visitantes, para eliminar la
proximidad directa al Cuarto de Cmputo.
Planta Baja:
Cuartos de Entrada.
NOC38.
Cuarto de seguridad y videovigilancia.
Oficinas y reas administrativas.
38
NOC (Network Operations Center) es un sitio desde el cual se efecta el control de las redes de
computacin o telecomunicaciones.
97
Cintoteca39.
Cuarto de Telecomunicaciones.
Cuartos de UPSs, bateras, tableros, transformadores y cuartos elctricos.
Cuarto de UMAs.
Bodega y baos
Corredores, elevador y escalera.
Subsuelo:
Exterior:
39
98
99
Ecaro 25. Los tanques del gas limpio estn ubicados junto al cuarto de cmputo,
en los cuartos de entrada, cuarto de telecomunicaciones y cuartos elctricos.
El Cuarto de Cmputo est ubicado en la parte central del centro de datos para
cumplir las distancias permitidas de cableado estructurado. Soporta un conjunto
de 180 racks, ubicados en 9 columnas de 20 racks, con un crecimiento a 200
racks, organizados de tal forma que puedan producir pasillos calientes y fros.
100
Consideraciones Estructurales
101
La red est basada en el modelo de tres capas, que son: acceso, distribucin y
ncleo o core.
Al tratarse de una red diseada para un Data Center Tier III, sta debe cumplir
con una alta redundancia en todas las capas y rutas que llegan a los routers de
borde,
como
indica
el
estndar
ANSI/TIA-942-A.
Dichas
rutas
sern
La capa de acceso en el Data Center contar con dos switches para los equipos
del NOC, uno como principal y otro como backup, a los cuales se interconectarn
dos switches que se encargarn del monitoreo de recursos de los equipos que se
102
tienen en el Data Center. Se dispondrn dos switches PoE40, para las cmaras de
vigilancia, las mismas que tendrn memoria interna.
Todo el monitoreo estar conectado a una red SAN41 redundante, que
almacenar las alarmas de monitoreo, eventos, videos, etc.
40
PoE: Power over Ethernet, es una tecnologa que permite que la alimentacin elctrica se
suministre a un dispositivo de red usando el mismo cable que se utiliza para la conexin de red.
41
SAN: Red de Almacenamiento, es toda una infraestructura de red cuyo propsito es el
almacenamiento y compartimiento de informacin, con los dispositivos de una red dentro de un
Data Center.
42
RAID: Redundant Array of Independent Disks, sistema de almacenamiento de datos que usa
mltiples unidades de almacenamiento entre los que se distribuyen o replican los datos.
43
Blade Centers: consta de una tarjeta que contiene nicamente microprocesador, memoria y
buses. La traduccin de blade es cuchilla.
103
Controladora
Servidor Blade
(Cuchilla)
Switch de
Distribucin
Red del Data Center
Servidor Blade
(Chasis)
Array de Discos de
Almacenamiento
El Data Center cuenta con telefona IP, Central Telefnica, routers, Gateways44 y
gatekeepers45, soportados por los subsistemas de apoyo indicados en la norma
ANSI/TIA-942-A. El diseo de la red de telefona sirve para la comunicacin
interna dentro del Data Center y el ISP, y permite la conexin con la red telefnica
pblica.
Se contempla una red inalmbrica provista de dos APs 46, uno activo y otro de
backup, la cual provee de acceso a Internet para los visitantes e ingreso a los
sistemas de informacin para personal del Data Center.
44
Traductor de protocolos y redes que permiten que la comunicacin telefnica IP pueda ser
interpretada por cualquier dispositivo telefnico.
45
Controladora de conexiones telefnicas establecidas, lleva registros de las mismas.
46
Access Point o punto de acceso a la red cableada para dispositivos inalmbricos.
104
Toda la red estar protegida por firewalls, que verificarn el trfico de llegada y
salida, para evitar que ste sea malicioso.
Todas las cintas se etiquetarn conforme a la fecha y hora, servicio, cliente, etc. y
sern almacenadas de acuerdo a las normas de temperatura y humedad ideales
para su conservacin. La Figura 2.4 indica los rangos de temperatura y humedad
para la conservacin de medios de almacenamiento.
105
2.3.2.2 Servidores
47
CAPA DE CORE
Switch de Core
Firewall de borde
Switch de Core
(Redundancia)
Firewall de borde
(Redundancia)
CAPA DE DISTRIBUCIN
SAN
SAN (Redundancia)
Servidores No
Virtualizados, Central
Telefnica IP
Switch de
Distribucin
Switch de
Distribucin Servidores No Virtualizados,
(Redundancia)
Central Telefnica IP
(Redundancia)
CAPA DE ACCESO
Router de
Monitoreo
Firewall Red de
Acceso
Switch de Acceso
Switch NOC
Access Point
Switch Monitoreo
Switch de Acceso
(Redundancia)
Router de
Monitoreo
(Redundancia)
Firewall Red de
Acceso
(Redundancia)
Switch NOC
(Redundancia)
Switch Monitoreo
(Redundancia)
Access Point
(Redundancia)
106
107
Los servidores de monitoreo gestionarn las alarmas emitidas por todos los
subsistemas, y el software utilizado podr ser libre o propietario; adems, podrn
ser servidores fsicos o virtualizados, con sus respectivas redundancias.
En lo posible, podran implementarse servidores con BMS48 para los sistemas
mecnicos, sistemas elctricos, sistemas de control de acceso, sistemas de
deteccin y extincin de incendios. De igual forma, podran utilizarse servidores
Cacti, Whatsup, Nagios, Syslogd, entre otros, para monitorear recursos a travs
de SNMP y alarmas Syslog49.
La SAN del Data Center alojar los servidores de almacenamiento para brindar
servicios de virtualizacin y storage; este ltimo podr ser contratado por los
clientes, escogiendo diferentes cantidades de almacenamiento, que determinar
el costo por dicho servicio.
48
BMS Building Management System, es un conjunto entre software y hardware que hace posible
la supervisin y control de distintos subsistemas que puede tener una edificacin, sacando un
reporte sobre los mismos, se puede hacer monitoreo de sistemas de deteccin y extincin de
incendios, estado de escaleras elctricas y ascensores, etc.
49
Syslog son mensajes de registros de cierto eventos, detallados en el RFC 3164 y que se
transmiten por el puerto UDP puerto 514, y puede enviar informacin sobre seguridad del sistema
o alarmas de eventos especiales con sus respectivos grados de prioridad.
108
Todos los servidores fsicos, ya sean de propiedad del cliente o del Data Center,
se ubicarn en los racks correspondientes, los que, a la vez, estarn enjaulados.
50
109
Distancia
35 m
40 m
40 m
30 m
55 m
40 m
40 m
65 m
85 m
20 m
Tanto los patch cords que conectan los equipos de las capas de core y
distribucin, como el cableado backbone utilizarn fibra ptica multimodo52 para la
transmisin de datos, ya que cumple las especificaciones tcnicas requeridas. La
Tabla 2.10 muestra los parmetros para el uso de fibra multimodo.
El cableado UTP que utilizar el Data Center ser de Categora 6A, y ser
instalado desde los puntos de red hasta el Cuarto de Telecomunicaciones. Los
patch cords se dispondrn para proporcionar conectividad a los equipos de
trabajo con la red, y la correspondiente conexin de los equipos intermedios con
los patch panels en los diferentes racks y puntos de consolidacin.
52
Es aquella fibra que transmite los datos a travs de varios haces de luz llamados modos o
caminos, debido al material reflectivo.
110
62,5/125
200
33
OM2
50/125
500
82
OM2**
50/125
950
150
OM3
50/125
2000
300
OM3
50/125
4700
550
10 puntos de datos
10 puntos de telefona
Cintoteca:
1 punto de datos
1 punto de telefona
53
4 puntos de datos
4 puntos de telefona
Manos Remotas: Servicio donde un tcnico del Data Center realiza tareas sencillas en los
equipos de los clientes para solucionar problemas o ejecutar mantenimientos.
111
Gerencia:
-
2 puntos de datos
2 puntos de telefona
Sala de reuniones:
2 puntos de datos
2 puntos de telefona
Oficinas:
5 puntos de datos
5 puntos de telefona
Cuarto de Videovigilancia:
3 puntos de datos
3 puntos de telefona
112
12-AAD34
El primer nmero (en el ejemplo, el nmero 1), hace referencia a la fila de
racks dentro del Cuarto de Cmputo.
El segundo nmero identifica a la columna de racks dentro del Cuarto de
Cmputo.
Las dos primeras letras se refieren al patch panel.
La tercera letra ser D, V o T, segn se refiera a Datos, Video o Telefona.
Los dos ltimos nmeros corresponden al puerto del panel.
El etiquetado en las reas de Trabajo del Data Center seguir este formato:
AA-BBD12
Las dos primeras letras (en el ejemplo, las letras AA) son las siglas del
rea de Trabajo; se reemplazarn por OF (Oficina), MO (Monitoreo), CI
(Cintoteca), JD (Jefatura del Data Center), GE (Gerencia), SR (Sala de
Reuniones), VR (Cuarto de Videovigilancia).
La tercera y cuarta letra hacen referencia al patch panel.
La quinta letra ser D, V o T, segn se refiera a Datos, Video o Telefona
Los dos ltimos nmeros corresponden al puerto del panel.
113
114
Los respaldos de UPS para los circuitos TI se hacen con grupos de 6 UPS
redundantes de 200 KVA en paralelo, independientes elctricamente uno del otro.
Se denomina Sistema Nacional Interconectado al sistema integrado por los elementos del
sistema elctrico conectados entre s, el cual permite la produccin y transferencia de energa
elctrica entre centros de generacin y centros de consumo, dirigido a la prestacin del servicio
pblico de suministro de electricidad.
115
Cada TDP tiene el control de los ATSs y tableros de PDUs, sistema mecnico y
sistema de servicios generales del Data Center.
En el sistema de las PDUs se tiene dos tableros que controlan los UPS y bateras
(T-UPS-IN y T-UPS-OUT), luego, existe una conexin al ATS-PDU, que est en
una configuracin 2N+1 y alimenta al tablero de 9 PDUs, que, finalmente,
proveern de energa a la carga de equipos de TI en el Cuarto de Cmputo.
En el sistema mecnico hay una conexin directa desde el TDP hasta el ATSCHILL, que alimenta los tableros T-CHILL-1 y T-CHILL-2. El T-CHILL-1 controla
los chillers, y el T-CHILL-2 controla las UMAs, bombas y variadores.
116
P. S. G. - B
SISTEMA B
14
GENERADOR
SISTEMA B
A.T.S.-CHILL-B
T-CHILL-1-B
T-CHILL-2-B
20
21
22
T-UPS-OUT-B
T-UPS-IN-B
16
17
A.T.S.-PDU-B
T-PDU-B
18
19
13
Transformador
SubE MT - 01
15
A.T.S.-SG
2
A. T. S. - A
A. T. S. SISTEMA A
23
T.D.P. - A
TRANSFORMADOR
440-254 V. / 220-127 V.
A.T.S.-SG
TRANSFORMADOR
440-254 V. / 220-127 V.
RACK
T-SG
24
T-UPS-OUT-A
T-UPS-IN-A
T-SG
24
23
UPS
UPS
UPS
UPS
UPS
UPS
UPS 1-1A
UPS 1-2A
UPS 1-3A
UPS 1-4A
UPS 1-5A
UPS 1-6A
P. S. G. - A
SYSTEM A
T.D.P. - B
T.D.A.
26
PDU-B
A. T. S. - B
A. T. S. SISTEMA B
P-BMS-B
A.T.S.-CHILL-A
10
T-CHILL-1-A
T-CHILL-2-A
11
12
GENERADOR
SISTEMA A
A.T.S.-PDU-A
T-PDU-A
PDU-A
P-BMS-A
25
117
Este subsistema est concatenado con los otros subsistemas, principalmente con
el subsistema elctrico. El sistema mecnico garantiza el normal funcionamiento
de los diferentes elementos relacionados con el manejo de aire acondicionado.
118
En el caso de un Data Center Tier III, el sistema mecnico debe contar con
mltiples UMAs; las tuberas y las vlvulas deben ser duales, lo que significa que
deben existir dos tuberas con agua fra para alimentar las UMAs, y dos tuberas
para el retorno del agua caliente hacia los chillers, los cuales deben tener sus
respectivas redundancias para el cumplimiento de la norma. Adems, se debe
contar con un sistema de deteccin de derrames.
55
119
56
En este caso el agua fra, intercambia calor, y regresa como agua caliente, en el intercambiador
de calor, el fluido fro (enfriado por glicol), intercambia calor y regresa al intercambiador como
fluido caliente. [45]
57
Es un compuesto qumico que se utiliza como anticongelante en los circuitos de refrigeracin de
motores de combustin interna, como difusor del calor, para fabricar compuestos de polister, y
como disolvente en la industria de la pintura y el plstico.
120
frente a los otros sistemas; adems permite mejor humidificacin del Cuarto de
Cmputo.
Versin 2004
20C
25C
40%
55%
Versin 2011
18C
27C
40%
60%
Tabla 2.11: Lmites de Temperatura y Humedad dentro del Cuarto de Equipos [44]
Figura 2.10: Relacin del incremento de fallos de los equipos con respecto el aumento de la
temperatura ambiental. [44]
121
58
1/EA(4)
122
1/JF2(14)
1/T(8)
1/M(14)
1/VC1( 7)
1/JF2(13)
6"
1/T(7)
1/M(13)
1/FA2(3)
1/VS3( 14)
1/B1(6)
1/JF2(20)
1/M(20)
1/AS (2)
8"
1/B1
(5)
1/B1(4)
SCPV
RCPV
RCPV
RCPV
1/TE
(2)
1/D1(1)
1/VSS (1)
1/VS1 (3)
1/VS2(2)
1/JF1(1)
1/VS2(3)
1/VS2(8)
1/JF1(3)
1/VS2(9)
1/VS2(14)
1/VS2(15) 1/JF1(5)
1/EA (3)
1/EA (2)
1/VS3(7)
1/B1(3)
1/JF2(10)
1/M(10)
1/VC1(5)
1/M(7)
1/JF2(7)
VRC1(2)
1/VRC1( 3)
1/VS2 (16)
1/V2V (2)
1/VS1 (4)
1/VS2 (17)
1/VSS (12)
1/VS2 (18)
1/V2V (3)
1/VS1 (6)
1/D1(4)
1/D1(6)
RCPV
RCPV
RCPV
RCPV
SCPV
SCPV
SCPV
8"
1/B1(1)
8"
VS4(31)
8"
1/AS (1)
1/M(8)
1/VS3 (5)
1/JF2(8)
1/VC1(3)
1/M(5)
1/JF2(5)
1/VC1(4) 1/JF2(9)
8"
1/B1
(2)
1/JF2(6) 1/M(9)
VS4(32)
1/EA (1)
6"
6"
1/M(1)
1/T(1)
1/JF2(1)
1/JF1 (6)
1/T (6)
1/TE
(1)
SCPV
1/VE2(1)
1/VS3(2)
1/VC1 (1)
1/M(2)
1/T(2)
1/JF 2(2)
1/VS2 (11)
1/VSS (8)
1/VS2 (12)
1/VSS(10)
1/VSS (11)
1/VS3( 6)
8"
1/FA2 (1)
8"
6"
1/FS(1)
1/VS2 (10)
1/D1(2)
1/VRC1 (1)
1/VE1(1)
6"
1/VS3 (1)
1/JF1 (4)
1/T (4)
1/VSS (4)
1/M(6)
1/VS3(3)
6"
1/VE1(2)
6"
6"
1/VE1(9)
1/VSS(6)
1/VSS (7)
1/V2V (1)
1/VS1 (2)
1/T (3)
1/FA1 (2)
SIST. C&D
1/UMA # 2
43 TR-119 GPM
1/FS(2)
1/VS3( 4)
SIST. C&D
1/UMA # 1
43 TR-119 GPM
1/JF2(3)
1/M(3)
1/FA2( 1)
1/VS2 (6)
1/VS2 (7)
SIST. C&D
1/UMA # 3
43 TR-119 GPM
1/VS1 (1)
1/JF1 (2)
1/T (2)
1/VS2 (5)
1/VSS (5)
1/D1(5)
1/VSS (9)
1/T (5)
1/VS2 (13) 1/FA1 (3)
1/VS1 (5)
1/VSS(2)
1/VS2 (4)
1/D1(3)
1/T (1)
1/FA1 (1)
1/VSS (3)
1/T(3)
SCSV
1/VS2 (1)
1/JF2(4)
1/T(4)
1/M(4)
1/VC1(2)
8"
1/VS3 (12)
1/JF2(18)
1/M(15)
1/JF2 (15)
1/VC1(8)
1/VRC1 (4)
1/VE1(3)
6"
1/JF2(19) 1/M(18)
6"
6"
1/M(11)
1/T(5)
1/JF2(11)
1/VS3(9)
1/VC1 (6)
1/M(12)
1/T(6)
1/JF 2(12)
1/VC1(10)
1/M(17)
1/JF2(17)
6"
6"
6"
1/FS(3)
SCPV
1/VS4(16)
RCPV
1/VS3(13)
1/VC1(9)
SCPV
1/VE2(2)
10"
1/M(16) 1/JF2(16)1/M(19)
1/VS3 (8)
1/FA2 (3)
10" 1/VS4(15)
SCPV
1/VE1(4)
1/VRC1( 5)
1/VRC1( 6)
1/VS3(10)
8"
1/FS(3)
1/VS3(11)
1/VE1(10)
C
D
123
A
B
SCPV
RCPV
SCPV
SCPV
SCPV
SCPV
RCPV
RCPV
RCPV
RCPV
1/D1(7)
1/VSS (13)
1/T(7)
1/VS2 (19) 1/FA1 (4)
1/VS1 (7)
1/V2V (4)
1/VS2 (29)
1/VSS (20)
1/VS1 (10)
1/D1(8)
C
D
1/VS2 (34)
1/V2V (5)
1/VS2 (35)
1/VSS (24)
1/JF1(12)
1/T(12)
1/VS2 (36)
1/VS1(12)
1/D1(10)
1/VSS(26)
1/VSS (27)
1/JF1(14)
1/T (14)
1/VS2(42)
1/VS2 (40)
1/V2V (6)
1/VS2 (41)
1/VSS (28)
1/VS1 (14)
RCPV
RCPV
RCPV
RCPV
SCPV
SCPV
SCPV
SCPV
SCPV
NOM
EA
UMA
TE
AS
1
1
VE
2
VRC VRC1
VC VC1
VS VS2
VS3
V2V V2V
1/VS2 (46)
1/VS2 (47)
1/VSS (32)
1/D1(14)
RCPV
SMB ABR.
EA
UMA
TE
AS
B
1/VSS(30)
1/VSS (31)
1/V2V (7)
1/D1(12)
L E Y E N D A
1/VS2(44)
1/VS2(45) 1/JF1(15)
L E Y E N D A
DESCRIPCIN
CHILLER
UNIDAD DE MANTENIMIENTO DE AIRE
TANQUE DE EXPANSIN
SEPARADOR DE AIRE - DIMETRO 10"
BOMBA DE REALIMENTACIN PRIMARIA
VLVULA SELECTORA DE BOMBA - DIMETRO 6"
VLVULA SELECTORA DE BOMBA - DIMETRO 3"
VLVULA REGULADORA DE FLUJO - DIMETRO 6"
VLVULA DE CHEQUEO - DIMETRO 6"
VLVULA DE PASO - DIMETRO 3"
VLVULA DE PASO - DIMETRO 6"
VLVULA DE DOS VAS - DIMETRO 3"
DESCRIPCIN
SMB ABR. NOM
FA1
FILTRO
DE
AIRE
DIMETRO
3"
FA
FA2 FILTRO DE AIRE - DIMETRO 6"
VSS VSS VLVULA SELECTORA DE SISTEMA
JF JF1 JUNTURA FLEXIBLE - DIMETRO 3"
JF2 JUNTURA FLEXIBLE - DIMETRO 6"
M
M MANMETRO
FS
FS SWITCH DE FLUJO
T
T TERMMETRO
SCPV SCPV CIRCUITO DE AGUA FRA
RCS RCS CIRCUITO DE AGUA CALIENTE
D1 PVC DE DRENAJE 2"
D
D2 PVC DE DRENAJE 3/4"
1/JF1(16)
1/T(16)
1/VS2 (48)
1/VS1(16)
SIST. C&D
1/UMA # 8
43 TR-119 GPM
1/VS1 (8)
1/VS2 (30)
1/VSS(22)
1/VSS (23)
1/VS2(38)
1/VS2(39) 1/JF1(13)
1/T(15)
1/VS2 (43) 1/FA1(8)
1/VS1 (15)
SIST. C&D
1/UMA # 7
43 TR-119 GPM
1/VS2 (23)
1/VSS (16)
1/VS2 (28)
1/JF1 (10)
1/T(10)
1/VS2(32)
1/VS2(33) 1/JF1(11)
1/D1(15)
1/VSS (29)
1/T (13)
1/VS2 (37) 1/FA1(7)
1/VS1 (13)
SIST. C&D
1/UMA # 6
43 TR-119 GPM
1/VS2 (22)
1/JF1 (8)
1/T (8)
1/VS2 (24)
1/VSS(18)
1/VSS (19)
1/D1(13)
1/VSS (25)
1/T (11)
1/VS2(31) 1/FA1(6)
1/VS1 (11)
SIST. C&D
1/UMA # 5
43 TR-119 GPM
1/VSS(14)
1/VSS (15)
1/VS2(26)
1/VS2(27) 1/JF1(9)
1/D1(11)
1/VSS (21)
1/T(9)
1/VS2 (25) 1/FA1 (5)
1/VS1 (9)
SIST. C&D
1/UMA # 4
43 TR-119 GPM
1/VS2(20)
1/VS2(21) 1/JF1(7)
1/D1(9)
1/VSS (17)
1/V2V (8)
1/D1(16)
124
125
Existen
varios
mecanismos
de
deteccin:
por
medio
de
detectores
Todos los elementos estn comunicados, por medio de un lazo, con un sistema
central de monitoreo, el que se encarga de recibir, procesar las seales recibidas
(detectores, zonas, pulsadores, etc.) y ejecutar la activacin de pre-alarmas,
alarmas y disparo de extincin.
59
Aspirating Smoke Detector (ASD): sistema que absorbe el aire del medio a travs de una red de
tuberas para detectar humo.
126
Dentro de los agentes listados en la NFPA 2001 ed. 2012, se escogi el sistema
ECARO-25, que utiliza el agente limpio FE-25 de DuPont. Este agente absorbe
energa calorfica a nivel molecular ms rpido que el calor que se genere, lo cual
impide que el fuego se pueda sustentar.
Este sistema utiliza 20% menos de agente por pie cbico que el sistema FM200 y
un 38% menos que el Novec 1230. Esto permite utilizar tuberas de dimetro ms
pequeo sobre una distancia mayor, lo que reduce la inversin en qumico,
tubera e instalacin. [50]
127
Una vez que el sistema de deteccin identifica un riesgo, se lanza una alarma que
es gestionada por un panel central. En caso de fuego, las alarmas sern emitidas
a los dispositivos de control, se activarn las sirenas y luces estroboscpicas y se
iniciar la fase de pre-descarga, de tal forma que el operador pueda tomar alguna
accin al respecto, o en su defecto, de manera automtica, luego de los segundos
programados, inicia la descarga del gas limpio que inundar la sala.
Para evitar la descarga del agente se pulsarn los botones de aborto manual en
los casos necesarios.
128
Figura 2.13: Sistemas detector y extintor de fuego por agentes gaseosos [51]
129
Las cmaras se ubican en todos los cuartos y en los pasillos, teniendo una
cobertura total con eliminacin de puntos ciegos. Adems, estarn configuradas
con una velocidad de transmisin de 20 fps y solo grabarn cuando se produzca
movimiento en el sector que vigilan, para evitar saturacin en su almacenamiento.
El flujo de video ser transmitido por una red redundante de cable UTP categora
6A, hacia dos switches de monitoreo, los mismos que estarn conectados a una
130
NVR (Network Video Recorder): Elemento que permite grabar, visualizar y gestionar las
imgenes procedentes de una o mltiples cmaras tanto dentro de una red de rea local como
remotamente.
131
132
2.3.5.5.3 Vigilancia IP
Estos servicios se complementarn con los servicios propios del ISP propietario
del Data Center, como por ejemplo: Servicios de Internet Dedicado, Transmisin
de Datos, Seguridad Gestionada, Servicio de Web y Correo Electrnico, etc.
En base a los servicios ofrecidos por los Data Centers de los ISPs visitados para
la evaluacin de tiering de la Seccin 2.2.1, se determin que los servicios ms
comunes de un Data Center Tier III de alta gama son los siguientes:
2.4.1 HOUSING
133
la
infraestructura
del
Data
Center,
cumpliendo
los
lineamientos
2.4.2 HOSTING
61
Es una unidad de medida usada para describir la altura del equipamiento preparado para ser
montado en un rack de 19 o 23 pulgadas de ancho. Una unidad rack equivale a 1,75 pulgadas
(44.45 mm) de alto.
134
2.4.4 STORAGE
En los Data Centers se pueden adicionar otras soluciones especficas, segn las
necesidades de cada cliente.
135
red, etc., a fin de que stos se mantengan dentro de los rangos normales de
funcionamiento.
2.4.7 VIDEOVIGILANCIA
136
Gerencia
Tcnica:
Se
ocupa
del
cumplimiento
de
los procesos
travs
del
Departamento
de
Ventas,
satisface
los
de
Infraestructura
del
Data
Center:
Asume
la
137
63
Soporte tcnico a nivel de las instalaciones elctricas en el que no sea necesario el ingreso de
personal tcnico especializado en el dao de algn equipo elctrico de una determinada marca.
138
Administradores:
64
Hace referencia a todos los elementos de una red que permiten compartir recursos e
informacin til para una organizacin o para cualquier actividad humana.
65
Creacin a travs de software de una versin virtual de algn recurso tecnolgico, como puede
ser una plataforma de hardware, un sistema operativo, un dispositivo de almacenamiento u otros
recursos de red.
66
Sistemas de almacenamiento de Informacin.
67
Sistemas de respaldo de la informacin.
68
Hace referencia a un Data Center Tier III y Tier IV, proporcionado por el Uptime Institute.
PRESIDENCIA
EJECUTIVA
GERENCIA
GENERAL DE LA
EMPRESA
GERENCIA
COMERCIAL DE
LA EMPRESA
GERENCIA TCNICA
DE LA EMPRESA
JEFATURA GENERAL
DEL DATA CENTER
JEFATURA DE
INFRAESTRUCTURA
NOC
Monitoreo
Administracin
de Control de
Acceso
Servicio de
guardiana
privada
Administracin
del Sistema
Contra
Incendios
DEPARTAMENTO
DE RECURSOS
HUMANOS
DEPARTAMENTO
DE VENTAS
DEPARTAMENTO
JURDICO
CONTRATACIN
LABORAL
CLIENTES
ENTIDAD
AUDITORA
JEFATURA DE TI
Administracin
de
Infraestructura
Elctrica
Administracin
de
Infraestructura
Mecnica
Administracin de
Networking
Administracin de
Servidores y
Virtualizaciones
Soporte
Manos
Remotas
Administracin de
Storage y Backup
139
140
1 Administrador de Networking.
1 Administrador de Storage.
1 Administrador de Servidores y Virtualizacin.
141
Elctrico:
sistemas
SCADA,
que
permiten
realizar
las
142
EQUIPO
Servidor DNS
Servidor DHCP
Servidor Correo
Servidor RADIUS
Servidor WEB (clientes)
Servidor WEB (clientes)
Controladora SAN
Servidor Storage
(almacenamiento en
cinta)
SISTEMA DE TELECOMUNICACIONES
PROPIETARIO
MARCA/MODELO
Administrador de Servidores Linux (virtualizado en el
servidor Blade)
y Virtualizacin
Administrador de Servidores Linux (virtualizado en el
servidor Blade)
y Virtualizacin
Administrador de Servidores Linux (virtualizado en el
servidor Blade)
y Virtualizacin
Administrador de Servidores Linux (virtualizado en el
servidor Blade)
y Virtualizacin
Administrador de Servidores Linux (virtualizado en el
servidor Blade)
y Virtualizacin
Windows Server 2012
Administrador de Servidores
(virtualizado en el
y Virtualizacin
servidor Blade)
Administrador de Storage
NetApp FAS6220
Administrador de Storage
Administrador de Storage /
Servidor Blade (cuchillas) Administrador de Servidores
y Virtualizacin
Administrador de Storage /
Servidor Blade (chasis) Administrador de Servidores
y Virtualizacin
Switch de Core
Administrador de Networking
CANTIDAD
2
1
1
1
A pedido
del cliente
A pedido
del cliente
2
HP BL890c i2
16
HP C7000
143
EQUIPO
Switch de Distribucin
Switch de Acceso
Switch Cisco
Router Cisco
Central IPBX
Firewall
SISTEMA DE TELECOMUNICACIONES
PROPIETARIO
MARCA/MODELO
CANTIDAD
Administrador de Networking
Cisco Nexus 5000
2
Administrador de Networking
Cisco Nexus 2000
2
Administrador de Networking
WS-C3550-48
6
Administrador de Networking
3845
2
Administrador de Servidores
Denwa/Softswitch
2
y Virtualizacin
mltiple
Administrador de Networking Fortinet/FortiGate-3950B
2
EQUIPO
Enfriador de agua
(chiller)
Bomba centrfuga
Tanque de expansin
Filtro separador de aire
Unidades de
Mantenimiento de Aire
(UMA)
Vlvula selectora de
bomba (elctrica)
Vlvula aislamiento
(elctrica)
Vlvula selectora sistema
(elctrica)
Vlvula reguladora de
flujo (mecnica)
Vlvula chequeo
(mecnica)
Vlvula compuerta
(mecnica)
Junta flexible
Manejadora de Aire
(expansin directa)
Split Decorativo
(expansin directa)
Condensadores
(expansin directa)
SISTEMA MECNICO
PROPIETARIO
MARCA/MODELO
CANTIDAD
Administrador de
York /
4
Infraestructura Mecnica
YCIV0247VA46VABSXT
Administrador de
Taco /
6
Infraestructura Mecnica
F14013E2JAJ1L0A
Administrador de
American Wethley /
2
Infraestructura Mecnica
WPS100
Administrador de
American Wethley /
2
Infraestructura Mecnica
TASD80
Administrador de
Infraestructura Mecnica
Uniflair / TDCV4300A
Administrador de
Infraestructura Mecnica
Bellimo / B264S2 +
ARPUN00T1000
Administrador de
Infraestructura Mecnica
Administrador de
Infraestructura Mecnica
Administrador de
Infraestructura Mecnica
Administrador de
Infraestructura Mecnica
Administrador de
Infraestructura Mecnica
Administrador de
Infraestructura Mecnica
Administrador de
Infraestructura Mecnica
Administrador de
Infraestructura Mecnica
Administrador de
Infraestructura Mecnica
Bellimo / F6F1D2+SY324
Bellimo / B264S3+AF24S US
2
16
RIH / CC-2005389PC
Tubocobre / KT403-W
Fabri-Valve / C67
84
Climatech / BPU-254560-25
16
York/DHR30B3XH21A
York/RVEC12DS-ADR
12
York/RVDC12DS-ADR
15
144
SISTEMA ELCTRICO
PROPIETARIO
MARCA/MODELO
EQUIPO
CANTIDAD
Administrador de
Infraestructura Elctrica
Himoinsa/HMW-810 T6
Transformador PAD
MOUNTED 22,8kv/440v
trifsico
Administrador de
Infraestructura Elctrica
Inatra/PEESTAL RADIAL
Tablero de distribucin
principal
Administrador de
Infraestructura Elctrica
General Electric/Spectra
Switchboards POWER
BREAKER II 2000A
Administrador de
Infraestructura Elctrica
General Electric/ZTS
71R-3000A
Administrador de
Infraestructura Elctrica
General Electric/Spectra
Switchboards POWER
BREAKER II 1200A
Administrador de
Infraestructura Elctrica
General Electric/ZTS
71R-2000A
Administrador de
Infraestructura Elctrica
General Electric/Spectra
Switchboards POWER
BREAKER II 300A
Administrador de
Infraestructura Elctrica
General Electric/ZTS
71R-2000A
Administrador de
Infraestructura Elctrica
General
Electric/9T83B3005
Administrador de
Infraestructura Elctrica
General Electric/ZTS
71R-2000A
Administrador de
Infraestructura Elctrica
General Electric/Spectra
Switchboards POWER
BREAKER II 2000A
Administrador de
Infraestructura Elctrica
12
Administrador de
Infraestructura Elctrica
General Electric/Spectra
Switchboards POWER
BREAKER II 2000A
Administrador de
Infraestructura Elctrica
PANASONIC/LCR127R2P
12
PDU
Administrador de
Infraestructura Elctrica
PDI/P12-WS-1500G-841
18
145
PROPIETARIO
MARCA/MODELO
CANTIDAD
Detectores Fotoelctricos
Trmicos
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/MCD 573
95
Alarma Manual de
Incendio
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/MCP 535-7
18
Sirenas
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/BX-SOL-R
41
Luces estroboscpicas
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/BX-FOL-R
41
Paneles de Aspiracin
completo con sus
dispositivos
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/ASD 535
Detectores y sensores
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/REK511 - SSD
515
14
Lmparas de
sealizacin
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/RAL-720
14
Panel de Incendio
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/SECURIFIRE
3030
Estacin de monitoreo
remoto
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/MIC 711
Detector lineal de
temperatura y tubera
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/ADW511
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/B5-PSU
146
PROPIETARIO
MARCA/MODELO
CANTIDAD
Panel Principal de
Control
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Fike/Cheetah XI
Luces Estroboscpicas
Blancas
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Fike/Gentex
15
Tanque de gas
Pentaflouretano Ecaro 25
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Fike/70-270
14
Botones de aborto o
disparo
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
16
Mdulo de Descarga de
Impulso (IRM)
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Fike/P / N 10-2748
13
Actuador de la Vlvula de
Impulso (IVO)
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Fike/02-12728
13
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Fike/02-12533
13
Mdulo de Rels
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Fike/55-043
13
SISTEMA DE VIDEOVIGILANCIA IP
EQUIPO
PROPIETARIO
MARCA/MODELO
CANTIDAD
Cmaras Interiores
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Axis/P1343
35
Cmaras Exteriores y
Perimetrales PTZ
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Axis/P1344-E
10
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Vivotek/IP8332
22
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Vivotek/NR7401
147
EQUIPO
Cerradura de 1200 Lbs
Lectores de Proximidad
Panel Master
Trap-door
148
CAPTULO 3
DISEO DEL SISTEMA DE GESTIN DE SEGURIDAD DE
LA INFORMACIN PARA UN DATA CENTER TIER III
MODELO DE UN ISP DE QUITO
3
Un Data Center de alta gama Tier III, por su naturaleza, ofrece una alta
disponibilidad de servicios a los usuarios, segn la Norma ANSI/TIA-942-A, en lo
que atae solamente a infraestructura arquitectnica y tcnica, garantizando el
control de algunas amenazas relacionadas con esta infraestructura.
149
150
3.1.3 ANLISIS
DE
LOS
LINEAMIENTOS
DE
SEGURIDAD
DE
LA
151
152
Valoracin
Satisfactoria
No
Si
Tratamiento del Riesgo
Tratamiento
satisfactorio
No
Si
Aceptacin del Riesgo
Figura 3.1: Proceso de Gestin de Riesgos [55]
69
153
70
154
La metodologa puede ser cualitativa (en una escala de niveles), cuantitativa (con
una cantidad numrica) o una combinacin de ambas.
155
Activos
tienen
Estn expuestos a
Atacan
Amenazas
Vulnerabilidades
Valor
Causan un
Grado de
Afectacin
Impacto
disminuyen
Controles
Existentes
disminuyen
Probabilidad
Etapa de
Identificacin
Riesgo
Etapa de
Valoracin
Esta valoracin utiliza una escala de atributos calificativos para describir el valor
en cada requerimiento de seguridad, magnitud de potencial de las consecuencias
o probabilidad. Las escalas cualitativas permiten un fcil entendimiento en todo el
personal, adems de proveer una aproximacin inicial para identificar la criticidad
de los riesgos. Su desventaja es la dependencia de la eleccin subjetiva de la
escala.
156
Esta valoracin utiliza una escala con valores numricos para el costo de las
consecuencias, como su probabilidad de ocurrencia. La calidad del anlisis
depende de la precisin de los datos numricos. La valoracin cuantitativa es ms
precisa, pero supone un mayor esfuerzo y dificultad, por la necesidad de valorar
los distintos conceptos de prdida en trminos generalmente econmicos.
157
Entre los criterios de consecuencias se han seleccionado los siguientes: [55] [57]
Los activos primarios, como los procesos y servicios, estn soportados por otros
activos como el equipamiento de hardware y software o las comunicaciones, y
stos, a su vez, por otros, como las instalaciones. De manera que los activos
forman rboles o grafos de dependencias.
158
Donde:
159
Representa
cada
uno
de
los
requerimientos
de
seguridad
Cada criterio estar determinado por una escala de 5 valores que van del 1 al 5,
donde 1 es el menor valor y 5 el mayor, acorde a la escala cualitativa de variable
discreta.
Las Tablas, desde la 3.1 hasta la 3.9, muestran los criterios cualitativos,
acompaados de una representacin numrica, con los cuales se evaluarn los
activos.
160
3.12, con lo cual se mantiene una escala general para el clculo del Nivel de
Importancia del Activo (NI).
[Cos] Costo del Activo
Descripcin
Escala
Nivel
Muy Bajo
Bajo
Moderado
Alto
Muy Alto
Alto
Muy Alto
Muy Bajo
Bajo
Moderado
Alto
Muy Alto
161
Nivel
Descripcin
Bajo
Moderado
Alto
Muy Alto
Escala
Muy Bajo
Bajo
Moderado
Alto
Muy Alto
Muy Bajo
Bajo
Moderado
Alto
Muy Alto
Tabla 3.6: Criterio de Valoracin de Violacin del Contrato de Confidencialidad del Cliente
162
Escala
Muy Bajo
Bajo
interrumpe
Moderado
interrumpe
Alto
Muy Alto
Muy Bajo
Bajo
Moderado
Alto
Muy Alto
Nivel
Descripcin
Muy Bajo
Bajo
Moderado
Alto
Muy Alto
163
Escala
Nivel
5-8
Muy Bajo
9-12
Bajo
13-16
Moderado
17-20
Alto
21-25
Muy Alto
Escala
Nivel
VI
5-8
Muy Bajo
9-12
Bajo
13-16
Moderado
17-20
Alto
21-25
Muy Alto
Nivel
VD
Descripcin
5-8
Muy Bajo
9-12
Bajo
13-16
Moderado
17-20
Alto
21-25
Muy Alto
164
Nivel
PNI
4-5
Insignificante
6-8
Poco Importante
9-11
Importante
12-15
Muy Importante
16-20
Crtico
Descripcin
El activo no tiene trascendencia para el Data Center, de
acuerdo a los criterios de confidencialidad, integridad,
disponibilidad.
El activo presenta poca importancia para el Data Center, de
acuerdo a los criterios de confidencialidad, integridad,
disponibilidad.
El activo es importante para el Data Center, de acuerdo a los
criterios de confidencialidad, integridad, disponibilidad.
El activo tiene alta relevancia para el Data Center, de acuerdo a
los criterios de confidencialidad, integridad, disponibilidad.
El activo es crucial para el Data Center, de acuerdo a los
criterios de confidencialidad, integridad, disponibilidad.
Una vez identificados los activos, deben determinarse las amenazas que pueden
tener impactos sobre estos activos, tomando en cuenta los diferentes
requerimientos de seguridad. Las amenazas pueden ser de origen natural o
humano, y accidentales o deliberadas, as como surgir desde el interior o desde
fuera de la organizacin.
165
166
Para obtener una valoracin del Impacto Total (It) en todos los requerimientos de
seguridad, sta se calcular como la suma de las prdidas en cada requerimiento:
Donde:
Las salvaguardas o controles son medidas que utiliza la organizacin para reducir
el riesgo. Hay amenazas que pueden mitigarse cuando la empresa se halla
debidamente organizada; otras, requieren elementos tcnicos (programas o
equipos); otras, seguridades fsicas y polticas de personal.
Las salvaguardas pueden ser clasificadas en las siguientes, por los efectos que
tienen para contrarrestar el riesgo: [57]
167
168
Nivel
Muy Bajo
Bajo
Moderado
Alto
Muy Alto
Descripcin
No se tendra afectacin sobre el valor de confidencialidad, integridad o
disponibilidad de un activo.
El grado de dao es leve sobre el valor de confidencialidad, integridad o
disponibilidad de un activo.
El grado de dao es moderado sobre el valor de confidencialidad, integridad
o disponibilidad de un activo.
El grado de dao es alto sobre el valor de confidencialidad, integridad o
disponibilidad de un activo.
El dao es total sobre el valor de confidencialidad, integridad o
disponibilidad de un activo.
Tabla 3.14: Criterio de Grado de Afectacin sobre un Activo
Nivel
1-4
Muy Bajo
5-9
Bajo
10-14
Moderado
15-19
Alto
20-25
Muy Alto
Descripcin
No se tendra impacto sobre el valor del activo en cada requerimiento de
seguridad ante la ocurrencia de un incidente.
Se tendra un impacto bajo sobre el valor del activo en cada
requerimiento de seguridad ante la ocurrencia de un incidente.
Se tendra un impacto significativo sobre el valor del activo en cada
requerimiento de seguridad ante la ocurrencia de un incidente.
Se tendra un impacto alto sobre el valor del activo en cada
requerimiento de seguridad ante la ocurrencia de un incidente.
Se tendra un impacto total sobre el valor del activo en cada
requerimiento de seguridad ante la ocurrencia de un incidente.
Tabla 3.15: Criterios de Valoracin del Impacto
La Tabla 3.16 contiene los valores del Impacto Total calculados por la frmula
descrita en la Estimacin del Impacto. Dichos valores se ubican en una escala
que va del 3 al 15, la cual tendr un equivalente en la escala de 1 al 5, que
simboliza la prioridad del Impacto a nivel global.
Nivel
It
3-4
Muy Bajo
5-6
Bajo
7-8
Moderado
9-11
Alto
12-15
Muy Alto
Descripcin
El impacto general de una amenaza sobre el activo no tiene
trascendencia para el Data Center, en los criterios de confidencialidad,
integridad y disponibilidad.
El impacto general de una amenaza sobre el activo es bajo para el Data
Center, de acuerdo a los criterios de los requerimientos de seguridad.
El impacto general de una amenaza sobre el activo es moderado para el
Data Center, de acuerdo a los criterios de confidencialidad, integridad y
disponibilidad.
El impacto general de una amenaza sobre el activo es alto para el Data
Center, de acuerdo a los criterios de los requerimientos de seguridad.
El impacto general de una amenaza sobre el activo es crtico para el
Data Center, de acuerdo a los criterios de confidencialidad, integridad y
169
disponibilidad.
Tabla 3.16: Criterios de Valoracin del Impacto Total
170
de
la
estructura
organizativa
tecnolgica
de
la
Nivel
Muy Improbable
Improbable
Probable
Muy Probable
Casi Certeza
Descripcin
La probabilidad de que una amenaza explote una vulnerabilidades es
muy baja del 1% al 25%
La probabilidad de que una amenaza explote una vulnerabilidades
tiene una poca frecuencia del 26% al 55%
La probabilidad de que una amenaza explote una vulnerabilidades es
media del 56% al 75%
La probabilidad de que una amenaza explote una vulnerabilidades es
alta del 76% al 90%
La probabilidad de que una amenaza explote una vulnerabilidades es
bastante alta del 91% al 100%
171
Cuando la valoracin del riesgo se realiza sin que existan salvaguardas que
protejan los recursos de informacin de las amenazas, se denomina riesgo
intrnseco; cuando existen controles, se trata de un riesgo efectivo.
El riesgo efectivo puede ser definido de la siguiente manera:
Para obtener una valoracin del riesgo efectivo total en todos los requerimientos
de seguridad, sta se calcular como la suma de los riesgos en cada
requerimiento:
Donde:
El valor del riesgo ser evaluado con los criterios de la Tabla 3.18, utilizando el
clculo descrito en la Valoracin del Riesgo, donde se asignar una prioridad (R)
que ser utilizada en la evaluacin y tratamiento de los riesgos. Estos criterios de
172
evaluacin del riesgo cumplen una escala de 5 valores del 1 al 25, donde 1
representa el menor valor y 25 el mayor. Para la Prioridad del Valor del Riesgo (R)
se utiliza una escala que va del 1 al 5.
Nivel
1-4
Muy Bajo
5-9
Bajo
10-14
Moderado
15-19
Alto
20-25
Muy Alto
Descripcin
El riesgo es leve, considerando la probabilidad de ocurrencia y el
impacto en cada requerimiento de seguridad. Su ocurrencia implicara
una prdida casi nula de la seguridad de la informacin del Data Center.
El riesgo es bajo, considerando la probabilidad de ocurrencia y el
impacto en cada requerimiento de seguridad. Su ocurrencia implicara
una prdida baja de la seguridad de la informacin del Data Center.
El riesgo es moderado, considerando la probabilidad de ocurrencia y el
impacto en cada requerimiento de seguridad. Su ocurrencia implicara
una prdida moderada de la seguridad de la informacin del Data
Center.
El riesgo es alto, considerando la probabilidad de ocurrencia y el
impacto en cada requerimiento de seguridad. Su ocurrencia implicara
una prdida alta de la seguridad de la informacin del Data Center.
El riesgo es extremo, considerando la probabilidad de ocurrencia y el
impacto en cada requerimiento de seguridad. Su ocurrencia implicara
una prdida total de la seguridad de la informacin del Data Center.
Tabla 3.18: Criterios de Valoracin del Riesgo
La Tabla 3.19 contiene los valores del riesgo total calculados por la frmula que
utiliza los valores de la Tabla 3.18. Dichos valores estarn dentro de una escala
que va del 3 al 15, la cual tendr un equivalente en la escala de 1 al 5, que
simboliza la prioridad del Riesgo a nivel general para cada activo.
Escala
Nivel
Rt
3-4
Muy Bajo
5-6
Bajo
7-8
Moderado
9-11
Alto
12-15
Muy Alto
173
Rt
Nivel
Muy Bajo
2
3
4
5
2
3
4
5
Bajo
Moderado
Alto
Muy Alto
Accin
Aceptar el Riesgo
Reducir el Riesgo
Activos Primarios
174
Dentro de los activos primarios del Data Center se encuentran los servicios que
provee, la informacin que maneja y los procesos que permiten al Data Center
cumplir sus objetivos. Este tipo de activos son intangibles y no poseen un valor
especfico. Los servicios del Data Center estn detallados en el Captulo 2,
Seccin 2.4.
Activos de Soporte
Los activos de soporte permiten la ejecucin de los activos primarios, entre los
cuales se pueden mencionar: hardware, software, red, instalaciones y personal.
Estos activos poseen un valor real y tienen vulnerabilidades que pueden ser
atacadas por una amenaza, en perjuicio de un activo primario.
Para la identificacin de los activos de soporte se toma en cuenta el enfoque topdown (de arriba-abajo), que consiste en ubicar los activos de informacin
vinculados con los procesos [56]. Los procesos y servicios se encuentran
relacionados directamente con los subsistemas del Data Center.
La dependencia de los sistemas del Data Center se muestra en las Figuras 3.3 a
la 3.11.
Suministro de
Documentacin del
Data Center
Almacenamiento
en Cinta
Estaciones de
Trabajo
Laptops,
Agendas
Electrnicas
Sistema de
Telecomunicaciones
Servicios
Dispositivos de
Almacenamiento
Externo
Contratos,
Documentos
Internos,
Manuales,
Registros
Equipamiento
Hardware y
software
Sistema de Control
de Acceso
Climatizacin
Sistema Elctrico
Instalaciones
175
Suministro de
Software del Data
Center
Servicios
Suministro de
Software
Equipos Finales
Firewall del
Sistema
Operativo
Sistema
Operativo de
Equipos
Finales
Antivirus
Suministro de
Software
Servidores
Mensajera
Instantnea
Active
Directory o
LDAP
Sistema
Operativo de
Servidores
Correo
Help Desk
Equipamiento
Hardware y
software
Equipos
finales
Servidores
Sistema de
Telecomunicaciones
Climatizacin
Sistema Elctrico
Instalaciones
176
Servidor de
Virtualizaciones
(Blade y Chasis)
Servidores
Housing y
no
virtualizados
Servicios de Red
Interna
Servidor
Storage
Cintas
Controladora
de la SAN
Firewall de la
Red de
Acceso
Access Point
Switch de
Servicios
Generales
NOC
Switch de
Acceso
Switch de
Distribucin
Router de
Monitoreo
Equipamiento
Hardware y
software
Firewall de
Borde
Switch de Core
Control de Acceso
Climatizacin
Sistema Elctrico
177
Instalaciones
Deteccin y Extincin de
Incendios del Data Center
Deteccin de
Incendios del Data
Center
Deteccin Cuarto de
Cmputo
Luces
Sirenas
Alarma manual
de Incendio
Detectores y
Sensores
Panel de
Aspiracin
Deteccin Cuarto de
Tanques de
combustible
Detector lineal de
Temperatura
Extincin de
Incendios del Data
Center
Servicios
Detectores
Fotoelctricos/
Trmicos
Tanques de Gas
Mdulos y rels
Botones
Manuales
Panel de Control de
Extincin de
Incendios
Equipamiento
Hardware y
software
Cableado de
distribucin de
energa y seales
Panel de Control
Principal
Sistema Elctrico
178
Instalaciones
179
Monitoreo del
Sistema de
Red
Monitoreo del
Sistema
Elctrico
Monitoreo del
Sistema de
Control de
Acceso
Software de
monitoreo
de equipos
de red
Software de
monitoreo y
control
Scada
Software de
monitoreo
Prowatch
Software de
Control del
Sistema
Mecnico
Software de
monitoreo de
las cmaras
Servidor de
monitoreo
de red
Servidor del
Sistema
Scada
Servidor de
Control de
Acceso
Servidor del
Sistema
Mecnico
Servidor de
Videovigilancia
Monitoreo del
Sistema
Mecnico
Monitoreo del
Sistema de
Videovigilancia
Equipamiento
Hardware y
software
Cableado
Estructurado
Switch de
Monitoreo
Sistema Elctrico
Climatizacin
Sistema Contra
Incendios
Instalaciones
Suministro de
Energa Elctrica
del Data Center
Servicios
Suministro
Elctrico - Cuarto
de Cmputo
PDU
Tablero PDU
ATS PDU
UPS
Bateras
Suministro
Elctrico Climatizacin
Tablero Chiller
ATS Chiller
Suministro
Elctrico - Servicios
Generales
Tablero S.G.
Transformador
ATS S.G
Tablero de
Distribucin
Principal
ATS Principal
Generadores
Distribucin de
EEQ
Equipamiento
Hardware y
software
180
Suministro de
Climatizacin
Servicios Generales
Unidades De
Mantenimiento de
Aire (UMAS)
Filtros Separadores
de Aire
Tanques de Expansin
Aire Acondicionado
por Expansin Directa
Vlvulas Reguladoras
de Flujo
Equipamiento
Hardware y
software
Vlvulas Selectoras de
Bomba
Vlvula Selectora de
Sistema
Chillers
Sistema de
Control de
Acceso
Sistema Elctrico
Instalaciones
181
Control de Acceso al
Data Center
Servicios
Control de
Acceso al Cuarto
de Cmputo
Lector
Biomtrico
Iris/Huella
Digital
Cerraduras
Barras de
pnico
Control de
Acceso al resto
del Data Center
Trap door
Lector de
Proximidad
Equipamiento
Hardware y
software
Panel Master
(tarjeta
principal y dual
reader)
Instalaciones
Sistema
Elctrico
Videovigilancia en
el Data Center
Servicios
Vigilancia en el
Cuarto de
Cmputo
Vigilancia en el
interior del Data
Center
Vigilancia en el
permetro del
Data Center
Cmaras del
Cuarto de
Cmputo
Cmaras
interiores del
Data Center
Cmaras
exteriores del
Data Center
Cableado
Horizontal
Switch de
Videovigilancia
Equipamiento
Hardware y
software
NVR
Sistema Elctrico
Climatizacin
Sistema Contra
Incendios
Figura 3.11: Dependencia del Sistema de Videovigilancia
Instalaciones
182
Para identificar todos los posibles conjuntos de amenazas que pudieren ser
aplicables para causar dao a los activos, se utiliz el catlogo de amenazas de la
metodologa MAGERIT [58] y los ejemplos de amenazas tpicas propuestas en el
Anexo C de la norma ISO/IEC 27005. [55]
Los rboles de ataque se muestran en la Figura 3.12, en tanto que la Tabla 3.22
presenta una lista de las posibles amenazas que podran afectar al Data Center.
La Tabla 3.21 incluye la nomenclatura utilizada en la Tabla 3.22.
Nomenclatura
E
HIA
HID
HEA
HED
Los controles existentes son identificados para cada amenaza que pueda
perjudicar a cada activo. Los controles, principalmente, hacen referencia a los
requerimientos de implementacin propios de un Data Center Tier III, tales como:
protecciones de construccin de las instalaciones; redundancia N+1 o 2(N+1) en
los subsistemas del Data Center; y elementos de apoyo, entre los que se
mencionan: sistemas contra incendios, control de acceso y videovigilancia.
183
184
Actores Humanos
Origen Natural
Motivo
Actor
Consecuencia
Actor
Revelacin
Revelacin
Accidental
Modificacin
Fenmeno
Ssmico
Interrupcin
Modificacin
Interrupcin
Interrupcin
Revelacin
Revelacin
Deliberado
Modificacin
Destruccin /
Prdida
Destruccin /
Prdida
Internos
Consecuencia
Fenmeno
Volcnico
Modificacin
Interrupcin
Destruccin /
Prdida
Destruccin /
Prdida
Revelacin
Modificacin
Accidental
Interrupcin
Destruccin /
Prdida
Externos
Revelacin
Deliberado
Modificacin
Interrupcin
Destruccin /
Prdida
Origen Industrial
Actor
Fallas Tecnolgicas
Consecuencia
Actor
Revelacin
Revelacin
Modificacin
Dao Fsico
Prdida de
Servicios
Esenciales
Desastre
Industrial
Consecuencia
Modificacin
Falla del sistema
Interrupcin
Interrupcin
Destruccin /
Prdida
Destruccin /
Prdida
Revelacin
Revelacin
Modificacin
Falla de Hardware
Modificacin
Interrupcin
Interrupcin
Destruccin /
Prdida
Destruccin /
Prdida
Revelacin
Revelacin
Modificacin
Modificacin
Falla de Software
Interrupcin
Interrupcin
Destruccin /
Prdida
Destruccin /
Prdida
185
Tipo de
Amenaza
Dao Fsico
Desastres
Naturales
Prdida de
Servicios
Esenciales
Compromiso
de la
Informacin
Fallas
Tcnicas
Acciones no
Autorizadas
Compromiso
de
Funciones
Amenaza
Fuego
Agua
Desastre Industrial (Explosin, Derrumbe,
Sobrecarga Elctrica)
Contaminacin Mecnica (Polvo, Suciedad,
Vibraciones, Ruido)
Fenmeno Ssmico
Fenmeno Volcnico
Fenmeno Meteorolgico
Corte del suministro elctrico
Condiciones inadecuadas de temperatura o
humedad
Fallo de servicios de comunicaciones
Interrupcin de otros servicios y suministros
esenciales
Intercepcin de seales inalmbricas
Fugas de informacin
Vulnerabilidades de los programas (software)
Espionaje remoto
Escucha encubierta
Hurto de medios o documentos
Hurto de equipos con informacin
Recuperacin de medios reciclados o
desechados
Avera de origen fsico o lgico
Degradacin de los soportes de
almacenamiento de la informacin
Errores de mantenimiento / actualizacin de
programas (software)
Errores de mantenimiento / actualizacin de
equipos (hardware)
Cada del sistema por agotamiento de recursos
Difusin de software daino
Manipulacin de los registros de actividad (log)
Manipulacin del software
Manipulacin de los equipos
Uso no previsto de equipos
Acceso no autorizado
Modificacin deliberada de la informacin
Destruccin de informacin
Errores de los usuarios
Errores del administrador
Errores de monitorizacin
Errores de configuracin
Deficiencias en la organizacin
Alteracin accidental de la informacin
Indisponibilidad del personal
Suplantacin de la identidad del usuario
Abuso de privilegios de acceso
Repudio
Denegacin de servicio
Ataque destructivo
Ocupacin enemiga
Origen de la Amenaza
E
E
HIA
HIA
HID
HID
HEA
HEA
HED
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
E
E
E
E
E
HID
E
HIA
HIA
HED
HEA
HEA
HED
HED
HED
HED
HID
HID
HID
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HEA
HIA
HEA
E
HID
HID
HID
HID
HID
HID
HID
HID
HIA
HIA
HIA
HIA
HIA
HIA
HIA
HED
HED
HED
HED
HED
HED
HED
HEA
HID
HID
HID
HID
HID
HID
HEA
HEA
HEA
HED
HED
HED
HED
HED
HED
186
Extorsin
HID
HED
Ejemplo: Activo de Soporte Elctrico del Data Center: PDU (Power Distribution
Unit)
187
asociada
la
informacin
privada:
la
revelacin
del
del
cliente,
su
revelacin no
afecta al
contrato
de
188
189
190
Activos
Dimensin
Disponibilidad
Dimensin Integridad
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
Disp
VC VI VD NI PNI
Almacenamiento en cintas
17
14
13
13
Dispositivos de
almacenamiento externo
10
10
Manuales de equipos
Contratos, documentacin
interna, registros
18
14
10
15
15
Estacin de trabajo
(Administradores de los
subsistemas del Data
Center)
14
17
12
11
12
Laptops, Agendas
electrnicas (Jefatura
General del Data Center)
18
19
13
14
Laptops, Agendas
electrnicas (Jefaturas de
Infraestructura y TI)
14
18
11
12
191
Activos
Dimensin
Disponibilidad
Dimensin Integridad
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
VC VI VD NI PNI
Disp
Correo
17
15
11
12
Help desk
11
11
17
12
Antivirus
14
17
10
11
15
17
11
11
19
19
12
21
22
22
17
12
15
17
12
12
15
17
12
12
15
17
11
12
15
17
12
12
15
17
11
192
Dimensin
Confidencialidad
Dimensin
Disponibilidad
Dimensin Integridad
Activos
Rep VCo IP CC LR Rep IS Adm CCl LR Rep IS Adm CCl LR
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
Disp
VC VI VD NI PNI
Servidor Storage
(almacenamiento en disco)
NetApp FAS6220
Controladora
15
23
23
16
Discos de almacenamiento
21
21
24
17
Servidor Storage
(almacenamiento en cinta)
IBM TS1140 Tape Drive
21
13
13
13
23
10
24
10
21
12
25
17
21
22
16
19
22
13
11
11
193
Dimensin
Confidencialidad
Dimensin
Disponibilidad
Dimensin Integridad
Activos
Rep VCo IP CC LR Rep IS Adm CCl LR Rep IS Adm CCl LR
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
Disp
VC VI VD NI PNI
Firewall FortiGate-3950B
23
23
25
19
13
11
19
10
22
11
Sistema Operativo de
Virtualizacin - ESXi Vmware
23
23
25
19
Consola de virtualizacin
(Vmware)
23
23
18
17
DNS
14
12
14
16
22
13
Rutas y Cableado de
Proveedores de Entrada
11
21
11
Valor
Conf
Valor
Int
Valor
Disp
Dimensin
Disponibilidad
Costo
del
VC VI VD NI PNI
194
Activos
Dimensin
Confidencialidad
Activo
13
21
13
17
23
16
10
12
22
12
11
20
11
10
12
10
13
15
16
15
16
10
15
16
10
10
15
21
12
10
15
21
12
PDU
10
16
21
12
Valor
Conf
Valor
Int
Valor
Disp
Dimensin Integridad
Dimensin
Disponibilidad
Costo
del
VC VI VD NI PNI
195
Activos
Activo
17
23
16
Bomba centrfuga
11
Tanque de expansin
Unidades de Mantenimiento
de Aire (UMA)
19
23
14
11
16
21
11
11
10
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
Disp
Activos
Dimensin
Disponibilidad
Dimensin Integridad
VC VI VD NI PNI
12
10
12
10
12
13
18
18
16
13
Valor
Conf
Valor
Int
Valor
Disp
Tabla 3.28: Valoracin de Activos del Sistema de Vigilancia del Data Center
Valoracin de Activos de Soporte del Sistema Contra Incendios
Dimensin
Confidencialidad
Dimensin Integridad
Dimensin
Disponibilidad
Costo
del
VC VI VD NI PNI
196
Activos
Activo
Detectores Fotoelctricos
Trmicos
11
Detectores y sensores
12
10
Paneles de Aspiracin
completo con sus
dispositivos
16
14
10
14
19
21
16
Panel de Control de
Extincin de Incendios
18
15
12
Tanque de gas
Pentaflouretano Ecaro 25
13
13
12
13
13
Sirenas y Luces
Estroboscpicas Blancas
Extintores manuales
Botones Manuales de
Incendio
Valor
Conf
Valor
Int
Valor
Disp
Activos
Dimensin
Confidencialidad
Dimensin Integridad
Dimensin
Disponibilidad
VC VI VD NI PNI
197
Costo
del
Activo
Lectores de Proximidad
14
16
11
12
15
Tarjetas inteligentes
10
17
17
18
16
Trap-door
11
10
13
198
199
Identificacin de Riesgos:
200
Grado de Afectacin:
Impacto:
201
El Impacto Total (It) se obtiene con la suma de todos los impactos (I), conforme a
la frmula de la Seccin 3.2.4.1. Este resultado tiene un valor equivalente de
prioridad 4, que significa un impacto total alto para el Data Center:
Probabilidad de Ocurrencia:
Riesgo:
202
El riesgo total de prdida del servicio en este activo, es la suma de los riesgos de
confidencialidad, integridad y disponibilidad; este clculo se realiza segn la
frmula de la Seccin 3.2.6.1, asignndose un valor equivalente a 2, de acuerdo a
la Tabla 3.19, lo que indica que el riesgo ocasionado por esa amenaza es bajo y
que los controles existentes pueden ser suficientes para contrarrestarlo.
En vista de que el anlisis de riesgos de todos los activos del Data Center es muy
extenso, solamente se mostrar el anlisis de algunos de los activos ms
importantes de cada sistema. El anlisis completo de todos los activos se
encuentra desglosado en el Anexo B.
Amenaza
Dao Fsico
Fuego / Explosin
Desastres
Naturales
Destruccin de
equipo
Fenmenos
ssmicos
Descripcin de la
Amenaza
Fuego ocasionado por
personal interno de
forma accidental
Fuego ocasionado por
personal externo de
forma accidental
Fuego ocasionado por
personal interno de
forma deliberada
Fuego ocasionado por
personal externo de
forma deliberada
Destruccin de las
cintas por personal
interno de forma
accidental
Destruccin de las
cintas por personal
interno de forma
deliberada
Destruccin de las
cintas por personal
externo de forma
accidental
Destruccin de las
cintas por personal
externo de forma
deliberada
Debilitamiento o
colapso de las
instalaciones del Data
Center
Controles Existentes
Almacenamiento
primario en discos
duros; sistemas de
deteccin y extincin
de incendios
Vulnerabilidad
Falta de polticas de
comportamiento de
personal y uso de
material combustible
en la cintoteca
Impacto
Falta de polticas de
control de acceso a la
cintoteca
Almacenamiento
primario en discos
duros
Falta de registros de
actividades del
personal en la
cintoteca
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Rt
Falta de control de
ingreso de personal no
autorizado en la
cintoteca
203
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Interrupcin de
alimentacin
elctrica
Prdida de la
alimentacin elctrica
en el Data Center
Se tiene redundancias
en el sistema elctrico
dentro del Data Center
Ingeniera social
Accesos a la
informacin de la cinta
No se tiene polticas
de control
Falta de polticas de
confidencialidad de la
informacin
Recuperacin de
medios
descartados
Utilizacin de medios
para ingreso no
autorizado a la
informacin
No se tiene polticas
de control
Falta de polticas de
desecho de
informacin obsoleta
Robo de
Informacin
No existe control de
acceso a la cintoteca
Falta de polticas de
ingreso de personal no
autorizado a la
cintoteca
Espionaje
Acceso no autorizado
a la cintoteca por parte
de personal
No existen controles
para otorgar privilegios
de usuario
Almacenamiento
primario en discos
duros
Degradacin de los
soportes de
almacenamiento
de la informacin
Degradacin de la
documentacin por el
paso del tiempo
No se tiene polticas
de control
Procesamiento
ilegal de datos
Modificacin del
contenido de cintas por
parte de personal
interno de forma
deliberada
No existen controles
sobre el uso de cintas
Vulnerabilidad
Falta de polticas de
control de acceso
Falta de polticas de
control de acceso a la
cintoteca
Falta de
mantenimientos en los
almacenamientos en
cinta
Falta de polticas sobre
el uso de cintas
Impacto
Rt
Prdida de la
integridad de los
respaldos de
informacin en cintas
Prdida de
confidencialidad y
disponibilidad de la
informacin
almacenada en cinta
Prdida de
confidencialidad e
integridad de los
respaldos de
informacin en cintas
Prdida parcial o total
de los respaldos de
informacin en cintas
204
Acciones no
Autorizadas
Compromiso de la Informacin
Tipo de
Amenaza
Prdida de
Servicios
Esenciales
Compromiso de Funciones
Acciones no Autorizadas
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Procesamiento
ilegal de datos
Modificacin del
contenido de cintas por
personal externo de
forma deliberada
Eliminacin del
contenido de cintas por
personal interno de
forma deliberada
Eliminacin del
contenido de cintas por
personal externo de
forma deliberada
No existen controles
sobre el uso de cintas
Indisponibilidad del
personal
Ausencia accidental o
intencional del puesto
de trabajo
No se tiene polticas
de control
Carencia de personal
suficiente para cubrir
las funciones
Suplantacin de
identidad
Ingreso de personal
interno no autorizado a
la cintoteca
Ingreso de personal
externo no autorizado
a la cintoteca
No se tiene polticas
de control
Falta de polticas de
control de acceso
Abuso de
Derechos
Abuso de privilegios de
acceso
No existen controles
para otorgar privilegios
de usuario
Ocupacin
enemiga
Prdida de control
sobre el manejo de la
cintoteca
Se tiene personal de
guardiana en el Data
Center
Extorsin
No se tiene polticas
de control
Controles Existentes
Vulnerabilidad
Falta de un
compromiso de
confidencialidad al
momento de contratar
personal nuevo
Falta de
procedimientos de
seguridad en caso de
invasin
Falta de polticas de
control de acceso a la
cintoteca
Impacto
Rt
205
Compromiso de la Informacin
Tipo de
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Ingeniera social
Acceso a la
informacin
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
Prdida de la
confidencialidad e
integridad del servicio
de Active Directory o
similar
Divulgacin de la
informacin
Divulgacin de la
configuracin por parte
de personal interno de
forma accidental
Divulgacin de la
configuracin por parte
de personal interno de
forma deliberada
No existen controles
Falta de polticas de
confidencialidad de la
informacin en el
contrato del personal
nuevo
Prdida de
confidencialidad y
disponibilidad de la
configuracin de Active
Directory o similar
Amenaza
Robo de configuracin
por parte de personal
interno de forma
deliberada
Robo de
Informacin
Robo de configuracin
por parte de personal
externo de forma
deliberada
Espionaje
Acceso no autorizado
por parte de personal
No existen controles
respecto al ingreso de
dispositivos
electrnicos como
flash memory,
smartphones. etc.
No existen controles
respecto al ingreso de
dispositivos
electrnicos como
flash memory,
smartphones, etc.; no
existen controles de
ingreso de personal
externo al Data Center
No existen controles
Vulnerabilidad
Impacto
Falta de polticas de
ingreso de dispositivos
electrnicos
Falta de polticas de
ingreso de dispositivos
electrnicos y de
personal externo al
Data Center
Falta de polticas de
control de acceso al
servicio de Active
Directory o similar
Rt
Prdida de
confidencialidad de la
configuracin de Active
Directory o similar
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory o similar
206
Amenaza
Acciones no Autorizadas
Fallas Tcnicas
Errores de
mantenimiento
Saturacin del
sistema de
informacin
Procesamiento
ilegal de datos
Procesamiento
ilegal de datos
Descripcin de la
Amenaza
Mala realizacin de
actualizacin de
software por impericia
del personal
Cada del sistema por
agotamiento de
recursos
Denegacin de servicio
ocasionado por
personal interno de
forma deliberada
Denegacin de servicio
ocasionado por
personal externo de
forma deliberada
Manipulacin de los
registros de actividad
(logs) de forma
deliberada por parte de
personal interno
Manipulacin de los
registros de actividad
(logs) de forma
deliberada por parte de
personal externo
Eliminacin de
informacin por parte
de personal interno de
forma deliberada
Controles Existentes
Vulnerabilidad
No se tiene controles
de acuerdo a la
actualizacin de
software de Active
Directory o similar
No se tiene controles
sobre los recursos
utilizados por el
servicio de Active
Directory o similar;
puertos abiertos
innecesariamente
No existen controles
sobre la manipulacin
de logs de personal no
autorizado
No existen controles
Falta de polticas de
control de actividades
de personal
Impacto
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory o similar
Problemas de
integridad,
confidencialidad y
disponibilidad del
servicio de Active
Directory o similar
Rt
207
Acciones no Autorizadas
Tipo de
Amenaza
Amenaza
Controles Existentes
Vulnerabilidad
Procesamiento
ilegal de datos
Eliminacin de
informacin por parte
de personal externo de
forma deliberada
No existen controles
Falta de polticas de
control de acceso
lgico
Difusin de
Software daino
Utilizacin de cdigo
errneo o malicioso
No existen controles
No se tiene controles
No existen controles
Falta de polticas de
control de acceso
lgico y registro de
actividades
No se tiene controles
para la capacitacin
del personal nuevo
No se tiene controles
para la capacitacin
del personal nuevo
Compromiso de
Funciones
Descripcin de la
Amenaza
Error de uso
Impacto
Problemas de
integridad,
confidencialidad y
disponibilidad del
servicio de Active
Directory o similar
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory
Prdida parcial o total
del servicio de Active
Directory o similar
Problemas de
confidencialidad
integridad y
disponibilidad del
servicio de Active
Directory o similar
Prdida parcial o total
del servicio de Active
Directory o similar
dentro del Data Center
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory o similar
Rt
208
Amenaza
Error de uso
Compromiso de Funciones
Indisponibilidad del
personal
Suplantacin de
identidad
Abuso de
Derechos
Ocupacin
enemiga
Extorsin
Descripcin de la
Amenaza
Error de monitoreo por
impericia del personal
interno
Ausencia accidental o
intencional del puesto
de trabajo
Ingreso de personal
interno no autorizado
Ingreso de personal
externo no autorizado
Abuso de privilegios de
acceso
Prdida de control
sobre el manejo del
servicio de Active
Directory o similar
Presin sobre personal
interno para realizar
daos sobre el servicio
de Active Directory o
similar
Controles Existentes
Vulnerabilidad
Impacto
Rt
No existen controles
para otorgar privilegios
de usuario
Falta de un
compromiso de
confidencialidad al
momento de contratar
personal nuevo
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory o similar
Se tiene personal de
guardiana en el Data
Center
Falta de
procedimientos de
seguridad en caso de
invasin
No se tiene polticas de
control
Falta de polticas de
control de acceso al
servicio de Active
Directory o similar
209
Descripcin de la
Amenaza
Agua
Dao Fsico
Tipo de
Amenaza
Se tiene un sistema
redundante
Destruccin de equipo
por personal interno de
forma deliberada
Destruccin de equipo
por personal externo
de forma accidental
Destruccin de equipo
por personal externo
de forma deliberada
Vulnerabilidad
Falta de polticas para
realizar
mantenimientos en el
cuarto de cmputo
Falta de polticas de
comportamiento de
personal en el cuarto
de cmputo
Impacto
Dao de un switch de
core. Salida de
informacin por el
respaldo
Rt
Falta de polticas de
control de acceso al
cuarto de cmputo
Destruccin de equipo
por personal interno de
forma accidental
Destruccin de
equipo
Desastres
Naturales
Controles Existentes
Se tiene un sistema
redundante
Dao de un switch de
core. Salida de
informacin por el
respaldo
Falta de control de
ingreso de personal no
autorizado
Polvo / Suciedad
Se tiene un sistema
redundante
Fenmenos
ssmicos
Debilitamiento o
colapso de las
instalaciones del Data
Center
Insuficiente
mantenimiento y
limpieza sobre los
equipos
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Inhibicin de un switch
de core. Salida de
informacin por el
respaldo
Dao de los switches
de core. Prdida de los
servicios de red del
Data Center
210
Tabla 3.33: Anlisis del Riesgo de un Activo del Sistema de Telecomunicaciones (Pgina 1 de 6)
Compromiso de la Informacin
Prdida de Servicios
Esenciales
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Vulnerabilidad
Impacto
Interrupcin de
alimentacin
elctrica
Prdida de la
alimentacin elctrica
en el Data Center
Se tienen redundancia
en los sistemas de
climatizacin dentro
del cuarto de cmputo
Se tiene sistemas
redundantes de
energa elctrica
Interrupcin de
suministros
Falla de redundancias
No se tiene controles
Ingeniera social
Acceso a la
informacin
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
Prdida de la
confidencialidad e
integridad del sistema
de red
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
Prdida de la
confidencialidad e
integridad del sistema
de red
Divulgacin de la
Informacin
Recuperacin de
medios
descartados
Vulnerabilidades
de la configuracin
Agotamiento del
suministro de agua fra
Divulgacin de
informacin por parte
de personal interno de
forma accidental
Divulgacin de
informacin por parte
de personal interno de
forma deliberada
Utilizacin de medios
para ingreso no
autorizado a la
informacin
Puertos habilitados
No se tiene polticas de
control
Falta de polticas de
desecho de
informacin obsoleta
No existe control de
puertos habilitados en
la red del Data Center
Prdida de integridad y
confidencialidad de la
informacin de red del
Data Center.
Trfico malicioso
ingresara causando
prdida parcial o total
de los servicios de
informacin ofrecidos
por el Data Center
Rt
Tabla 3.33: Anlisis del Riesgo de un Activo del Sistema de Telecomunicaciones (Pgina 2 de 6)
211
Amenaza
Descripcin de la
Amenaza
Robo de la
configuracin por parte
de personal interno de
forma deliberada
Compromiso de la Informacin
Robo de
Informacin
Robo de la
configuracin por parte
de personal externo de
forma deliberada
Intercepcin de
seal de red
inalmbrica
Espionaje
Controles Existentes
Vulnerabilidad
No existen controles
respecto al ingreso de
Falta de polticas de
dispositivos
ingreso de dispositivos
electrnicos como
electrnicos; envo de
flash memory,
correos a personal no
smartphones entre
autorizado
otros
No existen controles
respecto al ingreso de
dispositivos
Falta de polticas de
electrnicos como
ingreso de dispositivos
flash memory,
electrnicos y personal
smartphones entre
externo al Data Center;
otros; no existen
envo de correos a
controles de ingreso de personal no autorizado
personal externo al
Data Center
Intercepcin de seal
de red inalmbrica por
parte de personal
interno de forma
deliberada
Intercepcin de seal
de red inalmbrica por
parte de personal
externo de forma
deliberada
Acceso a la
informacin por
personal no autorizado
No existen controles
referente al cifrado de
la informacin
No hay controles
existentes
No hay controles
existentes
No existen controles
No existen controles
Falta de polticas de
seguridad de la red
Falta de polticas de
seguridad de la red
Rt
Prdida de la
confidencialidad en los
servicios ofrecidos en
el Data Center
Prdida de la
confidencialidad en los
servicios ofrecidos en
el Data Center
Prdida de la
confidencialidad en los
servicios ofrecidos en
el Data Center
Tabla 3.33: Anlisis del Riesgo de un Activo del Sistema de Telecomunicaciones (Pgina 3 de 6)
212
Falta de polticas
referentes al cifrado de
la informacin
Falta de polticas sobre
la intercepcin de
informacin no
autorizada
Falta de polticas sobre
la intercepcin de
informacin no
autorizada
Impacto
Amenaza
Fallas Tcnicas
Mal funcionamiento
de equipos
Errores de
mantenimiento
Acciones no Autorizadas
Saturacin del
sistema de
informacin
Procesamiento
ilegal de datos
Descripcin de la
Amenaza
Controles Existentes
Vulnerabilidad
Impacto
Cada de un switch de
core. Salida de
informacin por el
respaldo
Cada de un switch de
core. Salida de
informacin por el
respaldo
Cada de un switch de
core. Salida de
informacin por el
respaldo
Problemas de
confidencialidad,
integridad y
disponibilidad en los
servicios ofrecidos en
el Data Center
Se tiene un sistema
redundante
Desperfecto durante su
uso
Se tiene un sistema
redundante
Insuficiente
mantenimiento del
sistema de Switch de
Core Nexus 7000
Se tiene un sistema
redundante
No se tiene polticas de
control
Falta de polticas
respecto a cdigos
mviles
No se tiene controles
sobre los recursos
utilizados por los
servicios
Problemas de
confidencialidad e
integridad en los
servicios ofrecidos en
el Data Center
No existen controles
sobre la manipulacin
de logs de personal no
autorizado
Rt
Tabla 3.33: Anlisis del Riesgo de un Activo del Sistema de Telecomunicaciones (Pgina 4 de 6)
213
Acciones no Autorizadas
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Procesamiento
ilegal de datos
Eliminacin de la
configuracin por parte
de personal interno de
forma deliberada
Eliminacin de la
configuracin por parte
de personal externo de
forma deliberada
No existen controles
respecto a la
modificacin de
configuracin y
encriptacin de los
equipos
Utilizacin de cracks
para falsificar licencias
de software propietario
No se tiene polticas de
control
Falta de polticas
respecto al uso de
software falsificado
Mala configuracin de
forma deliberada
No existen controles
acerca de
configuracin
Modificacin de
configuracin por parte
de personal interno de
forma deliberada
Modificacin de
configuracin por parte
de personal externo de
forma deliberada
No existen controles
respecto a la
modificacin de
configuracin y
encriptacin de los
equipos
Uso de software
falsificado o
copiado
Manipulacin de
Software
Compromiso
de Funciones
Manipulacin de
los equipos
Error de uso
Desconexin por
personal interno
Desconexin por
personal externo
Desconexin
accidental por personal
interno
Desconexin
accidental por personal
externo
Se tiene un sistema
redundante de equipos
en reas
independientes
Se tiene un sistema
redundante de equipos
en reas
independientes
Vulnerabilidad
Impacto
Rt
Cada de un switch de
core. Salida de
informacin por el
respaldo
Cada de un switch de
core. Salida de
informacin por el
respaldo
Prdida de los
servicios de red del
Data Center
Violacin de propiedad
intelectual. Afectacin
de los servicios de red
del Data Center
Problemas de
integridad y
disponibilidad en los
servicios ofrecidos en
el Data Center
Problemas de
confidencialidad,
integridad y
disponibilidad en los
servicios ofrecidos en
el Data Center
214
Tabla 3.33: Anlisis del Riesgo de un Activo del Sistema de Telecomunicaciones (Pgina 5 de 6)
Amenaza
Error de uso
Compromiso de Funciones
Indisponibilidad del
personal
Suplantacin de
identidad
Descripcin de la
Amenaza
Mal manejo por
impericia del personal
interno
Mal manejo por
impericia del personal
externo
Ausencia accidental o
intencional del puesto
de trabajo
Ingreso de personal
interno no autorizado
Ingreso de personal
externo no autorizado
Controles Existentes
Se tiene un sistema
redundante de equipos
en reas
independientes
No se tiene polticas de
control
No se tiene polticas de
control
Abuso de derechos
Ingreso de personal
interno no autorizado
No se tiene polticas de
control
Ocupacin
enemiga
Prdida de control
sobre el manejo del
switch de core
Se tiene personal de
guardiana en el Data
Center
Deficiencia en la
organizacin
Ingreso de personal no
calificado o nocivo
No se tiene polticas de
control
Extorsin
No se tiene polticas de
control
Vulnerabilidad
Falta de personal
suficiente para cubrir
las funciones
Falta de registros de
ingresos de personal
Falta de registros de
ingresos de personal
Falta de polticas de
asignacin de
privilegios
Falta de
procedimientos de
seguridad en caso de
invasin
Falta de procesos de
verificacin de
antecedentes en la
contratacin de
personal
Falta de
procedimientos de
contingencia
Impacto
Cada de un switch de
core. Salida de
informacin por el
respaldo
Rt
Tabla 3.33: Anlisis del Riesgo de un Activo del Sistema de Telecomunicaciones (Pgina 6 de 6)
215
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Vulnerabilidad
No se tiene un sistema
de deteccin y
extincin de incendios
en el rea de
generadores
Dao Fsico
Fuego / Explosin
Agua
Falta de polticas de
control de acceso al
rea de generadores o
tanques de
combustible.
Se tiene un sistema
redundante de
generadores en reas
independientes
Falta de polticas de
control de acceso al
rea de generadores
Impacto
Dao de los
generadores o tanques
de combustible.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Rt
216
Prdida de
Servicios
Esenciales
Desastres Naturales
Dao Fsico
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Destruccin de
equipo
Destruccin de un
sistema generador por
personal interno de
forma accidental
Destruccin de un
sistema generador por
personal interno de
forma deliberada
Destruccin de un
sistema generador por
personal externo de
forma accidental
Destruccin de un
sistema generador por
personal externo de
forma deliberada
Polvo / Suciedad
Suciedad o polvo en
los mecanismos del
sistema generador
Fenmeno Ssmico
Debilitamiento o
colapso de las
instalaciones del Data
Center.
Controles Existentes
Vulnerabilidad
Impacto
Se tiene un sistema
redundante de
generadores en reas
independientes
Falta de registros de
actividades del
personal en el rea de
generadores
Falta de control de
ingreso de personal no
autorizado al rea de
generadores
Rt
No se tiene controles
Insuficiente
mantenimiento del
sistema generador
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter.
Fenmeno
Volcnico
No se tiene controles
Falta de filtros de
control de suciedades
Interrupcin de
suministros
Agotamiento de aceite
para el funcionamiento
del generador
Se tiene un sistema
redundante de
generadores
Insuficiente
mantenimiento del
sistema generador
217
Amenaza
Interrupcin de
suministros
Acciones no
Autorizadas
Fallas Tcnicas
Compromiso de la
Informacin
Tipo de
Amenaza
Prdida de
Servicios
Esenciales
Ingeniera social
Divulgacin de la
Informacin
Descripcin de la
Amenaza
Controles Existentes
Agotamiento de
combustible en los
tanques de
almacenamiento
No se tiene controles
Insuficiente
mantenimiento de los
tanques de
combustible
Imposibilidad de
entregar energa
elctrica en caso de
emergencia
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
Prdida de la
confidencialidad e
integridad del sistema
de generadores
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
Prdida de la
confidencialidad e
integridad del sistema
de generadores
Desperfecto de
generadores durante
su uso
Acceso a la
informacin del
funcionamiento de los
generadores
Revelacin por
indiscrecin del
funcionamiento de los
generadores a
personas externas
Vulnerabilidad
Se tiene un sistema
redundante de
generadores
Mal funcionamiento
de equipos
Respuesta inadecuada
en el funcionamiento
normal del generador
Se tiene un sistema
redundante de
generadores
Insuficiente
mantenimiento del
sistema generador
Errores de
mantenimiento
Se tiene un sistema
redundante de
generadores en reas
independientes
Uso no autorizado
de equipos
Activacin deliberada
del sistema generador
por personal interno
Activacin deliberada
del sistema generador
por personal externo
Se tiene un sistema
ATS que regula la
entrada de voltaje
Impacto
Falla de un sistema
generador.
Indisponibilidad del
servicio hasta
activacin del respaldo.
Falla de un sistema
generador.
Indisponibilidad del
servicio hasta
activacin del respaldo.
Interrupcin del
sistema generador.
Indisponibilidad del
servicio hasta
activacin del respaldo.
Rt
Gasto innecesario de
combustible
218
Identificacin de Riesgos
Compromiso de Funciones
Acciones no Autorizadas
Tipo de
Amenaza
Amenaza
Manipulacin de
los equipos
Error de uso
Indisponibilidad del
personal
Descripcin de la
Amenaza
Desconexin
deliberada del sistema
generador por personal
interno
Desconexin
deliberada del sistema
generador por personal
externo
Modificacin
intencional en el
funcionamiento de los
generadores por
personal interno
Modificacin
intencional en el
funcionamiento de los
generadores por
personal externo
Desconexin
accidental del sistema
generador por personal
interno
Desconexin
accidental del sistema
generador por personal
externo
Mal manejo del
sistema generador por
impericia del personal
interno
Mal manejo del
sistema generador por
impericia del personal
externo
Ausencia accidental o
intencional del puesto
de trabajo
Controles Existentes
Se tiene un sistema
redundante de
generadores en reas
independientes
Vulnerabilidad
Impacto
Rt
Falta de registros de
ingresos de personal al
rea de generadores
Falta de polticas de
control de acceso al
rea de generadores
Falta de polticas de
control de acceso al
rea de generadores
Se tiene un sistema
redundante de
generadores en reas
independientes
Interrupcin de un
sistema generador.
Indisponibilidad del
servicio hasta
activacin del respaldo.
Se tiene un sistema
redundante de
generadores en reas
independientes
No se tiene polticas de
control
Falta de personal
suficiente para cubrir
las funciones
219
Amenaza
Suplantacin de
identidad
Compromiso de Funciones
Abuso de derechos
Ocupacin
Enemiga
Descripcin de la
Amenaza
Controles Existentes
Vulnerabilidad
Ingreso de personal
interno no autorizado al
rea de generadores
No se tiene polticas de
control
Ingreso de personal
externo no autorizado
al rea de generadores
Falta de registros de
ingresos de personal al
rea de generadores
Ingreso de personal
No se tiene polticas de
interno no autorizado al
control
rea de generadores
Falta de polticas de
asignacin de
privilegios para ingreso
al rea de generadores
Prdida de control
sobre el manejo de los
generadores
Se tiene personal de
guardiana en el Data
Center
Falta de
procedimientos de
seguridad en caso de
invasin
Deficiencia en la
organizacin
Ingreso de personal no
calificado o nocivo
No se tiene polticas de
control
Falta de procesos de
verificacin de
antecedentes en la
contratacin de
personal
Extorsin
No se tiene polticas de
control
Falta de
procedimientos de
contingencia
Impacto
Interrupcin del
sistema generador.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Interrupcin del
sistema generador.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Prdida total del
control de los
generadores.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Posible dao de los
generadores.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Posible dao de los
generadores.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Rt
220
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Falta de polticas de
comportamiento de
personal
No se tiene un sistema
de deteccin y
extincin de incendios
en el rea de chillers
Dao Fsico
Agua
Vulnerabilidad
Falta de polticas de
control de acceso al
rea de chillers
Falta de polticas de
comportamiento de
personal
Falta de polticas de
control de acceso al
rea de chillers
Falta de polticas de
comportamiento de
personal
Se tiene sensores de
deteccin de humedad
(TIA-942-A), Vlvulas
de liberacin de Agua
Falta de polticas de
control de acceso al
rea de chillers.
Impacto
Dao o avera de
chillers. Incapacidad
para brindar aire frio en
el Data Center
Dao o avera de
chillers. Incapacidad
para brindar aire frio en
el Data Center
Dao o avera de
chillers. Incapacidad
para brindar aire frio en
el Data Center
Dao o avera de
chillers. Incapacidad
para brindar aire frio en
el Data Center
Dao o avera de
chillers. Incapacidad
para brindar aire fro
en el Data Center
Dao o avera de
chillers. Incapacidad
para brindar aire fro
en el Data Center
Dao o avera de
chillers. Incapacidad
para brindar aire fro
en el Data Center
Dao o avera de
chillers. Incapacidad
para brindar aire fro
en el Data Center
Rt
221
Amenaza
Agua
Descripcin de la
Amenaza
Controles Existentes
Fugas de agua
ocasionadas por
corrosin
Se tiene sensores de
deteccin de humedad
(TIA-942-A), Vlvulas
de liberacin de Agua
Dao Fsico
Destruccin de un
sistema de chillers por
personal interno de
forma accidental
Destruccin de
equipo
Destruccin de un
sistema de chillers por
personal interno de
forma deliberada
Destruccin de un
sistema de chillers por
personal externo de
forma accidental
Destruccin de un
sistema de chillers por
personal externo de
forma deliberada
Desastres Naturales
Polvo / Suciedad
Suciedad o polvo en
los mecanismos del
sistema de chillers
Fenmeno
Volcnico
Debilitamiento o
colapso de las
instalaciones del Data
Center
Ceniza en los
mecanismos del chiller
Fenmeno
Meteorolgico
Descargas elctricas
sobre el equipamiento
Fenmenos
Ssmicos
Vulnerabilidad
Impacto
Rt
222
Dao o avera de
Insuficiente
chillers. Incapacidad
mantenimiento de
para brindar aire fro
chillers
en el Data Center
Dao de chillers.
Indisponibilidad del
Falta de polticas sobre
servicio hasta
el uso de chillers
activacin del
respaldo.
Dao de chillers.
Falta de registros de
Indisponibilidad del
actividades del
servicio hasta
personal en el rea de
activacin del
chillers
respaldo.
Se tiene un sistema
redundante de chillers
Dao de chillers.
Indisponibilidad del
servicio hasta
activacin del
Falta de control de
respaldo.
ingreso de personal no
autorizado al rea de
Dao de chillers.
chillers
Indisponibilidad del
servicio hasta
activacin del
respaldo.
Dao o avera de
Insuficiente
chillers. Incapacidad
Filtros por las tomas de
mantenimiento del
aire de los chillers
para brindar aire frio en
sistema de chillers
el Data Center
El Data Center Tier III
Inestabilidad para
Incapacidad para
soporta terremotos
soportar terremotos
brindar aire fro en el
hasta 8 en la escala de
mayores a 8 en la
Data Center
Richter
escala de Richter
Filtros por las tomas de No existen reemplazos
Falla de los sistemas
aire de los chillers
de chillers
de los filtros
No existen polticas
Incapacidad para
sobre una revisin de
Pararrayos
brindar aire fro en el
las tomas de tierra del
Data Center
pararrayos
Acciones
no
Autorizadas
Fallas Tcnicas
Compromiso de la Informacin
Prdida de
Servicios
Esenciales
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Agotamiento del
suministro de agua fra
Interrupcin de
alimentacin
elctrica
Prdida de la
alimentacin elctrica
en el Data Center
Acceso a la
informacin del
funcionamiento de
chillers
Divulgacin de
informacin por parte
de personal interno de
forma accidental
Divulgacin de
informacin por parte
de personal interno de
forma deliberada
Ingeniera social
Divulgacin de la
Informacin
Controles Existentes
Vulnerabilidad
No se tiene polticas
respecto a la falta de
agua
No se tiene polticas
respecto a la prdida
del servicio elctrico
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
Se tiene un sistema
redundante de chillers
Desperfecto de chillers
durante su uso
Mal
funcionamiento de
equipos
Respuesta inadecuada
en el funcionamiento
normal del chiller
Se tiene un sistema
redundante de chillers
Insuficiente
mantenimiento del
sistema de chillers
Errores de
mantenimiento
Se tiene un sistema
redundante de chillers
Uso no autorizado
de equipos
Activacin deliberada
del sistema de chillers
por personal interno
Se tiene vlvulas
selectoras de sistema
que regula el paso de
agua fra
Impacto
Rt
223
Amenaza
Compromiso de Funciones
Acciones no Autorizadas
Uso no autorizado
de equipos
Manipulacin de
los equipos
Error de uso
Descripcin de la
Amenaza
Controles Existentes
Activacin deliberada
del sistema de chillers
por personal externo
Se tiene vlvulas
selectoras de sistema
que regula el paso de
agua fra
Impacto
Falta de registros de
ingresos de personal al
rea de chillers
Falta de polticas de
control de acceso al
rea de chillers.
Se tiene un sistema
redundante de chillers
Falta de registros de
ingresos de personal al
rea de chillers
Dao o avera de un
sistema de chillers.
Indisponibilidad del
servicio hasta
activacin del
respaldo.
Falta de polticas de
control de acceso al
rea de chillers.
Se tiene un sistema
redundante de chillers
Se tiene un sistema
redundante de chillers
Interrupcin de un
sistema de chillers.
Indisponibilidad del
servicio hasta
activacin del
respaldo.
Dao o avera de un
sistema de chillers.
Indisponibilidad del
servicio hasta
activacin del
respaldo.
Rt
224
Desconexin
deliberada del sistema
de chillers por personal
interno
Desconexin
deliberada del sistema
de chillers por personal
externo
Modificacin
intencional en el
funcionamiento de los
chillers por personal
interno
Modificacin
intencional en el
funcionamiento de los
chillers por personal
externo
Desconexin
accidental del sistema
de chillers por personal
interno
Desconexin
accidental del sistema
de chillers por personal
externo
Mal manejo del
sistema de chillers por
impericia del personal
interno
Mal manejo del
sistema de chillers por
impericia del personal
externo
Vulnerabilidad
Amenaza
Controles Existentes
Vulnerabilidad
Activacin accidental
del sistema de chillers
por personal interno
Activacin accidental
del sistema de chillers
por personal externo
Ausencia accidental o
intencional del puesto
de trabajo
Ingreso de personal
interno no autorizado
al rea de chillers
Ingreso de personal
externo no autorizado
al rea de chillers
No se tiene polticas de
control
Falta de personal
suficiente para cubrir
las funciones
Se tiene un sistema
redundante de chillers
Falta de registros de
ingresos de personal al
rea de chillers
Abuso de derechos
Ingreso de personal
interno no autorizado
al rea de chillers
Falta de polticas de
No se tiene polticas de
asignacin de
control
privilegios para ingreso
al rea de chillers
Ocupacin
enemiga
Prdida de control
sobre el manejo de los
chillers
Se tiene personal de
guardiana en el Data
Center
Falta de
procedimientos de
seguridad en caso de
invasin
Deficiencia en la
organizacin
Ingreso de personal no
calificado o nocivo
No se tiene polticas de
control
Falta de procesos de
verificacin de
antecedentes en la
contratacin de
personal
Extorsin
No se tiene polticas de
control
Falta de
procedimientos de
contingencia
Error de uso
Indisponibilidad del
personal
Compromiso de Funciones
Descripcin de la
Amenaza
Suplantacin de
identidad
Impacto
Rt
225
Amenaza
Dao Fsico
Agua
Desastres
Naturales
Destruccin de
equipo
Fenmenos
ssmicos
Descripcin de la
Amenaza
Dao por agua
ocasionado por
personal interno de
forma accidental
Dao por agua
ocasionado por
personal interno de
forma deliberada
Dao por agua
ocasionado por
personal externo de
forma accidental
Dao por agua
ocasionado por
personal externo de
forma deliberada
Destruccin del panel
por personal interno de
forma accidental
Destruccin del panel
por personal interno de
forma deliberada
Destruccin del panel
por personal externo
de forma accidental
Destruccin del panel
por personal externo
de forma deliberada
Debilitamiento o
colapso de las
instalaciones del Data
Center
Controles Existentes
Se tiene redundancia
de paneles de control
principal
Se tiene redundancia
de paneles de control
principal
Vulnerabilidad
Impacto
Rt
Dao de un panel de
control principal
Falta de registros de
actividades del
personal en la sala de
operaciones
Falta de control de
ingreso de personal no
autorizado a la sala de
operaciones
Dao de un panel de
control principal
2
Dao de un panel de
control principal
Falta de registros de
actividades del
personal en la sala de
operaciones
Falta de control de
ingreso de personal no
autorizado a la sala de
operaciones
Dao de un panel de
control principal
1
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Tabla 3.36: Anlisis del Riesgo de un Activo del Sistema Contra Incendios (Pgina 1 de 4)
226
Acciones no
Autorizadas
Fallas Tcnicas
Compromiso de la
Informacin
Prdida de Servicios
Esenciales
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Interrupcin de
alimentacin
elctrica
Desconexin de la
alimentacin elctrica
de los Servicios
Generales
No se tiene polticas de
control
Fallo en los
servicios de
comunicaciones
Corte de cableado de
sealizacin
Notificacin de ruptura
del lazo de
comunicacin.
Ingeniera social
Acceso a la
informacin del
funcionamiento de los
paneles
Divulgacin de la
Informacin
Revelacin por
indiscrecin del
funcionamiento de los
paneles a personas
externas
Mal
funcionamiento de
equipos
Respuesta inadecuada
en el funcionamiento
normal de los paneles
Errores de
mantenimiento
Manipulacin de
los equipos
Desconexin
deliberada de los
paneles por personal
interno
Vulnerabilidad
Falta de polticas para
realizar
mantenimientos en el
tablero de Servicios
Generales
No existe redundancia
en el cableado. Falta
de polticas de
mantenimiento
Impacto
Prdida de la
confidencialidad e
No se tiene polticas de
integridad de todo el
control
sistema detector de
incendios
Prdida de la
Falta de polticas de
confidencialidad e
No se tiene polticas de
confidencialidad de la
integridad de todo el
control
informacin
sistema detector de
incendios
Falla de los paneles.
Se tiene redundancia
Incapacidad de
Desperfecto de los
de paneles de control
gestionar alarmas de
paneles durante su uso
incendio en el Data
principal
Center.
Falla de los paneles.
Se tiene redundancia
Insuficiente
Incapacidad de
de paneles de control
mantenimiento de los
gestionar alarmas de
incendio en el Data
principal
paneles
Center.
Falta de polticas para
Dao de los paneles.
No se tiene polticas de
realizar cambios o
Incapacidad de
control
mantenimientos en los detectar un incendio en
el Data Center.
paneles
Falta de registros de
actividades del
personal en la sala de
operaciones
Rt
Falta de polticas de
confidencialidad de la
informacin
No se tiene polticas de
control
Incapacidad de
detectar un incendio en
el Data Center.
227
Tabla 3.36: Anlisis del Riesgo de un Activo del Sistema Contra Incendios (Pgina 2 de 4)
Compromiso de Funciones
Acciones no Autorizadas
Tipo de
Amenaza
Amenaza
Manipulacin de
los equipos
Error de uso
Indisponibilidad del
personal
Descripcin de la
Amenaza
Desconexin
deliberada de los
paneles por personal
externo
Modificacin
intencional en la
configuracin de los
paneles por personal
interno
Modificacin
intencional en la
configuracin de los
paneles por personal
externo
Desconexin
accidental de los
elementos del panel
por personal interno
Desconexin
accidental de los
elementos del panel
por personal externo
Mal manejo de los
paneles por impericia
del personal interno
Mal manejo de los
paneles por impericia
del personal externo
Controles Existentes
Se tiene redundancia
de paneles de control
principal
Vulnerabilidad
Falta de polticas de
control de acceso a la
sala de operaciones
Falta de registros de
ingresos de personal a
la sala de operaciones
No se tiene polticas de
control
Falta de polticas de
control de acceso a la
sala de operaciones
Se tiene redundancia
de paneles de control
principal
No se tiene controles
Impacto
Incapacidad de
detectar un incendio en
el Data Center.
Incapacidad de
gestionar alarmas de
deteccin de incendio
en el Data Center.
No se tiene controles
Ausencia accidental o
intencional del puesto
de trabajo
No se tiene polticas de
control
Falta de personal
suficiente para cubrir
las funciones
Rt
Respuesta errnea de
los paneles y del
sistema de deteccin
del Data Center.
Mala configuracin de
los paneles realizada
por los administradores
Respuesta errnea de
los paneles y el
sistema de deteccin
del Data Center.
Tiempos altos para la
solucin de incidencias
en los paneles
Tabla 3.36: Anlisis del Riesgo de un Activo del Sistema Contra Incendios (Pgina 3 de 4)
228
Compromiso de Funciones
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Suplantacin de
identidad
Ingreso de personal
interno no autorizado a
la sala de operaciones
Ingreso de personal
externo no autorizado
a la sala de
operaciones
No se tiene polticas de
control
Abuso de derechos
Ingreso de personal
interno no autorizado a
la sala de operaciones
No se tiene polticas de
control
Ocupacin
enemiga
Prdida de control
sobre el manejo del
sistema detector
Se tiene personal de
guardiana en el Data
Center
Deficiencia en la
organizacin
Ingreso de personal no
calificado o nocivo
No se tiene polticas de
control
Extorsin
Controles Existentes
Vulnerabilidad
Falta de registros de
ingresos de personal a
la sala de operaciones
Falta de control de
ingreso de personal no
autorizado a la sala de
operaciones
Falta de polticas de
asignacin de
privilegios para ingreso
a la sala de
operaciones
Falta de
procedimientos de
seguridad en caso de
invasin
Falta de procesos de
verificacin de
antecedentes en la
contratacin de
personal
Falta de
procedimientos de
contingencia
Impacto
Rt
Tabla 3.36: Anlisis del Riesgo de un Activo del Sistema Contra Incendios (Pgina 4 de 4)
229
Amenaza
Dao Fsico
Agua
Sobrecarga
Elctrica /
Cortocircuito
Descripcin de la
Amenaza
Dao por agua
ocasionado por
personal interno de
forma accidental
Dao por agua
ocasionado por
personal interno de
forma deliberada
Dao por agua
ocasionado por
personal externo de
forma accidental
Dao por agua
ocasionado por
personal externo de
forma deliberada
Cortocircuito en las
bateras del panel
ocasionado por
personal interno de
forma accidental
Cortocircuito en las
bateras del panel
ocasionado por
personal interno de
forma deliberada
Cortocircuito en las
bateras del panel
ocasionado por
personal externo de
forma accidental
Cortocircuito en las
bateras del panel
ocasionado por
personal externo de
forma deliberada
Controles Existentes
Vulnerabilidad
Impacto
Se tiene redundancia
de paneles y tarjetas
controladoras
Falta de registros de
actividades del
personal en la sala de
operaciones
Falta de control de
ingreso de personal no
autorizado a la sala de
operaciones
Se tiene redundancia
de paneles y tarjetas
controladoras
Falta de registros de
actividades del
personal en la sala de
operaciones
Falta de control de
ingreso de personal no
autorizado a la sala de
operaciones
Rt
230
Desastres
Naturales
Dao Fsico
Tipo de
Amenaza
Amenaza
Destruccin de
equipo
Descripcin de la
Amenaza
Controles Existentes
Vulnerabilidad
Falta de registros de
actividades del
personal en la sala de
operaciones
Se tiene redundancia
de paneles y tarjetas
controladoras
Falta de control de
ingreso de personal no
autorizado a la sala de
operaciones
Insuficiente
mantenimiento de los
paneles
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Polvo / Suciedad
Suciedad excesiva o
polvo en el panel
No se tiene controles
Fenmenos
ssmicos
Debilitamiento o
colapso de las
instalaciones del Data
Center
Interrupcin de
alimentacin
elctrica
Prdida de energa de
alimentacin del panel
No se tiene polticas de
control
Fallo en los
servicios de
comunicaciones
Corte de cableado de
sealizacin
No se tiene controles
Falta de polticas de
mantenimiento
Impacto
Rt
231
Compromiso de
Funciones
Acciones no
Autorizadas
Fallas Tcnicas
Compromiso de la
Informacin
Tipo de
Amenaza
Amenaza
Ingeniera social
Divulgacin de la
Informacin
Descripcin de la
Amenaza
Acceso a la
informacin del
funcionamiento de los
paneles
Revelacin del
funcionamiento de los
paneles a personas
externas
Mal funcionamiento
de equipos
Respuesta inadecuada
en el funcionamiento
normal de los paneles
Errores de
mantenimiento
Manipulacin de
los equipos
Error de uso
Desconexin
deliberada de los
paneles por personal
interno
Desconexin
deliberada de los
paneles por personal
externo
Desconexin
accidental de los
elementos del panel
por personal interno
Desconexin
accidental de los
elementos del panel
por personal externo
Controles Existentes
Vulnerabilidad
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
Desperfecto de los
paneles durante su uso
Se tiene redundancia
de paneles y tarjetas
controladoras
Insuficiente
mantenimiento de los
paneles
Falta de polticas para
realizar cambios o
mantenimientos en los
paneles
No se tiene polticas de
control
Falta de registros de
actividades del
personal en la sala de
operaciones
Se tiene redundancia
de paneles de control.
Falta de polticas de
control de acceso a la
sala de operaciones
Se tiene redundancia
de paneles y tarjetas
controladoras
Impacto
Prdida de la
confidencialidad e
integridad del sistema
de control de acceso
Prdida de la
confidencialidad e
integridad del sistema
de control de acceso
Falla del panel.
Bloqueo de los
elementos del sistema
de control de acceso.
Falla del panel.
Bloqueo de los
elementos del sistema
de control de acceso.
Dao del panel de
control y sus tarjetas.
Interrupcin en el
ingreso a todas reas
restringidas.
Rt
Bloqueo de los
elementos del sistema
de control de acceso.
232
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Vulnerabilidad
No se tiene controles
No se tiene controles
Error de uso
Compromiso de Funciones
Indisponibilidad del
personal
Suplantacin de
identidad
Ausencia accidental o
intencional del puesto
de trabajo
Ingreso de personal
interno no autorizado a
la sala de operaciones
Ingreso de personal
externo no autorizado
a la sala de
operaciones
No se tiene polticas de
control
No se tiene polticas de
control
Falta de personal
suficiente para cubrir
las funciones
Falta de registros de
ingresos de personal a
la sala de operaciones
Falta de registros de
ingresos de personal a
la sala de operaciones
Falta de polticas de
asignacin de
No se tiene polticas de
privilegios para ingreso
control
a la sala de
operaciones
Impacto
Dao de los paneles.
Bloqueo de los
elementos del sistema
de control de acceso
Dao de los paneles.
Bloqueo de los
elementos del sistema
de control de acceso
Tiempos altos para la
solucin de incidencias
en los paneles
Rt
Abuso de derechos
Ingreso de personal
interno no autorizado a
la sala de operaciones
Ocupacin
enemiga
Prdida de control
sobre el manejo del
sistema de control de
acceso
Se tiene personal de
guardiana en el Data
Center
Falta de
procedimientos de
seguridad en caso de
invasin
Deficiencia en la
organizacin
Ingreso de personal no
calificado o nocivo
No se tiene polticas de
control
Falta de procesos de
verificacin de
antecedentes en la
contratacin de
personal
Falta de
procedimientos de
contingencia
Extorsin
233
Amenaza
Dao Fsico
Agua
Destruccin de
equipo
Polvo / Suciedad
Descripcin de la
Amenaza
Dao por agua
ocasionado por
personal interno de
forma accidental
Dao por agua
ocasionado por
personal interno de
forma deliberada
Dao por agua
ocasionado por
personal externo de
forma accidental
Dao por agua
ocasionado por
personal externo de
forma deliberada
Destruccin del
servidor por personal
interno de forma
accidental
Destruccin del
servidor por personal
interno de forma
deliberada
Destruccin del
servidor por personal
externo de forma
accidental
Destruccin del
servidor por personal
externo de forma
deliberada
Suciedad o polvo en el
servidor de video
Controles Existentes
No se tiene controles
Vulnerabilidad
Falta de polticas para
realizar
mantenimientos en el
cuarto de cmputo
Falta de polticas de
comportamiento de
personal en el cuarto
de cmputo
Impacto
Rt
Falta de polticas de
control de acceso al
cuarto de cmputo
No se tiene controles
Falta de registros de
actividades del
personal en el cuarto
de cmputo
Falta de control de
ingreso de personal no
autorizado al cuarto de
cmputo
No se tiene controles
Insuficiente
mantenimiento del
servidor
Tabla 3.38: Anlisis del Riesgo de un Activo del Sistema de Vigilancia (Pgina 1 de 6)
234
Compromiso de la
Informacin
Desastres
Naturales
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Vulnerabilidad
Impacto
Fenmenos
ssmicos
Debilitamiento o
colapso de las
instalaciones del Data
Center
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Agotamiento del
suministro de agua fra
Se tienen redundancia
en los sistemas de
climatizacin dentro
del cuarto de cmputo
Interrupcin de
alimentacin
elctrica
Desconexin de la
alimentacin elctrica
del sistema de PDUs
No se tiene polticas de
control
Fallo en los
servicios de
comunicaciones
Se tiene redundancia
del cableado
Interrupcin de
suministros
Agotamiento de
capacidad en disco
para almacenaje de
video
Dao del disco de
almacenamiento
Agotamiento de
licenciamiento del
software del servidor
de video
No se tiene controles
Ingeniera social
Acceso a la
informacin del
servidor
Divulgacin de la
Informacin
Revelacin por
indiscrecin del
funcionamiento del
servidor a personas
externas
Rt
Falla en la grabacin
del video.
Falta de polticas de
revisin de software
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
Prdida de la
confidencialidad e
integridad del sistema
de videovigilancia
No se tiene polticas de
control
Falta de polticas de
confidencialidad de la
informacin
Prdida de la
confidencialidad e
integridad del sistema
de videovigilancia
235
Tabla 3.38: Anlisis del Riesgo de un Activo del Sistema de Vigilancia (Pgina 2 de 6)
Fallas Tcnicas
Compromiso de la
Informacin
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Controles Existentes
Vulnerabilidad
Robo de
informacin
Copia de archivos o
configuraciones del
servidor de video
No se tiene polticas
de control
Falta de control de
sobre copia de
informacin del NVR
Espionaje
Acceso a la
informacin del
servidor por personal
no autorizado
No se tiene polticas
de control
Falta de cifrado en la
comunicacin de los
datos del servidor de
video
No se tiene controles
Desperfecto del
servidor durante su uso
Mal
funcionamiento de
equipos
Respuesta inadecuada
en el funcionamiento
normal del servidor
No se tiene controles
Insuficiente
mantenimiento del
servidor
Errores de
mantenimiento
No se tiene controles
Saturacin de la red de
videovigilancia
No se tiene controles
Saturacin del
sistema de
informacin
Impacto
Prdida de la
confidencialidad e
integridad de los datos
del sistema de
videovigilancia
Prdida de
confidencialidad en los
datos del sistema de
videovigilancia
Falla del servidor. Error
en la grabacin del
video. Prdida del
sistema de
videovigilancia en el
Data Center
Falla del servidor. Error
en la grabacin del
video. Prdida del
sistema de
videovigilancia en el
Data Center ter
Falla en la grabacin
del video. Prdida del
sistema de
videovigilancia en el
Data Center
Error en la grabacin y
transmisin del video
en el servidor.
Rt
Tabla 3.38: Anlisis del Riesgo de un Activo del Sistema de Vigilancia (Pgina 3 de 6)
236
Amenaza
Acciones no Autorizadas
Procesamiento
ilegal de datos
Manipulacin de
Software
Compromiso de Funciones
Manipulacin de
los equipos
Descripcin de la
Amenaza
Borrado de informacin
del servidor deliberada
por personal interno
Borrado de informacin
del servidor deliberada
por personal externo
Modificacin
intencional en la
configuracin del
servidor por personal
interno
Modificacin
intencional en la
configuracin del
servidor por personal
externo
Desconexin
deliberada del servidor
por personal interno
Desconexin
deliberada del servidor
por personal externo
Controles Existentes
Vulnerabilidad
No se tiene polticas de
control
Falta de registros de
actividades del
personal en el cuarto
de cmputo
Falta de control de
ingreso de personal no
autorizado al cuarto de
cmputo
No se tiene polticas de
control
Falta de polticas de
control de acceso al
cuarto de cmputo
No se tiene polticas de
control
Desconexin
accidental del servidor
por personal interno
Error de uso
Desconexin
accidental del servidor
por personal externo
Mal manejo del
servidor por impericia
del personal interno
Falta de registros de
actividades del
personal en el cuarto
de cmputo
No se tiene controles
Falta de registros de
actividades del
personal en el cuarto
de cmputo
Falta de polticas de
control de acceso al
cuarto de cmputo
Falta de polticas para
realizar cambios o
mantenimientos en el
cuarto de cmputo
Falta de control de
ingreso de personal no
autorizado al cuarto de
cmputo
Falta de polticas sobre
el uso del servidor
Impacto
Falla en la grabacin
del video. Prdida del
sistema de
videovigilancia del
Data Center
Tabla 3.38: Anlisis del Riesgo de un Activo del Sistema de Vigilancia (Pgina 4 de 6)
237
Amenaza
Compromiso de Funciones
Error de uso
Indisponibilidad del
personal
Suplantacin de
identidad
Descripcin de la
Amenaza
Controles Existentes
Vulnerabilidad
No se tiene controles
No se tiene controles
Abuso de derechos
Ingreso de personal
interno no autorizado
al cuarto de cmputo
No se tiene polticas de
control
No se tiene polticas de
control
Impacto
Dao del servidor.
Prdida del sistema de
videovigilancia del
Data Center
Error en la grabacin
del video en el
servidor.
Falta de registros de
No se tiene polticas de
ingresos de personal al
control
cuarto de cmputo
Falta de mecanismos
de autenticacin para
No se tiene polticas de
ingreso a la
control
informacin de las
cmaras
Falta de polticas de
No se tiene polticas de
asignacin de
control
privilegios para ingreso
al cuarto de cmputo
Prdida de
confidencialidad,
integridad y
disponibilidad en los
videos del Data Center
Dao del servidor.
Prdida del sistema de
videovigilancia en Data
Center
Tabla 3.38: Anlisis del Riesgo de un Activo del Sistema de Vigilancia (Pgina 5 de 6)
238
Amenaza
Compromiso de Funciones
Abuso de derechos
Ocupacin
enemiga
Deficiencia en la
organizacin
Extorsin
Descripcin de la
Amenaza
Ingreso a la
informacin del
servidor por personal
no autorizado
Prdida de control
sobre el manejo del
sistema de
Videovigilancia
Ingreso de personal no
calificado o nocivo
Controles Existentes
No se tiene polticas de
control
Se tiene personal de
guardiana en el Data
Center
No se tiene polticas de
control
Vulnerabilidad
Impacto
Falta de polticas de
asignacin de
privilegios para acceso
al servidor
Falta de
procedimientos de
seguridad en caso de
invasin
Falta de procesos de
verificacin de
antecedentes en la
contratacin de
personal
Prdida de la
confidencialidad e
integridad del sistema
de videovigilancia
Falta de
procedimientos de
contingencia
Tabla 3.38: Anlisis del Riesgo de un Activo del Sistema de Vigilancia (Pgina 6 de 6)
239
240
241
Los impactos para los activos de software, en general, varan entre alto y muy
alto, para todas las amenazas a dichos activos.
242
Se puede observar que todos los activos, a excepcin del router de monitoreo que
utiliza el ISP, los switches destinados a servicios generales y el servidor DNS,
tienen valoraciones altas en lo que concierne a confidencialidad, integridad,
disponibilidad y costo del activo.
Los tipos de amenazas ms frecuentes en este sistema son los realizados por el
factor humano, ya sean de manera accidental o deliberada.
243
puertos y verificar toda la informacin entrante y saliente del Data Center; por lo
que debe tener reglas claras sobre los puertos permitidos.
244
Existen, como elementos de vital importancia las UMAs y los Chillers, en vista de
que estos elementos se relacionan directamente con el control de temperatura y
245
humedad. Se determina que los impactos en estos dos equipos son altos, para
todas las amenazas.
Los riesgos ms importantes para estos equipos son los siguientes: intromisin de
personal no autorizado al rea que aloja a estos equipos, que puede representar
daos fsicos en los mismos; falta de experiencia y capacitacin en mantenimiento
por parte del personal interno; abuso de derechos del personal interno autorizado
para el manejo de dichos equipos, que suponen peligros para la disponibilidad del
servicio entregado por el sistema; fuga de informacin relacionada con el
funcionamiento de las operaciones internas y el manejo de equipos mecnicos.
podra
provocar
sobreenfriamiento
en
los
equipos,
desencadenando un efecto de roco sobre los equipos de red, que daara a los
mismos. Adems, no se activara el sistema de respaldo, ocasionando la prdida
total de este servicio. Las vlvulas funcionan elctricamente y manualmente,
circunstancia que disminuye la probabilidad de una catstrofe, por lo cual se
califica su riesgo como moderado.
246
Entre los incidentes de disponibilidad con grado alto y muy alto se mencionan:
fallas de la estructura arquitectnica, daos fsicos en los paneles por impericia de
personal o por accin deliberada, desconexin de equipos e insuficiente
mantenimiento. La fuga de la informacin, de forma involuntaria o por medio de
ingeniera social concerniente al funcionamiento del sistema es crtica y bastante
probable en el factor de confidencialidad.
Se debe prestar atencin al uso de los botones de accin o aborto de gas, ya que
su mala utilizacin o destruccin puede ocasionar un gasto innecesario del agente
gaseoso, pues el relleno de los tanques representa una prdida moderada de
dinero.
247
248
249
Las cmaras que se encuentran en el interior del Data Center, y en especial las
ubicadas en el rea de TI, poseen impactos y riesgos moderados. Entre ellos se
citan los siguientes: destruccin del equipo, ingreso a la informacin de las
cmaras, fallas en la transmisin de video por una mala configuracin.
250
CAPTULO 4
POLTICAS Y CONTROLES DE SEGURIDAD DE LA
INFORMACIN PARA UN DATA CENTER TIER III DE UN
ISP MODELO DE QUITO
4
Una vez finalizada la evaluacin del riesgo, deben tratarse los riesgos e impactos
conforme a los criterios de aceptacin del riesgo propuestos por la organizacin.
La Figura 4.1 muestra el proceso de tratamiento de riesgo.
Existen cuatro opciones para el tratamiento del riesgo: reduccin del riesgo,
aceptacin (retencin) del riesgo, evitacin del riesgo y transferencia del riesgo.
251
Existen riesgos que son demasiado altos, o el costo que implica tratar dicho
riesgo sobrepasa los beneficios que se obtendran. En este caso se opta por la
decisin de evitar por completo el riesgo, mediante el retiro de una actividad o
conjunto de actividades planificadas o existentes; tambin se pueden cambiar las
condiciones bajo las cuales la actividad opera.
Algunos riesgos se los puede transferir o compartir con entidades externas que
puedan manejarlos de forma ms eficiente. La transferencia puede generar
252
La transferencia puede ser realizada mediante seguros que darn soporte a las
consecuencias o subcontrataciones de un asociado, cuya funcin ser monitorear
el sistema de informacin y tomar medidas inmediatas para detener un ataque
antes de que ste produzca un nivel definido de dao.
253
Resultados de la
Evaluacin del
Riesgo
Establecimiento
del Contexto
No
Valoracin
Satisfactoria
Si
Opciones del
Tratamiento del Riesgo
Reducir el
Riesgo
Aceptar el
Riesgo
Evitar el
Riesgo
Transferir
el Riesgo
Riesgo
Residual
Tratamiento
satisfactorio
No
Si
Aceptacin del
Riesgo
Figura 4.1: Actividades del tratamiento del riesgo [55]
Los riesgos bajos y muy bajos sern excluidos del tratamiento de riesgos debido a
que no generan impactos negativos en la Organizacin y son considerados
Aceptables.
254
Los riesgos inaceptables o con niveles moderados, altos y muy altos, estarn
sujetos a las opciones de tratamiento de riesgos de reduccin, evitacin y
transferencia.
En la Tabla 4.1 se identifican los controles seleccionados para los distintos tipos
de amenazas encontrados en el Data Center. En la Tabla 4.2 se presentan los
controles que se aplican a nivel general para todo el Data Center.
Objetivos de Control
A.6.2
Reducir el riesgo
Dao Fsico
Amenazas
Entidades externas
Controles
A.6.2.1
A.6.2.2
A.6.2.3
A.7.1.3
A.8.1.2
Seleccin
A.8.1.3
A.7.1
A.8.1
A.8.2
Durante el empleo
A.8.2.2
A.8.3
A.8.3.3
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.4
A.9.1.5
A.9.2.1
A.9.2.4
Mantenimiento de equipo
A.9.2.5
A.9.2.7
Traslado de propiedad
A.9.1
A.9.2
reas seguras
A.10.5
Respaldo (back-up)
A.10.5.1
A.10.8
Intercambio de informacin
A.10.8.3
A.10.10 Monitoreo
A.11.5
A.11.5.2
A.15.1.5
255
Descargas
elctricas sobre
los equipos
Abastecimiento de
agua fra (aire
acondicionado)
Reducir el
riesgo
Reducir el riesgo
Capas de ceniza
en los
mecanismos de
los equipos
Reducir el
riesgo
Transferir el
riesgo
Colapso de las
instalaciones del
Data Center.
Reducir el
riesgo
Suciedad o polvo
que afecta el
funcionamiento
Accin
Reducir el
riesgo
Polvo /
Suciedad
Fenmeno
ssmico
Fenmeno
Fenmeno
meteorolgico volcnico
Prdida de Servicios
Esenciales
Fallo del sistema de
climatizacin
Desastres Naturales
Dao Fsico
Amenazas
Objetivos de Control
A.9.1
reas seguras
A.9.2
Controles
A.9.1.4
A.9.2.1
A.9.2.4
Mantenimiento de equipo
A.9.1.3
A.9.1.4
A.9.1
reas seguras
A.9.2
A.9.2.1
A.10.5
Respaldo (back-up)
A.10.5.1
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.1
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.1
A.10.5
Respaldo (back-up)
A.10.5.1
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.2
Servicios pblicos
A.9.2.4
Mantenimiento de equipo
A.10.2.1
A.10.2
A.10.2.2
256
Falla de
redundancias
Reducir el Riesgo
Reducir el riesgo
Transferir el riesgo
Prdida de la
alimentacin
elctrica en el
Data Center
Accin
Reducir el riesgo
Interrupcin de
alimentacin elctrica
Amenazas
Objetivos de Control
A.9.1
reas seguras
A.9.2
A.10.2
Controles
A.9.1.4
A.9.2.2
Servicios pblicos
A.9.2.4
Mantenimiento de equipo
A.10.2.1
A.10.2.2
A.10.3
A.10.3.1
Gestin de capacidad
A.9.1
reas seguras
A.9.1.3
A.9.2.1
A.9.2.2
Servicios pblicos
A.9.2.3
Seguridad en el cableado
A.9.2.4
Mantenimiento de equipo
A.10.6.1
Controles de red
A.9.2
A.10.6
A.10.6.2
A.11.4
A.11.4.1
A.15.1
A.15.1.5
A.7.1
A.7.1.1
Inventarios de activos
A.7.2
Clasificacin de la informacin
A.7.2.2
A.10.3
A.10.3.1
Gestin de capacidad
A.10.5
Respaldo (back-up)
A.10.5.1
257
Agotamiento de
licenciamiento del
software
Reducir el
riesgo
Mantenimiento de equipo
A.10.3
A.10.3.1
Gestin de capacidad
Reducir el
riesgo
Agotamiento de
capacidad del
storage
A.9.2.4
A.9.2
A.9.2.4
Mantenimiento de equipo
A.10.3
A.10.3.1
Gestin de capacidad
Reducir el
riesgo
Agotamiento de
gas extintor
Controles
A.9.2
A.9.2.4
Mantenimiento de equipo
A.10.2
A.10.2.3
A.10.3
A.10.3.1
Gestin de capacidad
A.9.2
A.9.2.4
Mantenimiento de equipo
A.10.2.3
A.10.3
A.10.3.1
Gestin de capacidad
A.10.6
A.10.6.2
A.9.2
A.9.2.4
Mantenimiento de equipo
A.10.3
A.10.3.1
Gestin de capacidad
A.10.5
Respaldo (back-up)
A.10.5.1
A.7.1
A.7.1.1
Inventarios de activos
A.10.2.3
A.10.3.1
Gestin de capacidad
Reducir el
riesgo
Agotamiento de
combustible en los
tanques de
almacenamiento
Objetivos de Control
A.9.2
Reducir el
riesgo
Agotamiento de
aceite para el
funcionamiento del
generador
Accin
Reducir el
riesgo
Interrupcin de suministros
Amenazas
A.10.2
A.10.2
A.10.3
258
Reducir el riesgo
Acceso a la
informacin de
equipos, software
y documentacin
Accin
Ingeniera social
Objetivos de Control
Persuasin para
uso de
mecanismos de
acceso por
personal no
autorizado
Controles
A.6.1
Organizacin interna
A.6.1.5
Acuerdos de confidencialidad
A.6.2
Entidades externas
A.6.2.3
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.10.7
Gestin de medios
A.10.7.1
A.10.7.3
A.10.8.1
A.10.8.2
Acuerdos de intercambio
A.10.8
Intercambio de informacin
A.11.3
A.11.3.1
Uso de clave
A.11.6
A.11.6.1
A.12.5
A.12.5.4
Filtracin de informacin
A.6.2.1
A.6.2.3
A.6.2
Reducir el riesgo
Transferir el riesgo
Compromiso de la Informacin
Amenazas
Entidades externas
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.3
A.10.7
Gestin de medios
A.10.7.3
A.10.8
Intercambio de informacin
A.10.8.1
A.11.4
A.11.4.5
Segregacin en redes
259
Utilizacin de
medios para
ingreso no
autorizado a la
informacin
Reducir el riesgo
Evitar el riesgo
Divulgacin o fuga
de informacin
confidencial
Accin
Reducir el riesgo
Evitar el riesgo
Divulgacin de la informacin
Recuperacin de
medios descartados
Compromiso de la Informacin
Amenazas
Objetivos de Control
A.6.1
Organizacin interna
A.6.2
Entidades externas
Controles
A.6.1.5
Acuerdos de confidencialidad
A.6.2.2
A.6.2.3
A.7.2
Clasificacin de la informacin
A.7.2.2
A.8.2
Durante el empleo
A.8.2.2
A.10.7
Gestin de medios
A.10.7.1
A.10.8.1
A.10.8.2
Acuerdos de intercambio
A.10.8.4
Mensajes electrnicos
A.11.3.1
Uso de clave
A.10.8
Intercambio de informacin
A.11.3
A.11.3.3
A.11.6
A.11.6.1
A.12.2
A.12.2.3
A.12.5
A.12.5.4
Filtracin de informacin
A.15.1
A.15.1.4
A.8.3
A.8.3.2
Devolucin de activos
A.8.3.3
A.9.2
A.9.2.6
A.10.7
Gestin de medios
A.10.7.2
Eliminacin de medios
A.12.3
Controles criptogrficos
A.12.3.1
260
Accin
Puertas traseras o
puertos por
defecto habilitados
Reducir el riesgo
Evitar el riesgo
A.10.6
A.11.4
Reducir el riesgo
Evitar el riesgo
A.10.4.1
A.10.6.1
Controles de red
A.10.6.2
A.11.4.2
A.11.4.4
A.11.4.6
A.11.4.7
A.11.7.2
Tele-trabajo
A.12.2
A.12.2.2
A.12.4
A.12.4.1
A.12.4.3
A.12.5.4
Filtracin de informacin
A.12.5
A.12.5.5
A.6.1.5
Acuerdos de confidencialidad
A.6.2.1
A.6.2.3
A.8.1.2
Seleccin
A.8.1.3
A.6.2
Intercepcin no
autorizada de
informacin por
parte de personal
interno o externo
Controles
A.11.7
A.6.1
Escucha no autorizada
Compromiso de la Informacin
A.10.4
Objetivos de Control
Proteccin contra software malicioso y
cdigo mvil
Organizacin interna
Entidades externas
A.8.1
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.3
Seguridad en el cableado
A.10.6.1
Controles de red
A.10.6
261
Accin
Objetivos de Control
Robo de la
configuracin de
equipamiento o
informacin del
Data Center
Reducir el riesgo
Evitar el riesgo
Intercepcin no
autorizada de
informacin por
parte de personal
interno o externo
Reducir el riesgo
Evitar el riesgo
Robo de informacin
Compromiso de la Informacin
Escucha no autorizada
A.10.8
A.11.4
Intercambio de informacin
Control de acceso a redes
Controles
A.10.8.1
A.11.4.1
A.11.4.2
A.11.4.7
A.12.3.1
A.12.3
Controles criptogrficos
A.12.3.2
Gestin de claves
A.12.5
A.12.5.4
Filtracin de informacin
A.15.1
A.15.1.6
A.6.1
Organizacin interna
A.6.1.5
Acuerdos de confidencialidad
A.6.2.2
A.6.2
Entidades externas
A.6.2.3
A.8.1.2
Seleccin
A.8.1
A.8.1.3
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.2
A.9.2.5
A.9.2.6
A.9.2.7
Traslado de propiedad
A.10.7.1
A.10.7.2
Eliminacin de medios
A.10.7.4
A.9.2
A.10.7
Gestin de medios
262
Accin
Objetivos de Control
A.10.8
Intercambio de informacin
A.10.8.3
A.11.1
A.11.1.1
A.11.2.1
A.11.2.2
Gestin de privilegios
A.11.2.3
A.11.2.4
A.11.3.1
Uso de clave
A.11.3.2
Robo de informacin
Reducir el riesgo
Evitar el riesgo
Reducir el riesgo
Robo de tarjetas
para ingresos no
autorizados
A.11.3
A.11.4
A.11.4.6
A.11.5
A.11.5.5
Sesin inactiva
A.12.3
Controles criptogrficos
A.12.3.1
A.12.3.2
Gestin de claves
A.15.1.3
A.15.1.4
A.15.1.6
A.15.1
Robo de equipos
Compromiso de la Informacin
A.11.2
Robo de la
configuracin de
equipamiento o
informacin del
Data Center
Controles
A.7.1
A.7.1.1
Inventarios de activos
A.8.1
A.8.1.2
Seleccin
A.9.1
reas seguras
A.9.1.2
A.9.2.1
A.9.2
A.9.2.5
A.9.2.7
Traslado de propiedad
263
Acceso a la
informacin
confidencial por
personal no
autorizado
Reducir el riesgo
Evitar el riesgo
Intercepcin de
seal de red
inalmbrica por
personal interno o
externo
Accin
Reducir el riesgo
Evitar el riesgo
Compromiso de la Informacin
Amenazas
Objetivos de Control
Controles
A.6.1
Organizacin interna
A.6.1.5
Acuerdos de confidencialidad
A.6.2
Entidades externas
A.6.2.1
A.8.1
A.8.1.2
Seleccin
A.8.1.3
A.9.1
reas seguras
A.9.1.4
A.10.6
A.10.6.1
Controles de red
A.10.6.2
A.11.4
A.11.4.1
A.11.4.5
Segregacin en redes
A.11.6
A.11.6.2
A.11.7
A.11.7.1
A.12.3.1
A.12.3.2
Gestin de claves
A.12.3
Controles criptogrficos
A.12.5
A.12.5.4
Filtracin de informacin
A.15.1
A.15.1.6
A.6.1
Organizacin interna
A.6.1.5
Acuerdos de confidencialidad
A.8.2
Durante el empleo
A.8.2.2
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.2
A.10.7
Gestin de medios
A.10.7.3
A.10.8.1
A.10.8
Intercambio de informacin
A.10.8.2
Acuerdos de intercambio
264
Reducir el riesgo
Evitar el riesgo
Sniffers ocultos en
el Data Center
Controles
A.11.1
A.11.1.1
A.11.3
A.11.3.3
A.11.5
A.11.5.1
A.11.6
A.11.6.2
A.12.3
Controles criptogrficos
A.12.3.1
A.12.3.2
Gestin de claves
A.12.4
A.12.4.2
A.15.1.3
A.15.1.4
A.15.1.6
A.15.1
Espionaje
Compromiso de la Informacin
Acceso a la
informacin
confidencial por
personal no
autorizado
Accin
Reducir el riesgo
Evitar el riesgo
Amenazas
A.6.1
Organizacin interna
A.6.1.5
Acuerdos de confidencialidad
A.8.1
A.8.1.2
Seleccin
A.9.1
reas seguras
A.9.1.5
A.9.2
A.9.2.3
Seguridad en el cableado
A.10.6
A.10.6.1
Controles de red
A.10.6.2
A.10.8
Intercambio de informacin
A.10.8.4
Mensajes electrnicos
A.11.4
A.11.4.1
A.11.4.6
A.11.7
A.11.7.1
A.12.3
Controles criptogrficos
A.12.3.1
A.12.3.2
Gestin de claves
265
Respuesta
inadecuada en el
funcionamiento
normal del equipo
Mala realizacin
del mantenimiento
del equipo por
impericia del
personal
Reducir el riesgo
Reducir el riesgo
Accin
Reducir el riesgo
Transferir el riesgo
Funcionamiento
defectuoso
Errores de mantenimiento
Fallas Tcnicas
Amenazas
Objetivos de Control
Controles
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.4
Mantenimiento de equipo
A.10.2
A.10.2.1
A.10.3
A.10.3.2
A.10.5
Respaldo (back-up)
A.10.5.1
A.11.4
A.11.4.3
A.12.5
A.12.5.1
A.9.2.1
A.9.2
Mantenimiento de equipo
A.10.5
Respaldo (back-up)
A.10.5.1
A.6.2
Entidades externas
A.6.2.3
A.7.1
A.7.1.3
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1.5
A.9.1
reas seguras
A.9.1.6
A.9.2.4
Mantenimiento de equipo
A.9.2
Procedimientos y responsabilidades
A.10.1.2 Gestin de cambio
operacionales
Tabla 4.1: Objetivos de Control y Controles seleccionados para las distintas amenazas (Pgina 12 de 29)
A.10.1
266
Errores de mantenimiento
Fallas Tcnicas
Mala realizacin
de actualizacin
de software por
impericia del
personal
Reducir el riesgo
Transferir el riesgo
Mala realizacin
del mantenimiento
del equipo por
impericia del
personal
Accin
Reducir el riesgo
Amenazas
Objetivos de Control
Controles
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.1.4
A.10.2
A.10.2.2
A.10.3
A.10.3.2
A.11.2
A.11.2.1
A.12.5
A.12.5.1
A.6.2
Entidades externas
A.6.2.3
A.7.1
A.7.1.3
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.9.1.6
A.9.2
A.9.2.4
Mantenimiento de equipo
Procedimientos y responsabilidades
operacionales
A.10.1.2
Gestin de cambio
A.10.1
A.10.1.4
A.10.2
A.10.2.2
A.10.3
A.10.3.2
A.10.4
A.10.4.2
A.11.2
A.11.2.1
267
Denegacin de
servicio por
personal interno o
externo
Reducir el riesgo
Reducir el riesgo
Transferir el riesgo
Mala realizacin
de actualizacin
de software por
impericia del
personal
Accin
Reducir el riesgo
Transferir el riesgo
Fallas Tcnicas
Errores de
mantenimiento
Amenazas
Objetivos de Control
Controles
A.11.5
A.11.5.3
A.12.4
A.12.4.1
A.12.5.1
A.12.5.2
A.12.5.3
A.12.5
A.9.2
A.9.2.4
Mantenimiento de equipo
A.10.2
A.10.2.3
A.10.3
A.10.3.1
Gestin de capacidad
A.6.2
Entidades externas
A.6.2.1
A.7.1
A.7.1.3
A.8.1
A.8.1.3
A.10.4
A.10.4.1
A.10.6
A.10.6.1
Controles de red
A.10.6.2
A.11.4
A.11.4.1
A.11.5
A.11.5.6
A.12.2
A.12.2.1
Tabla 4.1: Objetivos de Control y Controles seleccionados para las distintas amenazas (Pgina 14 de 29)
268
Objetivos de Control
Activacin manual
del generador en
simultaneidad con
la lnea principal
de distribucin
Activacin
deliberada de los
mdulos de
inyeccin de los
tanques de gas
Reducir el riesgo
Evitar el riesgo
Degradacin de la
documentacin
por el paso del
tiempo
Reducir el riesgo
Transferir el riesgo
A.9.2
Reducir el riesgo
Acciones no Autorizadas
Fallas Tcnicas
Amenazas
A.10.10 Monitoreo
Controles
A.9.2.1
A.9.2.4
Mantenimiento de equipo
A.11.6
A.11.6.2
A.12.2
A.12.2.4
A.15.1
A.15.1.3
A.8.1
A.8.1.3
A.9.1
reas seguras
A.9.1.2
A.9.1.3
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5
A.8.1
A.8.1.3
A.9.1
reas seguras
A.9.1.2
A.9.1.3
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1.5
269
Manipulacin de
los registros de
actividad (logs)
Reducir el riesgo
Reducir el riesgo
Reducir el riesgo
Utilizacin de
tarjetas para
ingresos no
autorizados
Activacin
deliberada de
botones de
desbloqueo de
emergencia
Procesamiento ilegal
de datos
Acciones no Autorizadas
Activacin
deliberada de
botones del
sistema extintor
Accin
Reducir el riesgo
Evitar el riesgo
Amenazas
Objetivos de Control
Controles
A.8.1
A.8.1.3
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5
A.8.1
A.8.1.3
A.8.3
A.8.3.2
Devolucin de activos
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5
A.8.1
A.8.1.3
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5
A.7.2
Clasificacin de la informacin
A.7.2.1
Lineamientos de clasificacin
A.8.1
A.8.1.2
Seleccin
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.5
Procedimientos y responsabilidades
A.10.1.3 Segregacin de deberes
operacionales
Tabla 4.1: Objetivos de Control y Controles seleccionados para las distintas amenazas (Pgina 16 de 29)
A.10.1
270
Accin
Objetivos de Control
A.10.6
A.10.6.1
Controles de red
A.10.7
Gestin de medios
A.10.7.4
Reducir el riesgo
Evitar el riesgo
Acciones no Autorizadas
Reducir el riesgo
Evitar el riesgo
A.10.10 Monitoreo
Manipulacin de
los registros de
actividad (logs)
Controles
A.11.2
A.11.5
A.11.6
A.11.2.2
Gestin de privilegios
A.11.2.4
A.11.5.2
A.11.6.2
A.12.4.2
A.12.4.3
A.15.1.3
A.15.1.5
A.12.4
A.15.1
A.7.2
Clasificacin de la informacin
A.7.2.1
Lineamientos de clasificacin
A.8.1
A.8.1.2
Seleccin
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.5
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.1.3
Segregacin de deberes
A.10.5
Respaldo (back-up)
A.10.5.1
A.10.7
Gestin de medios
A.10.7.4
271
Tabla 4.1: Objetivos de Control y Controles seleccionados para las distintas amenazas (Pgina 17 de 29)
Objetivos de Control
Eliminacin de
configuracin o
informacin
Utilizacin de
cdigo errneo o
malicioso
Reducir el riesgo
Evitar el riesgo
A.11.2
Reducir el riesgo
Evitar el riesgo
Acciones no Autorizadas
Amenazas
Controles
A.11.2.1
A.11.2.2
Gestin de privilegios
A.11.2.4
A.11.3
A.11.3.2
A.11.5
A.11.5.5
Sesin inactiva
A.12.2
A.12.2.4
A.12.4
A.12.4.2
A.12.4.3
A.15.1.3
A.15.1
A.15.1.5
A.7.1
A.7.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.9.1.6
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.1.3
Segregacin de deberes
A.10.4
A.10.4.1
A.10.8
Intercambio de informacin
A.10.8.4
Mensajes electrnicos
A.12.2
A.12.2.2
A.12.3
Controles criptogrficos
A.12.3.1
A.12.3.2
Gestin de claves
272
Difusin de spam
Utilizacin de
cracks para
falsificar licencias
de software
propietario
Reducir el riesgo
Evitar el riesgo
Reducir el riesgo
Evitar el riesgo
Utilizacin de
cdigo errneo o
malicioso
Accin
Reducir el riesgo
Evitar el riesgo
Acciones no Autorizadas
Amenazas
Objetivos de Control
A.12.5
A.15.1
Controles
A.12.5.3
A.12.5.5
A.15.1.5
A.15.1.6
A.7.1
A.7.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.10.4
A.10.4.1
A.10.8
Intercambio de informacin
A.10.8.4
Mensajes electrnicos
A.12.3
Controles criptogrficos
A.12.3.1
A.12.4
A.12.4.1
A.15.1
A.15.1.5
A.7.1
A.7.1.3
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.10.2
A.10.2.3
A.10.4
A.10.4.2
A.12.2
A.12.2.2
A.12.4
A.12.4.1
A.12.5
A.12.5.3
273
Accin
Objetivos de Control
A.7.1
A.7.1.3
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.2
A.9.2.4
Mantenimiento de equipo
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.1.3
Segregacin de deberes
A.10.4
A.10.4.2
A.11.2
Reducir el riesgo
Transferir el riesgo
Manipulacin de software
Acciones no Autorizadas
A.10.10 Monitoreo
Mala realizacin
de la configuracin
de los servicios
Controles
A.11.4
A.11.2.4
A.11.4.1
A.11.4.3
A.11.4.4
A.11.5
A.11.5.5
Sesin inactiva
A.11.7
A.11.7.2
Tele-trabajo
A.12.2.1
A.12.2.4
A.12.4.1
A.12.4.2
A.12.5.1
A.12.5.2
A.12.5.3
A.12.2
A.12.4
A.12.5
A.15.1.5
274
Accin
Objetivos de Control
A.7.2
Clasificacin de la informacin
A.7.2.1
Lineamientos de clasificacin
A.8.1
A.8.1.3
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.5
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.1.2
Gestin de cambio
A.10.1.3
Segregacin de deberes
A.11.2
Reducir el riesgo
Evitar el riesgo
Manipulacin de software
Acciones no Autorizadas
A.10.10 Monitoreo
Requerimiento comercial para el control del
A.11.1
acceso
Modificacin de la
configuracin de
los equipos y
sistemas del Data
Center
Controles
A.11.3
A.11.4
A.11.5
A.11.7
A.12.4
A.12.5
A.11.2.1
A.11.2.3
A.11.2.4
A.11.3.2
A.11.4.2
A.11.4.4
A.11.4.6
A.11.5.2
A.11.5.3
A.11.5.4
A.11.7.2
Tele-trabajo
A.12.4.1
A.12.4.2
A.12.4.3
A.12.5.1
A.15.1.5
275
Accin
Objetivos de Control
A.7.1
Acciones no Autorizadas
Desconexin
deliberada del
equipo por
personal interno
Modificacin
intencional en el
funcionamiento del
equipo por
personal interno
Reducir el riesgo
Reducir el riesgo
A.9.1
A.9.2
reas seguras
A.10.10 Monitoreo
Controles
A.7.1.3
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.5
A.9.2.1
A.11.2.4
A.12.5.1
A.15.1.5
A.7.1
A.7.1.3
A.8.3
A.8.3.2
Devolucin de activos
A.8.3.3
A.9.1.2
A.9.1
reas seguras
A.9.1.3
A.9.1.5
A.11.2
A.12.5
A.15.1
A.9.2
A.9.2.1
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.1.2
Gestin de cambio
A.10.1.3
Segregacin de deberes
A.10.10 Monitoreo
A.11.2
A.11.2.1
A.12.5
A.12.5.1
A.15.1.5
276
Reducir el riesgo
Error en el uso
Compromiso de Funciones
Desconexin
accidental del
equipo o partes
Accin
Reducir el riesgo
Amenazas
Objetivos de Control
Controles
A.7.1
A.7.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.1.5
A.9.2.1
A.9.2
A.9.2.3
Seguridad en el cableado
A.9.2.4
Mantenimiento de equipo
A.10.1.2
Gestin de cambio
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.10 Monitoreo
A.11.2
A.11.2.1
A.12.5
A.12.5.1
A.15.1
A.15.1.5
A.7.1
A.7.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.1.5
A.9.2
A.9.2.1
A.9.2.4
Mantenimiento de equipo
A.10.7
Gestin de medios
A.10.7.1
A.10.10 Monitoreo
A.11.2
A.11.2.1
A.15.1.5
277
Amenazas
Reducir el riesgo
Transferir el riesgo
Mala
administracin del
servicio por
impericia del
administrador
Mala configuracin
del servicio por
impericia del
administrador
Reducir el
riesgo
Transferir el
riesgo
Error en el uso
Compromiso de Funciones
Objetivos de Control
Controles
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.10.10 Monitoreo
A.11.5
A.11.5.3
A.15.1
A.15.1.5
A.7.1
A.7.1.3
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.9.2
A.9.2.4
Mantenimiento de equipo
A.10.3
A.10.3.2
A.10.6
A.10.6.1
Controles de red
A.11.4.1
A.11.4.3
A.11.4.5
Segregacin en redes
A.11.4.7
A.11.4
A.12.2
A.12.2.1
A.15.1
A.15.1.5
A.7.1
A.7.1.3
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
278
A.9.1
reas seguras
A.9.1.5
Trabajo en reas seguras
Tabla 4.1: Objetivos de Control y Controles seleccionados para las distintas amenazas (Pgina 24 de 29)
Error de monitoreo
de los servicios
por impericia del
personal
Reducir el riesgo
Transferir el riesgo
Mala configuracin
del servicio por
impericia del
administrador
Reducir el riesgo
Transferir el riesgo
Accin
Error en el uso
Compromiso de Funciones
Amenazas
Objetivos de Control
Controles
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.1.2
Gestin de cambio
A.10.1.4
A.10.3
A.10.3.2
A.10.4
A.10.4.2
A.10.10 Monitoreo
A.11.2
A.11.2.1
A.11.4.1
A.11.4.2
A.11.4.4
A.11.4
A.11.5
A.11.5.4
A.11.7
A.11.7.2
Tele-trabajo
A.12.4
A.12.4.1
A.12.5
A.12.5.1
A.15.1
A.15.1.5
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.10.6
A.10.6.1
Controles de red
A.10.6.2
A.12.2
A.12.2.1
A.12.2.4
279
Amenazas
Reducir el riesgo
Reducir el riesgo
Transferir el riesgo
Activacin
accidental de los
botones del
sistema extintor
Activacin
accidental de
botones de
desbloqueo de
emergencia
Borrado accidental
de la informacin
Reducir el
riesgo
Transferir el
riesgo
Error en el uso
Compromiso de Funciones
Activacin
accidental de los
mdulos de
inyeccin de los
tanques de gas
Objetivos de Control
Controles
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5
A.7.2
Clasificacin de la informacin
A.7.2.2
A.8.1
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
Trabajo en reas seguras
Tabla 4.1: Objetivos de Control y Controles seleccionados para las distintas amenazas (Pgina 26 de 29)
280
Reducir el riesgo
Transferir el riesgo
Borrado accidental
de la informacin
Reducir el riesgo
Transferir el riesgo
Accin
Ausencia
accidental o
intencional del
puesto de trabajo
Ingreso de
personal no
autorizado a reas
especificas
Reducir el riesgo
Indisponibilidad del
personal
Suplantacin de identidad
Compromiso de Funciones
Error en el uso
Amenazas
Objetivos de Control
Controles
A.10.5
Respaldo (back-up)
A.10.5.1
A.10.7
Gestin de medios
A.10.7.4
A.12.4.2
A.15.1
A.15.1.3
A.8.1.2
Seleccin
A.8.1
A.8.2
Durante el empleo
A.8.2.2
A.15.1
A.15.1.5
A.8.1
A.8.1.3
A.8.3
A.8.3.2
Devolucin de activos
A.8.3.3
A.9.1
reas seguras
A.9.1.2
A.9.1.3
A.9.2
A.9.2.1
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.1.3
Segregacin de deberes
A.10.10 Monitoreo
281
Ingreso de
personal no
autorizado a los
sistemas
Reducir el riesgo
Abuso de
privilegios de
acceso fsicos y
lgicos
Controles
A.7.2
Clasificacin de la informacin
A.7.2.1
Lineamientos de clasificacin
A.8.3
A.8.3.3
A.10.1
Procedimientos y responsabilidades
operacionales
A.10.1.3
Segregacin de deberes
A.10.10 Monitoreo
Reducir el riesgo
Transferir el riesgo
Suplantacin de identidad
Accin
A.11.1
A.11.1.1
A.11.2
A.11.2.4
A.11.4.2
A.11.4.6
A.11.5.1
A.11.5.2
A.11.5.3
A.11.5.5
Sesin inactiva
A.11.4
A.11.5
Abuso de derechos
Compromiso de Funciones
Amenazas
A.11.7
A.11.7.1
A.12.4
A.12.4.3
A.6.1
Organizacin interna
A.6.1.5
Acuerdos de confidencialidad
A.7.2
Clasificacin de la informacin
A.7.2.1
Lineamientos de clasificacin
A.8.1
A.8.1.2
Seleccin
A.8.2
Durante el empleo
A.8.2.2
A.8.3
A.8.3.2
Devolucin de activos
A.8.3.3
A.9.1.2
A.9.1.3
A.9.1
reas seguras
282
A.9.1.6
reas de acceso pblico, entrega y carga
Tabla 4.1: Objetivos de Control y Controles seleccionados para las distintas amenazas (Pgina 28 de 29)
Reducir el riesgo
Reducir el riesgo
Transferir el riesgo
Reducir el riesgo
Reducir el riesgo
Transferir el
riesgo
Abuso de derechos
Ocupacin enemiga
Deficiencia en la
organizacin
Extorsin
Compromiso de Funciones
283
284
Poltica de seguridad
de informacin
Controles
A.5.1.1
A.5.1.2
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1
Organizacin interna
A.6.1.4
A.6.1.6
A.6.1.7
A.6.1.8
A.8.1
Responsabilidad por
los activos
Antes del empleo
A.8.2
Durante el empleo
A.7.1
A.8.3
A.10.1
A.10.10
Terminacin o
cambio del empleo
Procedimientos y
responsabilidades
operacionales
Monitoreo
Requerimientos de
A.12.1
seguridad de los
sistemas
Gestin de
A.12.6
vulnerabilidad tcnica
Reporte de eventos y
debilidades en la
A.13.1
seguridad de la
informacin
Gestin de incidentes
y mejoras en la
A.13.2
seguridad de la
informacin
A.7.1.2
A.8.1.1
Roles y responsabilidades
A.8.2.1
Gestin de responsabilidades
A.8.2.3
Proceso disciplinario
A.8.3.1
Responsabilidades de terminacin
A.10.1.1
A.10.10.1
Registro de auditora
A.10.10.2
A.10.10.5
Registro de fallas
A.10.10.6
Sincronizacin de relojes
A.12.1.1
A.12.6.1
A.13.1.1
A.13.1.2
A.13.2.1
Responsabilidades y procedimientos
Aprendizaje de los incidentes en la seguridad de la
informacin
Recoleccin de evidencia
Incluir seguridad de la informacin en el proceso de
gestin de continuidad comercial
Continuidad comercial y evaluacin del riesgo
Desarrollar e implementar planes de continuidad
incluyendo seguridad de la informacin
Marco referencial para la planeacin de la continuidad
comercial
Prueba, mantenimiento y re-evaluacin de planes de
continuidad comerciales
A.13.2.2
A.13.2.3
A.14.1.1
A.14.1
Aspectos de
seguridad de la
informacin de
gestin de la
continuidad
comercial
A.14.1.2
A.14.1.3
A.14.1.4
A.14.1.5
285
Controles
A.15.1.1
A.15.2.1
A.15.2.2
A.15.3.1
A.15.3.2
La Tabla 4.3 muestra los controles seleccionados y las razones para su seleccin,
tambin se registra la exclusin de controles que estn fuera del alcance del SGSI
de la Organizacin.
Objetivos de Control
A.5.1
Poltica de seguridad de
informacin
A.5.1.1
A.5.1.2
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1
Organizacin interna
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7
A.6.1.8
A.6.2.1
A.6.2
Entidades externas
A.6.2.2
A.6.2.3
A.7.1.1
A.7.1
A.7.1.2
A.7.1.3
A.7.2
Clasificacin de la
informacin
A.7.2.1
A.7.2.2
286
ENUNCIADO DE APLICABILIDAD
Controles Seleccionados
Controles
Justificacin de Aplicabilidad
Documentar poltica de seguridad de
Es necesario establecer un documento que contenga las polticas del
informacin
SGSI.
Revisin de la poltica de seguridad de la Deben establecerse revisiones peridicas de la poltica de seguridad de la
informacin
informacin para mantenerla actualizada.
Compromiso de la gerencia con la
La gerencia debe apoyar y proporcionar los recursos necesarios para la
seguridad de la informacin
implementacin de las polticas de seguridad.
Coordinacin de la seguridad de
Existe la necesidad de establecer un Comit de Seguridad de la
informacin
Informacin para ejercer el control correspondiente.
Asignacin de responsabilidades de la
Es necesario dividir las funciones concernientes a seguridad entre el
seguridad de la informacin
personal del Data Center para optimizar los objetivos.
Proceso de autorizacin para los medios
Los nuevos equipamientos deben ser revisados con el fin de cumplir los
de procesamiento de informacin
requerimientos de seguridad.
El personal del Data Center y el personal externo deben firmar un
Acuerdos de confidencialidad
acuerdo de confidencialidad para el trato de informacin sensible.
Contacto con autoridades
Con el fin de definir los responsables del escalamiento de incidencias.
Se debe mantener actualizado y capacitado al personal sobre la
Contacto con grupos de inters especial
seguridad informtica.
Revisin independiente de la seguridad de Necesidad de revisar la poltica de seguridad mediante auditoras
la informacin
externas imparciales.
Identificacin de riesgos relacionados con Se debe planificar previamente los riesgos implicados al tratar con
entidades externas
personal externo al Data Center.
Tratamiento de la seguridad cuando se
Verificar insumos y actividades de los clientes y validar accesos de los
trabaja con clientes
mismos a las instalaciones y servicios del Data Center.
Tratamiento de la seguridad en contratos La Poltica de Seguridad del Data Center debe estar incluida en los
con terceras personas
contratos con personal externo.
El Data Center debe conocer los activos que posee para garantizar su
Inventarios de activos
seguridad. Los inventarios son requisitos para el Anlisis de Riesgos.
Es necesario distribuir las responsabilidades de control de los activos
Propiedad de los activos
entre el personal del Data Center.
Deben establecerse polticas para el uso correcto del equipamiento, con
Uso aceptable de los activos
el fin de evitar posibles incidentes.
Clasificar la informacin usada en el Data Center para manejar los
Lineamientos de clasificacin
privilegios de usuario adecuados.
Debe disponerse de etiquetado de la informacin y de los activos del Data
Etiquetado y manejo de la informacin
Center para su rpida identificacin.
Tabla 4.3: Enunciado de Aplicabilidad (Pgina 1 de 8)
Objetivos de Control
A.8.1.1
A.8.1
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2
Durante el empleo
A.8.2.2
A.8.2.3
A.8.3.1
A.8.3
Terminacin o cambio
del empleo
A.8.3.2
A.8.3.3
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1
reas seguras
A.9.1.4
A.9.1.5
287
ENUNCIADO DE APLICABILIDAD
Controles Seleccionados
Controles
Justificacin de Aplicabilidad
Establecer todas las responsabilidades, lmites y actividades de los
Roles y responsabilidades
empleados y de personal externo antes de su contratacin.
Establecer controles previos a la seleccin de personal para impedir la
Seleccin
inclusin de personal nocivo al Data Center. Es necesario verificar los
antecedentes personales para evitar futuros riesgos.
Establecer las condiciones de empleo de los diferentes cargos del Data
Trminos y condiciones de empleo
Center relativos a la seguridad de la informacin, para garantizar su
integridad.
Deben instituirse las responsabilidades de la gerencia sobre la seguridad
Gestin de responsabilidades
del Data Center.
Capacitar al personal para evitar daos accidentales, errores en el uso o
Capacitacin y educacin en seguridad de
mantenimiento de los equipos. Educar al personal sobre las polticas de
la informacin
seguridad y normas sobre la confidencialidad de la informacin.
Establecer procesos de penalizacin acorde a los estatutos de la
Proceso disciplinario
empresa, regulaciones o leyes relacionadas.
Establecer procesos acorde a la ley para la terminacin del empleo o
Responsabilidades de terminacin
cambio de responsabilidades.
Establecer procedimientos para la devolucin de los activos e informacin
Devolucin de activos
del personal al trmino de su empleo.
Establecer polticas de control de acceso para la guardiana, aplicables al
personal que haya terminado su contrato. Establecer polticas de
Eliminacin de derechos de acceso
desactivacin de tarjetas para el ingreso al Data Center. Establecer
polticas para eliminacin de accesos a los sistemas de informacin.
Es necesario establecer controles perimetrales para garantizar la
Permetro de seguridad fsica
seguridad de la informacin.
Es necesario establecer una poltica de acceso fsico a las instalaciones
Controles de entrada fsicos
del Data Center.
Seguridad de oficinas, habitaciones y
Los activos importantes del Data Center deben estar resguardados en
medios
reas restringidas.
Se debe contar con una infraestructura de soporte y respaldos para
Proteccin contra amenazas externas y
diferentes tipos de amenazas. Los activos del Data Center deben
ambientales
disponer de protecciones para desastres naturales e incidentes
provocados por personal externo.
El personal interno y externo del Data Center debe cumplir lineamientos
Trabajo en reas seguras
especficos para trabajar en reas restringidas.
Tabla 4.3: Enunciado de Aplicabilidad (Pgina 2 de 8)
Objetivos de Control
A.9.1
reas seguras
A.9.1.6
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2
A.10.1
Procedimientos y
responsabilidades
operacionales
A.10.1.2
A.10.1.3
A.10.1.4
A.10.2.1
A.10.2
Gestin de la entrega
del servicio de terceros
A.10.2.2
A.10.2.3
ENUNCIADO DE APLICABILIDAD
Controles Seleccionados
Controles
Justificacin de Aplicabilidad
Implementar controles sobre las actividades que se realizan en las reas
reas de acceso pblico, entrega y carga
de Pruebas, Recepcin y Ensamblaje.
Es necesario establecer polticas para proteger los activos de todas las
Ubicacin y proteccin del equipo
reas.
Establecer acciones en caso de prdida de suministros y servicios
Servicios pblicos
pblicos. Verificar los tiempos de respaldo de bateras.
Establecer procedimientos para los trabajos en el cableado estructurado.
Establecer controles para evitar el acceso a la informacin interceptando
Seguridad en el cableado
el cableado. Establecer polticas para evitar la desconexin de equipos
del cableado estructurado.
Todos los equipos deben someterse a mantenimientos peridicos para
Mantenimiento de equipo
garantizar su funcionamiento. Establecer procedimientos para un
mantenimiento adecuado, sin errores de ejecucin.
Establecer polticas que garanticen la confidencialidad, cuando equipos
Seguridad del equipo fuera del local
con informacin salgan de las instalaciones del Data Center.
Establecer polticas para la eliminacin o re-uso de los equipos que
Eliminacin segura o re-uso del equipo
contengan informacin.
El personal del Data Center necesita conocer y autorizar la salida de
Traslado de Propiedad
equipamiento del Data Center.
Procedimientos de operacin
Establecer documentos de procedimientos operacionales para garantizar
documentados
el buen manejo de los equipos.
Garantizar que los cambios que se realicen sobre los servicios y equipos
Gestin de cambio
cumplan un adecuado proceso.
Evitar que las tareas y responsabilidades del manejo de los sistemas
Segregacin de deberes
sean asumidas por una sola persona.
Separacin de los medios de desarrollo y Deben establecerse polticas sobre la operacin de equipos,
operacionales
configuraciones y servicios de prueba.
El personal externo debe garantizar la seguridad en los servicios que
Entrega del servicio
brinda al Data Center.
Verificar la ejecucin y conclusin de trabajos del personal externo para
Monitoreo y revisin de los servicios de
evitar fallas de mantenimiento. Monitorear las prdidas de los servicios y
terceros
suministros externos.
Manejar los cambios en los servicios de
Establecer procedimientos para efectuar cambios en los servicios
terceros
contratados con terceros.
Tabla 4.3: Enunciado de Aplicabilidad (Pgina 3 de 8)
288
ENUNCIADO DE APLICABILIDAD
Controles Seleccionados
Objetivos de Control
Controles
Justificacin de Aplicabilidad
Dimensionar la capacidad de los sistemas para garantizar la continuidad
A.10.3.1 Gestin de capacidad
de los servicios.
Planeacin y aceptacin
A.10.3
del sistema
La implementacin de nuevos sistemas debe ser aprobada por los
A.10.3.2 Aceptacin del sistema
responsables de la seguridad.
Establecer controles contra software que resulte daino para la
A.10.4.1 Controles contra software malicioso
Proteccin contra
informacin del Data Center.
A.10.4
software malicioso y
Establecer polticas relacionadas con software y configuraciones de gran
cdigo mvil
A.10.4.2 Controles contra cdigos mviles
difusin dentro del Data Center.
A.10.5
Respaldo (backup)
A.10.5.1 Backup o respaldo de la informacin
Establecer polticas sobre respaldos de la informacin interna y externa.
Implementar controles de proteccin de la red y de los sistemas
A.10.6.1 Controles de red
respectivos.
Gestin de seguridad de
A.10.6
redes
Identificar las protecciones que aseguran la eficacia de los servicios de
A.10.6.2 Seguridad de los servicios de red
red.
Garantizar la seguridad de la informacin contenida en medios
A.10.7.1 Gestin de los medios removibles
removibles.
Evitar que la informacin quede almacenada en medios que han sido
A.10.7.2 Eliminacin de medios
desechados.
A.10.7
Gestin de medios
Procedimientos de manejo de la
El manejo de la informacin debe ser tratada de conformidad con su
A.10.7.3
informacin
respectiva clasificacin.
Evitar que la documentacin confidencial est accesible a personal no
A.10.7.4 Seguridad de documentacin del sistema
autorizado.
Procedimientos y polticas de informacin Establecer mecanismos para garantizar la seguridad en el intercambio de
A.10.8.1
y software
informacin.
A.10.8.2 Acuerdos de intercambio
Es imperativo disponer de acuerdos para el intercambio de la informacin.
Intercambio de
A.10.8
Los equipos que se trasladan fuera de las instalaciones deben estar
informacin
A.10.8.3 Medios fsicos en trnsito
protegidos contra cualquier riesgo.
El uso de mensajes electrnicos en el Data Center debe estar regulado y
A.10.8.4 Mensajes electrnicos
documentado.
Las actividades relacionadas con la seguridad en el Data Center deben
A.10.10.1 Registro de auditora
ser registradas para facilitar las tareas de auditora.
Es necesario implementar lineamientos adecuados para el monitoreo de
A.10.10
Monitoreo
A.10.10.2 Uso del sistema de monitoreo
los distintos sistemas.
Deben tomarse las medidas pertinentes para proteger la informacin de
A.10.10.3 Proteccin de la informacin del registro
los registros.
Tabla 4.3: Enunciado de Aplicabilidad (Pgina 4 de 8)
289
Objetivos de Control
A.10.10
Monitoreo
A.11.1
Requerimiento
comercial para el control
del acceso
A.11.2
ENUNCIADO DE APLICABILIDAD
Controles Seleccionados
Controles
Justificacin de Aplicabilidad
Establecer controles de monitoreo para identificar al personal que ingresa
a las dependencias del Data Center, para evitar incidentes o procurar
A.10.10.4 Registros del administrador y operador
auxilio en caso de siniestros. Determinar lineamientos para el monitoreo
de los accesos lgicos a los sistemas de informacin.
Establecer normas para el registro de fallas que ocurran y dar el
A.10.10.5 Registro de fallas
seguimiento para los correctivos.
Todos los sistemas deben estar sincronizados para evitar incoherencia en
A.10.10.6 Sincronizacin de relojes
los datos.
A.11.1.1
A.11.2.1
A.11.2.2
A.11.2.3
A.11.2.4
A.11.3.1
A.11.3
Responsabilidades del
usuario
A.11.3.2
A.11.3.3
A.11.4.1
A.11.4.2
A.11.4.3
A.11.4
Control de acceso a
redes
A.11.4.4
A.11.4.5
A.11.4.6
A.11.4.7
290
Objetivos de Control
A.11.5.1
A.11.5.2
A.11.5
Control de acceso al
sistema de operacin
A.11.5.3
A.11.5.4
A.11.5.5
A.11.5.6
A.11.6
A.11.7
A.12.1
A.12.2
Control de acceso a la
aplicacin e informacin
Computacin mvil y
tele-trabajo
Requerimientos de
seguridad de los
sistemas
Procesamiento correcto
en las aplicaciones
A.11.6.1
A.11.6.2
A.11.7.1
A.11.7.2
A.12.1.1
A.12.2.1
A.12.2.2
A.12.2.3
A.12.2.4
A.12.3.1
A.12.3
ENUNCIADO DE APLICABILIDAD
Controles Seleccionados
Controles
Justificacin de Aplicabilidad
Evitar que los sistemas de control de acceso faciliten informacin que
Procedimientos de registro en el terminal
permita ingresos no autorizados a los sistemas de informacin.
Determinar normas para que el personal que ingresa a las dependencias
del Data Center disponga de una identificacin nica registrada en el
Identificacin y autenticacin del usuario
sistema. Establecer procedimientos para la identificacin del personal que
acceda a la configuracin de los equipos.
Sistema de gestin de claves
Establecer un sistema que controle el uso de las claves de usuarios.
Controlar los accesos a los programas utilitarios de los sistemas
Uso de utilidades del sistema
operativos.
Implementar cierres de sesin cuando los equipos estn inactivos durante
Sesin inactiva
un cierto tiempo.
Establecer controles que impongan un tiempo prudente para la conexin
Limitacin de tiempo de conexin
para evitar ataques por denegacin de servicio.
Establecer controles para que el personal solamente tenga acceso a la
Restriccin al acceso a la informacin
informacin que requiere.
Los elementos crticos de hardware y software deben estar ubicados y
Aislamiento del sistema sensible
aislados en ambientes propios e independientes.
Establecer protecciones para las tareas con dispositivos mviles
Computacin mvil y comunicaciones
conectados a la red del Data Center.
Las conexiones desde medios remotos a la red del Data Center deben
Tele-trabajo
realizarse con medidas que garanticen la proteccin de la comunicacin.
Controles criptogrficos
A.12.3.2
291
Objetivos de Control
A.12.4.1
A.12.4
Seguridad de los
archivos del sistema
A.12.4.2
A.12.4.3
A.12.5.1
A.12.5.2
A.12.5
Seguridad en los
procesos de desarrollo y
soporte
A.12.5.3
A.12.5.4
A.12.5.5
A.12.6
A.13.1
Gestin de
vulnerabilidad tcnica
Reporte de eventos y
debilidades en la
seguridad de la
informacin
A.12.6.1
A.13.1.1
A.13.1.2
A.13.2.1
A.13.2
Gestin de incidentes y
mejoras en la seguridad
de la informacin
A.13.2.2
A.13.2.3
A.14.1
Aspectos de la
seguridad de la
informacin de la
gestin de la
continuidad comercial
A.14.1.1
A.14.1.2
A.14.1.3
292
ENUNCIADO DE APLICABILIDAD
Controles Seleccionados
Controles
Justificacin de Aplicabilidad
Control de software operacional
La instalacin de software debe ser gestionada, controlada y autorizada.
Proteccin de la data de prueba del
Debe existir un control para el tratamiento de los datos de prueba.
sistema
Control de acceso al cdigo fuente del
Deben determinarse polticas y controles para acceder al cdigo fuente y
programa
a las configuraciones de los servicios y equipos.
Instituir controles y procedimientos para el cambio de equipos y
Procedimientos de control de cambio
configuraciones.
Revisin tcnica de las aplicaciones
Verificar la estabilidad y compatibilidad de los cambios realizados con el
despus de cambios en el sistema
resto de sistemas.
operativo
Restricciones sobre los cambios en los
Establecer lmites para los cambios de software del equipamiento.
paquetes de software
Aprobar acciones que eviten la fuga de informacin, por error del personal
Filtracin de informacin
o por fallas de configuracin o software (trap-doors).
El software desarrollado por terceros debe respaldarse con un contrato
Desarrollo de outsourced software
que certifique la calidad del mismo.
Instituir procedimientos para la identificacin, notificacin y evaluacin de
Control de vulnerabilidades tcnicas
las vulnerabilidades de los subsistemas del Data Center.
Reporte de eventos en la seguridad de la Instruir al personal sobre los procedimientos para el reporte de incidentes
informacin
de seguridad.
Requerir al personal que identifique y notifique vulnerabilidades de
Reporte de debilidades en la seguridad
seguridad que ataen a los sistemas.
Establecer lneas de responsabilidades y procedimientos para los fallos
Responsabilidades y procedimientos
de seguridad y su consecuente solucin.
Aprendizaje de los incidentes en la
Es necesario cuantificar los impactos sobre los procesos del Data Center
seguridad de la informacin
para la obtencin de estadsticas.
Obtener indicios fehacientes para su anlisis y la toma decisiones para
Recoleccin de evidencia
mejorar la seguridad.
Incluir seguridad de la informacin en el
Es necesario un plan de continuidad para evitar interrupciones en las
proceso de gestin de continuidad
actividades del Data Center.
comercial
Continuidad comercial y evaluacin del
Es necesario analizar y evaluar los riesgos para implementar un plan de
riesgo
continuidad.
Desarrollar e implementar planes de
Establecer planes de continuidad para recuperar la disponibilidad, en
continuidad incluyendo seguridad de la
caso de incidentes de seguridad.
informacin
Tabla 4.3: Enunciado de Aplicabilidad (Pgina 7 de 8)
Objetivos de Control
Aspectos de la
seguridad de la
A.14.1
informacin de la
gestin de la
continuidad comercial
A.15.1
Cumplimiento con
requerimientos legales
A.14.1.4
A.14.1.5
Prueba, mantenimiento y re-evaluacin de Establecer pruebas y evaluaciones de los planes de continuidad para
planes de continuidad comerciales
comprobar su eficacia ante un evento real.
A.15.1.1
A.15.1.2
A.15.1.3
A.15.1.4
A.15.1.5
A.15.2
A.15.3
Cumplimiento con
polticas y estndares
de seguridad y
Cumplimiento tcnico
Consideraciones de
auditora de los sistema
de informacin
ENUNCIADO DE APLICABILIDAD
Controles Seleccionados
Controles
Justificacin de Aplicabilidad
Marco referencial para la planeacin de la Se requiere un marco general para establecer los distintos planes de
continuidad comercial
continuidad.
A.15.1.6
A.15.2.1
A.15.2.2
A.15.3.1
A.15.3.2
Objetivos de Control
A.10.8
Intercambio de
informacin
A.10.8.5
A.10.9
Servicios de Comercio
Electrnico
A.10.9.1
A.10.9.2
A.10.9.3
293
294
2. Organizacin
de
la
Seguridad
de
la
Informacin:
C-POL-SEG-
295
11. Cumplimiento:
Pginas)
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
(19
296
TABLA DE CONTENIDO
Generalidades .........................................................................................................................
Objetivos .................................................................................................................................
Alcance ....................................................................................................................................
Responsabilidades .................................................................................................................
Exposicin de la Poltica ........................................................................................................
2
2
3
3
7
Sanciones................................................................................................................................
Historial de Modificaciones ....................................................................................................
9
9
297
POLTICA DE SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Poltica de Seguridad-01-1.0- 2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Generalidades
El Data Center Tier III necesita una Poltica de Seguridad de la Informacin que
permita minimizar los riesgos de la informacin, reduzca los costos operativos y
financieros, garantice el cumplimiento de requerimientos legales, regulatorios y de
negocio vigentes y se convierta en un instrumento de concienciacin sobre la
importancia de la informacin y los servicios que presta.
Objetivos
298
POLTICA DE SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Poltica de Seguridad-01-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Esta Poltica se aplica a todos los procesos y procedimientos que se llevan a cabo
en el Data Center, sean internos o estn vinculados con entidades externas, a
travs de contratos o acuerdos con terceros; as como sus activos y personal que
interviene en el desarrollo de los mismos.
Responsabilidades
299
POLTICA DE SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Poltica de Seguridad-01-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Manos
Remotas
Soporte
Monitoreo
NOC
Administracin
de
Infraestructura
Mecnica
Administracin de
Storage y Backup
Administracin de
Servidores y
Virtualizaciones
Administracin de
Networking
Administracin
de
Infraestructura
Elctrica
Administracin
del Sistema
Contra
Incendios
CONTRATACIN
LABORAL
DEPARTAMENTO
DE RECURSOS
HUMANOS
CLIENTES
DEPARTAMENTO
DE VENTAS
GERENCIA
COMERCIAL DE
LA EMPRESA
Figura 4.2: Relacin entre la Estructura Organizacional del Data Center y sus funciones de seguridad
Servicio de
guardiana
privada
Administracin
de Control de
Acceso
JEFATURA DE TI
GERENCIA
GENERAL DE LA
EMPRESA
PRESIDENCIA
EJECUTIVA
JEFATURA DE
INFRAESTRUCTURA
JEFATURA GENERAL
DEL DATA CENTER
Responsable
de la Seguridad
GERENCIA TCNICA
DE LA EMPRESA
Direccin
ENTIDAD
AUDITORA
DEPARTAMENTO
JURDICO
300
301
POLTICA DE SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Poltica de Seguridad-01-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
302
POLTICA DE SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Poltica de Seguridad-01-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los Propietarios de los Activos son los responsables del uso, mantenimiento,
clasificacin, valoracin, seguridad y estado de los activos; garantizarn el
correcto funcionamiento de los sistemas, segn sus funciones y competencia;
supervisarn todos los trabajos o mantenimientos que se den en el Data Center;
implementarn
los
cambios
en
los
sistemas,
evaluarn
los
impactos
303
POLTICA DE SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Poltica de Seguridad-01-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Exposicin de la Poltica
Gestin de Activos
Poltica que se enfoca en la proteccin de los activos del Data Center, a travs de
la asignacin de Propietarios y la clasificacin de acuerdo a su criticidad.
304
POLTICA DE SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Poltica de Seguridad-01-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Control de Acceso
Poltica enfocada a la gestin del control de acceso lgico hacia los diferentes
sistemas de informacin del Data Center.
305
POLTICA DE SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Poltica de Seguridad-01-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Cumplimiento
Historial de Modificaciones
Fecha
Versin
Creado por
Descripcin de la modificacin
306
POLTICA DE SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Poltica de Seguridad-01-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
307
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
Organizacin Interna .....................................................................................................
Grupos o Personas Externas.........................................................................................
2
2
3
3
4
4
11
308
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 2 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Generalidades
Muchas de las actividades del Data Center estn relacionadas con el intercambio
de informacin con personal externo, ya sea por tercerizacin de actividades de
procesamiento de informacin o por obtencin de un producto o servicio. En estos
casos la seguridad de la informacin puede estar comprometida, siendo necesaria
la implementacin de controles y acuerdos de proteccin con los grupos externos.
Objetivos
309
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 3 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Alcance
Esta Poltica se aplica a todos los recursos del Data Center y a todas sus
relaciones con terceros, que impliquen el acceso a sus datos, recursos y/o a la
administracin y control de sus sistemas de informacin.
Responsabilidades
310
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 3 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los Propietarios de los Activos76 son los responsables del uso, mantenimiento,
clasificacin, valoracin, seguridad y estado de los equipos; realizarn un anlisis
de compatibilidad y riesgos para los nuevos recursos de hardware o software para
el procesamiento de informacin; definirn las medidas de seguridad fsica y
ambiental para el resguardo de los activos crticos; supervisarn todos los
trabajos o mantenimientos que se den en el Data Center; elaborarn los planes
necesarios para la continuidad de las actividades del Organismo.
76
El trmino propietario identifica una persona o entidad que cuenta con la responsabilidad
gerencial aprobada de controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los
activos. El trmino propietario no significa que la persona en realidad tenga algn derecho de
propiedad sobre el activo.
311
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 5 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
312
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 5 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
incluyendo
el
anlisis
de
incidentes
detectados
sus
recomendaciones.
Realizar un anlisis de factibilidad de la aplicacin de controles y coordinar
la implementacin de los mismos.
Analizar las causas de una infraccin de seguridad antes de iniciar el
proceso disciplinario.
Proponer una entidad auditora para la revisin de la vigencia e
implementacin de las Polticas de Seguridad de la Informacin.
El Jefe General del Data Center coordinar las actividades del Comit de
Seguridad de la Informacin. Entre sus funciones se mencionan las siguientes:
313
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 7 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
las funciones y
314
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 8 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Cada vez que se incorporen nuevos sistemas al Data Center, debe realizarse un
Anlisis de Riesgos, en cuya matriz, se incluirn los nuevos elementos. Esta tarea
la desempear el Responsable de la Seguridad.
Todos los empleados del Data Center y personal externo deben firmar un acuerdo
de confidencialidad para preservar la informacin sensible de la Organizacin y de
los clientes.
Este acuerdo, que estar sujeto a revisiones peridicas, contendr los siguientes
aspectos:
315
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 9 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
acuerdos,
servicios,
claves
contraseas
de
acceso,
Las partes se obligan a entregarse todo el material que sea necesario para
el cumplimiento de sus tareas, y si se trata de material confidencial, deben
comprometerse a:
o Utilizar dicha informacin de forma reservada.
o No divulgar ni comunicar la informacin tcnica facilitada por la otra
parte.
o Impedir la copia o revelacin de la informacin a terceros, salvo que
tengan la aprobacin escrita de la otra parte, y nicamente en los
trminos que consten en la aprobacin.
o Autorizar el acceso a la informacin a sus empleados y
subcontratados, en la medida en que razonablemente puedan
necesitarla para el cumplimiento de sus tareas acordadas.
316
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 9 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
1. Administradores.
2. Jefaturas de Infraestructura y TI.
3. Jefatura General del Data Center (Responsable de la Seguridad).
4. Gerencia Tcnica.
5. Gerencia General.
6. Presidencia Ejecutiva.
317
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 10 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
para recibir capacitaciones, las mismas que debern realizarse al menos una vez
cada 6 meses, contando con la autorizacin y el apoyo de la Direccin.
318
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 11 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
319
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 12 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
320
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 13 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los contratos y acuerdos entre entidades externas y el Data Center para cualquier
tipo de transaccin, deben cumplir con los siguientes requerimientos de
seguridad:
321
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 14 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
322
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
2
2
3
3
4
4
14
323
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Generalidades
Los varios tipos de activos que se manejan en el Data Center, deben ser
conocidos e inventariados por los Propietarios de los mismos para su correcto uso
y proteccin.
Dentro de estos activos se deben mencionar: servicios, procesos del Data Center,
activos de software, activos de infraestructura de soporte, activos de red, activos
de informacin y recurso humano.
Identificar los activos con que cuenta el Data Center para asegurar su
proteccin.
Asignar un Propietario a cada activo del Data Center, quien establecer los
controles para su seguridad.
324
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Alcance
Esta Poltica se aplica a todo tipo de activo que se administra en el Data Center,
incluyendo el recurso humano.
Responsabilidades
325
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 4 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Exposicin de la Poltica
La valoracin del activo es parte esencial del Anlisis de Riesgos, la cual afecta
de forma directa a los resultados de nivel de riesgo y, consecuentemente, a la
proteccin necesaria. Un activo con un nivel de importancia bajo tendr un nivel
de proteccin bajo, en tanto que un activo critico tendr una proteccin elevada.
Todos los activos debern estar almacenados en una base de datos o CMDB 77
326
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los Propietarios de los Activos son los encargados de velar por el uso,
mantenimiento, desarrollo y seguridad de los activos del Data Center. Tambin se
encargarn de desarrollar, mantener y actualizar el inventario de activos y, a la
vez, verificar el tipo de informacin que reside en los mismos, para aplicar
medidas de control y seguridad en conjunto con el Responsable de la Seguridad.
Todo el personal vinculado con las operaciones del Data Center tendr que seguir
ciertos lineamientos para el uso adecuado de la informacin y de los recursos que
la soportan.
77
CMDB o Base de Datos de la Gestin de Configuracin: es una base de datos que contiene una
coleccin de activos de TI y la relacin entre ellos.
327
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
328
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Correo electrnico
329
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
330
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Mensajera Instantnea
331
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las restricciones existentes para el acceso a Internet son importantes por cuanto
la convergencia de aplicaciones y redes sociales estn vigentes en todos los
mbitos culturales, y es un medio extremadamente sensible a intrusiones y
ataques.
Para
proteger
el
acceso
Internet
debern
cumplirse
las
siguientes
recomendaciones:
332
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Aplicaciones
333
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 11 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los equipos de red por ningn motivo sern utilizados con fines personales
o didcticos; para este fin se dispone del rea de pruebas y los equipos
que le corresponden.
334
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 12 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Recursos computacionales
Para el uso correcto de los recursos computacionales dentro del Data Center
debe tomarse en cuenta lo siguiente:
335
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 13 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
336
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 14 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Cada activo debe ser clasificado con base en la funcin que desempea, su valor
y las posibles consecuencias de la prdida de confidencialidad, integridad y
disponibilidad.
de
forma
semestral.
337
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 15 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los activos fsicos contarn con etiquetas impresas, las cuales estarn adheridas
a los equipos y contendrn la siguiente informacin: Nombre de la empresa (Data
Center o Cliente) y nombre del activo, en concordancia con el cdigo del
inventario.
338
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 16 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
o PROC: Procedimientos
o DOC: Documentos
o MAN: Manuales
o FOR: Formularios
339
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-01
Fecha de la versin:
Versin:
Pgina 17 de 17
Elaborado por
________________________
Responsable de la Seguridad
Revisado por
________________________________
Representante del Comit de Seguridad
Aprobado por
_____________________
Gerencia del Data Center
340
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
2
2
3
3
4
4
9
12
341
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Generalidades
Objetivos
342
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Alcance
343
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 4 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
344
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Se
indicarn
las
responsabilidades
para
la
implementacin
divulgacin,
modificacin,
destruccin
interferencia
no
autorizada.
345
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
346
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todo personal, interno o externo, que maneje informacin del Data Center debe
firmar un Acuerdo de Confidencialidad, antes de obtener acceso a la misma. La
copia firmada del Compromiso deber ser archivada en forma segura por el
Departamento de Recursos Humanos.
347
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los empleados deben seleccionar una contrasea robusta, que no tenga relacin
obvia con el usuario, adems de proteger las contraseas suministradas, evitando
su divulgacin o revelacin por otros de forma inadvertida.
Cada usuario tendr una tarjeta inteligente individual que lo identificar de manera
nica en el sistema de control de acceso, razn por la cual se encuentra prohibido
el prstamo de tarjetas.
El Data Center almacena y procesa informacin sobre los clientes y otros datos
relacionados con propsitos administrativos y comerciales. Cuando se maneja tal
informacin, el Data Center debe proteger los datos segn los acuerdos de
confidencialidad con la data de los clientes y normas de proteccin de informacin
personal.
348
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
349
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
de
seguridad
del
Data
Center.
Existirn
capacitaciones
350
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Para los empleados que violen la Poltica de Seguridad de la Informacin del Data
Center, se seguir el proceso disciplinario formal contemplado en las normas
estatutarias, legislativas o penales. Dicho proceso tendr los siguientes
lineamientos:
351
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 12 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
352
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 13 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Cuando el personal termine su contrato con el Data Center, deber devolver todos
los documentos que contengan informacin de la empresa, dispositivos de
almacenamiento entregados por la empresa, tarjetas de proximidad y toda
documentacin que identifique al implicado como miembro de la empresa.
353
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 14 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
354
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 15 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
355
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
4
5
5
16
3
4
356
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Generalidades
Todos los activos del Data Center son susceptibles de daos ocasionados por mal
uso o por fallas en los trabajos de mantenimiento. En circunstancias en que el
personal interno no pueda realizar algunas tareas de mantenimiento, se
efectuarn traslados fuera de las reas protegidas del Organismo para su
revisin. Estos procesos deben ejecutarse bajo estrictas normas de seguridad y
de preservacin de la informacin almacenada en los mismos.
357
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Objetivos
Instituir
controles
para
evitar
accesos
no
autorizados,
daos
Establecer las normas para el permetro de seguridad del Data Center con
controles fsicos de entrada a las instalaciones.
358
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 4 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Alcance
Responsabilidades
Los Propietarios de los Activos llevarn un registro de los activos que hayan sido
retirados.
359
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todo el personal del Data Center ser responsable del cumplimiento de las
normas de control de acceso fsico.
Exposicin de la Poltica
El edificio del Data Center dispone de un cerramiento que brinda una proteccin
inicial, con paredes que tienen un sistema de vallas electrificadas. En el
cerramiento se ubica el punto de acceso principal a las instalaciones.
La instalacin del Data Center tiene dos puertas principales, una para el acceso
general y otra para servicios de entrega, pruebas y carga. No se dispone de
ventanas exteriores, ni en el Data Center ni en el Cuarto de Cmputo.
Se ubican dos puntos de control para el personal, uno a la entrada exterior del
Data Center; y otro interior, para el acceso a las instalaciones propias del Data
360
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todas las
dependencias
del
Data
Center,
sean
stas:
oficinas,
Los equipos de los clientes en los racks del Cuarto de Cmputo debern
estar separados de los equipos que manejan los sistemas del Data Center.
361
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los empleados internos del Data Center y el personal externo portarn una
tarjeta de Control de Acceso que les permite ingresar solo a las reas
designadas para su trabajo. La habilitacin de privilegios la realiza el
Administrador de Control de Acceso.
362
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
363
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
personal autorizado que cumpla todos los requisitos, podr ingresar a dicha
rea.
Todo el personal del Data Center deber portar una identificacin visible;
caso contrario, se notificar inmediatamente al personal de seguridad.
364
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las oficinas y el NOC contienen elementos importantes para la gestin del Data
Center, tales como: documentos, computadoras de trabajo, informacin personal
y comercial, software de administracin de subsistemas, etc. Estas reas se
encuentran separadas fsicamente y cuentan con mecanismos de control de
acceso fsico para su entrada. Los elementos de soporte, como impresoras,
fotocopiadoras, escneres, tambin se encuentran en el interior de las oficinas.
Las reas restringidas contienen una sealtica discreta donde solo se indica el
nombre de sus cuartos, ms no su propsito.
El Data Center cuenta con proteccin fsica contra amenazas que podran causar
impacto en los activos. Las amenazas para cada activo se identifican en el
Anlisis de Riesgos.
Se cuenta con un nivel de redundancia N+1 o 2N+1 en los subsistemas del Data
Center. Los respaldos de los sistemas de infraestructura y soporte se encuentran
separados unos de otros en cuartos independientes. Los respaldos de los equipos
de TI se hallan en posiciones diferentes dentro del Cuarto de Cmputo.
365
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
366
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 12 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todos los trabajos que se realicen en el Data Center deben ser notificados
y autorizados por los Propietarios de los Activos y la Jefatura
correspondiente.
Los clientes que tuvieren sus equipos en racks compartidos, realizarn los
trabajos bajo la supervisin del personal tcnico propio del Data Center.
367
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 12 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
El cliente no deber arrastrar los equipos sobre el piso falso del Data
Center, para lo cual es necesario el uso de carretillas con llantas de
caucho, a fin de evitar daos en el mismo. El transporte en carretillas con
llantas de hierro, requerir previamente la proteccin del piso falso con
cartn u otro material similar.
368
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 14 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
El cliente no podr levantar las baldosas del piso falso. Esta labor es
exclusiva del personal del Data Center.
productos
qumicos,
artculos
electromagnticos,
materiales
radioactivos, etc.
Los clientes no podrn hacer un uso inapropiado de los equipos del Data
Center, ni excederse de las facultades asignadas.
369
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 15 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
370
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 16 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
371
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 17 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las tuberas del sistema de enfriamiento por agua helada estn colocadas de
forma tal que se evita el riesgo de derrame de lquidos sobre el equipamiento del
rea de TI.
Los equipos de TI y de los clientes deben contar con proteccin en casos de fallas
del suministro elctrico, climatizacin, suministro de agua, servicios de
telecomunicaciones y sistemas contra incendios.
372
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 18 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las lneas de energa y cableado externo que ingresan y salen del Data
Center deben ser subterrneas.
373
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 18 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todo el cableado debe estar etiquetado de acuerdo a la norma ANSI/TIA606-B de administracin. El Departamento de TI mantendr los planos y
rutas del cableado de red.
374
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 20 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
especificando
la
fecha
del
mantenimiento,
las
fallas
375
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 20 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los equipos que salgan de las instalaciones deben ser tratados con sumo
cuidado, para evitar incidentes que pongan en riesgo la confidencialidad de la
informacin que manejan.
Los equipos que permanezcan fuera del Data Center deben ser cuidados para
evitar deterioros o robos, evitndose cualquier desatencin de los mismos en
lugares pblicos.
Para el cumplimiento de tareas fuera del local, la utilizacin de los equipos deber
referirse a lo dispuesto en la Poltica de Uso de Controles Criptogrficos.
376
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 21 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Un activo que requiera salir del Data Center, por cualquier motivo, debe ser
notificado al Responsable de la Seguridad para obtener la correspondiente
autorizacin.
Los Propietarios de los Activos llevarn un registro de los activos que hayan sido
retirados, en el cual constar la fecha, tipo de equipo, nmero de serie, persona a
cargo, adjuntndose la autorizacin respectiva.
377
SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 22 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
El ingreso y salida de objetos del Data Center observar las normas establecidas
en la Poltica de Trabajo en reas Seguras.
378
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
2
3
4
4
6
6
11
12
14
17
19
22
25
32
379
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Generalidades
Los sistemas del Data Center deben estar planificados y provistos de capacidad
suficiente para evitar el agotamiento de recursos o la sobrecarga del sistema, que
podran ocasionar un mal funcionamiento. Tambin deben considerarse las
opciones para la realizacin de backups o respaldos.
380
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Objetivos
381
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 4 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Alcance
382
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
383
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
384
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
385
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los equipos que fueren desechados luego de los cambios, estarn sujetos
a la Poltica de Eliminacin Segura o Re-Uso del Equipo.
386
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
387
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
estarn
sujetos
validar
su
388
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 11 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Para algunos trabajos sobre activos del Data Center que no puedan ser
realizados por personal interno, se solicitar la actuacin de personal
externo. El desempeo de los trabajos realizados estar sujeto a revisin
para comprobar el cumplimiento de los niveles establecidos en el contrato.
389
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 12 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las terceras partes deben entregar reportes formales de sus trabajos, con
la inclusin de anlisis de confidencialidad, integridad y disponibilidad de la
informacin utilizada en el perodo.
Implementacin
de
nuevos
sistemas
que
requieran
de
nuevos
proveedores.
390
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 13 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
78
Datos obtenidos en las visitas tcnicas a los Data Centers de los ISPs predominates de Quito.
391
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 14 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
392
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 15 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los usuarios y personal del Data Center que utilizan equipos de cmputos,
deben conocer y aplicar las medidas necesarias para la prevencin de
cdigo malicioso.
software
de
seguridad
como
antivirus,
antispam,
de
sistemas,
boletines electrnicos,
sistemas de
correo
393
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 16 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
El uso de cdigo mvil slo podr utilizarse, si opera de acuerdo con las polticas
y normas de seguridad definidas y si est debidamente autorizado por el
394
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 17 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Se debe bloquear cualquier cdigo mvil que no haya sido autorizado por
las Jefaturas.
Se debe seguir la Poltica de Control de Acceso Lgico para la instalacin
del cdigo.
Los activos crticos que sirven para la provisin de servicios del Data Center
deben tener copias o respaldos para garantizar la continuidad de las actividades
del Organismo en caso de desastres o fallas de los recursos. Para ello se
considerarn los siguientes puntos:
395
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 18 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
La informacin deber ser respaldada por lo menos una vez cada 3 meses,
exceptundose aquella informacin que vara con mayor frecuencia. Se
deber documentar el procedimiento, cuando se realice el respaldo de la
informacin.
396
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 19 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
397
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 20 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
398
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 21 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los servicios internos y ofrecidos por el Data Center Tier III de un ISP deben
cumplir con medidas apropiadas para garantizar la seguridad de la informacin y
de las operaciones.
399
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 22 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todas las conexiones que accedan a la red interna de la entidad, deben pasar a
travs de los sistemas de defensa electrnica que incluyen servicios de
encriptacin y verificacin de datos, deteccin de ataques e intentos de intrusin,
administracin de permisos de circulacin y autenticacin de usuarios.
Los equipos con informacin que salgan del Data Center, cumplirn la
Poltica de Seguridad del Equipo Fuera del Local.
400
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 23 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Se debe considerar que podra ser ms eficiente disponer que todos los medios
sean recolectados y eliminados de manera segura, antes que intentar separar los
tems sensibles para destruirlos.
401
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 24 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Debe existir un registro del personal que tiene acceso a determinada informacin,
el cual ser establecido y mantenido por el Responsable de la Seguridad.
402
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 25 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
403
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 26 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los
medios
impresos
conteniendo
informacin
crtica,
no
deben
404
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 27 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
405
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 27 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los computadores del Data Center que requieran conexin directa con
otros de entidades externas, utilizarn una infraestructura de conexiones
seguras, previa autorizacin del personal encargado del Departamento de
TI.
Toda informacin secreta y/o confidencial que se transmita por las redes de
comunicacin de la Entidad e Internet deber estar cifrada.
406
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 29 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
407
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 29 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
funcin
especfica,
evento,
etc.,
no
tendrn
el
carcter
de
408
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 30 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
409
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 31 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
4.2.6.9 Monitoreo
410
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 32 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
El acceso fsico tambin tendr una bitcora escrita de las actividades realizadas,
como se determina en la Poltica de Control de Acceso Fsico.
Los equipos que ingresan al Data Center debern cumplir con un registro, de
conformidad con la Poltica de Inventario de Activos y los Lineamientos de
Clasificacin de la Informacin.
El uso de los sistemas de monitoreo debe cumplir con un proceso, el mismo que
constar de los siguientes puntos:
411
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 33 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los usuarios finales y personal operario del Data Center no podrn ingresar a los
datos de los registros. Solo los Administradores de Control de Acceso y de TI
podrn utilizar esta informacin, bajo la autorizacin del Responsable de la
Seguridad.
412
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 34 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los registros deben contener la fecha y hora de la actividad o evento, nombre del
responsable, descripcin de la actividad, reas de ejecucin, etc.
El personal externo que sale del Data Center deber llenar una planilla, en la que
constarn las actividades realizadas y el tiempo efectivo que permaneci en las
instalaciones. Dicha planilla debe ser contrastada con los videos de las cmaras
de vigilancia.
413
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 35 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
414
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
4
5
5
8
14
18
22
25
27
3
3
415
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Generalidades
416
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Objetivos
Tambin se aplica a todos los usuarios y Propietarios de los Activos del Data
Center.
417
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 4 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Responsabilidades
Los usuarios y el personal del Data Center debern cumplir las disposiciones
propuestas en la Poltica de Control de Acceso Lgico.
418
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Explosin de la Poltica
419
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
laborales.
Las
cuentas
de
usuario
estarn
agrupadas
420
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
421
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Cada usuario tendr un identificador nico y personal, el cual ser utilizado para
monitorear y registrar las actividades que realice en los sistemas de informacin.
No existirn identificaciones grupales en el Data Center.
422
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Ejemplo:
En el caso de dos empleados con la misma inicial del nombre y el mismo apellido,
el primer empleado seguir la identificacin normal, en tanto que el segundo,
tendr una identificacin que incluya la inicial del segundo nombre seguido del
apellido.
Ejemplo:
Los privilegios de cuenta para cada usuario sern identificados y establecidos por
los Propietarios de los Activos, debiendo ser revisados peridicamente, o cuando
exista un cambio de funciones, por el Administrador de Networking y por el
Responsable de la Seguridad. Dichos privilegios estarn en concordancia con el
tipo de actividades que desarrolla cada empleado.
No debe concederse una cuenta a personas que no sean empleados del Data
Center, a menos que estn debidamente autorizados; en este caso la cuenta
debe expirar automticamente al trmino de un lapso de 7 das.
423
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los privilegios del sistema concedidos a los usuarios deben ser ratificados cada 3
meses. El Administrador de Networking debe inhabilitar la cuenta o los privilegios
de un usuario cuando reciba la orden de un superior, y cuando un empleado haya
cambiado o cesado en sus funciones. En el caso de despido o renuncia, la cuenta
debe desactivarse y eliminarse antes de que el empleado deje el cargo, siguiendo
los lineamientos de la Poltica de Revisin de los Derechos de Acceso del
Usuario.
Los privilegios para acceso a los sistemas por parte de los usuarios deben estar
restringidos y controlados, para evitar un uso inadecuado de personal no
autorizado.
424
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 11 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Cuando un usuario recibe una cuenta, sta tiene una clave de acceso
provisional, la cual deber ser cambiada obligatoriamente, una vez que se
ingrese por primera vez al sistema.
425
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 12 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
426
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 12 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
La revisin de los derechos de acceso de los usuarios ser llevada a cabo por los
Propietarios de los Activos peridicamente, cada 3 meses, o cuando se susciten
cambios en la estructura organizacional.
427
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 13 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
428
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 14 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Ningn usuario podr usar otro identificador de usuario que no sea el que
se le ha asignado.
429
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 15 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
430
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 16 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
431
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 17 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
432
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 18 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
433
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 19 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
El ACS realizar la identificacin lgica de los equipos, como por ejemplo: acceso
a nivel remoto, acceso a nivel local, nombre del equipo, servicio que ofrece y
niveles de confidencialidad que maneja. Adicionalmente, deber identificarse la
topologa de red y los dominios de los equipos, gestionados por Active Directory o
LDAP y NIS.
434
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 20 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todo el trfico de informacin que ingresa y sale del Data Center pasar por un
Firewall, el mismo que identifica la red de origen, la red de destino, y los puertos
usados para la entrega de la informacin. Aquellos puertos que no sean
necesarios para el uso de los servicios debern ser inhabilitados en el Firewall, en
los distintos servidores y en los equipos de red.
Los puertos por defecto que utilicen los diferentes equipos, debern ser
cambiados, y los puertos de configuracin y consola debern tener controles de
acceso y distintos privilegios para evitar la modificacin e inspeccin no
autorizadas.
435
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 21 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Deber existir una separacin de la red. Una para acceso a Internet de los
visitantes y personal externo, y otra para acceso a la red interna del Data Center
del personal propio de la empresa. La conexin a la red de visitantes deber
contar con la autorizacin previa del Jefe de TI. El sistema de control de acceso
gestionar el ingreso a la red interna.
La red del Data Center estar separada por medio de VLANs para una mejor
gestin, dependiendo de distintos conveniencias, necesidades o propsitos
operacionales.
436
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 21 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Una vez ingresados todos los datos para el acceso a un sistema, stos
sern validados para completar la conexin. El sistema no deber indicar el
lugar donde existan los puntos de falla, en caso de existir error en el
ingreso de datos.
437
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 23 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
La identificacin y autenticacin para accesos a las reas fsicas del Data Center
cumplir la Poltica de Control de Acceso Fsico.
438
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 24 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las utilidades del sistema deben ser controladas para evitar daos o
modificaciones en el funcionamiento de equipos computacionales.
Las utilidades del sistema permiten realizar tareas nicas relacionadas con la
gestin de recursos bsicos del sistema operativo, como memoria, discos, flujo de
datos, comandos del sistema, etc.; en tanto que las aplicaciones realizan varias
funciones agregadas al sistema operativo.
Las sesiones de terminales que alojan servicios catalogados como crticos deben
cerrarse despus de un periodo definido de inactividad, para disminuir el consumo
439
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 25 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Cuando ocurran casos de inactividad en los terminales del personal del NOC y
tcnicos, no se cerrarn sus sesiones de aplicacin o red y nicamente se
bloquearn y desplegarn un protector de pantalla con contrasea.
Debido a que el Data Center opera las 24 horas del da y su personal debe estar
siempre disponible, no se establecern controles para cierre de conexin con
base en un horario definido u horario de oficina.
440
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 26 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los usuarios del NOC y los tcnicos tendrn derechos de lectura y eventualmente
de escritura sobre ciertos sistemas. nicamente los Jefes y Administradores
podrn realizar tareas de lectura, ejecucin, modificacin y supresin.
441
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 27 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todo dispositivo mvil que ingrese y salga del Data Center, deber ser
registrado por personal de guardiana, tomando en cuenta el nmero de
serie, modelo, marca, y la justificacin del trabajo que va a realizar con
dicho equipo. Est terminantemente prohibido el uso de celulares,
cmaras, filmadoras y telfonos inteligentes dentro de las instalaciones del
Data Center, en cumplimiento a las Polticas de Control de Acceso Fsico y
Trabajo en reas Seguras.
Ningn dispositivo mvil deber ser conectado a la red del Data Center sin
previa autorizacin de la Jefatura de TI. La conexin de equipos a la red se
realizar tomado en cuenta las Polticas de Control de Conexin a la Red y
Segregacin en Redes.
442
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 28 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las laptops utilizadas por las Jefaturas, debern estar aseguradas para
protegerse en caso de prdida o robo.
4.2.7.7.2 Tele-Trabajo
443
CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 29 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todos
los
mecanismos
que
permitan
tele-trabajo
debern
ser
444
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
Requerimientos de Seguridad de los Sistemas de Informacin ......................................
Procesamiento Correcto en las Aplicaciones .................................................................
Controles Criptogrficos ................................................................................................
Seguridad de los Archivos del Sistema ..........................................................................
Seguridad en los Procesos de Desarrollo y Soporte ......................................................
Gestin de la Vulnerabilidad Tcnica.............................................................................
2
2
3
4
5
5
6
9
13
17
23
445
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Tambin se deben revisar las vulnerabilidades de los activos del Data Center y la
forma en que stas podran ser atacadas; as como las medidas para su
reduccin o eliminacin.
Objetivos
Asegurar que el SGSI constituya una parte integral de todos los procesos
del Data Center.
446
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Establecer
gestionar
medios
criptogrficos
para
proteger
los
Alcance
447
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 4 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Responsabilidades
salida
de
datos;
gestionar
el
uso,
manejo,
distribucin,
448
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Exposicin de la Poltica
Center,
deben
estar
acompaados
de
la
identificacin,
anlisis,
449
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Cuando se requiera de nuevos productos para los sistemas del Data Center, se
considerarn a varios proveedores para su suministro. El Propietario del Activo y
el Responsable de la Seguridad se encargarn de verificar la opcin ms
conveniente, y su aprobacin ser de responsabilidad de la Direccin.
450
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las aplicaciones que se utilizan en el Data Center deben minimizar los riesgos en
el procesamiento, que podran producir una prdida de la integridad.
451
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
452
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
453
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
79
Cifrado Simtrico o de clave secreta: mtodo criptogrfico en el cual se usa una misma clave
para cifrar y descifrar mensajes. Su inconveniente radica en el intercambio/distribucin de claves.
454
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
RC5
128
criptogrficos,
con
el
objeto
de
efectuar
las
actualizaciones
correspondientes.
80
Cifrado Asimtrico o de clave pblica: Mtodo criptogrfico que usa un par de claves para el
envo de mensajes. Una clave pblica que esta disponible a cualquier entidad y una clave privada
que se mantiene en secreto. Resuelve el problema del intercambio de claves en el cifrado
simtrico.
455
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 11 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
456
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 12 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
457
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 14 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los tipos de software que se instalarn son, entre otros, los siguientes:
sistema operativo de computadoras y servidores, sistema operativo de
equipos de red, monitoreo de los sistemas, aplicativos, antivirus, etc. Todos
los cambios debern ser registrados y documentados.
458
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 14 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Se considerar una falta grave cuando los usuarios, sin la autorizacin del
Responsable de la Seguridad, intenten instalar cualquier tipo de software
en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo
conectado a la red del Data Center.
459
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 15 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las pruebas de los sistemas de informacin se efectuarn con los datos extrados
del ambiente operativo. Para proteger los datos de prueba se establecern
normas y procedimientos que contemplen lo siguiente:
460
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 16 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los cambios en los cdigos fuentes deben contar con la debida aprobacin de las
Jefaturas y la Direccin, adems de cumplir los Procedimientos del Control de
Cambios.
Cuando el software haya sido desarrollado por una entidad externa al Data
Center, se estipular en el contrato si dicha empresa facilitar o no el acceso al
cdigo fuente para el personal del Data Center.
Esta Poltica estar alineada con la Poltica de Gestin de Cambios, siempre que
sea factible de realizar.
461
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 17 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
El personal que ejecuta los cambios, una vez que se hayan realizado y concluido,
ser responsable de la documentacin del proceso y de los resultados. Estos
cambios deben ser validados por la Jefatura correspondiente y por el
Responsable de la Seguridad. La Jefatura respectiva proceder al archivo de la
documentacin.
462
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 18 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
463
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 19 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Todo cambio que se realice en el Data Center deber revisarse para asegurar que
no se produzca un impacto en su funcionamiento o seguridad. Con esta finalidad,
se plantean los siguientes puntos:
464
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 20 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
si
las
modificaciones
se
encuentran
autorizadas.
Las
Para evitar que los usuarios puedan modificar, sin autorizacin previa,
cualquier tipo de software, sus cuentas no tendrn permisos para realizar
ninguna de estas actividades; tampoco podrn instalar o remover ningn
tipo de software sin la autorizacin previa del Jefe de TI.
Se considerarn varios puntos para evitar la fuga de informacin privada del Data
Center:
465
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 21 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
El control de las acciones del personal sobre los sistemas del Data Center
se har por medio de las Polticas de Control de Acceso Fsico y Lgico,
Gestin de Privilegios, Registro de Auditora, Uso del Sistema de
Monitoreo, y Registros del Administrador y Operador.
466
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 22 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
467
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 23 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
468
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
2
2
3
3
4
4
6
469
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Generalidades
Establecer
un
sistema
de
gestin
de
incidentes
que
incluya
470
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Alcance
Responsabilidades
Todo empleado, proveedor o tercero que est en contacto con informacin y/o
sistemas del Data Center deber reportar cualquier incidente, evento o debilidad
que pudiera derivar en un riesgo de seguridad a los Propietarios de los Activos y
al Responsable de la Seguridad, quienes tomarn las medidas de mitigacin,
investigacin y reporte.
471
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 4 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Exposicin de la Poltica
Todo empleado, proveedor o tercero que est en contacto con informacin y/o
sistemas del Data Center deber reportar cualquier incidente o evento que
pudiera derivar en un riesgo de seguridad.
equipos
computacionales
de
comunicacin
deber
reportarse
al
Departamento de TI.
Todo el personal involucrado en las actividades del Data Center deber conocer
el procedimiento y las herramientas para la comunicacin de eventos, los mismos
que se incluirn en la capacitacin de la Poltica de Seguridad de la Informacin;
adems, es indispensable que dichos eventos se informen de modo urgente.
472
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
473
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
El personal interno del Data Center registrar la incidencia, sin importar su tipo, en
un sistema informtico de help desk, donde se indicar el tipo de incidente, fecha
y hora de ocurrencia, cdigo, personal que registra el caso y clientes afectados,
en caso de haberlos.
de
ausencia,
los
responsables
informarn
sobre
la
sustitucin
correspondiente.
474
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Una vez solucionado el evento, se har una investigacin y anlisis de las causas
del problema ocurrido. Para ello se har uso de la evidencia recolectada en la
etapa de mitigacin, verificando si existe alguna violacin de la Poltica de
Seguridad.
La Direccin acordar que la Gestin de Incidentes est acorde con los objetivos
del negocio del Data Center, especificando las situaciones crticas consideradas
como prioritarias.
475
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
476
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Evento
Incidencia
Problema
No
Es un
Incidente?
Revisin Inicial
Clasificacin del
Incidente
Anlisis y Diagnstico
Solucin
identificada?
No
Escalar al Departamento
especializado
No
Implementacin de
Nuevos Controles
Si
Aplicar Solucin
Investigacin del
Incidente
Anlisis de Controles de
Seguridad
Suficientes
controles?
Si
Recoleccin de Evidencia
Si
477
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
478
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
2
2
3
3
4
479
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Generalidades
Esta gestin est constituida por una metodologa para anlisis de los impactos
comerciales, apoyndose en la evaluacin y tratamiento del riesgo, y por una
estrategia de planes de continuidad del negocio ante eventualidades.
480
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
que
participan
en
las
estrategias
de
planificacin
de
contingencias.
Alcance
Esta Poltica se aplica a todas las actividades crticas y procesos del negocio
dentro del alcance del Sistema de Gestin de Seguridad de la Informacin (SGSI)
del Data Center.
Responsabilidades
481
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 4 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Exposicin de la Poltica
482
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Las Tablas 4.1 y 4.2 del tratamiento de riesgos muestran los controles
necesarios para atenuarlos. Los controles desplegados estn relacionados
con las clusulas de la Poltica de Seguridad de la Informacin del Data
Center. Adems, el Data Center Tier III incluye protecciones propias
inherentes a su diseo e implementacin.
de pruebas y
483
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
484
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
485
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
486
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los Planes de Continuidad del Negocio estn formado por dos grandes
secciones:
487
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
tareas
obligaciones
claves
sus
respectivos
plazos,
488
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 11 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
489
POLTICA DE CUMPLIMIENTO
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
3
4
4
16
18
2
3
490
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
4.2.11 CUMPLIMIENTO
Generalidades
Los sistemas de informacin del Data Center deben estar sujetos a las
reglamentaciones y disposiciones legales que rijan en el pas donde se
desempean las actividades.
garantizar
la
adecuada
procedimientos de seguridad.
aplicacin
de
la
poltica,
normas
491
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 3 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Esta Poltica se aplica a todo el personal del Data Center, cualquiera sea su
relacin con el Organismo. Tambin se aplica a los sistemas de informacin,
normas, procedimientos, documentacin y plataformas tcnicas del Organismo y
a las auditoras efectuadas sobre los mismos.
Responsabilidades
492
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 4 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Cada Jefatura ser responsable del mantenimiento de los registros que competan
a sus actividades.
493
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 5 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Art. 26. Tambin constituyen violacin de los derechos establecidos en este libro
cualquiera de los siguientes actos:
494
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 6 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Art.
5.
Confidencialidad
reserva.-
Se
establecen
los
principios
de
495
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 7 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
c) Que se conserve todo dato que permita determinar el origen, el destino del
mensaje, la fecha y hora en que fue creado, generado, procesado, enviado,
recibido y archivado; y,
d) Que se garantice su integridad por el tiempo que se establezca en el
reglamento a esta ley.
496
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 8 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Art. 55. Valoracin de la prueba.- La prueba ser valorada bajo los principios
determinados en la ley y tomando en cuenta la seguridad y fiabilidad de los
medios con los cuales se la envi, recibi, verific, almacen o comprob si fuese
el caso, sin perjuicio de que dicha valoracin se efecte con el empleo de otros
mtodos que aconsejen la tcnica y la tecnologa. En todo caso la valoracin de la
prueba se someter al libre criterio judicial, segn las circunstancias en que hayan
sido producidos.
497
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 9 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
498
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 10 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Art. 422. Ser reprimido con prisin de seis meses a dos aos el que
interrumpiere la comunicacin postal, telegrfica, telefnica, radiofnica o de otro
sistema, o resistiere violentamente al restablecimiento de la comunicacin
interrumpida.
Art. ...- Apropiacin ilcita.- Sern reprimidos con prisin de seis meses a cinco
aos y multa de quinientos a mil dlares de los Estados Unidos de Norteamrica,
los que utilizaren fraudulentamente sistemas de informacin o redes electrnicas,
para facilitar la apropiacin de un bien ajeno, o los que procuren la transferencia
no consentida de bienes, valores o derechos de una persona, en perjuicio de sta
o de un tercero, en beneficio suyo o de otra persona alterando, manipulando o
modificando el funcionamiento de redes electrnicas, programas informticos,
sistemas informticos, telemticos o mensajes de datos.
499
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 11 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Art. ...- La pena de prisin de uno a cinco aos y multa de mil a dos mil dlares de
los Estados Unidos de Norteamrica, si el delito se hubiere cometido empleando
los siguientes medios:
1. Inutilizacin de sistemas de alarma o guarda;
2. Descubrimiento o descifrado de claves secretas o encriptadas;
3. Utilizacin de tarjetas magnticas o perforadas;
4. Utilizacin de controles o instrumentos de apertura a distancia; y,
5. Violacin de seguridades electrnicas, informticas u otras semejantes.
Art. 563.- El que, con propsito de apropiarse de una cosa perteneciente a otro,
se hubiere hecho entregar fondos, muebles, obligaciones, finiquitos, recibos, ya
haciendo uso de nombres falsos, o de falsas calidades, ya empleando manejos
fraudulentos para hacer creer en la existencia de falsas empresas, de un poder, o
de un crdito imaginario, para infundir la esperanza o el temor de un suceso,
accidente, o cualquier otro acontecimiento quimrico, o para abusar de otro modo
de la confianza o de la credulidad, ser reprimido con prisin de seis meses a
cinco aos y multa de ocho a ciento cincuenta y seis dlares de los Estados
Unidos de Norte Amrica.
500
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 12 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
501
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 13 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los empleados del Data Center solamente deben usar el software suministrado
por la Organizacin, y el control de instalacin lo gestionar el Departamento de
TI, acorde a la Poltica de Control del Software Operacional.
Cuando se requiera transferir software licenciado entre activos del Data Center,
se verificar inicialmente si no existe ninguna restriccin proveniente del
proveedor. Si no existe ningn inconveniente, se eliminar la licencia de su lugar
de origen y se la implantar sobre el nuevo sistema. Es necesario contar con una
herramienta de auditora de software para conocer el estado de uso del software
instalado y gestionar las licencias existentes.
La infraccin de estos derechos puede dar como resultado acciones legales que
podran derivar en demandas penales.
Los registros que contengan informacin confidencial del Data Center sobre las
actividades, procedimientos, contratos, acuerdos, estarn protegidos para evitar
su manipulacin, modificacin, prdida o destruccin.
502
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 14 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los registros sern almacenados de forma indefinida. Una vez que los registros
ya no sean de utilidad, sern desplazados a un repositorio de documentos
obsoletos y se analizar la necesidad de conservarlos o eliminarlos.
503
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 15 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los datos de los clientes podrn ser revisados exclusivamente por sus
propietarios y ningn personal del Data Center est autorizado a visualizar su
contenido.
El uso de los sistemas estar bajo monitoreo, lo cual no incumple las leyes de
privacidad. La supervisin de actividades de personal y accesos a sistemas
seguir los lineamientos de las Polticas de Uso del Sistema de Monitoreo,
Registros del Administrador y Operador. El personal estar en conocimiento de
que est siendo monitoreado.
504
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 16 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
Los usuarios debern conocer que una violacin de seguridad relacionada con el
mal uso de los medios de procesamiento, conducir a la ejecucin de la Poltica
de Proceso Disciplinario.
505
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 17 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
506
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 18 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
507
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 19 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
No se permitir que los sistemas de informacin que sern auditados sean objeto
de manipulacin por parte del auditor, con el fin de evitar interrupciones o daos
en el servicio. La realizacin de cualquier revisin deber efectuarse sobre copias
o sistemas aislados.
Si las auditoras son realizadas por entes externos, stos estarn supeditados a la
Poltica de Seguridad de la Informacin, siguiendo los lineamientos de Seguridad
508
CUMPLIMIENTO
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 19 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
509
CAPTULO 5
CONCLUSIONES Y RECOMENDACIONES
5
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
Para realizar el diseo de un Data Center, los sistemas que lo integran
deben estar dimensionados para cumplir las exigencias de un Tier
especfico. La seleccin de un Tier deber adoptarse desde el inicio mismo
del diseo para evitar incompatibilidades con la norma cuando se requiera
escalar de tiering.
510
511
del
SGSI,
la
Organizacin
debe
incorporar
una
512
513
Data Center; sin embargo, es necesario que dicho anlisis sea reevaluado
peridicamente.
seguridad.
Algunas afectan
exclusivamente
la
514
externo,
est
debidamente
concienciado,
capacitado
515
516
517
5.2 RECOMENDACIONES
El presente proyecto de investigacin deber ser complementado con el
cumplimiento de todo el modelo PDCA, que incluye implementacin,
monitoreo y mantenimiento del SGSI propuesto en la norma ISO/IEC
27001:2005.
518
519
cualquier Data Center de alta gama (Tier III o Tier IV), que pertenezca a un
ISP.
como
ITIL,
COBIT,
ISO/IEC
27000,
ISO/IEC
20000,
520
521
522
523
524
525
Lengths, 2011.
[64] Consejo Nacional de Telecomunicaciones, Reglamento para la Prestacin de Servicios de
Valor Agregado, 2002.
[65] Asamblea Constituyente, Constitucin de la Repblica del Ecucador, 2008.
[66] Congreso Nacional, Ley de Propiedad Intelectual, 1998.
[67] Congreso Nacional, Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos,
2002.
[68] Comisin Jurdica, Cdigo Penal, 1971.
[69] Congreso Nacional, Ley Orgnica de Transparencia y Acceso a la Informacin Pblica, 2004.
[70] Banco Central del Ecuador, Certificacin Electrnica Banco Central del Ecuador, 2013.
http://www.eci.bce.ec/web/guest/quienes-somos. Disponible en Dicembre 2013
[71] Presidencia Constitucional de la Repblica, Reglamento a la Ley de Comercio Electrnico,
2002.
[72] Secretara Nacional de la Adminitracin Pblica del Ecuador, Acuerdo N166, 2013.