Diseño de un SGSI para un Data Center Tier III

ESCUELA POLITCNICA NACIONAL
FACULTAD DE INGENIERA ELCTRICA Y

ELECTRNICA
DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN (SGSI) PARA UN DATA CENTER TIER III DE UN
PROVEEDOR DE SERVICIOS DE INTERNET (ISP) TIPO, DE LA
CIUDAD DE QUITO
PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN

ELECTRNICA Y REDES DE INFORMACIN
ENRQUEZ NOVILLO VODIA SEBASTIN

vodia.enriquez@gmail.com
TORRES ENRQUEZ PABLO ANDRS

pablogto87@gmail.com
DIRECTOR: ING. PABLO WILLIAM HIDALGO LASCANO

phidalgo@ieee.org
Quito, Julio 2014
DECLARACIN
Nosotros, Vodia Sebastin Enrquez Novillo y Pablo Andrs Torres Enrquez,

declaramos bajo juramento que el trabajo aqu descrito es de nuestra autora; que
no ha sido previamente presentado para ningn grado o calificacin profesional; y,
que hemos consultado las referencias bibliogrficas que se incluyen en este
documento.
A travs de la presente declaracin cedemos nuestros derechos de propiedad

intelectual correspondientes a este trabajo, a la Escuela Politcnica Nacional,
segn lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por
la normatividad institucional vigente.
_______________________
Vodia S. Enrquez N.
_______________________
Pablo A. Torres E.
II
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Vodia Sebastin Enrquez
Novillo y Pablo Andrs Torres Enrquez, bajo mi supervisin.
_______________________________
Ing. Pablo Hidalgo

DIRECTOR DE PROYECTO
III
AGRADECIMIENTO
A todos aquellos que contribuyeron a la culminacin de este Proyecto de

Titulacin.
Vodia Enrquez
Pablo Torres
IV
DEDICATORIA
A mi familia.
Vodia Enrquez
DEDICATORIA
A mis padres Jorge y Margarita, los cuales siempre me apoyaron con todo a pesar
de las claras limitaciones econmicas que hemos tenido, y siempre me dieron el
amor y el cario que me han hecho una persona con los pies en la tierra.
A mis hermanos David, Beln y Sofa, que siempre estuvieron en las buenas y las
malas, con sus bromas y chistes, y me dieron la mejor infancia que una persona
puede tener.
A la vida, por indicarme el bien y el mal desde diferentes puntos de vista, por
hacerme una persona fuerte, y por sorprenderme cuando pareca que nada ms
lo podra hacer.
Pablo Torres
VI
TABLA DE CONTENIDOS
DECLARACIN .........................................................................................
CERTIFICACIN .......................................................................................
AGRADECIMIENTO ...................................................................................
DEDICATORIA ...........................................................................................
CONTENIDO ..............................................................................................
NDICE DE FIGURAS ................................................................................
NDICE DE TABLAS...................................................................................
ANEXOS ....................................................................................................
RESUMEN .................................................................................................
PRESENTACIN .......................................................................................
I
II
III
IV
VI
XXII
XXIV
XXI
XXVI
XXVII
CONTENIDO
TOMO I
CAPTULO 1
MARCO TERICO
1.1
INTRODUCCIN A LOS DATA CENTERS ...................................................................1
1.1.1
DEFINICIN ...........................................................................................................1
1.1.2
HISTORIA DE LOS DATA CENTERS .....................................................................1
1.1.3
SERVICIOS DE UN DATA CENTER .......................................................................6
1.2
FUNDAMENTOS DEL ESTNDAR DE INFRAESTRUCTURA DE

TELECOMUNICACIONES PARA DATA CENTERS ANSI/TIA-942-A ............................8
1.2.1
ESTRUCTURA DE UN DATA CENTER ..................................................................8
1.2.1.1
Cuarto de Cmputo .................................................................................... 11
1.2.1.1.1
Caractersticas Arquitectnicas................................................................ 11
1.2.1.1.2
Caractersticas Ambientales .................................................................... 12
1.2.1.1.3
Caractersticas Elctricas ........................................................................ 13
VII
1.2.1.1.4
Proteccin de Fuego y Filtracin de Agua................................................ 13
1.2.1.2
Cuarto de Entrada ...................................................................................... 13
1.2.1.3
rea de Distribucin Principal (MDA) .......................................................... 14
1.2.1.4
rea de Distribucin Intermedia (IDA) ......................................................... 15
1.2.1.5
rea de Distribucin Horizontal (HDA) ........................................................ 15
1.2.1.6
rea de Distribucin de Zona (ZDA)............................................................ 16
1.2.1.7
rea de Distribucin de Equipos (EDA) ....................................................... 16
1.2.1.8
Cuarto de Telecomunicaciones ................................................................... 17
1.2.1.9
reas de Soporte del Data Center .............................................................. 17
1.2.2
TOPOLOGAS DE LOS DATA CENTERS ............................................................. 17
1.2.2.1
Topologa de un Data Center Tpico............................................................ 17
1.2.2.2
Topologa de un Data Center Reducido ...................................................... 18
1.2.2.3
Topologa de un Data Center Distribuido..................................................... 19
1.2.3
RACKS Y GABINETES ......................................................................................... 20
1.2.4
SISTEMA DE CABLEADO DEL DATA CENTER ................................................... 23
1.2.4.1
Cableado Horizontal ................................................................................... 23
1.2.4.2
Cableado de Backbone............................................................................... 24
1.2.4.3
Cableado de Fibra ptica Centralizado....................................................... 26
1.2.5
RUTAS DEL CABLEADO DEl DATA CENTER ...................................................... 27
1.2.5.1
Rutas de Entrada de Telecomunicaciones .................................................. 28
1.2.5.2
Sistemas de Piso Falso .............................................................................. 28
1.2.5.3
Bandejas de Cable Areas ......................................................................... 29
1.3
REDUNDANCIA EN UN DATA CENTER ..................................................................... 30
1.3.1
NIVELES DE REDUNDANCIA EN UN DATA CENTER ......................................... 32
1.3.2
CLASIFICACIN DE LOS DATA CENTERS ......................................................... 33
1.3.2.1
1.3.2.1.1
1.3.2.2
1.3.2.2.1
1.3.2.3
1.3.2.3.1
Tier I: Infraestructura Bsica ....................................................................... 33

Caractersticas de los subsistemas de infraestructura para un Tier I ........ 33
Tier II: Componentes Redundantes ............................................................. 35
Caractersticas de los subsistemas de infraestructura de un Tier II .......... 36
Tier III: Mantenimiento Concurrente ............................................................ 38
Caractersticas de los subsistemas de infraestructura para un Tier III ...... 39
VIII
1.3.2.4
1.3.2.4.1
1.4
Tier IV: Tolerante a Fallas ........................................................................... 41

Caractersticas de los subsistemas de infraestructura para un Tier IV ...... 42
PRINCIPIOS GENERALES DE LA SEGURIDAD DE LA INFORMACIN .................... 44
1.4.1
INTRODUCCIN .................................................................................................. 44
1.4.2
DEFINICIN DE INFORMACIN.......................................................................... 46
1.4.3
DEFINICIN DE SEGURIDAD DE LA INFORMACIN ......................................... 46
1.4.4
COMPONENTES DE LA SEGURIDAD DE LA INFORMACIN............................. 47
1.4.4.1
Confidencialidad ......................................................................................... 47
1.4.4.2
Integridad ................................................................................................... 47
1.4.4.3
Disponibilidad ............................................................................................. 47
1.4.4.4
Autenticacin .............................................................................................. 47
1.5
VULNERABILIDADES, AMENAZAS, ATAQUES Y ATACANTES ................................ 48
1.5.1
VULNERABILIDADES........................................................................................... 48
1.5.2
AMENAZAS .......................................................................................................... 48
1.5.2.1
1.5.2.1.1
Amenazas Fsicas ................................................................................... 48
1.5.2.1.2
Amenazas Lgicas .................................................................................. 48
1.5.2.2
Origen de las Amenazas ............................................................................. 49
1.5.2.2.1
Amenazas por Agentes Externos............................................................. 49
1.5.2.2.2
Amenazas por Agentes Internos .............................................................. 49
1.5.2.3
1.5.3
Clasificacin de las Amenazas.................................................................... 48
Intencionalidad de las Amenazas ................................................................ 49
1.5.2.3.1
Accidentales............................................................................................ 49
1.5.2.3.2
Intencionales ........................................................................................... 49
ATAQUES............................................................................................................. 50
1.5.3.1
Naturaleza de los Ataques .......................................................................... 50
1.5.3.1.1
Intercepcin ............................................................................................ 50
1.5.3.1.2
Modificacin ............................................................................................ 51
1.5.3.1.3
Interrupcin ............................................................................................. 51
1.5.3.1.4
Fabricacin ............................................................................................. 51
1.5.3.2
1.5.3.2.1
Tipos de Ataques........................................................................................ 52
Reconocimiento de sistemas ................................................................... 52
IX
1.5.4
1.5.3.2.2
Deteccin de vulnerabilidades en los sistemas ........................................ 52
1.5.3.2.3
Robo de informacin mediante la interceptacin de mensajes ................. 52
1.5.3.2.4
Modificacin del contenido y secuencia de los mensajes transmitidos ..... 53
1.5.3.2.5
Anlisis del trfico ................................................................................... 53
1.5.3.2.6
IP Spoofing ............................................................................................. 53
1.5.3.2.7
DNS Spoofing ......................................................................................... 53
1.5.3.2.8
Captura de cuentas de usuario y contraseas ......................................... 54
1.5.3.2.9
Modificaciones del trfico y de las tablas de enrutamiento ....................... 54
1.5.3.2.10
Conexin no autorizada a equipos y servidores ..................................... 54
1.5.3.2.11
Cdigos Maliciosos ............................................................................... 55
1.5.3.2.12
Ataques contra sistemas criptogrficos ................................................. 55
1.5.3.2.13
Fraudes, engaos y extorsiones ............................................................ 56
1.5.3.2.14
Ataques de Denegacin de Servicio (DoS) ............................................ 56
ATACANTES ........................................................................................................ 57
1.5.4.1
1.6
Tipos de Atacante....................................................................................... 57
1.5.4.1.1
Hackers................................................................................................... 57
1.5.4.1.2
Crackers ................................................................................................. 57
1.5.4.1.3
Phreaker ................................................................................................. 58
1.5.4.1.4
Spammers............................................................................................... 58
1.5.4.1.5
Carders ................................................................................................... 58
1.5.4.1.6
Script kiddies o Lammers ........................................................................ 58
1.5.4.1.7
Phisher.................................................................................................... 58
MTODOS UTILIZADOS PARA GARANTIZAR LA SEGURIDAD DE LA

INFORMACIN ........................................................................................................... 59
1.6.1
PENETRATION TEST, ETHICAL HACKING O PRUEBA DE VULNERABILIDAD.. 59
1.6.1.1
Penetration Test Externo ............................................................................ 59
1.6.1.2
Penetration Test Interno ............................................................................. 60
1.6.2
FIREWALL ............................................................................................................ 61
1.6.2.1
Tipos de Firewall ........................................................................................ 61
1.6.2.1.1
Filtrado de Paquetes ............................................................................... 61
1.6.2.1.2
Proxy-Gateways de Aplicaciones............................................................. 62
1.6.3
1.6.2.1.3
Dual-Homed Host .................................................................................... 62
1.6.2.1.4
Screened Host ........................................................................................ 63
1.6.2.1.5
Screened Subnet..................................................................................... 63
1.6.2.1.6
Firewalls Personales ............................................................................... 64
LISTAS DE CONTROL DE ACCESO (ACL) .......................................................... 64
1.6.3.1
Sistema de Control de Acceso (ACS).......................................................... 65
1.6.4
WRAPPERS ......................................................................................................... 66
1.6.5
INTRUSION DETECTION SYSTEMS (IDS) .......................................................... 66
1.6.6
SISTEMAS ANTI-SNIFFERS ................................................................................ 67
1.7
INTRODUCCIN Al ESTNDAR ISO/IEC 27001:2005................................................ 68
1.7.1
INTRODUCCIN .................................................................................................. 68
1.7.2
OBJETIVO ............................................................................................................ 68
1.7.3
ALCANCE ............................................................................................................. 69
1.7.4
ENFOQUE DEL PROCESO .................................................................................. 69
1.7.5
MODELO PDCA (PLAN-DO-CHECK-ACT) ........................................................... 71
1.7.6
PROCESOS DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN DE ACUERDO AL MODELO PDCA ............................................ 72
1.7.6.1
Establecer el SGSI ..................................................................................... 73
1.7.6.2
Implementar y Operar el SGSI .................................................................... 75
1.7.6.3
Monitorear y Revisar el SGSI ...................................................................... 76
1.7.6.4
Mantener y Mejorar el SGSI ........................................................................ 78
1.7.7
GESTIN DE RECURSOS ................................................................................... 78
1.7.7.1
Provisin de Recursos ................................................................................ 78
1.7.7.2
Capacitacin............................................................................................... 78
1.7.8
AUDITORA INTERNA DEL SGSI ......................................................................... 78
1.7.9
MEJORAMIENTO DEL SGSI ................................................................................ 79
XI
CAPTULO 2
SITUACIN ACTUAL DE LOS DATA CENTERS TIER III EN ALGUNOS ISPs

DE LA CIUDAD DE QUITO
2.1
ANTECEDENTES ....................................................................................................... 80
2.2
ESTUDIO DE LOS DATA CENTERS EN LA CIUDAD DE QUITO................................ 81
2.2.1
SELECCIN DE LOS ISPs ................................................................................... 81
2.2.2
EVALUACIN DE TIERING DE LOS DATA CENTERS EN BASE A LA NORMA

ANSI/TIA-942-A .................................................................................................... 83
2.2.2.1
Evaluacin del Subsistema de Telecomunicaciones.................................... 85
2.2.2.2
Evaluacin del Subsistema Arquitectnico .................................................. 86
2.2.2.3
Evaluacin del Subsistema Elctrico ........................................................... 89
2.2.2.4
Evaluacin del Subsistema Mecnico ......................................................... 90
2.2.3
ANLISIS GLOBAL DE TIERING DE LOS DATA CENTERS QUE OPERAN

EN QUITO ............................................................................................................ 92
2.3
INFRAESTRUCTURA DE UN DATA CENTER TIER III ............................................... 93
2.3.1
SISTEMA ARQUITECTNICO ............................................................................. 94
2.3.1.1
2.3.2
Seguridad de la Informacin del Sistema Arquitectnico ............................. 99
SISTEMA DE TELECOMUNICACIONES ............................................................ 100
2.3.2.1
Infraestructura de Red del Data Center Tier III .......................................... 100
2.3.2.2
Servidores ................................................................................................ 105
2.3.2.3
Cableado Estructurado ............................................................................. 108
2.3.2.4
Seguridad de la Informacin del Sistema de Telecomunicaciones ............. 113
2.3.3
SISTEMA ELCTRICO ....................................................................................... 113
2.3.3.1
2.3.4
SISTEMA MECNICO ........................................................................................ 117
2.3.4.1
2.3.5
Seguridad de la Informacin del Sistema Elctrico .................................... 117
Seguridad de la Informacin del Sistema Mecnico .................................. 124
SISTEMAS DE APOYO ...................................................................................... 124
2.3.5.1
Sistema de Deteccin de Incendios .......................................................... 125
2.3.5.2
Sistema de Extincin de Incendios............................................................ 126
2.3.5.3
Sistema de Control de Acceso .................................................................. 128
XII
2.3.5.4
Sistema de Videovigilancia IP ................................................................... 129
2.3.5.5
Seguridad de la Informacin de los Sistemas de Apoyo ............................ 131
2.4
2.3.5.5.1
Deteccin y Extincin de Incendios........................................................ 131
2.3.5.5.2
Control de Acceso ................................................................................. 131
2.3.5.5.3
Vigilancia IP .......................................................................................... 132
SERVICIOS DE UN DATA CENTER DE ALTA GAMA............................................... 132
2.4.1
HOUSING ........................................................................................................... 132
2.4.2
HOSTING ........................................................................................................... 133
2.4.3
RESPALDOS (BACKUPS) .................................................................................. 134
2.4.4
STORAGE .......................................................................................................... 134
2.4.5
SERVICIOS POR DEMANDA ............................................................................. 134
2.4.6
MONITOREO DE RECURSOS ........................................................................... 134
2.4.7
VIDEOVIGILANCIA ............................................................................................. 135
2.4.8
SEGURIDAD PERIMETRAL ............................................................................... 135
2.5
ACTIVOS DEL DATA CENTER TIER III .................................................................... 135
2.5.1
ESTRUCTURA ORGANIZACIONAL ................................................................... 135
2.5.2
ACTIVOS DE DOCUMENTACIN ...................................................................... 140
2.5.3
ACTIVOS DE SOFTWARE ................................................................................. 140
2.5.3.1
Software de Aplicacin de Monitoreo ........................................................ 141
2.5.3.2
Software de Aplicacin de las PCs............................................................ 141
2.5.4
ACTIVOS FSICOS ............................................................................................. 142
2.5.4.1
Activos del Sistema de Telecomunicaciones ............................................. 142
2.5.4.2
Activos del Sistema Mecnico................................................................... 143
2.5.4.3
Activos del Sistema Elctrico .................................................................... 144
2.5.4.4
Activos del Sistema de Control de Incendios ............................................. 145
2.5.4.5
Activos del Sistema de Videovigilancia ..................................................... 146
2.5.4.6
Activos del Sistema de Control de Acceso ................................................ 147
XIII
CAPTULO 3
DISEO DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

PARA UN DATA CENTER TIER III MODELO DE UN ISP DE QUITO
3.1
ESTABLECIMIENTO DEL SGSI ................................................................................ 148
3.1.1
DEFINICIN DEL ALCANCE Y LMITES DEL SGSI ........................................... 148
3.1.2
DEFINICIN DE LA POLTICA DEL SGSI .......................................................... 149
3.1.3
ANLISIS DE LOS LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIN

PARA UN DATA CENTER TIER III DE UN ISP TIPO DE QUITO ........................ 150
3.1.4
3.2
INCIDENTES DE SEGURIDAD DENTRO DEL DATA CENTER .......................... 150

ENFOQUE DE LA VALUACIN DEL RIESGO .......................................................... 151
3.2.1
IDENTIFICACIN DE LA METODOLOGA ......................................................... 152
3.2.2
MODELO DE LA METODOLOGA ...................................................................... 154
3.2.2.1
3.2.3
Metodologa de Estimacin de Riesgos .................................................... 154
3.2.2.1.1
Estimacin Cualitativa ........................................................................... 155
3.2.2.1.2
Estimacin Cuantitativa ......................................................................... 156
VALORACIN DE ACTIVOS .............................................................................. 156
3.2.3.1
Dependencias entre Activos ..................................................................... 157
3.2.3.2
Estimacin del Valor del Activo ................................................................. 158
3.2.3.3
Criterios de Valuacin de Activos .............................................................. 159
3.2.4
VALORACIN DE IMPACTOS ........................................................................... 164
3.2.4.1
Estimacin del Impacto ............................................................................. 165
3.2.4.2
Controles Existentes ................................................................................. 166
3.2.4.3
Criterios de Valoracin del Impacto........................................................... 167
3.2.5
VALORACIN DE PROBABILIDAD DE OCURRENCIA ...................................... 169
3.2.5.1
3.2.6
Criterios de Valuacin de la Probabilidad de Ocurrencia ........................... 170
VALORACIN DEL RIESGO .............................................................................. 170
3.2.6.1
Estimacin del Riesgo .............................................................................. 170
3.2.6.2
Criterios de Estimacin del Riesgo ............................................................ 171
3.2.6.3
Criterios de Evaluacin del Riesgo ............................................................ 173
XIV
3.3
ANLISIS Y EVALUACIN DEL RIESGO ................................................................. 173
3.3.1
ANLISIS DEL RIESGO ..................................................................................... 173
3.3.1.1
Identificacin de Activos ........................................................................... 173
3.3.1.2
Identificacin de Amenazas ...................................................................... 182
3.3.1.3
Identificacin de los Controles Existentes ................................................. 182
3.3.1.4
Identificacin de las Vulnerabilidades........................................................ 183
3.3.1.5
Identificacin de las Impactos ................................................................... 186
3.3.2
ESTIMACIN DEL RIESGO ............................................................................... 186
3.3.2.1
Valoracin de los Activos .......................................................................... 186
3.3.2.2
Valoracin de los Impactos ....................................................................... 199
3.3.2.3
Valoracin de los Riesgos......................................................................... 199
3.3.3
EVALUACIN DEL RIESGO............................................................................... 240
3.3.3.1
Evaluacin del Riesgo de los Subsistemas del Data Center ...................... 240
3.3.3.1.1
Evaluacin de los Activos de Documentacin ........................................ 240
3.3.3.1.2
Evaluacin de los Activos de Software................................................... 241
3.3.3.1.3
Evaluacin del Sistema de Telecomunicaciones .................................... 242
3.3.3.1.4
Evaluacin del Sistema Elctrico ........................................................... 243
3.3.3.1.5
Evaluacin del Sistema Mecnico ......................................................... 244
3.3.3.1.6
Evaluacin del Sistema Contra Incendios .............................................. 245
3.3.3.1.7
Evaluacin del Sistema de Control de Acceso ....................................... 247
3.3.3.1.8
Evaluacin del Sistema de Videovigilancia ............................................ 249
TOMO II
CAPTULO 4
POLTICAS Y CONTROLES DE SEGURIDAD DE LA INFORMACIN PARA UN

DATA CENTER TIER III DE UN ISP MODELO DE QUITO
4.1
4.1.1
TRATAMIENTO DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIN ............. 250

OPCIONES PARA EL TRATAMIENTO DEL RIESGO ......................................... 250
XV
4.1.1.1
Reducir del Riesgo ................................................................................... 250
4.1.1.2
Aceptar (Retener) el Riesgo ...................................................................... 251
4.1.1.3
Evitar el Riesgo ........................................................................................ 251
4.1.1.4
Transferir el Riesgo .................................................................................. 251
4.1.2
SELECCIN DE OBJETIVOS DE CONTROL Y CONTROLES ........................... 253
4.1.3
ENUNCIADO DE APLICABILIDAD ...................................................................... 285
4.2
ESTABLECIMIENTO DE LA POLTICA DE SEGURIDAD DE LA INFORMACIN .........

DEL DATA CENTER TIER III .................................................................................... 294
4.2.1
POLTICA DE SEGURIDAD DE LA INFORMACIN ........................................... 297
4.2.2
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN ........................... 308
4.2.2.1
Organizacin Interna ................................................................................ 310
4.2.2.1.1
Compromiso de la Gerencia con la Seguridad de la Informacin............ 310
4.2.2.1.2
Coordinacin de la Seguridad de la Informacin .................................... 311
4.2.2.1.3
Asignacin de Responsabilidades de la Seguridad de la Informacin .... 313
4.2.2.1.4
Proceso de Autorizacin para los Medios de Procesamiento de

Informacin ........................................................................................... 314
4.2.2.1.5
Acuerdos de Confidencialidad ............................................................... 314
4.2.2.1.6
Contacto con Autoridades ..................................................................... 316
4.2.2.1.7
Contacto con Grupos de Inters Especial .............................................. 316
4.2.2.1.8
Revisin Independiente de la Seguridad de la Informacin .................... 317
4.2.2.2
4.2.3
Grupos o Personas Externas .................................................................... 317
4.2.2.2.1
Identificacin de Riesgos Relacionados con Entidades Externas ........... 317
4.2.2.2.2
Tratamiento de la Seguridad cuando se trabaja con Clientes ................. 319
4.2.2.2.3
Tratamiento de la Seguridad en Contratos con Terceras Personas ........ 320
GESTIN DE ACTIVOS...................................................................................... 323
4.2.3.1
Responsabilidad por los Activos ............................................................... 325
4.2.3.1.1
Inventario de Activos ............................................................................. 325
4.2.3.1.2
Propiedad de los Activos ....................................................................... 326
4.2.3.1.3
Uso Aceptable de los Activos ................................................................ 326
4.2.3.2
4.2.3.2.1
Clasificacin de la Informacin.................................................................. 336

Lineamientos de Clasificacin de la Informacin .................................... 336
XVI
4.2.3.2.2
4.2.4
SEGURIDAD DE RECURSOS HUMANOS ......................................................... 341
4.2.4.1
Roles y Responsabilidades ................................................................... 343
4.2.4.1.2
Seleccin de Personal ........................................................................... 344
4.2.4.1.3
Trminos y Condiciones del Empleo ...................................................... 345

Durante el Empleo .................................................................................... 348
4.2.4.2.1
Gestin de Responsabilidades .............................................................. 348
4.2.4.2.2
Capacitacin y Educacin en Seguridad de la Informacin .................... 349
4.2.4.2.3
Proceso Disciplinario ............................................................................. 350
4.2.4.3
Terminacin o Cambio de Empleo ............................................................ 351
4.2.4.3.1
Responsabilidades de Terminacin ....................................................... 351
4.2.4.3.2
Devolucin de Activos ........................................................................... 352
4.2.4.3.3
Eliminacin de Derechos de Acceso ...................................................... 353
SEGURIDAD FSICA Y AMBIENTAL .................................................................. 356
4.2.5.1
reas Seguras .......................................................................................... 359
4.2.5.1.1
Permetro de Seguridad Fsica .............................................................. 359
4.2.5.1.2
Control de Acceso Fsico ....................................................................... 361
4.2.5.1.3
Seguridad de Oficinas, Habitaciones y Medios ...................................... 363
4.2.5.1.4
Proteccin contra Amenazas Externas y Ambientales............................ 364
4.2.5.1.5
Trabajo en reas Seguras ..................................................................... 366
4.2.5.1.6
reas de Acceso Pblico, Entrega y Carga............................................ 369
4.2.5.2
4.2.6
Antes del Empleo ..................................................................................... 343
4.2.4.1.1
4.2.4.2
4.2.5
Etiquetado y Manejo de la Informacin .................................................. 337
Seguridad del Equipo................................................................................ 370
4.2.5.2.1
Ubicacin y Proteccin del Equipo......................................................... 370
4.2.5.2.2
Servicios Pblicos ................................................................................. 371
4.2.5.2.3
Seguridad en el Cableado ..................................................................... 372
4.2.5.2.4
Mantenimiento de Equipos .................................................................... 373
4.2.5.2.5
Seguridad del Equipo Fuera del Local ................................................... 374
4.2.5.2.6
Eliminacin Segura o Re-Uso del Equipo .............................................. 375
4.2.5.2.7
Traslado de Propiedad .......................................................................... 376
GESTIN DE COMUNICACIONES Y OPERACIONES ....................................... 379
XVII
4.2.6.1
Procedimientos y Responsabilidades Operacionales ................................ 383
4.2.6.1.1
Procedimientos de Operacin Documentados ....................................... 383
4.2.6.1.2
Gestin de Cambios .............................................................................. 384
4.2.6.1.3
Segregacin de Deberes ....................................................................... 386
4.2.6.1.4
Separacin de los Medios de Desarrollo, Prueba y Operacin ............... 387
4.2.6.2
Gestin de la Entrega del Servicio de Terceros ......................................... 388
4.2.6.2.1
Entrega del Servicio .............................................................................. 388
4.2.6.2.2
Monitoreo y Revisin de los Servicios de Terceros ................................ 388
4.2.6.2.3
Manejo de Cambios en los Servicios de Terceros .................................. 389
4.2.6.3
Planeacin y Aceptacin del Sistema........................................................ 389
4.2.6.3.1
Gestin de la Capacidad ....................................................................... 389
4.2.6.3.2
Aceptacin del Sistema ......................................................................... 391
4.2.6.4
Proteccin contra Software Malicioso y Cdigo Mvil ................................ 391
4.2.6.4.1
Controles contra Software Malicioso ...................................................... 391
4.2.6.4.2
Controles contra Cdigos Mviles ......................................................... 393
4.2.6.5
4.2.6.5.1
4.2.6.6
Respaldo o Backup................................................................................... 394

Backup o Respaldo de la Informacin.................................................... 394
Gestin de Seguridad de la Red ............................................................... 396
4.2.6.6.1
Controles de Red .................................................................................. 396
4.2.6.6.2
Seguridad de los Servicios de Red ........................................................ 398
4.2.6.7
Gestin de Medios .................................................................................... 399
4.2.6.7.1
Gestin de los Medios Removibles ........................................................ 399
4.2.6.7.2
Eliminacin de Medios........................................................................... 400
4.2.6.7.3
Procedimientos de Manejo de la Informacin......................................... 401
4.2.6.7.4
Seguridad de Documentacin del Sistema............................................. 401
4.2.6.8
Intercambio de Informacin....................................................................... 402
4.2.6.8.1
Polticas y Procedimientos de Intercambio de Informacin ..................... 402
4.2.6.8.2
Acuerdos de Intercambio ....................................................................... 404
4.2.6.8.3
Medios Fsicos en Trnsito .................................................................... 406
4.2.6.8.4
Mensajes Electrnicos........................................................................... 406
4.2.6.9
Monitoreo ................................................................................................. 409
XVIII
4.2.7
4.2.6.9.1
Registro de Auditora ............................................................................. 409
4.2.6.9.2
Uso del Sistema de Monitoreo ............................................................... 410
4.2.6.9.3
Proteccin de la Informacin del Registro .............................................. 411
4.2.6.9.4
Registros del Administrador y Operador ................................................ 412
4.2.6.9.5
Registro de Fallas ................................................................................. 412
4.2.6.9.6
Sincronizacin de Relojes ..................................................................... 413
CONTROL DE ACCESO ..................................................................................... 415
4.2.7.1
4.2.7.1.1
4.2.7.2
Requerimiento Comercial para el Control de Acceso ................................. 418

Control de Acceso Lgico ...................................................................... 418
Gestin del Acceso del Usuario ................................................................ 421
4.2.7.2.1
Inscripcin del Usuario .......................................................................... 421
4.2.7.2.2
Gestin de Privilegios ............................................................................ 423
4.2.7.2.3
Gestin de las Claves Secretas de los Usuarios .................................... 424
4.2.7.2.4
Revisin de los Derechos de Acceso del Usuario .................................. 425
4.2.7.3
Responsabilidades del Usuario ................................................................. 427
4.2.7.3.1
Uso de Claves Secretas ........................................................................ 427
4.2.7.3.2
Equipo Desatendido del Usuario............................................................ 429
4.2.7.3.3
Poltica de Pantalla y Escritorio Limpio .................................................. 430
4.2.7.4
Control de Acceso a la Red ...................................................................... 432
4.2.7.4.1
Uso de los Servicios de la Red .............................................................. 432
4.2.7.4.2
Autenticacin del Usuario para las Conexiones Externas ....................... 433
4.2.7.4.3
Identificacin del Equipo en las Redes................................................... 433
4.2.7.4.4
Proteccin del Puerto de Diagnstico y Configuracin Remoto .............. 434
4.2.7.4.5
Segregacin en Redes .......................................................................... 434
4.2.7.4.6
Control de Conexin a la Red ................................................................ 435
4.2.7.4.7
Control de Routing de la Red................................................................. 435
4.2.7.5
Control de Acceso al Sistema Operativo ................................................... 436
4.2.7.5.1
Procedimientos de Registro en el Terminal ............................................ 436
4.2.7.5.2
Identificacin y Autenticacin del Usuario .............................................. 437
4.2.7.5.3
Sistema de Gestin de Claves............................................................... 437
4.2.7.5.4
Uso de las Utilidades del Sistema.......................................................... 438
XIX
4.2.7.5.5
Cierre de una Sesin por Inactividad ..................................................... 438
4.2.7.5.6
Limitacin del Tiempo de Conexin ....................................................... 439
4.2.7.6
4.2.7.6.1
Restriccin del Acceso a la Informacin................................................. 439
4.2.7.6.2
Aislamiento del Sistema Confidencial .................................................... 440
4.2.7.7
4.2.8
Control de Acceso a la Aplicacin e Informacin ....................................... 439
Computacin Mvil y Tele-trabajo ............................................................. 441
4.2.7.7.1
Computacin y Comunicaciones Mviles ............................................... 441
4.2.7.7.2
Tele-Trabajo.......................................................................................... 442
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACIN .................................................................................................. 445
4.2.8.1
4.2.8.1.1
4.2.8.2
Requerimientos de Seguridad de los Sistemas de Informacin ................. 448

Anlisis y Especificacin de los Requerimientos de Seguridad .............. 448
Procesamiento Correcto en las Aplicaciones............................................. 449
4.2.8.2.1
Validacin de la Data de Insumo ........................................................... 449
4.2.8.2.2
Control del Procesamiento Interno......................................................... 450
4.2.8.2.3
Integridad del Mensaje .......................................................................... 451
4.2.8.2.4
Validacin de la Data de Output ............................................................ 451
4.2.8.3
Controles Criptogrficos ........................................................................... 452
4.2.8.3.1
Uso de Controles Criptogrficos ............................................................ 452
4.2.8.3.2
Gestin de las Claves Criptogrficas ..................................................... 455
4.2.8.4
Seguridad de los Archivos del Sistema ..................................................... 456
4.2.8.4.1
Control del Software Operacional .......................................................... 456
4.2.8.4.2
Proteccin de la Data de Prueba del Sistema ........................................ 459
4.2.8.4.3
Control de Acceso al Cdigo Fuente del Programa ................................ 459
4.2.8.5
Seguridad en los Procesos de Desarrollo y Soporte .................................. 460
4.2.8.5.1
Procedimientos del Control de Cambios ................................................ 460
4.2.8.5.2
Revisin Tcnica de la Aplicacin despus de los Cambios en el ..............

Sistema ................................................................................................. 463
4.2.8.5.3
Restricciones en los Cambios de los Paquetes de Software .................. 464
4.2.8.5.4
Filtracin de Informacin ....................................................................... 464
4.2.8.5.5
Desarrollo de Software Abastecido Externamente ................................. 466
XX
4.2.8.6
4.2.8.6.1
4.2.9
Gestin de la Vulnerabilidad Tcnica ........................................................ 467

Control de las Vulnerabilidades Tcnicas .............................................. 467
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN .......... 469
4.2.9.1
Reporte de los Eventos y Debilidades de la Seguridad de la Informacin .. 471
4.2.9.1.1
Reporte de Eventos en la Seguridad de la Informacin .......................... 471
4.2.9.1.2
Reporte de Debilidades en la Seguridad de la Informacin .................... 472
4.2.9.2
Gestin de los Incidentes y Mejoras en la Seguridad de la Informacin ..... 473
4.2.9.2.1
Responsabilidades y Procedimientos .................................................... 473
4.2.9.2.2
Aprendizaje de los Incidentes en la Seguridad de la Informacin ........... 474
4.2.9.2.3
Recoleccin de Evidencia...................................................................... 477
4.2.10
GESTIN DE LA CONTINUIDAD COMERCIAL .................................................. 479
4.2.10.1
Aspectos de Seguridad de la Informacin en la Gestin de la

Continuidad Comercial.............................................................................. 481
4.2.10.1.1
Incluir la Seguridad de la Informacin en el Proceso de Gestin de

Continuidad Comercial ........................................................................ 481
4.2.10.1.2
Continuidad Comercial y Evaluacin del Riesgo .................................. 482
4.2.10.1.3
Desarrollar e Implementar Planes de Continuidad incluyendo la

Seguridad de la Informacin................................................................ 484
4.2.10.1.4
Marco Referencial de la Planeacin de la Continuidad Comercial ........ 485
4.2.10.1.5
Prueba, Mantenimiento y Re-Evaluacin de los Planes de

Continuidad Comercial ........................................................................ 487
4.2.11
CUMPLIMIENTO................................................................................................. 490
4.2.11.1
Cumplimiento de los Requerimientos Legales ........................................... 492
4.2.11.1.1
Identificacin de la Legislacin Aplicable ............................................. 492
4.2.11.1.2
Derechos de Propiedad Intelectual ...................................................... 500
4.2.11.1.3
Proteccin de Registros Organizacionales .......................................... 501
4.2.11.1.4
Proteccin de la Data y Privacidad de la Informacin Personal ............ 502
4.2.11.1.5
Prevencin del Mal Uso de los Medios de Procesamiento de la

Informacin ......................................................................................... 503
4.2.11.1.6
4.2.11.2
Regulacin de Controles Criptogrficos............................................... 504

Cumplimiento de las Polticas y Estndares de Seguridad, y
Cumplimiento Tcnico .............................................................................. 504
XXI
4.2.11.2.1
Cumplimiento de las Polticas y Estndares de Seguridad ................... 504
4.2.11.2.2
Chequeo del Cumplimiento Tcnico .................................................... 505
4.2.11.3
Consideraciones de Auditora de los Sistemas de Informacin .................. 506
4.2.11.3.1
Controles de Auditora de los Sistemas de Informacin ....................... 506
4.2.11.3.2
Proteccin de las Herramientas de Auditora de los Sistemas de

Informacin ......................................................................................... 507
5.1
CONCLUSIONES...................................................................................................... 509
5.2
RECOMENDACIONES.............................................................................................. 517
TOMO III
ANEXOS
Anexo A: Diagramas de los Subsistemas del Data Center Tier III

Anexo B: Anlisis de Riesgos de los Activos de los Subsistemas del Data Center
Anexo C: Objetivos de Control y Controles del Estndar ISO/IEC 27001:2005
XXII
NDICE DE FIGURAS
Figura 1.1: El CDC 600 el primer supercomputador........................................................................2
Figura 1.2: Microcomputadoras que ocuparon el lugar de las anticuadas Mainframes ....................3
Figura 1.3: Data Center de Google .................................................................................................4
Figura 1.4: Green Data Center .......................................................................................................5
Figura 1.5: Interconexin de las reas de un Data Center ..............................................................9
Figura 1.6: Distribucin de espacios en un Data Center................................................................ 10
Figura 1.7: reas de un Data Center ............................................................................................ 11
Figura 1.8: Topologa tpica de un Data Center ............................................................................ 18
Figura 1.9: Topologa de Data Center Reducido ........................................................................... 19
Figura 1.10: Topologa de Data Center Distribuido ....................................................................... 20
Figura 1.11: Configuracin de pasillos fros y calientes................................................................. 21
Figura 1.12: Rack con organizadores verticales ........................................................................... 23
Figura 1.13: Cableado Horizontal usando una topologa en estrella .............................................. 24
Figura 1.14: Cableado Backbone usando una topologa en estrella .............................................. 26
Figura 1.15: Cableado de fibra ptica centralizado ....................................................................... 27
Figura 1.16: Sistema de piso falso con bandejas de cables .......................................................... 29
Figura 1.17: Sistema de bandejas de cable areas ...................................................................... 30
Figura 1.18: Redundancia de las reas del Data Center para varios Tiers .................................... 31
Figura 1.19: Modelo de Tier I: Infraestructura bsica .................................................................... 35
Figura 1.20: Modelo de Tier II: Infraestructura con componentes redundantes.............................. 38
Figura 1.21: Modelo de Tier III: Infraestructura concurrentemente mantenible .............................. 41
Figura 1.22: Modelo de Tier IV: Infraestructura tolerante a fallas .................................................. 44
Figura 1.23: Clases ms comunes de vulnerabilidades ................................................................ 45
Figura 1.24: Intercepcin de la Informacin .................................................................................. 50
Figura 1.25: Modificacin de la Informacin.................................................................................. 51
Figura 1.26: Interrupcin de la Informacin................................................................................... 51
Figura 1.27: Fabricacin de la Informacin ................................................................................... 52
Figura 1.28: a) Three-Way Handshake, b) Sync Flood ................................................................. 57
Figura 1.29: Firewall..................................................................................................................... 61
Figura 1.30: Proceso del Proxy Gateway...................................................................................... 62
Figura 1.31: Proceso Dual-Homed Host ....................................................................................... 62
Figura 1.32: Screened Host.......................................................................................................... 63
Figura 1.33: Screened Subnet ...................................................................................................... 64
Figura 1.34: Funcionamiento de un ACL ...................................................................................... 65
Figura 1.35: Estructura de la Norma ISO/IEC 27001:2005 ............................................................ 71
Figura 1.36: Modelo PDCA........................................................................................................... 72
Figura 2.1: Distribucin del mercado de Servicios Portadores en Quito ........................................ 82
XXIII
Figura 2.2: Mapa de pliegues y fallas de Quito ............................................................................. 95

Figura 2.3: Diagrama de la SAN de un Data Center Tier III modelo ............................................ 103
Figura 2.4: Rangos de temperatura y humedad de conservacin de medios de almacenamiento104
Figura 2.5: Diagrama de Red de un Data Center Tier III modelo ................................................. 106
Figura 2.6: Diagrama de Bloques del Sistema Elctrico .............................................................. 116
Figura 2.7: Sistema de enfriamiento por expansin directa o seca .............................................. 118
Figura 2.8: Sistema de enfriamiento por expansin indirecta ...................................................... 119
Figura 2.9: Sistema de agua refrigerada y congelada (chiller) ..................................................... 119
Figura 2.10: Relacin del incremento de fallos de los equipos con respecto el aumento de la
temperatura ambiental. ........................................................................................... 120
Figura 2.11: Nomenclatura del Sistema Mecnico ...................................................................... 121
Figura 2.12: Esquema del Sistema Mecnico ............................................................................. 122
Figura 2.13: Sistemas detector y extintor de fuego por agentes gaseosos .................................. 128
Figura 2.14: Esquema de Control de Acceso centralizado .......................................................... 129
Figura 2.15: Esquema de videovigilancia IP ............................................................................... 130
Figura 2.16: Organigrama de un Data Center modelo de Alta Gama. ......................................... 139
Figura 3.1: Proceso de Gestin de Riesgos ................................................................................ 152
Figura 3.2: Elementos del Anlisis de Riesgos ........................................................................... 155
Figura 3.3: Dependencia de la Documentacin .......................................................................... 175
Figura 3.4: Dependencia de los Activos de Software .................................................................. 176
Figura 3.5: Dependencia del Sistema de Telecomunicaciones.................................................... 177
Figura 3.6: Dependencia del Sistema Contra Incendios .............................................................. 178
Figura 3.7: Dependencia de los Monitoreos ................................................................................ 179
Figura 3.8: Dependencia del Sistema Elctrico........................................................................... 180
Figura 3.9: Dependencia del Sistema Mecnico ......................................................................... 180
Figura 3.10: Dependencia del Sistema de Control de Acceso ..................................................... 181
Figura 3.11: Dependencia del Sistema de Videovigilancia .......................................................... 181
Figura 3.12: rboles de Ataque .................................................................................................. 185
Figura 4.1: Actividades del tratamiento del riesgo ....................................................................... 253
Figura 4.2: Relacin entre la Estructura Organizacional del Data Center y sus funciones de
seguridad.................................................................................................................. 300
Figura 4.3: Proceso para la Gestin de Eventos e Incidentes ..................................................... 476
XXIV
NDICE DE TABLAS
Tabla 2.1: Operadores ISPs predominantes en Quito ................................................................... 83
Tabla 2.2: Simbologa para evaluacin del tiering ......................................................................... 84
Tabla 2.3: Evaluacin del Subsistema de Telecomunicaciones .................................................... 85
Tabla 2.4: Evaluacin del Subsistema Arquitectnico ................................................................... 87
Tabla 2.5: Evaluacin del Subsistema Elctrico ............................................................................ 89
Tabla 2.6: Evaluacin del Subsistema Mecnico .......................................................................... 91
Tabla 2.7: Evaluacin global de los Data Centers visitados .......................................................... 92
Tabla 2.8: Aspectos claves del almacenamiento de las cintas magnticas.................................. 105
Tabla 2.9: Distancias de Cableado Estructurado ........................................................................ 109
Tabla 2.10: Parmetros de Fibra ptica Multimodo .................................................................... 110
Tabla 2.11: Lmites de Temperatura y Humedad dentro del Cuarto de Equipos .......................... 120
Tabla 2.12: Inventario de Equipos del Sistema de Telecomunicaciones...................................... 142
Tabla 2.13: Inventario de Equipos del Sistema Mecnico ........................................................... 143
Tabla 2.14: Inventario de Equipos del Sistema Elctrico ............................................................. 144
Tabla 2.15: Inventario de Equipos del Sistema Detector de Incendios ........................................ 145
Tabla 2.16: Inventario de Equipos del Sistema Extintor de Incendios.......................................... 146
Tabla 2.17: Inventario de Equipos del Sistema de Videovigilancia IP .......................................... 146
Tabla 2.18: Inventario de Equipos del Control de Acceso ........................................................... 147
Tabla 3.1: Criterio de Valoracin del Costo del Activo................................................................. 160
Tabla 3.2: Criterio de Valoracin de la Prdida de Reputacin y Confianza del Cliente ............... 160
Tabla 3.3: Criterio de Valoracin de Violacin de la Ley y Regulaciones..................................... 161
Tabla 3.4: Criterio de Valoracin de Prdida de Ventaja Competitiva.......................................... 161
Tabla 3.5: Criterio de Valoracin de Violacin de la Informacin Privada .................................... 161
Tabla 3.6: Criterio de Valoracin de Violacin del Contrato de Confidencialidad del Cliente........ 161
Tabla 3.7: Criterio de Valoracin de Interrupcin del Servicio ..................................................... 162
Tabla 3.8: Criterio de Valoracin de Interrupcin de la Administracin y Gestin ........................ 162
Tabla 3.9: Criterio de Valoracin de Incumplimiento del Contrato Cliente ................................... 162
Tabla 3.10: Criterios de Valoracin de la Confidencialidad de los Activos ................................... 163
Tabla 3.11: Criterios de Valoracin de la Integridad de los Activos ............................................. 163
Tabla 3.12: Criterios de Valoracin de la Disponibilidad de los Activos ....................................... 163
Tabla 3.13: Criterios de Valoracin del Nivel de Importancia del Activo ...................................... 164
Tabla 3.14: Criterio de Grado de Afectacin sobre un Activo ...................................................... 168
Tabla 3.15: Criterios de Valoracin del Impacto .......................................................................... 168
Tabla 3.16: Criterios de Valoracin del Impacto Total ................................................................. 169
Tabla 3.17: Criterios de Valoracin de Probabilidad de Ocurrencia ............................................. 170
Tabla 3.18: Criterios de Valoracin del Riesgo ........................................................................... 172
Tabla 3.19: Criterios de Valoracin del Riesgo Total................................................................... 172
XXV
Tabla 3.20: Criterios de Aceptacin y Tratamiento del Riesgo .................................................... 173

Tabla 3.21: Nomenclatura del origen de las amenazas ............................................................... 182
Tabla 3.22: Listado de Amenazas .............................................................................................. 186
Tabla 3.23: Valoracin de Activos de Documentacin del Data Center ....................................... 191
Tabla 3.24: Valoracin de Activos de Software del Data Center.................................................. 192
Tabla 3.25: Valoracin de Activos de Red del Data Center ......................................................... 193
Tabla 3.26: Valoracin de Activos de Soporte Elctrico del Data Center ..................................... 195
Tabla 3.27: Valoracin de Activos de Soporte Mecnico del Data Center ................................... 196
Tabla 3.28: Valoracin de Activos del Sistema de Vigilancia del Data Center ............................. 196
Tabla 3.29: Valoracin de Activos de Soporte del Sistema Contra Incendios .............................. 197
Tabla 3.30: Valoracin de Activos de Control de Acceso del Data Center ................................... 198
Tabla 3.31: Anlisis del Riesgo de un Activo de Documentacin ................................................ 203
Tabla 3.32: Anlisis del Riesgo de un Activo de Software ........................................................... 206
Tabla 3.33: Anlisis del Riesgo de un Activo del Sistema de Telecomunicaciones ...................... 210
Tabla 3.34: Anlisis del Riesgo de un Activo de Soporte Elctrico .............................................. 216
Tabla 3.35: Anlisis del Riesgo de un Activo de Soporte Mecnico............................................. 221
Tabla 3.36: Anlisis del Riesgo de un Activo del Sistema Contra Incendios ................................ 226
Tabla 3.37: Anlisis del Riesgo de un Activo de Control de Acceso ............................................ 230
Tabla 3.38: Anlisis del Riesgo de un Activo del Sistema de Vigilancia....................................... 234
Tabla 4.1: Objetivos de Control y Controles seleccionados para las distintas amenazas............. 255
Tabla 4.2: Objetivos de Control y Controles Generales ............................................................... 284
Tabla 4.3: Enunciado de Aplicabilidad ........................................................................................ 286
Tabla 4.4: Algoritmos de Cifrado Simtrico ................................................................................. 454
Tabla 4.5: Algoritmos de Cifrado Asimtrico ............................................................................... 454
XXVI
RESUMEN
El presente proyecto plantea el diseo de un Sistema de Gestin de Seguridad de
la Informacin para un Data Center modelo Tier III, en base a la norma ISO/IEC
27001. Se realiza un anlisis de los posibles riegos de un Data Center de alta
gama y se proponen controles y polticas que garanticen la seguridad de su
informacin.
En el captulo 1 se realiza una descripcin sobre los Data Centers, as como los
conceptos referentes a la seguridad de la informacin, ataques, vulnerabilidades y
los mtodos de mitigacin de riesgos. Adems se detalla la normativa
internacional
ANSI/TIA942-A y los lineamientos de la norma ISO/IEC
27001:2005.
En el captulo 2 se analiza la situacin actual de los Data Centers de tres ISPs de

la ciudad de Quito, donde se detallan los activos de un Data Center Tier III.
Tambin se muestra cmo la implementacin de la norma TIA/EIA942-A protege
a la informacin contra los incidentes de infraestructura fsica.
En el captulo 3 se desarrolla el SGSI, estableciendo los lineamientos de

evaluacin y el Anlisis de Riesgos, identificando los activos, amenazas y
vulnerabilidades presentes; as como el impacto ante la ocurrencia de un evento
no deseado.
En el captulo 4 se establecen las polticas, procesos y controles necesarios para

mitigar las amenazas encontradas en la matriz de riesgos de tal forma que
cumplan los objetivos y alcance que necesita un Data Center Tier III, elaborando
un Enunciado de Aplicabilidad el cual proporciona un resumen de los objetivos de
control y controles propios de la norma ISO/IEC 27001
En el captulo 5 se determinan las conclusiones y recomendaciones del presente

proyecto.
XXVII
Los anexos incluyen los diagramas y esquemas de los subsistemas del Data
Center, el Anlisis de Riesgos detallado de los todos los activos y los objetivos de
control y controles descritos en la norma ISO/IEC 27001:2005.
PRESENTACIN
En la actualidad la demanda de servicios tales como hosting, housing y cloud
computing por parte de diversas instituciones ha generado la necesidad de
establecer Data Centers ms seguros y robustos para poder cubrirlos. La norma
ANSI/TIA942-A establece los lineamientos de diseo de Data Centers de gama
alta, como el Data Center Tier III, cuya infraestructura est destinada a preservar
la seguridad fsica de la informacin con altos niveles de redundancia, pero no
asegura un buen manejo de la informacin.
La informacin en una empresa es uno de los activos ms importantes que posee

debido a que tiene un impacto directo en las decisiones del negocio. Por esta
razn el presente proyecto tiene como objetivo establecer un Sistema de Gestin
de la Informacin (SGSI), en base a la norma internacional ISO/IEC 27001:2005,
para Data Centers Tier III modelos de ISPs en la ciudad de Quito, con la finalidad
de realizar una adecuada administracin de la informacin, asegurando que los
procedimientos y los controles sean capaces de contrarrestar de manera efectiva
los distintos incidentes de seguridad que puedan ocurrir.
La realizacin del Proyecto de Titulacin se encuentra basada en el anlisis de

distintos centros de datos de Quito, determinando los activos y riesgos de
informacin, as como las polticas de seguridad para aquellos Data Centers que
sean de categora Tier III.
Este proyecto es de importancia ya que puede servir de gua para futuros trabajos
relacionados con la seguridad de la informacin o para que los ISPs que cuentan
con Data Centers de Gama Alta obtengan una certificacin ISO/IEC 27001:2005,
lo que las ayudar a ganar reputacin y clientes, mejorando sus ingresos, y
evitando que la integridad, disponibilidad y confidencialidad de los datos
almacenados y procesados en el Data Center se vean comprometidos.
CAPTULO 1
MARCO TERICO
1
1.1 INTRODUCCIN A LOS DATA CENTERS [1]
1.1.1 DEFINICIN
Data Center (DC), Centro de Datos o Centro de Procesamiento de Datos (CPD)

es aquella ubicacin empleada para albergar los sistemas de informacin y sus
componentes
asociados,
como
sistemas
de
almacenamiento
telecomunicaciones, los cuales son necesarios para el procesamiento de la

informacin de una organizacin. Generalmente incluye fuentes de alimentacin
de respaldo, conexiones redundantes de comunicaciones, controles ambientales
(por ejemplo, aire acondicionado) y otros dispositivos de seguridad.
Esta infraestructura garantiza la continuidad del servicio a clientes, empleados,

ciudadanos, proveedores y empresas colaboradoras, pues en estos mbitos es
muy importante la proteccin fsica de los equipos informticos o de
comunicaciones implicadas, as como servidores de bases de datos que puedan
contener informacin crtica.
1.1.2 HISTORIA DE LOS DATA CENTERS [2]
Los Data Centers, como se los conoce en la actualidad, han tenido una evolucin
desde los primeros tiempos de la computacin hasta el desarrollo de nuevas
tecnologas que trabajen de forma eficiente y con mayor responsabilidad hacia el
medio ambiente.
Los centros de datos tienen sus races en los enormes cuartos de informtica de
los primeros tiempos de la industria de la computacin. Los sistemas informticos
iniciales eran complejos para operar y mantener, y requeran un ambiente
especial para trabajar. Se necesitaban muchos cables para conectar todos los
componentes y surgieron mtodos para organizarlos, como los estndares para
montar equipos en racks1, pisos falsos y las bandejas de cable (areas o
subterrneas). Adems, las viejas computadoras requeran una gran cantidad de
alimentacin, y tenan que ser enfriadas para evitar el sobrecalentamiento. La
seguridad era importante, las computadoras eran costosas y se utilizaban con
frecuencia para fines militares. Los Data Centers iniciales no estaban diseados
para proporcionar facilidades de red avanzadas, ni cumplan los requerimientos
mnimos de ancho de banda y velocidad de las arquitecturas actuales. La Figura
1.1 muestra al CDC 600, el antecesor de los cuartos de cmputo modernos.
Figura 1.1: El CDC 600 el primer supercomputador [3]
Durante el auge de la industria de microcomputadoras, y especialmente durante la

dcada de 1980, las computadoras comenzaron a ser desplegadas en todas
partes, en muchos casos con poco o ningn cuidado acerca de los requisitos de
1
Rack o Armario de Telecomunicaciones: soporte metlico para alojar equipos informticos.
funcionamiento. Sin embargo, como las operaciones de Tecnologas de la

Informacin (TI)2 comenzaron a crecer en complejidad, las empresas crecieron
conscientes de la necesidad de controlar los recursos de TI. Con la llegada del
modelo cliente-servidor3, durante la dcada de los 90s, las microcomputadoras,
ahora llamadas servidores, (ver Figura 1.2) encontraron su lugar en los viejos
cuartos de computadores. La disponibilidad de redes de equipos de bajo costo
junto con las nuevas normas de cableado de red, hicieron posible el uso de un
diseo jerrquico que puso a los servidores en una sala especfica dentro de la
empresa. El uso del trmino centro de datos o Data Center, en relacin a las
salas de ordenadores especialmente diseados, comenz a ganar reconocimiento
popular en ese tiempo.
Figura 1.2: Microcomputadoras que ocuparon el lugar de las anticuadas Mainframes4 [3]
La rpida evolucin de Internet y la necesidad de estar conectados en todo

momento han obligado a las empresas a requerir un alto nivel de fiabilidad y
seguridad, de tal forma que se proteja la informacin corporativa y est disponible
sin interrupciones o degradacin del acceso, con el objetivo de no poner en
peligro sus negocios. Muchas compaas comenzaron a construir instalaciones
Tecnologas de la Informacin: Conjunto de elementos y tcnicas usadas para el tratamiento y

transmisin de la informacin.
3
Modelo cliente-servidor: Modelo distribuido donde los clientes realizan peticiones a un servidor
que centraliza y gestiona los recursos o aplicaciones.
4
Mainframe: Tambin llamada computadora central es una computadora grande, potente y
costosa usada principalmente para el procesamiento de una gran cantidad de datos.
muy grandes denominadas Centro de Datos de Internet o Internet Data Center

(IDC), las cuales fueron responsables de las operaciones de los sistemas de
computacin dentro de las compaas y el despliegue de nuevos sistemas.
Estos grandes centros de datos revolucionaron las tecnologas y las prcticas

operativas dentro de la industria. Sin embargo, no todas las compaas podan
implementar un gran Centro de Datos de Internet. El espacio fsico, requerimiento
de equipos y personal altamente calificado hicieron a estos grandes centros de
datos extremadamente caros y a veces imprcticos. Estos modelos migraron
eventualmente hacia Data Centers privados, los cuales realizan la gestin,
mantenimiento y administracin de los equipos de las empresas, permitiendo a las
mismas centrarse en el desarrollo de su propio negocio y olvidarse de
complejidades tecnolgicas y los costos de inversin relacionados a la
implementacin de un Data Center. En la Figura 1.3 se visualiza el interior del
cuarto de cmputo de un Data Center de Google.
Figura 1.3: Data Center de Google [4]
En la actualidad, el diseo y operacin de los Data Centers se los realiza en base

a estndares como el ANSI/TIA-942-A o recomendaciones del Uptime Institute,
los cuales indican requerimientos y procesos en las reas de infraestructura de TI,
seguridad de la informacin e impacto ambiental, de tal forma que las empresas
no pierdan la continuidad del negocio.
Para solventar el crecimiento exponencial de la necesidad de almacenar datos, se

necesita implementar Data Centers ms robustos, lo que acarrea un incremento
en el consumo de energa y emisiones contaminantes. Pronto el gasto en
suministro de energa y refrigeracin de los centros de datos superar al
presupuesto destinado al hardware. Estos inconvenientes llevan a que se
construyan Green Data Centers (ver Figura 1.4) diseados de tal manera que sus
sistemas mecnicos, arquitectnicos y elctricos maximicen la eficiencia
energtica y minimicen los impactos ambientales, beneficiando no solo a las
empresas sino tambin a las comunidades. [5]
Figura 1.4: Green Data Center [6]
1.1.3 SERVICIOS DE UN DATA CENTER
Las tecnologas de la informacin han llegado a ser indispensables en la

operacin de una empresa, por lo que asegurar la continuidad del negocio es de
vital importancia.
Con el fin de mantener la informacin siempre disponible ante cualquier

eventualidad, las empresas han desarrollado Data Centers de alta disponibilidad.
Si bien cada compaa puede construir y adecuar su propio Data Center, una
tendencia fuerte en la actualidad es la de arrendar ese tipo de instalaciones y
contratar su manejo con compaas especializadas.
Algunos servicios ofrecidos por Data Centers son: [1] [7] [8] [9]
Housing: Servicio que consiste en arrendar un espacio en el centro de

datos para que las empresas coloquen sus equipos de red (servidores o
infraestructura de cmputo). Dicha rea se encuentra diseada para
soportar las necesidades de escalabilidad, redundancia, balanceo de
carga, climatizacin, respaldo de energa y seguridad. El alquiler de este
servicio se lo puede realizar por espacio de piso, consumo de energa,
ancho de banda que utilizan los equipos o unidades de racks.
Hosting: Este servicio permite a una empresa alojar su informacin del

negocio y programas en un servidor ubicado en un centro de datos externo.
Los servidores son monitoreados permanentemente con el apoyo de
herramientas de supervisin y administracin que permiten ofrecer un
diagnstico
preventivo
de
los
equipos
solucin
de
cualquier
inconveniente.
Servicios por demanda: En los Data Centers se pueden implementar

soluciones especficas a las necesidades del cliente. En los servicios bajo
demanda, se utilizan herramientas tecnolgicas y de administracin en la
medida en que se vayan necesitando y de acuerdo a ello se establece un
costo. Este modelo evita que se desperdicie capacidad que nunca se va a

utilizar o que se pueda ampliar la operacin rpidamente en caso de
alguna necesidad.
Almacenamiento de Informacin: Las empresas necesitan albergar su

informacin de manera segura, confiable y disponible. Los Data Centers
permiten tener arquitecturas de servidores Blade y storage para servicios
de virtualizacin de infraestructura o para respaldo de informacin del
negocio.
Servicios Web y Correo Electrnico: La presencia de las compaas en

Internet es un paso importante para la exposicin de su negocio a nivel
global. El Web hosting aloja los sitios web que sern publicadas en la web
para su acceso. Otro servicio es la administracin de cuentas de correo y
dominios, que permite a la empresa tener una comunicacin efectiva entre
sus miembros.
Cloud Hosting: El alojamiento web en la "nube" (cloud hosting) permite a un

gran nmero de mquinas actuar como un solo sistema conectadas a un
grupo de medios de almacenamiento. La seguridad de un sitio web alojado
en la "nube" est garantizada por numerosos servidores en lugar de uno
solo. La tecnologa de computacin en la nube tambin elimina cualquier
limitacin fsica para el crecimiento en tiempo real y hace que la solucin
sea extremadamente flexible.
Servicios de Respaldo: Los Data Centers tambin pueden ser usados

como centros de respaldo en caso de que existiese alguna eventualidad
con el sistema central de una empresa. De esta forma la infraestructura del
centro de datos entrara en funcionamiento, lo que garantizara que la
entidad contine operando y la informacin siempre est resguardada.
1.2 FUNDAMENTOS DEL ESTNDAR DE INFRAESTRUCTURA

DE
TELECOMUNICACIONES
PARA
DATA
CENTERS
ANSI/TIA-942-A [10]
La Asociacin de Industrias de Telecomunicaciones (TIA) desarroll el estndar
ANSI/TIA-942-A con el propsito de proveer requerimientos y guas para el diseo
e instalacin de un Data Center.
El estndar especifica los requerimientos mnimos para la infraestructura de

telecomunicaciones de los Data Centers y cuartos de cmputo incluyendo Data
Centers empresariales de nico inquilino y Data Centers de "hosting" de Internet
multi-inquilinos, aunque es aplicable a un Data Center de cualquier tamao.
Tambin provee informacin relacionada al sistema de cableado estructurado,

reas y topologas encontradas en un Data Center, as como sus lineamientos
sobre los subsistemas de infraestructura (arquitectura, elctrico y mecnico), para
clasificarlos en funcin del grado de disponibilidad conforme con la normativa del
Uptime Institute.
1.2.1 ESTRUCTURA DE UN DATA CENTER
En un Data Center existen espacios para adecuar los equipos y cableado de

telecomunicaciones; dichos espacios son: Cuarto de Cmputo, Cuarto de
Entrada, rea de Distribucin Principal (MDA), rea de Distribucin Intermedia
(IDA), rea de Distribucin Horizontal (HDA), rea de Distribucin de Zona (ZDA),
rea de Distribucin de Equipos (EDA) y Cuarto de Telecomunicaciones
La Figura 1.5 ilustra la interconexin de los espacios del Data Center a travs del
cableado estructurado. Las Figuras 1.6 y 1.7 muestran las distribuciones de
dichas reas en un Data Center tpico.
Proveedor de
Acceso
Proveedor de
Acceso
Cuarto de Entrada
Cuarto de Entrada
ENI
ENI
MDA
MDA
MC
MC
IDA
IC
HDA
Cableado
Horizontal para
espacios fuera el
Cuarto de Cmputo
HC
HC
ZDA
ZDA
CP
CP
EDA
HC
IC
HDA
EF
TR
IDA
EF
EDA
EF
EDA
EF
EDA
EF
EDA
EF
EDA
Leyenda
Cableado de Backbone
Cableado Horizontal
Cross-connect
Inter-connect
Toma de red
Espacio de Telecomunicaciones
ENI
MC
IC
HC
CP
MDA
IDA
HDA
ZDA
EDA
TR
EF
Interfaz con Redes Externas

Cross-Connect Principal
Cross-Connect Intermedio
Cross-Connect Horizontal
Punto de Consolidacin
rea de Distribucin Principal
rea de Distribucin Intermedia
rea de Distribucin Horizontal
rea de Distribucin de Zona
rea de Distribucin de Equipos
Cuarto de Telecomunicaciones
Equipos Finales
Figura 1.5: Interconexin de las reas de un Data Center [10]
ZDA
Cuarto de Cmputo
Cuarto de
Entrada 1
MDA/IDA
Cuarto de
Telecomunicaciones
EDA
HDA
EDA
EDA
Cuarto de
Entrada 2
MDA/IDA
EDA
LEYENDA
REAS DEL DATA CENTER

Cuarto de Entrada
Cuarto de Cmputo
rea de Distribucin Principal (MDA)
rea de Distribucin Intermedia (IDA)
rea de Distribucin Horizontal (HDA)
rea de Distribucin de Zona (ZDA)
rea de Distribucin de Equipos (EDA)
10
Figura 1.6: Distribucin de espacios en un Data Center
11
Figura 1.7: reas de un Data Center [11]
1.2.1.1 Cuarto de Cmputo
El Cuarto de Cmputo alberga los equipos y cableado que estn relacionados a

los sistemas de cmputo y de telecomunicaciones. Debe estar ubicado donde no
existan elementos de construccin que interrumpan su crecimiento. Tambin se
debe proveer acceso para la entrega de equipos grandes y no tener ventanas
externas, ya que aumentan la temperatura y reducen la seguridad.
1.2.1.1.1 Caractersticas Arquitectnicas
El tamao del Cuarto de Cmputo debe cumplir con los requerimientos de los
equipos incluyendo los espacios libres apropiados. Si se tienen UPSs5 que
contengan bateras de celdas inundadas6 deben estar ubicados en un cuarto
separado.
UPS: Dispositivo que proporciona energa elctrica de respaldo por un tiempo limitado durante
un apagn a los elementos que tenga conectado.
6
Batera de celdas inundadas: Tambin llamadas bateras de celda hmeda o de cido y plomo.
Son aquellas donde sus partes internas se encuentran cubiertas por lquido y son las ms
comnmente utilizadas en los automotores.
12
La altura mnima de este cuarto es de 2,6 m del piso terminado a cualquier

obstculo en el techo como aspersores de agua, accesorios de iluminacin o
cmaras. En caso de equipos ms altos de 2,13 m, se necesitar mayor altura en
el cuarto, tomando en cuenta que debe existir un mnimo de 460 mm de espacio
libre a partir de los aspersores de agua.
La iluminacin debe estar colocada entre gabinetes para mayor eficiencia;

adems se tiene un protocolo de tres niveles:
Nivel 1. Data Center desocupado, donde la iluminacin debe ser suficiente

para el funcionamiento de videovigilancia.
Nivel 2. Se deben poner sensores de movimiento para iluminar la entrada
inicial al Data Center y los pasillos.
Nivel 3. En los lugares donde exista interaccin con equipos, la iluminacin
debe ser de 500 lux en el plano horizontal y 200 lux en el vertical medidos
desde 1 m sobre el piso terminado.
Las puertas debern tener un mnimo de 1 m de ancho y 2,13 m de alto, con

bisagras para abrir hacia afuera, para deslizar de lado a lado, o ser removibles.
La capacidad de carga del piso deber ser suficiente para soportar tanto la carga
distribuida y concentrada de los equipos instalados como del cableado asociado y
los medios de comunicacin. La capacidad mnima de carga distribuida en el piso
deber ser de 7,2 kPa (150 lbf/ft2) y la recomendada es de 12 kPa (250 lbf/ft2).
1.2.1.1.2 Caractersticas Ambientales
El Cuarto de Cmputo debe tener un sistema propio de HVAC (Heating,

Ventilation, and Air Conditioning)7, y en caso de no tenerlo, se utilizar el HVAC
del sistema principal.
HVAC o Climatizacin: conjunto de mtodos necesarios para crear condiciones adecuadas de

temperatura, humedad y limpieza del aire para la comodidad dentro de los espacios habitados
13
El HVAC debe estar operativo 24 horas al da, 365 das al ao, mantener una
temperatura de 18C a 27C, dar una humedad de 60% y tener alimentacin
elctrica independiente para los equipos de telecomunicaciones. El sistema HVAC
debe estar conectado al sistema generador de reserva del Cuarto de Cmputo o
del edificio, en su defecto.
1.2.1.1.3 Caractersticas Elctricas
El cuarto tendr tomacorrientes dplex (120 V, 20 A) para la conexin de otros

equipos como los de limpieza, los cuales no deben depender de los mismos
paneles elctricos usados para los equipos de telecomunicaciones y deben estar
espaciados a 3,65 m de distancia a lo largo de las paredes de la sala de cmputo.
Los paneles elctricos del cuarto deben estar respaldados por el sistema
generador de reserva del Cuarto de Cmputo, si hay uno instalado; de no ser el
caso, los paneles elctricos debern conectarse al sistema generador de reserva
del edificio.
1.2.1.1.4 Proteccin de Fuego y Filtracin de Agua
Los equipos automticos de deteccin sern instalados para proporcionar alerta

temprana de incendios; se instalarn a nivel del techo en toda el rea de cmputo.
Existir un sistema automtico de rociadores para proteger los equipos de dicha
rea.
En caso de riesgo de entrada de agua debe existir un medio de evacuacin de la

misma por cada 100 m2 del rea. Las tuberas de agua no deben pasar por
encima de los equipos en el cuarto.
1.2.1.2 Cuarto de Entrada
14
Es el espacio donde se ubica la interfaz entre el sistema de cableado estructurado

del Data Center y el cableado externo; tambin contiene equipos del proveedor de
servicios y el punto de demarcacin.
Para mayor seguridad este cuarto puede estar fuera del Cuarto de Cmputo,
aunque debe asegurarse que no se excedan las distancias mximas permitidas
por el cableado. Grandes Data Centers pueden tener varios Cuartos de Entrada
para proporcionar redundancia y soportar varios tipos de circuitos por todo el
Cuarto de Cmputo, los cuales deben evitar interferencias con el flujo de aire,
tuberas de agua helada u otras rutas de cableado.
El espacio del Cuarto de Entrada debe estar dimensionado para cumplir con los
requerimientos de nmero de proveedores de acceso, nmero y tipos de circuitos,
equipos, tanto del proveedor como del Data Center y vas para el cableado.
Las caractersticas de altura de techo, pisos, iluminacin, puertas, sealizacin,

caractersticas ssmicas, HVAC, respaldo elctrico, proteccin de fuego y agua,
deben ser las mismas que para el Cuarto de Cmputo.
1.2.1.3 rea de Distribucin Principal (MDA)
En esta rea se encuentra el cross-connect principal (MC), que es el punto de

distribucin para el sistema de cableado estructurado. Los routers8 y switches9
LAN10 y SAN11 de ncleo generalmente se encuentran ubicados en esta rea. Un
Data Center debe tener al menos una MDA y debe estar situada en el centro del
edificio para evitar que se sobrepasen las distancias mximas para las
aplicaciones que soporta, incluyendo la longitud mxima del cable de los circuitos
del proveedor de acceso fuera del Cuarto de Entrada.
Router o Enrutador: dispositivo de capa 3 que permite la interconexin entre dispositivos IP que
se encuentran en redes diferentes.
9
Switch o Conmutador: dispositivo de capa 2 que permite interconectar dos o ms segmentos de
red basados en la direccin MAC de destino de las tramas en la red.
10
LAN: Local Area Network, sistema de comunicacin entre computadoras, donde su distancia de
separacin es corta.
11
SAN: Storage Area Network, red dedicada al almacenamiento que est conectada a las redes
de comunicacin de una compaa.
15
Si el rea de Distribucin Principal est en una habitacin cerrada, tendr un

HVAC, PDU y UPS, alimentados con paneles de energa en esta zona, donde los
controles de temperatura y aire acondicionado sern alimentados por los mismos
paneles que sirven a los equipos de telecomunicaciones.
El rea de Distribucin Principal puede servir a una o ms reas de Distribucin

Intermedia, reas de Distribucin Horizontal, reas de Distribucin de Equipos
dentro del centro de datos y uno o ms cuartos de telecomunicaciones situados
fuera del Cuarto de Cmputo para soportar espacios de oficinas, centro de
operaciones y otras salas de apoyo externas.
1.2.1.4 rea de Distribucin Intermedia (IDA)
El rea de Distribucin Intermedia puede proporcionar un segundo nivel de

subsistema de cableado en los centros de datos demasiado grandes donde el
cableado proveniente desde el MDA y el cableado entre el rea de Distribucin
Horizontal (HDA) y el rea de Distribucin de Equipos (EDA) son insuficientes. El
IDA es opcional y puede incluir equipos activos. En los centros de datos que son
utilizados por varias organizaciones, como Data Centers para recuperacin de
desastres, centros de alojamiento web de datos e instalaciones de co-ubicacin,
el rea de Distribucin Intermedia debe estar en un espacio seguro y
centralizado.
El rea de Distribucin Intermedia puede servir a una o ms reas de Distribucin

Horizontales y reas de Distribucin de Equipos dentro del centro de datos, y una
o ms salas de telecomunicaciones situadas fuera del cuarto de equipos.
1.2.1.5 rea de Distribucin Horizontal (HDA)
Es utilizada para abastecer a las reas de equipos cuando el cross-connect

horizontal no se encuentra en el rea de Distribucin Principal o Intermedia. El
16
cross-connect horizontal (HC) es el punto de distribucin del cableado para las

reas de Distribucin de Equipos. Los switches LAN y SAN, teclado/vdeo/ratn
(KVM-Keyboard-Video-Mouse)
utilizados
para
modificaciones
en
las
configuraciones del equipo final, estn ubicados en esta rea.

Si esta rea se encuentra en una habitacin cerrada se debe considerar un HVAC
dedicado, un PDU (Power Distribution Unit)12, y un UPS. Los circuitos de control
de temperatura y aire acondicionado deben ser alimentados por una PDU
diferente a la que sirve a los equipos de telecomunicaciones.
1.2.1.6 rea de Distribucin de Zona (ZDA)
Es un punto de interconexin opcional en el cableado horizontal, el cual est

ubicado entre el rea de Distribucin Horizontal y el rea de Distribucin de
Equipos;
se
utiliza
normalmente
en
entornos
donde
se
requieren
reconfiguraciones y cambios con mucha frecuencia.
Debe limitarse a servir a un mximo de 288 conexiones de par trenzado o coaxial

para evitar la congestin del cable. En esta rea no habr cross-connections, ni
equipos activos.
1.2.1.7 rea de Distribucin de Equipos (EDA)
Son espacios asignados para equipos finales como servidores, mainframes,

dispositivos
de
almacenamiento,
incluidos
los
sistemas
equipos
de
comunicacin. No deben utilizarse como Cuartos de Entrada, reas de

Distribucin Principal o reas de Distribucin Horizontal. El cableado horizontal
termina en esta rea donde se conecta con los equipos finales montados en
gabinetes o racks.
12
PDU: dispositivo equipado con mltiples salidas diseado para distribuir energa elctrica a un
rack de computadoras o equipos de red.
17
Se permite cableado punto a punto entre equipos de esta rea; la longitud del
cableado no debe ser mayor a 15 m, y este cableado debe establecerse entre los
equipos de racks adyacentes o gabinetes de la misma fila.
1.2.1.8 Cuarto de Telecomunicaciones
Es el espacio que soporta el cableado para las zonas fuera del Cuarto de
Cmputo; normalmente est fuera del Cuarto de Cmputo, pero se puede
combinar con el rea de Distribucin Principal, Intermedia u Horizontal.
El Data Center puede tener ms de un Cuarto de Telecomunicaciones en el caso

de necesitar ms soporte para las dems reas.
.
1.2.1.9 reas de Soporte del Data Center
Son espacios fuera del Cuarto de Cmputo que ayudan al soporte de las
instalaciones del Data Center; stos pueden incluir un centro de operaciones,
oficinas de personal de soporte, cuartos de seguridad, cuartos elctricos, cuartos
de mquinas, bodegas y zonas de carga.
El centro de operaciones requerir una gran cantidad de cables para la

administracin de sus consolas y para las pantallas de monitoreo. Estas reas
deben tener al menos un telfono de pared; adems en los cuartos elctricos y de
mquinas debe existir una conexin de datos para acceder al sistema de
administracin.
1.2.2 TOPOLOGAS DE LOS DATA CENTERS
1.2.2.1 Topologa de un Data Center Tpico
18
Esta topologa contiene un solo Cuarto de Entrada, uno o ms Cuartos de

Telecomunicaciones, un rea de Distribucin Principal y varias reas de
Distribucin Horizontal, reas de Distribucin de Zona y reas de Distribucin de
Equipos. La Figura 1.8 muestra el diagrama de un Data Center tpico.
Proveedores
de Acceso
Cuarto de Entrada
(Punto de Demarcacin y
Equipos del Proveedor)
Proveedores
de Acceso
Oficinas, Centro de
Operaciones y Cuartos de
Soporte
Cuarto de Cmputo
(Switches LAN del Centro de
Operaciones y Oficinas)
rea de Distribucin
Horizontal
(Switches LAN/SAN/KVM)

(Routers, Switches LAN/SAN de core,
PBX, Multiplexores M13)
rea de Distribucin
Horizontal
rea de Distribucin
Horizontal
rea de Distribucin
Horizontal
rea de Distribucin de
Equipos
(Racks/Gabinetes)
Equipos
(Racks/Gabinetes)
Equipos
(Racks/Gabinetes)
Zona
Equipos
(Racks/Gabinetes)
Leyenda
Cableado Backbone
Cableado Horizontal
Figura 1.8: Topologa tpica de un Data Center [10]
1.2.2.2 Topologa de un Data Center Reducido
En el diseo reducido se puede unificar el cross-connect principal y el crossconnect horizontal en una sola rea principal de distribucin, posiblemente en un
solo gabinete o rack, que sirve directamente a las reas de Distribucin de Zona y
Equipos. Tambin se consolidan el Cuarto de Telecomunicaciones y el Cuarto de
Entrada para el cableado de las reas de apoyo como el centro de operaciones y
oficinas (ver Figura 1.9).
19
Proveedores de Acceso
Cuarto de Cmputo
Oficinas, Centro de
Operaciones y Cuartos de
Soporte

(Equipo del Proveedor, Punto de
demarcacin, Routers, Switches LAN/
SAN/KVM de core, PBX, Multiplexores
M13)
Zona
Equipos
(Racks/Gabinetes)
Equipos
(Racks/Gabinetes)
Leyenda
Cableado Backbone
Cableado Horizontal
Figura 1.9: Topologa de Data Center Reducido [10]
1.2.2.3 Topologa de un Data Center Distribuido
Esta topologa es utilizada por grandes Data Centers que se encuentran ubicados
en varios pisos o habitaciones. En estos casos se tendrn varias cross-connects
ubicadas en las reas de Distribucin Intermedias. En cada cuarto o piso estarn
las IDAs. Podran necesitarse tambin varios cuartos de telecomunicaciones
cuando los Data Centers contengan oficinas grandes o muy separadas.
Para solventar las restricciones de longitudes mximas del cableado, pueden

adecuarse varios Cuartos de Entrada. El Cuarto de Entrada principal no tendr
conexin directa con las reas de Distribucin Intermedia y Horizontal; sin
embargo, los Cuartos de Entrada secundarios s podrn conectarse a dichas
20
reas. Las IDAs servirn a varias HDAs y EDAs. La Figura 1.10 muestra el
diagrama de un Data Center distribuido.
Proveedores de
Acceso
Proveedores de
Acceso
Oficinas, Centro de
Operaciones y
Cuartos de Soporte
Cuarto de Entrada
Primario
Cuarto de Entrada
Secundario
Cuarto de
Telecomunicaciones
(Switches LAN del
Centro de Operaciones
y Oficinas)
rea de Distribucin
Principal
(Routers, Switches LAN/
SAN de core, PBX,
Multiplexores M13)
Cuarto de Cmputo
rea de Distribucin
Intermedia
(Switches LAN/SAN)
rea de Distribucin
Intermedia
(Switches LAN/SAN)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
de Zona
rea de Distribucin
Horizontal
(Switches, LAN/SAN/
KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
Horizontal
(Switches LAN/SAN/
KVM)
rea de Distribucin
de Equipos
(Racks/Gabinetes)
rea de Distribucin
de Equipos
(Racks/Gabinetes)
rea de Distribucin
de Equipos
(Racks/Gabinetes)
rea de Distribucin
de Equipos
(Racks/Gabinetes)
Leyenda
Cableado Backbone
Cableado Horizontal
Figura 1.10: Topologa de Data Center Distribuido [10]
1.2.3 RACKS Y GABINETES
Los racks estn equipados con rieles laterales de montaje en los que se acopla el
equipamiento; adems, pueden estar equipados con paneles laterales, una tapa,
puertas delanteras y traseras.
Los gabinetes se colocarn de modo que tengan una distribucin frente con frente
en una fila; de esta forma se crean pasillos fros y calientes (Figura 1.11). Para
mejorar el flujo de aire natural, se colocarn paneles de relleno en los espacios de
los racks que no se utilicen.
21
Los pasillos fros estn en la parte frontal de los gabinetes y racks. Si hay un piso
de acceso, los cables de distribucin de energa se instalarn bajo el piso.
Los pasillos calientes se forman en la parte trasera de los gabinetes y racks. Si

hay un piso de acceso, las bandejas del cableado de telecomunicaciones deben
estar ubicadas debajo de este piso.
Figura 1.11: Configuracin de pasillos fros y calientes [12]
Se debe dejar un mnimo de 1 m de espacio delantero para la instalacin de los

equipos, o un espacio de 1,2 m para equipos ms profundos. Igualmente debe
dejarse un mnimo de 0,6 m de espacio posterior para facilitar el acceso de
servicio en la parte de atrs de gabinetes y racks.
Deben seleccionarse los gabinetes para proporcionar una ventilacin adecuada a

los equipos que alojar, para lo cual se usarn: ventiladores para la circulacin del
aire, y el flujo de aire natural entre pasillos calientes y fros, que entran a travs de
22
las aberturas de ventilacin en la parte delantera y las puertas traseras de los

gabinetes.
La altura mxima de gabinetes y racks ser de 2,4 m; se recomienda que su
altura no sea mayor a 2,13 m, para un acceso ms fcil a los equipos instalados
en la parte superior.
Cuando se utiliza refrigeracin por debajo del suelo, los cortes de las baldosas
solo deben ser utilizados para acomodar los sistemas de ventilacin y rutas de
cables. Las aberturas de las baldosas deben permanecer siempre selladas para
minimizar prdidas de presin de aire y su colocacin ser debajo de los
gabinetes, administradores verticales de cables, entre racks o en cualquier sitio
que evite riesgos por tropiezos.
Los racks que son compatibles con el piso falso sern atornillados a la losa de
cemento o a un canal de metal asegurado a la losa, mediante varillas roscadas
que se penetran a travs de las baldosas.
El Cuarto de Entrada, el rea de Distribucin Principal y las reas de Distribucin

Horizontal, deben utilizar racks estndar de 480 mm (19) de ancho para patch
panels y equipos. Los proveedores de servicios pueden instalar sus propios
equipos en el Cuarto de Entrada, ya sea en gabinetes de 585 mm (23) de ancho
o gabinetes propietarios. Adems, deben existir paneles horizontales de
administracin de cables por encima y debajo de cada patch panel.
Se instalarn administradores verticales de cable entre cada par de gabinetes y

en ambos extremos de cada fila de gabinetes (ver Figura 1.12); no debern ser
inferiores a 83 mm de ancho.
Cuando se instalan racks individuales, los administradores verticales de cable

deben tener por lo menos 150 mm de ancho. Cuando se instala una fila de dos o
ms gabinetes, debe considerarse la posibilidad de poner administradores
verticales de cable de 250 mm de ancho entre gabinetes, y administradores
verticales de cable de 150 mm de ancho en ambos extremos de la fila. Los
23
administradores de cable deben extenderse desde la parte superior de los racks

hasta el piso.
Figura 1.12: Rack con organizadores verticales [13]
1.2.4 SISTEMA DE CABLEADO DEL DATA CENTER
1.2.4.1 Cableado Horizontal
El cableado horizontal se extiende desde el equipamiento final del rea de

Distribucin de Equipos al cross-connect horizontal ubicado en el rea de
Distribucin Horizontal, Intermedia o Principal, como se muestra en la Figura 1.13.
El cableado horizontal tendr una topologa tipo estrella, y no debe contener ms

de un punto de consolidacin en el rea de Distribucin de Zona (entre el crossconnect horizontal y la terminacin mecnica).
La distancia mxima del cable horizontal ser de 90 m, independientemente del

medio de comunicacin; la mxima distancia de canales, incluidos los cables del
equipo, ser de 100 m. La distancia mxima del cableado en un Data Center que
no contenga un rea de Distribucin Horizontal utilizando cobre, ser de 100 m y
para un canal de fibra ptica, de 300 m.
24
Figura 1.13: Cableado Horizontal usando una topologa en estrella [10]
Los medios de transmisin reconocidos son:
Cable de par trenzado de 100 ohmios, categora 6 o 6A, donde se

recomienda 6A.
Cable de fibra ptica multimodo, Laser-Optimized de 850 nm, 50/125
micrones, fibra multimodo OM3 o OM4.
Cable de fibra ptica monomodo. Para un mximo de 2 fibras pticas se
utilizar conector LC y para ms terminales, conector MPO.
Cable coaxial de 75 ohmios (tipo 734 y 735) solo para circuitos T1, T3, E1 y
E3. Se recomienda conector BNC.
1.2.4.2 Cableado de Backbone
Proporciona conexiones entre el rea de Distribucin Principal, el rea de

Distribucin Horizontal y las instalaciones de entrada en el sistema de cableado
del Data Center.
25
Se compone de los cables de backbone, cross-connects principales, intermedios y

horizontales, terminaciones mecnicas y patch cords o jumpers utilizados para el
cross-connect de backbone a backbone.
El cableado de backbone debe ser dimensionado para soportar diferentes

requisitos de conectividad como: redes de rea local, redes de rea extendida,
redes de rea de almacenamiento y conexiones de equipos de consola; as como
futuros crecimientos y reconfiguraciones de la red.
Utiliza topologa jerrquica en estrella, donde no habr ms de 2 niveles de

jerarqua de cross-connects. Desde el cross-connect horizontal no pasar ms de
una conexin hasta alcanzar el MC (ver Figura 1.14).
26
HDA
HC
HDA
IDA
IC
HC
HDA
IDA
IC
HC
TR
HC/MC
MDA
MC
Cuarto de Entrada
ENI
HDA
HDA
HC
HC
Leyenda
Cableado de Backbone
ENI
MC
IC
HC
MDA
IDA
HDA
TR
Interfaz con Redes Externas

Cross-Connect Principal
Cross-Connect Intermedio
Cross-Connect Horizontal
rea de Distribucin Intermedia
rea de Distribucin Horizontal
Figura 1.14: Cableado Backbone usando una topologa en estrella [10]
Los cross-connect del cableado de backbone pueden estar situados en el Cuarto

de Telecomunicaciones, reas de Distribucin Principal, Intermedia, Horizontal, o
en los Cuartos de Entrada. Las topologas redundantes pueden incluir una
jerarqua paralela con reas de distribucin redundantes, que se sumarn a la
topologa en estrella.
1.2.4.3 Cableado de Fibra ptica Centralizado
En los Data Centers, el cableado de fibra ptica centralizado es una alternativa al

cross-connect ptico ubicado en el HDA, cuando se usa fibra ptica para el
soporte de la electrnica centralizada. El equipo y cableado centralizado reducen
27
costos y complejidad, maximizando el rendimiento en la transmisin. Las

distancias de cableado no excedern los 300 m.
El cableado centralizado provee conexiones desde las EDAs hacia los crossconnect centralizados por medio de conexin directa, empalmes o interconexin
en el HDA, como se muestra en la Figura 1.15.
Figura 1.15: Cableado de fibra ptica centralizado [10]
En el diseo del cableado centralizado se permitir aadir o retirar fibras de

backbone horizontales e intraedificio. El subsistema de backbone intraedificio
proveer la capacidad suficiente para dar servicio a conectores adicionales de la
conexin cruzada centralizada, garantizando la escalabilidad para futuras
aplicaciones.
1.2.5 RUTAS DEL CABLEADO DEL DATA CENTER
El cableado no pasar a travs de espacios pblicos, a menos que est

encerrado en rutas seguras, cajas de paso o cajas de empalme, las mismas que
debern estar aseguradas con llave y monitoreadas.
28
La entrada del cableado de telecomunicaciones del Data Center no debe

colocarse
en
Cuartos
de
Equipos
Comunes
(CER).
Si
se
requieren
mantenimientos o accesos al cableado del Data Center ubicado en lugares

pblicos, deben ser monitoreados por el sistema de seguridad.
Para reducir al mnimo el acoplamiento longitudinal entre los cables de energa y

los cables de cobre de par trenzado, se deben separar los mismos en pasillos
diferentes, as como utilizar conduit metlico para disminuir interferencias.
La fibra y el cableado de cobre ubicado en bandejas u otras rutas, deben estar

separados para mejorar la administracin y minimizar el dao de los cables de
fibra.
1.2.5.1 Rutas de Entrada de Telecomunicaciones
Deben ser subterrneas y no de tipo areo por su vulnerabilidad a la exposicin

fsica. El nmero de conduits de entrada depende del nmero de proveedores de
acceso y del tipo de circuitos que utilicen.
Cada proveedor de servicios debe tener al menos 1 conduit de tamao comercial

4 (103 mm de dimetro interior) para cada punto de entrada. Los tubos conduit
utilizados para los cables de fibra ptica de entrada debern tener tres ductos
interiores: dos tubos tamao 1.5 (40 mm de dimetro interior) y un tubo tamao 1
(27 mm de dimetro interior), o tres tubos de 1.23 (32 mm de dimetro interior).
1.2.5.2 Sistemas de Piso Falso
Se lo utiliza en equipos diseados para ser cableados desde abajo (ver Figura
1.16). No debe abandonarse cables en el piso falso. Si no tienen terminacin en el
MDA o HDA, se retirarn. El cableado de telecomunicaciones bajo el piso falso
29
estar en bandejas de cable que no bloqueen el flujo de aire; stas deben tener
una profundidad mxima de 150 mm.
Los sistemas bajo piso que necesiten mantenimiento peridico no se colocarn

debajo de las rutas de cableado, a no ser que exista una fila vaca junta a esas
rutas. Los cortes de las baldosas de piso falso deben estar colocados de tal forma
que no interfieran el contacto de los racks o gabinetes con el piso de acceso.
Figura 1.16: Sistema de piso falso con bandejas de cables [14]
1.2.5.3 Bandejas de Cable Areas
Son utilizadas cuando no se tienen muchos equipos que requieran cableado

subterrneo. Pueden ser instaladas en varias capas para proporcionar capacidad
adicional. Las instalaciones tpicas incluyen dos o tres capas de soportes de
cables, una para los cables de alimentacin y una o dos para el cableado de
telecomunicaciones.
Estas bandejas de cable areo pueden tener soportes que se conectan a la

infraestructura de toma de tierra. Tambin son complementadas con un sistema
30
de conductos para los cables de fibra, el cual se puede asegurar a las mismas
barras colgantes utilizadas para apoyar las bandejas de cable.
Los accesorios de iluminacin y aspersores irn colocados entre las bandejas de

cable, no directamente sobre las mismas; tampoco bloquearn la salida de aire
caliente de los racks si se encuentran en el tope de un gabinete.
En los pasillos y otros espacios comunes en los Data Centers de Internet, las
bandejas de cable areas tendrn fondos slidos o estar colocados por lo menos
2,7 m por encima del piso terminado. La profundidad mxima recomendada de
cualquiera de las bandejas de cable es de 150 mm. La Figura 1.17 muestra la
distribucin de cableado utilizando bandejas de cable areas.
Figura 1.17: Sistema de bandejas de cable areas [15]
1.3 REDUNDANCIA EN UN DATA CENTER

Los Data Centers deben ser capaces de continuar con su funcionamiento normal
bajo eventos adversos que puedan presentarse. Dicha disponibilidad puede
lograse con la implementacin de conexiones, reas, equipos o servicios
redundantes, tales como: varios proveedores de acceso, mltiples cuartos de
entrada, redundancia del cableado de red, diversidad de rutas, redundancia de
switches y routers de core, ubicados en distintas reas de Distribucin Principal.
31
La Figura 1.18 ilustra varios componentes redundantes de la infraestructura de

telecomunicaciones que se pueden aadir a la infraestructura bsica.
Figura 1.18: Redundancia de las reas del Data Center para varios Tiers [10]
El estndar ANSI/TIA-942-A incluye 4 niveles de disponibilidad (Tiers) para la

infraestructura de un Data Center, los cuales estn definidos por el Uptime
Institute. Entre mayor sea el nivel, el sistema es ms confiable, pero tambin
aumentan sus costos.
Un Data Center puede tener diferentes Tiers dependiendo del nivel que tenga
cada uno de los subsistemas de telecomunicaciones, elctricos, arquitectnicos y
mecnicos. Aunque tpicamente la clasificacin general de un Data Center se lo
realiza basado en el componente de menor Tier.
32
1.3.1 NIVELES DE REDUNDANCIA EN UN DATA CENTER

Requisito base N
Es la configuracin ms simple, en la cual el sistema cumple los requisitos

bsicos y no proporciona redundancia.
Redundancia N+1
Es aquella que proporciona una unidad adicional, un mdulo, una ruta, o un

sistema, adems de lo estrictamente necesario, para satisfacer los requerimientos
bsicos. El fallo o mantenimiento de cualquier unidad no debe interrumpir las
operaciones.
Redundancia N+2
Proporciona dos unidades adicionales, mdulos, rutas, o sistemas, adems de lo

estrictamente necesario, para satisfacer el requisito bsico. El fallo o el
mantenimiento de cualquiera de las dos unidades individuales, los mdulos, o los
caminos no interrumpirn las operaciones.
Redundancia 2N
Proporciona dos unidades completas, mdulos, rutas, o sistemas para cada

requerimiento del sistema base. El fallo o mantenimiento de una unidad entera,
mdulo, ruta, o sistema, no interrumpir las operaciones.
Redundancia 2(N+1)
33
Ofrece dos unidades, mdulos, rutas o sistemas completos de redundancia (N+1).

Incluso en caso de fallo o mantenimiento de una unidad, mdulo, ruta, o sistema,
cierta redundancia se proporcionar y las operaciones no se interrumpirn.
1.3.2 CLASIFICACIN DE LOS DATA CENTERS
1.3.2.1 Tier I: Infraestructura Bsica
Un Data Center Tier I es susceptible tanto a interrupciones planeadas como

accidentales. Si posee UPS o generador, stos pueden carecer de redundancia y
tener varios puntos de falla. Toda la infraestructura se apagar una vez al ao
para realizar mantenimientos, pero situaciones emergentes pueden exigir paradas
frecuentes. Los errores de operacin o fallas espontneas en los componentes de
la infraestructura del sitio causarn la interrupcin del Data Center. La Figura 1.19
ilustra la infraestructura de un Tier I.
Un Tier I tpicamente puede tener dos cadas del sistema de 12 horas por ao
debido a mantenimiento. El tiempo de inactividad es de 28,8 horas anual con una
disponibilidad del 99,671%.
Un Tier I es aplicable en:
Negocios pequeos y tiendas
(Empresas que venden soluciones
informticas).
Infraestructura de TI solo para procesos internos.
Compaas que hacen uso de la Web como una herramienta de mercadeo.
Compaas que basan su negocio en Internet, pero que no requieren
calidad en sus servicios.
1.3.2.1.1 Caractersticas de los subsistemas de infraestructura para un Tier I
34
Sistema de Telecomunicaciones
Cableado, racks, gabinetes y rutas deben satisfacer los requerimientos del

estndar ANSI/TIA-942-A.
Una ruta de entrada desde el proveedor del acceso a la instalacin.
Ruta nica para todo el cableado.
No habr redundancia fsica en las instalaciones de un Tier I.
Algunos de los posibles puntos de fallos pueden ser producidos por cortes en los
servicios o equipos del proveedor, falla de routers, switches, dao en el cableado
estructurado, cualquier evento catastrfico en el Cuarto de Entrada o MDA, que
pudieran detener las operaciones de telecomunicaciones del Data Center.
Sistema Arquitectnico y Estructural
No tiene proteccin contra eventos fsicos, naturales o intencionales.
Sistema Elctrico
Ruta nica de distribucin mnima de energa para cumplir con los

requerimientos de la carga.
Dispone de generadores y UPS sin redundancia, los cuales deben tener
Switches de Transferencia Automtica (ATS)13 para transferir la carga
cuando falle la energa principal.
PDUs, transformadores y paneles de distribucin pueden ser utilizados
para la distribucin de energa a la carga.
Los sistemas de tierra deben cumplir los requerimientos mnimos.
El monitoreo de los sistemas es opcional.
Sistema Mecnico
13
ATS (Automatic Transfer Switch): es un switch elctrico que conmuta la carga entre dos fuentes
de forma automtica en caso de cada de una de ellas.
35
Una o varias unidades de aire acondicionado sin redundancia.

En caso de tener sistemas de agua fra, los componentes no tendrn
redundancia y solo se tiene una ruta nica para las tuberas.
En caso de existir un generador, ste alimentar al equipo de aire
acondicionado.
Figura 1.19: Modelo de Tier I: Infraestructura bsica [16]
1.3.2.2 Tier II: Componentes Redundantes
Data Centers con componentes redundantes son menos susceptibles a

interrupciones, tanto planeadas como accidentales; tiene UPS y generadores
redundantes, los cuales estn conectados a una sola lnea de distribucin
elctrica y su diseo es lo necesario ms uno (N+1), La Figura 1.20 muestra la
infraestructura de un Tier II.
El mantenimiento de las rutas crticas de energa y otras partes de la

infraestructura, apagarn el sistema.
36
Generalmente se tienen 3 ventanas de mantenimiento cada 2 aos y un evento

no planificado en cada ao. Los componentes redundantes del Tier II permiten
que el Data Center tenga un solo apagn general del sistema cada ao. El tiempo
de cortes es de 22 horas anuales o una disponibilidad del 99,749%.
Un Tier II es aplicable en:
Call centers con varios sitios disponibles.

Compaas que basan su negocio en Internet, pero que no tienen mucha
penalizacin financiera si falla la calidad de sus servicios.
Uso de TI limitado a las horas normales de trabajo.
Investigaciones cientficas donde no se necesiten servicios en tiempo real.
1.3.2.2.1 Caractersticas de los subsistemas de infraestructura de un Tier II
Cumplir todos los requerimientos del Tier I.

Los equipos crticos de telecomunicaciones, routers y switches tienen
fuentes de alimentacin y procesadores redundantes.
El cableado de la LAN y SAN hacia el backbone debe tener rutas
redundantes de fibra o par trenzado dentro de la topologa en estrella.
Considera la vulnerabilidad de los servicios de telecomunicaciones que
entran en el edificio.
Tiene 2 rutas de entrada desde el proveedor de acceso hacia un solo
Cuarto de Entrada.
Los patch cords y jumpers deben estar etiquetados en ambos extremos del
cable.
Los fallos potenciales del Tier II pueden deberse a que el equipo del proveedor,
los switches LAN y SAN estn conectados al mismo sistema elctrico o estn
soportados por un nico sistema HVAC. Un evento catastrfico en el MDA o en el
37
Cuarto de Entrada puede interrumpir todos los servicios de telecomunicaciones

del Data Center.
Proteccin
mnima
contra
algunos
eventos
fsicos
que
causen
indisponibilidad del Data Center.
Sistema Elctrico
Posee redundancia N+1 a nivel de los componentes principales de

respaldo de energa (UPS), aunque no se requiere redundancia en
generadores.
2 PDUs redundantes, preferiblemente alimentados con UPS separados,
deben servir a cada rack de equipos.
Un circuito no debe servir a ms de un rack y cada rack debe tener 2
circuitos elctricos dedicados que son alimentados por 2 diferentes PDUs.
Sistema Mecnico
Incluye mltiples aires acondicionados con refrigeracin combinada para

mantener la temperatura crtica y la humedad.
Los sistemas de aire acondicionado y sistemas de agua deben cumplir 7 x
24 x 365 y contar con redundancia N+1.
Todos los equipos de aire acondicionado deben alimentarse por el sistema
generador de reserva.
Todos los sistemas de control de la temperatura debe ser alimentados a
travs de circuitos dedicados redundantes de la UPS.
Un sistema de reserva a disel debe ser instalado de forma aislada para
evitar que la falla del sistema afecte al todo el sistema generador.
38
Figura 1.20: Modelo de Tier II: Infraestructura con componentes redundantes [16]
1.3.2.3 Tier III: Mantenimiento Concurrente
Un Data Center de este tipo permite realizar cualquier actividad planeada sobre
cualquier componente de la infraestructura sin interrupciones en la operacin.
Debe tener una doble lnea de distribucin de los componentes, de forma tal que
sea posible realizar mantenimiento o pruebas en una lnea, mientras que la otra
atiende la totalidad de la carga. La Figura 1.21 ilustra la infraestructura de un Tier
III.
En este Tier, las actividades no planeadas, como errores de operacin o fallas

espontneas en la infraestructura, pueden todava causar una interrupcin del
Data Center.
Por ser de mantenimiento concurrente no tiene cadas por mantenimiento. Las

fallas no planificadas son de 4 horas cada 2.5 aos o 1.6 horas al ao. La
disponibilidad de este Tier es de 99,982%.
39
El Tier III puede ser aplicados en:
Compaas que dan soporte 24/7, como centros de servicio e informacin,

pero pueden aceptar cortos tiempos de indisponibilidad.
Negocios donde los recursos de TI dan soporte a procesos automatizados.
Compaas que manejan mltiples zonas horarias.
Compaas que basan su negocio en Internet y tienen buenos niveles de
calidad de sus servicios.
1.3.2.3.1 Caractersticas de los subsistemas de infraestructura para un Tier III
Cumplimiento de todos los requerimientos del Tier II.

Tener servicio de por lo menos 2 carriers (proveedores de acceso), y sus
cableados deben estar separados al menos 20 m.
Debe tener dos Cuartos de Entrada con una separacin mnima de 20 m.
Las dos habitaciones no deben compartir los mismos HVAC, equipamiento
de los proveedores, zonas de proteccin de fuego y unidades de
distribucin de energa.
Rutas del backbone redundantes entre los dos Cuartos de Entrada, MDA,
IDA y HDA.
El cableado de la LAN y SAN hacia el de backbone debe tener una ruta
redundante de fibra o par trenzado dentro de la topologa en estrella y
estarn en rutas diferentes.
Tener un respaldo listo para funcionar para todos los equipos de
telecomunicaciones crticos y equipos del proveedor.
Todo el cableado, cross-connects, patch cords deben estar documentados
utilizando sistemas automatizados de gestin.
Los fallos potenciales del Tier III son:
40
Un evento catastrfico dentro del MDA que interrumpa todos los servicios de
telecomunicaciones del Data Center, o un evento dentro del HDA que corte los
servicios en las reas que sirve.
Presenta proteccin contra la mayora de los eventos fsicos que pudieren

causar la indisponibilidad del Data Center.
Sistema Elctrico
Redundancia N+1 en los componentes de respaldo de energa,

generadores, transformadores de la subestacin, rutas de distribucin de
energa; una ruta estar activa y la otra ser de respaldo.
Todos los equipos deben admitir doble entrada de alimentacin. Se usarn
Switches Automticos de Transferencia Esttica (ASTS)14 ubicados en el
primer o segundo lado del transformador.
Sistema de Control y Monitoreo para administrar la mayora de los equipos
elctricos.
Sistema Mecnico
Mltiples unidades de aire acondicionado con redundancia suficiente para

el caso de fallo de un panel elctrico.
La redundancia puede obtenerse de las dos fuentes de suministro de
energa a cada unidad de aire acondicionado, o dividir los equipos de aire
acondicionado entre varias fuentes de alimentacin.
Los sistemas de tuberas y bombas tienen rutas duales.
Todos los aires acondicionados del Cuarto de Cmputo deben estar
respaldados por un generador.
14
Automatic Static Transfer Switches: son conmutadores elctricos que permiten transferir una
carga entre dos fuentes de energa de forma automtica e inmediata.
41
Equipo de refrigeracin con redundancia N+1, N+2, 2N, o 2(N+1) debe ser
dedicado para el Data Center.
Se deben colocar detectores de fugas de agua en los canales.
Figura 1.21: Modelo de Tier III: Infraestructura concurrentemente mantenible [16]
1.3.2.4 Tier IV: Tolerante a Fallas
Este Data Center provee la capacidad de realizar cualquier actividad planeada sin
interrupciones en las cargas crticas, pero adems permite a la infraestructura
continuar operando ante un evento crtico no planeado.
Requiere dos lneas de distribucin simultneamente activas, tpicamente en una
configuracin 2(N+1), como se muestra en la Figura 1.22.
Las fallas que afectan al Cuarto de Cmputo son de 4 horas en un periodo de 5

aos, o de 0.8 horas anuales. Los Tier IV presentan una disponibilidad de
99,991%.
El Tier IV puede ser aplicable en:
Compaas con presencia en el mercado internacional y servicios 24x365.
42
Compaas basadas en el comercio electrnico.

Grandes corporaciones donde se necesita acceso a procesos y
transacciones online.
Entidades financieras.
1.3.2.4.1 Caractersticas de los subsistemas de infraestructura para un Tier IV
Cumplir todos los requerimientos del Tier III.

El cableado de backbone ser redundante y ser canalizado por conduit. El
cableado entre dos espacios seguir rutas separadas.
Todo el equipamiento de telecomunicaciones crtico debe tener un respaldo
automtico que se activar en caso de falla del principal.
Debe tener reas de Distribucin Principal redundantes con una
separacin mnima de 20 m. Las dos reas no deben compartir los mismos
HVAC, equipamiento de los proveedores, zonas de proteccin de fuego y
unidades de distribucin de energa. Adems, tendrn diferentes rutas para
cada Cuarto de Entrada.
Cada HDA debe tener conectividad con dos IDAs o MDAs diferentes y
cada IDA se conectar con ambas MDAs. Los sistemas crticos tendrn
cableado horizontal a dos HDAs.
Algunos posibles puntos de fallo son: en la nica MDA, en caso de que no sea
factible implementar una segunda rea, o en el HDA y cableado horizontal, si el
cableado redundante no es instalado.
Un Data Center Tier IV considera todos los peligros fsicos potenciales e

implementa en algunos casos protecciones redundantes para dichos
eventos.
43
Considera problemas relacionados con desastres naturales, terrorismo y

sabotaje interno.
Sistema Elctrico
Redundancia 2(N+1) en todos los mdulos, sistemas y rutas de distribucin

de energa.
UPSs deben contar con Bypass manual para mantenimiento o falla. En
caso de falla se transferir la carga automticamente al sistema alterno.
Tendr un sistema de monitoreo y alarmas para cada banco de bateras.
El Data Center debe contar con una entrada de servicios dedicada, aislada
de otras instalaciones no crticas.
Tendr al menos dos distribuciones de diferentes subestaciones (2 activas
simultneamente)
Sistema Mecnico
Mltiples unidades de aire acondicionado con redundancia suficiente para

el fallo de un panel elctrico.
La redundancia puede obtenerse de las dos fuentes de suministro de
energa a cada unidad de aire acondicionado, o dividir los equipos de aire
acondicionado entre varias fuentes de alimentacin.
El sistema de tuberas ser dual y debe considerarse fuentes de agua
alternas.
44
Figura 1.22: Modelo de Tier IV: Infraestructura tolerante a fallas [16]
1.4 PRINCIPIOS GENERALES DE LA SEGURIDAD DE LA

INFORMACIN
1.4.1 INTRODUCCIN
En la actualidad, las empresas principalmente por la forma en que las

comunicaciones se han expandido y desarrollado, se han visto en la necesidad de
transmitir y recibir datos a travs de las redes de informacin, lo que ha
provocado que los diferentes tipos de negocios dependan del grado de integridad,
confidencialidad y disponibilidad que tengan dichas redes. Dichos conceptos de
seguridad se definen en la Seccin 1.4.4.
La criticidad de la informacin transmitida a travs de las redes y almacenada en

Data Centers cada vez est sometida a un nmero mayor de amenazas y ataques
que ponen en riesgo la continuidad del negocio. Bajo este contexto, es necesario
45
desarrollar un adecuado Sistema de Gestin de Seguridad de la Informacin

(SGSI)15, para mitigar los posibles eventos indeseados que puedan ocurrir.
Segn el estudio realizado por WhiteHat Security en el ao 2011, con respecto a

las vulnerabilidades en aplicaciones Web, se estableci un promedio de 250
vulnerabilidades que un hacker podra encontrar al momento de realizar un
ataque.
En la Figura 1.23 se muestra el porcentaje de los 10 tipos de vulnerabilidades que

un hacker puede ver en una aplicacin Web [17]. Puede observarse que el 55%
de un total de 7000 aplicaciones Web son vulnerables a Cross-Site Scripting 16;
pero tambin se tiene un importante 53% en cuanto a fuga de informacin, lo que
indica que no solo existen problemas a nivel tcnico, sino tambin a nivel del
recurso humano.
Figura 1.23: Clases ms comunes de vulnerabilidades [17]
Es evidente que la seguridad de la informacin es un punto crtico para cualquier

organizacin, por lo tanto, es necesario plantear polticas, controles, procesos y
15
SGSI: Es un conjunto de polticas de administracin de la informacin.

Cross-site scripting: es un tipo de inseguridad informtica o agujero de seguridad tpico de las
aplicaciones Web, que permite a una tercera parte inyectar en pginas web vistas por el usuario
cdigo JavaScript o en otro lenguaje script similar.
16
46
procedimientos que ayuden a atenuar o eliminar los diferentes riesgos de

seguridad de la informacin.
1.4.2 DEFINICIN DE INFORMACIN
La informacin es un conjunto organizado de datos procesados, que constituyen

un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe
dicho mensaje [18], lo que significa que la validez y el significado de dicha
informacin la dar el receptor.
En la actualidad, existen diferentes formas en las cuales se presenta la

informacin, esto es, a travs de medios impresos, audio, video, medios digitales,
servicios informticos, entre otros.
1.4.3 DEFINICIN DE SEGURIDAD DE LA INFORMACIN
En la ltima dcada, la globalizacin de la informacin y su acceso a gran escala,

principalmente por Internet, utilizando mtodos de almacenamiento compartidos
como cloud computing, ha determinado que el valor de la informacin se
incremente, por lo cual es necesario tomar medidas proactivas y reactivas para su
proteccin.
La informacin en una organizacin representa uno de los activos 17 ms
importantes, tanto para s misma como para sus clientes; por lo tanto, para
aumentar su reputacin, y dar a sus clientes un servicio de excelencia, es
necesario un SGSI que prevea los probables inconvenientes de seguridad que
podran presentarse, como es el caso de siniestros naturales tales como
terremotos, inundaciones, erupciones volcnicas, as como fuga de informacin,
virus, ataques de denegacin de servicio, suplantacin de identidad, etc.
17
Activos: Son los recursos controlados que le permite a una organizacin realizar su actividad y
tener un beneficio futuro.
47
La seguridad de la informacin es la proteccin de un rango amplio de amenazas

para asegurar la continuidad del negocio, minimizar el riesgo comercial y
maximizar el retorno de las inversiones y las oportunidades comerciales [19]; sin
embargo, no puede cubrirse la totalidad de amenazas, pues no existe un sistema
completamente seguro, por lo que es obligacin de una determinada organizacin
eliminar el mayor nmero de amenazas y vulnerabilidades y mantener un control
constante sobre las mismas.
1.4.4 COMPONENTES DE LA SEGURIDAD DE LA INFORMACIN [20]
1.4.4.1 Confidencialidad
Consiste en mantener la privacidad de la informacin, limitando el acceso solo a

personal acreditado.
1.4.4.2 Integridad
Significa mantener la informacin libre de modificaciones o cambios no

autorizados.
1.4.4.3 Disponibilidad
La informacin del sistema debe permanecer accesible a elementos autorizados

cuando stos lo requieran.
1.4.4.4 Autenticacin
Consiste en la identificacin de una determinada entidad, para comprobar si est

autorizada o no para manipular la informacin.
48
1.5 VULNERABILIDADES,
AMENAZAS,
ATAQUES
ATACANTES [21]
1.5.1 VULNERABILIDADES
Son debilidades de cualquier tipo que comprometen a uno o varios de los

componentes de la seguridad de la informacin.
1.5.2 AMENAZAS
Una amenaza es la posibilidad de que, aprovechando una vulnerabilidad, ocurra

un suceso perjudicial y se vea comprometida la seguridad de la informacin. Las
amenazas pueden ser ocasionadas por catstrofes naturales, personas, procesos
intencionales o accidentales.
1.5.2.1 Clasificacin de las Amenazas
1.5.2.1.1 Amenazas Fsicas
Son aquellas que influyen a nivel de la estructura fsica, la cual asegura la

disponibilidad, integridad y confidencialidad de la informacin. Por lo general, el
blanco lo constituyen los equipos de almacenamiento y transmisin de la
informacin, pero tambin las instalaciones, los suministros de energa y aire
acondicionado, entre otros.
1.5.2.1.2 Amenazas Lgicas
Son aquellas que aprovechan las vulnerabilidades del software que interviene en
el intercambio de informacin en una determinada red.
49
1.5.2.2 Origen de las Amenazas
1.5.2.2.1 Amenazas por Agentes Externos
Son amenazas originadas de forma espontnea o intencionada, externas a la

empresa, ajenas a los parmetros establecidos de acceso; como por ejemplo,
virus informticos, ocupacin enemiga, etc.
1.5.2.2.2 Amenazas por Agentes Internos
Son amenazas accidentales o intencionadas que se producen en el mbito interno

y que cuentan con privilegios de acceso autorizados; por ejemplo, impericia del
personal nuevo, empleados descontentos, errores en las aplicaciones del Data
Center, etc.
1.5.2.3 Intencionalidad de las Amenazas
1.5.2.3.1 Accidentales
Son amenazas espontneas, sin la intencionalidad de provocar daos, o que se

producen al azar; por ejemplo, averas en el hardware y software, desastres
naturales, errores humanos, etc.
1.5.2.3.2 Intencionales
Son amenazas deliberadas con el propsito definido de ocasionar daos; por

ejemplo, intrusin a los sistemas de informacin, destruccin de equipos o
informacin, robo de datos, sabotaje, etc.
50
1.5.3 ATAQUES
Un ataque es aprovechar las vulnerabilidades de una red o un sistema informtico

(hardware, software, infraestructura, recurso humano, etc.), para obtener un
beneficio, comprometiendo la seguridad de la informacin dentro de una
organizacin.
Segn la recomendacin X.80018 de la ITU19, los ataques se clasifican en ataques
pasivos y ataques activos. Un ataque pasivo intenta hacer uso de la informacin
sin afectar ningn recurso de un determinado sistema informtico; por el contrario,
un ataque activo intentar afectar el funcionamiento del flujo normal de la
informacin y sus componentes.
1.5.3.1 Naturaleza de los Ataques [21]
1.5.3.1.1 Intercepcin
Es el uso de privilegios de acceso a la informacin por parte de un usuario no

autorizado (ver Figura 1.24).
Figura 1.24: Intercepcin de la Informacin [21]
18
X.800: Recomendacin que describe las caractersticas bsicas que deben ser consideradas
cuando se quiere conectar una computadora con otras, ya sea conectarse a Internet o a una Red
de rea Local, de forma segura.
19
ITU: Unin Internacional de Telecomunicaciones por sus siglas en Ingls
51
1.5.3.1.2 Modificacin
Es la alteracin o cambio de la informacin transmitida por parte de un usuario o

proceso no autorizado, para la obtencin de un beneficio, como se muestra en la
Figura 1.25.
Figura 1.25: Modificacin de la Informacin [21]
1.5.3.1.3 Interrupcin
Es la indisponibilidad de acceso a un servicio o informacin cuando una entidad o

proceso autorizado lo requiere (Figura 1.26).
Figura 1.26: Interrupcin de la Informacin [21]
1.5.3.1.4 Fabricacin
Conjunto de datos realizados por un atacante, para que un usuario o proceso

autorizado dentro de una organizacin, crea que es informacin vlida y confiable
(Figura 1.27).
52
Figura 1.27: Fabricacin de la Informacin [21]
1.5.3.2 Tipos de Ataques [22]
1.5.3.2.1 Reconocimiento de sistemas
Consiste en extraer la mayor cantidad de informacin de una organizacin, previo

a un ataque; por lo general, se realiza un escaneo de puertos, se verifican
versiones de sistemas operativos, software, entre otros. Se trata de un ataque de
carcter pasivo.
1.5.3.2.2 Deteccin de vulnerabilidades en los sistemas
Localizacin y documentacin de las probables vulnerabilidades de una red, sean

stas de carcter lgico, fsico, o a nivel de personal, haciendo uso de exploits,
que son herramientas que permiten aprovechar las vulnerabilidades de una
manera ms sencilla.
1.5.3.2.3 Robo de informacin mediante la interceptacin de mensajes
Intercepcin de informacin por parte de un usuario no autorizado, por lo general

despus de realizar un escaneo de puertos, para hacerse pasar por receptor o
emisor de dicha informacin. Este tipo de ataque tambin es conocido como Man
in the Middle.
53
1.5.3.2.4 Modificacin del contenido y secuencia de los mensajes transmitidos
Se basa en el reenvo de mensajes o documentacin, que fue previamente

enviado por un sistema informtico, modificados por parte de un atacante, para
obtener un beneficio; estos ataques tambin son conocidos como Ataque de
Replay o Repeticin.
1.5.3.2.5 Anlisis del trfico
Tiene como fin observar los datos y el trfico transmitido en una red de
informacin, a travs de un sniffer20, para planificar un ataque activo.
1.5.3.2.6 IP Spoofing
Hace referencia al enmascaramiento IP21, que es manipular la cabecera de los
paquetes que se transmiten, para simular un equipo que se encuentra dentro de
una red, y realizar un ataque. Otro ataque que se basa en IP spoofing es el
llamado hijacking, donde se suplanta la direccin IP de la vctima para obtener
una sesin ya establecida previamente.
1.5.3.2.7 DNS Spoofing

Es suplantar un servidor DNS22 para realizar un direccionamiento errneo de los
equipos implicados, debido a la traduccin maliciosa de los dominios a
direcciones IP, haciendo que las vctimas se redirijan a sitios web falsos, en el
caso de Internet, para facilitar la intercepcin de la informacin que llega al
atacante lo que se denomina phishing.
20
Sniffer: es un programa informtico que registra la informacin que se transmite en una red de
computadoras, as como la actividad realizada en un determinado ordenador.
21
Internet Protocol: es un protocolo utilizado para la comunicacin de datos a travs de una red
por medio del direccionamiento de paquetes.
22
Domain Name System: es un sistema que permite traducir nombres inteligibles para las
personas en identificadores binarios asociados con los equipos conectados a la red.
54
Al realizar una traduccin errnea de dominios, automticamente se realiza un

ataque de Denegacin de Servicio, ya que la vctima no puede acceder al servicio
solicitado.
1.5.3.2.8 Captura de cuentas de usuario y contraseas
Se puede suplantar la identidad de un usuario autorizado para manipular la

informacin de una organizacin, con la captura de la cuenta de usuario y su
contrasea; las formas ms comunes para conseguirlo van desde el uso de
herramientas que registren todos los pulsos del teclado de un computador,
conocidos como keyloggers, hasta el uso de Ingeniera Social, utilizando
mtodos de persuasin para que un atacante burle los controles de acceso
implantados.
1.5.3.2.9 Modificaciones del trfico y de las tablas de enrutamiento
Cambia las tablas de enrutamiento de equipos intermedios, desviando la

informacin por otras redes antes de llegar al destino autntico, facilitando la
modificacin de los paquetes transmitidos.
1.5.3.2.10 Conexin no autorizada a equipos y servidores
Las formas para establecer conexiones no autorizadas ms comunes son:

violaciones de sistemas de control de acceso, explotacin de vulnerabilidades
mediante exploits; utilizacin de backdoors, que son porciones de cdigos de
software, que hacen que se eviten los controles de acceso a dicho programa o
sistema operativo; uso de rootkits, que es cdigo que reemplaza procesos o
servicios legtimos dentro de un sistema operativo.
55
1.5.3.2.11 Cdigos Maliciosos
Gusanos: Son programas que realizan copias de s mismos, y en diferentes

lugares de un computador, gastando los recursos del sistema operativo,
haciendo que ste colapse; los gusanos no atacan los archivos alojados en
el sistema.
Virus: Son programas que sin conocimiento del usuario infectan archivos
para modificarlos o daarlos, inclusive pueden llegar a afectar una red con
trfico haciendo uso inadecuado del ancho de banda. No tienen la
capacidad de replicarse a s mismos como los gusanos, por lo general
reemplazan archivos ejecutables por otros infectados por el cdigo
malicioso.
Troyanos: Aplicaciones que aparentan ser legtimas, pero que al ser

ejecutadas crean backdoors, burlando la seguridad de un sistema y
haciendo que otras aplicaciones puedan acceder remotamente sin
autorizacin.
1.5.3.2.12 Ataques contra sistemas criptogrficos
Los ataques a sistemas criptogrficos se basan en descubrir informacin que se

encuentra encriptada, o acceder a la informacin a travs del descubrimiento de
las claves de acceso a un sistema, red o archivo. Existen varios tipos de ataques:
Ataques de fuerza bruta: Intentan todas las combinaciones posibles de una

determinada clave, para burlar el sistema criptogrfico.
Ataques de diccionario: Prueban posibles contraseas haciendo uso de

diferentes idiomas, nombres de sitios geogrficos, fechas de importancia,
etctera.
56
1.5.3.2.13 Fraudes, engaos y extorsiones
Phishing: Es un ataque que consiste en hacerse pasar por un sitio de

confianza; la vctima, sin tener conocimiento, entrega sus claves de acceso
a un determinado sistema, por lo general, cuentas bancarias.
Pharming: Ataque en el cual un sistema operativo, infectado por virus, hace

que un ordenador se conecte a pginas falsas. Es una variante del
Phishing.
Spamming: Ataque que se basa en el envo de correos electrnicos, con

contenido publicitario fraudulento.
1.5.3.2.14 Ataques de Denegacin de Servicio (DoS)
Consiste en hacer colapsar un sistema informtico, sea un ordenador o una red,

mediante un conjunto de tcnicas, para que dicho sistema no pueda ofrecer o
acceder a los servicios correspondientes. Entre las formas ms comunes de
realizar este tipo de ataques se encuentran las siguientes:
Generacin de grandes cantidades de trfico hacia una red vctima, por lo

general, desde varios equipos atacantes.
Transmisin de paquetes modificados que incumplen con los protocolos

establecidos para el envo de la informacin; por ejemplo, establecer una
conexin TCP23 (mediante three-way handshake) (Figura 1.28), en la cual
se enva una peticin al equipo vctima, pero no se responde la aceptacin
de la conexin por parte del atacante, haciendo uso de recursos y
colapsando el sistema. Este tipo de ataque es conocido como Sync Flood
23
TCP: Es un protocolo que garantiza que los datos sern entregados en su destino sin errores y
en el mismo orden en que se transmitieron.
57
Figura 1.28: a) Three-Way Handshake, b) Sync Flood [22]
Conexin
de
routers
maliciosos,
que
proporcionarn
tablas
de
enrutamiento falsas que impidan el acceso a equipos, por lo general a

servidores.
1.5.4 ATACANTES [22]
Son individuos con conocimientos sobre sistemas informticos, redes, e ingeniera

social, que los utilizan para la exploracin y explotacin de vulnerabilidades, con
el fin de hace dao y obtener beneficios de una organizacin.
1.5.4.1 Tipos de Atacante
1.5.4.1.1 Hackers
Individuos que acceden a los sistemas informticos sin autorizacin, incentivados

por los retos que representan los sistemas de seguridad, para poner a prueba sus
conocimientos; por lo general no tienen la intencin de provocar daos.
1.5.4.1.2 Crackers
Personas que despus de romper los controles de acceso, producen daos en los
sistemas de informacin para obtener un beneficio.
58
1.5.4.1.3 Phreaker
Individuos encargados de operar la red telefnica, manipulando las frecuencias

encargadas de la sealizacin, para realizar llamadas gratuitas o cambiar las
tarifas de las llamadas.
1.5.4.1.4 Spammers
Encargados del envo de correos maliciosos no solicitados, tomando el control de

las cuentas de las vctimas, para que se conviertan en spammers.
1.5.4.1.5 Carders
Atacantes especializados en la falsificacin de tarjetas inteligentes, estudiando las

vulnerabilidades de las mismas; sus ataques se centran en tarjetas de acceso,
adems de tarjetas bancarias.
1.5.4.1.6 Script kiddies o Lammers
Personas que sin conocimientos tcnicos, realizan ataques informticos, mediante

la descarga de software a travs de Internet.
1.5.4.1.7 Phisher
Individuo que usa la suplantacin de pginas web, para adquirir informacin de

cuentas bancarias y contraseas.
59
1.6 MTODOS
UTILIZADOS
PARA
GARANTIZAR
LA
SEGURIDAD DE LA INFORMACIN [23]

Existen varios mtodos y herramientas que ayudan a mantener la informacin
segura, y minimizan los actos que pudieren afectar a la misma.
1.6.1 PENETRATION
TEST,
ETHICAL
HACKING
PRUEBA
DE
VULNERABILIDAD
Es un conjunto de metodologas encaminadas a evaluar las posibles debilidades

de un determinado sistema informtico de una manera controlada y con
autorizacin de la organizacin.
El principal objetivo es tratar de burlar los controles de acceso e ingresar a los

equipos de una organizacin, como si se tratara de un usuario con privilegios,
buscando problemas puntuales para controlarlos.
Se tiene dos tipos de Penetration Test:
1.6.1.1 Penetration Test Externo

Realizado desde fuera de la red, consiste en acceder a la Zona Desmilitarizada 24
(DMZ), para penetrar a la red interna. Las pruebas que se realizan son las
siguientes:
Pruebas de usuarios y de sus passwords.

Captura de trfico.
Deteccin de conexiones externas y sus rangos de direcciones.
Deteccin de protocolos utilizados.
24
Zona Desmilitarizada (Demilitarized Zone): es una red que se ubica entre la red interna de una
organizacin y una red externa. La intencin de la DMZ es asegurar que los servidores de acceso
pblico no puedan comunicarse con otros segmentos de la red interna.
60
Scanning de puertos TCP, UDP25 e ICMP26.

Intentos de acceso a travs de accesos remotos, mdems, Internet, etc.
Anlisis de la seguridad de las conexiones con proveedores, trabajadores
remotos o entidades externas a la organizacin.
Pruebas de vulnerabilidades existentes y conocidas en el momento de
realizacin del Test.
Prueba de ataques de Denegacin de Servicio.
1.6.1.2 Penetration Test Interno
Trata de observar las vulnerabilidades de una red que puede explotar un atacante
interno con privilegios bajos. Se hacen pruebas como las siguientes:
Anlisis de protocolos internos y sus vulnerabilidades.

Autenticacin de usuarios.
Verificacin de permisos y recursos compartidos.
Test de los servidores principales (WWW27, DNS, FTP28, SMTP29, etc.).
Test de vulnerabilidad sobre las aplicaciones propietarias.
Nivel de deteccin de la intrusin de los sistemas.
Anlisis de la seguridad de las estaciones de trabajo.
Verificacin de reglas de acceso.
Ataques de Denegacin de Servicio
25
UDP: Permite el envo de datagramas a travs de la red sin que se haya establecido
previamente una conexin
26
ICMP: Protocolo que se usa para enviar mensajes de control, indicando por ejemplo que un
servicio determinado no est disponible o que un router o host no puede ser localizado.
27
WWW: Es un sistema de distribucin de informacin basado en hipertexto o hipermedios
enlazados y accesibles a travs de Internet.
28
FTP: Es un protocolo de red para la transferencia de archivos entre sistemas conectados a una
red TCP
29
SMTP: Protocolo de red basado en texto, utilizados para el intercambio de mensajes de correo
electrnico entre computadoras u otros dispositivos
61
1.6.2 FIREWALL [24]
Un firewall es un sistema que establece polticas de seguridad para proteger una

red que se interconecta con otra no confiable (ver Figura 1.29). Tiene que cumplir
con dos objetivos:
Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs
del firewall.
Slo el trfico autorizado, definido por la poltica local de seguridad, es
permitido.
Figura 1.29: Firewall [24]
1.6.2.1 Tipos de Firewall
1.6.2.1.1 Filtrado de Paquetes
El filtrado lo realizan los routers tomando como criterios los protocolos de red,
direcciones IP de origen y destino confiables y los puertos UDP y TCP.
62
1.6.2.1.2 Proxy-Gateways de Aplicaciones
Un proxy es un intermediario entre un usuario y un servidor. Cuando un usuario

solicita un servicio lo har a travs de este proxy; el servidor, por su parte,
entregar lo pedido al proxy, que a su vez entregar el servicio al cliente. Este
proceso es transparente al usuario; el proxy realizar un anlisis de todo el trfico,
para evitar cualquier contenido que pueda violar la seguridad de la red. La Figura
1.30 muestra el proceso del Proxy Gateway.
Figura 1.30: Proceso del Proxy Gateway [24]
1.6.2.1.3 Dual-Homed Host
Parecido a un Proxy Gateway, con la diferencia de que el usuario de una red

interna sabe que tiene que conectarse primeramente al proxy antes de obtener el
servicio; luego el proxy, a travs de una segunda conexin, solicitar el servicio
(ver Figura 1.31). Es un sistema que no es transparente al usuario y que consta
de dos conexiones.
Figura 1.31: Proceso Dual-Homed Host [24]
63
1.6.2.1.4 Screened Host
En este caso se combina un router con un host bastin y el principal nivel de

seguridad proviene del filtrado de paquetes (ver Figura 1.32). En el bastin, que
es el nico sistema accesible desde el exterior, se ejecuta el Proxy de
aplicaciones y se filtran los paquetes considerados peligrosos y slo se permiten
un nmero reducido de servicios.
Figura 1.32: Screened Host [24]
1.6.2.1.5 Screened Subnet
En este diseo se intenta aislar la mquina ms atacada y vulnerable del Firewall,

el Nodo Bastin. Para ello se establece una Zona Desmilitarizada (DMZ), de
forma tal que si un intruso accede a esta mquina no consiga el acceso total a la
subred protegida.
En este esquema se utilizan dos routers: uno exterior y otro interior. El router
exterior tiene la misin de bloquear el trfico no deseado en ambos sentidos:
hacia la red interna y hacia la red externa. El router interior hace lo mismo con la
red interna y la DMZ (zona entre el router externo y el interno). La Figura 1.33
muestra el proceso de Screened Subnet.
64
Figura 1.33: Screened Subnet [24]
1.6.2.1.6 Firewalls Personales
Son aplicaciones que actan en un solo ordenador, para proteger del ingreso de
virus, gusanos y/o troyanos cuando existe una conexin a una red no confiable.
1.6.3 LISTAS DE CONTROL DE ACCESO (ACL) [25]
Las Listas de Control de Acceso (ACL), definen permisos de usuarios, grupos de

usuarios y niveles de acceso a la informacin, discriminando los servicios, ancho
de banda, horarios, entre otros, que se pueden utilizar de acuerdo a los permisos
de un cliente dentro de una red.
Una ACL es una coleccin secuencial de sentencias de permiso o rechazo que se

aplican a direcciones o protocolos de capa superior. En la Figura 1.34, se muestra
el funcionamiento de un ACL y el filtrado que realiza, sea por direccin IP, puerto
y/o protocolo de uso.
65
Figura 1.34: Funcionamiento de un ACL [25]
1.6.3.1 Sistema de Control de Acceso (ACS) [26]
Es la habilidad de permitir o denegar el acceso a los recursos de una red o

sistema informtico mediante el servicio AAA (Autenticacin, Autorizacin,
Auditora), hacindolo de una manera centralizada a travs de servidores que
permitan el control remoto de los recursos.
Es necesario definir ciertos conceptos y funciones de los Sistemas de Control de

Acceso:
Cliente AAA
Es aquel dispositivo de red en el cual est el programa que soporta los servicios
de seguridad AAA, para la obtencin de acceso a la red. Los dispositivos enviarn
sus peticiones de acceso y autorizacin al ACS, el cual permitir o denegar el
acceso; si la autenticacin es vlida se establecer la conexin.
Usuario Final
Es aquel usuario que debe identificarse para obtener privilegios y acceder a la

informacin y/o a los equipos dispuestos en una red.
66
TACACS (Terminal Access Controller Access Control System)
Es un protocolo AAA propietario de Cisco, que permite a un servidor comunicarse

remotamente con un servidor de autentificacin, para verificar si un usuario final
puede acceder a la informacin de la red, utilizando TCP para el establecimiento
de la conexin.
RADIUS (Remote Authentication Dial-In User Server)
Es un protocolo que realiza la autenticacin y la autorizacin de un usuario,

adems de hacer un registro de todas las peticiones que el usuario realiza,
cuando ste ya posee privilegios. Utiliza UDP para el establecimiento de la
conexin.
1.6.4 WRAPPERS [23]
Consiste en un programa que es ejecutado cuando llega una peticin a un puerto

especfico. ste, una vez comprobada la direccin de origen de la peticin, la
verifica con las reglas almacenadas, y en funcin de ellas, decide dar paso al
servicio. Adicionalmente, registra estas actividades del sistema, su peticin y su
resolucin.
Los wrappers son considerados firewalls, ya que pueden controlar el acceso a un

equipo o a un servicio dentro de la red, es decir, que muchos de los servicios de
los wrappers causan el mismo efecto.
1.6.5 INTRUSION DETECTION SYSTEMS (IDS)
El IDS o Sistema de Deteccin de Intrusos es un sistema para la deteccin de

accesos no autorizados, descubriendo actividades inapropiadas, anmalas o
incorrectas, que un usuario normal no llevara a cabo. Un IDS tiene que trabajar
en conjunto con otras herramientas como los firewalls, ya que estos sistemas no
67
pueden bloquear el ataque; su funcin se restringe a detectar y alertar la

presencia de un intruso.
Existen algunos tipos de IDS:
Host-Based IDS: Operan en un host para detectar actividad maliciosa en el

mismo.
Network-Based IDS: Operan sobre los flujos de informacin intercambiados

en una red.
Knowledge-Based IDS: Sistemas basados en Conocimiento. Contienen

una base de datos de intrusos y formas de intrusiones.
Behavior-Based IDS: Sistemas basados en Comportamiento. Se asume

que una intrusin puede ser detectada observando una desviacin
respecto del comportamiento normal o esperado de un usuario en el
sistema.
1.6.6 SISTEMAS ANTI-SNIFFERS
Consisten en la deteccin de sniffers en el sistema, haciendo un Scanning de los

modos en los cuales estn configuradas las tarjetas de red, ya que un sniffer
trabaja en modo promiscuo30.
30
Modo Promiscuo: Es aquel en el que una computadora conectada a una red compartida, tanto la
basada en cable de cobre como la basada en tecnologa inalmbrica, captura todo el trfico que
circula por ella.
68
1.7 INTRODUCCIN AL ESTNDAR ISO/IEC31 27001:2005 [20]
1.7.1 INTRODUCCIN
Los mtodos y herramientas para conservar la seguridad de la informacin en una

organizacin son completamente intiles sin la correcta forma de utilizarlas; por
esta razn, se hace necesario tener un Sistema de Gestin que optimice el
funcionamiento de dichos elementos.
El estndar ISO/IEC 27001:2005 proporciona un modelo para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de
Gestin de Seguridad de la Informacin (SGSI).
El diseo e implementacin del SGSI de una organizacin estn determinados por

las necesidades, objetivos, requerimientos de seguridad, procesos, personal,
tamao y estructura de la organizacin.
Este estndar internacional es compatible con ISO 9001:200032 e ISO
14001:200433, a fin de que los Sistemas de Gestin de Calidad y Sistemas de
Gestin Ambiental puedan relacionarse con el Sistema de Gestin de Seguridad
de la Informacin.
1.7.2 OBJETIVO
El estndar ISO/IEC 27001:2005, persigue dos objetivos principales, los cuales

ayudan a la proteccin de la informacin, sin importar la clase, el tamao y la
naturaleza de la Organizacin.
31
ISO/IEC: International Organization for Standardization / International Electrotechnical

Commission.
32
ISO 9001: Especfica los requisitos para un Sistema de Gestin de la Calidad (SGC) que
pueden utilizarse para su aplicacin interna por las organizaciones, sin importar si el producto o
servicio lo brinda una organizacin pblica o empresa privada, cualquiera sea su tamao.
33
ISO 14001: Norma diseada para conseguir un equilibrio entre el mantenimiento de la
rentabilidad y la reduccin de los impactos en el ambiente.
69
El primer objetivo es enmarcar la seguridad dentro de la cultura y gestin de la

organizacin, haciendo que cada persona, equipo o activo est considerado y
comprometido con la informacin y su correcto tratamiento.
El segundo objetivo consiste en garantizar la confidencialidad, disponibilidad e

integridad de la informacin de la organizacin, para lo cual se implementarn
polticas, procedimientos y procesos, dependiendo de los requerimientos que
variarn segn el tipo de organizacin.
1.7.3 ALCANCE
Este estndar abarca todos los tipos de organizaciones, estableciendo

requerimientos para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un SGSI documentado dentro del contexto de los riesgos
comerciales.
Adicionalmente, seala que los requerimientos para la implementacin de

controles de seguridad son personalizados, dependiendo de las necesidades de
la organizacin en su conjunto o de una de sus dependencias. Cualquier
exclusin de los controles tiene que ser justificada y debe proporcionarse
evidencia de que los riesgos asociados han sido aceptados por las personas
responsables.
1.7.4 ENFOQUE DEL PROCESO
Una organizacin necesita identificar y manejar muchas actividades para

funcionar de manera efectiva. Cualquier actividad que utiliza recursos y los
transforma, puede considerarse un proceso. Por lo general, el proceso resultante,
forma directamente un recurso de entrada del siguiente proceso.
70
Un enfoque del proceso puede considerarse a la aplicacin de un sistema de

procesos dentro de una organizacin, junto con la identificacin y las
interacciones de estos procesos, y su gestin.
Este Estndar Internacional adopta el modelo del proceso Planear-HacerChequear-Actuar (PDCA por sus siglas en ingls), el cual se puede aplicar a
todos los procesos SGSI.
Adicionalmente, se disponen de cuatro tipos de seguridad que deben tomarse en

cuenta en una organizacin [27]:
Seguridad Organizativa: Referente a los activos y continuidad del negocio

de una organizacin.
Seguridad Lgica: Proteccin a nivel de software de los sistemas de
informacin.
Seguridad Fsica: Conservar el entorno fsico de la informacin y de la
organizacin.
Seguridad Legal: Conformidad de acuerdo con las leyes de un determinado
territorio.
La Figura 1.35 muestra los tipos de seguridad, as como su relacin con los
diferentes controles de seguridad.
71
Figura 1.35: Estructura de la Norma ISO/IEC 27001:2005 [28]
1.7.5 MODELO PDCA (PLAN-DO-CHECK-ACT) [27]
El modelo PDCA o Ciclo de Deming, es un modelo de gestin que se realimenta

continuamente, mejorando su desempeo con cada evento que exista. Este
modelo se basa en dos vertientes fundamentales, la gestin de objetivos o gestin
de procesos y la resolucin de problemas. Hay que tener en cuenta que todo
proceso tiene un objetivo que cumplir; por consiguiente, un proceso sin objetivo
no tiene sentido.
Este Modelo se compone de cuatro pasos (ver Figura 1.36):
1. Planear (Establecer el SGSI): Establecer polticas, objetivos, procesos y

procedimientos del SGSI relevantes, para manejar el riesgo y mejorar la
seguridad de la informacin, y a la vez, entregar resultados en
concordancia con las polticas y objetivos generales de la organizacin.
2. Hacer (Implementar y Operar el SGSI): Implementar y operar las polticas,

controles, procesos y procedimientos del SGSI.
72
3. Chequear (Monitorear y Revisar el SGSI): Evaluar y, donde sea aplicable,

medir el desempeo del proceso en relacin con la poltica, objetivos y
experiencias prcticas SGSI y reportar los resultados a la gerencia para su
revisin.
4. Actuar (Mantener y Mejorar el SGSI): Tomar acciones correctivas y

preventivas, basadas en los resultados de la auditora interna SGSI y la
revisin gerencial u otra informacin relevante, para lograr el mejoramiento
continuo del SGSI.
Figura 1.36: Modelo PDCA [29]
1.7.6 PROCESOS DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN DE ACUERDO AL MODELO PDCA
La organizacin debe establecer, implementar, operar, monitorear, mantener y

mejorar continuamente un SGSI documentado dentro del contexto de las
actividades comerciales generales de la organizacin y los riesgos que enfrentan.
Los siguientes procesos que se muestran en el estndar ISO/IEC 27001:2005,
estn basados en el modelo PDCA.
73
1.7.6.1 Establecer el SGSI
La organizacin debe hacer lo siguiente:
Definir el alcance y los lmites del SGSI en trminos de las caractersticas del
negocio, la organizacin, la ubicacin, activos, tecnologa, incluyendo los
detalles de los controles y la justificacin de cualquier exclusin del alcance.
Definir una poltica SGSI en trminos de las caractersticas del negocio, la

organizacin, su ubicacin, activos y tecnologa que deba:
a) Incluir un marco referencial para establecer sus objetivos y brindar un

sentido de direccin general y principios para la accin con relacin a la
seguridad de la informacin;
b) Tomar en cuenta los requerimientos comerciales y legales o reguladores, y

las obligaciones de la seguridad contractual;
c) Estar alineada con el contexto de la gestin de riesgo estratgico de la

organizacin en el cual se dar el establecimiento y mantenimiento del
SGSI;
d) Establecer el criterio con el que se evaluar el riesgo;
e) Haber sido aprobada por la gerencia.
Definir el enfoque de valuacin del riesgo de la organizacin.
a) Identificar una metodologa de clculo del riesgo adecuado para el SGSI y

los requerimientos identificados de seguridad, legales y reguladores de la
informacin comercial.
74
b) Desarrollar los criterios para aceptar los riesgos e identificar los niveles de
riesgo aceptables.
Identificar los riesgos
a) Identificar los activos dentro del alcance del SGSI y los propietarios de
estos activos.
b) Identificar las amenazas para aquellos activos.

c) Identificar las vulnerabilidades que podran ser explotadas por las
amenazas.
d) Identificar los impactos que pueden tener las prdidas de confidencialidad,

integridad y disponibilidad sobre los activos.
Analizar y evaluar el riesgo
a) Calcular el impacto comercial sobre la organizacin que podra resultar de

una falla en la seguridad, tomando en cuenta las consecuencias de una
prdida de confidencialidad, integridad o disponibilidad de los activos.
b) Calcular la probabilidad realista de que ocurra dicha falla a la luz de las

amenazas y vulnerabilidades prevalecientes, y los impactos asociados con
estos activos, y los controles implementados actualmente.
c) Calcular los niveles de riesgo.
d) Determinar si el riesgo es aceptable o requiere tratamiento utilizando el

criterio de aceptacin del riesgo.
Identificar y evaluar las opciones para el tratamiento de los riesgos.
a) Aplicar los controles apropiados;
75
b) Aceptar los riesgos consciente y objetivamente, siempre que satisfagan

claramente las polticas y el criterio de aceptacin del riesgo de la
organizacin;
c) Evitar los riesgos;
d) Transferir los riesgos comerciales asociados a otras entidades.
Seleccionar objetivos de control y controles para el tratamiento de riesgos.
Obtener la aprobacin de la gerencia para los riesgos residuales propuestos.
Obtener la autorizacin de la gerencia para implementar y operar el SGSI.
Preparar un Enunciado de Aplicabilidad
a) Los objetivos de control y los controles seleccionados y las razones para su

seleccin.
b) Los objetivos de control y controles implementados actualmente.
c) La exclusin de cualquier objetivo de control y la justificacin para su

exclusin.
1.7.6.2 Implementar y Operar el SGSI
Formular un plan de tratamiento de riesgo que identifique la accin gerencial

apropiada, los recursos, las responsabilidades y prioridades para manejar los
riesgos de la seguridad de informacin.
76
Implementar el plan de tratamiento de riesgo para lograr los objetivos de

control
identificados,
los
cuales incluyen
tener
en
consideracin
el
financiamiento y asignacin de roles y responsabilidades.
Implementar los controles seleccionados para satisfacer los objetivos de

control.
Definir cmo medir la efectividad de los controles o grupos de controles

seleccionados y especificar cmo se van a utilizar estas mediciones para
evaluar la efectividad del control para producir resultados comparables y
reproducibles.
Implementar los programas de capacitacin y conocimiento.
Manejar las operaciones del SGSI.
Manejar recursos para el SGSI.
Implementar los procedimientos y otros controles capaces de permitir una

pronta deteccin y respuesta a incidentes de seguridad.
1.7.6.3 Monitorear y Revisar el SGSI
Ejecutar procedimientos de monitoreo y revisin, y otros controles.
a) Detectar oportunamente los errores en los resultados de procesamiento;
b) Identificar rpidamente los incidentes y violaciones de seguridad fallidos y

exitosos;
77
c) Permitir a la gerencia determinar si las actividades de seguridad delegadas

a las personas o implementadas mediante la tecnologa de informacin se
estn realizando como se esperaba;
d) Ayudar a detectar los eventos de seguridad, evitando as los incidentes de

seguridad mediante el uso de indicadores;
e) Determinar si son efectivas las acciones tomadas para resolver una

violacin de seguridad.
Realizar revisiones regulares de la efectividad del SGSI tomando en cuenta los
resultados de auditoras de seguridad, incidentes, mediciones de seguridad,
sugerencias y retroalimentacin de todas las partes interesadas.
Medir la efectividad de los controles para verificar que se hayan cumplido los
requerimientos de seguridad.
Revisar las evaluaciones del riesgo a intervalos planeados y revisar el nivel de

riesgo residual y riesgo aceptable identificado.
Realizar auditoras SGSI internas a intervalos planeados.
Realizar una revisin gerencial del SGSI sobre una base regular para asegurar
que el alcance permanezca adecuado y se identifiquen las mejoras en el
proceso SGSI.
Actualizar los planes de seguridad para tomar en cuenta los descubrimientos

de las actividades de monitoreo y revisin.
Registrar las acciones y eventos que podran tener un impacto sobre la

efectividad o desempeo del SGSI.
78
1.7.6.4 Mantener y Mejorar el SGSI
La organizacin debe realizar regularmente lo siguiente:
Implementar las mejoras identificadas en el SGSI.
Tomar las acciones correctivas y preventivas apropiadas
Comunicar los resultados y acciones a todas las partes interesadas con un

nivel de detalle apropiado de acuerdo a las circunstancias y, cuando sea
relevante, acordar cmo proceder.
Asegurar que las mejoras logren sus objetivos sealados.
1.7.7 GESTIN DE RECURSOS
1.7.7.1 Provisin de Recursos
La organizacin debe proporcionar los recursos necesarios para que el modelo

PDCA se cumpla, respetando los requerimientos legales, comerciales, y las
polticas propias, tendientes a una mejora permanente del SGSI.
1.7.7.2 Capacitacin
La organizacin debe asegurar la capacitacin de todo el personal que se

encuentre involucrado en el SGSI, a fin de que se concientice la relevancia e
importancia del correcto manejo de la informacin.
1.7.8 AUDITORA INTERNA DEL SGSI
79
La organizacin deber realizar auditoras internas del SGSI peridicamente, para

verificar si los objetivos de control, controles, procesos y procedimientos
establecidos cumplen los requerimientos para los cuales fueron elegidos, si se
implementaron y son mantenidos de manera efectiva, o si se comportan de
acuerdo a lo esperado.
1.7.9 MEJORAMIENTO DEL SGSI
Debe realizarse un mejoramiento continuo del SGSI, que incluya las polticas,
controles, auditoras de la seguridad de la informacin y la revisin gerencial. Es
necesario tomar en cuenta, adicionalmente, las acciones correctivas y preventivas
para solventar las no-conformidades con los requerimientos del SGSI,
identificando las causas, evaluando e implementando soluciones apropiadas para
cada caso.
80
CAPTULO 2
SITUACIN ACTUAL DE LOS DATA CENTERS TIER III EN
ALGUNOS ISPs DE LA CIUDAD DE QUITO
2
2.1 ANTECEDENTES
El
crecimiento
de
varios
sectores
econmicos,
como
el
de
seguros,
comunicaciones y la banca ha aumentado la demanda de servicios de housing,

hosting y de valor agregado. Muchas de las empresas han optado por tercerizar
sus servicios de TI con un socio de confianza para que administre y d soporte a
su infraestructura informtica.
Esta tendencia otorga flexibilidad y agrega valor econmico, liberando a las

empresas del manejo de actividades y de costos de inversin que no son la
esencia de su negocio, permitindoles focalizarse en las actividades propias de la
compaa.
Producto de la necesidad insatisfecha, varios ISPs de la ciudad de Quito optaron

por implementar centros de datos privados para brindar soluciones impecables,
permanentes, confiables y seguras. Dichos Data Centers han sido edificados
desde los inicios de las compaas y se han adaptado conforme a las nuevas
demandas, mientras que otros han sido diseados y construidos exclusivamente
para cumplir esa finalidad.
Independiente del origen de los Data Centers, stos deben seguir varios
estndares internacionales conforme a su diseo y seguridad, de tal manera que
pueda cumplir con los conceptos de confidencialidad, integridad y disponibilidad
ofrecidos en sus servicios.
81
2.2 ESTUDIO DE LOS DATA CENTERS EN LA CIUDAD DE QUITO

El Uptime Institute es una organizacin enfocada en el mejoramiento de la
eficiencia y rendimiento de los Data Centers, proveyendo de capacitacin,
consultora, certificaciones y conocimiento, de tal manera que las organizaciones
de TI posean confiabilidad y alta disponibilidad en sus infraestructuras de Data
Center. [30]
Tanto el Uptime Institute en su publicacin Data Center Site Infrastructure Tier

Standard: Topology [31], como la norma ANSI/TIA-942-A en su Anexo F Data
Center Infrastructure Tiers [10], definen cuatro clasificaciones de topologa de
infraestructura basados en el incremento de niveles de redundancia de los
componentes y rutas de distribucin de un centro de datos.
La clasificacin toma en cuenta varios factores en la construccin de un Data

Center: eleccin del sitio, rea geogrfica, sistema de telecomunicaciones,
equipos de HVAC, sistema elctrico, seguridad fsica; as como la forma en que
estn integrados para sostener el funcionamiento operacional de todo el Data
Center.
Tomando en cuenta los documentos mencionados se elabor una gua para

verificar el estado actual de los Data Centers de alta disponibilidad de algunos
ISPs en la ciudad de Quito.
2.2.1 SELECCIN DE LOS ISPs
En la provincia de Pichincha y en la ciudad de Quito existen 71 operadores que

poseen permiso para brindar servicios de valor agregado de Internet y servicios
portadores, segn la Superintendencia de Telecomunicaciones SUPERTEL, a
Junio del 2013. [32]
82
Al analizar el listado de operadores, se identific que solo 6 de ellos suman

5.311.049 de usuarios dedicados, de un total de 5.645.199 a nivel de Quito, que
representan un 94% del mercado, los mismos que podran optar por los servicios
de un Data Center, como se muestra en la Figura 2.1.
Estos operadores fueron considerados para participar en las visitas tcnicas,

debido a que ofrecen servicios de acceso a Internet y portadores a clientes
similares.
Usuarios Dedicados - Servicios Portadores - Junio-2013

LEVEL 3 ECUADOR
LVLT S.A. (GLOBAL
CROSSING)
2%
MEGADATOS S.A.
2%
RESTO DE ISPs
6%
TELCONET S.A.
4%
PUNTO NET S.A.
6%
SURAMERICANA DE
TELECOMUNICACIO
NES S.A. SURATEL
25%
[NOMBRE DE
CATEGORA]
[PORCENTAJE]
Figura 2.1: Distribucin del mercado de Servicios Portadores en Quito
En la Tabla 2.1 se observa la participacin de estas empresas en el mercado de

la ciudad de Quito, segn el nmero de usuarios dedicados.
83
No.
1
PERMISIONARIO
CORPORACIN
NACIONAL DE
TELECOMUNICACIONES
SURAMERICANA DE
TELECOMUNICACIONES
S.A. SURATEL
Cuentas
Cuentas Cuentas
Conmutadas Dedicadas Totales
Usuarios
Conmutados
Usuarios
Dedicados
Usuarios
Totales
1.256
529.804
531.060
5.024
3.096.382 3.101.406
150.527
150.527
1.401.662 1.401.662
PUNTO NET S.A.
1.291
32.170
33.461
5.164
318.780
323.944
TELCONET S.A.
29
7.396
7.425
116
206.672
206.788
LEVEL 3 ECUADOR
LVLT S.A. (GLOBAL
CROSSING)
278
647
925
1.112
148.178
149.290
MEGADATOS S.A.
37.849
37.849
139.375
139.375
Tabla 2.1: Operadores ISPs predominantes en Quito
2.2.2 EVALUACIN DE TIERING DE LOS DATA CENTERS EN BASE A LA

NORMA ANSI/TIA-942-A
Para comprobar el estado de los Data Centers visitados, en relacin a su nivel de

disponibilidad, se efectuaron visitas tcnicas a los Data Centers de los ISPs de
Quito expuestos y se realizaron entrevistas a los responsables de su
funcionamiento y mantenimiento.
La gua, basada en el Anexo F: Data Center Infrastructure Tiers de la norma

ANSI/TIA-942-A [10], permite realizar un anlisis de los cuatro subsistemas
(telecomunicaciones, arquitectnico - estructural, elctrico y mecnico) incluidos
en la infraestructura de un Data Center, determinando el cumplimiento de los
requerimientos estipulados en cada Tier y la forma en que actan en conjunto
para mantener disponibles las operaciones en el centro de datos.
Cada parte de la infraestructura se identifica con una letra, que representa el

subsistema, y una numeracin que representa su nivel de tiering. Por ejemplo:
Subsistema
de
Telecomunicaciones
con
un
Tier
IV,
T4;
Subsistema
Arquitectnico con un Tier III, A3; Subsistema Elctrico con un Tier II, E2; y
Subsistema Mecnico con un Tier I, M1.
84
La valoracin general del Tier de un Data Center no se mide por el promedio del
grado de disponibilidad de sus subsistemas individuales, sino que est definida
por el nivel del subsistema ms dbil que interviene en la operacin.
Las visitas se orientaron a los ISPs ms importantes de la ciudad de Quito

mostrados en la Tabla 2.1; pero debido a la confidencialidad de la informacin
propia de cada institucin, varios operadores negaron su participacin y acceso a
la informacin de su infraestructura actual; por esta razn se presentan los
resultados de tres Data Centers, dos que trabajan con servicio de Internet a travs
de acceso fijo y uno a travs de acceso mvil.
La informacin obtenida de los ISPs tiene el carcter de confidencial, por lo que

fue necesario establecer un compromiso con los operadores de no utilizar
nombres propios para identificarlos individualmente. Las tres empresas visitadas
se identificarn solamente como Operador A, B y C.
Los resultados de la evaluacin de los subsistemas para cada Data Center se

muestran en las Tablas 2.3, 2.4, 2.5 y 2.6. Para evaluar el cumplimiento de las
condiciones de tiering, se colocar un smbolo en el Tier correspondiente (Tier I,
II, III o IV) en cada tem de la tabla.
Los smbolos para la evaluacin de tiering se muestran en la Tabla 2.2:

Smbolo
Descripcin
El Operador cumple con las especificaciones del Tier, de acuerdo a la norma ANSI/TIA942-A.
El Operador NO cumple con las especificaciones del Tier, de acuerdo a la norma
ANSI/TIA-942-A.
Las especificaciones NO son requeridas por el Tier, de acuerdo a la norma ANSI/TIA942-A.
Tabla 2.2: Simbologa para evaluacin del tiering
Con los resultados de la evaluacin de los subsistemas, se determina la categora

de Tier a nivel global de los Data Centers visitados, la misma que se expone en la
Tabla 2.7.
85
2.2.2.1 Evaluacin del Subsistema de Telecomunicaciones
Operador A
Operador B
Operador C
SUBSISTEMA DE
TELECOMUNICACIONES
Cumplimiento
del Tier
Cumplimiento
del Tier
Cumplimiento
del Tier
Componentes de Verificacin
T1 T2 T3 T4 T1 T2 T3 T4 T1 T2 T3 T4
General
Cumplimiento de las normas de la ANSI/TIA
para cableado, racks y rutas
Proveedores de acceso redundantes
Cuartos de entrada redundantes
Cableado de backbone redundante
Cableado horizontal redundante
Fuentes de poder y procesadores

redundantes para routers y switches
Patch panels, puntos de red y cableado

estructurado etiquetado debidamente de
acuerdo a la norma TIA-606-A
Evaluacin
Tabla 2.3: Evaluacin del Subsistema de Telecomunicaciones
Los datos de la Tabla 2.3 evidencian que el Operador A cumple con todos los
requerimientos para tener una alta disponibilidad, a prueba de fallos, cuya
categora corresponde al Tier IV en el subsistema de telecomunicaciones (T4).
El Operador B presenta alta redundancia en el manejo de proveedores de acceso

y Cuartos de Entradas; sus equipos activos poseen doble entrada de alimentacin
elctrica y respaldos para activarse inmediatamente en caso de falla. Sin
embargo, tanto el cableado de backbone, como el horizontal, solo poseen rplicas
en ciertos sectores, pero no rutas diversas, por lo que no cumple la categora Tier
III y solo califica como un Tier II (T2).
En el caso del Operador C, el cableado de la LAN y SAN hacia el backbone tiene

una ruta redundante de fibra dentro de la topologa en estrella, pero no posee
rutas diversas entre la comunicacin del HDA y el MDA; adems, tiene una sola
86
ruta para la comunicacin del cableado horizontal. Por lo expuesto, solamente

cumple el Tier II (T2).
2.2.2.2 Evaluacin del Subsistema Arquitectnico
SUBSISTEMA ARQUITECTNICO
Eleccin del sitio
Construccin dedicada solo para el Data
Center sin otros propsitos
Proximidad de 91 m a reas de inundacin,
costas o autopistas
Espacio adecuado alrededor del Data Center
para minimizar impactos de instalaciones
adyacentes
Parqueadero
reas de parqueo separadas para
empleados y visitantes
Parqueadero separado de los puntos de
descarga
Construccin del edificio
Cumple con requerimientos de construccin
antissmicos
Racks anclados al piso o soportados por la
base
Proteccin de resistencia de fuego en las
paredes, piso y techo
Puntos de seguridad en las entradas del
edificio
Resistencia al fuego en puertas y ventanas
Altura de las puertas en los cuartos de
equipos no menor a 2,49 m
Sin ventanas externas en el permetro del
cuarto de cmputo
Vestbulo de entrada y reas
Administrativas
Punto de seguridad en el lobby
Personal o equipamiento necesario para
prevenir acceso no autorizado
Separacin fsica y de fuego del vestbulo de
entrada de otras reas del Data Center
Separacin fsica y de fuego de las reas
administrativas de otras reas del Data
Center
Oficina de seguridad
Separacin fsica y de fuego de la oficina de
seguridad de otras reas del Data Center
Visin de 180 grados en el cuarto de
Operador A
Cumplimiento
del Tier
Operador B
Cumplimiento
del Tier
Operador C
Cumplimiento
del Tier
A1 A2 A3 A4 A1 A2 A3 A4 A1 A2 A3 A4
87
Operador A
Cumplimiento
del Tier
Operador B
Cumplimiento
del Tier
Operador C
Cumplimiento
del Tier
A1 A2 A3 A4 A1 A2 A3 A4 A1 A2 A3 A4
seguridad
Personal o equipamiento dedicado y cuarto
de monitoreo
Tabla 2.4: Evaluacin del Subsistema Arquitectnico (Pgina 1 de 2)
Seguridad y monitoreo
Respaldo de 24h de capacidad de UPS para
el sistema de seguridad
Turnos de 24/7 para personal de seguridad
Control de acceso al Cuarto de Cmputo y
otros espacios
Control de acceso al edificio
Control de acceso por tarjeta inteligente para
cuarto de generadores, UPS, salidas de
emergencia, NOC, SOC, permetro del
edificio
Control de acceso por sistema biomtrico
para el cuarto de cmputo
CCTV en el permetro del edificio,
generadores, cuarto de cmputo, UPS,
puertas de acceso
Grabacin de actividades de las cmaras del
CCTV
Centro de Operaciones
Separacin fsica y de fuego entre el centro
de operaciones y otras reas del Data Center
Proximidad inmediata o adyacente al cuarto
de cmputo
Cuarto de Bateras, UPS y puntos de
descarga
Cuarto de UPSs y bateras separado del
cuarto de cmputo
Pasillos anchos en el cuarto de UPS
Proximidad inmediata del cuarto de UPS al
cuarto de cmputo
Separacin fsica y de fuego entre el rea de
descarga y otras reas del Data Center
2 puntos de descarga mnimos
Evaluacin
Operador A
Cumplimiento
del Tier
Operador B
Cumplimiento
del Tier
Operador C
Cumplimiento
del Tier
A1 A2 A3 A4 A1 A2 A3 A4 A1 A2 A3 A4

Tabla 2.4: Evaluacin del Subsistema Arquitectnico (Pgina 2 de 2)
88
La informacin de la Tabla 2.4 indica que el Operador A cumple todas las

especificaciones de eleccin del sitio para la construccin del Data Center,
espacios adecuados para las distintas reas del Data Center, seguridad fsica y
monitoreo de los subsistemas, por lo que califica como Tier IV en el subsistema
arquitectnico (A4).
El Operador B, cumple varios tems de disponibilidad como: construccin

antissmica y resistente al fuego, sealtica apropiada, procesos de seguridad
para ingreso al Data Center y monitoreo; sin embargo, tiene una categora Tier I
(A1) debido a los siguientes factores:
El centro de datos se encuentra en una edificacin compartida con otras

oficinas de la misma empresa, que restringen el crecimiento y tienen
propsitos diferentes.
Se localiza cerca de una falla geogrfica de Quito.
Las puertas del Cuarto de Cmputo tienen una altura inferior a 2.29 m, lo
que dificulta el ingreso de equipos.
La oficina de seguridad solo cuenta con una ventana que permite ver la
entrada al Cuarto de Cmputo.
Dispone de un solo punto de descarga, prximo al Cuarto de Cmputo.
Conforme a los datos de la Tabla 2.4, el Operador C presenta un Tier I (A1) en

este subsistema. Varios son los aspectos que afectaron su disponibilidad:
La edificacin est construida bajo normas antissmicas, pero no posee

ninguna proteccin para retardar el fuego a nivel estructural.
Posee controles de ingreso en el permetro del Data Center, pero carece
de lobby dentro de la edificacin o un segundo punto de control de
seguridad.
No existen reas administrativas dentro de las instalaciones del centro de
datos.
El punto de control exterior tiene puerta y ventana a prueba de balas, pero
el campo de visin es inferior a 180 grados.
89
El respaldo de UPS para soportar el sistema N es de solamente 8 horas.

Para el ingreso a todas las reas del Data Center, incluido el Cuarto de
Cmputo, se utiliza tarjeta de proximidad. No se dispone de sistemas
biomtricos.
El Centro de Operaciones y Monitoreo no se encuentra dentro de la
edificacin y en la misma solo se tiene personal de manos remotas, en
horario de oficina.
2.2.2.3 Evaluacin del Subsistema Elctrico
Operador A
Operador B
Operador C
SUBSISTEMA ELCTRICO
Cumplimiento
del Tier
Cumplimiento
del Tier
Cumplimiento
del Tier
E1 E2 E3 E4 E1 E2 E3 E4 E1 E2 E3 E4
General
-
Dos sistemas de suministro de energa
Panel de distribucin de energa dedicado
Redundancia 2N o N+1 del sistema de UPSs

Bypass automtico para el sistema de
suministro de energa
Banco de bateras dedicado para cada mdulo
Monitoreo del uso del banco de bateras

Circuito Breaker para sobrecorrientes en el
ATS
Sistema de aterramiento para el sistema y el
cuarto de equipos de acuerdo a la ANSI/TIA607-B
Monitoreo de UPS, alimentacin externa,
generador, transformador, circuito de
alimentacin, ATS y PDU
Sistema generador dimensionado para carga
total con redundancia N+1 o 2N
Sistemas de Testing del sistema elctrico
El sistema permite mantenimiento concurrente

Solamente 1 punto de fallo en la cadena de
distribucin hasta la carga
Redundancia en la alimentacin de los
equipos de telecomunicaciones y cmputo
Panel de Distribucin Principal
Sistema de UPSs y Monitoreo
Evaluacin
Tabla 2.5: Evaluacin del Subsistema Elctrico
90
Segn la informacin tabulada, los Operadores A y C muestran grandes niveles

de redundancia y disponibilidad en el subsistema elctrico, llegando a un Tier IV
(E4). Para lograr este nivel, las empresas tomaron en cuenta todos los escenarios
de interrupcin del servicio, disminuyeron los puntos de falla y realizaron
mitigaciones sobre el suministro de energa local.
El Operador B no implement medidas cautelares para contrarrestar posibles

fallas en la nica subestacin principal de energa elctrica en Quito, por lo que
cumple solamente un Tier II (E2). Sin embargo, sus sistemas de UPSs y
generadores estn dimensionados para un nivel de redundancia N+1.
2.2.2.4 Evaluacin del Subsistema Mecnico
SUBSISTEMA MECNICO
General
Redundancia N+1 en aires
acondicionados, coolers, bombas, etc.
No existen rutas para la tubera de agua
que no est asociada con el Data Center
Drenaje de agua en el piso en cuarto de
cmputo
Sistema HVAC
Suficientes aires acondicionados para
mantener la temperatura estable en caso
de falla elctrica
Mltiples rutas de alimentacin elctrica
para los aires acondicionados
Redundancia de rutas para las tuberas
del sistema de enfriamiento
Fuentes de agua alternas y duales para
sistema de agua helada
Falla del sistema de control del HVAC no
interrumpe con el enfriamiento de reas
criticas
Mltiples sistemas de almacenamiento de
combustible
Supresin de fuego
Empresa A
Empresa B
Empresa C
Cumplimiento
del Tier
Cumplimiento
del Tier
Cumplimiento
del Tier
M1 M2 M3 M4 M1 M2 M3 M4 M1 M2 M3 M4
Sistemas de deteccin de incendios
Sistema antiincendios gaseoso
91
Deteccin de humo temprana
Sistema de deteccin de fuga de agua
Evaluacin
Tabla 2.6: Evaluacin del Subsistema Mecnico
Segn se verifica en la Tabla 2.6, ninguno de los Data Centers de los operadores
obtiene un Tier IV en el subsistema mecnico.
El Operador A posee redundancias 2N en equipamiento de aires acondicionados,
chillers34, vlvulas, rutas de distribucin para la alimentacin elctrica de los aires
acondicionados, y dispone de sistemas de deteccin y extincin de incendios
utilizando agentes gaseosos normados. Este Data Center fue el nico con un
sistema de tuberas para el transporte de agua fra hacia las UMAs (Unidad
Manejadora de Aire)35, que mantienen estable la temperatura del cuarto de
cmputo, aunque no posee un tanque de almacenamiento de agua para continuar
la operacin de refrigeracin. Debido a esta falencia est categorizado como Tier
III (M3).
Los Operadores B y C, no disponen de sistemas de refrigeracin por agua helada,

por consiguiente, no utilizan rutas para la distribucin de la misma y sus Aires
Acondicionados (AC) son del tipo de expansin directa. Tampoco poseen
sistemas de deteccin de fuga de agua en el Cuarto de Cmputo, aunque s
presentan detectores de humedad.
El Operador B no contempla un plan de emergencia para fallos en el control de

los sistemas HVAC, circunstancia que pone en riesgo la disponibilidad de todo el
sistema. En consecuencia con lo analizado, los Operadores B y C se ubican en el
nivel de Tier I (M1).
34
Chiller: Mquina trmica que remueve el calor de un lquido a travs de compresin de vapor o
por un sistema de refrigeracin por absorcin.
35
Unidad Manejadora de Aire (UMA): Es un aparato que trata el aire en aspectos como correcto
caudal, limpieza, temperatura y humedad para el sistema HVAC.
92
2.2.3 ANLISIS GLOBAL DE TIERING DE LOS DATA CENTERS QUE

OPERAN EN QUITO
Sobre la base de los resultados de cada subsistema, se realizar un anlisis

global del tiering de los Data Centers para cada empresa, con el objetivo de
determinar el estado actual de los Data Centers de alta gama en la ciudad de
Quito.
La Tabla 2.7 muestra un resumen de las evaluaciones de cada subsistema para

cada empresa. En esta tabla se puede observar que solamente el Operador A
tiene un grado de Tier III, lo que significa que su infraestructura presenta alta
disponibilidad, en tanto que los Operadores B y C tienen un Tier I, por lo que
estn expuestos a sufrir cortes en el servicio brindado e interrupciones que se
relacionan con la estructura fsica de sus instalaciones.
INFRAESTRUCTURA DEL DATA CENTER

Subsistema de Telecomunicaciones
Subsistema Arquitectnico
Subsistema Elctrico
Subsistema Mecnico
Evaluacin General
Operador A
Operador B
Operador C
Cumplimiento Cumplimiento Cumplimiento
del Tier
del Tier
del Tier
I II III IV I II III IV I II III IV
Tabla 2.7: Evaluacin global de los Data Centers visitados
Para la calificacin general de todo el centro de datos se tom en cuenta el nivel

del subsistema ms bajo. En el caso del Operador A, dicho subsistema fue el
mecnico; y para los Operadores B y C fueron los subsistemas arquitectnicos y
mecnicos los que redujeron su puntuacin.
La evaluacin general reflej que solo uno de los Data Centers investigados
cumpli los requerimientos de un Data Center de Tier III, segn la norma
ANSI/TIA-942-A. Por consiguiente, este Centro de Datos, conforme al anlisis de
sus realidades y falencias, servir de base para implementar la estructura
genrica de un Data Center Tier III.
93
Conviene sealar que el centro de datos modelo, al cumplir la norma ANSI/TIA942-A, incorpora algunas exigencias de seguridad sobre la infraestructura, pero
no contempla una gestin adecuada de la seguridad de la Informacin, temtica
que ser desarrollada en los captulos siguientes.
2.3 INFRAESTRUCTURA DE UN DATA CENTER TIER III

La infraestructura propuesta, est basada en el Data Center Tier III del Operador
A, que permitir obtener un Data Center Tier III modelo, con la gua de los
lineamientos implementados en dicho centro de datos y el cumplimiento de
normas internacionales. Los sistemas arquitectnico, elctrico y mecnico no
tendrn modificaciones significativas a efectos de no alterar el funcionamiento
operacional.
El Data Center Tier III est compuesto por varios sistemas, los cuales aseguran la
correcta operatividad, disponibilidad y seguridad de los datos. Estos sistemas
estn clasificados de la siguiente forma:
Sistema Arquitectnico.
Sistema de Telecomunicaciones.
Sistema Elctrico.
Sistema de Climatizacin o Mecnico.
Sistemas de Apoyo (Videovigilancia IP36, Control de Acceso37, Deteccin y
Extincin de Incendios).
36
Videovigilancia IP: Es una tecnologa de vigilancia visual que permite transmitir video en formato
digital a travs de una red IP.
37
Control de Acceso: Sistema que permite el ingreso o salida de una instalacin por medio de
dispositivos de acceso como lectores de proximidad, magnticos, de cdigos de barras o
biomtrico.
94
2.3.1 SISTEMA ARQUITECTNICO
En lo que concierne al sistema arquitectnico, el Data Center categora III debe

ser una edificacin independiente, de propsito nico o que no abarque funciones
ajenas a su prestacin de servicios. No debe estar rodeada de lugares que
contengan objetos o sustancias peligrosas o edificaciones que amenacen la
integridad del centro de datos en caso de siniestros.
En el anlisis geolgico de Quito se contemplan tres tipos de riesgos: terremotos

por fallas geolgicas cercanas, descargas piroclsticas y deslave volcnico.
En Quito existen dos fallas geolgicas: la 31a y la 31b, de acuerdo a la Figura 2.2,
con una tasa de movimiento de 0.2 a 1.0 mm/ao, cuya ltima actividad data de
hace 15000 aos [33], por lo que no representa un riesgo significativo. Si
ocurrieren casos de descarga piroclstica, originados por una probable erupcin
del volcn Guagua Pichincha, las cenizas representaran un riesgo para toda la
ciudad capital, por lo que deberan tomarse las precauciones necesarias con la
incorporacin de filtros en los generadores y en las tomas de los aires
acondicionados. No se puede dejar de mencionar la posibilidad de deslave
volcnico en las faldas del Pichincha, a efectos de direccionar la ubicacin del
Data Center. [34]
El edificio no debe construirse en un lugar plano que podra estar afectado por
inundaciones. Asimismo, debe ubicarse lejos de autopistas principales, plantas
qumicas, bases militares y aeropuertos, a una distancia mnima de 1 km.
95
Figura 2.2: Mapa de pliegues y fallas de Quito [35]
Debido a los posibles riesgos geolgicos de Quito y al concepto comercial de la

empresa,
segn
el
PLAN
METROPOLITANO
DE
ORDENAMIENTO
TERRITORIAL - PMOT [36], el Data Center Tier III debe estar ubicado fuera de
las zonas de falla, en una zona industrial alejada de las reas residenciales y
protegidas.
En lo que corresponde al segmento constructivo, el edificio debe cumplir las

caractersticas estructurales de hormign, con resistencia ssmica de 1.5 para una
zona 4 en Quito, y soportar un terremoto de 8 grados en la escala de Richter [37].
Un Data Center debe cumplir las especificaciones de construccin del Cdigo

Internacional de Construccin (IBC). En el caso de un Tier III puede ser de tipo
IIA, IIIA, o VA. Esta clasificacin hace referencia a combustibilidad y resistencia al
fuego de los elementos del edificio, como: marcos estructurales, paredes con
incrustaciones, paredes llanas, pisos y techos [38].
El Data Center de la propuesta es de tipo IIA, porque estar construido de

hormign en todas las paredes y estructuras, con puertas de acero incrustadas en
las paredes, desechando materiales combustibles como madera, a fin de
garantizar una resistencia al fuego de 1 hora como mnimo, condiciones que lo
diferencian de los tipos IIIA y VA.
96
Las instalaciones del Data Center dispondrn de un solo sitio de parqueos, con
una entrada nica, el mismo que se asignar exclusivamente para el personal de
la empresa. No habr parqueadero interno para visitantes, para eliminar la
proximidad directa al Cuarto de Cmputo.
El centro de datos tendr una capa de cimientos de concreto, la cual debe

soportar una carga viva mayor a 12 ton/m2, incluida la carga del cableado y
medios de comunicacin, as como las bateras de los UPSs y los
transformadores.
En los cuartos de equipamiento elctrico y en el Cuarto de Cmputo se instalar

piso falso a 0.61 m del piso terminado; los racks, sobre el piso falso, estarn
completamente anclados en la base.
La altura mnima ser de 2,6 m, desde el piso terminado a cualquier obstculo en

el techo, como detectores de humo, accesorios de iluminacin o cmaras. De
haber equipos que superen los 2,13 m, se necesitar una mayor altura del techo,
tomando en cuenta que debe existir un mnimo de 460 mm de espacio libre a
partir de los detectores de humo. Las puertas tendrn un mnimo de 1 m de ancho
y 2,29 m de alto, y el Cuarto de Cmputo no debe contener ventanas hacia el
exterior.
El Centro de Datos est conformado por las siguientes dependencias:
Planta Baja:
Cuartos de Entrada.
NOC38.
Cuarto de seguridad y videovigilancia.
Oficinas y reas administrativas.
38
NOC (Network Operations Center) es un sitio desde el cual se efecta el control de las redes de
computacin o telecomunicaciones.
97
Cintoteca39.
Cuarto de Telecomunicaciones.
Cuartos de UPSs, bateras, tableros, transformadores y cuartos elctricos.
Cuarto de UMAs.
Bodega y baos
Corredores, elevador y escalera.
Subsuelo:
reas de Ensamblaje, Recepcin y Pruebas

Bodega y baos
Corredores, elevador y escalera.
Exterior:
rea de generadores y tanques de combustible

Parqueadero
Guardiana
Existen dos puntos de control de seguridad en el Data Center, uno, de tipo
perimetral, se ubica fuera del edificio, y otro, localizado en el lobby del Data
Center, cumple las funciones de videovigilancia. Los dos se encuentran
monitoreados y poseen vidrios a prueba de balas.
El Data Center est provisto de herramientas de control de acceso y CCTV en

todos los sectores. El ingreso a las diferentes dependencias se realiza por medio
de tarjetas de acceso, exceptuando el Cuarto de Cmputo, al cual se accede por
medio de lectura biomtrica y tarjeta inteligente.
39
Cintoteca: Almacn donde se almacenan los medios magntico y la informacin contenida en

stos.
98
El monitoreo por CCTV est centralizado en el rea de videovigilancia y controla

las reas de generadores, cuartos elctricos, cuarto de cmputo, corredores,
NOC, reas administrativas y permetro del edificio.
Cada componente del sistema elctrico se localiza en cuartos separados. En

cumplimiento del Tier III, el cuarto de generadores y tanques de almacenamiento
de disel se encuentran separados del Cuarto de Cmputo, para mayor
seguridad; mientras que los UPS y bateras estn adyacentes al mismo.
Las lneas de distribucin elctrica proveniente de la EEQ acceden al cuarto de

transformadores, los cuales tienen conexin con el cuarto de tableros, y stos con
el cuarto elctrico donde se encuentran los tableros y ATSs del sistema de
enfriamiento, sistemas generales y PDU.
En este proyecto, el sistema mecnico de frio (aire acondicionado) utiliza agua

refrigerada y congelada, sistema que est compuesto por chillers, que enfran el
Cuarto de Equipos TI, Cuartos Elctricos y UPSs. Los chillers, vlvulas y bombas
se encuentran ubicados en el techo de la edificacin, lo mismo que un cuarto de
control del AC.
Hay un sistema de distribucin de doble circuito de tuberas de agua helada, cuya

disposicin evita que pasen sobre los equipos de telecomunicaciones; las tuberas
son alimentadas por una cisterna ubicada fuera del edificio. stas terminan en las
UMAs, que se encuentran en los pasillos exteriores del Cuarto de Cmputo, el
cual, a su vez, cuenta con un sistema de drenaje de agua.
Las reas tcnicas, como el NOC, cross-connection, cuarto de pruebas, espacios

pblicos, etc., estn enfriados por equipos de expansin directa con redundancia
N+1.
Los sistemas supresores de incendios se encuentran distribuidos en todo el Data

Center; estos sistemas cuentan con tuberas areas, tanto para los sistemas
detectores de humo, como para los de extincin, que utilizan el agente gaseoso
99
Ecaro 25. Los tanques del gas limpio estn ubicados junto al cuarto de cmputo,
en los cuartos de entrada, cuarto de telecomunicaciones y cuartos elctricos.
Existen dos rutas de proveedores de acceso subterrneas que terminan en dos

Cuartos de Entrada redundantes, separados por una distancia de 26 m. En este
caso, al tratarse de un ISP, no se tienen proveedores de acceso, pero se utilizan
los cuartos como puntos de interconexin entre el Data Center y el medio externo.
El Cuarto de Cmputo est ubicado en la parte central del centro de datos para
cumplir las distancias permitidas de cableado estructurado. Soporta un conjunto
de 180 racks, ubicados en 9 columnas de 20 racks, con un crecimiento a 200
racks, organizados de tal forma que puedan producir pasillos calientes y fros.
La conexin entre el Cuarto de Entrada y el Cuarto de Cmputo, y entre racks

dentro del Cuarto de Cmputo, se extiende por el piso falso; la comunicacin
desde el Cuarto de Cmputo hacia el resto de cuartos del Data Center se efecta
por canaletas y escalerillas reas.
Las reas de apoyo son: el NOC (centro de operaciones de red), oficinas

administrativas, sala de reuniones, bateras sanitarias, bodegas y cintoteca. El
NOC, donde se realiza el monitoreo general del Data Center, no est prximo al
Cuarto de Cmputo.
Existen tambin cuartos de entrega, ensamblaje y pruebas, que se ubican en el

subsuelo. Asimismo, se cuenta con un elevador para transportar los equipos al
Cuarto de Cmputo o a la terraza.
2.3.1.1 Seguridad de la Informacin del Sistema Arquitectnico
La norma ANSI/TIA-942-A establece aspectos de seguridad dentro de las

consideraciones generales del diseo. La construccin del Data Center Tier III y la
eleccin del sitio tienen impacto directo en la disponibilidad de los servicios. A
100
continuacin se indican las condiciones del sistema arquitectnico para la

Eleccin del sitio de construccin
Independiente diseada con un propsito determinado.

Alejado de rutas viales principales, bases militares o industrias qumicas.
Distante de reas de inundacin, fallas geolgicas o campo de deslaves
volcnicos.
Parqueadero interno exclusivo para empleados del Data Center y externo
para visitantes.
Consideraciones Estructurales
Construccin de hormign con resistencia antissmica para una zona 4.

Marcos estructurales, paredes con incrustaciones, paredes llanas, pisos y
techos tipo IIA con resistencia al fuego de 1 hora.
Guardiana en la entrada del recinto y punto de seguridad en el lobby del
Data Center con vidrio antibalas.
Cada cuarto del Data Center, incluyendo cuartos elctricos, UPS, bateras,
HVAC y de apoyo, estn separados del Cuarto de Cmputo para evitar en
ste ingresos innecesarios.
El Cuarto de Cmputo carece de ventanas externas, a fin de disminuir el
calor e incrementar la seguridad.
2.3.2 SISTEMA DE TELECOMUNICACIONES
2.3.2.1 Infraestructura de Red del Data Center Tier III
El presente Proyecto de Titulacin est dirigido a la seguridad de la informacin

correspondiente a un Data Center modelo Tier III, para un ISP de la ciudad de
101
Quito; por consiguiente, la infraestructura de red estar basada en la topologa del

Data Center que cumple con el tiering III en el Numeral 2.2.3.
La red est basada en el modelo de tres capas, que son: acceso, distribucin y
ncleo o core.
La Capa de Acceso es aquella donde los equipos terminales (impresoras,

computadores, etc.) se conectan a la red; en esta capa es donde se divide
a los usuarios y a los diferentes recursos a los cuales tienen acceso.
La Capa de Distribucin es la encargada de enrutar las diferentes subredes

dentro de una LAN y adicionalmente, se ocupa de poner reglas y filtros de
seguridad. Esta capa se encarga de implementar muchas funciones que
requieren de un alto procesamiento para que la Capa de Core no tenga
inconvenientes en su procesamiento.
La Capa de Ncleo o Core realiza la conexin entre la LAN y redes

externas; por ejemplo, una red metropolitana de un determinado ISP. Por lo
general, esta capa solo se ocupa del reenvo de paquetes, para disminuir
las latencias y el procesamiento de los equipos.
Al tratarse de una red diseada para un Data Center Tier III, sta debe cumplir
con una alta redundancia en todas las capas y rutas que llegan a los routers de
borde,
como
indica
el
estndar
ANSI/TIA-942-A.
Dichas
rutas
sern
necesariamente de fibra ptica para no tener inconvenientes con las capacidades

que manejar la transmisin de datos del Data Center.
La capa de acceso en el Data Center contar con dos switches para los equipos
del NOC, uno como principal y otro como backup, a los cuales se interconectarn
dos switches que se encargarn del monitoreo de recursos de los equipos que se
102
tienen en el Data Center. Se dispondrn dos switches PoE40, para las cmaras de
vigilancia, las mismas que tendrn memoria interna.
Todo el monitoreo estar conectado a una red SAN41 redundante, que
almacenar las alarmas de monitoreo, eventos, videos, etc.
La SAN est constituida por un Array Redundante de Discos de Almacenamiento

Independientes (RAID42 por sus siglas en ingls). stos se complementan por
servidores de virtualizacin, por lo general, Blade Centers43, contenidos en un
chasis, que permite la conectividad hacia la red, proporciona energa elctrica,
brinda ventilacin y sirve de integracin entre servidores y discos de
almacenamiento.
Una controladora permite la gestin de conexin entre servidores y genera arrays

de discos de almacenamiento con sus respectivas redundancias. Todos los
equipos de la SAN estn conectados entre s y con el resto de la red a travs de
un switch de distribucin. En la Figura 2.3 se muestra una red bsica SAN.
40
PoE: Power over Ethernet, es una tecnologa que permite que la alimentacin elctrica se
suministre a un dispositivo de red usando el mismo cable que se utiliza para la conexin de red.
41
SAN: Red de Almacenamiento, es toda una infraestructura de red cuyo propsito es el
almacenamiento y compartimiento de informacin, con los dispositivos de una red dentro de un
Data Center.
42
RAID: Redundant Array of Independent Disks, sistema de almacenamiento de datos que usa
mltiples unidades de almacenamiento entre los que se distribuyen o replican los datos.
43
Blade Centers: consta de una tarjeta que contiene nicamente microprocesador, memoria y
buses. La traduccin de blade es cuchilla.
103
Controladora
Servidor Blade
(Cuchilla)
Switch de
Distribucin
Red del Data Center
Servidor Blade
(Chasis)
Array de Discos de
Almacenamiento
Figura 2.3: Diagrama de la SAN de un Data Center Tier III modelo
El Data Center cuenta con telefona IP, Central Telefnica, routers, Gateways44 y
gatekeepers45, soportados por los subsistemas de apoyo indicados en la norma
ANSI/TIA-942-A. El diseo de la red de telefona sirve para la comunicacin
interna dentro del Data Center y el ISP, y permite la conexin con la red telefnica
pblica.
Se contempla una red inalmbrica provista de dos APs 46, uno activo y otro de
backup, la cual provee de acceso a Internet para los visitantes e ingreso a los
sistemas de informacin para personal del Data Center.
Tanto los equipos de la Capa de Acceso, como los de la Capa de Distribucin, se

conectarn a la Capa de Distribucin y Core, respectivamente, por medio de
switches especializados, para soportar el flujo de informacin entre las capas.
Adicionalmente, se conectarn ruteadores que vienen desde la red del ISP hacia
los switches de acceso, monitoreo y NOC, por cuanto se monitorear la red del
Data Center desde el NOC propio del ISP.
44
Traductor de protocolos y redes que permiten que la comunicacin telefnica IP pueda ser
interpretada por cualquier dispositivo telefnico.
45
Controladora de conexiones telefnicas establecidas, lleva registros de las mismas.
46
Access Point o punto de acceso a la red cableada para dispositivos inalmbricos.
104
Toda la red estar protegida por firewalls, que verificarn el trfico de llegada y
salida, para evitar que ste sea malicioso.
Los switches de monitoreo y NOC, que proveern a las estaciones de trabajo de

conectividad con los switches de acceso, al igual que los switches encargados de
conmutar la informacin de las cmaras PoE, se ubicarn en el cuarto de
telecomunicaciones, cumpliendo con los estndares de cableado estructurado y
respetando el tiering del Data Center.
La cintoteca se encuentra cerca del cuarto de telecomunicaciones y contar con

los servidores de storage que generarn los respaldos en cinta, con la posibilidad
de respaldar la informacin en tiempo real, si es necesario; adems, se pueden
conectar varios servidores a este equipo simultneamente.
Todas las cintas se etiquetarn conforme a la fecha y hora, servicio, cliente, etc. y
sern almacenadas de acuerdo a las normas de temperatura y humedad ideales
para su conservacin. La Figura 2.4 indica los rangos de temperatura y humedad
para la conservacin de medios de almacenamiento.
Figura 2.4: Rangos de temperatura y humedad de conservacin de medios de almacenamiento [39]
105
En la Tabla 2.8 se muestran algunos parmetros relacionados con la

conservacin de cintas, tanto si son destinadas al almacenamiento de acceso,
como al almacenamiento de archivos.
Caracterstica clave
Funcin
Se requiere aclimatacin antes
de la reproduccin?
Almacenamiento de acceso Almacenamiento de archivo

Proporcionar un
Proporcionar
almacenamiento de medios
almacenamiento que
que permita un acceso y
preserve los medios por el
reproduccin inmediatos.
mayor tiempo posible
No
Por lo menos 10 aos

cuando se almacena en las
La mxima permitida para el
Esperanza de vida de los medios
condiciones de temperatura y tipo de medio en particular.
humedad indicadas.
Prxima o igual a la
Significativamente inferior a
temperatura ambiental
Valor de ajuste de la temperatura
la del ambiente interno. Tan
interna. En el rango: 60 a
baja como 40F (5C).
74F (15 a 23C).
La del ambiente, o cerca de
Significativamente inferior a
Valor de ajuste de la humedad
este nivel. En el rango de: 25 la temperatura ambiente. Tan
a 55% HR.
baja como 20% de HR.
La diferencia entre el valor
mximo y el mnimo no
mximo y el mnimo no
Variaciones de temperatura
debera exceder los 7F
debera exceder los 7F
(4C)
(4C).
mximo y el mnimo no
mximo y el mnimo no
Variaciones de humedad
debera exceder el 20% de
debera exceder el 10% de
HR
HR.
Tabla 2.8: Aspectos claves del almacenamiento de las cintas magnticas [39]
En la Figura 2.5 se observa un diagrama de red modelo para un Data Center de

Alta Gama, basado en el caso real investigado.
2.3.2.2 Servidores
En el Data Center propuesto, se prestarn servicios de Housing, Hosting y Cloud

Computing (Infraestructura como Servicio47), lo que conllevar a la utilizacin de
servidores que cumplan con este fin. Adicionalmente se dispondrn de servidores
que contendrn los monitoreos de los subsistemas.
47
IAAS. Es dar servicios de almacenamiento y cmputo a varias empresas concentrados en una

sola red por medio de virtualizacin.
Proveedor de Servicios de Internet (ISP)
CAPA DE CORE
Switch de Core
Firewall de borde
Switch de Core
(Redundancia)
Firewall de borde
(Redundancia)
CAPA DE DISTRIBUCIN
SAN
SAN (Redundancia)
Servidores No
Virtualizados, Central
Telefnica IP
Switch de
Distribucin
Switch de
Distribucin Servidores No Virtualizados,
(Redundancia)
Central Telefnica IP
(Redundancia)
CAPA DE ACCESO
Router de
Monitoreo
Firewall Red de
Acceso
Switch de Acceso
Switch NOC
Access Point
Switch Monitoreo
Switch Cmaras PoE
Switch de Acceso
(Redundancia)
Router de
Monitoreo
(Redundancia)
Firewall Red de
Acceso
(Redundancia)
Switch NOC
(Redundancia)
Switch Monitoreo
(Redundancia)
Access Point
(Redundancia)
Switch Cmaras PoE

(Redundancia)
106
Figura 2.5: Diagrama de Red de un Data Center Tier III modelo
107
En el presente caso de estudio, los servidores de autentificacin, DNS, DHCP,

correo, etc. se encuentran virtualizados.
Los servidores de monitoreo gestionarn las alarmas emitidas por todos los
subsistemas, y el software utilizado podr ser libre o propietario; adems, podrn
ser servidores fsicos o virtualizados, con sus respectivas redundancias.
En lo posible, podran implementarse servidores con BMS48 para los sistemas
mecnicos, sistemas elctricos, sistemas de control de acceso, sistemas de
deteccin y extincin de incendios. De igual forma, podran utilizarse servidores
Cacti, Whatsup, Nagios, Syslogd, entre otros, para monitorear recursos a travs
de SNMP y alarmas Syslog49.
La SAN del Data Center alojar los servidores de almacenamiento para brindar
servicios de virtualizacin y storage; este ltimo podr ser contratado por los
clientes, escogiendo diferentes cantidades de almacenamiento, que determinar
el costo por dicho servicio.
Para la implementacin de servidores, deben tomarse en cuenta algunos

requerimientos tcnicos, como: Sistema Operativo del servidor, procesador,
memoria, tarjeta de red y almacenamiento en disco. [40]
Sistema Operativo: El sistema operativo se selecciona de acuerdo a los

niveles de seguridad, facilidad de configuracin, aplicaciones, soporte, etc.
Procesador: Se verifica el tiempo de procesamiento de los recursos del

CPU. La velocidad de procesamiento de instrucciones simultneas
depende del nmero de ncleos que contienen los microprocesadores.
48
BMS Building Management System, es un conjunto entre software y hardware que hace posible
la supervisin y control de distintos subsistemas que puede tener una edificacin, sacando un
reporte sobre los mismos, se puede hacer monitoreo de sistemas de deteccin y extincin de
incendios, estado de escaleras elctricas y ascensores, etc.
49
Syslog son mensajes de registros de cierto eventos, detallados en el RFC 3164 y que se
transmiten por el puerto UDP puerto 514, y puede enviar informacin sobre seguridad del sistema
o alarmas de eventos especiales con sus respectivos grados de prioridad.
108
Dependiendo de las aplicaciones, se utilizarn procesadores de 32 y 64

bits, ya que un microprocesador de 64 bits manejar una mayor memoria
RAM.
Memoria: Se verificar que exista un bajo consumo de memoria con la

cantidad mxima de carga; por lo general, debe reservarse por lo menos
512 MB para el funcionamiento de un determinado Sistema Operativo.
Tarjeta de Red: es necesario considerar el nmero de mquinas virtuales

dentro del servidor, la capacidad de transmisin de la tarjeta y el porcentaje
de utilizacin de la misma. En general, los servidores de virtualizacin
tienen ms de una tarjeta de red.
Comnmente, los clientes conocen los requerimientos que necesitan de un

determinado servidor; por ejemplo, en el caso de Web Hosting, el cliente sabe de
antemano lo que requiere en trminos de: espacio en disco, memoria, procesador,
capacidad de transmisin, etc. En caso de que un cliente desconozca los
requerimientos que necesita de un determinado servicio, el Data Center pondr a
su disposicin servidores de prueba para un monitoreo de recursos y de esta
forma proporcionarle las opciones ms convenientes.
Todos los servidores fsicos, ya sean de propiedad del cliente o del Data Center,
se ubicarn en los racks correspondientes, los que, a la vez, estarn enjaulados.
2.3.2.3 Cableado Estructurado

El Data Center cumple las normas de cableado estructurado TIA/EIA-568-C50 y
TIA/EIA-606-A51, las cuales aportan a la seguridad de la informacin,
50
Cableado de Telecomunicaciones en Edificios Comerciales, especifica un conjunto de buenas

prcticas para el correcto funcionamiento del cableado estructurado para evitar fallos o
interrupciones en la transmisin de la informacin.
51
Norma para la Administracin de Infraestructura de Telecomunicaciones en Edificios
Comerciales.
109
consiguiendo que la disponibilidad, confidencialidad e integridad de la informacin

est segura en estos aspectos.
En cuanto a las distancias de cableado estructurado, la medida mxima de
cableado horizontal es de 86 metros, por debajo de la medida mxima de 100
metros, incluido el patch cord del equipo, al tratarse de cable UTP. Los equipos de
las MDA e IDA se encuentran en los racks, que se hallan en las posiciones C1F1,
C1F2, C2F1, C2F2, C8F1, C8F2, C9F1, C9F2 (ver Anexo A).
En la Tabla 2.9 se exponen las distancias de cableado estructurado del Data

Center modelo, incluyendo su distancia mnima y mxima.
Puntos
Cuarto de Entrada 2 (xconn2) - MDA IDA 2
MDA IDA 2 - Cuarto de Telecomunicaciones
Cuarto de Telecomunicaciones - NOC
Cuarto de Entrada 1 (xconn1) - MDA IDA 1
MDA IDA 1 - Cuarto de Telecomunicaciones
MDA IDA 2 - rack ms alejado
MDA IDA 1 - rack ms alejado
MDA IDA2 - NOC
Cmara de Ingreso - MDA IDA 2 (distancia mayor)
Gerencia - Cuarto de Telecomunicaciones (distancia menor)
Distancia
35 m
40 m
40 m
30 m
55 m
40 m
40 m
65 m
85 m
20 m
Tabla 2.9: Distancias de Cableado Estructurado
Tanto los patch cords que conectan los equipos de las capas de core y
distribucin, como el cableado backbone utilizarn fibra ptica multimodo52 para la
transmisin de datos, ya que cumple las especificaciones tcnicas requeridas. La
Tabla 2.10 muestra los parmetros para el uso de fibra multimodo.
El cableado UTP que utilizar el Data Center ser de Categora 6A, y ser
instalado desde los puntos de red hasta el Cuarto de Telecomunicaciones. Los
patch cords se dispondrn para proporcionar conectividad a los equipos de
trabajo con la red, y la correspondiente conexin de los equipos intermedios con
los patch panels en los diferentes racks y puntos de consolidacin.
52
Es aquella fibra que transmite los datos a travs de varios haces de luz llamados modos o
caminos, debido al material reflectivo.
110
Tipo de Fibra Core/Cladding (m) A. Banda Modal(MHz.km) Distancia 10Gb/s (m)

OM1**
62,5/125
200
33
OM2
50/125
500
82
OM2**
50/125
950
150
OM3
50/125
2000
300
OM3
50/125
4700
550
** Las fibras OM1 y OM2 no son listadas en normas ISO

Tabla 2.10: Parmetros de Fibra ptica Multimodo [41]
La distribucin de puntos de red se basar a lo dispuesto en la norma y al modelo

de Data Center del caso de estudio, cuyo detalle es el siguiente:
NOC, Control de Acceso, Monitoreo, Manos Remotas53:
10 puntos de datos
10 puntos de telefona
4 puntos reservados para datos
2 puntos reservados para telefona
Cintoteca:
1 punto de datos
1 punto de telefona
1 punto reservado para datos
1 punto reservado para telefona
Jefatura Data Center:
53
4 puntos de datos
Manos Remotas: Servicio donde un tcnico del Data Center realiza tareas sencillas en los
equipos de los clientes para solucionar problemas o ejecutar mantenimientos.
111
Gerencia:
-
2 puntos de datos
Sala de reuniones:
2 puntos de datos
Oficinas:
5 puntos de datos
Cuarto de Videovigilancia:
3 puntos de datos
112
Las videocmaras IP que se encuentran en el Data Center harn uso de un punto

de red. Para las 65 cmaras se reserva un 5% de puntos adicionales para uso
futuro.
El etiquetado y administracin de infraestructura de telecomunicaciones se
efectuar de conformidad con la norma TIA/EIA-606-A, con su registro respectivo;
adems, el etiquetado, por cuestiones de manejo, se lo har de dos formas:
El etiquetado dentro del Cuarto de Cmputo del Data Center se har de la

siguiente manera:
12-AAD34
El primer nmero (en el ejemplo, el nmero 1), hace referencia a la fila de
racks dentro del Cuarto de Cmputo.
El segundo nmero identifica a la columna de racks dentro del Cuarto de
Cmputo.
Las dos primeras letras se refieren al patch panel.
La tercera letra ser D, V o T, segn se refiera a Datos, Video o Telefona.
Los dos ltimos nmeros corresponden al puerto del panel.
El etiquetado en las reas de Trabajo del Data Center seguir este formato:
AA-BBD12
Las dos primeras letras (en el ejemplo, las letras AA) son las siglas del
rea de Trabajo; se reemplazarn por OF (Oficina), MO (Monitoreo), CI
(Cintoteca), JD (Jefatura del Data Center), GE (Gerencia), SR (Sala de
Reuniones), VR (Cuarto de Videovigilancia).
La tercera y cuarta letra hacen referencia al patch panel.
La quinta letra ser D, V o T, segn se refiera a Datos, Video o Telefona
Los dos ltimos nmeros corresponden al puerto del panel.
113
2.3.2.4 Seguridad de la Informacin del Sistema de Telecomunicaciones
Se disponen de rutas redundantes desde los proveedores hacia los

Cuartos de Entrada del
Data Center, previniendo problemas de
disponibilidad de la informacin por cortes de fibra ptica en cualquiera de

las rutas.
Las normas TIA/EIA-568-C y TIA/EIA-606-A, evitan problemas de
interferencias y cortes dentro del cableado estructurado del Data Center;
adems, en el caso de que una determinada ruta de cableado estructurado
tenga algn dao u otro inconveniente, se podr identificar dicha ruta de
una manera rpida, y proceder a su reparacin o reemplazo, sin que la
disponibilidad del servicio se vea afectada.
La redundancia de los equipos de conectividad (switches, routers), en
todas las capas (core, distribucin, acceso), determina que la disponibilidad
en los servicios del Data Center no se afecte; adems, asegura que los
sistemas de monitoreo del estado de los equipos y el monitoreo visual a
travs de las cmaras de seguridad trabajen sin interrupciones.
Los equipos de telecomunicaciones deben soportar doble entrada de
energa elctrica, para poder superar la afectacin de una de las rutas de
energa elctrica.
2.3.3 SISTEMA ELCTRICO
La disponibilidad de la informacin es uno de los aspectos fundamentales para la

seguridad. El sistema elctrico de un Tier III permite mantener energizado todo el
sistema, de tal forma que no existan cadas en el servicio por mantenimiento.
El sistema elctrico para un Tier III requiere de dos fuentes de energa

provenientes de diferentes suministros elctricos. En el Ecuador existe solamente
un distribuidor elctrico que forma parte del Sistema Nacional Interconectado
114
(SNI54) [42], que en este caso es la red de Media Tensin a 22,8 KV de la

Empresa Elctrica Quito, la misma que alimenta un Transformador de 1,5 MVA
por medio de una Sub-estacin de MT. Para compensar el requerimiento de las
dos fuentes para el suministro elctrico, se utiliza como fuente secundaria dos
grupos de tres generadores tipo Padmounted RADIAL de 547 KW (684 KVA),
duplicados (Sistema A y Sistema B), conectados de tres en tres, trabajando en
paralelo por medio de los tableros de sincronizacin PSG-A y PSG-B. La
alimentacin de la red de media tensin se la realiza de manera subterrnea para
evitar daos por accidentes, vandalismo, descargas elctricas, etc.
Para un mantenimiento concurrente se tiene una redundancia de 2(N+1) en todos

los mdulos, como: rutas, generadores, sistemas de UPS, tanques de
combustible, alimentacin hacia los equipos de telecomunicaciones, PDUs, ATSs
y tableros.
Los respaldos de UPS para los circuitos TI se hacen con grupos de 6 UPS
redundantes de 200 KVA en paralelo, independientes elctricamente uno del otro.
Se cuenta con un sistema de aterramiento para la proteccin de descargas

elctricas conforme a la norma ANSI/TIA-607-B, en los tableros que dan servicio a
los chillers, bombas, vlvulas, PDUs y sistemas generales.
El diseo actual se basa en el propuesto por el documento Tier Classifications

Define Site Infrastructure Performance del Uptime Institute [43].
En la Figura 2.6 se muestra un diagrama de bloques del sistema elctrico para el

Data Center Tier III, que se explica a continuacin:
El sistema tiene un ingreso de energa desde la distribucin de media tensin de

la Empresa Elctrica Quito (EEQ) hacia una subestacin, desde la cual se
54
Se denomina Sistema Nacional Interconectado al sistema integrado por los elementos del
sistema elctrico conectados entre s, el cual permite la produccin y transferencia de energa
elctrica entre centros de generacin y centros de consumo, dirigido a la prestacin del servicio
pblico de suministro de electricidad.
115
alimenta el tablero de distribucin de baja tensin de todo el sistema por medio de

un transformador.
La seleccin de la fuente elctrica principal entre la red de la EEQ y el sistema de

generadores, se la efecta con los Switches de Transferencia Automtica ATS-A
y ATS-B, los cuales verifican una prdida de alimentacin e inician el sistema de
generadores transfiriendo la carga. Los ATSs alimentan los Tableros Generales
de distribucin TDP-A y TDP-B.
Cada TDP tiene el control de los ATSs y tableros de PDUs, sistema mecnico y
sistema de servicios generales del Data Center.
En el sistema de las PDUs se tiene dos tableros que controlan los UPS y bateras
(T-UPS-IN y T-UPS-OUT), luego, existe una conexin al ATS-PDU, que est en
una configuracin 2N+1 y alimenta al tablero de 9 PDUs, que, finalmente,
proveern de energa a la carga de equipos de TI en el Cuarto de Cmputo.
En el sistema mecnico hay una conexin directa desde el TDP hasta el ATSCHILL, que alimenta los tableros T-CHILL-1 y T-CHILL-2. El T-CHILL-1 controla
los chillers, y el T-CHILL-2 controla las UMAs, bombas y variadores.
Los sistemas elctrico y mecnico se encuentran relacionados en un Tier III. En el

diseo no se tom en cuenta la instalacin de una torre de enfriamiento para el
sistema de refrigeracin por agua fra. Debido a la ausencia de esta torre no se
necesita alimentacin para las bombas de suministro de agua y por esta razn el
Data Center no cuenta con un sistema de UPS en la alimentacin del sistema de
bombas, circunstancia que mantiene al sistema dentro de la categora Tier III.
El sistema de servicios generales conecta un ATS-SG al TDP, obtenindose, por

medio de un transformador, un voltaje de 220 V 110 V, que pasa a un tablero de
T-SG, el cual alimenta el equipamiento y diferentes servicios de las reas
administrativas y de soporte.
116
P. S. G. - B
SISTEMA B
14
GENERADOR
SISTEMA B
A.T.S.-CHILL-B
T-CHILL-1-B
T-CHILL-2-B
20
21
22
T-UPS-OUT-B
T-UPS-IN-B
16
UPS UPS 2-1A

UPS UPS 2-2A
UPS UPS 2-3A
UPS UPS 2-4A
17
A.T.S.-PDU-B
T-PDU-B
18
19
13
Transformador
SubE MT - 01
15
A.T.S.-SG
2
A. T. S. - A
A. T. S. SISTEMA A
23
T.D.P. - A
TRANSFORMADOR
440-254 V. / 220-127 V.
A.T.S.-SG
TRANSFORMADOR
440-254 V. / 220-127 V.
RACK
T-SG
24
T-UPS-OUT-A
T-UPS-IN-A
T-SG
24
23
UPS
UPS
UPS
UPS
UPS
UPS
UPS 1-1A
UPS 1-2A
UPS 1-3A
UPS 1-4A
UPS 1-5A
UPS 1-6A
P. S. G. - A
SYSTEM A
BMS CONTROL SWITCH
UPS UPS 2-6A
T.D.P. - B
T.D.A.
26
PDU-B
UPS UPS 2-5A
A. T. S. - B
A. T. S. SISTEMA B
P-BMS-B
A.T.S.-CHILL-A
10
T-CHILL-1-A
T-CHILL-2-A
11
12
GENERADOR
SISTEMA A
Figura 2.6: Diagrama de Bloques del Sistema Elctrico
A.T.S.-PDU-A
T-PDU-A
PDU-A
P-BMS-A
25
117
2.3.3.1 Seguridad de la Informacin del Sistema Elctrico
Doble sistema de alimentacin elctrica. La principal, por la red de la EEQ.

En caso de falla se activar de forma automtica el set de generadores.
Redundancia 2(N+1) para todos los elementos del subsistema, incluyendo
ATSs, tableros de distribucin, UPSs, bateras, PDUs y rutas, los mismos
que se distribuyen en dos sistemas independientes, Sistema A y Sistema
B.
En la eventualidad de una falla de cualquier elemento, se activar el
respaldo en el otro sistema, reduciendo los puntos de falla.
El sistema de aterramiento protege de descargas elctricas que podran
afectar a los equipos finales.
Los equipos de TI son alimentados por 2 PDUs diferentes, con UPS
separados.
La alimentacin de la red de media tensin se la realiza de manera
subterrnea.
Todos los equipos se encuentran monitoreados, con notificacin de
alarmas para el caso de fallos.
2.3.4 SISTEMA MECNICO
Es uno de los cuatro subsistemas que describe la norma ANSI/TIA-942-A. Es

importante considerar la proteccin de la informacin de conformidad con esta
norma.
Este subsistema est concatenado con los otros subsistemas, principalmente con
el subsistema elctrico. El sistema mecnico garantiza el normal funcionamiento
de los diferentes elementos relacionados con el manejo de aire acondicionado.
El aire acondicionado es fundamental para el normal funcionamiento de los

equipos, principalmente de los equipos de telecomunicaciones, ya que permite
extender su vida til.
118
En el caso de un Data Center Tier III, el sistema mecnico debe contar con
mltiples UMAs; las tuberas y las vlvulas deben ser duales, lo que significa que
deben existir dos tuberas con agua fra para alimentar las UMAs, y dos tuberas
para el retorno del agua caliente hacia los chillers, los cuales deben tener sus
respectivas redundancias para el cumplimiento de la norma. Adems, se debe
contar con un sistema de deteccin de derrames.
Segn la ASHRAE (Sociedad Americana de Ingenieros de Calefaccin,

Refrigeracin y Aire Acondicionado), por sus siglas en ingls, se establece que
para Data Centers que contengan entre 100 y 500 racks, (Data Center grande),
como es el caso del presente estudio, existen varias opciones para enfriar el
cuarto de equipos, como se muestran en las Figuras 2.7, 2.8 y 2.9 [44]:
Sistemas de Expansin Directa o Seca55, montados en el suelo del Data
Center.
Figura 2.7: Sistema de enfriamiento por expansin directa o seca [45]
55
Mtodo de enfriamiento en el cual el refrigerante ingresa al vaporizador en estado lquido, el

mismo que absorbe el calor de un fluido.
119
Sistemas de Enfriamiento Indirecto56 por Glicol57 (poco recomendado)
Figura 2.8: Sistema de enfriamiento por expansin indirecta [46]
Sistemas de agua refrigerada y congelada (chillers), montados en el suelo.
Figura 2.9: Sistema de agua refrigerada y congelada (chiller) [47]
Esta ltima opcin es la ms recomendada para Centros de Datos medianos y

grandes, por su desempeo elctrico y su capacidad superior de enfriamiento
56
En este caso el agua fra, intercambia calor, y regresa como agua caliente, en el intercambiador
de calor, el fluido fro (enfriado por glicol), intercambia calor y regresa al intercambiador como
fluido caliente. [45]
57
Es un compuesto qumico que se utiliza como anticongelante en los circuitos de refrigeracin de
motores de combustin interna, como difusor del calor, para fabricar compuestos de polister, y
como disolvente en la industria de la pintura y el plstico.
120
frente a los otros sistemas; adems permite mejor humidificacin del Cuarto de
Cmputo.
En el caso de estudio, se verifica, bajo la norma ASHRAE, que el sistema de

refrigeracin est afectado principalmente por el nivel de potencia elctrica
consumida, que por lo general representa la potencia trmica de los equipos a
enfriar.
La Tabla 2.11 muestra los lmites de temperatura y humedad establecidos por la

norma actual para un Data Center en comparacin con la versin del 2004.
Lmite Temperatura Baja

Lmite Temperatura Alta
Lmite Nivel Bajo Humedad
Lmite Nivel Alto Humedad
Versin 2004
20C
25C
40%
55%
Versin 2011
18C
27C
40%
60%
Tabla 2.11: Lmites de Temperatura y Humedad dentro del Cuarto de Equipos [44]
Los lmites de temperatura y humedad estn establecidos por la norma ASHRAE,

de conformidad con pruebas realizadas en los Estados Unidos, las mismas que
indican un factor de fallos de los equipos (x factor), que est en relacin con el
incremento de la temperatura dentro de un Cuarto de Cmputo (Figura 2.10). [44]
Figura 2.10: Relacin del incremento de fallos de los equipos con respecto el aumento de la
temperatura ambiental. [44]
La nomenclatura en los sistemas de climatizacin (Figura 2.11) consta de:
121
Planta o Fase, en el caso de que el Data Center conste de varias plantas o

fases.
Leyenda, de acuerdo a la simbologa dada por la norma DIN ISO 121958
Tamao del dimetro de la tubera o vlvula, expresado en pulgadas.
Posicin de la vlvula en el diagrama.
Figura 2.11: Nomenclatura del Sistema Mecnico
De acuerdo al nmero de racks y a las especificaciones de temperatura y

humedad en el Cuarto de Cmputo, se determin que la climatizacin estar
solventada con cuatro chillers (dos funcionales y dos a modo de redundancia), y
ocho UMAs (cuatro funcionales y cuatro a modo de redundancia), como se
muestra en el esquema mecnico de la Figura 2.12.
En los Cuartos de NOC, Cuarto de Telecomunicaciones, Cintoteca, Cuartos

Elctricos, Oficinas etc., se han implementado sistemas de refrigeracin por
Expansin Directa o Seca, como especifica la norma ASHRAE, los mismos que
se hallan empotrados cerca del techo, cumpliendo los requerimientos de
temperatura de los equipos, y, a la vez, ofreciendo confort a las personas que
trabajan en las distintas reas.
58
Norma que se encarga de la sealizacin y simbologa en sistemas neumticos e hidrulicos
1/EA(4)
122
1/JF2(14)
1/T(8)
1/M(14)
1/VC1( 7)
1/JF2(13)
6"
1/T(7)
1/M(13)
1/FA2(3)
1/VS3( 14)
1/B1(6)
1/JF2(20)
1/M(20)
1/AS (2)
8"
1/B1
(5)
1/B1(4)
SCPV
RCPV
RCPV
RCPV
1/TE
(2)
1/D1(1)
1/VSS (1)
1/VS1 (3)
1/VS2(2)
1/JF1(1)
1/VS2(3)
1/VS2(8)
1/JF1(3)
1/VS2(9)
1/VS2(14)
1/VS2(15) 1/JF1(5)
1/EA (3)
1/EA (2)
1/VS3(7)
1/B1(3)
1/JF2(10)
1/M(10)
1/VC1(5)
1/M(7)
1/JF2(7)
VRC1(2)
1/VRC1( 3)
1/VS2 (16)
1/V2V (2)
1/VS1 (4)
1/VS2 (17)
1/VSS (12)
1/VS2 (18)
1/V2V (3)
1/VS1 (6)
1/D1(4)
1/D1(6)
RCPV
RCPV
RCPV
RCPV
SCPV
SCPV
SCPV
8"
1/B1(1)
8"
VS4(31)
8"
1/AS (1)
1/M(8)
1/VS3 (5)
1/JF2(8)
1/VC1(3)
1/M(5)
1/JF2(5)
1/VC1(4) 1/JF2(9)
8"
1/B1
(2)
1/JF2(6) 1/M(9)
VS4(32)
1/EA (1)
6"
6"
1/M(1)
1/T(1)
1/JF2(1)
1/JF1 (6)
1/T (6)
1/TE
(1)
SCPV
1/VE2(1)
1/VS3(2)
1/VC1 (1)
1/M(2)
1/T(2)
1/JF 2(2)
1/VS2 (11)
1/VSS (8)
1/VS2 (12)
1/VSS(10)
1/VSS (11)
1/VS3( 6)
8"
1/FA2 (1)
8"
6"
1/FS(1)
1/VS2 (10)
1/D1(2)
1/VRC1 (1)
1/VE1(1)
6"
1/VS3 (1)
1/JF1 (4)
1/T (4)
1/VSS (4)
1/M(6)
1/VS3(3)
6"
1/VE1(2)
6"
6"
1/VE1(9)
1/VSS(6)
1/VSS (7)
1/V2V (1)
1/VS1 (2)
1/T (3)
1/FA1 (2)
SIST. C&D
1/UMA # 2
43 TR-119 GPM
1/FS(2)
1/VS3( 4)
SIST. C&D
1/UMA # 1
43 TR-119 GPM
1/JF2(3)
1/M(3)
1/FA2( 1)
1/VS2 (6)
1/VS2 (7)
SIST. C&D
1/UMA # 3
43 TR-119 GPM
1/VS1 (1)
1/JF1 (2)
1/T (2)
1/VS2 (5)
1/VSS (5)
1/D1(5)
1/VSS (9)
1/T (5)
1/VS2 (13) 1/FA1 (3)
1/VS1 (5)
1/VSS(2)
1/VS2 (4)
1/D1(3)
1/T (1)
1/FA1 (1)
1/VSS (3)
1/T(3)
SCSV
1/VS2 (1)
1/JF2(4)
1/T(4)
1/M(4)
1/VC1(2)
8"
1/VS3 (12)
1/JF2(18)
1/M(15)
1/JF2 (15)
1/VC1(8)
1/VRC1 (4)
1/VE1(3)
6"
1/JF2(19) 1/M(18)
6"
6"
1/M(11)
1/T(5)
1/JF2(11)
1/VS3(9)
1/VC1 (6)
1/M(12)
1/T(6)
1/JF 2(12)
1/VC1(10)
1/M(17)
1/JF2(17)
6"
6"
6"
1/FS(3)
SCPV
1/VS4(16)
RCPV
1/VS3(13)
1/VC1(9)
SCPV
1/VE2(2)
10"
1/M(16) 1/JF2(16)1/M(19)
1/VS3 (8)
1/FA2 (3)
10" 1/VS4(15)
SCPV
1/VE1(4)
1/VRC1( 5)
1/VRC1( 6)
1/VS3(10)
8"
1/FS(3)
1/VS3(11)
1/VE1(10)
Figura 2.12: Esquema del Sistema Mecnico (Pgina 1 de 2)
C
D
123
A
B
SCPV
RCPV
SCPV
SCPV
SCPV
SCPV
RCPV
RCPV
RCPV
RCPV
1/D1(7)
1/VSS (13)
1/T(7)
1/VS2 (19) 1/FA1 (4)
1/VS1 (7)
1/V2V (4)
1/VS2 (29)
1/VSS (20)
1/VS1 (10)
1/D1(8)
C
D
1/VS2 (34)
1/V2V (5)
1/VS2 (35)
1/VSS (24)
1/JF1(12)
1/T(12)
1/VS2 (36)
1/VS1(12)
1/D1(10)
1/VSS(26)
1/VSS (27)
1/JF1(14)
1/T (14)
1/VS2(42)
1/VS2 (40)
1/V2V (6)
1/VS2 (41)
1/VSS (28)
1/VS1 (14)
RCPV
RCPV
RCPV
RCPV
SCPV
SCPV
SCPV
SCPV
SCPV
NOM
EA
UMA
TE
AS
1
1
VE
2
VRC VRC1
VC VC1
VS VS2
VS3
V2V V2V
1/VS2 (46)
1/VS2 (47)
1/VSS (32)
1/D1(14)
RCPV
SMB ABR.
EA
UMA
TE
AS
B
1/VSS(30)
1/VSS (31)
1/V2V (7)
1/D1(12)
L E Y E N D A
1/VS2(44)
1/VS2(45) 1/JF1(15)
L E Y E N D A
DESCRIPCIN
CHILLER
UNIDAD DE MANTENIMIENTO DE AIRE
TANQUE DE EXPANSIN
SEPARADOR DE AIRE - DIMETRO 10"
BOMBA DE REALIMENTACIN PRIMARIA
VLVULA SELECTORA DE BOMBA - DIMETRO 6"
VLVULA SELECTORA DE BOMBA - DIMETRO 3"
VLVULA REGULADORA DE FLUJO - DIMETRO 6"
VLVULA DE CHEQUEO - DIMETRO 6"
VLVULA DE PASO - DIMETRO 3"
VLVULA DE PASO - DIMETRO 6"
VLVULA DE DOS VAS - DIMETRO 3"
DESCRIPCIN
SMB ABR. NOM
FA1
FILTRO
DE
AIRE
DIMETRO
3"
FA
FA2 FILTRO DE AIRE - DIMETRO 6"
VSS VSS VLVULA SELECTORA DE SISTEMA
JF JF1 JUNTURA FLEXIBLE - DIMETRO 3"
JF2 JUNTURA FLEXIBLE - DIMETRO 6"
M
M MANMETRO
FS
FS SWITCH DE FLUJO
T
T TERMMETRO
SCPV SCPV CIRCUITO DE AGUA FRA
RCS RCS CIRCUITO DE AGUA CALIENTE
D1 PVC DE DRENAJE 2"
D
D2 PVC DE DRENAJE 3/4"
Figura 2.12: Esquema del Sistema Mecnico (Pgina 2 de 2)
1/JF1(16)
1/T(16)
1/VS2 (48)
1/VS1(16)
SIST. C&D
1/UMA # 8
43 TR-119 GPM
1/VS1 (8)
1/VS2 (30)
1/VSS(22)
1/VSS (23)
1/VS2(38)
1/VS2(39) 1/JF1(13)
1/T(15)
1/VS2 (43) 1/FA1(8)
1/VS1 (15)
SIST. C&D
1/UMA # 7
43 TR-119 GPM
1/VS2 (23)
1/VSS (16)
1/VS2 (28)
1/JF1 (10)
1/T(10)
1/VS2(32)
1/VS2(33) 1/JF1(11)
1/D1(15)
1/VSS (29)
1/T (13)
1/VS2 (37) 1/FA1(7)
1/VS1 (13)
SIST. C&D
1/UMA # 6
43 TR-119 GPM
1/VS2 (22)
1/JF1 (8)
1/T (8)
1/VS2 (24)
1/VSS(18)
1/VSS (19)
1/D1(13)
1/VSS (25)
1/T (11)
1/VS2(31) 1/FA1(6)
1/VS1 (11)
SIST. C&D
1/UMA # 5
43 TR-119 GPM
1/VSS(14)
1/VSS (15)
1/VS2(26)
1/VS2(27) 1/JF1(9)
1/D1(11)
1/VSS (21)
1/T(9)
1/VS2 (25) 1/FA1 (5)
1/VS1 (9)
SIST. C&D
1/UMA # 4
43 TR-119 GPM
1/VS2(20)
1/VS2(21) 1/JF1(7)
1/D1(9)
1/VSS (17)
1/V2V (8)
1/D1(16)
124
2.3.4.1 Seguridad de la Informacin del Sistema Mecnico
Con el cumplimiento de la redundancia N+1 de los equipos del sistema

mecnico (chillers, UMAs, condensadores, etc.), se asegura que los
equipos dentro del Cuarto de Telecomunicaciones no sobrepasen los
niveles de temperatura y humedad considerados en la norma ASHRAE,
con lo que se previenen probables daos.
Si se producen filtraciones de humedad en el Data Center, los equipos de
monitoreo emiten una alerta para ejercer el control oportuno.
Los Equipos de Aire Acondicionado cuentan con rutas redundantes de
energa elctrica, para que no se interrumpa el enfriamiento de los equipos
del Data Center.
Con la presencia de tuberas redundantes de agua fra y agua caliente, se
descartan problemas de enfriamiento de ambientes; si ocurre un dao en
alguna de las tuberas, las vlvulas elctricas duales desvan el flujo de
agua hacia la redundancia, para el correcto funcionamiento del sistema
mecnico.
2.3.5 SISTEMAS DE APOYO
Los sistemas de apoyo ayudan a mantener la informacin segura en concordancia

con la norma ANSI/TIA-942-A. Estos sistemas, que estn ligados a los sistemas
generales del Data Center, proveen mecanismos de monitoreo, vigilancia, acceso
y supresin de incendios.
Los sistemas de apoyo considerados, son los siguientes:
Sistema de Deteccin de Incendios

Sistema de Extincin de Incendios
Sistema de Control de Acceso
Sistema de Vigilancia IP
125
2.3.5.1 Sistema de Deteccin de Incendios
El Sistema de Deteccin aplicado, est basado en tecnologa que permite un

control eficaz del humo que puede generarse en las distintas reas protegidas.
Todos los elementos del sistema se comunican con un panel central redundante,
que garantiza proteccin total ante la eventualidad de fallo de alguno de los
elementos. El sistema cuenta, adems, con un panel remoto instalado en la garita
de entrada al Data Center, para una gestin externa en casos de incendio.
Existen
varios
mecanismos
de
deteccin:
por
medio
de
detectores
fotoelctricos/trmicos para las reas administrativas, pasillos y cuartos de apoyo;

por tecnologa de deteccin lineal, para verificar el cambio de temperatura en los
tanques de combustible; y, por un sistema de deteccin temprana por aspiracin
aplicado al Cuarto de Cmputo (Racks TI).
Un sistema de notificacin compuesto por sirenas y luces estroboscpicas se

encuentra distribuido en cada rea y, especialmente, en las puertas.
Segn la normativa NFPA 75 [48], el tipo de sistema detector utilizado para el

Cuarto de Cmputo es por medio de deteccin temprana por aspiracin (ASD) 59,
el cual realiza un anlisis del ambiente de forma activa mediante la aspiracin del
aire transportado por dos redes de tuberas, redes que recorren toda el rea de
cmputo hasta los sensores de alta sensibilidad, basados en lectura infrarroja,
que son capaces de detectar humo y partculas de combustin invisibles. [49]
Todos los elementos estn comunicados, por medio de un lazo, con un sistema
central de monitoreo, el que se encarga de recibir, procesar las seales recibidas
(detectores, zonas, pulsadores, etc.) y ejecutar la activacin de pre-alarmas,
alarmas y disparo de extincin.
59
Aspirating Smoke Detector (ASD): sistema que absorbe el aire del medio a travs de una red de
tuberas para detectar humo.
126
De esta manera se consiguen tiempos de respuesta cortos, posibilitando la pronta

actuacin del personal especializado o de los equipos automticos de extincin.
2.3.5.2 Sistema de Extincin de Incendios
El sistema extintor de incendios est vinculado directamente con el de deteccin.

Pueden utilizarse varios agentes extintores, segn a la norma NFPA 2001. Entre
estas tecnologas se citan agentes licuados, que estn en estado lquido dentro
del recipiente presurizado, pero son liberados en forma de gas; y agentes que
utilizan gases inertes envasados.
El sistema propuesto considera agentes licuados, por varias razones: amplia

utilizacin en Data Centers, proteccin de equipo tecnolgico, baja reduccin de
oxgeno, sin generacin de residuos, ni riesgo para personas y seguros en
trminos de medioambiente.
Dentro de los agentes listados en la NFPA 2001 ed. 2012, se escogi el sistema
ECARO-25, que utiliza el agente limpio FE-25 de DuPont. Este agente absorbe
energa calorfica a nivel molecular ms rpido que el calor que se genere, lo cual
impide que el fuego se pueda sustentar.
Este sistema utiliza 20% menos de agente por pie cbico que el sistema FM200 y
un 38% menos que el Novec 1230. Esto permite utilizar tuberas de dimetro ms
pequeo sobre una distancia mayor, lo que reduce la inversin en qumico,
tubera e instalacin. [50]
Para la emisin del gas se tiene un sistema de tuberas redundantes, que se

conectan a los tanques de almacenamiento. Existe un tanque de 696 lb para cada
Cuarto de Entrada; para la alimentacin del Cuarto de Cmputo se tiene cuatro
tanques de 696 lb, ubicados en los pasillos laterales (2 activos y 2 de reserva); un
tanque de 696 lb para la cintoteca y el cuarto de telecomunicaciones; dos tanques
de 250 lb para los cuartos de UPS y bateras; dos de 105 lb para los cuartos
127
elctricos A y B; y un tanque de 71 lb para el rea de tableros elctricos. Cada

rea cuenta con un mdulo de descarga de tipo inteligente, que est monitoreado
por el panel de incendio, como se muestra en la Figura A-5 del Anexo A.
Una vez que el sistema de deteccin identifica un riesgo, se lanza una alarma que
es gestionada por un panel central. En caso de fuego, las alarmas sern emitidas
a los dispositivos de control, se activarn las sirenas y luces estroboscpicas y se
iniciar la fase de pre-descarga, de tal forma que el operador pueda tomar alguna
accin al respecto, o en su defecto, de manera automtica, luego de los segundos
programados, inicia la descarga del gas limpio que inundar la sala.
Para evitar la descarga del agente se pulsarn los botones de aborto manual en
los casos necesarios.
El sistema de descarga podr ser activado en forma inmediata por medio de un

pulsador de descarga, el cual pasar por alto el tiempo de retardo.
Como complemento a los sistemas de control de incendio, se considera la

instalacin de extintores porttiles tipo polvo qumico seco, multipropsito ABC y
extintores de dixido de carbono (CO2) en las reas administrativas y pasillos.
La Figura 2.13 ilustra los elementos de los sistemas detector y extintor de

incendios.
128
Figura 2.13: Sistemas detector y extintor de fuego por agentes gaseosos [51]
2.3.5.3 Sistema de Control de Acceso
El Data Center precisa estar asegurado totalmente para evitar ingresos no

autorizados, debido a la criticidad de la informacin que contiene, por lo cual se
necesita un sistema de control de acceso para las instalaciones del Data Center.
Toda la instalacin cuenta con un sistema de control de acceso en sus puertas,

exceptuando las puertas de bateras sanitarias. Cada puerta est construida con
caractersticas anti fuego, en acero de 3 mm y 2 mm, con una altura mayor a 2,50
m y ancho de 1,07 m; posee una cerradura electromagntica de 600 lbf o 1200 lbf
de fuerza de retencin, tambin cuenta con barras de pnico elctricas y
manuales, para emergencia.
En el pasillo de comunicacin entre el Cuarto de Cmputo y el lobby se tiene un

sistema de trap-door, que solo permite la apertura de una puerta a la vez y niega
el ingreso cuando estn abiertas varias puertas en el rea, mejorando la
seguridad.
El ingreso a cada rea se lo realiza por medio de lectores de proximidad activados

por medio de una tarjeta inteligente, programada para dar acceso a ciertos sitios
dependiendo del nivel de privilegios que se haya configurado. En el caso del
Cuarto de Cmputo, se tiene un sistema combinado por tarjeta y lector biomtrico
de huella dactilar / iris, otorgando el acceso solo si ambos tienen concordancia.
Para la comunicacin de los sistemas de control de acceso se despliega una red

de doble tubera para la transmisin de seal y de alimentacin por separado.
Todas se conectan con un sistema de administracin de seguridad centralizado,
ubicado en el NOC y por debajo de las gradas del subsuelo, para otorgar
redundancia.
Este sistema cuenta con un software para la gestin de privilegios y notificacin

de eventos en lnea, conectado a una base de datos, as como un sistema de
129
alimentacin, bateras y tarjetas independientes, de tal manera que pueda trabajar

en modo off-line, haciendo el control de acceso independiente de un
microcomputador u otro dispositivo.
La Figura 2.14 muestra el esquema de conexin de un sistema de control de

acceso centralizado por tarjetas controladoras.
Figura 2.14: Esquema de Control de Acceso centralizado
2.3.5.4 Sistema de Videovigilancia IP
El Data Center contempla una vigilancia 24/7 a travs de cmaras IP ubicadas en

toda la edificacin. Se tiene un total de 67 cmaras, 22 para el Cuarto de
Cmputo, 31 para las reas tcnicas y administrativas, 4 en el subsuelo, 2 en la
terraza y 8 en el permetro del edificio.
Las cmaras se ubican en todos los cuartos y en los pasillos, teniendo una
cobertura total con eliminacin de puntos ciegos. Adems, estarn configuradas
con una velocidad de transmisin de 20 fps y solo grabarn cuando se produzca
movimiento en el sector que vigilan, para evitar saturacin en su almacenamiento.
El flujo de video ser transmitido por una red redundante de cable UTP categora
6A, hacia dos switches de monitoreo, los mismos que estarn conectados a una
130
SAN para el almacenamiento de la informacin. La Figura 2.15 provee un

esquema del sistema de videovigilancia IP.
El monitoreo se realizar a travs de un software propio de las cmaras

instaladas y el control central estar ubicado en el cuarto de videovigilancia del
lobby del Data Center.
El Data Center requerir varios tipos de cmaras, de acuerdo a los ambientes

donde ejercer cobertura. Entre las caractersticas principales a tomar en cuenta
estn: la resolucin que puedan soportar, formatos de compresin, ngulo de
cobertura, deteccin de movimiento, visin nocturna y soporte para la tecnologa
PoE. Las cmaras del parqueadero, garaje y terraza, deben tener caractersticas
especiales para trabajar en ambientes externos.
Para el almacenamiento y gestin se dispondr en el MDA, un NVR (Grabador de

vdeo en red)60 que tenga buenas caractersticas de procesamiento, memoria
RAM y espacio de disco.
Figura 2.15: Esquema de videovigilancia IP [52]

60
NVR (Network Video Recorder): Elemento que permite grabar, visualizar y gestionar las
imgenes procedentes de una o mltiples cmaras tanto dentro de una red de rea local como
remotamente.
131
2.3.5.5 Seguridad de la Informacin de los Sistemas de Apoyo
2.3.5.5.1 Deteccin y Extincin de Incendios
Dos paneles centrales redundantes para procesamiento de seales.

Rutas distintas y redundantes, tanto para la aspiracin de aire en el
sistema detector, como para la distribucin del agente gaseoso en la
extincin.
El sistema realiza una doble validacin para iniciar la etapa de predescarga.
Los paneles cuentan con fuentes de alimentacin propias, en caso de
prdida de energa.
Se incluyen botones de descarga manual, para casos de fallos del sistema
automtico.
2.3.5.5.2 Control de Acceso
Acceso a diversas reas solo a personal autorizado por medio de tarjetas

inteligentes.
Control biomtrico para ingreso al Cuarto de Cmputo.
Paneles y tarjetas controladoras centralizadas y redundantes para
activacin de cerraduras.
Registro histrico de entradas de personas a todas las reas.
Notificacin del origen de la incidencia, como alarma, averas, fallo, etc.
Posibilidad de funcionamiento autnomo o integrado en sistemas on-line,
tanto locales (RS-232, RS-485), como de acceso remoto (TCP/IP),
transmitiendo de manera redundante.
Sistema de trap-door en la entrada del Cuarto de Cmputo, que niega el
acceso cuando varias puertas estn abiertas en el rea.
Tarjetas controladoras independientes y con fuentes de poder propias para
trabajar en modo off-line.
132
2.3.5.5.3 Vigilancia IP
Dos cmaras por cada fila de racks en la sala de TI.

Vigilancia en todos los cuartos y pasillos del Data Center, eliminando
puntos ciegos.
Cuarto dedicado donde se ejecuta el monitoreo de las cmaras.
NVR para almacenar el video y acceder a los datos para su revisin.
Visualizacin y grabacin de lo que ocurre dentro y fuera del Data Center,
con el fin de evitar, detectar, analizar y denunciar intrusiones.
Deteccin de actos de robo, hurto, apropiacin o utilizacin indebida del
cliente o de los trabajadores.
Grabacin inteligente: acelera la grabacin cuando se detecta movimiento.
2.4 SERVICIOS DE UN DATA CENTER DE ALTA GAMA

Los servicios brindados por un Data Center de alta gama deben permitir la
continuidad del negocio y cumplir los porcentajes de disponibilidad dispuestos por
las recomendaciones del Uptime Institute.
Estos servicios se complementarn con los servicios propios del ISP propietario
del Data Center, como por ejemplo: Servicios de Internet Dedicado, Transmisin
de Datos, Seguridad Gestionada, Servicio de Web y Correo Electrnico, etc.
En base a los servicios ofrecidos por los Data Centers de los ISPs visitados para
la evaluacin de tiering de la Seccin 2.2.1, se determin que los servicios ms
comunes de un Data Center Tier III de alta gama son los siguientes:
2.4.1 HOUSING
Colocacin: Es el alquiler de espacio fsico en el Cuarto de Cmputo, en el

cual cada cliente puede ubicar su propio equipamiento, que se ampara en
133
la
infraestructura
del
Data
Center,
cumpliendo
los
lineamientos
establecidos por la norma ANSI/TIA-942-A.
Espacio en Gabinetes Cerrados: Espacio determinado de un rack para que

se alojen equipos de conectividad de un cliente; por lo general, los costos
expresan por unidad de rack (U)61.
2.4.2 HOSTING
Alojamiento compartido: Significa el ofrecimiento de servicios especficos a

varios clientes, que comparten un mismo servidor, lo cual reduce el costo
de operacin y mantenimiento, adems de ahorrar espacio fsico para el
cliente.
Servicio de Servidores Virtuales: Ofrece el servicio a travs de un servidor

dedicado, que est implementado en una mquina virtual.
Servicio de Servidores Dedicados: Servidores reales especficos para

alojar aplicaciones de un solo cliente, el cual no comparte los recursos de
este servidor con otros clientes.
Servicios en la nube (Cloud Computing): Es la oferta de varios servicios,

como por ejemplo: storage, bases de datos, monitoreo de recursos,
aplicaciones, entre otros, que se acceden a travs de Internet.
Adicionalmente, se ofrecen otros servicios complementarios, que forman parte del

portafolio de servicios de un Data Center de Alta Gama, que son los siguientes:
61
Es una unidad de medida usada para describir la altura del equipamiento preparado para ser
montado en un rack de 19 o 23 pulgadas de ancho. Una unidad rack equivale a 1,75 pulgadas
(44.45 mm) de alto.
134
2.4.3 RESPALDOS (BACKUPS)
Son copias de la informacin de los clientes para garantizar la disponibilidad de la

misma. Existen dos tipos de respaldos:
Cold Backups: Respaldos cuya actualizacin no es simultnea con los

cambios de la informacin original, por lo que, en el caso incidentes que
comprometan la disponibilidad de la informacin original, este respaldo
tardar en activarse, hasta recuperar la informacin previamente
registrada.
Hot Backups: Respaldos que operan simultneamente con la actualizacin

de la informacin, y entran en funcionamiento de forma inmediata y
automtica, en caso de fallas, evitando perjuicios en la disponibilidad de la
informacin.
2.4.4 STORAGE
Sistemas de almacenamiento seguro de informacin, a travs de servidores

especializados.
2.4.5 SERVICIOS POR DEMANDA
En los Data Centers se pueden adicionar otras soluciones especficas, segn las
necesidades de cada cliente.
2.4.6 MONITOREO DE RECURSOS
Consiste en la verificacin y control de varios recursos, como: consumo de

memoria, uso de CPU62, temperatura de los equipos, capacidad de canal de la
62
CPU: Unidad Central de Proceso
135
red, etc., a fin de que stos se mantengan dentro de los rangos normales de
funcionamiento.
2.4.7 VIDEOVIGILANCIA
Sistema de videovigilancia o Circuito Cerrado de Televisin (CCTV) que permite

el monitoreo visual de todas las reas del Data Center. Se denomina cerrado,
por cuanto la difusin de esta seal es especfica para el Data Center, y todos los
componentes de este circuito se encuentran entrelazados.
2.4.8 SEGURIDAD PERIMETRAL
Se refiere a la proteccin del permetro fsico, mediante el uso de dispositivos

electrnicos y/o mecnicos, que facultan el acceso solamente a personal
autorizado. Entre los elementos ms destacados de la seguridad perimetral se
puede mencionar: cmaras de vigilancia, tarjetas magnticas de acceso,
dispositivos biomtricos, barreras infrarrojas, barreras de microondas, entre otros.
2.5 ACTIVOS DEL DATA CENTER TIER III
2.5.1 ESTRUCTURA ORGANIZACIONAL
Por lo general, la estructura organizacional de un Data Center, depender de los

niveles implementados por la empresa. Todos los miembros integrantes del Data
Center correspondern a uno de estos niveles. La estructura orgnica genrica
para el Data Center modelo, se detalla a continuacin:
Presidencia Ejecutiva: Encargada de dirigir y controlar el funcionamiento de

la empresa y, adems, es la representante legal de la organizacin para
cualquier trmite judicial y extrajudicial. [53]
136
Gerencia General: Su funcin es la de administrar la parte econmica y

financiera, vigilando las actividades de mercadeo, ventas y la actividad de
los diferentes departamentos, en concordancia con la planificacin
estratgica. [54]
Gerencia
Tcnica:
Se
ocupa
del
cumplimiento
de
los procesos
administrativos, de planificacin y control de los recursos tcnicos que tiene

la empresa, y la ejecucin ptima de proyectos, en costo y tiempo.
Gerencia Comercial: Responsable de la administracin, control y

mantenimiento de los flujos comerciales de la organizacin. Interacta
directamente con la Gerencia Tcnica proporcionando los recursos
econmicos para que se cumplan a cabalidad las metas establecidas.
Adems,
travs
del
Departamento
de
Ventas,
satisface
los
requerimientos de los clientes y se encarga de la contratacin de servicios

adicionales que no son propios de la empresa.
Jefatura General del Data Center: Se encarga de dirigir todos procesos

correspondientes al Data Center y es el vnculo con la empresa. Trabaja
coordinadamente con la Gerencia Tcnica para realizar cambios oportunos
y establecer normas en el Data Center, de conformidad a las polticas
empresariales.
El Departamento de Infraestructura est conformado por las siguientes

dependencias:
o Jefatura
de
Infraestructura
del
Data
Center:
Asume
la
responsabilidad de garantizar la infraestructura de soporte para el

Departamento de TI.
o NOC: Realiza el monitoreo, soporte y control de una o varias redes,
incluyendo servidores, equipos activos, cableado estructurado,
137
equipos de almacenamiento, etc., para mantener un funcionamiento

ptimo y reaccionar oportunamente ante cualquier incidente.
o Administracin de Infraestructura Elctrica: Verifica que todos los
componentes del sistema elctrico funcionen correctamente, y
ofrece el soporte tcnico a nivel primario63, en caso de algn
inconveniente.
o Administracin de Sistemas Contra Incendios: Realiza el monitoreo
de alarmas de humo, la deteccin temprana de incendio y la
activacin de agentes extintores, para prevenir la prdida parcial o
total de los equipos dentro del Data Center.
o Administracin de Infraestructura Mecnica: Supervisa el correcto
funcionamiento de los sistemas de aire acondicionado, niveles de
temperatura, segn la norma ANSI/TIA-942-A; adems, se encarga
del mantenimiento y control de tuberas, vlvulas de agua y otros
similares.
o Administracin de Control de Acceso: Responsable de controlar el
acceso fsico de personas a las diferentes dependencias del Data
Center, por medio de guardiana, control de acceso biomtrico,
tarjetas magnticas, etc.
El Departamento de TI est conformado por las siguientes reas:

o
Jefatura de TI: Es la encargada de la funcionalidad de los sistemas

concernientes a la red e informacin del Data Center. Se apoya en
las dependencias de Networking, Servidores y Storage.
63
Soporte tcnico a nivel de las instalaciones elctricas en el que no sea necesario el ingreso de
personal tcnico especializado en el dao de algn equipo elctrico de una determinada marca.
138
o Administracin de Networking64: Se ocupa de la correcta operacin

de los equipos encargados de la interconexin de la red. Tambin
gestiona el control de acceso lgico a la red y a las aplicaciones de
los sistemas de informacin.
o Administracin de Servidores y Virtualizaciones65: Maneja los
diferentes servidores dentro del Data Center; por ejemplo, DNS,
DHCP, email, virtualizacin, etc.
o Administracin de Storage66 y Backup67: Se encarga del monitoreo,
control y gestin de los servicios de almacenamiento y respaldo.
En la Figura 2.16 se muestra el organigrama modelo para un Data Center de Alta

Gama68. Segn el presente modelo de estructura organizacional, el Data Center
deber contar con el siguiente personal para cubrir las plazas requeridas:
Jefaturas del Data Center:
1 Jefe del Data Center

1 Jefe del Infraestructura
1 Jefe de TI
Administradores:
1 Administrador de Control de Acceso, Sistemas Contra Incendios y NOC.

1 Administrador de Infraestructura Elctrica.
1 Administrador de Infraestructura Mecnica.
64
Hace referencia a todos los elementos de una red que permiten compartir recursos e
informacin til para una organizacin o para cualquier actividad humana.
65
Creacin a travs de software de una versin virtual de algn recurso tecnolgico, como puede
ser una plataforma de hardware, un sistema operativo, un dispositivo de almacenamiento u otros
recursos de red.
66
Sistemas de almacenamiento de Informacin.
67
Sistemas de respaldo de la informacin.
68
Hace referencia a un Data Center Tier III y Tier IV, proporcionado por el Uptime Institute.
PRESIDENCIA
EJECUTIVA
GERENCIA
GENERAL DE LA
EMPRESA
GERENCIA
COMERCIAL DE
LA EMPRESA
GERENCIA TCNICA
DE LA EMPRESA
JEFATURA GENERAL
DEL DATA CENTER
JEFATURA DE
INFRAESTRUCTURA
NOC
Monitoreo
Administracin
de Control de
Acceso
Servicio de
guardiana
privada
Administracin
del Sistema
Contra
Incendios
DEPARTAMENTO
DE RECURSOS
HUMANOS
DEPARTAMENTO
DE VENTAS
DEPARTAMENTO
JURDICO
CONTRATACIN
LABORAL
CLIENTES
ENTIDAD
AUDITORA
JEFATURA DE TI
Administracin
de
Infraestructura
Elctrica
Administracin
de
Infraestructura
Mecnica
Administracin de
Networking
Administracin de
Servidores y
Virtualizaciones
Soporte
Manos
Remotas
Administracin de
Storage y Backup
139
Figura 2.16: Organigrama de un Data Center modelo de Alta Gama.
140
1 Administrador de Networking.
1 Administrador de Storage.
1 Administrador de Servidores y Virtualizacin.
Personal tcnico y de soporte:
13 Ingenieros para la administracin y monitoreo de los Subsistemas

Mecnico, Elctrico, Control de Acceso, TI y Servicio de Manos Remotas.
6 Empleados para Guardiana y Monitoreo de CCTV.
2.5.2 ACTIVOS DE DOCUMENTACIN
Se refieren a varios tipos de documentacin escrita, como: procedimientos

operativos, contratos, actas, oficios, apuntes, memorias tcnicas, manuales de
usuario, etc.; elementos que son administrados por personal autorizado y que se
almacenan en los archivos de las oficinas del Data Center.
La informacin tambin puede almacenarse de forma digital en los computadores

de la organizacin. La informacin compartida entre los empleados del Data
Center, se almacena en la intranet de la empresa y para acceder a la misma, los
usuarios tienen una cuenta con contrasea. Adicionalmente, existen backups de
informacin alojados en una nube de almacenamiento en Internet.
2.5.3 ACTIVOS DE SOFTWARE
El software utilizado en el Data Center puede ser libre o propietario, debiendo

tomarse en consideracin las aplicaciones necesarias para que cada usuario
desarrolle sus actividades de forma normal.
141
2.5.3.1 Software de Aplicacin de Monitoreo
Las aplicaciones usadas para el monitoreo y control de los diferentes subsistemas

sern:
Control de acceso y CCTV: Prowatch CenterV2, CMS o software propio de

las cmaras de vigilancia.
Equipos de conectividad y servidores a travs de protocolo SNMP: Cacti,
Whatsup Gold, Nagios, Zenoss o HP Open View.
Sistema
Elctrico:
sistemas
SCADA,
que
permiten
realizar
las
conmutaciones entre la Red Elctrica Pblica y los sistemas de

generadores, manipulacin remota de los tableros de control, etc.
Sistema Mecnico y de Aire Acondicionado: Metasys o SCADA, que
permiten la manipulacin remota de vlvulas elctricas, bombas, etc.;
adems Metasys provee sistemas de monitoreo y control para deteccin y
extincin de incendios.
Monitoreo unificado BMS (Building Management System), que permite
supervisar y controlar los equipamientos elctricos y mecnicos de la
instalacin, incluidos los mecanismos de seguridad.
Sistema operativo de Virtualizacin, como ESXiVmware, para el manejo de
servidores virtualizados.
Consola de virtualizacin: Vmware, Virtualbox, etc., para la virtualizacin de
sistemas operativos de los distintos servidores.
Sistemas de Control de Acceso: LDAP, CiscoACS, TACACS+, Servidores
RADIUS, etc., para la gestin, autentificacin y control de usuarios
autorizados.
2.5.3.2 Software de Aplicacin de las PCs
Se dispondrn de las siguientes aplicaciones en las estaciones de trabajo:
Sistema operativo Windows 7 o GNU/Linux distribucin Redhat.
142
Open Office o Microsoft Office.

Cliente de correo Microsoft Outlook o Mozilla Thunderbird.
Sistemas de Mensajera Instantnea para la encriptacin de mensajes; por
ejemplo, Pidgin.
Aplicaciones para la encriptacin de archivos; ejemplo, Truecript.
Browser para navegar por Internet, como: Mozilla Firefox, Google Chrome,
Internet Explorer.
Cliente para acceso remoto seguro a los equipos, como SSH Secure Shell.
Cliente VPN.
Adobe Reader.
Antivirus.
2.5.4 ACTIVOS FSICOS
2.5.4.1 Activos del Sistema de Telecomunicaciones
EQUIPO
Servidor DNS
Servidor DHCP
Servidor Correo
Servidor RADIUS
Servidor WEB (clientes)
Servidor WEB (clientes)
Controladora SAN
Servidor Storage
(almacenamiento en
cinta)
SISTEMA DE TELECOMUNICACIONES
PROPIETARIO
MARCA/MODELO
Administrador de Servidores Linux (virtualizado en el
servidor Blade)
y Virtualizacin
servidor Blade)
y Virtualizacin
servidor Blade)
y Virtualizacin
servidor Blade)
y Virtualizacin
servidor Blade)
y Virtualizacin
Windows Server 2012
Administrador de Servidores
(virtualizado en el
y Virtualizacin
servidor Blade)
Administrador de Storage
NetApp FAS6220
Administrador de Storage
Administrador de Storage /
Servidor Blade (cuchillas) Administrador de Servidores
y Virtualizacin
Administrador de Storage /
Servidor Blade (chasis) Administrador de Servidores
y Virtualizacin
Switch de Core
Administrador de Networking
CANTIDAD
2
1
1
1
A pedido
del cliente
A pedido
del cliente
2
IBM TS1140 Tape Drive
HP BL890c i2
16
HP C7000
Cisco Nexus 7000
Tabla 2.12: Inventario de Equipos del Sistema de Telecomunicaciones (Pgina 1 de 2)
143
EQUIPO
Switch de Distribucin
Switch de Acceso
Switch Cisco
Router Cisco
Central IPBX
Firewall
SISTEMA DE TELECOMUNICACIONES
PROPIETARIO
MARCA/MODELO
CANTIDAD
Cisco Nexus 5000
2
Cisco Nexus 2000
2
WS-C3550-48
6
3845
2
Administrador de Servidores
Denwa/Softswitch
2
y Virtualizacin
mltiple
Administrador de Networking Fortinet/FortiGate-3950B
2
Tabla 2.12: Inventario de Equipos del Sistema de Telecomunicaciones (Pgina 2 de 2)
2.5.4.2 Activos del Sistema Mecnico
EQUIPO
Enfriador de agua
(chiller)
Bomba centrfuga
Tanque de expansin
Filtro separador de aire
Unidades de
Mantenimiento de Aire
(UMA)
Vlvula selectora de
bomba (elctrica)
Vlvula aislamiento
(elctrica)
Vlvula selectora sistema
(elctrica)
Vlvula reguladora de
flujo (mecnica)
Vlvula chequeo
(mecnica)
Vlvula compuerta
(mecnica)
Junta flexible
Manejadora de Aire
(expansin directa)
Split Decorativo
(expansin directa)
Condensadores
(expansin directa)
SISTEMA MECNICO
PROPIETARIO
MARCA/MODELO
CANTIDAD
Administrador de
York /
4
Infraestructura Mecnica
YCIV0247VA46VABSXT
Administrador de
Taco /
6
F14013E2JAJ1L0A
Administrador de
American Wethley /
2
WPS100
Administrador de
American Wethley /
2
TASD80
Administrador de
Uniflair / TDCV4300A
Administrador de
Bellimo / B264S2 +
ARPUN00T1000
Administrador de
Administrador de
Administrador de
Administrador de
Administrador de
Administrador de
Administrador de
Administrador de
Administrador de
Bellimo / F6F1D2+SY324
Bellimo / B264S3+AF24S US
2
16
RIH / CC-2005389PC
Tubocobre / KT403-W
Fabri-Valve / C67
84
Climatech / BPU-254560-25
16
York/DHR30B3XH21A
York/RVEC12DS-ADR
12
York/RVDC12DS-ADR
15
Tabla 2.13: Inventario de Equipos del Sistema Mecnico
144
2.5.4.3 Activos del Sistema Elctrico
SISTEMA ELCTRICO
PROPIETARIO
MARCA/MODELO
EQUIPO
CANTIDAD
Generador con motor

disel electrnico
Administrador de
Infraestructura Elctrica
Himoinsa/HMW-810 T6
Transformador PAD
MOUNTED 22,8kv/440v
trifsico
Administrador de
Inatra/PEESTAL RADIAL
Tablero de distribucin
principal
Administrador de
General Electric/Spectra
Switchboards POWER
BREAKER II 2000A
ATS Principal 2000A

Mdulo MX250
Administrador de
General Electric/ZTS
71R-3000A
Tablero elctrico para

Chillers
Administrador de
Switchboards POWER
BREAKER II 1200A
ATS 1200A Mdulo

MX150 para Chillers
Administrador de
71R-2000A

Servicios Generales
Administrador de
Switchboards POWER
BREAKER II 300A
Administrador de
71R-2000A
Administrador de
General
Electric/9T83B3005
ATS 1600A Mdulo

MX250 para PDU
Administrador de
71R-2000A

PDU
Administrador de
Switchboards POWER
BREAKER II 2000A
UPS 200 KVA
Administrador de
General Electric/SG-CESERIES 160
12
Tableros elctricos para

UPS IN OUT
Administrador de
Switchboards POWER
BREAKER II 2000A
Bateras para UPS
Administrador de
PANASONIC/LCR127R2P
12
PDU
Administrador de
PDI/P12-WS-1500G-841
18
ATS 260A Mdulo

MX150 para Servicios
Generales
Transformador 440/254v
- 220/127v para Servicios
Generales
Tabla 2.14: Inventario de Equipos del Sistema Elctrico
145
2.5.4.4 Activos del Sistema de Control de Incendios
SISTEMA DETECTOR DE INCENDIOS

EQUIPO
PROPIETARIO
MARCA/MODELO
CANTIDAD
Detectores Fotoelctricos
Trmicos
Administrador de Control de
Acceso, Sistemas Contra
Incendios y NOC
Securiton/MCD 573
95
Alarma Manual de
Incendio
Incendios y NOC
Securiton/MCP 535-7
18
Sirenas
Incendios y NOC
Securiton/BX-SOL-R
41
Luces estroboscpicas
Incendios y NOC
Securiton/BX-FOL-R
41
Paneles de Aspiracin
completo con sus
dispositivos
Incendios y NOC
Securiton/ASD 535
Detectores y sensores
Incendios y NOC
Securiton/REK511 - SSD
515
14
Lmparas de
sealizacin
Incendios y NOC
Securiton/RAL-720
14
Panel de Incendio
Incendios y NOC
Securiton/SECURIFIRE
3030
Estacin de monitoreo
remoto
Incendios y NOC
Securiton/MIC 711
Detector lineal de
temperatura y tubera
Incendios y NOC
Securiton/ADW511
Fuentes de poder del

Panel Principal
Incendios y NOC
Securiton/B5-PSU
Tabla 2.15: Inventario de Equipos del Sistema Detector de Incendios
146
SISTEMA EXTINTOR DE INCENDIOS

EQUIPO
PROPIETARIO
MARCA/MODELO
CANTIDAD
Panel Principal de
Control
Incendios y NOC
Fike/Cheetah XI
Luces Estroboscpicas
Blancas
Incendios y NOC
Fike/Gentex
15
Tanque de gas
Pentaflouretano Ecaro 25
Incendios y NOC
Fike/70-270
14
Botones de aborto o
disparo
Incendios y NOC
Fike/Tipo Hombre muerto
16
Mdulo de Descarga de
Impulso (IRM)
Incendios y NOC
Fike/P / N 10-2748
13
Actuador de la Vlvula de
Impulso (IVO)
Incendios y NOC
Fike/02-12728
13
Switch de baja presin
Incendios y NOC
Fike/02-12533
13
Mdulo de Rels
Incendios y NOC
Fike/55-043
13
Tabla 2.16: Inventario de Equipos del Sistema Extintor de Incendios
2.5.4.5 Activos del Sistema de Videovigilancia
SISTEMA DE VIDEOVIGILANCIA IP
EQUIPO
PROPIETARIO
MARCA/MODELO
CANTIDAD
Cmaras Interiores
Incendios y NOC
Axis/P1343
35
Cmaras Exteriores y
Perimetrales PTZ
Incendios y NOC
Axis/P1344-E
10
Cmaras del Cuarto de

Cmputo
Incendios y NOC
Vivotek/IP8332
22
Network Video Recorder
Incendios y NOC
Vivotek/NR7401
Tabla 2.17: Inventario de Equipos del Sistema de Videovigilancia IP
147
2.5.4.6 Activos del Sistema de Control de Acceso
EQUIPO
Cerradura de 1200 Lbs
Cerradura de 600 Lbs
Lectores de Proximidad
Lector Iris/huella digital
Panel Master
Tarjetas Dual Reader

Fuentes de Poder de
panel
Fuentes de Poder de
cerraduras
electromagnticas
Barra de pnico elctrica
Barra de pnico manual
Trap-door
SISTEMA DE CONTROL DE ACCESO

PROPIETARIO
MARCA/MODELO
CANTIDAD
Secolarm/E-941SAAcceso, Sistemas Contra
29
1K2PQ
Incendios y NOC
Secolarm/E-941SAAcceso, Sistemas Contra
19
600PQ
Incendios y NOC
Honeywell/OMNI30
56
Incendios y NOC
LG/iCAM7000
2
Incendios y NOC
Honeywell/Pro-Watch
2
6000
Incendios y NOC
Honeywell/PW6K1R1
28
Incendios y NOC
Honeywell/24V3AB
12
Incendios y NOC
Secolarm/ST-2406-2AQ
12
Incendios y NOC
Dortronic system/6420Acceso, Sistemas Contra
19
S25
Incendios y NOC
Secolarm/SD-962ARAcceso, Sistemas Contra
5
36G
Incendios y NOC
Dortronic system/44414-L
1
Incendios y NOC
Tabla 2.18: Inventario de Equipos del Control de Acceso
148
CAPTULO 3
DISEO DEL SISTEMA DE GESTIN DE SEGURIDAD DE
LA INFORMACIN PARA UN DATA CENTER TIER III
MODELO DE UN ISP DE QUITO
3
3.1 ESTABLECIMIENTO DEL SGSI

El establecimiento del Sistema de Gestin de Seguridad de la Informacin (SGSI)
tiene como finalidad identificar las amenazas que pueden afectar a los activos
dentro del Data Center y su correcto funcionamiento, provocando daos en el
intercambio de la informacin y la entrega de servicios. Adems, es necesario
precisar de forma cualitativa y/o cuantitativa el nivel de impacto de dichas
amenazas sobre los sistemas, para tomar las acciones que mitiguen o eliminen
los riesgos de un determinado evento en contra de la seguridad de la informacin.
3.1.1 DEFINICIN DEL ALCANCE Y LMITES DEL SGSI
Un Data Center de alta gama Tier III, por su naturaleza, ofrece una alta
disponibilidad de servicios a los usuarios, segn la Norma ANSI/TIA-942-A, en lo
que atae solamente a infraestructura arquitectnica y tcnica, garantizando el
control de algunas amenazas relacionadas con esta infraestructura.
Pero la Norma ANSI/TIA-942-A, como ya se ha sealado, no abarca conceptos

relacionados con la seguridad de la informacin, por lo que se hace necesario un
anlisis de riesgos que incluya todos los factores que podran incidir en detrimento
de la seguridad de la informacin, lo que conlleva a la implementacin de los
controles ms idneos.
149
El Anlisis de Riesgos se enfocar en los activos descritos en el Captulo 2,

Seccin 2.5, que soportan los procesos y servicios del Data Center. Este anlisis
permite identificar una amplia gama de vulnerabilidades y amenazas; tambin, la
valoracin de impactos sobre los sistemas, todo lo cual coadyuva para la
seleccin de controles adecuados sobre los riesgos.
El presente Proyecto de Titulacin tiene como objetivo constituirse en una gua de

polticas de seguridad, que podra implementarse en un Data Center de Alta
Gama.
Las polticas pretenden un correcto manejo de la informacin, del personal y de

los activos del Data Center, con miras a conseguir la continuidad del negocio,
proporcionar un servicio de calidad a sus clientes y mantener una buena
reputacin, respetando los requerimientos legales, regulatorios y contractuales
vigentes.
3.1.2 DEFINICIN DE LA POLTICA DEL SGSI
En vista de que el presente Proyecto de Titulacin procura el diseo de un

Sistema de Gestin de Seguridad de la Informacin para un Data Center Tier III
modelo, ste no tiene establecida previamente ninguna poltica de seguridad.
El objetivo de la Poltica de Seguridad es dirigir y dar soporte a la gestin de la

seguridad de la informacin de acuerdo a los requisitos del negocio y la
legislacin aplicable. Es el punto de partida del diseo del SGSI, desde el cual se
desarrollan las actividades necesarias para implantar el SGSI.
La Poltica de Seguridad la define y aprueba la Direccin de la empresa,

estableciendo en ella de forma clara las lneas de actuacin en esta rea, que
deben ser coherentes con los objetivos de negocio. La Poltica es tambin una
manifestacin expresa del apoyo y compromiso de la Direccin con la seguridad
de la informacin.
150
Es fundamental que la poltica sea difundida entre el personal involucrado y que

ste perciba su importancia y sea consciente de que no es una comunicacin
accesoria dentro de la organizacin, sino que debe ser tomada en cuenta y
puesta en prctica.
La poltica de seguridad que busca el presente proyecto es la siguiente:
Ofrecer servicios integrales y seguros de Hosting y Housing, basados en la

prevencin y enfocados en actuar y contrarrestar cualquier incidente que ponga
en riesgo la confidencialidad, integridad y disponibilidad de la informacin del Data
Center Tier III.
3.1.3 ANLISIS
DE
LOS
LINEAMIENTOS
DE
SEGURIDAD
DE
LA
INFORMACIN PARA UN DATA CENTER TIER III DE UN ISP TIPO DE

QUITO
Los Lineamientos de Seguridad de la Informacin que se van a incorporar en el

Data Center Tier III de un ISP tipo estn basados en la norma ISO/IEC
27002:2006, que define conceptos fundamentales y un conjunto de buenas
prcticas para la seguridad de la informacin.
3.1.4 INCIDENTES DE SEGURIDAD DENTRO DEL DATA CENTER
El presente proyecto est basado en el Data Center tipo, en el cual no se tienen

registrados incidentes de seguridad; sin embargo, en el desarrollo posterior del
estudio, se har una identificacin y evaluacin de los riesgos de seguridad que
podra afrontar un Data Center de Alta Gama.
151
3.2 ENFOQUE DE LA VALUACIN DEL RIESGO

Con el objetivo de crear un Sistema de Gestin de Seguridad de la Informacin
(SGSI) se necesita una gestin del riesgo sistemtica para identificar las
necesidades de la organizacin referentes a los requerimientos de seguridad de
informacin. Dicha gestin debe ser parte integral de todo el SGSI, de tal forma
que cumpla con la fase de planificacin de la ISO/IEC 27001. [55]
El proceso de gestin de riesgos permite establecer el contexto institucional, de

conformidad con la estrategia y poltica de seguridad, valorar los riesgos y
solucionarlos, utilizando un plan de seguridad para reducirlos a un nivel aceptable.
[55]
Por la valuacin del riesgo se cuantifican los riesgos y se habilita su priorizacin

acorde a la criticidad, para el desarrollo de las operaciones de la empresa. Consta
de las siguientes actividades:
1. Anlisis del Riesgo:
Identificacin del Riesgo

Estimacin del Riesgo
2. Evaluacin del Riesgo
El Anlisis del Riesgo proporciona un modelo del sistema en trminos de activos,

amenazas, vulnerabilidades y controles existentes, con lo cual se puede prever
las posibles consecuencias y riesgos; en tanto que la Evaluacin del Riesgo
pondera cules son las actividades ms importantes, priorizando los riesgos para
la fase de tratamiento.
La gestin de los riesgos est estructurada de forma metdica como se indica en

el esquema de la Figura 3.1.
152
Identificacin del Riesgo
Estimacin del Riesgo
Evaluacin del Riesgo
Valoracin
Satisfactoria
No
Revisin y Monitoreo del Riesgo
Comunicacin del Riesgo
Establecimiento del Contexto
Si
Tratamiento del Riesgo
Tratamiento
satisfactorio
No
Si
Aceptacin del Riesgo
Figura 3.1: Proceso de Gestin de Riesgos [55]
3.2.1 IDENTIFICACIN DE LA METODOLOGA
El anlisis de los riesgos de informacin se realiza utilizando varias metodologas

propuestas por entidades de seguridad y organismos internacionales, como por
ejemplo: metodologas descritas en los anexos de la norma ISO/IEC 2700569 de la
69
ISO/IEC 27005, Information technology - Security techniques - Information security risk

management.
153
ISO; MAGERIT 70 del Consejo Superior de Administracin Electrnica del

Gobierno de Espaa; OCTAVE71, desarrollada por el CERT72; MEHARI,
desarrollado por CLUSIF73; NIST SP 800-3074 del NIST75, etc.
Estas metodologas contienen lineamientos y principios bsicos comunes, lo cual

ha servido para desarrollar una metodologa adaptada, en base a estndares, que
se ajusta a los criterios propuestos por la norma ISO/IEC 27005, la misma que
incluye los siguientes principios:
Metodologa mixta. Se basa en un enfoque de valoracin cualitativa, que

facilita la comunicacin entre distintas personas que participan en el
anlisis, ofreciendo, adems, una posible adaptacin a mtodos de clculo
cuantitativos, que permiten una mejor aproximacin a la realidad de la
empresa.
Utiliza principios bsicos comunes de las metodologas estndar de

anlisis de riesgos y otros estndares diferentes para los aspectos que no
cubran las metodologas estandarizadas.
Dispone de diversos inventarios sobre activos, amenazas y salvaguardas,

de modo que se puedan utilizar de una manera simplificada y se adapten
fcilmente para diversos requerimientos y objetivos de anlisis.
70
MAGERIT: Es una metodologa de anlisis y gestin de riesgos de los Sistemas de Informacin,

elaborada por el Consejo Superior de Administracin Electrnica del Gobierno de Espaa.
71
OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation. Metodologa de
Anlisis y Gestin de Riesgos desarrollada por el CERT.
72
CERT: Computer Emergency Response Team. Se trata de un grupo de expertos responsable
del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas
de informacin.
73
CLUSIF: Club de la Scurit de l'Information Franais. Es una organizacin sin fines de lucro
que permite a profesionales que se ocupan de la seguridad de informacin (incluida la seguridad
de TI) reunirse, intercambiar sus opiniones, trabajar y progresar juntos.
74
NIST SP 800-30: Gua de Gestin de Riesgos de los Sistemas de Tecnologa de la Informacin.
75
NIST: National Institute of Standards and Technology. Es una agencia de la Administracin de
Tecnologa del Departamento de Comercio de los Estados Unidos.
154
Utilizacin de los elementos habituales que permiten dotar de objetividad al

proceso, como: acuerdo entre varios expertos, definicin de criterios de
valoracin, ejemplos con valores de referencia reales. [56]
3.2.2 MODELO DE LA METODOLOGA
Se ha planteado una metodologa estndar que combina los pasos comunes de

las metodologas anteriormente sealadas. El modelo del anlisis de riesgos
sigue los siguientes pasos: [57]
1. Determinar los procesos y activos relevantes para la Organizacin, su

interrelacin y su valor; este ltimo en funcin del perjuicio para la empresa
que supondra su afectacin.
2. Determinar las amenazas a que estn expuestos aquellos activos y cmo
explotan las vulnerabilidades del sistema.
3. Identificar los controles que se han implementado para la disminucin del
riesgo.
4. Estimar el impacto, es decir, el dao sobre el activo derivado de la
materializacin de la amenaza.
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materializacin) de la amenaza.
La Figura 3.2 muestra los pasos que desarrolla el Anlisis de Riesgos.
3.2.2.1 Metodologa de Estimacin de Riesgos [55] [57]
La metodologa puede ser cualitativa (en una escala de niveles), cuantitativa (con
una cantidad numrica) o una combinacin de ambas.
155
Activos
tienen
Estn expuestos a
Atacan
Amenazas
Vulnerabilidades
Valor
Causan un
Grado de
Afectacin
Impacto
disminuyen
Controles
Existentes
disminuyen
Probabilidad
Etapa de
Identificacin
Riesgo
Etapa de
Valoracin
Figura 3.2: Elementos del Anlisis de Riesgos [57]
3.2.2.1.1 Estimacin Cualitativa
Esta valoracin utiliza una escala de atributos calificativos para describir el valor
en cada requerimiento de seguridad, magnitud de potencial de las consecuencias
o probabilidad. Las escalas cualitativas permiten un fcil entendimiento en todo el
personal, adems de proveer una aproximacin inicial para identificar la criticidad
de los riesgos. Su desventaja es la dependencia de la eleccin subjetiva de la
escala.
156
3.2.2.1.2 Estimacin Cuantitativa
Esta valoracin utiliza una escala con valores numricos para el costo de las
consecuencias, como su probabilidad de ocurrencia. La calidad del anlisis
depende de la precisin de los datos numricos. La valoracin cuantitativa es ms
precisa, pero supone un mayor esfuerzo y dificultad, por la necesidad de valorar
los distintos conceptos de prdida en trminos generalmente econmicos.
La metodologa a emplear en este proyecto utiliza una valoracin de activos

cualitativa, si bien a cada valor de la escala se le asigna un valor cuantitativo fijo.
Esto permite utilizar los mtodos de clculo del riesgo cuantitativos, que aportan
mayor precisin que los cualitativos. La escala cualitativa est determinada en
funcin del entorno, no ser lineal, sino exponencial, para facilitar la diferenciacin
de los riesgos ms importantes. [56]
El nmero de niveles de la escala y la definicin de cada nivel en los criterios de

valoracin de activos, impactos y riesgos se basan en lo establecido en la Norma
ISO/IEC 27005 [55], MAGERIT [58], OCTAVE [59], NIST SP 800-30 [60] y
criterios propios del Operador A.
3.2.3 VALORACIN DE ACTIVOS [55] [57]
Un activo es un componente de un sistema que posee valor para la organizacin

y puede tener consecuencias por un incidente sobre el mismo, razn por la cual
requiere proteccin. Incluye: informacin, datos, servicios, aplicaciones (software),
equipos (hardware), comunicaciones, recursos administrativos, recursos fsicos y
recursos humanos.
La valoracin del activo tomar en cuenta los siguientes parmetros:
Su costo original o de reemplazo, incluyendo la recuperacin de la

informacin.
157
Los costos de las posibles consecuencias debido a la prdida de

confidencialidad, integridad y disponibilidad, como resultado de un
incidente.
Valor de dependencia del activo. Si varios procesos son soportados por un
activo, mayor ser su valor.
Cada requerimiento de seguridad (confidencialidad, integridad y disponibilidad)

tiene sus propios criterios de consecuencias, que afectarn al activo en caso de
prdida.
Entre los criterios de consecuencias se han seleccionado los siguientes: [55] [57]
Prdida de reputacin y confianza del cliente.

Prdida de ventaja competitiva.
Violacin asociada a la informacin privada.
Violacin del contrato de confidencialidad del cliente.
Violacin de la ley y regulaciones.
Interrupcin del servicio.
Interrupcin de las operaciones internas.
Interrupcin de la administracin y gestin.
Incumplimiento del contrato del cliente.
3.2.3.1 Dependencias entre Activos
Los activos primarios, como los procesos y servicios, estn soportados por otros
activos como el equipamiento de hardware y software o las comunicaciones, y
stos, a su vez, por otros, como las instalaciones. De manera que los activos
forman rboles o grafos de dependencias.
Estos rboles son de importancia al momento de realizar la valoracin del activo,

ya que permiten visualizar la propagacin del dao en caso de materializarse las
158
amenazas, para asignar un valor verdadero al activo. Un activo dependiente no

podr tener un valor mayor que el activo del cual tiene dependencia.
En esta metodologa no existe un valor de dependencia dedicado. Este valor se
encuentra implcito al momento de realizar la valoracin de las consecuencias.
3.2.3.2 Estimacin del Valor del Activo
Se tendr un valor de activo fijo para cada requerimiento de seguridad, el cual

ser la suma de sus consecuencias en cada dimensin:
Puesto de otra forma:
Donde:
VC: Valor del activo en la dimensin de confidencialidad.

VI: Valor del activo en la dimensin de integridad.
VD: Valor del activo en la dimensin de disponibilidad.
Rep: Prdida de la reputacin y confianza del cliente.
VCo: Prdida de ventaja competitiva.
IP: Violacin asociada a la informacin privada.
CC: Violacin del contrato de confidencialidad del cliente.
LR: Violacin de la ley y regulaciones.
IS: Interrupcin del servicio.
Adm: Interrupcin de la administracin y gestin.
CCl: Incumplimiento del contrato del cliente.
159
A: Representa el activo a considerar.

R:
Representa
cada
uno
de
los
requerimientos
de
seguridad
(Confidencialidad, Integridad, Disponibilidad) definidos para la realizacin

del anlisis.
C: Criterios de valoracin de consecuencias.
El valor del criterio de costo sumado a los valores en cada requerimiento de

seguridad del activo, en la misma escala, dar como resultado su Nivel de
Importancia (NI) para el cumplimento de los procesos principales del Data Center.
3.2.3.3 Criterios de Valuacin de Activos [55] [58] [59]
Cada criterio estar determinado por una escala de 5 valores que van del 1 al 5,
donde 1 es el menor valor y 5 el mayor, acorde a la escala cualitativa de variable
discreta.
Las Tablas, desde la 3.1 hasta la 3.9, muestran los criterios cualitativos,
acompaados de una representacin numrica, con los cuales se evaluarn los
activos.
No todos los criterios de consecuencias son excluyentes para cada requerimiento

de seguridad; algunos comparten criterios comunes.
La suma de las consecuencias de un activo en cada requerimiento de seguridad

(VC, VI, VD) ser sobre una escala del 5 al 25, cada nivel de esta escala, tendr un
equivalente en la escala de 1 al 5, como se muestra en las Tablas 3.10, 3.11 y
160
3.12, con lo cual se mantiene una escala general para el clculo del Nivel de
Importancia del Activo (NI).
[Cos] Costo del Activo
Descripcin
Escala
Nivel
Muy Bajo
El costo del activo o su reposicin es despreciable y no representa una

prdida econmica para el Data Center.
Bajo
El costo del activo o su reposicin es bajo. Representa una prdida

econmica mnima para el Data Center.
Moderado
El costo del activo o su reposicin es moderado. Representa una prdida

econmica considerable para el Data Center.
Alto
El costo del activo o su reposicin es alto. Representa una prdida econmica

grave para el Data Center.
Muy Alto
El costo del activo o su reposicin es bastante alto. Representa una prdida

econmica fatal para el Data Center.
Tabla 3.1: Criterio de Valoracin del Costo del Activo
[Rep] Prdida de reputacin y confianza del cliente (Dimensin: Confidencialidad, Integridad

y Disponibilidad)
Escala
Nivel
Descripcin
1
2
La divulgacin, modificacin o indisponibilidad del activo o su informacin

no afecta a la reputacin de la empresa y confianza del cliente.
Bajo
afecta de forma mnima a la reputacin de la empresa y confianza del
cliente.
Moderado afecta de forma moderada a la reputacin de la empresa y confianza del
cliente.
Muy Bajo
Alto

afecta de forma alta a la reputacin de la empresa y confianza del cliente.
Muy Alto

afecta gravemente a la reputacin de la empresa y confianza del cliente.
Tabla 3.2: Criterio de Valoracin de la Prdida de Reputacin y Confianza del Cliente
[LR] Violacin de la ley y regulaciones (Dimensin: Confidencialidad, Integridad y

Disponibilidad)
Escala
Nivel
Descripcin
1
Muy Bajo
La divulgacin, modificacin o indisponibilidad del activo o su informacin no

causa el incumplimiento de la ley o regulacin.
Bajo

probablemente sea causa de incumplimiento leve de una ley o regulacin.
Moderado

probablemente sea causa de incumplimiento de una ley o regulacin.
Alto
Muy Alto

probablemente cause un incumplimiento grave de una ley o regulacin.
probablemente cause un incumplimiento excepcionalmente grave de una ley
o regulacin.
161
Tabla 3.3: Criterio de Valoracin de Violacin de la Ley y Regulaciones
[VCo] Prdida de ventaja competitiva (Dimensin: Confidencialidad)

Escala
1
Nivel
Descripcin
Muy Bajo La divulgacin de la informacin no afecta la competitividad del negocio.
Bajo
La divulgacin de la informacin afecta de forma mnima la competitividad del

negocio.
Moderado
La divulgacin de la informacin afecta de forma moderada la competitividad

del negocio.
Alto
La divulgacin de la informacin afecta de forma alta la competitividad del

negocio.
Muy Alto
La divulgacin de la informacin afecta gravemente la competitividad del

negocio.
Tabla 3.4: Criterio de Valoracin de Prdida de Ventaja Competitiva
Escala
[IP] Violacin asociada a la informacin privada (Dimensin: Confidencialidad)

Nivel
Descripcin
Muy Bajo
La divulgacin de la informacin privada no afecta al desempeo de un

activo.
Bajo
La divulgacin de la informacin privada afecta de forma mnima al

desempeo de un activo.
Moderado
La divulgacin de la informacin privada afecta de forma moderada al

desempeo de un activo.
Alto
La divulgacin de la informacin privada afecta de forma alta al desempeo

de un activo.
Muy Alto
La divulgacin de la informacin privada afecta gravemente al desempeo de

un activo.
Tabla 3.5: Criterio de Valoracin de Violacin de la Informacin Privada
[CC] Violacin del contrato de confidencialidad del cliente (Dimensin: Confidencialidad)

Escala
Nivel
Descripcin
1
Muy Bajo
La divulgacin de la informacin no causa el incumplimiento del contrato de

confidencialidad del cliente.
Bajo
La divulgacin de la informacin probablemente sea causa de incumplimiento

leve del contrato de confidencialidad del cliente.
Moderado
La divulgacin de la informacin probablemente sea causa de incumplimiento

del contrato de confidencialidad del cliente.
Alto
La divulgacin de la informacin probablemente cause un incumplimiento

grave del contrato de confidencialidad del cliente.
Muy Alto
La divulgacin de la informacin probablemente cause un incumplimiento

excepcionalmente grave del contrato de confidencialidad del cliente.
Tabla 3.6: Criterio de Valoracin de Violacin del Contrato de Confidencialidad del Cliente
162
Escala
[IS] Interrupcin del servicio (Dimensin: Integridad y Disponibilidad)

Nivel
Descripcin
La modificacin o indisponibilidad de la informacin o el activo no interrumpe
los servicios ofrecidos por el Data Center.
Muy Bajo
Bajo
La modificacin o indisponibilidad de la informacin

mnimamente los servicios ofrecidos por el Data Center.
interrumpe
Moderado
La modificacin o indisponibilidad de la informacin

moderadamente los servicios ofrecidos por el Data Center.
interrumpe
Alto
La modificacin o indisponibilidad de la informacin interrumpe de forma alta

Muy Alto
La modificacin o indisponibilidad de la informacin interrumpe gravemente

Tabla 3.7: Criterio de Valoracin de Interrupcin del Servicio
[Adm] Interrupcin de la administracin y gestin (Dimensin: Integridad y Disponibilidad)

Escala
Nivel
Descripcin
1
Muy Bajo
La modificacin o indisponibilidad de la informacin no impedir la operacin

efectiva del Data Center.
Bajo
La modificacin o indisponibilidad de la informacin probablemente

impedira la operacin efectiva de una parte del Data Center.
Moderado

impedira la operacin efectiva de ms de una parte del Data Center.
Alto
Muy Alto

impedira la operacin efectiva del Data Center.
impedira seriamente la operacin efectiva del Data Center, pudiendo llegar
a su cierre.
Tabla 3.8: Criterio de Valoracin de Interrupcin de la Administracin y Gestin
[CCl] Incumplimiento del contrato cliente (Dimensin: Integridad y Disponibilidad)

Escala
Nivel
Descripcin
Muy Bajo
La modificacin o indisponibilidad del activo no causa el incumplimiento del

contrato de cliente.
Bajo
La modificacin o indisponibilidad del activo probablemente sea causa de

incumplimiento leve del contrato de cliente.
Moderado
La indisponibilidad del activo probablemente sea causa de incumplimiento

del contrato de cliente.
Alto
La modificacin o indisponibilidad del activo probablemente cause un

incumplimiento grave del contrato de cliente.
Muy Alto
La modificacin o indisponibilidad del activo probablemente cause un

incumplimiento excepcionalmente grave del contrato de cliente.
Tabla 3.9: Criterio de Valoracin de Incumplimiento del Contrato Cliente
163
Escala
Nivel
5-8
Muy Bajo
9-12
Bajo
13-16
Moderado
17-20
Alto
21-25
Muy Alto
Valoracin de Activos: Factor Confidencialidad

VC
Descripcin
La informacin del activo es de uso pblico, puede ser revelada a
1 terceros. La divulgacin de la informacin no tiene repercusiones
negativas sobre el Data Center.
La informacin del activo es de difusin limitada. La divulgacin de la
2
informacin tiene repercusiones negativas bajas sobre el Data Center.
La informacin del activo es restringida. La divulgacin de la
3 informacin tiene repercusiones negativas significativas sobre el Data
Center.
La informacin del activo es confidencial. La divulgacin de la
4
informacin tiene repercusiones negativas graves sobre el Data Center.
5
La informacin del activo es secreta. La divulgacin de la informacin

tiene repercusiones negativas catastrficas sobre el Data Center.
Tabla 3.10: Criterios de Valoracin de la Confidencialidad de los Activos
Escala
Nivel
VI
5-8
Muy Bajo
9-12
Bajo
13-16
Moderado
17-20
Alto
21-25
Muy Alto
Valoracin de Activos: Factor Integridad

Descripcin
La modificacin del contenido de la informacin del activo no tendra
repercusiones sobre el negocio u operaciones del Data Center.
La modificacin del contenido de la informacin del activo tendra
repercusiones bajas sobre el negocio u operaciones del Data Center.
repercusiones relevantes sobre el negocio u operaciones del Data
Center.
repercusiones graves sobre el negocio u operaciones del Data Center.
repercusiones fatales sobre el negocio u operaciones del Data Center.
Tabla 3.11: Criterios de Valoracin de la Integridad de los Activos
Valoracin de Activos: Factor Disponibilidad

Escala
Nivel
VD
Descripcin
5-8
Muy Bajo
La indisponibilidad de la informacin del activo no tendra impacto

sobre el negocio u operaciones del Data Center.
9-12
Bajo
La indisponibilidad de la informacin del activo tendra un impacto bajo

13-16
Moderado
La indisponibilidad de la informacin del activo tendra un impacto

moderado sobre el negocio u operaciones del Data Center.
17-20
Alto
La indisponibilidad de la informacin del activo tendra un gran impacto

21-25
Muy Alto
La indisponibilidad de la informacin del activo tendra impacto total

Tabla 3.12: Criterios de Valoracin de la Disponibilidad de los Activos
164
La Tabla 3.13 contiene los Niveles de Importancia (NI) obtenidos de la aplicacin

de la frmula de la Estimacin del Valor del Activo. Tambin se presenta una
escala de prioridad de dichos niveles (PNI) que se tomar en cuenta en los
impactos para la evaluacin del riesgo.
NIVEL DE IMPORTANCIA DE LOS ACTIVOS (NI)

Escala
Nivel
PNI
4-5
Insignificante
6-8
Poco Importante
9-11
Importante
12-15
Muy Importante
16-20
Crtico
Descripcin
El activo no tiene trascendencia para el Data Center, de
acuerdo a los criterios de confidencialidad, integridad,
disponibilidad.
El activo presenta poca importancia para el Data Center, de
acuerdo a los criterios de confidencialidad, integridad,
disponibilidad.
El activo es importante para el Data Center, de acuerdo a los
criterios de confidencialidad, integridad, disponibilidad.
El activo tiene alta relevancia para el Data Center, de acuerdo a
los criterios de confidencialidad, integridad, disponibilidad.
El activo es crucial para el Data Center, de acuerdo a los
criterios de confidencialidad, integridad, disponibilidad.
Tabla 3.13: Criterios de Valoracin del Nivel de Importancia del Activo
3.2.4 VALORACIN DE IMPACTOS [55]
Una vez identificados los activos, deben determinarse las amenazas que pueden
tener impactos sobre estos activos, tomando en cuenta los diferentes
requerimientos de seguridad. Las amenazas pueden ser de origen natural o
humano, y accidentales o deliberadas, as como surgir desde el interior o desde
fuera de la organizacin.
Una amenaza es cualquier causa potencial, ya sea intencional o fortuita, para

provocar daos a un sistema de informacin o a una organizacin.
Algunas amenazas pueden afectar a ms de un activo y no todas las amenazas

afectan a todos los activos, sino que hay una cierta relacin entre el tipo de activo
y su impacto. [57]
165
Se denomina impacto a la medida del dao sobre el activo derivado de la

materializacin de una amenaza; por lo tanto, existe una diferencia entre el valor
del activo y el impacto resultante de un incidente.
Para la valoracin de los impactos es necesario estimar el grado de afectacin

para cada uno de los requerimientos de seguridad definidos. La estimacin de los
grados de afectacin se realiza en funcin de diversos factores. Al realizar las
estimaciones, algunos de los principales factores a considerar son: [56]
Capacidad de la amenaza para afectar a todo el recurso o slo a una parte

del mismo.
Si la amenaza afecta a partes clave o a partes accesorias del recurso de
informacin.
Si la amenaza, una vez realizada, afecta de forma puntual o de forma
permanente al recurso.
Conociendo el valor de los activos en varias dimensiones y el grado de afectacin

que causan las amenazas, es factible calcular el impacto que stas tendran sobre
el sistema. A mayor afectacin de un incidente mayor ser su impacto. [57]
Existe un porcentaje de afectacin distinto para cada de tipo de amenaza en cada

requerimiento de seguridad del activo.
3.2.4.1 Estimacin del Impacto
Considerando un nico activo de informacin (A), un nico requerimiento de

seguridad (R) y una nica amenaza (T), se puede estimar el impacto (I) en caso
de que la amenaza se realice, de la siguiente forma: [56]
El valor del impacto sin mitigaciones se denomina impacto intrnseco.
166
Para obtener una valoracin del Impacto Total (It) en todos los requerimientos de
seguridad, sta se calcular como la suma de las prdidas en cada requerimiento:
Donde:

R: Representa cada uno de los requerimientos de seguridad definidos para
la realizacin del anlisis.
T: Representa cada una de las amenazas del activo.
I: Representa el impacto sobre el activo, tomando en cuenta los controles
existentes.
It: Representa el Impacto Total sobre un activo.
PNI: representa la Prioridad del Nivel de Importancia de un activo.
3.2.4.2 Controles Existentes
Las salvaguardas o controles son medidas que utiliza la organizacin para reducir
el riesgo. Hay amenazas que pueden mitigarse cuando la empresa se halla
debidamente organizada; otras, requieren elementos tcnicos (programas o
equipos); otras, seguridades fsicas y polticas de personal.
Las salvaguardas pueden ser clasificadas en las siguientes, por los efectos que
tienen para contrarrestar el riesgo: [57]
167
Reduccin de la probabilidad de las amenazas. Pueden ser preventivas,

disuasorias o eliminatorias. Las ideales llegan a impedir completamente la
materializacin de la amenaza.
Limitacin del dao causado. Hay salvaguardas que directamente limitan la

posible degradacin, mientras que otras permiten detectar inmediatamente
el ataque para controlar el avance de la degradacin. Tambin existen
algunas salvaguardas que se limitan a una pronta recuperacin del sistema
cuando la amenaza lo destruye. En cualquiera de las versiones de
limitacin, la amenaza se materializa; pero las consecuencias se reducen.
El Data Center Tier III incluye con salvaguardas o controles, debido a la

naturaleza de su diseo e implantacin. stos se tomarn en cuenta al momento
de realizar la valoracin del impacto.
Al existir salvaguardas, el impacto queda disminuido, lo cual se denomina impacto

efectivo. El clculo del impacto efectivo se realiza de la misma forma que el
impacto intrnseco, debido a que solo se ha cambiado la magnitud del grado de
afectacin.
3.2.4.3 Criterios de Valoracin del Impacto
El impacto hace referencia a la consecuencia que tendra sobre el negocio la

materializacin de una amenaza sobre una vulnerabilidad. La cuantificacin de los
impactos est basada en la ponderacin del grado de afectacin y el valor del
activo en cada dimensin de seguridad. El valor de impacto cumple una escala de
5 valores que van del 1 al 25 y tendr un equivalente en la escala de 1 al 5, que
se usar para el clculo del Nivel de Riesgo.
En las Tablas 3.14 y 3.15 se muestran los criterios de grado de afectacin y de

impacto, respectivamente, basados en las estimaciones de clculo de impacto.
168
[% A] Grado de afectacin de un activo

Escala
Nivel
Muy Bajo
Bajo
Moderado
Alto
Muy Alto
Descripcin
No se tendra afectacin sobre el valor de confidencialidad, integridad o
disponibilidad de un activo.
El grado de dao es leve sobre el valor de confidencialidad, integridad o
El grado de dao es moderado sobre el valor de confidencialidad, integridad
o disponibilidad de un activo.
El grado de dao es alto sobre el valor de confidencialidad, integridad o
El dao es total sobre el valor de confidencialidad, integridad o
Tabla 3.14: Criterio de Grado de Afectacin sobre un Activo
[I] Valoracin del Impacto

Escala
Nivel
1-4
Muy Bajo
5-9
Bajo
10-14
Moderado
15-19
Alto
20-25
Muy Alto
Descripcin
No se tendra impacto sobre el valor del activo en cada requerimiento de
seguridad ante la ocurrencia de un incidente.
Se tendra un impacto bajo sobre el valor del activo en cada
requerimiento de seguridad ante la ocurrencia de un incidente.
Se tendra un impacto significativo sobre el valor del activo en cada
Se tendra un impacto alto sobre el valor del activo en cada
Se tendra un impacto total sobre el valor del activo en cada
Tabla 3.15: Criterios de Valoracin del Impacto
La Tabla 3.16 contiene los valores del Impacto Total calculados por la frmula
descrita en la Estimacin del Impacto. Dichos valores se ubican en una escala
que va del 3 al 15, la cual tendr un equivalente en la escala de 1 al 5, que
simboliza la prioridad del Impacto a nivel global.
VALORACIN DEL IMPACTO TOTAL

Escala
Nivel
It
3-4
Muy Bajo
5-6
Bajo
7-8
Moderado
9-11
Alto
12-15
Muy Alto
Descripcin
El impacto general de una amenaza sobre el activo no tiene
trascendencia para el Data Center, en los criterios de confidencialidad,
integridad y disponibilidad.
El impacto general de una amenaza sobre el activo es bajo para el Data
Center, de acuerdo a los criterios de los requerimientos de seguridad.
El impacto general de una amenaza sobre el activo es moderado para el
Data Center, de acuerdo a los criterios de confidencialidad, integridad y
disponibilidad.
El impacto general de una amenaza sobre el activo es alto para el Data
Center, de acuerdo a los criterios de los requerimientos de seguridad.
El impacto general de una amenaza sobre el activo es crtico para el
169
disponibilidad.
Tabla 3.16: Criterios de Valoracin del Impacto Total
3.2.5 VALORACIN DE PROBABILIDAD DE OCURRENCIA [55]
Despus de identificar los escenarios de incidentes, es necesario valorar la

probabilidad de ocurrencia de cada escenario. Esto se puede realizar tomando en
cuenta la frecuencia de la amenaza y la facilidad de aprovechar una
vulnerabilidad.
En un sistema de informacin puede haber amenazas fortuitas e intencionadas,

que tendrn una estimacin de probabilidad de ocurrencia diferente. [56]
En el caso de amenazas fortuitas, se incluyen los siguientes factores para estimar

la frecuencia:
Informacin histrica de la realizacin de las amenazas en el entorno

analizado.
Estudios geolgicos para determinar la frecuencia de siniestros.
Anlisis del entorno para determinar la posibilidad de ocurrencia de
amenazas de origen industrial.
Cambios en la estructura organizativa o tecnolgica de la Organizacin.
Factores que pueden provocar errores humanos o malfuncionamiento de
equipos.
Para las amenazas deliberadas, se puntualizan algunos de los principales

factores que pueden considerarse para la estimacin de la frecuencia:
Beneficios que un potencial atacante podra conseguir con la realizacin

del ataque.
Facilidad del atacante para aprovechar una vulnerabilidad.
Conocimientos y herramientas que dispone el atacante para ejecutar una
operacin.
170
Existencia de motivaciones no econmicas para la realizacin de

sabotajes: conflictividad laboral, relaciones agresivas con competidores,
proveedores o clientes, etc.
Conocimiento
de
la
estructura
organizativa
tecnolgica
de
la
Organizacin por parte de terceros.

Atractivo y vulnerabilidades de un activo para el atacante.
3.2.5.1 Criterios de Valuacin de la Probabilidad de Ocurrencia [57]
La Tabla 3.17 muestra los criterios calificativos y los valores numricos

correspondientes, que sern utilizados para la valoracin de probabilidad de
ocurrencia de amenazas. El criterio cumple una escala de 5 valores que van
desde el 1 al 5, donde 1 representa el menor valor y 5, el mayor.
[Prob] Probabilidad de Ocurrencia

Escala
Nivel
Muy Improbable
Improbable
Probable
Muy Probable
Casi Certeza
Descripcin
La probabilidad de que una amenaza explote una vulnerabilidades es
muy baja del 1% al 25%
La probabilidad de que una amenaza explote una vulnerabilidades
tiene una poca frecuencia del 26% al 55%
media del 56% al 75%
alta del 76% al 90%
bastante alta del 91% al 100%
Tabla 3.17: Criterios de Valoracin de Probabilidad de Ocurrencia
3.2.6 VALORACIN DEL RIESGO [55]
3.2.6.1 Estimacin del Riesgo
El riesgo estimado es la combinacin de la probabilidad de ocurrencia de un

incidente y su consecuencia. En la evaluacin del riesgo tambin se considera el
costo-beneficio y los requerimientos de las partes involucradas.
171
Cuando la valoracin del riesgo se realiza sin que existan salvaguardas que
protejan los recursos de informacin de las amenazas, se denomina riesgo
intrnseco; cuando existen controles, se trata de un riesgo efectivo.
El riesgo efectivo puede ser definido de la siguiente manera:
Para obtener una valoracin del riesgo efectivo total en todos los requerimientos
de seguridad, sta se calcular como la suma de los riesgos en cada
requerimiento:
Donde:

R: Representa cada uno de los requerimientos de seguridad definidos para
la realizacin del anlisis.
T: Representa cada una de las amenazas del activo
I: Representa el impacto sobre el activo, tomando en cuenta los controles
existentes.
Rt: Representa el Riesgo Total sobre un activo
3.2.6.2 Criterios de Estimacin del Riesgo
El valor del riesgo ser evaluado con los criterios de la Tabla 3.18, utilizando el
clculo descrito en la Valoracin del Riesgo, donde se asignar una prioridad (R)
que ser utilizada en la evaluacin y tratamiento de los riesgos. Estos criterios de
172
evaluacin del riesgo cumplen una escala de 5 valores del 1 al 25, donde 1
representa el menor valor y 25 el mayor. Para la Prioridad del Valor del Riesgo (R)
se utiliza una escala que va del 1 al 5.
[R] Valoracin del Riesgo

Escala
Nivel
1-4
Muy Bajo
5-9
Bajo
10-14
Moderado
15-19
Alto
20-25
Muy Alto
Descripcin
El riesgo es leve, considerando la probabilidad de ocurrencia y el
impacto en cada requerimiento de seguridad. Su ocurrencia implicara
una prdida casi nula de la seguridad de la informacin del Data Center.
El riesgo es bajo, considerando la probabilidad de ocurrencia y el
una prdida baja de la seguridad de la informacin del Data Center.
El riesgo es moderado, considerando la probabilidad de ocurrencia y el
una prdida moderada de la seguridad de la informacin del Data
Center.
El riesgo es alto, considerando la probabilidad de ocurrencia y el
una prdida alta de la seguridad de la informacin del Data Center.
El riesgo es extremo, considerando la probabilidad de ocurrencia y el
una prdida total de la seguridad de la informacin del Data Center.
Tabla 3.18: Criterios de Valoracin del Riesgo
La Tabla 3.19 contiene los valores del riesgo total calculados por la frmula que
utiliza los valores de la Tabla 3.18. Dichos valores estarn dentro de una escala
que va del 3 al 15, la cual tendr un equivalente en la escala de 1 al 5, que
simboliza la prioridad del Riesgo a nivel general para cada activo.
Escala
Nivel
Rt
3-4
Muy Bajo
5-6
Bajo
7-8
Moderado
9-11
Alto
12-15
Muy Alto
VALORACIN DEL RIESGO TOTAL

Descripcin
El riesgo general de una amenaza sobre el activo es leve para el Data
Center, en los criterios de confidencialidad, integridad y disponibilidad.
El riesgo general de una amenaza sobre el activo es bajo para el Data
Center, de acuerdo a los criterios de confidencialidad, integridad y
disponibilidad.
El riesgo general de una amenaza sobre el activo es moderado para el
disponibilidad.
El riesgo general de una amenaza sobre el activo es alto para el Data
disponibilidad.
El riesgo general de una amenaza sobre el activo es crtico para el Data
disponibilidad.
Tabla 3.19: Criterios de Valoracin del Riesgo Total
173
3.2.6.3 Criterios de Evaluacin del Riesgo [55]
La norma ISO/IEC 27005:2011 define 4 formas para tratar el riesgo: aceptar,

reducir (aplicar controles), transferir y evitar el riesgo. La seleccin de las
opciones depender de los resultados de la evaluacin de riesgo.
De las 4 opciones de tratamiento de riesgos, la aceptacin y la reduccin del

riesgo cumplen los criterios de valoracin de la Tabla 3.20. Los casos de
transferencia y evitacin no tendrn un valor asignado dentro de la escala, pero
se los utilizar cuando las circunstancias lo ameriten.
Aceptacin y Tratamiento del Riesgo

I
Rt
Nivel
Muy Bajo
2
3
4
5
2
3
4
5
Bajo
Moderado
Alto
Muy Alto
Accin
Aceptar el Riesgo
Reducir el Riesgo
Tabla 3.20: Criterios de Aceptacin y Tratamiento del Riesgo [59]
3.3 ANLISIS Y EVALUACIN DEL RIESGO
3.3.1 ANLISIS DEL RIESGO
3.3.1.1 Identificacin de Activos
Se identifican dos tipos de activos dentro de una organizacin: [55]
Activos Primarios
174
Dentro de los activos primarios del Data Center se encuentran los servicios que
provee, la informacin que maneja y los procesos que permiten al Data Center
cumplir sus objetivos. Este tipo de activos son intangibles y no poseen un valor
especfico. Los servicios del Data Center estn detallados en el Captulo 2,
Seccin 2.4.
Activos de Soporte
Los activos de soporte permiten la ejecucin de los activos primarios, entre los
cuales se pueden mencionar: hardware, software, red, instalaciones y personal.
Estos activos poseen un valor real y tienen vulnerabilidades que pueden ser
atacadas por una amenaza, en perjuicio de un activo primario.
Para la identificacin de los activos de soporte se toma en cuenta el enfoque topdown (de arriba-abajo), que consiste en ubicar los activos de informacin
vinculados con los procesos [56]. Los procesos y servicios se encuentran
relacionados directamente con los subsistemas del Data Center.
Los activos de soporte se encuentran detallados en el Captulo 2, Seccin 2.5, a

los cuales se les asignar un conjunto de valores tomando en cuenta los
diferentes requerimientos de seguridad en relacin al alcance y objetivos definidos
para el Anlisis de Riesgos.
La dependencia de activos se realiza segn el sentido de propagacin del valor

(requisitos de seguridad), antes que al encadenamiento funcional. De esta
manera se puede verificar la secuencia en la cual la seguridad de los activos est
comprometida. [57]
La dependencia de los sistemas del Data Center se muestra en las Figuras 3.3 a
la 3.11.
Suministro de
Documentacin del
Data Center
Almacenamiento
en Cinta
Estaciones de
Trabajo
Laptops,
Agendas
Electrnicas
Sistema de
Telecomunicaciones
Servicios
Dispositivos de
Almacenamiento
Externo
Contratos,
Documentos
Internos,
Manuales,
Registros
Equipamiento
Hardware y
software
Sistema de Control
de Acceso
Climatizacin
Sistema Elctrico
Instalaciones
Figura 3.3: Dependencia de la Documentacin
175
Suministro de
Software del Data
Center
Servicios
Suministro de
Software
Equipos Finales
Firewall del
Sistema
Operativo
Sistema
Operativo de
Equipos
Finales
Antivirus
Suministro de
Software
Servidores
Mensajera
Instantnea
Active
Directory o
LDAP
Sistema
Operativo de
Servidores
Correo
Help Desk
Equipamiento
Hardware y
software
Equipos
finales
Servidores
Sistema de
Telecomunicaciones
Climatizacin
Sistema Elctrico
Instalaciones
Figura 3.4: Dependencia de los Activos de Software
176
Servicios de Red del

Data Center
Servicios
Servicios
Brindados a
Clientes
Servidor de
Virtualizaciones
(Blade y Chasis)
Servidores
Housing y
no
virtualizados
Servicios de Red
Interna
Servidor
Storage
Cintas
Controladora
de la SAN
Firewall de la
Red de
Acceso
Access Point
Switch de
Servicios
Generales
NOC
Switch de
Acceso
Switch de
Distribucin
Router de
Monitoreo
Equipamiento
Hardware y
software
Firewall de
Borde
Switch de Core
Control de Acceso
Climatizacin
Sistema Elctrico
177
Figura 3.5: Dependencia del Sistema de Telecomunicaciones
Instalaciones
Deteccin y Extincin de
Incendios del Data Center
Deteccin de
Incendios del Data
Center
Deteccin Cuarto de
Cmputo
Luces
Sirenas
Alarma manual
de Incendio
Detectores y
Sensores
Panel de
Aspiracin
Deteccin Cuarto de
Tanques de
combustible
Detector lineal de
Temperatura
Extincin de
Incendios del Data
Center
Servicios
Deteccin Resto del

Data Center
Detectores
Fotoelctricos/
Trmicos
Tanques de Gas
Mdulos y rels
Botones
Manuales
Panel de Control de
Extincin de
Incendios
Equipamiento
Hardware y
software
Cableado de
distribucin de
energa y seales
Panel de Control
Principal
Sistema Elctrico
178
Figura 3.6: Dependencia del Sistema Contra Incendios
Instalaciones
179
Informacin del los

Subsistemas del Data
Center
Informacin y
Servicios
Monitoreo del
Sistema de
Red
Monitoreo del
Sistema
Elctrico
Monitoreo del
Sistema de
Control de
Acceso
Software de
monitoreo
de equipos
de red
Software de
monitoreo y
control
Scada
Software de
monitoreo
Prowatch
Software de
Control del
Sistema
Mecnico
Software de
monitoreo de
las cmaras
Servidor de
monitoreo
de red
Servidor del
Sistema
Scada
Servidor de
Control de
Acceso
Servidor del
Sistema
Mecnico
Servidor de
Videovigilancia
Monitoreo del
Sistema
Mecnico
Monitoreo del
Sistema de
Videovigilancia
Equipamiento
Hardware y
software
Cableado
Estructurado
Switch de
Monitoreo
Sistema Elctrico
Climatizacin
Sistema Contra
Incendios
Instalaciones
Figura 3.7: Dependencia de los Monitoreos
Suministro de
Energa Elctrica
del Data Center
Servicios
Suministro
Elctrico - Cuarto
de Cmputo
PDU
Tablero PDU
ATS PDU
UPS
Bateras
Suministro
Elctrico Climatizacin
Tablero Chiller
ATS Chiller
Suministro
Elctrico - Servicios
Generales
Tablero S.G.
Transformador
ATS S.G
Tablero de
Distribucin
Principal
ATS Principal
Generadores
Distribucin de
EEQ
Equipamiento
Hardware y
software
180
Figura 3.8: Dependencia del Sistema Elctrico

Suministro de
Climatizacin del Data
Center
Servicios
Suministro de
Climatizacin Cuarto
de Cmputo
Suministro de
Climatizacin
Servicios Generales
Unidades De
Mantenimiento de
Aire (UMAS)
Filtros Separadores
de Aire
Tanques de Expansin
Aire Acondicionado
por Expansin Directa
Vlvulas Reguladoras
de Flujo
Equipamiento
Hardware y
software
Vlvulas Selectoras de
Bomba
Vlvula Selectora de
Sistema
Chillers
Sistema de
Control de
Acceso
Sistema Elctrico
Figura 3.9: Dependencia del Sistema Mecnico
Instalaciones
181
Control de Acceso al
Data Center
Servicios
Control de
Acceso al Cuarto
de Cmputo
Lector
Biomtrico
Iris/Huella
Digital
Cerraduras
Barras de
pnico
Control de
Acceso al resto
del Data Center
Trap door
Lector de
Proximidad
Equipamiento
Hardware y
software
Panel Master
(tarjeta
principal y dual
reader)
Instalaciones
Sistema
Elctrico
Figura 3.10: Dependencia del Sistema de Control de Acceso
Videovigilancia en
el Data Center
Servicios
Vigilancia en el
Cuarto de
Cmputo
Vigilancia en el
interior del Data
Center
Vigilancia en el
permetro del
Data Center
Cmaras del
Cuarto de
Cmputo
Cmaras
interiores del
Data Center
Cmaras
exteriores del
Data Center
Cableado
Horizontal
Switch de
Videovigilancia
Equipamiento
Hardware y
software
NVR
Sistema Elctrico
Climatizacin
Sistema Contra
Incendios
Figura 3.11: Dependencia del Sistema de Videovigilancia
Instalaciones
182
3.3.1.2 Identificacin de Amenazas
Para identificar todos los posibles conjuntos de amenazas que pudieren ser
aplicables para causar dao a los activos, se utiliz el catlogo de amenazas de la
metodologa MAGERIT [58] y los ejemplos de amenazas tpicas propuestas en el
Anexo C de la norma ISO/IEC 27005. [55]
Adems, se recurri a los escenarios de ataques. Estos escenarios pueden

representarse visualmente en una estructura de rbol denominada rbol de
ataque. [59]
Los rboles de ataque se muestran en la Figura 3.12, en tanto que la Tabla 3.22
presenta una lista de las posibles amenazas que podran afectar al Data Center.
La Tabla 3.21 incluye la nomenclatura utilizada en la Tabla 3.22.
Nomenclatura
E
Descripcin del origen de la amenaza

Amenazas de entorno o accidentales
HIA
Amenazas de personal interno realizadas de forma accidental
HID
Amenazas de personal interno realizadas de forma deliberada
HEA
Amenazas de personal externo realizadas de forma accidental
HED
Amenazas de personal externo realizadas de forma deliberada

Tabla 3.21: Nomenclatura del origen de las amenazas
3.3.1.3 Identificacin de los Controles Existentes
Los controles existentes son identificados para cada amenaza que pueda
perjudicar a cada activo. Los controles, principalmente, hacen referencia a los
requerimientos de implementacin propios de un Data Center Tier III, tales como:
protecciones de construccin de las instalaciones; redundancia N+1 o 2(N+1) en
los subsistemas del Data Center; y elementos de apoyo, entre los que se
mencionan: sistemas contra incendios, control de acceso y videovigilancia.
183
Ejemplos de controles de algunos activos se encuentran descritos desde la

Tablas 3.31 hasta la 3.38. El detalle completo de los controles se encuentra
especificado en la Tablas del Anexo B.
3.3.1.4 Identificacin de las Vulnerabilidades
La vulnerabilidad en el sistema no causa dao por s misma, ya que se necesita

de una amenaza para que pueda ser explotada. Una vulnerabilidad que no tenga
asociada una amenaza, no conlleva riesgo; pero debe ser reconocida y
monitoreada como medida de precaucin.
Algunas vulnerabilidades se hallan descritas en los ejemplos de valoracin de

riesgos ubicados desde la Tabla 3.31 hasta la 3.38. En el Anexo B se detallan las
vulnerabilidades identificadas en cada activo de cada subsistema, que podran
significar la concrecin de una amenaza.
184
Actores Humanos
Origen Natural
Motivo
Actor
Consecuencia
Actor
Revelacin
Revelacin
Accidental
Modificacin
Fenmeno
Ssmico
Interrupcin
Modificacin
Interrupcin
Interrupcin
Revelacin
Revelacin
Deliberado
Modificacin
Destruccin /
Prdida
Destruccin /
Prdida
Internos
Consecuencia
Fenmeno
Volcnico
Modificacin
Interrupcin
Destruccin /
Prdida
Destruccin /
Prdida
Revelacin
Modificacin
Accidental
Interrupcin
Destruccin /
Prdida
Externos
Revelacin
Deliberado
Modificacin
Interrupcin
Destruccin /
Prdida
Origen Industrial
Actor
Fallas Tecnolgicas
Consecuencia
Actor
Revelacin
Revelacin
Modificacin
Dao Fsico
Prdida de
Servicios
Esenciales
Desastre
Industrial
Consecuencia
Modificacin
Falla del sistema
Interrupcin
Interrupcin
Destruccin /
Prdida
Destruccin /
Prdida
Revelacin
Revelacin
Modificacin
Falla de Hardware
Modificacin
Interrupcin
Interrupcin
Destruccin /
Prdida
Destruccin /
Prdida
Revelacin
Revelacin
Modificacin
Modificacin
Falla de Software
Interrupcin
Interrupcin
Destruccin /
Prdida
Destruccin /
Prdida
185
Figura 3.12: rboles de Ataque
Tipo de
Amenaza
Dao Fsico
Desastres
Naturales
Prdida de
Servicios
Esenciales
Compromiso
de la
Informacin
Fallas
Tcnicas
Acciones no
Autorizadas
Compromiso
de
Funciones
Amenaza
Fuego
Agua
Desastre Industrial (Explosin, Derrumbe,
Sobrecarga Elctrica)
Contaminacin Mecnica (Polvo, Suciedad,
Vibraciones, Ruido)
Fenmeno Ssmico
Fenmeno Volcnico
Fenmeno Meteorolgico
Corte del suministro elctrico
Condiciones inadecuadas de temperatura o
humedad
Fallo de servicios de comunicaciones
Interrupcin de otros servicios y suministros
esenciales
Intercepcin de seales inalmbricas
Fugas de informacin
Vulnerabilidades de los programas (software)
Espionaje remoto
Escucha encubierta
Hurto de medios o documentos
Hurto de equipos con informacin
Recuperacin de medios reciclados o
desechados
Avera de origen fsico o lgico
Degradacin de los soportes de
almacenamiento de la informacin
Errores de mantenimiento / actualizacin de
programas (software)
Errores de mantenimiento / actualizacin de
equipos (hardware)
Cada del sistema por agotamiento de recursos
Difusin de software daino
Manipulacin de los registros de actividad (log)
Manipulacin del software
Manipulacin de los equipos
Uso no previsto de equipos
Acceso no autorizado
Modificacin deliberada de la informacin
Destruccin de informacin
Errores de los usuarios
Errores del administrador
Errores de monitorizacin
Errores de configuracin
Deficiencias en la organizacin
Alteracin accidental de la informacin
Indisponibilidad del personal
Suplantacin de la identidad del usuario
Abuso de privilegios de acceso
Repudio
Denegacin de servicio
Ataque destructivo
Ocupacin enemiga
Origen de la Amenaza
E
E
HIA
HIA
HID
HID
HEA
HEA
HED
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
E
E
E
E
E
HID
E
HIA
HIA
HED
HEA
HEA
HED
HED
HED
HED
HID
HID
HID
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HID
HEA
HED
HIA
HEA
HIA
HEA
E
HID
HID
HID
HID
HID
HID
HID
HID
HIA
HIA
HIA
HIA
HIA
HIA
HIA
HED
HED
HED
HED
HED
HED
HED
HEA
HID
HID
HID
HID
HID
HID
HEA
HEA
HEA
HED
HED
HED
HED
HED
HED
186
Extorsin
HID
HED
Tabla 3.22: Listado de Amenazas
3.3.1.5 Identificacin de las Impactos
Cuando una amenaza tiene xito al aprovechar una vulnerabilidad, se producir

un impacto en la organizacin. Las Tablas, desde la 3.31 hasta la 3.38, muestran
algunos ejemplos de los impactos para ciertos activos. En el Anexo B se describe
de forma detallada el impacto que ocasionara cada una de las amenazas
identificadas.
3.3.2 ESTIMACIN DEL RIESGO
La Estimacin del Riesgo incluye las valoraciones de activos, impactos y riesgos.

Dichas valoraciones fueron realizadas en conjunto con el Operador A del Data
Center que cumpli con el Tier III, indicado en el Captulo 2, Seccin 2.2
3.3.2.1 Valoracin de los Activos
La valoracin de activos se halla descrita desde la Tabla 3.23 hasta la 3.30 y se

realizar de conformidad con la estimacin del valor de activo y los criterios
establecidos en la Seccin 3.2.3.3.
A continuacin se presenta un ejemplo, que detalla la valoracin del activo PDU,

de acuerdo al costo de sus consecuencias en los distintos requerimientos de
seguridad. Dichos valores estn establecidos en la Tabla 3.26:
Ejemplo: Activo de Soporte Elctrico del Data Center: PDU (Power Distribution
Unit)
Costo del Activo: el costo de la PDU es bajo y no representa una prdida

econmica alta para el Data Center, obteniendo una valoracin de 2, segn la
Tabla referida.
187
Requerimiento de Seguridad: Confidencialidad
Prdida de la reputacin y confianza del cliente: el activo no maneja

informacin importante, por tanto su divulgacin no afecta a la reputacin
de la empresa y a la confianza del cliente, mereciendo una valoracin de 1.
Prdida de ventaja competitiva: el conocimiento del funcionamiento de la
PDU tiene un inters moderado para la competencia, por lo cual tiene un
valor de 3.
Violacin
asociada
la
informacin
privada:
la
revelacin
del
encadenamiento funcional de la PDU puede tener una afectacin alta a la

seguridad del activo, por lo que posee un valor de 4.
Violacin del contrato de confidencialidad del cliente: el activo no contiene
informacin
del
cliente,
su
revelacin no
afecta al
contrato
de
confidencialidad, de tal manera que su valor es 1.

Violacin de la ley y regulaciones: la revelacin de informacin de la PDU
no incumple la ley, teniendo una valoracin de 1, acorde a la Tabla ya
especificada.
Requerimiento de Seguridad: Integridad
Prdida de la reputacin y confianza del cliente: la modificacin del activo

puede alterar la distribucin de energa hacia los equipos del cliente,
causando molestias, razn por la cual obtiene un valor de 3.
Interrupcin del servicio: la modificacin del activo puede causar una
prdida de energa que afectar los servicios ofrecidos por el Data Center;
tiene una valoracin de 5.
Interrupcin de la administracin y gestin: la modificacin del activo puede
causar una prdida de energa, con afectacin a una hilera de racks en el
Cuarto de Cmputo, por lo que posee un valor de 3.
188
Incumplimiento del contrato del cliente: la modificacin del activo puede

alterar la distribucin de energa hacia los equipos del cliente, violando los
acuerdos de servicio; por lo cual su valor es 3.
Violacin de la ley y regulaciones: la modificacin del activo puede causar
un incumplimiento leve de la ley, por cuya razn su valor es 2.
Requerimiento de Seguridad: Disponibilidad
Prdida de la reputacin y confianza del cliente: la indisponibilidad de la

PDU ocasionar una prdida de los servicios ofrecidos, afectando la
relacin con el cliente, razn por la cual obtiene un valor de 5.
Interrupcin del servicio: la cada de la PDU determinar un corte en la
alimentacin elctrica de los equipos y, consecuentemente, en todos los
servicios ofrecidos al cliente, circunstancia que se valora con 5.
Interrupcin de la administracin y gestin: la prdida del activo puede
afectar a la operacin del Cuarto de Cmputo. Su valor es 3.
Incumplimiento del contrato del cliente: la cada de la PDU ocasionar una
prdida de los servicios para el cliente, violando gravemente los acuerdos
de servicio, de tal manera que su valor es 5.
Violacin de la ley y regulaciones: la indisponibilidad del servicio causado
por prdida de energa elctrica en los equipos puede ser causa de
incumplimiento de una ley o regulacin. Su valor es 3.
Valor de Confidencialidad, Integridad y Disponibilidad de la PDU:
Utilizando la formula descrita en la seccin de valoracin de activos 3.2.3.2, se

obtienen los valores de confidencialidad, integridad y disponibilidad de la PDU:
189
Al transferirlos a una escala estndar, segn los criterios de la Seccin 3.2.3.3, se

obtienen los valores equivalentes de 2, 3 y 5 asignados a confidencialidad,
integridad y disponibilidad, respectivamente.
Finalmente, utilizando la frmula de la Seccin 3.2.3.2, se obtiene el Nivel de
Importancia (NI) de la PDU con los valores del activo en cada requerimiento de
seguridad, sumados al costo del activo:
Este resultado tiene un valor equivalente de prioridad (PNI) de 4, segn el criterio

de la Tabla 3.13, por todo lo cual se concluye que la PDU es Muy Importante para
el Data Center.
Las tablas de valoracin de activos utilizarn la nomenclatura descrita en la

Seccin 3.2.3.2, la cual se presenta a continuacin:
Rep: Prdida de la reputacin y confianza del cliente.

VCo: Prdida de ventaja competitiva.
IP: Violacin asociada a la informacin privada.
CC: Violacin del contrato de confidencialidad del cliente.
LR: Violacin de la ley y regulaciones.
IS: Interrupcin del servicio.
Adm: Interrupcin de la administracin y gestin.
CCl: Incumplimiento del contrato del cliente.
Valor Conf: Suma del costo de las consecuencias en la dimensin de
confidencialidad.
Valor Int: Suma del costo de las consecuencias en la dimensin de
integridad.
Valor Disp: Suma del costo de las consecuencias en la dimensin de
disponibilidad.
VC: Valor equivalente de Valor Conf en escala de 1 al 5.
VI: Valor equivalente de Valor Int en escala de 1 al 5.
190
VD: Valor equivalente de Valor Disp en escala de 1 al 5.

NI: Nivel de Importancia del Activo
PNI: Prioridad del Nivel de Importancia de un Activo en escala de 1 al 5.
Valoracin de Activos de Documentacin del Data Center

Dimensin
Confidencialidad
Activos
Dimensin
Disponibilidad
Dimensin Integridad
Rep VCo IP CC LR Rep IS Adm CCl LR Rep IS Adm CCl LR
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
Disp
VC VI VD NI PNI
Almacenamiento en cintas
17
14
13
13
Dispositivos de
almacenamiento externo
10
10
Manuales de equipos
Contratos, documentacin
interna, registros
Estacin de trabajo (Jefatura

General del Data Center)
18
14
10
Estacin de trabajo (Jefatura

de Infraestructura y TI)
15
15
Estacin de trabajo
(Administradores de los
subsistemas del Data
Center)
14
17
12
11
Estacin de trabajo (Personal

de monitoreo y Help desk)
12
Laptops, Agendas
electrnicas (Jefatura
General del Data Center)
18
19
13
14
Laptops, Agendas
electrnicas (Jefaturas de
Infraestructura y TI)
14
18
11
12
Tabla 3.23: Valoracin de Activos de Documentacin del Data Center
191
Valoracin de Activos de Software del Data Center

Dimensin
Confidencialidad
Activos
Dimensin
Disponibilidad
Dimensin Integridad
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
VC VI VD NI PNI
Disp
Correo
17
15
11
12
Help desk
11
11
17
12
Antivirus
14
17
10
11
15
17
11
11
19
19
12
21
22
22
17
12
15
17
12
12
15
17
12
12
15
17
11
12
15
17
12
12
15
17
11
Firewall dependiente del

sistema operativo (firewall de
Windows, iptables)
Active Directory o similar
Linux (LDAP, samba)
Sistema operativo de
estaciones de trabajo
Sistema operativo de los
servidores
Mensajera instantnea
Sistema de Monitoreo del
subsistema elctrico SCADA
Monitoreo del subsistema
mecnico METASYS
Monitoreo del subsistema
control de acceso Prowatch
Monitoreo de
telecomunicaciones SNMP
Cacti
BMS
Tabla 3.24: Valoracin de Activos de Software del Data Center
192
Valoracin de Activos de Red del Data Center
Dimensin
Confidencialidad
Dimensin
Disponibilidad
Dimensin Integridad
Activos
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
Disp
VC VI VD NI PNI
Servidor Storage
(almacenamiento en disco)
NetApp FAS6220
Controladora
15
23
23
16
Discos de almacenamiento
21
21
24
17
Servidor Storage
(almacenamiento en cinta)
IBM TS1140 Tape Drive
21
13
13
13
Blade Center HP C7000
23
10
Servidor Blade HP BL890c i2
24
10
Switch de Core Nexus 7000
21
12
25
17
Switch de Distribucin Cisco

Nexus 5000
21
22
16
Switch de Acceso Cisco

Nexus 2000
19
22
13
Switch Cisco WS-C3550-48
11
Router Cisco 3845
11
Tabla 3.25: Valoracin de Activos de Red del Data Center (Pgina 1 de 2)

Valoracin de Activos de Red del Data Center
193
Dimensin
Confidencialidad
Dimensin
Disponibilidad
Dimensin Integridad
Activos
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
Disp
VC VI VD NI PNI
Firewall FortiGate-3950B
23
23
25
19
Central IPBX (Denwa)
13
11
Rutas y Cableado Horizontal
19
10
Rutas y Cableado Backbone
22
11
Sistema Operativo de
Virtualizacin - ESXi Vmware
23
23
25
19
Consola de virtualizacin
(Vmware)
23
23
18
17
DNS
14
12
Cisco ACS control de acceso

equipos Cisco
14
16
22
13
Rutas y Cableado de
Proveedores de Entrada
11
21
11
Valor
Conf
Valor
Int
Valor
Disp
Tabla 3.25: Valoracin de Activos de Red del Data Center (Pgina 2 de 2)
Valoracin de Activos de Soporte Elctrico del Data Center

Dimensin Integridad
Dimensin
Disponibilidad
Costo
del
VC VI VD NI PNI
194
Activos
Dimensin
Confidencialidad

Generador con motor disel
electrnico HMW-810 T6
Transformador PAD
MOUNTED 22,8kv/440v
trifsico
ATS Principal 2000A Mdulo
MX250
Tablero de distribucin
principal
ATS 1200A Mdulo MX150
para Chillers
Chillers
para Servicios Generales
Servicios Generales
Transformador 440/254v 220/127v para Servicios
Generales
Tableros elctricos para UPS
IN OUT
Activo
13
21
13
17
23
16
10
12
22
12
11
20
11
10
12
10
13
15
16
UPS 200 KVA
15
16
10
Bateras para UPS
15
16
10

para PDU
10
15
21
12
Tablero elctrico para PDU
10
15
21
12
PDU
10
16
21
12
Valor
Conf
Valor
Int
Valor
Disp
Tabla 3.26: Valoracin de Activos de Soporte Elctrico del Data Center
Valoracin de Activos de Soporte Mecnico del Data Center

Dimensin
Confidencialidad
Dimensin Integridad
Dimensin
Disponibilidad
Costo
del
VC VI VD NI PNI
195
Activos
Activo
Enfriador de agua (Chiller)
17
23
16
Bomba centrfuga
11
Tanque de expansin
Filtro separador de aire
Unidades de Mantenimiento
de Aire (UMA)
19
23
14
Vlvula selectora de bomba
11
Vlvula selectora sistema
16
21
11
Vlvula reguladora de flujo
11
10
Costo
del
Activo
Valor
Conf
Valor
Int
Valor
Disp
Tabla 3.27: Valoracin de Activos de Soporte Mecnico del Data Center
Valoracin de Activos de Sistema de Vigilancia del Data Center

Dimensin
Confidencialidad
Activos
Dimensin
Disponibilidad
Dimensin Integridad

Cmaras Interiores
Cmaras Exteriores y
Perimetrales PTZ
Cmaras del Cuarto de
Cmputo
VC VI VD NI PNI
12
10
12
10
12
13
18
18
16
13
Valor
Conf
Valor
Int
Valor
Disp
Tabla 3.28: Valoracin de Activos del Sistema de Vigilancia del Data Center
Valoracin de Activos de Soporte del Sistema Contra Incendios
Dimensin
Confidencialidad
Dimensin Integridad
Dimensin
Disponibilidad
Costo
del
VC VI VD NI PNI
196
Activos
Activo
Detectores Fotoelctricos
Trmicos
11
Detectores y sensores
12
Panel para deteccin lineal

de temperatura
10
Paneles de Aspiracin
completo con sus
dispositivos
16
14
10
Panel de Incendio Securiton
14
19
21
16
Panel de Control de
Extincin de Incendios
18
15
12
Tanque de gas
Pentaflouretano Ecaro 25
13
13
12
Mdulo de Rels, IVO, IRM
13
13
Sirenas y Luces
Estroboscpicas Blancas
Extintores manuales
Botones Manuales de
Incendio
Valor
Conf
Valor
Int
Valor
Disp
Tabla 3.29: Valoracin de Activos de Soporte del Sistema Contra Incendios
Valoracin de Activos de Control de Acceso del Data Center
Activos
Dimensin
Confidencialidad
Dimensin Integridad
Dimensin
Disponibilidad
VC VI VD NI PNI
197
Costo
del
Activo
Cerradura de 1200 Lbf 600

Lbf
Lectores de Proximidad
14
16
Lectores de Iris/huella digital
11
12
15
Tarjetas inteligentes
10
Panel Master (tarjeta

principal y Dual Reader)
17
17
18
16
Barra de pnico elctrica y

manual
Trap-door
11
10
13
Tabla 3.30: Valoracin de Activos de Control de Acceso del Data Center
198
199
3.3.2.2 Valoracin de los Impactos
Para la valoracin de impactos se considerarn las vulnerabilidades, controles

existentes y amenazas sobre los activos, a fin de obtener el grado de afectacin
que sufrir un activo ante un incidente. Esta valoracin se la realizar conforme a
la estimacin del impacto y a los criterios de valuacin de la Seccin 3.2.4.
Las Tablas, desde la 3.31 hasta la 3.38, registran un ejemplo de la estimacin de

impactos.
3.3.2.3 Valoracin de los Riesgos
Para estimar el riesgo es necesario conocer la probabilidad de ocurrencia de las

amenazas. Las Tablas, desde la 3.31 hasta la 3.38, muestran la valoracin de
riesgos de cada amenaza para algunos activos. La estimacin se efecta con
base en las frmulas de clculo de riesgo y los criterios propuestos en las Tablas
3.17, 3.18 y 3.19.
A continuacin se presenta un ejemplo del clculo del riesgo de un activo en

relacin a una determinada amenaza. Los valores se determinan con base en la
Tabla 3.33.
Ejemplo: Activo de Soporte de Red: Switch de Core
Identificacin de Riesgos:
Tipo de Amenaza: Desastre Natural.

Amenaza: Fenmeno Ssmico.
Descripcin de la Amenaza: Debilitamiento o colapso de las instalaciones
del Data Center.
Controles Existentes: El Data Center Tier III soporta terremotos de hasta 8
grados en la Escala de Richter.
200
Vulnerabilidad: Incapacidad para soportar terremotos mayores a 8 grados

en la escala de Richter.
Impacto: Dao del switch de core. Prdida de los servicios de red del Data
Center.
Anlisis y Evaluacin de Riesgos:
Grado de Afectacin:
Confidencialidad (%AC): La ocurrencia de un fenmeno ssmico no afecta la

confidencialidad de la informacin del switch de core, por consiguiente su
valoracin es 1.
Integridad (%AI): La afectacin de un fenmeno ssmico en la integridad de
la informacin merece un valor de 1, por cuanto no hay ninguna
modificacin en la informacin del switch.
Disponibilidad (%AD): Un fenmeno ssmico que supere los 8 grados en la
escala de Richter, hara que la estructura arquitectnica colapse,
ocasionando la destruccin del equipo y la prdida consecuente de todos
los servicios de red del Data Center, por lo tanto, se le asigna un valor de
5.
Impacto:
El impacto se determina con la frmula descrita en la Seccin 3.2.4.1,

considerndose el PNI de la Tabla 3.25, y los grados de afectacin en los distintos
requerimientos de seguridad (%AC, %AI, %AD):
201
Se observa que el impacto es bajo en las dimensiones de confidencialidad e

integridad, pero muy alto en disponibilidad, de acuerdo a los criterios
mencionados en la Tabla 3.15.
Los valores de impactos, al transferirlos a una escala estndar, segn el criterio
de la Tabla 3.15, determinan valores equivalentes a 2, 2 y 5, que se asignan a
confidencialidad, integridad y disponibilidad, respectivamente.
El Impacto Total (It) se obtiene con la suma de todos los impactos (I), conforme a
la frmula de la Seccin 3.2.4.1. Este resultado tiene un valor equivalente de
prioridad 4, que significa un impacto total alto para el Data Center:
Probabilidad de Ocurrencia:
La probabilidad de que ocurra un evento ssmico mayor a 8 grados en la escala

de Richter es baja, pero por estar ubicado en la influencia del cinturn de fuego
del Pacfico, su probabilidad se califica como 2.
Riesgo:
Mediante la frmula de la Seccin 3.2.6.1, se calculan los valores de riesgo para

los distintos requerimientos de seguridad y para obtener el valor equivalente, se
utiliza la Tabla 3.18:
Los riesgos que puede causar un fenmeno ssmico en relacin a la

confidencialidad e integridad son muy bajos, en tanto que para la disponibilidad es
moderado.
202
El riesgo total de prdida del servicio en este activo, es la suma de los riesgos de
confidencialidad, integridad y disponibilidad; este clculo se realiza segn la
frmula de la Seccin 3.2.6.1, asignndose un valor equivalente a 2, de acuerdo a
la Tabla 3.19, lo que indica que el riesgo ocasionado por esa amenaza es bajo y
que los controles existentes pueden ser suficientes para contrarrestarlo.
En vista de que el anlisis de riesgos de todos los activos del Data Center es muy
extenso, solamente se mostrar el anlisis de algunos de los activos ms
importantes de cada sistema. El anlisis completo de todos los activos se
encuentra desglosado en el Anexo B.
Activos de Documentacin del Data Center

Almacenamiento en Cintas
Identificacin de Riesgos
Tipo de
Amenaza
Amenaza
Dao Fsico
Fuego / Explosin
Desastres
Naturales
Destruccin de
equipo
Fenmenos
ssmicos
Descripcin de la
Amenaza
Fuego ocasionado por
personal interno de
forma accidental
personal externo de
forma accidental
personal interno de
forma deliberada
personal externo de
forma deliberada
Destruccin de las
cintas por personal
interno de forma
accidental
Destruccin de las
cintas por personal
interno de forma
deliberada
Destruccin de las
cintas por personal
externo de forma
accidental
Destruccin de las
cintas por personal
externo de forma
deliberada
Debilitamiento o
colapso de las
instalaciones del Data
Center
Controles Existentes
Almacenamiento
primario en discos
duros; sistemas de
deteccin y extincin
de incendios
Vulnerabilidad
Falta de polticas de
comportamiento de
personal y uso de
material combustible
en la cintoteca
Impacto
Prdida parcial o total

de los respaldos de
informacin en cintas
control de acceso a la
cintoteca
Falta de polticas sobre

el uso de respaldos de
Almacenamiento
primario en discos
duros
Falta de registros de
actividades del
personal en la
cintoteca
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Rt

de los respaldos de
Falta de control de
ingreso de personal no
autorizado en la
cintoteca
El Data Center Tier III

soporta terremotos
hasta 8 en la escala de
Richter
Anlisis y Evaluacin de Riesgos

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD

de los respaldos de
Tabla 3.31: Anlisis del Riesgo de un Activo de Documentacin (Pgina 1 de 3)
203
Amenaza
Descripcin de la
Amenaza
Interrupcin de
alimentacin
elctrica
Prdida de la
alimentacin elctrica
en el Data Center
Se tiene redundancias
en el sistema elctrico
dentro del Data Center

corte de energa
elctrica
Ingeniera social
Accesos a la
informacin de la cinta
No se tiene polticas
de control
confidencialidad de la
informacin
Recuperacin de
medios
descartados
Utilizacin de medios
para ingreso no
autorizado a la
informacin
de control
desecho de
informacin obsoleta
Robo de
Informacin
Robo de cintas por

parte de personal
interno de forma
deliberada
Robo de cintas por
parte de personal
externo de forma
deliberada
No existe control de
acceso a la cintoteca
autorizado a la
cintoteca
Espionaje
a la cintoteca por parte
de personal
No existen controles
para otorgar privilegios
de usuario
Fallo del equipo
Avera fsica del

equipo
Almacenamiento
primario en discos
duros
Degradacin de los
soportes de
almacenamiento
de la informacin
Degradacin de la
documentacin por el
paso del tiempo
de control
Procesamiento
ilegal de datos
Modificacin del
contenido de cintas por
parte de personal
interno de forma
deliberada
sobre el uso de cintas
Vulnerabilidad
control de acceso
cintoteca
Falta de
mantenimientos en los
almacenamientos en
cinta
el uso de cintas
Impacto

de los respaldos de

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt

de los respaldos de

de los respaldos de
Prdida de la
integridad de los
respaldos de
Prdida de
confidencialidad y
disponibilidad de la
informacin
almacenada en cinta

de los respaldos de
Prdida de
confidencialidad e
integridad de los
respaldos de
de los respaldos de
204
Acciones no
Autorizadas
Compromiso de la Informacin
Tipo de
Amenaza
Prdida de
Servicios
Esenciales


Compromiso de Funciones
Acciones no Autorizadas
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Procesamiento
ilegal de datos
Modificacin del
personal externo de
forma deliberada
Eliminacin del
personal interno de
forma deliberada
Eliminacin del
personal externo de
forma deliberada
sobre el uso de cintas
Indisponibilidad del
personal
Ausencia accidental o
intencional del puesto
de trabajo
de control
Carencia de personal
suficiente para cubrir
las funciones
Tiempos altos para la

solucin de incidencias
en los respaldos de
Suplantacin de
identidad
Ingreso de personal
interno no autorizado a
la cintoteca
Ingreso de personal
externo no autorizado
a la cintoteca
de control
control de acceso

de los respaldos de
Abuso de
Derechos
Abuso de privilegios de
acceso
de usuario
Ocupacin
enemiga
Prdida de control
sobre el manejo de la
cintoteca
Se tiene personal de
guardiana en el Data
Center
Extorsin
Presin sobre personal

interno para realizar
daos en los respaldos
de informacin en
cintas
de control
Vulnerabilidad

el uso de cintas
Falta de un
compromiso de
confidencialidad al
momento de contratar
personal nuevo
Falta de
procedimientos de
seguridad en caso de
invasin
cintoteca
Impacto

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt

de los respaldos de

de los respaldos de

de los respaldos de

de los respaldos de
205
Activos de Software del Data Center
Active Directory o Similar Linux (LDAP)

Tipo de
Amenaza
Descripcin de la
Amenaza
Ingeniera social
Acceso a la
informacin
No se tiene polticas de
control
informacin
Prdida de la
confidencialidad e
integridad del servicio
de Active Directory o
similar
Divulgacin de la
informacin
Divulgacin de la
configuracin por parte
de personal interno de
forma accidental
Divulgacin de la
forma deliberada
informacin en el
contrato del personal
nuevo
Prdida de
confidencialidad y
disponibilidad de la
configuracin de Active
Directory o similar
Amenaza
Robo de configuracin
por parte de personal
interno de forma
deliberada
Robo de
Informacin
Robo de configuracin
externo de forma
deliberada
Espionaje
respecto al ingreso de
dispositivos
electrnicos como
flash memory,
smartphones. etc.
dispositivos
electrnicos como
flash memory,
smartphones, etc.; no
existen controles de
ingreso de personal
externo al Data Center
Vulnerabilidad
Impacto
ingreso de dispositivos
electrnicos
electrnicos y de
personal externo al
Data Center
control de acceso al
servicio de Active
Directory o similar

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
Prdida de
configuracin de Active
Directory o similar
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory o similar
Tabla 3.32: Anlisis del Riesgo de un Activo de Software (Pgina 1 de 4)
206

Tipo de
Amenaza
Amenaza
Fallas Tcnicas
Errores de
mantenimiento
Saturacin del
sistema de
informacin
Procesamiento
ilegal de datos
Procesamiento
ilegal de datos
Descripcin de la
Amenaza
Mala realizacin de
actualizacin de
software por impericia
del personal
Cada del sistema por
agotamiento de
recursos
ocasionado por
personal interno de
forma deliberada
ocasionado por
personal externo de
forma deliberada
Manipulacin de los
registros de actividad
(logs) de forma
deliberada por parte de
personal interno
Manipulacin de los
(logs) de forma
personal externo
Eliminacin de
informacin por parte
forma deliberada
Vulnerabilidad
No se tiene controles
de acuerdo a la
actualizacin de
software de Active
Directory o similar

la correcta
actualizacin del
software del servicio
similar
sobre los recursos
utilizados por el
servicio de Active
Directory o similar;
puertos abiertos
innecesariamente
Falta de polticas para

el monitoreo de
recursos utilizados por
el servicio de Active
Directory o similar
sobre la manipulacin
de logs de personal no
autorizado

la manipulacin de
logs
control de actividades
de personal
Impacto

del servicio de Active
Directory o similar

Directory o similar
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory o similar
Problemas de
integridad,
confidencialidad y
disponibilidad del
servicio de Active
Directory o similar

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
207

Tipo de
Amenaza
Amenaza
Vulnerabilidad
Procesamiento
ilegal de datos
Eliminacin de
de personal externo de
forma deliberada
control de acceso
lgico
Difusin de
Software daino
Utilizacin de cdigo
errneo o malicioso

cdigo malicioso

el correcto uso del
servicio de Active
Directory o similar
Modificacin por parte

forma deliberada
Modificacin por parte
forma deliberada
control de acceso
lgico y registro de
actividades
Mal manejo del

servicio por impericia
del personal interno
para la capacitacin
del personal nuevo

el correcto uso del
servicio de Active
Directory o similar
Mala configuracin del

servicio por impericia
(administrador)
para la capacitacin
del personal nuevo

la correcta
configuracin del
servicio de Active
Directory o similar

servicio de forma
deliberada
Manipulacin de
Software
Compromiso de
Funciones
Descripcin de la
Amenaza
Error de uso
Impacto
Problemas de
integridad,
confidencialidad y
disponibilidad del
servicio de Active
Directory o similar
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory
Directory o similar
Problemas de
confidencialidad
integridad y
disponibilidad del
servicio de Active
Directory o similar
Directory o similar
dentro del Data Center
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory o similar

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
208

Tipo de
Amenaza
Amenaza
Error de uso
personal
Suplantacin de
identidad
Abuso de
Derechos
Ocupacin
enemiga
Extorsin
Descripcin de la
Amenaza
Error de monitoreo por
impericia del personal
interno
de trabajo
Ingreso de personal
interno no autorizado
Ingreso de personal
Abuso de privilegios de
acceso
Prdida de control
sobre el manejo del
servicio de Active
Directory o similar
daos sobre el servicio
similar
Vulnerabilidad

el correcto monitoreo
para la capacitacin
del personal nuevo
Directory o similar
Falta de personal
control
las funciones
servicio de Active
control
Directory o similar
Impacto

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt

Directory o similar


Directory o similar
de usuario
Falta de un
compromiso de
confidencialidad al
momento de contratar
personal nuevo
Problemas de
confidencialidad,
integridad y
disponibilidad del
servicio de Active
Directory o similar
Center
Falta de
procedimientos de
invasin

Directory o similar
control
servicio de Active
Directory o similar

Directory o similar
209
Activos de Red del Data Center

Amenaza
Descripcin de la
Amenaza
Agua
Dao por agua

ocasionado por
personal interno de
forma accidental
Dao por agua
ocasionado por
personal interno de
forma deliberada
Dao por agua
ocasionado por
personal externo de
forma accidental
Dao por agua
ocasionado por
personal externo de
forma deliberada
Dao Fsico
Tipo de
Amenaza
Se tiene un sistema
redundante
Destruccin de equipo
por personal interno de
forma deliberada
por personal externo
de forma accidental
de forma deliberada
Vulnerabilidad
realizar
mantenimientos en el
cuarto de cmputo
comportamiento de
personal en el cuarto
de cmputo
Impacto
Dao de un switch de
core. Salida de
informacin por el
respaldo
Rt
cuarto de cmputo
forma accidental
Destruccin de
equipo
Desastres
Naturales

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Se tiene un sistema
redundante

realizar
cuarto de cmputo
actividades del
personal
Dao de un switch de
core. Salida de
informacin por el
respaldo
Falta de control de
autorizado
Polvo / Suciedad
Suciedad o polvo por

insuficiente limpieza en
el cuarto de cmputo
Se tiene un sistema
redundante
Fenmenos
ssmicos
Debilitamiento o
colapso de las
Center

soporta terremotos
Richter
Insuficiente
mantenimiento y
limpieza sobre los
equipos
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Inhibicin de un switch
de core. Salida de
informacin por el
respaldo
Dao de los switches
de core. Prdida de los
servicios de red del
Data Center
210
Tabla 3.33: Anlisis del Riesgo de un Activo del Sistema de Telecomunicaciones (Pgina 1 de 6)

Prdida de Servicios
Esenciales
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Vulnerabilidad
Impacto
Interrupcin de
alimentacin
elctrica
Prdida de la
en el Data Center
Se tienen redundancia
en los sistemas de
climatizacin dentro
del cuarto de cmputo
Se tiene sistemas
redundantes de
energa elctrica
Interrupcin de
suministros
Falla de redundancias
Ingeniera social
Acceso a la
informacin
control
informacin
Prdida de la
confidencialidad e
integridad del sistema
de red
control
informacin
Prdida de la
confidencialidad e
de red
Fallo del sistema

de climatizacin
Divulgacin de la
Informacin
Recuperacin de
medios
descartados
Vulnerabilidades
de la configuracin
Agotamiento del
suministro de agua fra
Divulgacin de
forma accidental
Divulgacin de
forma deliberada
Utilizacin de medios
para ingreso no
autorizado a la
informacin
Puertos habilitados

el uso de los sistemas
de climatizacin
respecto a la prdida
del servicio elctrico
Falta de polticas
respecto a fallos en la
redundancia
control
desecho de
informacin obsoleta
No existe control de
puertos habilitados en
la red del Data Center

puertos habilitados en
la red del Data Center
Cada de los switches

Data Center
Prdida de integridad y
informacin de red del
Data Center.
Trfico malicioso
ingresara causando
prdida parcial o total
de los servicios de
informacin ofrecidos
por el Data Center

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
211

Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Robo de la
forma deliberada
Robo de
Informacin
Robo de la
forma deliberada
Intercepcin de
seal de red
inalmbrica
Espionaje
Vulnerabilidad
dispositivos
electrnicos como
electrnicos; envo de
flash memory,
correos a personal no
smartphones entre
autorizado
otros
dispositivos
electrnicos como
flash memory,
electrnicos y personal
smartphones entre
externo al Data Center;
otros; no existen
envo de correos a
controles de ingreso de personal no autorizado
personal externo al
Data Center
Intercepcin de seal
de red inalmbrica por
parte de personal
interno de forma
deliberada
Intercepcin de seal
de red inalmbrica por
parte de personal
externo de forma
deliberada
Acceso a la
informacin por
personal no autorizado
referente al cifrado de
la informacin
Sniffer oculto por parte

de personal interno
No hay controles
existentes
Sniffer oculto por parte

de personal externo
No hay controles
existentes
seguridad de la red
seguridad de la red
Rt
Prdida de la
confidencialidad en los
servicios ofrecidos en
el Data Center
Prdida de la
el Data Center
Prdida de la
el Data Center
212
Falta de polticas
referentes al cifrado de
la informacin
la intercepcin de
informacin no
autorizada
la intercepcin de
informacin no
autorizada
Impacto

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD

Tipo de
Amenaza
Amenaza
Fallo del equipo
Fallas Tcnicas
Mal funcionamiento
de equipos
Errores de
mantenimiento
Saturacin del
sistema de
informacin
Procesamiento
ilegal de datos
Descripcin de la
Amenaza
Avera fsica del equipo

Respuesta inadecuada
en el funcionamiento
normal del Switch de
Core Nexus 7000
Mala realizacin del
mantenimiento del
equipo por impericia
del personal
Mala realizacin de
actualizacin de
del personal
Cada del sistema por
agotamiento de
recursos
de Switch de Core
Nexus 7000 de forma
deliberada
Manipulacin de los
(logs) de forma
personal interno
Manipulacin de los
(logs) de forma
personal externo
Vulnerabilidad
Impacto
Cada de un switch de
core. Salida de
informacin por el
respaldo
core. Salida de
informacin por el
respaldo
core. Salida de
informacin por el
respaldo
Problemas de
confidencialidad,
integridad y
disponibilidad en los
el Data Center
Se tiene un sistema
redundante
Desperfecto durante su
uso
Se tiene un sistema
redundante
Insuficiente
mantenimiento del
sistema de Switch de
Core Nexus 7000
Se tiene un sistema
redundante

realizar cambios o
mantenimientos
control
Falta de polticas
respecto a cdigos
mviles
sobre los recursos
utilizados por los
servicios

el monitoreo de
recursos

Data Center

la manipulacin de
logs
Problemas de
confidencialidad e
integridad en los
el Data Center
sobre la manipulacin
de logs de personal no
autorizado

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
213

Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Procesamiento
ilegal de datos
Eliminacin de la
forma deliberada
Eliminacin de la
forma deliberada
respecto a la
modificacin de
configuracin y
encriptacin de los
equipos

autenticidad y
encriptacin
Utilizacin de cracks
para falsificar licencias
de software propietario
control
Falta de polticas
respecto al uso de
software falsificado
Mala configuracin de
forma deliberada
acerca de
configuracin

la correcta
configuracin del
Switch de Core Nexus
7000
Modificacin de
forma deliberada
Modificacin de
forma deliberada
respecto a la
modificacin de
configuracin y
encriptacin de los
equipos
Uso de software
falsificado o
copiado
Manipulacin de
Software
Compromiso
de Funciones
Manipulacin de
los equipos
Error de uso
Desconexin por
personal interno
Desconexin por
personal externo
Desconexin
accidental por personal
interno
Desconexin
accidental por personal
externo
Se tiene un sistema
redundante de equipos
en reas
independientes
Se tiene un sistema
en reas
independientes
Vulnerabilidad

autenticidad y
encriptacin

realizar cambios o
mantenimiento
Falta de control de
autorizado
realizar cambios o
mantenimiento
Falta de control de
autorizado
Impacto

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
core. Salida de
informacin por el
respaldo
core. Salida de
informacin por el
respaldo
Prdida de los
Data Center
Violacin de propiedad
intelectual. Afectacin
de los servicios de red
del Data Center
Problemas de
integridad y
el Data Center
Problemas de
confidencialidad,
integridad y
el Data Center
214

Tipo de
Amenaza
Amenaza
Error de uso
personal
Suplantacin de
identidad
Descripcin de la
Amenaza
Mal manejo por
interno
Mal manejo por
externo
de trabajo
Ingreso de personal
Ingreso de personal
Se tiene un sistema
en reas
independientes
control
control
Abuso de derechos
Ingreso de personal
control
Ocupacin
enemiga
Prdida de control
sobre el manejo del
switch de core
Center
Deficiencia en la
organizacin
Ingreso de personal no
calificado o nocivo
control
Extorsin

daos sobre los
activos
control
Vulnerabilidad
Falta de procesos para

el buen uso de activos
Falta de personal
las funciones
ingresos de personal
ingresos de personal
asignacin de
privilegios
Falta de
procedimientos de
invasin
Falta de procesos de
verificacin de
antecedentes en la
contratacin de
personal
Falta de
procedimientos de
contingencia
Impacto
core. Salida de
informacin por el
respaldo

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
Dao de los switches

Data Center
Dao de los switches

Data Center

Data Center
Data Center
Dao de los switches
Data Center
215
Activos de Soporte Elctrico del Data Center

Generador con Motor a Disel HMW-810 T6
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Vulnerabilidad
No se tiene un sistema
de deteccin y
extincin de incendios
en el rea de
generadores

realizar
rea de generadores y
tanques de
combustible
actividades del
personal en el rea de
generadores y tanques
de combustible

personal interno de
forma accidental
Dao Fsico
Fuego / Explosin
Agua

personal interno de
forma deliberada
personal externo de
forma accidental
personal externo de
forma deliberada
Dao por agua
ocasionado por
personal interno de
forma accidental
Dao por agua
ocasionado por
personal interno de
forma deliberada
Dao por agua
ocasionado por
personal externo de
forma accidental
Dao por agua
ocasionado por
personal externo de
forma deliberada
rea de generadores o
tanques de
combustible.
Se tiene un sistema
redundante de
generadores en reas
independientes

realizar
rea de generadores
actividades del
generadores
rea de generadores
Impacto
Dao de los
generadores o tanques
de combustible.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Dao o avera de los

generadores.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
Tabla 3.34: Anlisis del Riesgo de un Activo de Soporte Elctrico (Pgina 1 de 5)
216

Prdida de
Servicios
Esenciales
Desastres Naturales
Dao Fsico
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Destruccin de
equipo
Destruccin de un
sistema generador por
personal interno de
forma accidental
Destruccin de un
personal interno de
forma deliberada
Destruccin de un
personal externo de
forma accidental
Destruccin de un
personal externo de
forma deliberada
Polvo / Suciedad
Suciedad o polvo en
los mecanismos del
sistema generador
Fenmeno Ssmico
Debilitamiento o
colapso de las
Center.
Vulnerabilidad
Impacto

el uso de los
generadores
Se tiene un sistema
redundante de
generadores en reas
independientes
actividades del
generadores
Falta de control de
autorizado al rea de
generadores
Dao total o parcial de

los generadores.
servicio hasta
activacin del respaldo

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
Insuficiente
mantenimiento del
sistema generador
Mal funcionamiento del

generador.
Imposibilidad de
entregar energa
elctrica en caso de
emergencia
El Data Center soporta

terremotos hasta 8 en
la escala de Richter.
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter.
Falla de los sistemas

generadores
Fenmeno
Volcnico
Capas de ceniza en los

mecanismos del
generador
Falta de filtros de
control de suciedades
Interrupcin de
suministros
Agotamiento de aceite
para el funcionamiento
del generador
Se tiene un sistema
redundante de
generadores
Insuficiente
mantenimiento del
sistema generador

generador.
Imposibilidad de
entregar energa
elctrica en caso de
emergencia
Falla de un sistema
generador.
servicio hasta
217
Amenaza
Interrupcin de
suministros
Acciones no
Autorizadas
Fallas Tcnicas
Compromiso de la
Informacin
Tipo de
Amenaza
Prdida de
Servicios
Esenciales

Ingeniera social
Divulgacin de la
Informacin

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Descripcin de la
Amenaza
Agotamiento de
combustible en los
tanques de
almacenamiento
Insuficiente
mantenimiento de los
tanques de
combustible
Imposibilidad de
entregar energa
elctrica en caso de
emergencia
control
informacin
Prdida de la
confidencialidad e
de generadores
control
informacin
Prdida de la
confidencialidad e
de generadores
Desperfecto de
generadores durante
su uso
Acceso a la
informacin del
funcionamiento de los
generadores
Revelacin por
indiscrecin del
generadores a
personas externas
Vulnerabilidad
Fallo del equipo
Avera del generador
Se tiene un sistema
redundante de
generadores
Mal funcionamiento
de equipos
normal del generador
Se tiene un sistema
redundante de
generadores
Insuficiente
mantenimiento del
sistema generador
Errores de
mantenimiento
Mala realizacin del

generadores por
Se tiene un sistema
redundante de
generadores en reas
independientes

realizar cambios o
rea de generadores
Uso no autorizado
de equipos
Activacin deliberada
del sistema generador
por personal interno
del sistema generador
Se tiene un sistema
ATS que regula la
entrada de voltaje

el buen uso de
generadores
Impacto
Falla de un sistema
generador.
servicio hasta
activacin del respaldo.
Falla de un sistema
generador.
servicio hasta
Interrupcin del
sistema generador.
servicio hasta
Rt
Gasto innecesario de
combustible
218

Tipo de
Amenaza
Amenaza
Manipulacin de
los equipos
Error de uso
personal
Descripcin de la
Amenaza
Desconexin
deliberada del sistema
generador por personal
interno
Desconexin
externo
Modificacin
intencional en el
generadores por
personal interno
Modificacin
intencional en el
generadores por
personal externo
Desconexin
accidental del sistema
interno
Desconexin
externo
Mal manejo del
interno
Mal manejo del
externo
de trabajo
Se tiene un sistema
redundante de
generadores en reas
independientes
Vulnerabilidad
Impacto

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
ingresos de personal al
rea de generadores
rea de generadores
Dao o avera de los

generadores.
servicio hasta
rea de generadores
rea de generadores
Se tiene un sistema
redundante de
generadores en reas
independientes

realizar cambios o
rea de generadores
Falta de control de
generadores
Interrupcin de un
sistema generador.
servicio hasta
Se tiene un sistema
redundante de
generadores en reas
independientes
Dao o avera de los

generadores.
servicio hasta

el buen uso de
generadores
control
Falta de personal
las funciones

en los generadores
219

Tipo de
Amenaza
Amenaza
Suplantacin de
identidad
Abuso de derechos
Ocupacin
Enemiga
Descripcin de la
Amenaza
Vulnerabilidad
Ingreso de personal
interno no autorizado al
rea de generadores
control
Ingreso de personal
al rea de generadores
rea de generadores
Ingreso de personal
interno no autorizado al
control
rea de generadores
asignacin de
privilegios para ingreso
al rea de generadores
Prdida de control
sobre el manejo de los
generadores
Center
Falta de
procedimientos de
invasin
Deficiencia en la
organizacin
calificado o nocivo
control
verificacin de
antecedentes en la
contratacin de
personal
Extorsin

daos sobre el sistema
de generadores
control
Falta de
procedimientos de
contingencia
Impacto
Interrupcin del
sistema generador.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Interrupcin del
sistema generador.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Prdida total del
control de los
generadores.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Posible dao de los
generadores.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia
Posible dao de los
generadores.
Imposibilidad de
entregar el energa
elctrica en caso de
emergencia

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
220
Activos de Soporte Mecnico del Data Center

Enfriador de Agua (Chiller)
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza

personal interno de
forma accidental
personal interno de
forma deliberada
Fuego / Explosin
personal externo de
forma accidental
comportamiento de
personal
No se tiene un sistema
de deteccin y
extincin de incendios
en el rea de chillers
Dao Fsico

personal externo de
forma deliberada
Agua
Dao por agua

ocasionado por
personal interno de
forma accidental
Dao por agua
ocasionado por
personal interno de
forma deliberada
Dao por agua
ocasionado por
personal externo de
forma accidental
Dao por agua
ocasionado por
personal externo de
forma deliberada
Vulnerabilidad
rea de chillers
comportamiento de
personal
rea de chillers
comportamiento de
personal
Se tiene sensores de
deteccin de humedad
(TIA-942-A), Vlvulas
de liberacin de Agua
rea de chillers.
Impacto
Dao o avera de
chillers. Incapacidad
para brindar aire frio en
el Data Center
Dao o avera de
el Data Center
Dao o avera de
el Data Center
Dao o avera de
el Data Center
Dao o avera de
para brindar aire fro
en el Data Center
Dao o avera de
en el Data Center
Dao o avera de
en el Data Center
Dao o avera de
en el Data Center

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
Tabla 3.35: Anlisis del Riesgo de un Activo de Soporte Mecnico (Pgina 1 de 5)
221

Tipo de
Amenaza
Amenaza
Agua
Descripcin de la
Amenaza
Fugas de agua
ocasionadas por
corrosin
Se tiene sensores de
deteccin de humedad
(TIA-942-A), Vlvulas
de liberacin de Agua
Dao Fsico
Destruccin de un
sistema de chillers por
personal interno de
forma accidental
Destruccin de
equipo
Destruccin de un
personal interno de
forma deliberada
Destruccin de un
personal externo de
forma accidental
Destruccin de un
personal externo de
forma deliberada
Desastres Naturales
Polvo / Suciedad
Suciedad o polvo en
los mecanismos del
sistema de chillers
Fenmeno
Volcnico
Debilitamiento o
colapso de las
Center
Ceniza en los
mecanismos del chiller
Fenmeno
Meteorolgico
Descargas elctricas
sobre el equipamiento
Fenmenos
Ssmicos
Vulnerabilidad
Impacto
Rt
222
Dao o avera de
Insuficiente
mantenimiento de
chillers
en el Data Center
Dao de chillers.
servicio hasta
el uso de chillers
activacin del
respaldo.
Dao de chillers.
actividades del
servicio hasta
activacin del
chillers
respaldo.
Se tiene un sistema
redundante de chillers
Dao de chillers.
servicio hasta
activacin del
Falta de control de
respaldo.
Dao de chillers.
chillers
servicio hasta
activacin del
respaldo.
Dao o avera de
Insuficiente
Filtros por las tomas de
mantenimiento del
aire de los chillers
sistema de chillers
el Data Center
Inestabilidad para
Incapacidad para
soporta terremotos
soportar terremotos
brindar aire fro en el
mayores a 8 en la
Data Center
Richter
escala de Richter
Filtros por las tomas de No existen reemplazos
Falla de los sistemas
aire de los chillers
de chillers
de los filtros
No existen polticas
Incapacidad para
sobre una revisin de
Pararrayos
las tomas de tierra del
Data Center
pararrayos

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD

Acciones
no
Autorizadas
Fallas Tcnicas
Prdida de
Servicios
Esenciales
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Fallo del sistema

de climatizacin
Agotamiento del
Interrupcin de
alimentacin
elctrica
Prdida de la
en el Data Center
Acceso a la
informacin del
funcionamiento de
chillers
Divulgacin de
forma accidental
Divulgacin de
forma deliberada
Ingeniera social
Divulgacin de la
Informacin
Vulnerabilidad
Se tiene una cisterna

de abastecimiento de
agua
Se tiene sistemas
redundantes de
energa elctrica
respecto a la falta de
agua
respecto a la prdida
del servicio elctrico
control
informacin
control
informacin
control
informacin
Fallo del equipo
Avera del chiller
Se tiene un sistema
Desperfecto de chillers
durante su uso
Mal
funcionamiento de
equipos
normal del chiller
Se tiene un sistema
Insuficiente
mantenimiento del
sistema de chillers
Errores de
mantenimiento
Mala realizacin del

mantenimiento de
chillers por impericia
del personal
Se tiene un sistema

realizar cambios o
rea de chillers
Uso no autorizado
de equipos
del sistema de chillers
Se tiene vlvulas
selectoras de sistema
que regula el paso de
agua fra

el buen uso de chillers
Impacto
Interrupcin total de los

sistemas de chillers.
Incapacidad para
Data Center
Prdida de la
confidencialidad e
de chillers
Prdida de la
confidencialidad e
de chillers
Prdida de la
confidencialidad e
de chillers
Falla de un sistema de
chillers.
servicio hasta
Falla de un sistema de
chillers.
servicio hasta
activacin del backup
Dao de un sistema de
chillers.
servicio hasta
Exceso de aire fro en
el Data Center. Efecto
de roco en los equipos

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
223

Tipo de
Amenaza
Amenaza
Uso no autorizado
de equipos
Manipulacin de
los equipos
Error de uso
Descripcin de la
Amenaza
Se tiene vlvulas
agua fra

Impacto

rea de chillers
rea de chillers.
Se tiene un sistema
rea de chillers
Dao o avera de un
sistema de chillers.
servicio hasta
activacin del
respaldo.
rea de chillers.
Se tiene un sistema
Se tiene un sistema

realizar cambios o
rea de chillers
Falta de control de
chillers
Interrupcin de un
servicio hasta
activacin del
respaldo.

Dao o avera de un
servicio hasta
activacin del
respaldo.
Rt
224
Desconexin
de chillers por personal
interno
Desconexin
externo
Modificacin
intencional en el
chillers por personal
interno
Modificacin
intencional en el
chillers por personal
externo
Desconexin
interno
Desconexin
externo
Mal manejo del
interno
Mal manejo del
externo
Vulnerabilidad

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD

Tipo de
Amenaza
Amenaza
Vulnerabilidad
Activacin accidental
Activacin accidental
de trabajo
Ingreso de personal
al rea de chillers
Ingreso de personal
al rea de chillers
Se tiene una vlvulas

agua fra

control
Falta de personal
las funciones
Se tiene un sistema
rea de chillers
Abuso de derechos
Ingreso de personal
al rea de chillers
asignacin de
control
al rea de chillers
Ocupacin
enemiga
Prdida de control
sobre el manejo de los
chillers
Center
Falta de
procedimientos de
invasin
Deficiencia en la
organizacin
calificado o nocivo
control
verificacin de
antecedentes en la
contratacin de
personal
Extorsin

de chillers
control
Falta de
procedimientos de
contingencia
Error de uso
personal
Descripcin de la
Amenaza
Suplantacin de
identidad
Impacto

en los chillers
Interrupcin de un
servicio hasta
activacin del
respaldo.
Interrupcin de los
sistemas de chillers.
Imposibilidad de
entregar climatizacin
a los equipos
Prdida total del
control de los chillers.
Imposibilidad de
entregar climatizacin
a los equipos
Posible dao de los
chillers. Imposibilidad
de entregar el
climatizacin a los
equipos
Posible dao de los
chillers. Imposibilidad
de entregar el
climatizacin a los
equipos

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
225
Activos de Soporte del Sistema Contra Incendios

Panel de Control Principal Securifire
Tipo de
Amenaza
Amenaza
Dao Fsico
Agua
Desastres
Naturales
Destruccin de
equipo
Fenmenos
ssmicos
Descripcin de la
Amenaza
Dao por agua
ocasionado por
personal interno de
forma accidental
Dao por agua
ocasionado por
personal interno de
forma deliberada
Dao por agua
ocasionado por
personal externo de
forma accidental
Dao por agua
ocasionado por
personal externo de
forma deliberada
Destruccin del panel
forma accidental
forma deliberada
de forma accidental
de forma deliberada
Debilitamiento o
colapso de las
Center
Se tiene redundancia
de paneles de control
principal
principal

soporta terremotos
Richter
Vulnerabilidad
Impacto

Grado de
Impacto
Riesgo
Afectacin
Prob
% %
%
IC II ID It
RC RI RD
AC AI AD
Rt

el uso de los paneles
Dao de un panel de
control principal
actividades del
personal en la sala de
operaciones
Dao de los paneles

de control principal.
Falla total del sistema
contra incendios
Falta de control de
autorizado a la sala de
operaciones
Dao de un panel de
control principal
2

el uso de los paneles
Dao de un panel de
control principal
actividades del
operaciones
Dao de los paneles.

Incapacidad de
detectar un incendio en
el Data Center.
Falta de control de
operaciones
Dao de un panel de
control principal
1
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Dao de los paneles.

Interrupcin total del
sistema contra
incendios
Tabla 3.36: Anlisis del Riesgo de un Activo del Sistema Contra Incendios (Pgina 1 de 4)
226

Acciones no
Autorizadas
Fallas Tcnicas
Compromiso de la
Informacin
Prdida de Servicios
Esenciales
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Interrupcin de
alimentacin
elctrica
Desconexin de la
de los Servicios
Generales
control
Fallo en los
servicios de
comunicaciones
Corte de cableado de
sealizacin
Notificacin de ruptura
del lazo de
comunicacin.
Ingeniera social
Acceso a la
informacin del
paneles
Divulgacin de la
Informacin
Revelacin por
indiscrecin del
paneles a personas
externas
Fallo del equipo
Avera de los paneles
Mal
funcionamiento de
equipos
normal de los paneles
Errores de
mantenimiento
Mala realizacin del

paneles por impericia
del personal
Manipulacin de
los equipos
Desconexin
deliberada de los
paneles por personal
interno
Vulnerabilidad
realizar
tablero de Servicios
Generales
No existe redundancia
en el cableado. Falta
de polticas de
mantenimiento
Impacto
Prdida de todos los

elementos conectados
Prdida de la
confidencialidad e
integridad de todo el
control
sistema detector de
incendios
Prdida de la
confidencialidad e
integridad de todo el
control
informacin
sistema detector de
incendios
Falla de los paneles.
Incapacidad de
Desperfecto de los
gestionar alarmas de
paneles durante su uso
incendio en el Data
principal
Center.
Insuficiente
Incapacidad de
incendio en el Data
principal
paneles
Center.
Dao de los paneles.
realizar cambios o
Incapacidad de
control
mantenimientos en los detectar un incendio en
el Data Center.
paneles
actividades del
operaciones
Rt
Prdida del sistema de

deteccin y extincin
de incendios
informacin
control

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Incapacidad de
el Data Center.
227

Tipo de
Amenaza
Amenaza
Manipulacin de
los equipos
Error de uso
personal
Descripcin de la
Amenaza
Desconexin
deliberada de los
externo
Modificacin
intencional en la
configuracin de los
interno
Modificacin
intencional en la
configuracin de los
externo
Desconexin
accidental de los
elementos del panel
Desconexin
accidental de los
elementos del panel
Mal manejo de los
Mal manejo de los
del personal externo
principal
Vulnerabilidad
sala de operaciones
ingresos de personal a
la sala de operaciones
control
sala de operaciones
principal
Impacto
Incapacidad de
el Data Center.
Incapacidad de
deteccin de incendio
en el Data Center.

el buen uso los
paneles
Dao de los paneles.

Incapacidad de
el Data Center.

configurar los paneles
de trabajo
control
Falta de personal
las funciones
Rt
Respuesta errnea de
los paneles y del
sistema de deteccin
del Data Center.

realizar cambios o
paneles
Falta de control de
operaciones
Mala configuracin de
los paneles realizada
por los administradores

Grado de
Impacto
Riesgo
Afectacin
Prob
%
%
%
IC II ID It
RC RI RD
AC AI AD
Respuesta errnea de
los paneles y el
sistema de deteccin
del Data Center.
en los paneles
228

Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Suplantacin de
identidad
Ingreso de personal
Ingreso de personal
a la sala de
operaciones
control
Abuso de derechos
Ingreso de personal
control
Ocupacin
enemiga
Prdida de control
sobre el manejo del
sistema detector
Center
Deficiencia en la
organizacin
calificado o nocivo
control
Extorsin

control
detector
Vulnerabilidad
Falta de control de
operaciones
asignacin de
a la sala de
operaciones
Falta de
procedimientos de
invasin
verificacin de
antecedentes en la
contratacin de
personal
Falta de
procedimientos de
contingencia
Impacto

Grado de
Impacto
Riesgo
Afectacin
Prob
%
% %
IC II ID It
RC RI RD
AC AI AD
Rt
Dao de los paneles.

Incapacidad de
el Data Center.

Incapacidad de
todo el Data Center
Posible dao de los

paneles. Incapacidad
de detectar un incendio
en el Data Center
Posible dao de los

paneles. Incapacidad
de detectar un incendio
en el Data Center
Dao de los paneles.

Incapacidad de
el Data Center.
229
Activos de Control de Acceso del Data Center

Panel Master (Tarjeta Principal y Dual Reader)
Tipo de
Amenaza
Amenaza
Dao Fsico
Agua
Sobrecarga
Elctrica /
Cortocircuito
Descripcin de la
Amenaza
Dao por agua
ocasionado por
personal interno de
forma accidental
Dao por agua
ocasionado por
personal interno de
forma deliberada
Dao por agua
ocasionado por
personal externo de
forma accidental
Dao por agua
ocasionado por
personal externo de
forma deliberada
Cortocircuito en las
bateras del panel
ocasionado por
personal interno de
forma accidental
bateras del panel
ocasionado por
personal interno de
forma deliberada
bateras del panel
ocasionado por
personal externo de
forma accidental
bateras del panel
ocasionado por
personal externo de
forma deliberada
Vulnerabilidad
Impacto

el uso del panel
de paneles y tarjetas
controladoras
actividades del
operaciones
Falta de control de
operaciones
Dao del panel de

control y sus tarjetas.
Incapacidad de
ingresar a realizar
trabajos en reas
restringidos ante una
incidencia

el uso del panel
controladoras
actividades del
operaciones
Falta de control de
operaciones
Dao del panel de

Incapacidad de
ingresar a realizar
trabajos en reas
incidencia

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
Tabla 3.37: Anlisis del Riesgo de un Activo de Control de Acceso (Pgina 1 de 4)
230

Prdida de Servicios Esenciales
Desastres
Naturales
Dao Fsico
Tipo de
Amenaza
Amenaza
Destruccin de
equipo
Descripcin de la
Amenaza
Vulnerabilidad

forma accidental

el uso del panel

forma deliberada
actividades del
operaciones

de forma accidental
de forma deliberada
controladoras
Falta de control de
operaciones
Insuficiente
paneles
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Polvo / Suciedad
Suciedad excesiva o
polvo en el panel
Fenmenos
ssmicos
Debilitamiento o
colapso de las
Center

soporta terremotos
Richter
Interrupcin de
alimentacin
elctrica
Prdida de energa de
alimentacin del panel
control

realizar
tablero de Servicios
Generales
Fallo en los
servicios de
comunicaciones
Corte de cableado de
sealizacin
mantenimiento
Impacto
Dao del panel de

Incapacidad de
ingresar a realizar
trabajos en reas
incidencia

sistema de control de
acceso del Data Center
Dao de los paneles.
Interrupcin en el
ingreso a todas reas
restringidas.
Bloqueo automtico de
las cerraduras.
Incapacidad de
ingresar a realizar
trabajos en reas
incidencia
Prdida de control de
las cerraduras y
detectores.
Incapacidad de
ingresar a realizar
trabajos en reas
incidencia

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
231

Compromiso de
Funciones
Acciones no
Autorizadas
Fallas Tcnicas
Compromiso de la
Informacin
Tipo de
Amenaza
Amenaza
Ingeniera social
Divulgacin de la
Informacin
Descripcin de la
Amenaza
Acceso a la
informacin del
paneles
Revelacin del
paneles a personas
externas
Fallo del equipo
Avera de los paneles
Mal funcionamiento
de equipos
normal de los paneles
Errores de
mantenimiento
Mala realizacin del

del personal
Manipulacin de
los equipos
Error de uso
Desconexin
deliberada de los
interno
Desconexin
deliberada de los
externo
Desconexin
accidental de los
elementos del panel
Desconexin
accidental de los
elementos del panel
Vulnerabilidad
control
informacin
control
informacin
Desperfecto de los
paneles durante su uso
controladoras
Insuficiente
paneles
realizar cambios o
paneles
control
actividades del
operaciones
de paneles de control.
sala de operaciones
controladoras

realizar cambios o
paneles
Falta de control de
operaciones
Impacto
Prdida de la
confidencialidad e
de control de acceso
Prdida de la
confidencialidad e
Falla del panel.
Bloqueo de los
elementos del sistema
de control de acceso.
Falla del panel.
Bloqueo de los
Dao del panel de
Interrupcin en el
restringidas.

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
Bloqueo de los

Interrupcin en el
restringidas
232

Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Vulnerabilidad
Mal manejo de los


el buen uso los
paneles
Mal manejo de los


el buen uso los
paneles
Error de uso
personal
Suplantacin de
identidad
de trabajo
Ingreso de personal
Ingreso de personal
a la sala de
operaciones
control
control
Falta de personal
las funciones
asignacin de
control
a la sala de
operaciones
Impacto
Dao de los paneles.
Bloqueo de los
Dao de los paneles.
Bloqueo de los
en los paneles

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
Dao de los paneles.

Interrupcin en el
restringidas.
Dao de los paneles.

Interrupcin en el
restringidas.
Abuso de derechos
Ingreso de personal
Ocupacin
enemiga
Prdida de control
sobre el manejo del
sistema de control de
acceso
Center
Falta de
procedimientos de
invasin

Interrupcin en el
restringidas
Deficiencia en la
organizacin
calificado o nocivo
control
verificacin de
antecedentes en la
contratacin de
personal
Posible dao de los

paneles. Interrupcin
en el ingreso a todas
reas restringidas
Falta de
procedimientos de
contingencia
Posible dao de los

paneles. Interrupcin
en el ingreso a todas
reas restringidas
Extorsin

control
233
Activos del Sistema de Videovigilancia del Data Center

Tipo de
Amenaza
Amenaza
Dao Fsico
Agua
Destruccin de
equipo
Polvo / Suciedad
Descripcin de la
Amenaza
Dao por agua
ocasionado por
personal interno de
forma accidental
Dao por agua
ocasionado por
personal interno de
forma deliberada
Dao por agua
ocasionado por
personal externo de
forma accidental
Dao por agua
ocasionado por
personal externo de
forma deliberada
Destruccin del
servidor por personal
interno de forma
accidental
Destruccin del
interno de forma
deliberada
Destruccin del
externo de forma
accidental
Destruccin del
externo de forma
deliberada
Suciedad o polvo en el
servidor de video
Vulnerabilidad
realizar
cuarto de cmputo
comportamiento de
de cmputo
Impacto
Dao del servidor.

videovigilancia en el
Data Center

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt
cuarto de cmputo

el uso del servidor
actividades del
de cmputo
Dao del servidor.

Data Center
Falta de control de
autorizado al cuarto de
cmputo
Insuficiente
mantenimiento del
servidor
Falla del servidor.

Data Center
Tabla 3.38: Anlisis del Riesgo de un Activo del Sistema de Vigilancia (Pgina 1 de 6)
234

Compromiso de la
Informacin
Desastres
Naturales
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Vulnerabilidad
Impacto
Fenmenos
ssmicos
Debilitamiento o
colapso de las
Center

soporta terremotos
Richter
Inestabilidad para
soportar terremotos
mayores a 8 en la
escala de Richter
Fallo del sistema

de climatizacin
Agotamiento del
Se tienen redundancia
en los sistemas de
climatizacin dentro
del cuarto de cmputo

el uso de los sistemas
de climatizacin
Dao del servidor.

Data Center
Calentamiento del
servidor. Prdida del
sistema de
Data Center
Interrupcin de
alimentacin
elctrica
Desconexin de la
del sistema de PDUs
control
Fallo en los
servicios de
comunicaciones
Corte del cableado de

backbone
del cableado
Interrupcin de
suministros
Agotamiento de
capacidad en disco
para almacenaje de
video
Dao del disco de
almacenamiento
Agotamiento de
licenciamiento del
software del servidor
de video
Ingeniera social
Acceso a la
informacin del
servidor
Divulgacin de la
Informacin
Revelacin por
indiscrecin del
funcionamiento del
servidor a personas
externas

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD
AC AI AD
Rt

Data Center

Data Center
Sobre escritura de los

datos de video.
Falla en la grabacin
del video.
revisin de software

Data Center
control
informacin
Prdida de la
confidencialidad e
de videovigilancia
control
informacin
Prdida de la
confidencialidad e
de videovigilancia

realizar
tablero de PDUs
realizar
cableado
Insuficiente
mantenimiento del
servidor
235

Fallas Tcnicas
Compromiso de la
Informacin
Tipo de
Amenaza
Amenaza
Descripcin de la
Amenaza
Vulnerabilidad
Robo de
informacin
Copia de archivos o
configuraciones del
servidor de video
de control
Falta de control de
sobre copia de
informacin del NVR
Espionaje
Acceso a la
informacin del
no autorizado
de control
Falta de cifrado en la
comunicacin de los
datos del servidor de
video
Fallo del equipo
Avera del servidor y

disco
Desperfecto del
servidor durante su uso
Mal
funcionamiento de
equipos
normal del servidor
Insuficiente
mantenimiento del
servidor
Errores de
mantenimiento
Mala realizacin del

mantenimiento del
servidor por impericia
del personal
Mala realizacin de
actualizacin de
del personal
Saturacin de la red de
videovigilancia
Saturacin del
sistema de
informacin

realizar cambios o
cuarto de cmputo
realizar actualizaciones
sobre equipamiento del
Data Center
Falta de monitoreo de
la capacidad de los
recursos
Impacto
Prdida de la
confidencialidad e
integridad de los datos
del sistema de
videovigilancia
Prdida de
datos del sistema de
videovigilancia
Falla del servidor. Error
en la grabacin del
video. Prdida del
sistema de
Data Center
Falla del servidor. Error
en la grabacin del
video. Prdida del
sistema de
Data Center ter
del video. Prdida del
sistema de
Data Center
Error en la grabacin y
transmisin del video
en el servidor.

Grado de
Impacto
Riesgo
Afectacin
Prob
% %
%
IC II ID It
RC RI RD
AC AI AD
Rt
236

Tipo de
Amenaza
Amenaza
Procesamiento
ilegal de datos
Manipulacin de
Software
Manipulacin de
los equipos
Descripcin de la
Amenaza
Borrado de informacin
del servidor deliberada
Borrado de informacin
del servidor deliberada
Modificacin
intencional en la
configuracin del
interno
Modificacin
intencional en la
configuracin del
externo
Desconexin
deliberada del servidor
Desconexin
deliberada del servidor
Vulnerabilidad
control
actividades del
de cmputo
Falta de control de
cmputo
control
cuarto de cmputo
control
Desconexin
accidental del servidor
Error de uso
Desconexin
accidental del servidor
Mal manejo del
actividades del
de cmputo
actividades del
de cmputo
cuarto de cmputo
realizar cambios o
cuarto de cmputo
Falta de control de
cmputo
el uso del servidor
Impacto

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD Rt
AC AI AD
1
Prdida de los datos

de video del servidor
del video. Prdida del
sistema de
videovigilancia del
Data Center

videovigilancia del
Data Center

videovigilancia del
Data Center
Dao del servidor.

videovigilancia del
Data Center
237

Tipo de
Amenaza
Amenaza
Error de uso
personal
Suplantacin de
identidad
Descripcin de la
Amenaza
Vulnerabilidad
Mal manejo del


el uso del servidor

configurar el servidor

servidor realizada por
los administradores
Borrado accidental de
la informacin del
interno
Borrado accidental de
la informacin del
externo
de trabajo
Ingreso de personal
al cuarto de cmputo
Ingreso de personal
al cmputo
Acceso a la
informacin del
no autorizado
Abuso de derechos
Ingreso de personal
al cuarto de cmputo
control
control

realizar
cuarto de cmputo
Falta de control de
cmputo
Falta de personal
las funciones
Impacto
Dao del servidor.
videovigilancia del
Data Center
Error en la grabacin
del video en el
servidor.

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD Rt
AC AI AD
1
Prdida de los datos

de video del servidor

en el servidor
control
cuarto de cmputo
Dao del servidor.

videovigilancia del
Data Center
Falta de mecanismos
de autenticacin para
ingreso a la
control
informacin de las
cmaras
asignacin de
control
al cuarto de cmputo
Prdida de
confidencialidad,
integridad y
videos del Data Center
Dao del servidor.
videovigilancia en Data
Center
238

Tipo de
Amenaza
Amenaza
Abuso de derechos
Ocupacin
enemiga
Deficiencia en la
organizacin
Extorsin
Descripcin de la
Amenaza
Ingreso a la
informacin del
no autorizado
Prdida de control
sobre el manejo del
sistema de
Videovigilancia
calificado o nocivo
control
Center
control

control
de Videovigilancia

Grado de
Impacto
Riesgo
Afectacin
Prob
% % %
IC II ID It
RC RI RD Rt
AC AI AD
Vulnerabilidad
Impacto
asignacin de
privilegios para acceso
al servidor
Falta de
procedimientos de
invasin
verificacin de
antecedentes en la
contratacin de
personal
Prdida de la
confidencialidad e
de videovigilancia
Posible falla del

servidor y del sistema
de videovigilancia
Posible del servidor.

Center
Posible del servidor.

Center
Falta de
procedimientos de
contingencia
239
240
3.3.3 EVALUACIN DEL RIESGO
El anlisis determina impactos y riesgos. Los impactos reflejan el dao absoluto,

en tanto que los riesgos reflejan un dao probable. Los dos criterios son
importantes en s mismos, por lo cual stos no sern excluyentes. [57]
La evaluacin del riesgo utiliza la estimacin del impacto y la estimacin del

riesgo dentro de su anlisis. Se considera la valoracin en cada requerimiento de
seguridad (IC, II, ID, RC, RI, RD), para abarcar el mayor nmero de incidentes
posibles, debido a que los activos son afectados de diferente forma en sus
dimensiones de confidencialidad, integridad y disponibilidad. Los valores de
impacto y riesgo totales solo son tomados como una referencia global.
Despus de la identificacin y valoracin de riesgos de informacin, se definen

niveles de impacto y riesgo para su evaluacin. Se determinan dos niveles:
Aceptable: El nivel de riesgo es bajo o despreciable y no es necesario
establecer salvaguardas adicionales, aunque se mantiene monitorizacin
continua y revisin peridica de los riesgos.
Inaceptable: El nivel de riesgo es medio o alto, por lo cual se deben asumir

opciones de mitigacin para el tratamiento del riesgo.
El criterio de aceptacin y evaluacin del riesgo se encuentra definido en la Tabla

3.20.
3.3.3.1 Evaluacin del Riesgo de los Subsistemas del Data Center
3.3.3.1.1 Evaluacin de los Activos de Documentacin
Los activos de informacin son documentos que estn soportados en medios

fsicos o digitales.
241
Los backups de informacin, que se encuentran almacenados en cinta o en

medios de almacenamiento externo; y los equipos destinados para las jefaturas y
los administradores, tienen impactos y riesgos altos, debido a la importancia de la
informacin contenida. Se mencionan algunas probables amenazas: incorrecto
manejo, ya sea de forma accidental o deliberada, ingreso de personal no
autorizado a la documentacin, ingeniera social, modificacin o eliminacin
indiscriminada de archivos.
En cuanto a registros, contratos, manuales, etc. se tienen niveles de impacto y

riesgo bajo, ya que en algunos casos la informacin es pblica y en otros su
validez se obtiene por el aval del Departamento Jurdico del ISP.
3.3.3.1.2 Evaluacin de los Activos de Software
El software y aplicaciones existentes dentro del Data Center, tambin estn

propensos a posibles ataques relacionados con la seguridad de la informacin.
Los impactos para los activos de software, en general, varan entre alto y muy
alto, para todas las amenazas a dichos activos.
Se tiene el riesgo ms alto para el sistema operativo usado en los servidores, en

vista de que la informacin destinada para clientes y para el manejo de la red del
Data Center se encuentra soportada en los mismos.
El software utilizado para el monitoreo de los diferentes subsistemas; los servicios

de correo, antivirus, help desk, firewall; y los ACS como TACACS+, LDAP, Active
Directory, etc., tienen riesgos altos y moderados, segn la afectacin al flujo
normal de la informacin. Se observan las siguientes amenazas para dichos
activos de software: avera lgica e incorrecto uso del software; mala
configuracin; problemas de actualizacin y deficiente mantenimiento; denegacin
de servicios ocasionados por ataques internos, externos o por agotamiento de
242
recursos; suplantacin de identidad; ingeniera social; abuso de derechos y

escuchas no autorizadas.
La mensajera instantnea y el sistema operativo de las estaciones de trabajo
tienen amenazas similares; sin embargo, la valoracin es baja, porque no afecta
al desempeo de los servicios ofrecidos.
3.3.3.1.3 Evaluacin del Sistema de Telecomunicaciones
El Sistema de Telecomunicaciones es uno de los ms crticos en del Data Center,

debido a que es el encargado directo del soporte de los servicios ofrecidos.
Se puede observar que todos los activos, a excepcin del router de monitoreo que
utiliza el ISP, los switches destinados a servicios generales y el servidor DNS,
tienen valoraciones altas en lo que concierne a confidencialidad, integridad,
disponibilidad y costo del activo.
Todos los activos del sistema de telecomunicaciones estn sujetos a similares

amenazas, que podran ocasionar daos en el manejo la informacin.
Los tipos de amenazas ms frecuentes en este sistema son los realizados por el
factor humano, ya sean de manera accidental o deliberada.
Los equipos de core y de distribucin muestran los ms altos niveles de impacto y

riesgo, debido que manejan toda la informacin y servicios del Data Center. Se
mencionan las siguientes amenazas: fallas en el mantenimiento de los equipos, a
nivel lgico o fsico; saturacin de los sistemas de informacin, ocasionada por
errores de dimensionamiento en el diseo de servicios o por ataques de
denegacin de servicios.
La activacin innecesaria de puertos podra conllevar a un ataque que pondra en

riesgo el flujo correcto de la informacin. El Firewall se encargar de bloquear
243
puertos y verificar toda la informacin entrante y saliente del Data Center; por lo
que debe tener reglas claras sobre los puertos permitidos.
La informacin transmitida en el Data Center es susceptible de espionaje interno y

externo, perjudicando la confidencialidad de la informacin, ya que no existen
controles relacionados al uso de sniffers y a la falta de mtodos criptogrficos que
aseguren dicha informacin.
La fuga de informacin, suplantacin de identidad, abuso de derechos, ingeniera

social, modificacin de configuracin de los equipos de manera deliberada, son
las amenazas que tienen los ms altos niveles de impacto y riesgo, por lo que es
imperioso capacitar al personal en temas y polticas de seguridad.
El cableado horizontal y backbone puede sufrir las siguientes amenazas: cortes

de cableado, incorrecto manejo y deficiente mantenimiento, lo que ocasionara un
alto impacto; no obstante, debido al cumplimiento de las normas TIA/EIA-568,
569, 606, 607, etc., se registra un riesgo moderado.
3.3.3.1.4 Evaluacin del Sistema Elctrico
Los elementos del sistema elctrico no contienen ninguna informacin, siendo su

funcin de soporte, por lo que la mayora de las amenazas solo afectan a su
disponibilidad.
Activos de gran valor para el Data Center son: el sistema generador, la

subestacin de energa de la EEQ, los ATSs, protecciones principales y los
suministros elctricos que sirven al rea de TI, debido a que constituyen un
soporte funcional para la entrega de servicios.
Se consideran como amenazas con un alto ndice de impacto a: fenmenos

ssmicos, daos de tipo industrial, fallas tcnicas y amenazas de tipo humano. El
ingreso de personal no autorizado y la falta de control de sus actividades puede
244
ser causa de daos y desconexiones en el equipamiento. La contratacin de

personal nocivo o casos de extorsin a funcionarios de alto rango pueden generar
daos de alto impacto.
El generador puede ser afectado por la cada de ceniza volcnica, cuando no
existan los filtros necesarios, o por incendios originados en el rea de tanques de
combustible.
Los tableros y ATSs principales presentan impactos moderados, ya que su

acceso es ms limitado y se encuentra en los interiores del Data Center.
A pesar de la criticidad de los impactos descritos, stos son poco probables

debido a la existencia del sistema de control de acceso y videovigilancia
implementado en el diseo del Data Center.
Los riesgos ms probables son: errores de mantenimiento, que pueden inutilizar

la redundancia y causar la prdida total del sistema; tambin la fuga de
informacin e ingeniera social, que permite la revelacin de informacin
clasificada a personal externo, comprometiendo la confidencialidad del sistema.
Los switches de transferencia, protecciones, tableros de los sistemas de

climatizacin y servicios generales tienen impactos y riesgos bajos, debido a que
no afectan la totalidad del Data Center y la entrega de servicios.
3.3.3.1.5 Evaluacin del Sistema Mecnico
El sistema mecnico es el encargado proporcionar la temperatura y humedad

adecuadas a los equipos de red dentro del Data Center, adems de ayudar a
mantener en perfecto estado el almacenamiento backup en cintas.
Existen, como elementos de vital importancia las UMAs y los Chillers, en vista de
que estos elementos se relacionan directamente con el control de temperatura y
245
humedad. Se determina que los impactos en estos dos equipos son altos, para
todas las amenazas.
Los riesgos ms importantes para estos equipos son los siguientes: intromisin de
personal no autorizado al rea que aloja a estos equipos, que puede representar
daos fsicos en los mismos; falta de experiencia y capacitacin en mantenimiento
por parte del personal interno; abuso de derechos del personal interno autorizado
para el manejo de dichos equipos, que suponen peligros para la disponibilidad del
servicio entregado por el sistema; fuga de informacin relacionada con el
funcionamiento de las operaciones internas y el manejo de equipos mecnicos.
Las vlvulas selectoras de sistema tienen un impacto alto, ya que su mal

funcionamiento
podra
provocar
sobreenfriamiento
en
los
equipos,
desencadenando un efecto de roco sobre los equipos de red, que daara a los
mismos. Adems, no se activara el sistema de respaldo, ocasionando la prdida
total de este servicio. Las vlvulas funcionan elctricamente y manualmente,
circunstancia que disminuye la probabilidad de una catstrofe, por lo cual se
califica su riesgo como moderado.
Las vlvulas selectoras de bombas, reguladoras de flujo y bombas centrfugas,

tienen impactos y riesgos bajos y muy bajos, debido una suficiente redundancia.
Estos elementos son susceptibles de ser atacadas por similares amenazas que
afectan a las UMAs y Chillers.
Finalmente, los filtros separadores de aire y los tanques de expansin tienen

valoraciones muy bajas en impactos y riesgos, porque un dao en estos equipos
no lograra dejar sin servicio al Data Center, y sus efectos se mostraran despus
de un largo periodo de tiempo.
3.3.3.1.6 Evaluacin del Sistema Contra Incendios
246
El sistema de deteccin y extincin de incendios funciona como un sistema de

apoyo y vela por la disponibilidad del equipo informtico en casos de incendio.
Los puntos de falla de mayor criticidad existentes se encuentran en los paneles de

control principal y de extincin, debiendo mencionarse tambin a los tanques de
gas, por su costo elevado y carencia de protecciones.
Entre los incidentes de disponibilidad con grado alto y muy alto se mencionan:
fallas de la estructura arquitectnica, daos fsicos en los paneles por impericia de
personal o por accin deliberada, desconexin de equipos e insuficiente
mantenimiento. La fuga de la informacin, de forma involuntaria o por medio de
ingeniera social concerniente al funcionamiento del sistema es crtica y bastante
probable en el factor de confidencialidad.
La carencia de personal podra ser crtica ante la eventualidad de incendios, ya

que la operacin de activacin o aborto del sistema extintor necesita de personal
tanto en el sitio, como en el rea de monitoreo.
Los mdulos de inyeccin de gas conectados a los tanques, si bien son

indispensables para la emisin de gas, poseen impactos moderados en razn de
su bajo costo.
Los detectores del Cuarto de Cmputo y paneles de aspiracin presentan

incidentes de ndice moderado, entre los cuales se pueden identificar: la falta de
mantenimiento de las tuberas y sensores, posibles errores de ejecucin y acceso
no autorizado al Cuarto de Cmputo, adems de posibles modificaciones en la
configuracin del panel.
Se debe prestar atencin al uso de los botones de accin o aborto de gas, ya que
su mala utilizacin o destruccin puede ocasionar un gasto innecesario del agente
gaseoso, pues el relleno de los tanques representa una prdida moderada de
dinero.
247
El cableado de sealizacin del subsistema, si bien se encuentra protegido y tiene

notificacin en caso de ruptura, no es redundante y su dao ocasionara la
prdida de gestin de los elementos que se encuentren en el lazo de
comunicaciones, razn por la cual tiene un grado de impacto medio.
Los detectores, sirenas y extintores manuales que se encuentran en las distintas

reas del cuarto de procesamiento de datos, lo mismo que el sistema detector de
temperatura ubicado en el cuarto de combustibles, no tienen impactos
considerables para el desarrollo general del sistema.
A pesar de existir altos impactos en elementos crticos del subsistema, es baja la

probabilidad de ocurrencia de los mismos, porque se cuenta con sistemas de
control. Dentro de los riesgos a considerar, se enumeran los siguientes:
Errores en el mantenimiento de los detectores del Cuarto de Cmputo,

paneles principales y de incendios.
Fallas en la configuracin manual de los paneles principales y de
aspiracin.
Falta de mantenimiento o revisin peridica del estado de los tanques y
mdulos de inyeccin.
Activacin deliberada o involuntaria de la emisin de gas en el Data Center.
Ingreso de personal no autorizado a las reas del Data Center, en las
cuales se puede alterar o destruir el equipamiento.
3.3.3.1.7 Evaluacin del Sistema de Control de Acceso
El sistema de control de acceso tiene vital importancia para la seguridad de la

informacin del Data Center.
El elemento ms importante del sistema es el panel principal de control, el cual

incluye tarjetas controladoras que gestionan cada uno de los dispositivos de
acceso distribuidos en el Data Center. Por esta razn cualquiera de los impactos
248
tienen un carcter crtico. Entre ellos se mencionan a los siguientes: daos

ocasionados al realizar mantenimientos; uso inadecuado; mala gestin del
sistema de bateras, que puede provocar un cortocircuito inhabilitando todo el
sistema de control de acceso; desconexiones o prdida de alimentacin que
bloquear las puertas de forma automtica. La revelacin de informacin sobre el
funcionamiento del sistema puede ser causa de modificaciones perjudiciales o,
incluso, indisponibilidad. Estos impactos tambin poseen gran probabilidad de
ocurrencia, lo que puede derivar en riesgos considerables.
Tanto el mal manejo, como la modificacin del funcionamiento y daos en los

lectores de proximidad y biomtricos del Cuarto de Cmputo, ocasionar como
consecuencia el bloqueo de las puertas de acceso a las reas, en especial al rea
de cuartos elctricos y al cuarto de TI, razn por la cual su impacto se considera
alto. La desconexin de los lectores, por la facilidad que presenta, tiene una
probabilidad media, calificndose como un riesgo moderado.
El cableado de sealizacin y de energa es primordial para el funcionamiento del

sistema. En caso de daos se inhabilitaran los accesos en un rea determinada.
El mal uso de las tarjetas de acceso, as como la falta de normas de seguridad

para su eliminacin, podra ocasionar la prdida de confidencialidad, integridad y
posiblemente de la disponibilidad de los equipos que reposan en cada rea de
acceso.
El sistema trap-door provee seguridad adicional para el ingreso al Cuarto de

Cmputo. Los fallos en este sistema, como destruccin del panel, desconexin o
errores en su mantenimiento, facilitaran el ingreso al rea de TI, comprometiendo
la confidencialidad y disponibilidad de los servicios proporcionados a los clientes.
Las cerraduras y barras de pnico tienen un valor bajo y muy bajo, no

representando de mayor inters al momento de realizar un ataque. No obstante,
el mal funcionamiento de las cerraduras podra bloquear las puertas,
obstaculizando el acceso a distintas reas para la solucin de una incidencia.
249
3.3.3.1.8 Evaluacin del Sistema de Videovigilancia
El sistema de videovigilancia, en conjunto con el control de acceso, provee de

seguridad adicional sobre los recursos del Data Center.
Dentro de este sistema, el elemento ms importante es el servidor de

videovigilancia y cualquier incidente que pueda ocurrir, ya sea de tipo fsico o
lgico, ser grave para el desarrollo funcional del sistema.
Entre los riesgos de mayor probabilidad se puntualizan los siguientes: destruccin

del equipo, por ingreso de personal no autorizado al Cuarto de Cmputo o por
mala manipulacin de personal interno; insuficiente mantenimiento o daos en el
almacenamiento de videos. La carencia de polticas de cifrado facilitara el acceso
a la informacin del servidor para su posible manipulacin o destruccin.
Las cmaras que se encuentran en el interior del Data Center, y en especial las
ubicadas en el rea de TI, poseen impactos y riesgos moderados. Entre ellos se
citan los siguientes: destruccin del equipo, ingreso a la informacin de las
cmaras, fallas en la transmisin de video por una mala configuracin.
Las cmaras exteriores o perimetrales son ms robustas y se encuentran en

reas de difcil acceso, por lo cual los ataques de tipo fsico resultan menos
probables. Por lo dems, su fallo no significa una gran prdida, debido a que se
tiene un sistema de guardiana 24/7.
250
CAPTULO 4
POLTICAS Y CONTROLES DE SEGURIDAD DE LA
INFORMACIN PARA UN DATA CENTER TIER III DE UN
ISP MODELO DE QUITO
4
4.1 TRATAMIENTO DEL RIESGO DE LA SEGURIDAD DE LA

INFORMACIN [55]
4.1.1 OPCIONES PARA EL TRATAMIENTO DEL RIESGO
Una vez finalizada la evaluacin del riesgo, deben tratarse los riesgos e impactos
conforme a los criterios de aceptacin del riesgo propuestos por la organizacin.
La Figura 4.1 muestra el proceso de tratamiento de riesgo.
Existen cuatro opciones para el tratamiento del riesgo: reduccin del riesgo,
aceptacin (retencin) del riesgo, evitacin del riesgo y transferencia del riesgo.
Las opciones de tratamiento no tienen criterios absolutos, ni son excluyentes

entre s, pudiendo concatenarse o combinarse para abordar a ms de un riesgo.
El plan de tratamiento del riesgo tomar en cuenta la Tabla 3.20 de Criterios de
Aceptacin del Riesgo.
A continuacin se describen las cuatro opciones de tratamiento del riesgo.
4.1.1.1 Reducir del Riesgo
Cuando el nivel de impacto o riesgo es superior al criterio de aceptacin se deben

seleccionar controles apropiados, con el fin de disminuir el riesgo hasta un nivel
adecuado. Los controles deben basarse en la priorizacin de los riesgos, los
251
requerimientos regulatorios y de ley, aspectos tcnicos, econmicos y plazos para

su implementacin.
Dentro de los tipos de controles, se tienen los siguientes: correccin, prevencin,

minimizacin del impacto, disuasin, deteccin, recuperacin, monitoreo y toma
de conciencia.
No siempre los controles seleccionados pueden ser aplicables. Existen ciertas

restricciones en algunos campos que pueden afectarlos, como restricciones
tcnicas, de tiempo, financieras, operativas, legales, de facilidad de uso, de
personal, etc.
4.1.1.2 Aceptar (Retener) el Riesgo
Si el nivel de riesgo, producto de la evaluacin de riesgos, satisface los criterios

para su aceptacin, no es necesario implementar controles adicionales y el riesgo
se lo puede retener. Sin embargo, estos riesgos deben ser monitoreados
continuamente y revisados en forma peridicamente, con el fin de responder
rpidamente al cambio de sus niveles.
4.1.1.3 Evitar el Riesgo
Existen riesgos que son demasiado altos, o el costo que implica tratar dicho
riesgo sobrepasa los beneficios que se obtendran. En este caso se opta por la
decisin de evitar por completo el riesgo, mediante el retiro de una actividad o
conjunto de actividades planificadas o existentes; tambin se pueden cambiar las
condiciones bajo las cuales la actividad opera.
4.1.1.4 Transferir el Riesgo
Algunos riesgos se los puede transferir o compartir con entidades externas que
puedan manejarlos de forma ms eficiente. La transferencia puede generar
252
riesgos adicionales o modificar los ya existentes. Por consiguiente, se debe

realizar una nueva iteracin en el tratamiento de riesgos.
La transferencia puede ser realizada mediante seguros que darn soporte a las
consecuencias o subcontrataciones de un asociado, cuya funcin ser monitorear
el sistema de informacin y tomar medidas inmediatas para detener un ataque
antes de que ste produzca un nivel definido de dao.
Cabe recalcar que se puede transferir la responsabilidad para el tratamiento del

riesgo, pero no se puede transferir la responsabilidad del impacto. Los clientes
que fueren afectados por eventos adversos atribuirn estas fallas a la
organizacin.
253
Resultados de la
Evaluacin del
Riesgo
Establecimiento
del Contexto
No
Valoracin
Satisfactoria
Si
Opciones del
Tratamiento del Riesgo
Reducir el
Riesgo
Aceptar el
Riesgo
Evitar el
Riesgo
Transferir
el Riesgo
Riesgo
Residual
Tratamiento
satisfactorio
No
Si
Aceptacin del
Riesgo
Figura 4.1: Actividades del tratamiento del riesgo [55]
4.1.2 SELECCIN DE OBJETIVOS DE CONTROL Y CONTROLES
Una vez concluida la Evaluacin de Riesgos se verifica el nivel de impacto y

riesgos que poseen los activos y la opcin de tratamiento adecuado para
mitigarlos.
Los riesgos bajos y muy bajos sern excluidos del tratamiento de riesgos debido a
que no generan impactos negativos en la Organizacin y son considerados
Aceptables.
254
Los riesgos inaceptables o con niveles moderados, altos y muy altos, estarn
sujetos a las opciones de tratamiento de riesgos de reduccin, evitacin y
transferencia.
La mayora de amenazas pueden ser tratadas mediante la reduccin de sus

niveles de riesgo, para lo cual se seleccionarn los objetivos de control y controles
dispuestos en la norma ISO/IEC 27001.
Se optar por la transferencia o evitacin del riesgo en los casos de amenazas

provocadas por entidades externas como contratistas, proveedores, clientes, etc.
Muchas amenazas pueden ser solventadas aplicando el mismo control y una

amenaza puede requerir varios controles diferentes para su mitigacin.
En la Tabla 4.1 se identifican los controles seleccionados para los distintos tipos
de amenazas encontrados en el Data Center. En la Tabla 4.2 se presentan los
controles que se aplican a nivel general para todo el Data Center.
SELECCIN DE OBJETIVOS DE CONTROL Y CONTROLES

Accin
Objetivos de Control
A.6.2
Fuego / dao por

agua / cortocircuito
/ destruccin de
los equipos
ocasionado por
personal interno o
externo de forma
accidental o
intencional
Reducir el riesgo
Fuego / explosin / dao por agua / cortocircuito / destruccin de los equipos
Dao Fsico
Amenazas
Entidades externas
Controles
A.6.2.1
Identificacin de riesgos relacionados con entidades

externas
A.6.2.2
Tratamiento de la seguridad cuando se trabaja con clientes
A.6.2.3
Tratamiento de la seguridad en contratos con terceras

personas
A.7.1.3
Uso aceptable de los activos
A.8.1.2
Seleccin
A.8.1.3
Trminos y condiciones de empleo
A.7.1
Responsabilidad por los activos
A.8.1
Antes del empleo
A.8.2
Durante el empleo
A.8.2.2
Capacitacin y educacin en seguridad de la informacin
A.8.3
Terminacin o cambio del empleo
A.8.3.3
Eliminacin de derechos de acceso
A.9.1.1
Permetro de seguridad fsica
A.9.1.2
Controles de entrada fsicos
A.9.1.3
Seguridad de oficinas, habitaciones y medios
A.9.1.4
Proteccin contra amenazas externas y ambientales
A.9.1.5
Trabajo en reas seguras
A.9.2.1
Ubicacin y proteccin del equipo
A.9.2.4
Mantenimiento de equipo
A.9.2.5
Seguridad del equipo fuera del local
A.9.2.7
Traslado de propiedad
A.9.1
A.9.2
reas seguras
Seguridad del equipo
A.10.5
Respaldo (back-up)
A.10.5.1
Back-up o respaldo de la informacin
A.10.8
Intercambio de informacin
A.10.8.3
Medios fsicos en trnsito
A.10.10 Monitoreo
A.10.10.4 Registros del administrador y operador
A.11.5
A.11.5.2
Control de acceso al sistema de operacin
Identificacin y autenticacin del usuario
Prevencin del mal uso de medios de procesamiento de

informacin
Tabla 4.1: Objetivos de Control y Controles seleccionados para las distintas amenazas (Pgina 1 de 29)
A.15.1
Cumplimiento con requerimientos legales
A.15.1.5
255
Descargas
elctricas sobre
los equipos
Abastecimiento de
agua fra (aire
acondicionado)
Reducir el
riesgo
Reducir el riesgo
Capas de ceniza
en los
mecanismos de
los equipos
Reducir el
riesgo
Transferir el
riesgo
Colapso de las
instalaciones del
Data Center.
Reducir el
riesgo
Suciedad o polvo
que afecta el
funcionamiento
Accin
Reducir el
riesgo
Polvo /
Suciedad
Fenmeno
ssmico
Fenmeno
Fenmeno
meteorolgico volcnico
Prdida de Servicios
Esenciales
Fallo del sistema de
climatizacin
Desastres Naturales
Dao Fsico
Amenazas
A.9.1
reas seguras
A.9.2
Controles
A.9.1.4
A.9.2.1
A.9.2.4
A.9.1.3
A.9.1.4
A.9.1
reas seguras
A.9.2
A.9.2.1
A.10.5
Respaldo (back-up)
A.10.5.1
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.1
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.1
A.10.5
Respaldo (back-up)
A.10.5.1
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.2
Servicios pblicos
A.9.2.4
Gestin de la entrega del servicio de

terceros
A.10.2.1
Entrega del servicio
A.10.2
A.10.2.2
Monitoreo y revisin de los servicios de terceros
A.10.3 Planeacin y aceptacin del sistema

A.10.3.1 Gestin de capacidad
256
Corte del cableado

estructurado y de
transmisin de
seales para
elementos de
control
Falla de
redundancias
Reducir el Riesgo
Reducir el riesgo
Transferir el riesgo
Prdida de la
alimentacin
elctrica en el
Data Center
Accin
Reducir el riesgo
Fallo en los servicios de

comunicaciones
Interrupcin de
suministros
Interrupcin de
Amenazas
A.9.1
reas seguras
A.9.2
A.10.2

terceros
Controles
A.9.1.4
A.9.2.2
Servicios pblicos
A.9.2.4
A.10.2.1
A.10.2.2
A.10.3
Planeacin y aceptacin del sistema
A.10.3.1
Gestin de capacidad
A.9.1
reas seguras
A.9.1.3
A.9.2.1
A.9.2.2
Servicios pblicos
A.9.2.3
Seguridad en el cableado
A.9.2.4
A.10.6.1
Controles de red
A.9.2
A.10.6
Gestin de seguridad de redes
A.10.6.2
Seguridad de los servicios de red
A.11.4
Control de acceso a redes
A.11.4.1
Poltica sobre el uso de servicios en red
A.15.1
A.15.1.5

informacin
A.7.1
A.7.1.1
Inventarios de activos
A.7.2
Clasificacin de la informacin
A.7.2.2
Etiquetado y manejo de la informacin
A.10.3
A.10.3.1
Gestin de capacidad
A.10.5
Respaldo (back-up)
A.10.5.1
A.10.6 Gestin de seguridad de redes

A.10.6.2 Seguridad de los servicios de red
257
Agotamiento de
licenciamiento del
software
Reducir el
riesgo
Dao del disco de

almacenamiento
A.10.3
A.10.3.1
Gestin de capacidad
Reducir el
riesgo
Agotamiento de
capacidad del
storage
A.9.2.4
A.9.2
A.9.2.4
A.10.3
A.10.3.1
Gestin de capacidad
Reducir el
riesgo
Agotamiento de
gas extintor
Controles
A.9.2
A.9.2.4
A.10.2

terceros
A.10.2.3
Manejar los cambios en los servicios de terceros
A.10.3
A.10.3.1
Gestin de capacidad
A.9.2
A.9.2.4
A.10.2.3
A.10.3

terceros
A.10.3.1
Gestin de capacidad
A.10.6
A.10.6.2
A.9.2
A.9.2.4
A.10.3
A.10.3.1
Gestin de capacidad
A.10.5
Respaldo (back-up)
A.10.5.1
A.7.1

terceros
A.7.1.1
A.10.2.3
A.10.3.1
Gestin de capacidad
Reducir el
riesgo
Agotamiento de
combustible en los
tanques de
almacenamiento
A.9.2
Reducir el
riesgo
Agotamiento de
aceite para el
funcionamiento del
generador
Accin
Reducir el
riesgo
Interrupcin de suministros
Amenazas
A.10.2
A.10.2
A.10.3
A.15.1 Cumplimiento con requerimientos legales

A.15.1.2 Derechos de propiedad intelectual (IPR)
258
Reducir el riesgo
Acceso a la
informacin de
equipos, software
y documentacin
Accin
Ingeniera social
Persuasin para
uso de
mecanismos de
acceso por
personal no
autorizado
Controles
A.6.1
Organizacin interna
A.6.1.5
Acuerdos de confidencialidad
A.6.2
Entidades externas
A.6.2.3

personas
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.10.7
Gestin de medios
A.10.7.1
Gestin de los medios removibles
A.10.7.3
Procedimientos de manejo de la informacin.
A.10.8.1
Procedimientos y polticas de informacin y software
A.10.8.2
Acuerdos de intercambio
A.10.8
A.11.3
Responsabilidades del usuario
A.11.3.1
Uso de clave
A.11.6
Control de acceso a la aplicacin e

informacin
A.11.6.1
Restriccin al acceso a la informacin
A.12.5
Seguridad en los procesos de desarrollo y

soporte
A.12.5.4
Filtracin de informacin
A.6.2.1

externas
A.6.2.3

personas
A.6.2
Reducir el riesgo
Amenazas
Entidades externas
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.3
A.10.7
Gestin de medios
A.10.7.3
A.10.8
A.10.8.1
A.11.4
A.11.4.5
Segregacin en redes

A.12.5
A.12.5.4 Filtracin de informacin
soporte
259
Utilizacin de
medios para
ingreso no
autorizado a la
informacin
Reducir el riesgo
Evitar el riesgo
Divulgacin o fuga
de informacin
confidencial
Accin
Reducir el riesgo
Evitar el riesgo
Divulgacin de la informacin
Recuperacin de
medios descartados
Amenazas
A.6.1
Organizacin interna
A.6.2
Entidades externas
Controles
A.6.1.5
A.6.2.2
A.6.2.3

personas
A.7.2
A.7.2.2
A.8.2
Durante el empleo
A.8.2.2
A.10.7
Gestin de medios
A.10.7.1
A.10.8.1
A.10.8.2
A.10.8.4
Mensajes electrnicos
A.11.3.1
Uso de clave
A.10.8
A.11.3
A.11.3.3
Poltica de pantalla y escritorio limpio
A.11.6

informacin
A.11.6.1
A.12.2
Procesamiento correcto en las aplicaciones
A.12.2.3
Integridad del mensaje
A.12.5

soporte
A.12.5.4
A.15.1
A.15.1.4
Proteccin de data y privacidad de informacin personal
A.8.3
A.8.3.2
Devolucin de activos
A.8.3.3
A.9.2
A.9.2.6
Eliminacin segura o re-uso del equipo
A.10.7
Gestin de medios
A.10.7.2
Eliminacin de medios
A.12.3
Controles criptogrficos
A.12.3.1
Poltica sobre el uso de controles criptogrficos

A.15.1.6 Regulacin de controles criptogrficos
260

Amenazas
Accin
Puertas traseras o
puertos por
defecto habilitados
Reducir el riesgo
Evitar el riesgo
Vulnerabilidades de los programas (software)
A.10.6
A.11.4
Reducir el riesgo
Evitar el riesgo
A.10.4.1
Controles contra software malicioso
A.10.6.1
Controles de red
A.10.6.2
A.11.4.2
Autenticacin del usuario para conexiones externas
A.11.4.4
Proteccin del puerto de diagnstico remoto
A.11.4.6
Control de conexin de redes
A.11.4.7
Control de routing de redes
Computacin mvil y tele-trabajo
A.11.7.2
Tele-trabajo
A.12.2
A.12.2.2
Control de procesamiento interno
A.12.4
Seguridad de los archivos del sistema
A.12.4.1
Control de software operacional
A.12.4.3
Control de acceso al cdigo fuente del programa

soporte
A.12.5.4
A.12.5
A.12.5.5
Desarrollo de outsourced software
A.6.1.5
A.6.2.1

externas
A.6.2.3

personas
A.8.1.2
Seleccin
A.8.1.3
A.6.2
Intercepcin no
autorizada de
informacin por
parte de personal
interno o externo
Controles
A.11.7
A.6.1
Escucha no autorizada
A.10.4
Proteccin contra software malicioso y
cdigo mvil
Organizacin interna
Entidades externas
A.8.1
Antes del empleo
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.3
A.10.6.1
Controles de red
A.10.6
261


Amenazas
Accin
Robo de la
configuracin de
equipamiento o
informacin del
Data Center
Reducir el riesgo
Evitar el riesgo
Intercepcin no
autorizada de
informacin por
parte de personal
interno o externo
Reducir el riesgo
Evitar el riesgo
Robo de informacin
Escucha no autorizada
A.10.8
A.11.4
Controles
A.10.8.1
A.11.4.1
A.11.4.2
A.11.4.7
A.12.3.1
A.12.3
A.12.3.2
Gestin de claves
A.12.5

soporte
A.12.5.4
A.15.1
A.15.1.6
Regulacin de controles criptogrficos
A.6.1
Organizacin interna
A.6.1.5
A.6.2.2
A.6.2
Entidades externas
A.6.2.3

personas
A.8.1.2
Seleccin
A.8.1
Antes del empleo
A.8.1.3
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.2
A.9.2.5
A.9.2.6
A.9.2.7
A.10.7.1
A.10.7.2
Eliminacin de medios
A.10.7.4
Seguridad de documentacin del sistema
A.9.2
A.10.7
Gestin de medios
A.10.8 Intercambio de informacin

A.10.8.2 Acuerdos de intercambio
262

Amenazas
Accin
A.10.8
A.10.8.3
Medios fsicos en trnsito
A.11.1
Requerimiento comercial para el control del

acceso
A.11.1.1
Poltica de control de acceso
A.11.2.1
Inscripcin del usuario
A.11.2.2
Gestin de privilegios
A.11.2.3
Gestin de la clave del usuario
A.11.2.4
Revisin de los derechos de acceso del usuario
A.11.3.1
Uso de clave
A.11.3.2
Equipo de usuario desatendido
Robo de informacin
Reducir el riesgo
Evitar el riesgo
Reducir el riesgo
Robo de tarjetas
para ingresos no
autorizados
Gestin del acceso del usuario
A.11.3
A.11.4
A.11.4.6
A.11.5
A.11.5.5
Sesin inactiva
A.12.3
A.12.3.1
A.12.3.2
Gestin de claves
A.15.1.3
Proteccin de los registros organizacionales
A.15.1.4
A.15.1.6
A.15.1
Robo de equipos
A.11.2
Robo de la
configuracin de
equipamiento o
informacin del
Data Center
Controles
A.7.1
A.7.1.1
A.8.1
Antes del empleo
A.8.1.2
Seleccin
A.9.1
reas seguras
A.9.1.2
A.9.2.1
A.9.2
A.9.2.5
A.9.2.7
A.10.8 Intercambio de informacin

A.10.8.3 Medios fsicos en trnsito
263
Acceso a la
informacin
confidencial por
personal no
autorizado
Reducir el riesgo
Evitar el riesgo
Intercepcin de
seal de red
inalmbrica por
personal interno o
externo
Accin
Reducir el riesgo
Evitar el riesgo
Intercepcin de seal de red inalmbrica

Espionaje
Amenazas
Controles
A.6.1
Organizacin interna
A.6.1.5
A.6.2
Entidades externas
A.6.2.1

externas
A.8.1
Antes del empleo
A.8.1.2
Seleccin
A.8.1.3
A.9.1
reas seguras
A.9.1.4
A.10.6
A.10.6.1
Controles de red
A.10.6.2
A.11.4
A.11.4.1
A.11.4.5
Segregacin en redes
A.11.6

informacin
A.11.6.2
Aislamiento del sistema sensible
A.11.7
A.11.7.1
Computacin mvil y comunicaciones
A.12.3.1
A.12.3.2
Gestin de claves
A.12.3
A.12.5

soporte
A.12.5.4
A.15.1
A.15.1.6
A.6.1
Organizacin interna
A.6.1.5
A.8.2
Durante el empleo
A.8.2.2
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.2
A.10.7
Gestin de medios
A.10.7.3
A.10.8.1
A.10.8
A.10.8.2
264
A.10.8.4 Mensajes electrnicos


Reducir el riesgo
Evitar el riesgo
Sniffers ocultos en
el Data Center
Controles
A.11.1

acceso
A.11.1.1
A.11.3
A.11.3.3
A.11.5
A.11.5.1
Procedimientos de registro en el terminal
A.11.6

informacin
A.11.6.2
A.12.3
A.12.3.1
A.12.3.2
Gestin de claves
A.12.4
A.12.4.2
Proteccin de la data de prueba del sistema
A.15.1.3
A.15.1.4
A.15.1.6
A.15.1
Espionaje
Acceso a la
informacin
confidencial por
personal no
autorizado
Accin
Reducir el riesgo
Evitar el riesgo
Amenazas
A.6.1
Organizacin interna
A.6.1.5
A.8.1
Antes del empleo
A.8.1.2
Seleccin
A.9.1
reas seguras
A.9.1.5
A.9.2
A.9.2.3
A.10.6
A.10.6.1
Controles de red
A.10.6.2
A.10.8
A.10.8.4
A.11.4
A.11.4.1
A.11.4.6
A.11.7
A.11.7.1
A.12.3
A.12.3.1
A.12.3.2
Gestin de claves

A.12.5.4 Filtracin de informacin
soporte
A.12.5
265
Respuesta
inadecuada en el
funcionamiento
normal del equipo
Mala realizacin
del mantenimiento
del equipo por
impericia del
personal
Reducir el riesgo
Reducir el riesgo
Avera fsica del

equipo
Accin
Reducir el riesgo
Funcionamiento
defectuoso
Errores de mantenimiento
Fallas Tcnicas
Fallo del equipo
Amenazas
Controles
A.9.1
reas seguras
A.9.1.4
A.9.2
A.9.2.4
A.10.2

terceros
A.10.2.1
A.10.3
A.10.3.2
Aceptacin del sistema
A.10.5
Respaldo (back-up)
A.10.5.1
A.11.4
A.11.4.3
Identificacin del equipo en red
A.12.5

soporte
A.12.5.1
Procedimientos de control de cambio
A.9.2.1
A.9.2

A.9.2.4
A.10.5
Respaldo (back-up)
A.10.5.1
A.6.2
Entidades externas
A.6.2.3

personas
A.7.1
A.7.1.3
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1.5
A.9.1
reas seguras
A.9.1.6
reas de acceso pblico, entrega y carga
A.9.2.4
A.9.2
Procedimientos y responsabilidades
A.10.1.2 Gestin de cambio
operacionales
A.10.1
266
Errores de mantenimiento
Fallas Tcnicas
Mala realizacin
de actualizacin
de software por
impericia del
personal
Reducir el riesgo
Mala realizacin
del mantenimiento
del equipo por
impericia del
personal
Accin
Reducir el riesgo
Amenazas
Controles
A.10.1
operacionales
A.10.1.4
Separacin de los medios de desarrollo y operacionales
A.10.2

terceros
A.10.2.2
A.10.3
A.10.3.2
A.11.2
A.11.2.1
A.12.5

soporte
A.12.5.1
A.6.2
Entidades externas
A.6.2.3

personas
A.7.1
A.7.1.3
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.9.1.6
A.9.2
A.9.2.4
operacionales
A.10.1.2
Gestin de cambio
A.10.1
A.10.1.4
A.10.2

terceros
A.10.2.2
A.10.3
A.10.3.2
A.10.4

cdigo mvil
A.10.4.2
Controles contra cdigos mviles
A.11.2
A.11.2.1
267
A.11.5 Control de acceso al sistema de operacin

A.11.5.2 Identificacin y autenticacin del usuario
Cada del sistema

por agotamiento
de recursos
Denegacin de
servicio por
personal interno o
externo
Reducir el riesgo
Reducir el riesgo
Mala realizacin
de actualizacin
de software por
impericia del
personal
Accin
Reducir el riesgo
Saturacin del sistema de informacin
Fallas Tcnicas
Errores de
mantenimiento
Amenazas
Controles
A.11.5
A.11.5.3
Sistema de gestin de claves
A.12.4
A.12.4.1
A.12.5.1
A.12.5.2
Revisin tcnica de las aplicaciones despus de cambios

en el sistema operativo
A.12.5.3
Restricciones sobre los cambios en los paquetes de

software
A.12.5

soporte
A.9.2
A.9.2.4
A.10.2

terceros
A.10.2.3
A.10.3
A.10.3.1
Gestin de capacidad
A.6.2
Entidades externas
A.6.2.1

externas
A.7.1
A.7.1.3
A.8.1
Antes del empleo
A.8.1.3
A.10.4

cdigo mvil
A.10.4.1
A.10.6
A.10.6.1
Controles de red
A.10.6.2
A.11.4
A.11.4.1
A.11.5
A.11.5.6
Limitacin de tiempo de conexin
A.12.2
A.12.2.1
Validacin de data de insumo
268

Accin
Activacin manual
del generador en
simultaneidad con
la lnea principal
de distribucin
Activacin
deliberada de los
mdulos de
inyeccin de los
tanques de gas
Reducir el riesgo
Evitar el riesgo
Degradacin de la
documentacin
por el paso del
tiempo
Reducir el riesgo
A.9.2
Reducir el riesgo
Degradacin de los soportes

de almacenamiento
Uso no autorizado de equipos
Fallas Tcnicas
Amenazas
A.10.10 Monitoreo
Controles
A.9.2.1
A.9.2.4
A.10.10.3 Proteccin de la informacin del registro
A.11.6

informacin
A.11.6.2
A.12.2
A.12.2.4
Validacin de data de output
A.15.1
A.15.1.3
A.8.1
Antes del empleo
A.8.1.3
A.9.1
reas seguras
A.9.1.2
A.9.1.3
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5

informacin
A.8.1
Antes del empleo
A.8.1.3
A.9.1
reas seguras
A.9.1.2
A.9.1.3
A.9.2
A.9.2.1
A.10.10 Monitoreo

informacin
A.15.1
A.15.1.5
269
Manipulacin de
los registros de
actividad (logs)
Reducir el riesgo
Reducir el riesgo
Reducir el riesgo
Uso no autorizado de equipos
Utilizacin de
tarjetas para
ingresos no
autorizados
Activacin
deliberada de
botones de
desbloqueo de
emergencia
Procesamiento ilegal
de datos
Activacin
deliberada de
botones del
sistema extintor
Accin
Reducir el riesgo
Evitar el riesgo
Amenazas
Controles
A.8.1
Antes del empleo
A.8.1.3
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5

informacin
A.8.1
Antes del empleo
A.8.1.3
A.8.3
A.8.3.2
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5

informacin
A.8.1
Antes del empleo
A.8.1.3
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5

informacin
A.7.2
A.7.2.1
Lineamientos de clasificacin
A.8.1
Antes del empleo
A.8.1.2
Seleccin
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.5
A.10.1.3 Segregacin de deberes
operacionales
A.10.1
270

Amenazas
Accin
A.10.6
A.10.6.1
Controles de red
A.10.7
Gestin de medios
A.10.7.4
Reducir el riesgo
Evitar el riesgo
Procesamiento ilegal de datos

Eliminacin de
configuracin o
informacin
Reducir el riesgo
Evitar el riesgo
A.10.10 Monitoreo
Manipulacin de
los registros de
actividad (logs)
Controles
A.11.2
A.11.5
A.11.6

informacin

A.11.2.1
A.11.2.2
A.11.2.4
A.11.5.2
A.11.6.2
A.12.4.2
A.12.4.3
A.15.1.3
A.15.1.5

informacin
A.12.4
A.15.1
A.7.2
A.7.2.1
A.8.1
Antes del empleo
A.8.1.2
Seleccin
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.5
A.10.1
operacionales
A.10.1.3
Segregacin de deberes
A.10.5
Respaldo (back-up)
A.10.5.1
A.10.7
Gestin de medios
A.10.7.4

A.10.10 Monitoreo
271

Accin
Eliminacin de
configuracin o
informacin
Utilizacin de
cdigo errneo o
malicioso
Reducir el riesgo
Evitar el riesgo
A.11.2
Reducir el riesgo
Evitar el riesgo
Procesamiento ilegal de datos

Amenazas
Controles
A.11.2.1
A.11.2.2
A.11.2.4
A.11.3
A.11.3.2
A.11.5
A.11.5.5
Sesin inactiva
A.12.2
A.12.2.4
A.12.4
A.12.4.2
A.12.4.3
A.15.1.3
A.15.1
A.15.1.5

informacin
A.7.1
A.7.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.9.1.6
A.10.1
operacionales
A.10.1.3
A.10.4

cdigo mvil
A.10.4.1
A.10.8
A.10.8.4
A.12.2
A.12.2.2
A.12.3
A.12.3.1
A.12.3.2
Gestin de claves
A.12.4 Seguridad de los archivos del sistema

A.12.4.1 Control de software operacional
272
Difusin de spam
Utilizacin de
cracks para
falsificar licencias
de software
propietario
Reducir el riesgo
Evitar el riesgo
Reducir el riesgo
Evitar el riesgo
Utilizacin de
cdigo errneo o
malicioso
Accin
Reducir el riesgo
Evitar el riesgo

Uso de software falsificado o copiado
Amenazas
A.12.5
A.15.1

soporte
Controles
A.12.5.3

software
A.12.5.5
A.15.1.5

informacin
A.15.1.6
A.7.1
A.7.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.10.4

cdigo mvil
A.10.4.1
A.10.8
A.10.8.4
A.12.3
A.12.3.1
A.12.4
A.12.4.1
A.15.1
A.15.1.5

informacin
A.7.1
A.7.1.3
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.10.2

terceros
A.10.2.3
A.10.4

cdigo mvil
A.10.4.2
A.12.2
A.12.2.2
A.12.4
A.12.4.1
A.12.5

soporte
A.12.5.3

software
273

A.15.1.2 Derechos de propiedad intelectual (IPR)

Amenazas
Accin
A.7.1
A.7.1.3
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.2
A.9.2.4
A.10.1
operacionales
A.10.1.3
A.10.4

cdigo mvil
A.10.4.2
A.11.2
Reducir el riesgo
Manipulacin de software
A.10.10 Monitoreo
Mala realizacin
de la configuracin
de los servicios
Controles
A.11.4

A.11.2.1
A.11.2.4
A.11.4.1
A.11.4.3
A.11.4.4
A.11.5
A.11.5.5
Sesin inactiva
A.11.7
A.11.7.2
Tele-trabajo
A.12.2.1
A.12.2.4
A.12.4.1
A.12.4.2
A.12.5.1
A.12.5.2

A.12.5.3

software
A.12.2
A.12.4
A.12.5

soporte

informacin
A.15.1
A.15.1.5
274

Amenazas
Accin
A.7.2
A.7.2.1
A.8.1
Antes del empleo
A.8.1.3
A.8.3
A.8.3.3
A.9.1
reas seguras
A.9.1.5
A.10.1
operacionales
A.10.1.2
Gestin de cambio
A.10.1.3
A.11.2
Reducir el riesgo
Evitar el riesgo
Manipulacin de software
A.10.10 Monitoreo
A.11.1
acceso
Modificacin de la
configuracin de
los equipos y
sistemas del Data
Center
Controles
A.11.3
A.11.4
A.11.5
A.11.7
A.12.4
A.12.5


soporte

A.11.1.1
A.11.2.1
A.11.2.3
A.11.2.4
A.11.3.2
A.11.4.2
A.11.4.4
A.11.4.6
A.11.5.2
A.11.5.3
A.11.5.4
Uso de utilidades del sistema
A.11.7.2
Tele-trabajo
A.12.4.1
A.12.4.2
A.12.4.3
A.12.5.1

informacin
A.15.1
A.15.1.5
275

Amenazas
Accin
A.7.1
Manipulacin de los equipos
Desconexin
deliberada del
equipo por
personal interno
Modificacin
intencional en el
funcionamiento del
equipo por
personal interno
Reducir el riesgo
Reducir el riesgo
A.9.1
A.9.2
reas seguras
A.10.10 Monitoreo
Controles
A.7.1.3
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1.5
A.9.2.1

A.11.2.1
A.11.2.4
A.12.5.1
A.15.1.5

informacin
A.7.1
A.7.1.3
A.8.3
A.8.3.2
A.8.3.3
A.9.1.2
A.9.1
reas seguras
A.9.1.3
A.9.1.5
A.11.2
A.12.5

soporte
A.15.1
A.9.2
A.9.2.1
A.10.1
operacionales
A.10.1.2
Gestin de cambio
A.10.1.3
A.10.10 Monitoreo
A.11.2
A.11.2.1
A.12.5

soporte
A.12.5.1

informacin
A.15.1
A.15.1.5
276
Mal manejo del

equipo por
impericia del
personal
Reducir el riesgo
Error en el uso
Desconexin
accidental del
equipo o partes
Accin
Reducir el riesgo
Amenazas
Controles
A.7.1
A.7.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.1.5
A.9.2.1
A.9.2
A.9.2.3
A.9.2.4
A.10.1.2
Gestin de cambio
A.10.1
operacionales
A.10.10 Monitoreo
A.11.2
A.11.2.1
A.12.5

soporte
A.12.5.1
A.15.1
A.15.1.5

informacin
A.7.1
A.7.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.1.5
A.9.2
A.9.2.1
A.9.2.4
A.10.7
Gestin de medios
A.10.7.1
A.10.10 Monitoreo
A.11.2
A.11.2.1

informacin
A.15.1
A.15.1.5
277

Accin
Reducir el riesgo
Amenazas
Reducir el riesgo
Mala
administracin del
servicio por
impericia del
administrador
Mala configuracin
del servicio por
impericia del
administrador
Reducir el
riesgo
Transferir el
riesgo
Error en el uso
Mal manejo del

servicio por
impericia de los
usuarios
Controles
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.10.10 Monitoreo
A.11.5
A.11.5.3
A.15.1
A.15.1.5

informacin
A.7.1
A.7.1.3
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.9.2
A.9.2.4
A.10.3
A.10.3.2
A.10.6
A.10.6.1
Controles de red
A.11.4.1
A.11.4.3
A.11.4.5
Segregacin en redes
A.11.4.7
A.11.4
A.12.2
A.12.2.1
A.15.1
A.15.1.5

informacin
A.7.1
A.7.1.3
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
278
A.9.1
reas seguras
A.9.1.5
Error de monitoreo
de los servicios
por impericia del
personal
Reducir el riesgo
Mala configuracin
del servicio por
impericia del
administrador
Reducir el riesgo
Accin
Error en el uso
Amenazas
Controles
A.10.1
operacionales
A.10.1.2
Gestin de cambio
A.10.1.4
A.10.3
A.10.3.2
A.10.4

cdigo mvil
A.10.4.2
A.10.10 Monitoreo
A.11.2
A.11.2.1
A.11.4.1
A.11.4.2
A.11.4.4
A.11.4

A.11.5
A.11.5.4
A.11.7
A.11.7.2
Tele-trabajo
A.12.4
A.12.4.1
A.12.5

soporte
A.12.5.1
A.15.1
A.15.1.5

informacin
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
A.10.6
A.10.6.1
Controles de red
A.10.6.2
A.12.2
A.12.2.1
A.12.2.4

A.12.5
A.12.5.2
soporte
279

Accin
Reducir el riesgo
Amenazas
Reducir el riesgo
Reducir el riesgo
Activacin
accidental de los
botones del
sistema extintor
Activacin
accidental de
botones de
desbloqueo de
emergencia
Borrado accidental
de la informacin
Reducir el
riesgo
Transferir el
riesgo
Error en el uso
Activacin
accidental de los
mdulos de
inyeccin de los
tanques de gas
Controles
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5

informacin
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5

informacin
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.2
A.9.2
A.9.2.1
A.10.10 Monitoreo
A.15.1
A.15.1.5

informacin
A.7.2
A.7.2.2
A.8.1
Antes del empleo
A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.9.1
reas seguras
A.9.1.5
280
Reducir el riesgo
Borrado accidental
de la informacin
Reducir el riesgo
Accin
Ausencia
accidental o
intencional del
puesto de trabajo
Ingreso de
personal no
autorizado a reas
especificas
Reducir el riesgo
personal
Suplantacin de identidad
Error en el uso
Amenazas
Controles
A.10.5
Respaldo (back-up)
A.10.5.1
A.10.7
Gestin de medios
A.10.7.4

A.10.10 Monitoreo
A.12.4
A.12.4.2
A.15.1
A.15.1.3
A.8.1.2
Seleccin
A.8.1
Antes del empleo

A.8.1.3
A.8.2
Durante el empleo
A.8.2.2
A.15.1
A.15.1.5

informacin
A.8.1
Antes del empleo
A.8.1.3
A.8.3
A.8.3.2
A.8.3.3
A.9.1
reas seguras
A.9.1.2
A.9.1.3
A.9.2
A.9.2.1
A.10.1
operacionales
A.10.1.3
A.10.10 Monitoreo
A.11.2 Gestin del acceso del usuario

A.11.2.4 Revisin de los derechos de acceso del usuario
281

Ingreso de
personal no
autorizado a los
sistemas
Reducir el riesgo
Abuso de
privilegios de
acceso fsicos y
lgicos
Controles
A.7.2
A.7.2.1
A.8.3
A.8.3.3
A.10.1
operacionales
A.10.1.3
A.10.10 Monitoreo
Reducir el riesgo
Suplantacin de identidad
Accin
A.11.1

acceso
A.11.1.1
A.11.2
A.11.2.4
A.11.4.2
A.11.4.6
A.11.5.1
A.11.5.2
A.11.5.3
A.11.5.5
Sesin inactiva
A.11.4
A.11.5
Abuso de derechos
Amenazas
A.11.7
A.11.7.1
A.12.4
A.12.4.3
A.6.1
Organizacin interna
A.6.1.5
A.7.2
A.7.2.1
A.8.1
Antes del empleo
A.8.1.2
Seleccin
A.8.2
Durante el empleo
A.8.2.2
A.8.3
A.8.3.2
A.8.3.3
A.9.1.2
A.9.1.3
A.9.1
reas seguras
282
A.9.1.6
Reducir el riesgo
Reducir el riesgo
Reducir el riesgo
Reducir el riesgo
Transferir el
riesgo
Abuso de derechos
Ocupacin enemiga
Deficiencia en la
organizacin
Extorsin

Amenazas
Accin
Controles
A.10.1
operacionales
A.10.10 Monitoreo
Abuso de
A.11.2.2 Gestin de privilegios
privilegios de
A.11.4 Control de acceso a redes
A.11.4.4 Proteccin del puerto de diagnstico remoto
acceso fsicos y
A.11.7
Computacin
mvil
y
tele-trabajo
A.11.7.2 Tele-trabajo
lgicos
A.12.4 Seguridad de los archivos del sistema
A.12.4.3 Control de acceso al cdigo fuente del programa
A.15.1.5
informacin
A.6.2.1
externas
A.6.2
Entidades externas
A.6.2.2
Prdida de control
A.6.2.3
personas
sobre el manejo
de los equipos y
A.9.1.1
servicios del Data
A.9.1.2
Center
A.9.1
reas seguras
A.9.1.3
A.9.1.4
A.9.2
A.9.2.1
A.8.1.2
Seleccin
A.8.1
Antes del empleo
A.8.1.3
A.9.1
reas seguras
A.9.1.1
Ingreso de
personal no
A.10.4
A.10.4.1 Controles contra software malicioso
cdigo mvil
calificado o nocivo
A.10.10 Monitoreo
A.15.1.5
informacin
A.9.1.2
A.9.1
reas seguras
Presin sobre
A.9.1.4
personal interno
para realizar
A.10.1
operacionales
acciones
A.10.10 Monitoreo
inadecuadas
A.11.2.2 Gestin de privilegios
283
284
CONTROLES DE APLICACIN GENERAL

A.5.1
Poltica de seguridad
de informacin
Controles
A.5.1.1
Documentar poltica de seguridad de informacin
A.5.1.2
Revisin de la poltica de seguridad de la informacin

Compromiso de la gerencia con la seguridad de la
informacin
Coordinacin de la seguridad de informacin
Asignacin de responsabilidades de la seguridad de la
informacin
Proceso de autorizacin para los medios de
procesamiento de informacin
Contacto con autoridades
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1
Organizacin interna
A.6.1.4
A.6.1.6
A.6.1.7
A.6.1.8
A.8.1
Responsabilidad por
los activos
Antes del empleo
A.8.2
Durante el empleo
A.7.1
A.8.3
A.10.1
A.10.10
Terminacin o
cambio del empleo
Procedimientos y
responsabilidades
operacionales
Monitoreo
Requerimientos de
A.12.1
seguridad de los
sistemas
Gestin de
A.12.6
vulnerabilidad tcnica
Reporte de eventos y
debilidades en la
A.13.1
seguridad de la
informacin
Gestin de incidentes
y mejoras en la
A.13.2
seguridad de la
informacin
A.7.1.2
Propiedad de los activos
A.8.1.1
Roles y responsabilidades
A.8.2.1
Gestin de responsabilidades
A.8.2.3
Proceso disciplinario
A.8.3.1
Responsabilidades de terminacin
A.10.1.1
Procedimientos documentados de operacin
A.10.10.1
Registro de auditora
A.10.10.2
Uso del sistema de monitoreo
A.10.10.5
Registro de fallas
A.10.10.6
Sincronizacin de relojes
A.12.1.1
Anlisis y especificacin de los requerimientos de

seguridad
A.12.6.1
Control de vulnerabilidades tcnicas
A.13.1.1
Reporte de eventos en la seguridad de la informacin
A.13.1.2
Reporte de debilidades en la seguridad
A.13.2.1
Responsabilidades y procedimientos
Aprendizaje de los incidentes en la seguridad de la
informacin
Recoleccin de evidencia
Incluir seguridad de la informacin en el proceso de
gestin de continuidad comercial
Continuidad comercial y evaluacin del riesgo
Desarrollar e implementar planes de continuidad
incluyendo seguridad de la informacin
Marco referencial para la planeacin de la continuidad
comercial
Prueba, mantenimiento y re-evaluacin de planes de
continuidad comerciales
A.13.2.2
A.13.2.3
A.14.1.1
A.14.1
Aspectos de
seguridad de la
informacin de
gestin de la
continuidad
comercial
Contacto con grupos de inters especial

Revisin independiente de la seguridad de la
informacin
A.14.1.2
A.14.1.3
A.14.1.4
A.14.1.5
Tabla 4.2: Objetivos de Control y Controles Generales (Pgina 1 de 2)
285
CONTROLES DE APLICACIN GENERAL

Cumplimiento con
A.15.1
requerimientos
legales
Cumplimiento con las
polticas y estndares
A.15.2
de seguridad, y el
cumplimiento tcnico
Consideraciones de
auditora de los
A.15.3
sistema de
informacin
Controles
A.15.1.1
Identificacin de legislacin aplicable
A.15.2.1
Cumplimiento con las polticas y estndares de

seguridad
A.15.2.2
Chequeo de cumplimiento tcnico
A.15.3.1
Controles de auditora de sistemas de informacin
A.15.3.2
Proteccin de las herramientas de auditora de los

sistemas de informacin
Tabla 4.2: Objetivos de Control y Controles Generales (Pgina 2 de 2)
4.1.3 ENUNCIADO DE APLICABILIDAD
El Enunciado de Aplicabilidad o SOA (State of Applicability) es un requisito

estipulado en la etapa de Establecimiento del SGSI.
El Enunciado de Aplicabilidad es un documento que describe los objetivos de

control y los controles que son relevantes y aplicables al SGSI de la organizacin.
Los objetivos de control y controles se basan en los resultados y conclusiones de
los procesos de tasacin del riesgo y los procesos de tratamiento del riesgo, los
requerimientos legales o reguladores, las obligaciones contractuales y los
requerimientos comerciales de la organizacin para la seguridad de la
informacin. [20]
La Tabla 4.3 muestra los controles seleccionados y las razones para su seleccin,
tambin se registra la exclusin de controles que estn fuera del alcance del SGSI
de la Organizacin.
A.5.1
Poltica de seguridad de
informacin
A.5.1.1
A.5.1.2
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1
Organizacin interna
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7
A.6.1.8
A.6.2.1
A.6.2
Entidades externas
A.6.2.2
A.6.2.3
A.7.1.1
A.7.1
Responsabilidad por los

activos
A.7.1.2
A.7.1.3
A.7.2
Clasificacin de la
informacin
A.7.2.1
A.7.2.2
286
ENUNCIADO DE APLICABILIDAD
Controles Seleccionados
Controles
Justificacin de Aplicabilidad
Documentar poltica de seguridad de
Es necesario establecer un documento que contenga las polticas del
informacin
SGSI.
Revisin de la poltica de seguridad de la Deben establecerse revisiones peridicas de la poltica de seguridad de la
informacin
informacin para mantenerla actualizada.
Compromiso de la gerencia con la
La gerencia debe apoyar y proporcionar los recursos necesarios para la
seguridad de la informacin
implementacin de las polticas de seguridad.
Coordinacin de la seguridad de
Existe la necesidad de establecer un Comit de Seguridad de la
informacin
Informacin para ejercer el control correspondiente.
Asignacin de responsabilidades de la
Es necesario dividir las funciones concernientes a seguridad entre el
personal del Data Center para optimizar los objetivos.
Proceso de autorizacin para los medios
Los nuevos equipamientos deben ser revisados con el fin de cumplir los
de procesamiento de informacin
requerimientos de seguridad.
El personal del Data Center y el personal externo deben firmar un
acuerdo de confidencialidad para el trato de informacin sensible.
Contacto con autoridades
Con el fin de definir los responsables del escalamiento de incidencias.
Se debe mantener actualizado y capacitado al personal sobre la
Contacto con grupos de inters especial
seguridad informtica.
Revisin independiente de la seguridad de Necesidad de revisar la poltica de seguridad mediante auditoras
la informacin
externas imparciales.
Identificacin de riesgos relacionados con Se debe planificar previamente los riesgos implicados al tratar con
entidades externas
personal externo al Data Center.
Tratamiento de la seguridad cuando se
Verificar insumos y actividades de los clientes y validar accesos de los
trabaja con clientes
mismos a las instalaciones y servicios del Data Center.
Tratamiento de la seguridad en contratos La Poltica de Seguridad del Data Center debe estar incluida en los
con terceras personas
contratos con personal externo.
El Data Center debe conocer los activos que posee para garantizar su
seguridad. Los inventarios son requisitos para el Anlisis de Riesgos.
Es necesario distribuir las responsabilidades de control de los activos
Propiedad de los activos
entre el personal del Data Center.
Deben establecerse polticas para el uso correcto del equipamiento, con
el fin de evitar posibles incidentes.
Clasificar la informacin usada en el Data Center para manejar los
privilegios de usuario adecuados.
Debe disponerse de etiquetado de la informacin y de los activos del Data
Center para su rpida identificacin.
Tabla 4.3: Enunciado de Aplicabilidad (Pgina 1 de 8)
A.8.1.1
A.8.1
Antes del empleo
A.8.1.2
A.8.1.3
A.8.2.1
A.8.2
Durante el empleo
A.8.2.2
A.8.2.3
A.8.3.1
A.8.3
Terminacin o cambio
del empleo
A.8.3.2
A.8.3.3
A.9.1.1
A.9.1.2
A.9.1.3
A.9.1
reas seguras
A.9.1.4
A.9.1.5
287
Controles
Establecer todas las responsabilidades, lmites y actividades de los
Roles y responsabilidades
empleados y de personal externo antes de su contratacin.
Establecer controles previos a la seleccin de personal para impedir la
Seleccin
inclusin de personal nocivo al Data Center. Es necesario verificar los
antecedentes personales para evitar futuros riesgos.
Establecer las condiciones de empleo de los diferentes cargos del Data
Center relativos a la seguridad de la informacin, para garantizar su
integridad.
Deben instituirse las responsabilidades de la gerencia sobre la seguridad
Gestin de responsabilidades
del Data Center.
Capacitar al personal para evitar daos accidentales, errores en el uso o
Capacitacin y educacin en seguridad de
mantenimiento de los equipos. Educar al personal sobre las polticas de
la informacin
seguridad y normas sobre la confidencialidad de la informacin.
Establecer procesos de penalizacin acorde a los estatutos de la
Proceso disciplinario
empresa, regulaciones o leyes relacionadas.
Establecer procesos acorde a la ley para la terminacin del empleo o
Responsabilidades de terminacin
cambio de responsabilidades.
Establecer procedimientos para la devolucin de los activos e informacin
del personal al trmino de su empleo.
Establecer polticas de control de acceso para la guardiana, aplicables al
personal que haya terminado su contrato. Establecer polticas de
desactivacin de tarjetas para el ingreso al Data Center. Establecer
polticas para eliminacin de accesos a los sistemas de informacin.
Es necesario establecer controles perimetrales para garantizar la
Es necesario establecer una poltica de acceso fsico a las instalaciones
del Data Center.
Seguridad de oficinas, habitaciones y
Los activos importantes del Data Center deben estar resguardados en
medios
reas restringidas.
Se debe contar con una infraestructura de soporte y respaldos para
Proteccin contra amenazas externas y
diferentes tipos de amenazas. Los activos del Data Center deben
ambientales
disponer de protecciones para desastres naturales e incidentes
provocados por personal externo.
El personal interno y externo del Data Center debe cumplir lineamientos
especficos para trabajar en reas restringidas.
A.9.1
reas seguras
A.9.1.6
A.9.2.1
A.9.2.2
A.9.2.3
A.9.2

A.9.2.4
A.9.2.5
A.9.2.6
A.9.2.7
A.10.1.1
A.10.1
Procedimientos y
responsabilidades
operacionales
A.10.1.2
A.10.1.3
A.10.1.4
A.10.2.1
A.10.2
Gestin de la entrega
del servicio de terceros
A.10.2.2
A.10.2.3
Controles
Implementar controles sobre las actividades que se realizan en las reas
de Pruebas, Recepcin y Ensamblaje.
Es necesario establecer polticas para proteger los activos de todas las
reas.
Establecer acciones en caso de prdida de suministros y servicios
Servicios pblicos
pblicos. Verificar los tiempos de respaldo de bateras.
Establecer procedimientos para los trabajos en el cableado estructurado.
Establecer controles para evitar el acceso a la informacin interceptando
el cableado. Establecer polticas para evitar la desconexin de equipos
del cableado estructurado.
Todos los equipos deben someterse a mantenimientos peridicos para
garantizar su funcionamiento. Establecer procedimientos para un
mantenimiento adecuado, sin errores de ejecucin.
Establecer polticas que garanticen la confidencialidad, cuando equipos
con informacin salgan de las instalaciones del Data Center.
Establecer polticas para la eliminacin o re-uso de los equipos que
contengan informacin.
El personal del Data Center necesita conocer y autorizar la salida de
Traslado de Propiedad
equipamiento del Data Center.
Procedimientos de operacin
Establecer documentos de procedimientos operacionales para garantizar
documentados
el buen manejo de los equipos.
Garantizar que los cambios que se realicen sobre los servicios y equipos
Gestin de cambio
cumplan un adecuado proceso.
Evitar que las tareas y responsabilidades del manejo de los sistemas
sean asumidas por una sola persona.
Separacin de los medios de desarrollo y Deben establecerse polticas sobre la operacin de equipos,
operacionales
configuraciones y servicios de prueba.
El personal externo debe garantizar la seguridad en los servicios que
brinda al Data Center.
Verificar la ejecucin y conclusin de trabajos del personal externo para
Monitoreo y revisin de los servicios de
evitar fallas de mantenimiento. Monitorear las prdidas de los servicios y
terceros
suministros externos.
Manejar los cambios en los servicios de
Establecer procedimientos para efectuar cambios en los servicios
terceros
contratados con terceros.
288
Controles
Dimensionar la capacidad de los sistemas para garantizar la continuidad
A.10.3.1 Gestin de capacidad
de los servicios.
Planeacin y aceptacin
A.10.3
del sistema
La implementacin de nuevos sistemas debe ser aprobada por los
A.10.3.2 Aceptacin del sistema
responsables de la seguridad.
Establecer controles contra software que resulte daino para la
A.10.4.1 Controles contra software malicioso
Proteccin contra
A.10.4
software malicioso y
Establecer polticas relacionadas con software y configuraciones de gran
cdigo mvil
A.10.4.2 Controles contra cdigos mviles
difusin dentro del Data Center.
A.10.5
Respaldo (backup)
A.10.5.1 Backup o respaldo de la informacin
Establecer polticas sobre respaldos de la informacin interna y externa.
Implementar controles de proteccin de la red y de los sistemas
A.10.6.1 Controles de red
respectivos.
Gestin de seguridad de
A.10.6
redes
Identificar las protecciones que aseguran la eficacia de los servicios de
red.
Garantizar la seguridad de la informacin contenida en medios
A.10.7.1 Gestin de los medios removibles
removibles.
Evitar que la informacin quede almacenada en medios que han sido
A.10.7.2 Eliminacin de medios
desechados.
A.10.7
Gestin de medios
Procedimientos de manejo de la
El manejo de la informacin debe ser tratada de conformidad con su
A.10.7.3
informacin
respectiva clasificacin.
Evitar que la documentacin confidencial est accesible a personal no
A.10.7.4 Seguridad de documentacin del sistema
autorizado.
Procedimientos y polticas de informacin Establecer mecanismos para garantizar la seguridad en el intercambio de
A.10.8.1
y software
informacin.
A.10.8.2 Acuerdos de intercambio
Es imperativo disponer de acuerdos para el intercambio de la informacin.
Intercambio de
A.10.8
Los equipos que se trasladan fuera de las instalaciones deben estar
informacin
A.10.8.3 Medios fsicos en trnsito
protegidos contra cualquier riesgo.
El uso de mensajes electrnicos en el Data Center debe estar regulado y
A.10.8.4 Mensajes electrnicos
documentado.
Las actividades relacionadas con la seguridad en el Data Center deben
A.10.10.1 Registro de auditora
ser registradas para facilitar las tareas de auditora.
Es necesario implementar lineamientos adecuados para el monitoreo de
A.10.10
Monitoreo
A.10.10.2 Uso del sistema de monitoreo
los distintos sistemas.
Deben tomarse las medidas pertinentes para proteger la informacin de
los registros.
289
A.10.10
Monitoreo
A.11.1
Requerimiento
comercial para el control
del acceso
A.11.2
Gestin del acceso del

usuario
Controles
Establecer controles de monitoreo para identificar al personal que ingresa
a las dependencias del Data Center, para evitar incidentes o procurar
auxilio en caso de siniestros. Determinar lineamientos para el monitoreo
de los accesos lgicos a los sistemas de informacin.
Establecer normas para el registro de fallas que ocurran y dar el
A.10.10.5 Registro de fallas
seguimiento para los correctivos.
Todos los sistemas deben estar sincronizados para evitar incoherencia en
A.10.10.6 Sincronizacin de relojes
los datos.
A.11.1.1
A.11.2.1
A.11.2.2
A.11.2.3
A.11.2.4
A.11.3.1
A.11.3
Responsabilidades del
usuario
A.11.3.2
A.11.3.3
A.11.4.1
A.11.4.2
A.11.4.3
A.11.4
Control de acceso a
redes
A.11.4.4
A.11.4.5
A.11.4.6
A.11.4.7
Es necesario establecer polticas para controlar el acceso a la informacin

y servicios.
290
Debe implementarse un procedimiento formal para la creacin de cuentas

de usuarios.
Establecer controles para asignar privilegios de acceso, de acuerdo a las
necesidades de uso de la informacin.
Establecer polticas para organizar y administrar las claves de acceso a
Revisin de los derechos de acceso del
Verificar peridicamente los privilegios de acceso a los diferentes
usuario
sistemas del Data Center.
Uso de clave
Velar que los usuarios protejan sus claves privadas.
Establecer controles y acciones sobre el equipo desatendido para evitar
ingresos no autorizados.
Evitar robos o prdidas de confidencialidad de la informacin.
Establecer acciones sobre el uso correcto de los servicios de red y las
seguridades inherentes a la informacin.
Autenticacin del usuario para conexiones Implementar controles y protocolos seguros para el acceso a los sistemas
externas
a travs de conexiones remotas.
Establecer polticas para la identificacin y registro de equipos de red en
el Data Center.
Proteccin del puerto de diagnstico
Establecer controles que denieguen el acceso por el puerto de
remoto
diagnstico remoto a personal no autorizado.
Segregacin en redes
Separar la red interna de la red externa, y la interna en distintas subredes.
Establecer polticas de acceso a la red de informacin para el personal
autorizado.
Establecer controles de uso de protocolos confiables para encaminar la
informacin.
A.11.5.1
A.11.5.2
A.11.5
Control de acceso al
sistema de operacin
A.11.5.3
A.11.5.4
A.11.5.5
A.11.5.6
A.11.6
A.11.7
A.12.1
A.12.2
Control de acceso a la
aplicacin e informacin
Computacin mvil y
tele-trabajo
Requerimientos de
seguridad de los
sistemas
Procesamiento correcto
en las aplicaciones
A.11.6.1
A.11.6.2
A.11.7.1
A.11.7.2
A.12.1.1
Anlisis y especificacin de los

requerimientos de seguridad
A.12.2.1
Validacin de data de Insumo
A.12.2.2
A.12.2.3
A.12.2.4
A.12.3.1
A.12.3
Controles
Evitar que los sistemas de control de acceso faciliten informacin que
permita ingresos no autorizados a los sistemas de informacin.
Determinar normas para que el personal que ingresa a las dependencias
del Data Center disponga de una identificacin nica registrada en el
sistema. Establecer procedimientos para la identificacin del personal que
acceda a la configuracin de los equipos.
Establecer un sistema que controle el uso de las claves de usuarios.
Controlar los accesos a los programas utilitarios de los sistemas
operativos.
Implementar cierres de sesin cuando los equipos estn inactivos durante
Sesin inactiva
un cierto tiempo.
Establecer controles que impongan un tiempo prudente para la conexin
Limitacin de tiempo de conexin
para evitar ataques por denegacin de servicio.
Establecer controles para que el personal solamente tenga acceso a la
informacin que requiere.
Los elementos crticos de hardware y software deben estar ubicados y
aislados en ambientes propios e independientes.
Establecer protecciones para las tareas con dispositivos mviles
conectados a la red del Data Center.
Las conexiones desde medios remotos a la red del Data Center deben
Tele-trabajo
realizarse con medidas que garanticen la proteccin de la comunicacin.
A.12.3.2
Es necesario que los requerimientos de seguridad estn incorporados en

la inclusin de nuevos productos al Data Center.
291
Deben implementarse controles para que la informacin que ingrese al

Data Center no sea maliciosa o errnea.
Las aplicaciones que manejan informacin crtica deben disponer de
controles que aseguren la fiabilidad de sus datos.
Integridad del mensaje
Asegurar que los mensajes no sean modificados por terceros.
Establecer controles que aseguren que la informacin que salga de los
procesos no sea errnea o est fuera de los rangos establecidos.
Poltica sobre el uso de controles
Determinar polticas de uso de mtodos criptogrficos de la informacin
criptogrficos
para resguardarla del personal no autorizado.
Las claves criptogrficas deben disponer de un sistema que las gestione y
Gestin de claves
proteja.
A.12.4.1
A.12.4
Seguridad de los
archivos del sistema
A.12.4.2
A.12.4.3
A.12.5.1
A.12.5.2
A.12.5
Seguridad en los
procesos de desarrollo y
soporte
A.12.5.3
A.12.5.4
A.12.5.5
A.12.6
A.13.1
Gestin de
vulnerabilidad tcnica
Reporte de eventos y
debilidades en la
seguridad de la
informacin
A.12.6.1
A.13.1.1
A.13.1.2
A.13.2.1
A.13.2
Gestin de incidentes y
mejoras en la seguridad
de la informacin
A.13.2.2
A.13.2.3
A.14.1
Aspectos de la
seguridad de la
informacin de la
gestin de la
continuidad comercial
A.14.1.1
A.14.1.2
A.14.1.3
292
Controles
La instalacin de software debe ser gestionada, controlada y autorizada.
Proteccin de la data de prueba del
Debe existir un control para el tratamiento de los datos de prueba.
sistema
Control de acceso al cdigo fuente del
Deben determinarse polticas y controles para acceder al cdigo fuente y
programa
a las configuraciones de los servicios y equipos.
Instituir controles y procedimientos para el cambio de equipos y
configuraciones.
Revisin tcnica de las aplicaciones
Verificar la estabilidad y compatibilidad de los cambios realizados con el
despus de cambios en el sistema
resto de sistemas.
operativo
Restricciones sobre los cambios en los
Establecer lmites para los cambios de software del equipamiento.
paquetes de software
Aprobar acciones que eviten la fuga de informacin, por error del personal
o por fallas de configuracin o software (trap-doors).
El software desarrollado por terceros debe respaldarse con un contrato
que certifique la calidad del mismo.
Instituir procedimientos para la identificacin, notificacin y evaluacin de
Control de vulnerabilidades tcnicas
las vulnerabilidades de los subsistemas del Data Center.
Reporte de eventos en la seguridad de la Instruir al personal sobre los procedimientos para el reporte de incidentes
informacin
de seguridad.
Requerir al personal que identifique y notifique vulnerabilidades de
Reporte de debilidades en la seguridad
seguridad que ataen a los sistemas.
Establecer lneas de responsabilidades y procedimientos para los fallos
Responsabilidades y procedimientos
de seguridad y su consecuente solucin.
Aprendizaje de los incidentes en la
Es necesario cuantificar los impactos sobre los procesos del Data Center
para la obtencin de estadsticas.
Obtener indicios fehacientes para su anlisis y la toma decisiones para
Recoleccin de evidencia
mejorar la seguridad.
Incluir seguridad de la informacin en el
Es necesario un plan de continuidad para evitar interrupciones en las
proceso de gestin de continuidad
actividades del Data Center.
comercial
Continuidad comercial y evaluacin del
Es necesario analizar y evaluar los riesgos para implementar un plan de
riesgo
continuidad.
Desarrollar e implementar planes de
Establecer planes de continuidad para recuperar la disponibilidad, en
continuidad incluyendo seguridad de la
caso de incidentes de seguridad.
informacin
Aspectos de la
seguridad de la
A.14.1
informacin de la
gestin de la
A.15.1
Cumplimiento con
requerimientos legales
A.14.1.4
A.14.1.5
Prueba, mantenimiento y re-evaluacin de Establecer pruebas y evaluaciones de los planes de continuidad para
planes de continuidad comerciales
comprobar su eficacia ante un evento real.
A.15.1.1
Identificacin de legislacin aplicable
A.15.1.2
Derechos de propiedad intelectual (IPR)
A.15.1.3
A.15.1.4
A.15.1.5
A.15.2
A.15.3
Cumplimiento con
polticas y estndares
de seguridad y
Cumplimiento tcnico
Consideraciones de
auditora de los sistema
de informacin
Controles
Marco referencial para la planeacin de la Se requiere un marco general para establecer los distintos planes de
continuidad.
Proteccin de los registros

organizacionales
Proteccin de data y privacidad de
informacin personal
Prevencin del mal uso de medios de
procesamiento de informacin
A.15.1.6
A.15.2.1
Cumplimiento con las polticas y

estndares de seguridad
A.15.2.2
Chequeo de cumplimiento tcnico
A.15.3.1
Controles de auditora de sistemas de

informacin
A.15.3.2
Proteccin de las herramientas de

auditora de los sistemas de informacin
A.10.8
Intercambio de
informacin
A.10.8.5
A.10.9
Servicios de Comercio
Electrnico
A.10.9.1
A.10.9.2
A.10.9.3
El Data Center debe identificar todas las leyes y regulaciones relevantes

vinculadas a la entrega de servicios y a la seguridad de la informacin.
Evitar la violacin de los derechos de propiedad intelectual en el manejo
de software.
Los registros que contengan informacin confidencial deben estar
almacenados bajo condiciones seguras.
Establecer polticas y acuerdos de confidencialidad para la informacin
del personal y del Data Center.
Informar oportunamente al personal sobre las consecuencias del uso
indebido de los sistemas.
Cumplir la normativa existente relacionada con los controles
criptogrficos.
Establecer responsabilidades para garantizar el cumplimiento de las
polticas de seguridad en el Data Center.
Es necesario realizar pruebas peridicas para verificar el funcionamiento
de los sistemas de informacin.
Es necesario implementar auditoras para comprobar el estado del SGSI.
293
Los datos y las herramientas de los auditores deben estar separados de

los sistemas que brindan los servicios, ya que podran afectar al
funcionamiento del Data Center.
Controles Excluidos
Controles
Justificacin de Exclusin
El Data Center no maneja sistemas comerciales o de contabilidad. La
Sistemas de informacin comercial
interconexin de sistemas comerciales con proveedores y contratistas las
realiza la Gerencia Comercial.
Comercio electrnico
El Data Center no provee servicios de comercio electrnico ni
Transacciones en lnea
transacciones en lnea. La informacin publicada a travs de pginas web
Informacin disponible pblicamente
la gestiona el propio ISP.
294
4.2 ESTABLECIMIENTO DE LA POLTICA DE SEGURIDAD DE

LA INFORMACIN DEL DATA CENTER TIER III
Una vez que se ha realizado la evaluacin de riesgos y se han seleccionado los
controles apropiados para el tratamiento de los riesgos, es necesario establecer
una Poltica de Seguridad que permita gestionar e implementar de una manera
adecuada los procesos, controles y normas de seguridad de la informacin del
Data Center.
La Poltica de Seguridad es una declaracin de principios presentados por la

administracin con el objetivo de establecer, estandarizar y normalizar la
seguridad, tanto en el mbito humano como en el tecnolgico. [61]
El Data Center necesitar de una Poltica que est documentada y contenga

definiciones de responsabilidades, directrices, normas y procedimientos para que
se apliquen las medidas de seguridad, los mecanismos de evaluacin de riesgos
y el plan de seguridad.
Para la elaboracin de la Poltica se toma como base el modelo propuesto por la

norma ISO/IEC 27002, el cual establece lineamientos y principios generales para
iniciar, implementar, mantener y mejorar la gestin de la seguridad de la
informacin en una organizacin. [19]
Las Polticas de Seguridad estn asociadas a las clusulas existentes en la norma

ISO/IEC 27002, las cuales son:
1. Poltica de Seguridad: C-POL-SEG-Poltica de Seguridad-01-1.0-2014-0701 (9 Pginas)
2. Organizacin
de
la
Seguridad
de
la
Informacin:
C-POL-SEG-
Organizacin de la Seguridad -02-1.0- 2014-07-01 (14 Pginas)
295
3. Gestin de Activos: C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01

(16 Pginas)
4. Seguridad de Recursos Humanos: C-POL-SEG-Seguridad RRHH-04-1.02014-07-01 (15 Pginas)
5. Seguridad Fsica y Ambiental: C-POL-SEG-Seguridad Fsica-05-1.0-201407-01 (22 Pginas)
6. Gestin de Comunicaciones y Operaciones: C-POL-SEG-Comunicaciones

y Operaciones-06-1.0-2014-07-01 (36 Pginas)
7. Control de Acceso: C-POL-SEG-Control de Acceso-07-1.0-2014-07-01

(29 Pginas)
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin: CPOL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01 (23

Pginas)
9. Gestin de Incidentes de Seguridad de la Informacin: C-POL-SEGGestin de Incidentes-09-1.0-2014-07-01 (9 Pginas)
10. Gestin de la Continuidad Comercial: C-POL-SEG-Gestin de la

Continuidad-10-1.0-2014-07-01 (11 Pginas)
11. Cumplimiento:
Pginas)
C-POL-SEG-Cumplimiento-11-1.0-2014-07-01
(19
296
DATA CENTER TIER III
POLTICA DE SEGURIDAD DE LA INFORMACIN

C-POL-SEG-Poltica de Seguridad-01-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad
Representante del Comit de Seguridad
Gerencia del Data Center
TABLA DE CONTENIDO
Generalidades .........................................................................................................................
Objetivos .................................................................................................................................
Alcance ....................................................................................................................................
Responsabilidades .................................................................................................................
Exposicin de la Poltica ........................................................................................................
2
2
3
3
7
Sanciones................................................................................................................................
Historial de Modificaciones ....................................................................................................
9
9
297
C-POL-SEG-Poltica de Seguridad-01-1.0- 2014-07-01
Fecha de la versin:
Versin:
Pgina 2 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.1 POLTICA DE SEGURIDAD DE LA INFORMACIN
Generalidades
La informacin, activos y procesos del Data Center son fundamentales para la

prestacin de los servicios y la ejecucin de los objetivos organizacionales, por lo
que se debe poner nfasis en la proteccin frente a distintos tipos de amenazas y
riesgos mediante el establecimiento de una Poltica de Seguridad de la
Informacin que garantice la continuidad comercial y genere una cultura de
seguridad en todo el personal.
El Data Center Tier III necesita una Poltica de Seguridad de la Informacin que
permita minimizar los riesgos de la informacin, reduzca los costos operativos y
financieros, garantice el cumplimiento de requerimientos legales, regulatorios y de
negocio vigentes y se convierta en un instrumento de concienciacin sobre la
importancia de la informacin y los servicios que presta.
Los principios de la Poltica de Seguridad deben estar presentes en todos los

niveles jerrquicos de la organizacin, contando con el apoyo de la Direccin y
organismos de control, para la difusin, consolidacin y cumplimiento de la
presente Poltica.
Objetivos
Establecer las directrices, normas y procedimientos para asegurar la

proteccin oportuna y el uso adecuado de los activos del Data Center Tier
III.
Proteger, preservar y administrar la confidencialidad, integridad y

disponibilidad de los activos del Data Center Tier III, frente a amenazas,
298
Fecha de la versin:
Versin:
Pgina 3 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
internas o externas, deliberadas o accidentales, con el fin de asegurar el

cumplimiento y la continuidad de las operaciones sustantivas de la entidad.
Asegurar la implementacin de las medidas de seguridad comprendidas en

esta Poltica.
Mantener la Poltica de Seguridad del Organismo actualizada, a efectos de

asegurar su vigencia y nivel de eficacia.
Concienciar a los empleados, consultores y contratistas sobre la

importancia de la seguridad de la informacin, y la necesidad de establecer
un Sistema de Gestin de Seguridad de la Informacin para la prevencin y
reaccin ante incidentes de seguridad.
Alcance
Esta Poltica se aplica a todos los procesos y procedimientos que se llevan a cabo
en el Data Center, sean internos o estn vinculados con entidades externas, a
travs de contratos o acuerdos con terceros; as como sus activos y personal que
interviene en el desarrollo de los mismos.
Responsabilidades
La Direccin, Jefaturas y Administradores, ya sean administrativos o tcnicos, son

responsables de la implementacin de las Polticas de Seguridad de la
Informacin del Data Center. Tambin debern garantizar que el personal de
trabajo que se encuentre dentro de su rea de responsabilidad cumpla las
polticas establecidas.
299
Fecha de la versin:
Versin:
Pgina 3 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La Figura 4.2 muestra la relacin entre la Estructura Organizacional del Data

Center y sus funciones de seguridad.
Manos
Remotas
Soporte
Monitoreo
NOC
Administracin
de
Infraestructura
Mecnica
Administracin de
Storage y Backup
Administracin de
Servidores y
Virtualizaciones
Administracin de
Networking
Administracin
de
Infraestructura
Elctrica
Administracin
del Sistema
Contra
Incendios
CONTRATACIN
LABORAL
DEPARTAMENTO
DE RECURSOS
HUMANOS
CLIENTES
DEPARTAMENTO
DE VENTAS
GERENCIA
COMERCIAL DE
LA EMPRESA
Figura 4.2: Relacin entre la Estructura Organizacional del Data Center y sus funciones de seguridad
Servicio de
guardiana
privada
Administracin
de Control de
Acceso
JEFATURA DE TI
GERENCIA
GENERAL DE LA
EMPRESA
PRESIDENCIA
EJECUTIVA
JEFATURA DE
INFRAESTRUCTURA
JEFATURA GENERAL
DEL DATA CENTER
Responsable
de la Seguridad
GERENCIA TCNICA
DE LA EMPRESA
Comit de Seguridad de la Informacin
Direccin
ENTIDAD
AUDITORA
DEPARTAMENTO
JURDICO

Fecha de la versin:
Versin:
Pgina 4 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
300
301
Fecha de la versin:
Versin:
Pgina 5 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La descripcin completa de las responsabilidades de seguridad se encuentra

detallada en la Poltica de Organizacin de la Seguridad de la Informacin.
La Direccin se encargar de aprobar la Poltica de Seguridad de la Informacin,

proporcionar los medios necesarios para su implementacin y autorizar las
modificaciones de los procesos del Data Center.
El Comit de Seguridad de la Informacin est encargado de elaborar y actualizar

las polticas, normas y procedimientos relativos a la seguridad en informtica y
telecomunicaciones; establecer una metodologa de anlisis y evaluacin de
riesgos que permita identificar posibles riesgos y mitigarlos; supervisar la
investigacin y monitoreo de los incidentes relativos a la seguridad; coordinar la
implementacin de controles especficos de seguridad; coordinar el proceso de
administracin de la continuidad de las actividades del Data Center; establecer las
tareas y responsabilidades que sern asignadas al personal del Data Center y
proponer una entidad auditora para la revisin de la vigencia e implementacin de
las Polticas de Seguridad de la Informacin.
El Responsable de la Seguridad deber coordinar las acciones del Comit de

Seguridad de la Informacin; difundir, educar y capacitar a todo el personal en
materia de seguridad de la informacin; definir procedimientos para el control de
cambios a los procesos operativos, los sistemas e instalaciones de procesamiento
de informacin; gestionar el uso, manejo, almacenamiento y generacin de las
claves criptogrficas e impulsar la implementacin y cumplimiento de la presente
Poltica.
Las Jefaturas se encargarn de seleccionar al personal ms idneo y dar a

conocer las funciones y responsabilidades que deber cumplir; supervisar el
mantenimiento de los sistemas aplicando una metodologa de seguridad en todas
las fases y mantener los registros que competan a sus actividades.
302
Fecha de la versin:
Versin:
Pgina 6 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los Propietarios de los Activos son los responsables del uso, mantenimiento,
clasificacin, valoracin, seguridad y estado de los activos; garantizarn el
correcto funcionamiento de los sistemas, segn sus funciones y competencia;
supervisarn todos los trabajos o mantenimientos que se den en el Data Center;
implementarn
los
cambios
en
los
sistemas,
evaluarn
los
impactos
operacionales y coordinarn las tareas definidas en los planes de continuidad que

estn bajo su responsabilidad.
El Departamento de TI es el responsable de gestionar el acceso a los sistemas

informticos y de red; instalar y actualizar peridicamente las aplicaciones del
Data Center y software para la deteccin y eliminacin de virus; monitorear las
redes y servidores; ejecutar los movimientos de altas, bajas o cambios de las
cuentas y privilegios de los usuarios.
El Departamento de Recursos Humanos tiene la responsabilidad de informar las

funciones de seguridad en la descripcin de los puestos de los empleados;
recolectar y verificar los documentos suministrados por los solicitantes a un
puesto; gestionar los Compromisos de Confidencialidad y coordinar las tareas de
terminacin del empleo.
El Departamento Jurdico participar en el asesoramiento sobre las sanciones a

ser aplicadas por incumplimiento de la presente Poltica y en el tratamiento de
incidentes de seguridad que requieran de su intervencin; certificar que la
evidencia cumpla los estndares o cdigos de evidencia admisible.
La Entidad Auditora realizar verificaciones del cumplimiento e implementacin de

la Poltica, normas, procedimientos y prcticas de seguridad de la informacin.
Todo el personal interno o externo es responsable de conocer, dar a conocer,

cumplir y hacer cumplir la Poltica de Seguridad de la Informacin vigente.
303
Fecha de la versin:
Versin:
Pgina 6 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Exposicin de la Poltica
La Poltica de Seguridad de la Informacin del Data Center Tier III est

conformada por varias secciones que analizan aspectos especficos de seguridad
de la informacin:
Organizacin de la Seguridad de la Informacin
Poltica encargada del manejo de la seguridad de la informacin dentro del Data

Center; asignacin de roles y responsabilidades; establecimiento de un marco
gerencial para controlar su implementacin; y gestin de la seguridad con
entidades externas.
Gestin de Activos
Poltica que se enfoca en la proteccin de los activos del Data Center, a travs de
la asignacin de Propietarios y la clasificacin de acuerdo a su criticidad.
Seguridad de Recursos Humanos
Poltica orientada a reducir los riesgos de error humano, el cometimiento de actos

ilcitos o uso inadecuado de instalaciones del Data Center, verificando las
condiciones del personal antes, durante y despus del empleo.
Seguridad Fsica y Ambiental
Poltica destinada a establecer controles para impedir accesos fsicos no

autorizados, errores de mantenimiento o daos en los activos que se encuentran
dentro del Data Center.
304
Fecha de la versin:
Versin:
Pgina 8 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Gestin de Comunicaciones y Operaciones
Poltica dirigida a: garantizar el funcionamiento correcto y seguro de las

instalaciones de procesamiento de la informacin y medios de comunicacin;
controlar las actividades de terceros; planificar la capacidad mxima de los
sistemas y sus backups; realizar monitoreo de las actividades en cada sistema.
Control de Acceso
Poltica enfocada a la gestin del control de acceso lgico hacia los diferentes
sistemas de informacin del Data Center.
Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
Poltica orientada a garantizar la incorporacin de medidas de seguridad en los

sistemas de informacin desde su desarrollo y/o implementacin y durante su
mantenimiento.
Gestin de Incidentes de Seguridad de la Informacin
Poltica que se encarga de establecer procedimientos para la comunicacin y

gestin de los incidentes y debilidades de la seguridad.
Gestin de la Continuidad Comercial
Poltica orientada a contrarrestar las interrupciones de las actividades y proteger

los procesos crticos de los efectos de fallas significativas o desastres, por medio
de procesos de gestin de la continuidad del negocio.
305
Fecha de la versin:
Versin:
Pgina 8 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Cumplimiento
Poltica destinada a impedir infracciones y violaciones: de las leyes del derecho

civil y penal; de las obligaciones establecidas por leyes, estatutos, normas,
reglamentos o contratos; y de los requisitos de seguridad; as como el
cumplimiento de las polticas establecidas.
Sanciones
El incumplimiento de las disposiciones establecidas por las Polticas de Seguridad

de la Informacin tendr como resultado la aplicacin de diversas sanciones,
conforme a la magnitud y caracterstica del aspecto no cumplido. La aplicacin y
tipo de sancin dependern del criterio de la Direccin del Data Center.
Historial de Modificaciones
Esta Poltica es susceptible a cambios en el momento que la Direccin lo

considere y cuando los avances tecnolgicos y estndares internacionales de
seguridad lo ameriten previa validacin por parte del Comit de Seguridad de la
Informacin.
El cuadro de control permite verificar el versionamiento y los cambios realizados a

la Poltica de Seguridad.
Fecha
Versin
Creado por
Descripcin de la modificacin
306
Fecha de la versin:
Versin:
Pgina 9 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
307
POLTICA DE ORGANIZACIN DE LA SEGURIDAD

DE LA INFORMACIN
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

C-POL-SEG-Organizacin de la Seguridad -02-1.0- 2014-01
Fecha de la versin:
Versin:
Pgina 1 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Responsabilidades ...............................................................................................................
Exposicin de la Poltica ......................................................................................................
Organizacin Interna .....................................................................................................
Grupos o Personas Externas.........................................................................................
2
2
3
3
4
4
11
308
Fecha de la versin:
Versin:
Pgina 2 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.2 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
Generalidades
La Poltica de la Organizacin de la Seguridad de la Informacin establece un

marco para la gestin de seguridad de la informacin en el Data Center, para lo
cual se necesitar definir formalmente las distintas responsabilidades para la
ejecucin de tareas, como: aprobacin, control e implementacin de las polticas.
Muchas de las actividades del Data Center estn relacionadas con el intercambio
de informacin con personal externo, ya sea por tercerizacin de actividades de
procesamiento de informacin o por obtencin de un producto o servicio. En estos
casos la seguridad de la informacin puede estar comprometida, siendo necesaria
la implementacin de controles y acuerdos de proteccin con los grupos externos.
Objetivos
Establecer un marco de gestin gerencial para el control e implementacin

de las polticas y asignacin de funciones y responsabilidades en el Data
Center.
Establecer y fomentar fuentes de consultora internas y externas para la

asesora de seguridad de la informacin del Data Center.
Establecer controles y acuerdos con entidades externas que tengan acceso

a informacin propia del Data Center.
309
Fecha de la versin:
Versin:
Pgina 3 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Alcance
Esta Poltica se aplica a todos los recursos del Data Center y a todas sus
relaciones con terceros, que impliquen el acceso a sus datos, recursos y/o a la
administracin y control de sus sistemas de informacin.
Responsabilidades
La Direccin entregar los recursos necesarios para el cumplimiento de la

Poltica; verificar que la Poltica est alineada a los procesos y objetivos
comerciales; aprobar las modificaciones o cambios en los procesos de operacin
o sistemas del Data Center; establecer un presupuesto para la implementacin
de controles.
El Comit de Seguridad de la Informacin elaborar la Poltica de Seguridad de la

Informacin, supervisar los planes de continuidad; establecer las tareas y
responsabilidades del personal; revisar las polticas, normas y procedimientos de
seguridad del Data Center; analizar la eficacia de los controles implementados y
resolver los asuntos interdisciplinarios.
El Responsable de la Seguridad ser el que coordine las tareas y esfuerzos en

materia de seguridad. Esta persona centralizar todos los aspectos de seguridad
del Data Center y sus responsabilidades cubrirn todas las funciones de
seguridad.
Las Jefaturas sern responsables del cumplimiento de las Polticas de Uso

Aceptable de los Activos por el personal bajo su cargo; se encargarn de dar a
conocer las funciones y responsabilidades que deber cumplir el personal nuevo y
seleccionar al personal ms idneo; aprobar la solicitud de cambios y trabajos;
archivar y mantendr los registros que competan a sus actividades.
310
Fecha de la versin:
Versin:
Pgina 3 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los Propietarios de los Activos76 son los responsables del uso, mantenimiento,
clasificacin, valoracin, seguridad y estado de los equipos; realizarn un anlisis
de compatibilidad y riesgos para los nuevos recursos de hardware o software para
el procesamiento de informacin; definirn las medidas de seguridad fsica y
ambiental para el resguardo de los activos crticos; supervisarn todos los
trabajos o mantenimientos que se den en el Data Center; elaborarn los planes
necesarios para la continuidad de las actividades del Organismo.
La Entidad Auditora ser responsable de realizar revisiones independientes sobre

la vigencia y el cumplimiento de la presente Poltica.
El personal, clientes y contratistas debern conocer y comprender la Poltica de

Seguridad y los procedimientos que apliquen a su trabajo; llevarn a cabo su
trabajo, asegurndose de que sus acciones no produzcan ninguna infraccin de
seguridad; y comunicarn las incidencias de seguridad que detecten mediante el
canal establecido para ello.
4.2.2.1 Organizacin Interna
4.2.2.1.1 Compromiso de la Gerencia con la Seguridad de la Informacin
76
El trmino propietario identifica una persona o entidad que cuenta con la responsabilidad
gerencial aprobada de controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los
activos. El trmino propietario no significa que la persona en realidad tenga algn derecho de
propiedad sobre el activo.
311
Fecha de la versin:
Versin:
Pgina 5 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La Direccin, que est conformada por la Presidencia y las Gerencias, es parte

esencial del proyecto de seguridad de la informacin del Data Center, la cual se
compromete a brindar la ayuda y los mecanismos necesarios para la consecucin
de la seguridad en los procesos internos y externos del Data Center.
Entre las funciones que estarn bajo la responsabilidad de la Direccin, se

encuentran las siguientes:
Asegurar que los requerimientos de seguridad que necesita el Data Center

tengan relacin con los procesos y objetivos comerciales.
Revisar y aprobar el documento de la Poltica de Seguridad de la
Informacin del Data Center, adems de asegurar la implementacin del
mismo.
Gestionar los recursos necesarios para el cumplimiento de las Polticas de
Seguridad y planes de continuidad.
Designar al Responsable de la Seguridad para la gestin respectiva en el
Data Center.
En coordinacin con el Departamento de Recursos Humanos, se encargar
de la difusin y concienciacin de las polticas de seguridad al personal
interno y externo del Data Center.
Autorizar y aprobar las modificaciones o cambios en los procesos de
operacin o sistemas del Data Center.
Apoyar y establecer un presupuesto para la implementacin de controles
4.2.2.1.2 Coordinacin de la Seguridad de la Informacin
Para la administracin de la seguridad del Data Center se establecer un Comit

de Seguridad de la Informacin, que estar conformado por la Jefatura General,
Gerencia Tcnica y Comercial del Data Center.
312
Fecha de la versin:
Versin:
Pgina 5 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El Comit de Seguridad de la Informacin apoyar a los usuarios en los temas

relacionados con la seguridad, desempeando adems las siguientes funciones:
Elaborar y proponer la Poltica de Seguridad de la Informacin a la

Direccin para su correspondiente aprobacin.
Establecer las tareas y responsabilidades que sern asignadas al personal
del Data Center.
Gestionar planes de continuidad de las actividades en caso de ocurrencia
de un incidente.
Proponer metodologas de clasificacin de activos, anlisis y evaluacin de
riesgos.
Revisar y actualizar las polticas, normas y procedimientos de seguridad
del Data Center.
Efectuar la evaluacin y revisin de la seguridad de la informacin del Data
Center,
incluyendo
el
anlisis
de
incidentes
detectados
sus
recomendaciones.
Realizar un anlisis de factibilidad de la aplicacin de controles y coordinar
la implementacin de los mismos.
Analizar las causas de una infraccin de seguridad antes de iniciar el
proceso disciplinario.
Proponer una entidad auditora para la revisin de la vigencia e
implementacin de las Polticas de Seguridad de la Informacin.
El Jefe General del Data Center coordinar las actividades del Comit de
Seguridad de la Informacin. Entre sus funciones se mencionan las siguientes:
Establecer sistemas de monitoreo para detectar cambios significativos en

los riesgos de seguridad.
Difundir, educar y capacitar a todo el personal en materia de seguridad de
la informacin.
313
Fecha de la versin:
Versin:
Pgina 7 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Realizar un Anlisis de Riesgos, en coordinacin con los Propietarios de

los Activos, cada vez que se incorporen nuevos sistemas al Data Center.
Revisar los privilegios de acceso fsico y lgico del empleado.
Definir procedimientos para el control de cambios a los procesos
operativos, los sistemas e instalaciones de procesamiento de informacin,
y verificar su cumplimiento, de manera que no afecten la seguridad de la
informacin.
Gestionar el uso, manejo, almacenamiento y generacin de las claves
criptogrficas.
Velar por el desarrollo del programa de auditoras internas.
4.2.2.1.3 Asignacin de Responsabilidades de la Seguridad de la Informacin
La Direccin designar al Jefe General del Data Center como Responsable de la

Seguridad, quien se encargar de la supervisin de todos los aspectos inherentes
a la seguridad de la informacin.
El Comit de Seguridad de la Informacin asignar
las funciones y
responsabilidades de los miembros del Data Center para que puedan

desempear sus actividades y mejorar la seguridad.
Los Propietarios de los Activos pueden encargar la administracin de sus

funciones a otro personal. Sin embargo, continan siendo responsables del
cumplimiento de las mismas. Dicha delegacin tiene que ser documentada y
notificada al Responsable de la Seguridad.
Las responsabilidades para cada proceso de seguridad estarn descritas en las

polticas pertinentes.
314
Fecha de la versin:
Versin:
Pgina 8 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.2.1.4 Proceso de Autorizacin para los Medios de Procesamiento de Informacin
Cuando se adquieran nuevos recursos de hardware o software para el

procesamiento de informacin, stos deben ser revisados y aprobados por el
Responsable de la Seguridad conjuntamente con el Propietario del Activo, de tal
forma que se cumplan los requerimientos de seguridad.
Previa a la adquisicin de nuevos equipos de procesamiento de informacin, el

Propietario del Activo debe realizar un anlisis de compatibilidad con otros
elementos del sistema para evitar interrupciones en el servicio o no
conformidades.
Cada vez que se incorporen nuevos sistemas al Data Center, debe realizarse un
Anlisis de Riesgos, en cuya matriz, se incluirn los nuevos elementos. Esta tarea
la desempear el Responsable de la Seguridad.
4.2.2.1.5 Acuerdos de Confidencialidad
Todos los empleados del Data Center y personal externo deben firmar un acuerdo
de confidencialidad para preservar la informacin sensible de la Organizacin y de
los clientes.
Este acuerdo, que estar sujeto a revisiones peridicas, contendr los siguientes
aspectos:
Se considera informacin confidencial toda aquella que influya directa o

indirectamente en el desarrollo del negocio: datos de carcter personal,
informacin econmica y financiera, secretos comerciales, informacin
sobre los empleados, clientes o proveedores, datos sobre sueldos y
315
Fecha de la versin:
Versin:
Pgina 9 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
jornales, datos de prueba, planes de accin, estructura funcional y

organizacional, informes tcnicos, informacin sobre precios y ganancias,
estrategias empresariales, mtodos de trabajo, informacin de activos de
infraestructura y red, datos de activos de informacin, procedimientos,
contratos,
acuerdos,
servicios,
claves
contraseas
de
acceso,
direccionamiento IP, topologas, configuraciones de los sistemas de

comunicacin, cdigos fuente, etc.
El acuerdo tiene vigencia desde el momento en que la Organizacin revela
informacin al personal contratado y se prolongar hasta 1 ao despus de
que el empleado haya concluido su vinculacin con la empresa.
En caso no se renueve el contrato, ambas partes debern devolver a la

otra toda la informacin remitida entre s, comprometindose a la
destruccin de cualquier copia de la misma, independientemente del
soporte o formato en el que se encuentre almacenada.
Las partes se obligan a entregarse todo el material que sea necesario para
el cumplimiento de sus tareas, y si se trata de material confidencial, deben
comprometerse a:
o Utilizar dicha informacin de forma reservada.
o No divulgar ni comunicar la informacin tcnica facilitada por la otra
parte.
o Impedir la copia o revelacin de la informacin a terceros, salvo que
tengan la aprobacin escrita de la otra parte, y nicamente en los
trminos que consten en la aprobacin.
o Autorizar el acceso a la informacin a sus empleados y
subcontratados, en la medida en que razonablemente puedan
necesitarla para el cumplimiento de sus tareas acordadas.
316
Fecha de la versin:
Versin:
Pgina 9 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
o No utilizar la informacin o fragmentos de sta para fines distintos a

la ejecucin del contrato.
En caso de infraccin, violacin o inobservancia de lo acordado por parte de la

entidad que recibe la informacin, se aplicarn las sanciones administrativas,
civiles y/o penales que el caso amerite de conformidad con la legislacin vigente.
4.2.2.1.6 Contacto con Autoridades
En caso de detectarse incidentes de seguridad en el Data Center, se observar el

siguiente nivel de escalamiento, para la informacin y la aplicacin de correctivos:
1. Administradores.
2. Jefaturas de Infraestructura y TI.
3. Jefatura General del Data Center (Responsable de la Seguridad).
4. Gerencia Tcnica.
5. Gerencia General.
6. Presidencia Ejecutiva.
El Personal de Guardiana y el Jefe de Infraestructura tendrn registrados los

contactos con la polica para los incidentes de orden penal.
Los servicios pblicos y proveedores estarn bajo el mbito del Responsable de

la Seguridad y del Jefe de Infraestructura.
4.2.2.1.7 Contacto con Grupos de Inters Especial
El Responsable de la Seguridad tiene bajo su encargo la educacin del SGSI,

para lo que se encargar de contactar con entidades especializadas en seguridad
317
Fecha de la versin:
Versin:
Pgina 10 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
para recibir capacitaciones, las mismas que debern realizarse al menos una vez
cada 6 meses, contando con la autorizacin y el apoyo de la Direccin.
Dichas capacitaciones permitirn la actualizacin de los modelos de seguridad

implementados; as como la divulgacin de nuevos conocimientos en materia de
seguridad al personal del Data Center.
4.2.2.1.8 Revisin Independiente de la Seguridad de la Informacin
La revisin independiente de la vigencia e implementacin de las Polticas de

Seguridad de la Informacin se realizar semestralmente, a cargo de una entidad
auditora especializada propuesta por el Comit de Seguridad de la Informacin.
Los datos obtenidos a travs de la auditora, sern analizados por el Comit de

Seguridad de la Informacin, para verificar el grado de cumplimiento de las
normas establecidas en la Poltica. En casos de no conformidad, dicho Comit
ejecutar las acciones correctivas.
Todos los datos de la revisin sern registrados y documentados por el

Responsable de la Seguridad para evaluaciones futuras.
4.2.2.2 Grupos o Personas Externas
4.2.2.2.1 Identificacin de Riesgos Relacionados con Entidades Externas
La vinculacin con entidades externas genera riesgos de seguridad para el Data

Center. El Responsable de la Seguridad y los Propietarios de los Activos
identificarn los posibles riesgos para la aplicacin de mecanismos de control, a
efectos de preservar la seguridad.
318
Fecha de la versin:
Versin:
Pgina 11 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El Anlisis de Riesgos del Anexo B, contempla los posibles riesgos asignados a

personal externo. Para la identificacin de riesgos se considerarn los siguientes
aspectos:
Los elementos externos tendrn acceso fsico solamente a los equipos de

infraestructura en los cuales se necesite algn mantenimiento.
Si se requiere efectuar algn trabajo en equipos de clientes, se autorizar
el ingreso al sector del Cuarto de Cmputo donde se encuentre dicho
equipo.
El personal externo no tendr ningn privilegio ni clave para el acceso

lgico a equipos de informacin del Data Center.
Los clientes tienen conectividad continua y remota hacia sus equipos.
El Anlisis de Riesgos identificar las amenazas externas para los activos

de importancia.
Para el ingreso al Data Center habrn controles de acceso iniciales para el

personal externo que sern ejecutados por la guardiana y gestionados por
el Administrador de Control de Acceso. El personal externo deber llevar
siempre una identificacin en lugar visible.
El personal externo que incurriere en faltas a la seguridad o en incidentes

que produzcan interrupcin de las actividades normales del Data Center
estar sujeto a las sanciones estipuladas en los contratos.
319
Fecha de la versin:
Versin:
Pgina 12 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Si no existieren los debidos controles de seguridad o no se tuviere firmado

un acuerdo de responsabilidades entre las partes externas y el Data
Center, no se otorgar el acceso a las instalaciones.
4.2.2.2.2 Tratamiento de la Seguridad cuando se trabaja con Clientes
El acceso a los clientes no est exento de controles, y en este punto deben

considerarse algunos requerimientos de seguridad:
Los clientes solo pueden acceder a los Cuartos de Entrada y al Cuarto de

Cmputo, donde se encuentran sus equipos, pero no les est permitido el
ingreso al MDA o a los racks de otros clientes.
No tienen acceso a las dependencias que contengan equipamiento de

infraestructura o al centro de operaciones.
Tienen facultad para monitorear sus equipos, ya sean stos fsicos o

virtualizados.
Deben acatar obligatoriamente la Poltica de Control de Acceso Fsico y

Lgico del Data Center.
Estn sujetos a un Acuerdo de Confidencialidad para la preservacin de la

seguridad de datos sensibles del Data Center.
Recibirn del Data Center los reportes correspondientes, en caso de

haberse detectado incidentes de seguridad que afecten a su informacin.
320
Fecha de la versin:
Versin:
Pgina 13 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Firmarn Acuerdos de Nivel de Servicio con el Data Center, el mismo que

se compromete a proporcionar una disponibilidad del 99,982% en su
infraestructura.
4.2.2.2.3 Tratamiento de la Seguridad en Contratos con Terceras Personas
Los contratos y acuerdos entre entidades externas y el Data Center para cualquier
tipo de transaccin, deben cumplir con los siguientes requerimientos de
seguridad:
Conocimiento de la Poltica de Seguridad de la Informacin del Data

Center.
Procedimientos para la proteccin de activos del Data Center a nivel fsico
y lgico.
Mtodos y procedimientos de entrenamiento de usuarios y administradores

en materia de seguridad.
Responsabilidades relacionadas con el control de cambios, instalacin y

mantenimiento de hardware y software.
Conocimiento de la Poltica de Control de Acceso del Data Center.
Mecanismos para la revisin y notificacin de incidentes o fallas de

seguridad.
Acuerdos de Nivel de Servicio.
321
Fecha de la versin:
Versin:
Pgina 14 de 14
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Adquisicin del derecho a auditar responsabilidades contractuales o

surgidas del acuerdo.
Exposicin de los niveles de escalamiento para la solucin de problemas.
Obligaciones de las partes emanadas del acuerdo y responsabilidades

legales.
Condiciones para la negociacin/terminacin de los acuerdos.
322
POLTICA DE GESTIN DE ACTIVOS
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
2
2
3
3
4
Responsabilidad por los Activos ....................................................................................

Clasificacin de la Informacin ......................................................................................
4
14
323
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 2 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.3 GESTIN DE ACTIVOS
Generalidades
Los varios tipos de activos que se manejan en el Data Center, deben ser
conocidos e inventariados por los Propietarios de los mismos para su correcto uso
y proteccin.
Dentro de estos activos se deben mencionar: servicios, procesos del Data Center,
activos de software, activos de infraestructura de soporte, activos de red, activos
de informacin y recurso humano.
Los activos de informacin deben ser clasificados de acuerdo a la sensibilidad y

criticidad de la informacin que contienen o a la funcionalidad que desempean
en un sistema, con el objeto de sealar su tratamiento y proteccin.
Objetivos
Identificar los activos con que cuenta el Data Center para asegurar su
proteccin.
Asignar un Propietario a cada activo del Data Center, quien establecer los
controles para su seguridad.
Establecer un esquema de clasificacin de los activos acorde a su

confidencialidad e importancia.
Definir niveles de proteccin de los activos de conformidad con su

clasificacin.
324
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 3 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Alcance
Esta Poltica se aplica a todo tipo de activo que se administra en el Data Center,
incluyendo el recurso humano.
Responsabilidades
El Responsable de la Seguridad realizar revisiones peridicas de los valores de

los activos.
Los Propietarios de los Activos son los encargados de realizar y actualizar el

inventario de todos los activos que estn bajo su responsabilidad; valorarlos de
forma continua acorde a su criticidad; velar por su uso, mantenimiento, desarrollo
y seguridad; supervisar el proceso de clasificacin y etiquetado de los activos.
Las Jefaturas y los Propietarios de los Activos sern responsables del

cumplimiento de las polticas de uso aceptable de los activos por el personal bajo
su cargo.
El Departamento de TI gestionar los controles para el acceso a Internet, uso de

equipos de red y aplicaciones.
325
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 4 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.3.1 Responsabilidad por los Activos
4.2.3.1.1 Inventario de Activos
Los Propietarios de los Activos se encargarn de realizar el inventario de todos

los activos que estn bajo su responsabilidad. Este inventario ser sujeto a
modificaciones y actualizaciones cuando ingresen o se retiren activos. Su revisin
debe ser ejecutada en un plazo no mayor a los 6 meses.
Para la realizacin del inventario del Data Center se necesita inicialmente la

identificacin de sus activos y su nivel de importancia. En el Captulo 2, Seccin
2.5 se muestran los activos que se encuentran en el Data Center.
En el inventario se especifican ciertas caractersticas, como: tipo de activo,

cdigo, ubicacin, descripcin, serial y propietario. Las Tablas, desde la 3.23
hasta la 3.30, sealan el nivel de importancia de un activo con base en su costo,
nivel de dependencia y criticidad en las dimensiones de confiablidad, integridad y
disponibilidad para la consecucin de los objetivos del Data Center.
La valoracin del activo es parte esencial del Anlisis de Riesgos, la cual afecta
de forma directa a los resultados de nivel de riesgo y, consecuentemente, a la
proteccin necesaria. Un activo con un nivel de importancia bajo tendr un nivel
de proteccin bajo, en tanto que un activo critico tendr una proteccin elevada.
Todos los activos debern estar almacenados en una base de datos o CMDB 77
326
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 5 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
(Configuration Management DataBase) que contiene detalles relevantes de cada

uno y de la relacin entre ellos.
4.2.3.1.2 Propiedad de los Activos
Los Propietarios de los Activos son los encargados de velar por el uso,
mantenimiento, desarrollo y seguridad de los activos del Data Center. Tambin se
encargarn de desarrollar, mantener y actualizar el inventario de activos y, a la
vez, verificar el tipo de informacin que reside en los mismos, para aplicar
medidas de control y seguridad en conjunto con el Responsable de la Seguridad.
Los Propietarios de los Activos se encuentran descritos en la Estructura

Organizacional del Captulo 2, Seccin 2.5.1.
4.2.3.1.3 Uso Aceptable de los Activos
Todo el personal vinculado con las operaciones del Data Center tendr que seguir
ciertos lineamientos para el uso adecuado de la informacin y de los recursos que
la soportan.
Entre los lineamientos que deben tomarse en cuenta, se puntualizan los

siguientes:
77
CMDB o Base de Datos de la Gestin de Configuracin: es una base de datos que contiene una
coleccin de activos de TI y la relacin entre ellos.
327
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 6 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
328
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 6 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Correo electrnico
Es uno de los activos ms utilizados en cualquier organizacin. Para minimizar o

eliminar cualquier incidencia de seguridad se debe tomar en cuenta:
Utilizar un asunto, el cual facilite la bsqueda, recuperacin, clasificacin
y entendimiento de lo que se trata hacia el destinatario.
Es necesario redactar de una manera corts, utilizando un estilo adecuado,

para que dicho mensaje sea completamente interpretable y legible; no se
debe hacer uso de emoticones ni del smbolo @ para la diferenciacin de
gnero.
La utilizacin de la firma al final del mensaje debe contemplar su nombre,

sus funciones y los contactos con los cuales el destinatario puede
comunicarse; no debe tener informacin innecesaria ni imgenes que no
sean claras y debe estar en una escala adecuada.
Debe tomarse precauciones para no difundir y no responder a correo no

solicitado (spam), en vista de que puede poseer contenido malicioso y,
adems, contribuye al gasto innecesario de espacio en el servidor de
correo. Todo correo que contenga informacin o cdigo malicioso deber
ser eliminado de inmediato.
El correo debe remitirse solamente a destinatarios vlidos, ya que puede

generar filtracin de informacin; adicionalmente contribuye al gasto de
recursos de los servidores.
329
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 7 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Tomar prevenciones para no abrir correos inesperados, o que provengan

de contactos dudosos, para evitar el ingreso de cdigo malicioso al equipo
o a la red.
Debe diferenciarse entre el correo personal y el profesional, haciendo uso

de cuentas distintas para este efecto; de esta manera se disminuye el
espacio en los servidores, se mantiene organizado de mejor manera el
correo profesional y se disminuye la posibilidad de equivocacin al
momento de responder un correo y generar mala reputacin con los
clientes y compaeros del Data Center.
Siempre que se remitan archivos adjuntos, debe escribirse en el cuerpo del

mensaje el contenido del mismo, a fin de que el destinatario no suponga
que se trata de cdigo malicioso.
La direccin de correo debe ser difundida con mesura y solamente a

personal interno y clientes. Para llenar formularios de sitios web, se har
uso de una cuenta que no sea de la empresa.
Adicionalmente, se utilizarn mtodos criptogrficos para evitar que

posibles atacantes puedan atentar a la privacidad del mensaje.
Se deber respetar la confidencialidad de los mensajes enviados y

recibidos, de conformidad con las leyes vigentes y acuerdos de
confidencialidad establecidos en el contrato.
330
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 8 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Mensajera Instantnea
Cuando se haga uso de mensajera instantnea a nivel profesional, se debe tomar

en cuenta:
Por tratarse de un medio utilizado a nivel estrictamente laboral, no se debe

utilizar para mensajes personales, ni para difundir chismes.
Debe asegurarse que el destinatario o el emisor de un mensaje sea la

persona con la cual se va a tratar un determinado tema. Muchas
prevenciones son necesarias para difundir informacin confidencial a
travs de este medio.
Es necesario regular el lenguaje y la utilizacin de emoticones; procurar no

cometer faltas de semntica y sintaxis, que puedan transmitir de manera
incorrecta un determinado mensaje. Debe mantenerse el mismo grado de
cortesa como si se tratara de otro medio de comunicacin; adems, para
delimitar la conversacin, es necesaria una frmula de despedida.
La mensajera instantnea, permite la comunicacin en tiempo real; sin

embargo, existirn ocasiones en que no exista una respuesta de forma
inmediata, por lo cual ser prudente un tiempo de espera, sin apremios ni
insistencias. Si se requiere una respuesta urgente, deben buscarse otros
medios de comunicacin.
Se debe bloquear todo tipo de mensajera instantnea que no sea

autorizada por la empresa, como es el caso de las cuentas personales.
331
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 9 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Es necesaria la utilizacin de medios criptogrficos para proteger el envo

de mensajes y evitar que personal no autorizado acceda al contenido de
dicha informacin.
Acceso a Internet
Las restricciones existentes para el acceso a Internet son importantes por cuanto
la convergencia de aplicaciones y redes sociales estn vigentes en todos los
mbitos culturales, y es un medio extremadamente sensible a intrusiones y
ataques.
Para
proteger
el
acceso
Internet
debern
cumplirse
las
siguientes
recomendaciones:
Debe eliminarse el acceso a las redes sociales, para evitar la divulgacin

de informacin a personas no autorizadas, en relacin a infraestructura,
clientes, procesos, etc. Adicionalmente, el uso de redes sociales disminuye
la productividad del personal.
No se permitir ningn tipo de descarga a travs de Internet, que podra

significar el ingreso de cdigo malicioso de alto riesgo para la seguridad de
la informacin. En caso de que el Responsable de la Seguridad considere
la necesidad de descargas a travs de Internet, para ciertos casos, se
debern filtrar los archivos por sus extensiones, y eliminar los archivos con
extensiones no tradicionales (.doc, .xls, etc.).
Debe restringirse el acceso a las pginas de contenidos innecesarios para

el funcionamiento normal de la empresa; por ejemplo, chat, compras, sexo,
videos, etc.
332
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 10 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Eliminar programas P2P o similares que permitan descargas a travs de

Internet.
Aplicaciones
La utilizacin de aplicaciones, siempre en funcin de la seguridad, deben cumplir

los siguientes lineamientos:
Est contraindicado el uso de aplicaciones que no correspondan a las

usadas normalmente en el Data Center y que generen trfico que
congestione la red.
Las aplicaciones debern someterse a pruebas antes de entrar en

funcionamiento.
Toda la informacin que generen o procesen las aplicaciones estar sujeta

al Acuerdo de Confidencialidad, y por ningn concepto podr ser divulgada.
No se otorgarn permisos de modificacin a todo el personal que hace uso

de las aplicaciones, sino al personal debidamente autorizado. Los registros
y alarmas producidas debern contar con protecciones para evitar cambios
que no estn autorizados.
Equipos de Red
Los equipos de red deben cumplir el objetivo de proteger la informacin que

circula en la red del Data Center y garantizar la continuidad de los servicios
ofrecidos. Con esta finalidad, deben observarse los siguientes aspectos:
333
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 11 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los equipos y la informacin que se transmite a travs de los mismos no

podrn ser utilizados para actos delictivos, cumpliendo las prohibiciones
estipuladas en las leyes vigentes.
Los equipos de red por ningn motivo sern utilizados con fines personales
o didcticos; para este fin se dispone del rea de pruebas y los equipos
que le corresponden.
Se prohbe la destruccin, adjudicacin o modificacin deliberada de la

informacin y/o configuracin existentes en los equipos de red, tampoco de
la informacin que fluye a travs de los mismos.
No debe permitirse la obtencin y utilizacin de cuentas de usuario y claves

distintas a las otorgadas para el acceso a los equipos de red y aplicaciones
que contengan informacin respecto al funcionamiento del Data Center.
El ingreso a los equipos de red, de manera remota, deber operar a travs

de medios proporcionados por el Data Center y no por medios propios.
Est prohibida la conexin de dispositivos de red, que interfieran con el

flujo normal de la informacin, sin pasar por el rea de pruebas, la cual
verifica que no existan amenazas a la seguridad.
Los equipos de red no deben ser desconectados o reubicados sin

autorizacin del Propietario del Activo y las Jefaturas.
334
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 12 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Recursos computacionales
Para el uso correcto de los recursos computacionales dentro del Data Center
debe tomarse en cuenta lo siguiente:
Debe evitarse golpear los equipos para no ocasionarles daos en su

funcionamiento.
Todos los recursos computacionales debern limpiarse peridicamente, sin

agua, y mantenerlos libres de polvo.
Para su mejor funcionamiento, los insumos computacionales debern

disponer de adecuada ventilacin.
La informacin debe respaldarse peridicamente, de acuerdo a la Poltica

de Backup o Respaldo de la Informacin.
Debe mantenerse el escritorio de la pantalla limpio de conos o informacin

relevante del Data Center.
Est prohibido el almacenaje de archivos de audio y video sin previa

autorizacin del coordinador correspondiente.
No se deben instalar programas, complementos o software sin previa

autorizacin del Jefe de TI y el Responsable de la Seguridad.
Debe tomarse precauciones para evitar la apertura de archivos de dudosa

procedencia.
335
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 13 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El antivirus debe estar permanentemente actualizado y todos los

dispositivos de almacenamiento externo que se hallen conectados debern
someterse al anlisis del antivirus, previo a su utilizacin.
Se mantendr activo el firewall propio del sistema operativo.
Todos los recursos computacionales y dispositivos de almacenamiento

externo deben mantenerse alejados de imanes que provoquen daos en
las pantallas o formateen la informacin almacenada.
Documentacin
La documentacin, referida a medios digitales o impresos, deber cumplir con los

siguientes parmetros:
Toda la documentacin escrita o almacenada en medios magnticos

deber tener asignados privilegios de acceso a la misma, y contar con los
respaldos necesarios.
No se podr eliminar la documentacin sin permiso de las Jefaturas.
No se debe consignar en medios escritos nombres de usuario, claves o

contactos del personal; en el caso de hacerlo, se deber destruir dicha
informacin de inmediato.
Los documentos que genere cada empleado, debern estar separados en

condicin de documentos personales y profesionales; los documentos
personales estarn a cargo de cada persona, en tanto que la
documentacin profesional estar bajo la responsabilidad de las Jefaturas.
336
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 14 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Toda documentacin escrita deber estar convenientemente clasificada y

archivada por las Jefaturas correspondientes.
La documentacin en medios magnticos de almacenamiento deber

utilizar mtodos criptogrficos que garanticen su seguridad para evitar
posibles ataques.
4.2.3.2 Clasificacin de la Informacin
4.2.3.2.1 Lineamientos de Clasificacin de la Informacin
Cada activo debe ser clasificado con base en la funcin que desempea, su valor
y las posibles consecuencias de la prdida de confidencialidad, integridad y
disponibilidad.
La documentacin que se considera confidencial se encuentra descrita en la

seccin de Acuerdos de Confidencialidad.
Una vez completo el inventario de activos, se proceder a realizar la valoracin de

los mismos; para ello se tomar en cuenta la metodologa y los criterios de
valuacin de activos estipulado en el Captulo 3, Seccin 3.2.3. Los criterios
indican los distintos valores que un activo puede tomar en cada requerimiento de
seguridad (confidencialidad, integridad y disponibilidad). Luego de la valoracin se
clasificar a los activos por su grado de importancia, segn la Tabla 3.13.
Los Propietarios de los Activos son los encargados de valorarlos de forma

continua y notificar al Responsable de la Seguridad sobre cualquier cambio
respecto a su valor. Las revisiones de la valuacin de los activos debern
realizarse
de
forma
semestral.
337
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 15 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.3.2.2 Etiquetado y Manejo de la Informacin
La informacin y los activos tendrn un sistema de etiquetado acorde al esquema

de clasificacin definido. Se contemplarn los recursos de informacin que estn
en formato fsico o electrnico.
Los activos fsicos contarn con etiquetas impresas, las cuales estarn adheridas
a los equipos y contendrn la siguiente informacin: Nombre de la empresa (Data
Center o Cliente) y nombre del activo, en concordancia con el cdigo del
inventario.
El etiquetado y administracin de infraestructura de telecomunicaciones se

efectuar de conformidad con la norma TIA/EIA-606-A.
Los equipos de infraestructura mecnica utilizarn la nomenclatura descrita en el

Captulo 2, Seccin 2.3.4.
Los documentos fsicos y electrnicos tendrn una identificacin alfa numrica, la

cual se describe a continuacin:
El primer caracter identifica la confidencialidad del documento de

conformidad con la Tabla 3.10, donde el nivel 1 es pblico y tendr la letra
P, mientras que el resto de niveles hasta el 5 sern confidenciales, con la
letra C.
El segundo grupo de caracteres identifica el tipo de documento. Entre stos

se mencionan:
o POL: Polticas
o INS: Instructivos
338
GESTIN DE ACTIVOS
Fecha de la versin:
Versin:
Pgina 16 de 16
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
o PROC: Procedimientos
o DOC: Documentos
o MAN: Manuales
o FOR: Formularios
El tercer grupo identifica el rea de funcin del documento:

o SEG: Seguridad
o TEC: Tcnico u Operacional
o ADM: Administrativo
o FIN: Financiero
o JUR: Jurdico
o ORG: Organizacional
o GNR: General
El cuarto grupo especifica el Titulo o Descripcin del documento.
El quinto grupo de caracteres es numrico y representa el orden secuencial

de los documentos.
El sexto grupo identifica la versin del documento
Finalmente, el sptimo grupo define la fecha de realizacin o modificacin

del documento con el formato de AA/MM/DD
Cuando se realice una modificacin del documento, en sta se debe indicar la

fecha de la modificacin de la versin. Las versiones no deben reemplazar al
documento original.
339
GESTIN DE ACTIVOS
C-POL-SEG-Gestin de Activos-03-1.0-2014-01
Fecha de la versin:
Versin:
Pgina 17 de 17
Elaborado por
________________________
Revisado por
________________________________
Aprobado por
_____________________
Los documentos que se comparten con instituciones externas al Data Center

deben cumplir los requisitos indicados en este lineamiento.
340
POLTICA DE SEGURIDAD DE RECURSOS

HUMANOS
SEGURIDAD DE RECURSOS HUMANOS
C-POL-SEG-Seguridad RRHH-04-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
2
2
3
3
4
Antes del Empleo ..........................................................................................................

Durante el Empleo ........................................................................................................
Terminacin o Cambio de Empleo .................................................................................
4
9
12
341
Fecha de la versin:
Versin:
Pgina 2 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.4 SEGURIDAD DE RECURSOS HUMANOS
Generalidades
Para mantener la seguridad de la informacin en las operaciones del Data Center

es necesario contar con un recurso humano capacitado que cumpla los
lineamientos propuestos, con el fin de ejecutar sus tareas de una forma eficiente y
segura.
La educacin y divulgacin de las Polticas de Seguridad debe ser un proceso

continuo que se inicia antes de cualquier contrato, donde se identifican las
responsabilidades y expectativas de seguridad que debe cumplir el personal,
incluidas las sanciones, en caso de no hacerlo.
Objetivos
Establecer las reglas de contratacin y responsabilidades de seguridad

para los empleados, contratistas y terceros, a fin de minimizar los
incidentes inherentes a la actividad humana.
Asegurar que los candidatos al empleo, contratistas y terceros sean

idneos para los cargos que desempearan, recabando informacin sobre
sus antecedentes.
Establecer acuerdos sobre los trminos y condiciones del empleo, as

como convenios de confidencialidad con todo el personal y usuarios
externos de las instalaciones de procesamiento de informacin.
Garantizar que el personal que interviene en el Data Center conozca sobre

los incidentes de seguridad que podran presentarse y la forma de
342
Fecha de la versin:
Versin:
Pgina 3 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
responder ante dichos eventos, conforme a la Poltica de Seguridad del

Data Center.
Establecer mecanismos para la devolucin de equipamiento y eliminacin

de privilegios de acceso, para cuando el personal concluya el empleo o en
el caso de cambios de las responsabilidades internas.
Alcance
Esta Poltica se aplica a todo el personal, ya sea en ejercicio, contratistas,

terceros, y de ingreso reciente, que desempean cualquier funcin en el Data
Center.
Responsabilidades
La Direccin se comprometer a apoyar la implementacin de seguridad en el

Data Center, proporcionando los recursos necesarios y manteniendo al personal
actualizado en materia de seguridad de la informacin. Tambin controlar las
acciones del personal por medio del Responsable de la Seguridad y las diferentes
Jefaturas.
El Responsable de la Seguridad ser el encargado de la realizacin de los cursos

de capacitacin. Adems, tendr a su cargo el seguimiento, documentacin y
anlisis de los incidentes de seguridad reportados, as como la comunicacin al
Comit de Seguridad de la Informacin y a la Direccin. El Comit analizar las
causas de una infraccin de seguridad antes de iniciar el proceso disciplinario.
El Responsable de la Seguridad y las Jefaturas correspondientes realizarn una

revisin de los privilegios de acceso fsico y lgico del empleado.
343
Fecha de la versin:
Versin:
Pgina 4 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Las Jefaturas se encargarn de informar las funciones y responsabilidades que

deber cumplir el personal nuevo, seleccionarn al personal ms idneo y
recolectarn la informacin que se encuentre en los equipos de informacin que
utilizan los empleados.
El Departamento de Recursos Humanos tendr la responsabilidad de informar las

funciones de seguridad de los puestos de los empleados; recolectar y verificar
los documentos suministrados por los solicitantes a un puesto; gestionar los
Compromisos de Confidencialidad y coordinar los procedimientos de terminacin
del empleo.
El Departamento Jurdico brindar asesoramiento sobre las sanciones adoptadas

por incumplimiento de la presente Poltica.
Todo el personal, interno o externo, deber reportar inmediatamente cualquier

evento que pudiera comprometer la seguridad del Data Center; adems, deber
restituir todos los documentos y activos del Data Center, una vez que concluya su
contrato.
4.2.4.1 Antes del Empleo
4.2.4.1.1 Roles y Responsabilidades
El Departamento de Recursos Humanos y las Jefaturas respectivas se

encargarn de informar sobre las funciones y responsabilidades que deber
cumplir el personal nuevo que ingrese al Data Center. Para ello se observarn las
siguientes consideraciones:
344
Fecha de la versin:
Versin:
Pgina 5 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La Poltica de Seguridad de la Informacin estar incluida dentro de la

exposicin de roles y responsabilidades al personal que va a ser
contratado.
Se
indicarn
las
responsabilidades
para
la
implementacin
mantenimiento de la Poltica de Seguridad de la Informacin.
Se informar sobre los activos que estarn bajo su cargo y el tipo de

informacin que se manejar, as como su compromiso para evitar el
acceso,
divulgacin,
modificacin,
destruccin
interferencia
no
autorizada.
Se expondr el tipo de sanciones internas, regulatorias o legales, en caso

de incumplimiento de la Poltica de Seguridad de la Informacin.
Se establecer la obligatoriedad de reportar los eventos de seguridad u

otros riesgos para el Data Center a su Jefe de Departamento o al
Responsable de la Seguridad.
4.2.4.1.2 Seleccin de Personal
Los candidatos para el empleo, contratistas y terceros estarn sometidos a una

verificacin preliminar de sus antecedentes, asegurando la privacidad de su
informacin personal.
El Departamento de Recursos Humanos verificar las funciones y la informacin

que estarn bajo la responsabilidad del candidato, para lo cual solicitar los
siguientes datos al solicitante:
Documento de antecedentes penales o Rcord Policial.
345
Fecha de la versin:
Versin:
Pgina 6 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Certificados de honorabilidad, de carcter personal y comercial, que no

deben ser emitidos por familiares. En caso de no tener experiencia laboral
previa, se aceptar solo la referencia personal.
Hoja de Vida, donde consten sus aptitudes y destrezas para el puesto a

ocupar, y alguna otra informacin relevante, que pueda ser verificada por el
Jefe de Departamento correspondiente.
Documentos de Identificacin Personal: Cdula de Identidad o Pasaporte

para personal extranjero.
El Departamento de Recursos Humanos verificar la informacin proporcionada

por los solicitantes, en tanto que las Jefaturas del Data Center realizarn la
seleccin del personal ms idneo. El Departamento de Recursos Humanos ser
el encargado de notificar a los aspirantes sobre la investigacin de antecedentes.
Para el personal externo o contratistas, se adoptar un proceso similar en lo

concerniente a la identificacin de antecedentes de los mismos. En el caso de que
los contratistas sean proporcionados por una agencia, se especificar en el
contrato las responsabilidades de la misma con relacin a la investigacin de
antecedentes de su personal.
4.2.4.1.3 Trminos y Condiciones del Empleo
Los trminos y condiciones del empleo determinarn la responsabilidad del

empleado en materia de seguridad de la informacin.
Todo empleado y colaborador, que debido a sus funciones debe manipular y

utilizar equipos o servicios tecnolgicos de la infraestructura de comunicacin del
346
Fecha de la versin:
Versin:
Pgina 7 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Data Center, independientemente de su jerarqua dentro de la institucin, debe

firmar un contrato con los trminos y condiciones de su empleo, en el que acepte:
condiciones de confidencialidad y manejo de informacin generada en sus
funciones, el manejo adecuado de los recursos informticos y apego a las normas
y Polticas de Seguridad de la Informacin.
Todo personal, interno o externo, que maneje informacin del Data Center debe
firmar un Acuerdo de Confidencialidad, antes de obtener acceso a la misma. La
copia firmada del Compromiso deber ser archivada en forma segura por el
Departamento de Recursos Humanos.
Las responsabilidades y derechos de los empleados tendrn relacin con el

Cdigo del Trabajo [62], Art. 45 Obligaciones del trabajador y Art.46 Prohibiciones
al trabajador.
La clasificacin de la informacin y la gestin de activos se realizarn conforme a

lo estipulado en la Poltica de Gestin de Activos.
Es responsabilidad de los usuarios de equipos y servicios tecnolgicos del Data

Center cumplir con la Poltica de Seguridad de la Informacin del Data Center.
Los proveedores externos deben tener una copia del documento.
Es derecho de los empleados del Data Center: la utilizacin de informacin para

el desarrollo eficiente de sus actividades; asignacin de privilegios de acceso a
los sistemas informticos que maneja; habilitacin de tarjetas inteligentes para el
ingreso a reas designadas del Data Center; realizar copias de informacin
autorizadas por el superior y el Responsable de la Seguridad; acceso a
capacitaciones relativas a sus funciones y a la seguridad de la informacin;
trabajo en reas seguras que resguarden su integridad fsica; disponibilidad de
equipamiento necesario para el cumplimiento de sus tareas.
347
Fecha de la versin:
Versin:
Pgina 8 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Cualquier documentacin que est en formato fsico o digital, deber ser

manejada de forma segura para evitar accesos indebidos.
Los empleados deben seleccionar una contrasea robusta, que no tenga relacin
obvia con el usuario, adems de proteger las contraseas suministradas, evitando
su divulgacin o revelacin por otros de forma inadvertida.
Cada usuario tendr una tarjeta inteligente individual que lo identificar de manera
nica en el sistema de control de acceso, razn por la cual se encuentra prohibido
el prstamo de tarjetas.
Los usuarios deben reportar inmediatamente cualquier evento que pueda

comprometer la seguridad del Data Center y sus recursos informticos, como por
ejemplo: contagio de virus, intrusos, modificacin o prdida de datos, robo de
tarjetas, uso inadecuado de equipos por otros y ms incidentes de seguridad.
El Data Center almacena y procesa informacin sobre los clientes y otros datos
relacionados con propsitos administrativos y comerciales. Cuando se maneja tal
informacin, el Data Center debe proteger los datos segn los acuerdos de
confidencialidad con la data de los clientes y normas de proteccin de informacin
personal.
El personal interno y externo debe estar consciente de sus responsabilidades y

seguir los lineamientos propuestos en la Poltica de Uso Aceptable de los Activos.
La informacin de los clientes que se encuentra alojada en equipos del Data

Center, a travs de los servicios de hosting, housing, servicios virtuales y storage,
es de propiedad exclusiva del cliente. Los requerimientos o problemas de los
clientes con respecto al servicio deben ser tratados por personal tcnico de primer
nivel o canalizarlo hacia personal especializado de infraestructura o TI, segn el
348
Fecha de la versin:
Versin:
Pgina 9 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
caso. La informacin financiera o de proveedores debe ser tratada por las

Jefaturas y Gerencia Comercial del Data Center.
Cuando corresponda, los trminos y condiciones de empleo establecern que

estas responsabilidades se extiendan ms all de los lmites de la sede del
Organismo y del horario normal de trabajo, especialmente para Administradores y
Jefaturas.
En caso de que se verifique el incumplimiento de las normas y polticas descritas

en la Poltica de Seguridad de la Informacin, se aplicarn las medidas dispuestas
en la Poltica de Proceso Disciplinario.
4.2.4.2 Durante el Empleo
4.2.4.2.1 Gestin de Responsabilidades
La Direccin y el Comit de Seguridad de la Informacin deben cumplir las

siguientes responsabilidades para asegurar el acatamiento de las polticas por
parte del personal:
Difundir las polticas de seguridad al personal interno y externo con el

apoyo de las Jefaturas y el Responsable de la Seguridad.
Informar al personal sobre sus responsabilidades y funciones respecto a la

seguridad de la informacin, antes de que pueda tener acceso a
informacin o a sistemas sensibles.
Indicar el tipo de seguridad que debe aplicar el personal cuando se halle en

ejercicio de sus funciones.
349
Fecha de la versin:
Versin:
Pgina 10 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Entregar los recursos necesarios para incrementar el nivel de seguridad y

satisfaccin de los empleados, a fin de aumentar su motivacin para el
cumplimiento de las normas de seguridad.
Mantener control sobre las acciones del personal en lo referente a

seguridad, a travs del Responsable de la Seguridad y las diferentes
Jefaturas.
Mantener al personal actualizado sobre riesgos de informacin, mediante

capacitaciones o informativos, con el fin de concienciar sobre los riesgos
de seguridad que pueden ocurrir en el ejercicio de sus labores.
4.2.4.2.2 Capacitacin y Educacin en Seguridad de la Informacin
Todos los empleados, usuarios externos y terceros que desempean funciones en

el Data Center, debern recibir una adecuada capacitacin y actualizacin
peridica en materia de polticas, normas y procedimientos de la seguridad. Esto
comprende los requerimientos de seguridad y las responsabilidades legales, as
como la capacitacin referida al uso correcto de las instalaciones de
procesamiento de informacin y al uso adecuado de los recursos en general.
Se implementar un proceso de induccin formal diseado para introducir las

expectativas
de
seguridad
del
Data
Center.
Existirn
capacitaciones
diferenciadas, dependiendo del tipo rol, responsabilidad y capacidades del

personal.
El Responsable de la Seguridad ser el encargado de la realizacin de los cursos

de capacitacin, los mismos que estarn documentados y se entregarn a las
personas que concurran. En los cursos se solventarn las dudas e inquietudes, y
se culminar la instruccin con una evaluacin.
350
Fecha de la versin:
Versin:
Pgina 10 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La actualizacin del material de las capacitaciones se efectuar cada 6 meses.

El personal nuevo recibir la capacitacin de seguridad de la informacin mientras
dura su periodo de prueba e induccin, antes de otorgrsele privilegios de acceso
a los sistemas que le competen.
Todos los empleados y contratistas deben conocer el procedimiento de

comunicacin de incidentes de seguridad.
Cuando se detecte un incidente o violacin de seguridad, el personal de turno

debe notificar a la autoridad superior, ya se trate de Administradores o Jefaturas,
y al Responsable de la Seguridad, en el menor tiempo posible. ste determinar
los recursos necesarios para la investigacin y solucin del incidente, y su
monitoreo. Asimismo, mantendr al Comit de Seguridad de la Informacin y a la
Direccin al tanto de la ocurrencia de incidentes de seguridad.
4.2.4.2.3 Proceso Disciplinario
Para los empleados que violen la Poltica de Seguridad de la Informacin del Data
Center, se seguir el proceso disciplinario formal contemplado en las normas
estatutarias, legislativas o penales. Dicho proceso tendr los siguientes
lineamientos:
El Comit de Seguridad de la Informacin verificar previamente la

evidencia de violacin de seguridad, antes de iniciar el proceso
disciplinario.
El proceso disciplinario ser llevado de manera imparcial, aplicndose en

los mismos trminos, sin consideraciones al nivel jerrquico del empleado
que ha cometido la infraccin.
351
Fecha de la versin:
Versin:
Pgina 12 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El Comit de Seguridad de la Informacin tomar en cuenta: la naturaleza

y gravedad del incumplimiento, su impacto en el negocio, si se trata de una
primera infraccin, si el culpable fue apropiadamente capacitado, la
legislacin relevante, contratos comerciales y otros factores concurrentes.
En el caso de determinar que la infraccin fue involuntaria o no tuvo

impactos significativos sobre los servicios o activos del Data Center, se
aplicarn algunas sanciones a los responsables, como: amonestacin oral,
amonestacin escrita y multas econmicas.
En los casos en que se cometieran afectaciones graves o actos voluntarios

que pongan en peligro la seguridad de los activos del Data Center, se
tomarn medidas ms drsticas, como la expulsin inmediata de las
instalaciones del Data Center, o despido, con retiro de privilegios de
acceso fsico y lgico.
Las sanciones se atendrn a lo dispuesto en el Cdigo del Trabajo, Ttulo

VII - De las Sanciones; y los despidos, a lo contemplado en el Captulo X Del desahucio y del despido.
4.2.4.3 Terminacin o Cambio de Empleo
4.2.4.3.1 Responsabilidades de Terminacin
La responsabilidad de comunicar la terminacin del empleo recae sobre el

Departamento de Recursos Humanos, quien informar al personal acerca de su
terminacin o cambio de actividades en el Data Center.
352
Fecha de la versin:
Versin:
Pgina 13 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El personal debe preservar la seguridad de la informacin, luego de la terminacin

de su contrato, con las condiciones que se encuentran en el Acuerdo de
Confidencialidad firmado.
La terminacin del contrato puede ocurrir por iniciativa del Data Center o por los
empleados, debiendo cumplirse los lineamientos y clusulas contempladas en el
Cdigo del Trabajo, Captulo IX - De la terminacin del contrato de trabajo.
En caso de cambio de responsabilidad o empleo dentro del mismo Data Center,

se observarn los mismos procedimientos contemplados para la terminacin del
empleo y los procesos de contratacin.
El Departamento de Recursos Humanos tiene la responsabilidad de informar a los

dems empleados, contratistas y terceras partes sobre los cambios en los
acuerdos operativos y de personal.
4.2.4.3.2 Devolucin de Activos
Cuando el personal termine su contrato con el Data Center, deber devolver todos
los documentos que contengan informacin de la empresa, dispositivos de
almacenamiento entregados por la empresa, tarjetas de proximidad y toda
documentacin que identifique al implicado como miembro de la empresa.
La verificacin de activos se realizar antes de la salida del personal, mediante

revisin del inventario por los Propietarios de los Activos o una autoridad superior,
en caso de la ausencia de los primeros.
Las computadoras porttiles, agendas electrnicas o tablets, proporcionadas a las

Jefaturas y mandos gerenciales deben ser restituidas a la empresa cuando dicho
personal termine sus funciones.
353
Fecha de la versin:
Versin:
Pgina 14 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Antes de la salida del personal, las correspondientes Jefaturas se asegurarn de

que toda informacin contenida en los equipos que utilizan los empleados, ya
sean de propiedad de la empresa o del usuario, se transfiera a la Organizacin y
sea borrada de los equipos.
La informacin sobre cambios o funcionamiento de sistemas, solo conocida y

manejada por un determinado personal, cuando ste abandona la empresa, debe
ser documentada y transferida al Data Center, de lo cual se ocupar el
4.2.4.3.3 Eliminacin de Derechos de Acceso
El Responsable de la Seguridad y la Jefatura correspondiente realizarn una

revisin de los privilegios de acceso fsico y lgico del empleado, para reducirlos,
en los casos de cambio de empleo, o retirarlos cuando termine el contrato de
trabajo.
Antes de la terminacin o cambio del empleo, deben reducirse o retirarse los

derechos de acceso para los activos y los medios de procesamiento de
informacin, lo cual se har evaluando los siguientes factores de riesgo:
Si la terminacin o cambio es iniciado por el usuario empleado, contratista

o tercera persona, o por la Organizacin y la razn de la terminacin.
Las responsabilidades actuales del usuario empleado, contratista o

cualquier otro usuario.
El valor de los activos actualmente disponibles.
354
Fecha de la versin:
Versin:
Pgina 15 de 15
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los sistemas que se tomarn en cuenta para la revocacin de privilegios de

acceso sern los siguientes: sistemas de informacin, aplicativos de uso interno,
sistemas de red, sistemas de monitoreo, software de servidores, storage,
virtualizacin, conexiones remotas y tarjetas inteligentes.
Una vez confirmada la culminacin de funciones del personal, se deber cambiar

las claves generales de los sistemas a los cuales tena acceso. Tambin se
evitara difundir sta y otra informacin al personal que est por salir de la
empresa o que ya se encuentra fuera de ella, para evitar un uso indebido.
El personal de guardiana debe estar en conocimiento del personal que ha salido

de la empresa, para impedir su ingreso no autorizado a la misma.
355
POLTICA DE SEGURIDAD FSICA Y AMBIENTAL

SEGURIDAD FSICA Y AMBIENTAL
C-POL-SEG-Seguridad Fsica-05-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
4
5
reas Seguras ..............................................................................................................

Seguridad del Equipo ....................................................................................................
5
16
3
4
356
Fecha de la versin:
Versin:
Pgina 2 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.5 SEGURIDAD FSICA Y AMBIENTAL
Generalidades
Con el propsito de mantener la seguridad, integridad y apariencia del Data

Center, es necesario establecer procedimientos para el control de ingresos no
autorizados, aseguramiento de las instalaciones y proteccin del equipamiento.
El aseguramiento fsico toma en cuenta todas las posibles amenazas

provenientes del exterior, entre las cuales se encuentran aquellas causadas por
intervencin humana y por factores ambientales.
El establecimiento de controles perimetrales y un sistema de control de acceso

inicial, permitir proteger los activos crticos que soportan las operaciones
principales del Data Center.
La proteccin contra amenazas de ndole natural o ambiental, permitir garantizar

la continuidad de los servicios y el resguardo de la integridad del personal que
debe laborar en reas seguras.
Todos los activos del Data Center son susceptibles de daos ocasionados por mal
uso o por fallas en los trabajos de mantenimiento. En circunstancias en que el
personal interno no pueda realizar algunas tareas de mantenimiento, se
efectuarn traslados fuera de las reas protegidas del Organismo para su
revisin. Estos procesos deben ejecutarse bajo estrictas normas de seguridad y
de preservacin de la informacin almacenada en los mismos.
357
Fecha de la versin:
Versin:
Pgina 3 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Objetivos
Instituir
controles
para
evitar
accesos
no
autorizados,
daos
interferencias sobre los medios de procesamiento de informacin.
Establecer las normas para el permetro de seguridad del Data Center con
controles fsicos de entrada a las instalaciones.
Proteger el equipamiento ubicndolo en reas protegidas, segn su funcin

y criticidad, a travs de controles de acceso apropiados. Asimismo,
asegurar la proteccin del mismo en su traslado y permanencia fuera de
las reas protegidas, por motivos de mantenimiento u otros.
Velar por la seguridad e integridad del personal en los lugares donde

desarrolla sus actividades, proporcionando ambientes que cumplan con las
regulaciones de seguridad y sanidad.
Controlar los factores ambientales o desastres industriales que podran

perjudicar el correcto funcionamiento del equipamiento que soporta los
servicios del Data Center.
Implementar directrices para el control de personal encargado de realizar

trabajos en el equipamiento del Data Center.
Establecer procedimientos para la realizacin de mantenimientos, con el fin

de preservar la continuidad de los sistemas.
358
Fecha de la versin:
Versin:
Pgina 4 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Alcance
Esta Poltica se aplicar a todos los empleados, proveedores, contratistas

vinculados con el Data Center. Se incluyen adems todos los recursos fsicos
necesarios para el desarrollo de los servicios, como: instalaciones, equipamiento
de infraestructura y TI, cableado, documentacin, medios de almacenamiento,
etc., que requieran proteccin fsica.
Responsabilidades
El Responsable de la Seguridad, en coordinacin con los Propietarios de los

Activos, definir las medidas de seguridad fsica y ambiental para el resguardo de
los activos crticos, en funcin de un Anlisis de Riesgos y controlar su
implementacin. Tambin ser notificado de los activos que requieran salir del
Data Center.
Las Jefaturas y Propietarios de los Activos autorizarn y supervisarn todos los

trabajos o mantenimientos que se realicen en el Data Center, los cuales constarn
en un plan de accin propuesto por los Propietarios de los Activos.
Los Propietarios de los Activos llevarn un registro de los activos que hayan sido
retirados.
El Departamento de TI mantendr los planos y rutas del cableado de red y

ejecutar el borrado de informacin de los equipos electrnicos que vayan a ser
eliminados o reutilizados.
El Administrador de Control de Acceso ser el encargado de gestionar la

asignacin de privilegios para las tarjetas inteligentes, previa verificacin y
359
Fecha de la versin:
Versin:
Pgina 5 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
autorizacin del Responsable de la Seguridad. Tambin tramitar las solicitudes

de acceso de personal externo al Data Center.
El personal de guardiana controlar el ingreso y salida de equipos y personal en

el Data Center y llevar una bitcora de las actividades que realice el personal.
Todo el personal del Data Center ser responsable del cumplimiento de las
normas de control de acceso fsico.
4.2.5.1 reas Seguras
4.2.5.1.1 Permetro de Seguridad Fsica
El edificio del Data Center dispone de un cerramiento que brinda una proteccin
inicial, con paredes que tienen un sistema de vallas electrificadas. En el
cerramiento se ubica el punto de acceso principal a las instalaciones.
El punto de acceso principal incluye un sistema de control de acceso, que es

gestionado por un personal de guardiana. La garita del control inicial cuenta con
vidrio antibalas y puertas reforzadas.
La instalacin del Data Center tiene dos puertas principales, una para el acceso
general y otra para servicios de entrega, pruebas y carga. No se dispone de
ventanas exteriores, ni en el Data Center ni en el Cuarto de Cmputo.
Se ubican dos puntos de control para el personal, uno a la entrada exterior del
Data Center; y otro interior, para el acceso a las instalaciones propias del Data
360
Fecha de la versin:
Versin:
Pgina 6 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Center Tier III. En ambos puntos se cumplir la Poltica de Control de Acceso

Fsico.
En el Captulo 2, Seccin 2.3.1, se especifican los requerimientos para la

proteccin del Permetro de un Data Center Tier III. Adicionalmente, se necesita el
cumplimiento de los siguientes lineamientos:
Los activos crticos que permiten el correcto funcionamiento de los

sistemas de informacin debern estar en reas o permetros de seguridad
como cuartos independientes con estructuras slidas.
Deber existir un documento que especifique las reas de importancia y los

permetros de seguridad.
Deber contarse con construcciones estables y con mecanismos de control

para accesos no autorizados, como: controles biomtricos, detectores de
proximidad, alarmas para intrusos.
Se debern identificar y sealar las puertas de emergencias que deben

tener concordancia con los cdigos ante siniestros.
Todas las
dependencias
del
Data
Center,
sean
stas:
oficinas,
habitaciones, cuartos de equipos de infraestructura y TI, debern contar

con sistemas para casos de intrusin, utilizando alarmas, seales o
cmaras.
Los equipos de los clientes en los racks del Cuarto de Cmputo debern
estar separados de los equipos que manejan los sistemas del Data Center.
361
Fecha de la versin:
Versin:
Pgina 7 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El Responsable de la Seguridad llevar un registro actualizado de los sitios

protegidos, en el cual constar la identificacin del edificio, de las reas, los
principales elementos a proteger y las medidas de proteccin fsica.
4.2.5.1.2 Control de Acceso Fsico
El ingreso al Data Center y a las reas seguras dispondr de controles de acceso,

que son determinados por el Responsable de la Seguridad y por el Jefe de
Infraestructura. La Poltica de Control de Acceso Fsico incluye los siguientes
parmetros:
Los empleados internos del Data Center y el personal externo portarn una
tarjeta de Control de Acceso que les permite ingresar solo a las reas
designadas para su trabajo. La habilitacin de privilegios la realiza el
Administrador de Control de Acceso.
El personal externo o los clientes que necesiten ingresar a las instalaciones

del Data Center, debern enviar una solicitud a las Jefaturas y al
Administrador del Control de Acceso, en la cual se especificar lo
siguiente:
o Nombre de la empresa.
o Nombre y nmero de cdula de identidad de los visitantes.
o Motivos para el ingreso.
o Fecha y hora de la visita.
La garita es el primer punto de control de acceso al Data Center. Todas las

personas que ingresen, debern registrarse con su CI/Pasaporte y
proporcionarn la siguiente informacin al personal de seguridad: nombres,
nmero de cdula o pasaporte, compaa, detalle del trabajo, personal que
362
Fecha de la versin:
Versin:
Pgina 8 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
se responsabilizar de su visita. Antes de su ingreso, la guardiana

efectuar un chequeo preliminar para comprobar la autenticidad de las
personas que van a ingresar y verificar la autorizacin de la persona
responsable.
Si el agente de seguridad comprueba que el visitante no cuenta con un

acceso autorizado, NO le permitir el acceso al edificio.
El visitante entregar un documento de identificacin en la garita, al

momento de su entrada, el mismo que le ser devuelto a su salida.
El personal de seguridad revisar el equipamiento de la persona que

ingresa, incluyendo: equipos de cmputo, materiales, herramientas,
equipos de comunicaciones, etc.
El segundo punto de control se encuentra en el lobby del Data Center. El

personal de seguridad llevar una bitcora de actividades, en la cual se
registrar la fecha, hora de entrada y salida de los visitantes y las
actividades realizadas en el Data Center. Entregar al visitante una tarjeta
de acceso, la misma que deber devolver a su salida del edificio.
Se retendrn telfonos celulares, cmaras, dispositivos de almacenamiento

externo, computadores y otros implementos que no se requieran para las
actividades de los visitantes.
Los visitantes debern ser escoltados por personal de seguridad a las

zonas donde realizarn sus trabajos.
El ingreso al Cuarto de Cmputo se controla por verificacin biomtrica de

huella dactilar e iris, tarjeta de proximidad y sistema trap-door. Solo
363
Fecha de la versin:
Versin:
Pgina 9 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
personal autorizado que cumpla todos los requisitos, podr ingresar a dicha
rea.
El personal externo est vigilado en todo momento por el sistema de

videovigilancia, y dependiendo del caso, contar con la presencia de
personal tcnico que supervisar y ser responsable de las actividades que
desarrollen.
Todo el personal del Data Center deber portar una identificacin visible;
caso contrario, se notificar inmediatamente al personal de seguridad.
El personal externo deber notificar su salida al personal de seguridad,

quien validar y verificar con el responsable interno de esta novedad.
El Responsable de la Seguridad se encargar de revisar de forma

peridica los registros de entrada a las reas protegidas.
Las normas de conducta y de trabajos en las reas del Data Center se

estipulan en la Poltica de Trabajo en reas Seguras.
4.2.5.1.3 Seguridad de Oficinas, Habitaciones y Medios
Las reas restringidas contienen equipamiento necesario para el desarrollo

normal de las actividades del Data Center y de sus servicios. A continuacin se
detallan algunas de las reas y sus medidas de proteccin.
Se consideran reas restringidas a las siguientes: cuarto de cmputo, donde se

encuentran los equipos de red, servidores y equipos de los clientes; rea de
storage; cuartos elctricos; cuartos de UPSs y bateras; rea de generadores y
364
Fecha de la versin:
Versin:
Pgina 10 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
tanques de combustible; rea de chillers; cuarto de UMAs; y Cuartos de Entrada

para las cross-connections.
Las oficinas y el NOC contienen elementos importantes para la gestin del Data
Center, tales como: documentos, computadoras de trabajo, informacin personal
y comercial, software de administracin de subsistemas, etc. Estas reas se
encuentran separadas fsicamente y cuentan con mecanismos de control de
acceso fsico para su entrada. Los elementos de soporte, como impresoras,
fotocopiadoras, escneres, tambin se encuentran en el interior de las oficinas.
Las reas restringidas contienen una sealtica discreta donde solo se indica el
nombre de sus cuartos, ms no su propsito.
Todo el Data Center cuenta con sistemas de monitoreo, vigilancia y control

adecuados, que permiten minimizar los riesgos de daos fsicos y prdida de los
recursos informticos.
El almacenamiento de combustible para los generadores se localiza en reas

externas a las instalaciones, con objeto de evitar posibles desastres industriales.
4.2.5.1.4 Proteccin contra Amenazas Externas y Ambientales
El Data Center cuenta con proteccin fsica contra amenazas que podran causar
impacto en los activos. Las amenazas para cada activo se identifican en el
Anlisis de Riesgos.
Se cuenta con un nivel de redundancia N+1 o 2N+1 en los subsistemas del Data
Center. Los respaldos de los sistemas de infraestructura y soporte se encuentran
separados unos de otros en cuartos independientes. Los respaldos de los equipos
de TI se hallan en posiciones diferentes dentro del Cuarto de Cmputo.
365
Fecha de la versin:
Versin:
Pgina 10 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
En toda la instalacin existe un sistema de alarmas, sirenas, videovigilancia y

sistemas para la deteccin y extincin de incendios. Se tiene un sistema de alerta
temprana y la extincin se realiza por medio de un agente gaseoso en las reas
crticas. Las reas de oficinas disponen de tanques de uso manual clase C.
Para el caso de revueltas civiles, el Data Center dispone de un permetro de

seguridad y un sistema privado de guardiana.
En el Cuarto de Cmputo existe un sistema de deteccin de humedad y

mecanismos de control de inundaciones para casos de ruptura de tuberas.
Se consideran las siguientes recomendaciones para asegurar la proteccin de

amenazas externas y ambientales:
El Data Center no debe estar rodeado de edificaciones cuya misin incluya

el manejo de materiales peligrosos con riesgo de desastres industriales, o
por lo menos, debe estar separado de aquellas edificaciones.
El Data Center debe ser construido bajo estndares antissmicos y su

equipamiento estar correctamente adaptado y empotrado en el piso, para
evitar desplazamientos.
Los generadores elctricos y los chillers deben disponer de protecciones

especiales para la contrarrestar la ceniza en caso de erupcin volcnica.
Los equipos de infraestructura y de TI del Data Center sern revisados

peridicamente para mantenerlos libres de polvo.
366
Fecha de la versin:
Versin:
Pgina 12 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Todos los usuarios debern reportar los riesgos reales o potencialmente

peligrosos del rea fsica en la que desempean sus funciones, que
podran afectar a los equipos de cmputo o de comunicacin.
4.2.5.1.5 Trabajo en reas Seguras
Para incrementar la seguridad de las reas protegidas, se establecern controles

y lineamientos adicionales orientados al personal que trabaja en dichas reas.
Todos los trabajos que se realicen en el Data Center deben ser notificados
y autorizados por los Propietarios de los Activos y la Jefatura
correspondiente.
Las tarjetas de control de acceso no podrn ser transferidas a otras

personas, porque son de uso personal. Las tarjetas deben portarse en un
lugar visible todo el tiempo.
El Data Center deber mantenerse ordenado y limpio en todo momento.

Los clientes evacuarn los desechos y cajas vacas antes de salir del
edificio.
Al finalizar cualquier trabajo en el Data Center, el Cliente deber

asegurarse de que todos sus cables estn bien instalados y ordenados
dentro de los gabinetes, y cerciorarse de que sus puertas queden cerradas.
Los clientes que tuvieren sus equipos en racks compartidos, realizarn los
trabajos bajo la supervisin del personal tcnico propio del Data Center.
Est prohibida la entrada de personas al Data Center en las siguientes

condiciones:
367
Fecha de la versin:
Versin:
Pgina 12 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
o Con armas de fuego, cuchillos o similares.

o En estado de embriaguez o consumiendo bebidas alcohlicas.
o Bajo el efecto de cualquier droga o sustancia alucingena.
o Con vestimenta inapropiada.
o Fumando.
Los clientes trabajarn solamente en los equipos de su propiedad y les

est prohibido que se acerquen, manejen, usen o inspeccionen el equipo,
gabinetes y jaulas de otros clientes. No podrn maniobrar equipamiento de
infraestructura.
No est permitido al personal introducir y consumir alimentos o bebidas

mientras se operan los equipos de computacin y comunicacin.
El personal operativo no podr introducir a personas ajenas al interior de

las dependencias de las reas crticas.
El cliente no deber arrastrar los equipos sobre el piso falso del Data
Center, para lo cual es necesario el uso de carretillas con llantas de
caucho, a fin de evitar daos en el mismo. El transporte en carretillas con
llantas de hierro, requerir previamente la proteccin del piso falso con
cartn u otro material similar.
El cliente no deber bloquear los pasillos, el elevador o cualquier otro

espacio pblico de uso comn, porque causar estorbo e interferencias a
los dems.
El cliente no har uso de aspiradoras, taladros o similares en el Cuarto de

Cmputo.
368
Fecha de la versin:
Versin:
Pgina 14 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El cliente no podr levantar las baldosas del piso falso. Esta labor es
exclusiva del personal del Data Center.
El Data Center manejar todas las conexiones de la infraestructura

elctrica. El cliente solo podr conectar sus equipos a las salidas
asignadas a sus respectivos gabinetes. No estn permitidas las conexiones
en cadena de varios PDUs (conocidas como Daisy Chaining).
Los clientes no podrn introducir ni utilizar en el Data Center ninguno de los

siguientes materiales: cigarrillos, licores, drogas ilegales, explosivos,
armas,
productos
qumicos,
artculos
electromagnticos,
materiales
radioactivos, etc.
El Data Center tiene el derecho de inspeccionar todos los objetos que

entren o salgan del edifico, as como retirar los objetos que violen la
presente Poltica.
Cualquier persona que ingrese o abandone el edifico portando paquetes,

ser inspeccionada para verificar el contenido de los mismos.
Los clientes no podrn hacer un uso inapropiado de los equipos del Data
Center, ni excederse de las facultades asignadas.
Los clientes no podrn acosar, amenazar, intimidar o abusar a ninguna

persona dentro del Data Center, incluyendo a empleados, agentes o
invitados de la empresa, as como otros visitantes. Los abusos, las
amenazas y todo tipo de comportamiento ofensivo por parte de los clientes,
debern ser controlados por la seguridad.
369
Fecha de la versin:
Versin:
Pgina 15 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
No est permitido el uso de cmaras fotogrficas o de video en las

instalaciones del Data Center.
La estacin de trabajo deber limpiarse continuamente para contrarrestar

el polvo y la humedad, que podran provocar daos en los equipos.
Los empleados son responsables del equipo computacional y de

comunicaciones asignado; en caso de robo, extravo o prdida,
respondern por el activo, de acuerdo a la normativa vigente para estos
casos.
Los equipos de computacin porttiles asignados tienen carcter

intransferible y estn bajo la responsabilidad del personal respectivo; por
tanto, no est autorizado el prstamo de estos equipos.
La prdida o sustraccin de las tarjetas de acceso magnticas se

reportarn oportunamente al Administrador de Control de Acceso y al
No se deber desactivar el sistema de vigilancia de cmaras, exceptuando

las situaciones autorizadas por la Jefatura de Infraestructura, mismas que
sern justificadas.
4.2.5.1.6 reas de Acceso Pblico, Entrega y Carga
En el Data Center funcionan reas de recepcin, ensamblaje y pruebas de nuevo

equipamiento para ser instalado en el Data Center. Dichas reas se encuentran
en el subsuelo del Data Center y estn separadas de los cuartos de
procesamiento de informacin.
370
Fecha de la versin:
Versin:
Pgina 16 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Se mencionan algunas recomendaciones de control para su seguridad:
Solamente el personal que haya sido previamente identificado y autorizado

podr ingresar a estas reas, en cumplimento de la Poltica de Control de
Acceso Fsico.
Cuando los clientes o proveedores requieran ingresar equipamiento al Data

Center, no podrn efectuarlo por el lobby principal. Todos los equipos
accedern por el rea de Recepcin.
Los nuevos equipos deben ser probados en el rea de Pruebas y sern

registrados siguiendo la Poltica de Inventario de Activos.
El material entrante debe ser revisado previamente por los Propietarios de

los Activos para identificar posibles amenazas antes de ser trasladado
desde el rea de Recepcin hasta el lugar designado. Los equipos que no
hayan cumplido los requerimientos de seguridad, sern retirados.
4.2.5.2 Seguridad del Equipo
4.2.5.2.1 Ubicacin y Proteccin del Equipo
Los equipos debern ubicarse en condiciones en que se minimicen los riesgos

existentes. La ubicacin de los equipos y sus protecciones estn descritas en el
Captulo 2, Seccin 2.3.
Los equipos estn ubicados en las reas correspondientes, dependiendo de la

funcin que desempean, de tal forma que se tienen reas de generadores, de
371
Fecha de la versin:
Versin:
Pgina 17 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
tanques de combustible, cuartos elctricos, cuarto de cmputo, cuartos de

entrada, rea de chillers, NOC, cintoteca, oficinas.
Las tuberas del sistema de enfriamiento por agua helada estn colocadas de
forma tal que se evita el riesgo de derrame de lquidos sobre el equipamiento del
rea de TI.
Todas las habitaciones cuentan con sistemas de control de acceso mediante

tarjetas de proximidad. El Cuarto de Cmputo, adems, utiliza una validacin por
controles biomtricos de huella/iris.
Los usuarios no deben mover o reubicar los equipos de cmputo o de

comunicaciones, instalar o desinstalar dispositivos, retirar sellos de los equipos,
sin la respectiva autorizacin de las Jefaturas y Propietarios de los Activos.
Materiales inflamables o peligrosos (como por ejemplo: cartn, cajas, papel o

cualquier otro material similar), no podrn ser almacenados en ningn espacio del
Data Center.
4.2.5.2.2 Servicios Pblicos
Los equipos de TI y de los clientes deben contar con proteccin en casos de fallas
del suministro elctrico, climatizacin, suministro de agua, servicios de
telecomunicaciones y sistemas contra incendios.
En el Captulo 2, Seccin 2.3, se identifican los diferentes subsistemas del Data

Center y sus funciones respecto a la seguridad de la informacin. Los
subsistemas de infraestructura deben cumplir los siguientes lineamientos:
372
Fecha de la versin:
Versin:
Pgina 18 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los servicios de soporte deben estar dimensionados para servir de manera

adecuado a los activos dependientes.
Los servicios de infraestructura estarn sujetos a un mantenimiento

peridico para asegurar su correcto funcionamiento y evitar cualquier tipo
de fallas.
El departamento del NOC efectuar monitoreos de todos los servicios de

infraestructura, verificando el estado de los subsistemas.
Todos los servicios de soporte deben mantener un nivel de redundancia de

N+1, de conformidad con la norma ANSI/TIA-942-A.
4.2.5.2.3 Seguridad en el Cableado
Los cableados de telecomunicaciones, sealizacin y energa que sirven a los

diferentes activos del Data Center se sujetarn a los siguientes lineamientos:
Las lneas de energa y cableado externo que ingresan y salen del Data
Center deben ser subterrneas.
El cableado horizontal deber transitar por lugares no visibles o utilizar

tubera metlica conduit, para evitar daos o intercepciones no autorizadas.
La infraestructura elctrica y de red contar con el aterramiento de sus

equipos, en concordancia con la norma ANSI/TIA-607-B.
La instalacin de cableado estructurado cumplir las normas ANSI/TIA568-C, 569-C, etc.
373
Fecha de la versin:
Versin:
Pgina 18 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Todo el cableado debe estar etiquetado de acuerdo a la norma ANSI/TIA606-B de administracin. El Departamento de TI mantendr los planos y
rutas del cableado de red.
Los cableados elctricos, de entrada y vertical tendrn rutas redundantes

dentro del Data Center, acorde con la norma ANSI/TIA-942-A.
El cableado de entrada y backbone ser de fibra ptica y estar organizado

conforme a la norma ANSI/TIA-606-B, por medio de ODFs y patch panels.
Los trabajos sobre el cableado deben ser notificados a las Jefaturas de TI e

Infraestructura para su correspondiente autorizacin.
Los empleados tomarn las medidas necesarias para evitar que el

cableado sea pisado, aplastado o pinchado por personas u objetos.
4.2.5.2.4 Mantenimiento de Equipos
La continuidad e integridad de los activos del Data Center necesita de un

apropiado mantenimiento, el cual se realizar bajo las siguientes consideraciones:
Todos los mantenimientos deben seguir las normas propuestas en Uso

Aceptable de los Activos.
Los mantenimientos deben hacerse cumpliendo las especificaciones

propuestas por el fabricante para cada tipo de activo.
374
Fecha de la versin:
Versin:
Pgina 20 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los servicios de mantenimiento y reparacin de los equipos de

infraestructura estarn bajo la responsabilidad del personal autorizado del
Data Center. Para casos de reparaciones realizadas por personal externo
en los equipos de los clientes, este personal tendr compaa y vigilancia
hasta la finalizacin de sus trabajos.
Es responsabilidad del usuario solicitar capacitacin para el desempeo de

su labor de forma que se reduzca el riesgo de dao o malfuncionamiento
de los equipos por mal uso o desconocimiento.
Los mantenimientos constarn en un plan de accin propuesto por los

Propietarios de los Activos. Los mantenimientos deben ser registrados y
archivados,
especificando
la
fecha
del
mantenimiento,
las
fallas
encontradas, el correctivo realizado y el personal responsable.
En caso de producirse un mantenimiento de emergencia, esta novedad

deber ser notificada a todo el personal de operaciones para que se tomen
todas las salvaguardas que correspondan.
Est prohibido a los usuarios abrir o desarmar los equipos de computacin

y de comunicacin asignados por el Data Center.
En caso de ser necesario el traslado del equipo para diagnstico y

reparacin, se observar los lineamientos de la Seguridad del Equipo
Fuera del Local y Traslado de Propiedad.
4.2.5.2.5 Seguridad del Equipo Fuera del Local
375
Fecha de la versin:
Versin:
Pgina 20 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los equipos que salgan de las instalaciones deben ser tratados con sumo
cuidado, para evitar incidentes que pongan en riesgo la confidencialidad de la
informacin que manejan.
Los equipos que permanezcan fuera del Data Center deben ser cuidados para
evitar deterioros o robos, evitndose cualquier desatencin de los mismos en
lugares pblicos.
Para el cumplimiento de tareas fuera del local, la utilizacin de los equipos deber
referirse a lo dispuesto en la Poltica de Uso de Controles Criptogrficos.
El traslado de los soportes de informacin se realizar observando las normas de

conservacin de los mismos, con objeto de garantizar la integridad y
confidencialidad de la informacin que contienen, cumplindose, adems, las
medidas de proteccin de acuerdo a la categora de la informacin.
Los equipos de informacin que requieran salir de la instalacin por motivos de

mantenimiento, deben someterse a un proceso de borrado de los datos que
contengan. Cuando la informacin no pueda ser borrada, se implementarn
mtodos de proteccin lgica que eviten accesos no autorizados.
La salida de equipamiento del Data Center estar complementada por la Poltica

de Traslado de Propiedad.
4.2.5.2.6 Eliminacin Segura o Re-Uso del Equipo
Los equipos que manejan informacin estarn sujetos a un proceso de

eliminacin y re-uso seguro para no comprometer la confidencialidad de los datos.
376
Fecha de la versin:
Versin:
Pgina 21 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los equipos de red, servidores o almacenamiento que se vayan a eliminar o

reutilizar en otra rea, debern ser revisados por el Departamento de TI, que ser
el responsable de la eliminacin de la informacin.
Las computadoras porttiles, agendas electrnicas o tablets asignados a las

Jefaturas, as como las computadoras del personal tcnico sern sometidos a la
eliminacin de toda la informacin que se encuentre alojada en ellas.
En caso de eliminacin de medios de almacenamiento que contengan material

sensible, por ejemplo, discos rgidos no removibles o medios de almacenamiento
externo, sern sobrescritos varias veces de forma segura antes de ser destruidos
fsicamente.
Las tarjetas de acceso magntico que ya no sean necesarias o que ya cumplieron

su vida til, debern ser restituidas al Administrador de Control de Acceso. Las
tarjetas no debern reasignarse a otras personas sin someterse antes al proceso
de re-enrolamiento.
La documentacin impresa con informacin confidencial ser previamente

destruida antes de ser desechada.
4.2.5.2.7 Traslado de Propiedad
Un activo que requiera salir del Data Center, por cualquier motivo, debe ser
notificado al Responsable de la Seguridad para obtener la correspondiente
autorizacin.
Los Propietarios de los Activos llevarn un registro de los activos que hayan sido
retirados, en el cual constar la fecha, tipo de equipo, nmero de serie, persona a
cargo, adjuntndose la autorizacin respectiva.
377
Fecha de la versin:
Versin:
Pgina 22 de 22
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El ingreso y salida de objetos del Data Center observar las normas establecidas
en la Poltica de Trabajo en reas Seguras.
378
POLTICA DE GESTIN DE COMUNICACIONES Y

OPERACIONES
GESTIN DE COMUNICACIONES Y OPERACIONES
C-POL-SEG-Comunicaciones y Operaciones-06-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
2
3
4
4
6
Procedimientos y Responsabilidades Operacionales .....................................................

Gestin de la Entrega de Servicios de Terceros ............................................................
Planeacin y Aceptacin del Sistema ............................................................................
Proteccin contra Software Malicioso y Cdigo Mvil ....................................................
Respaldo o Backup .......................................................................................................
6
11
12
14
17
19
22
25
32
Gestin de Seguridad de la Red ....................................................................................

Gestin de Medios ........................................................................................................
Intercambio de Informacin ...........................................................................................
Monitoreo ......................................................................................................................
379
Fecha de la versin:
Versin:
Pgina 2 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.6 GESTIN DE COMUNICACIONES Y OPERACIONES
Generalidades
Los trabajos que se realicen en medios de procesamiento de informacin,

debern estar sujetos a protecciones para la prevencin y conservacin de la
integridad de sus datos, a travs de procedimientos documentados de gestin y
operacin.
Se deben separar los deberes y limitar los privilegios de los responsables de la

gestin de operaciones, porque es riesgosa la concentracin de funciones y
privilegios en una sola persona.
La gestin de operaciones toma en cuenta los trabajos que desarrolla el personal

externo, as como los acuerdos necesarios para su correcta entrega y revisin.
Los sistemas del Data Center deben estar planificados y provistos de capacidad
suficiente para evitar el agotamiento de recursos o la sobrecarga del sistema, que
podran ocasionar un mal funcionamiento. Tambin deben considerarse las
opciones para la realizacin de backups o respaldos.
En el tema de proteccin de la informacin debe incluirse lo relacionado a la

prevencin de software malicioso, como virus, gusanos, caballos de troya,
bombas lgicas y otros.
La informacin puede intercambiarse por diferentes vas de comunicacin, por lo

cual debe existir una buena gestin en los medios de transporte y en la seguridad
de red, con el establecimiento de criterios de seguridad para garantizar las
condiciones de confidencialidad, integridad y disponibilidad de la informacin que
se emite o se recibe por los distintos canales.
380
Fecha de la versin:
Versin:
Pgina 3 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El Data Center debe disponer de un sistema de monitoreo para controlar los

accesos del personal y verificar los incidentes de seguridad en los diferentes
sistemas.
Objetivos
Establecer los perfiles de responsabilidad y los procedimientos para el uso

aceptable de los recursos informticos del Data Center, con miras a una
segura y correcta operacin.
Controlar la entrega de los servicios proporcionados por entidades

externas, a fin de cumplir los requerimientos acordados con el Data Center.
Garantizar la disponibilidad y correcto desempeo de los sistemas,

mediante la planificacin y proyeccin de la capacidad de sus recursos, y
las medidas de respaldo necesarias.
Introducir controles para evitar, detectar y eliminar los cdigos maliciosos y

controlar los cdigos mviles.
Establecer mecanismos de seguridad para la transmisin de informacin

dentro de la red del Data Center y conexiones externas.
Asegurar la confiablidad, integridad y disponibilidad de los activos y las

actividades que desempean.
Establecer acuerdos de intercambio de informacin y software al interior

del Data Center y con entidades externas.
381
Fecha de la versin:
Versin:
Pgina 4 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Desarrollar sistemas de monitoreo para los sistemas de informacin,

personal, actividades y controles de seguridad.
Alcance
Esta Poltica se aplicar a todos los empleados, personal externo y contratistas

que trabajen en el Data Center y a todos los activos de procesamiento y
transmisin de informacin del Organismo.
Responsabilidades
El Responsable de la Seguridad asumir las siguientes funciones:
Definir procedimientos para el control de cambios en los procesos

operativos, los sistemas e instalaciones de procesamiento de informacin,
y verificar su cumplimiento, de manera que no afecten la seguridad de la
informacin.
Definir procedimientos para el manejo de incidentes de seguridad y para la
administracin de los medios de almacenamiento.
Controlar los mecanismos de distribucin y difusin de informacin dentro
del Organismo.
Informar y capacitar peridicamente al personal del Data Center sobre la
Poltica de Proteccin contra el Cdigo Malicioso y Mvil y el buen uso de
las Tecnologas de Informtica y Computacin, a travs de los medios de
comunicacin disponibles: pgina web, emails, carteleras y boletines.
Establecer y mantener un registro del personal que tiene acceso a
determinada informacin.
Verificar el cumplimiento de las normas, procedimientos y controles
establecidos.
Analizar los registros de las actividades del personal del Data Center.
382
Fecha de la versin:
Versin:
Pgina 5 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Las Jefaturas darn a conocer la Poltica de Mensajes Electrnicos a los

empleados; controlarn el manejo de las licencias; documentarn y mantendrn
actualizados los procedimientos operativos, cambios e informacin confidencial.
La Jefatura de TI y el Responsable de la Seguridad aprobarn la instalacin de

software especial en los ordenadores.
Los Propietarios de los Activos tendrn a su cargo las siguientes funciones:
Mantener una copia de respaldo de las configuraciones y datos que

albergan los equipos de informacin.
Implementar los cambios y evaluar los impactos operacionales.
Gestionar el proceso de pruebas de un activo.
Revisar el estado de los servicios proporcionados por terceros.
Monitorear las necesidades de capacidad de los sistemas en operacin
para futuras demandas.
Administrar los medios tcnicos necesarios para permitir la segregacin de
los ambientes de procesamiento.
Determinar el servicio de mensajera adecuado para el transporte de la
informacin.
El Departamento de TI ser responsable de las siguientes funciones:
Controlar el acceso a los sistemas informticos.

Instalar y actualizar peridicamente software de deteccin y eliminacin de
virus, examinado computadoras y medios informticos.
Ingresar a los equipos de red, servidores y storage que proporcionan los
servicios a los clientes.
Gestionar los controles para implementar seguridad en la red.
383
Fecha de la versin:
Versin:
Pgina 6 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Activar la cuenta de correo y configurarla en la computadora asignada al

empleado.
Monitorear las redes y servidores para detectar vulnerabilidades de
seguridad.
Los Propietarios de los Activos y el Responsable de la Seguridad sugerirn

criterios de aprobacin para nuevos sistemas de informacin, actualizaciones y
nuevas versiones, solicitando la realizacin de las pruebas necesarias antes de su
aprobacin definitiva; gestionarn la eliminacin segura de informacin de los
activos que vayan a ser desechados; establecern procedimientos explcitos de
resguardo y recuperacin de la informacin.
El Administrador del Control de Acceso y el NOC llevarn los registros de

ingresos fsicos a las reas del Data Center, apoyndose en el software de control
de acceso y datos de la guardiana.
4.2.6.1 Procedimientos y Responsabilidades Operacionales
4.2.6.1.1 Procedimientos de Operacin Documentados
Se documentarn y mantendrn actualizados los procedimientos operativos y sus

cambios sern autorizados por las Jefaturas y la Direccin. Los procedimientos
deben cumplir las siguientes instrucciones:
Los trabajos que se realicen debern estar en concordancia con las

Polticas de Uso Aceptable de los Activos y Mantenimiento de Equipos.
384
Fecha de la versin:
Versin:
Pgina 7 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los Propietarios de los Activos y la Jefatura correspondiente debern

mantener una copia de respaldo de las configuraciones y datos que se
albergan en los equipos de informacin. Los respaldos se realizarn
conforme a la Poltica de Backup o Respaldo de la Informacin.
Los mantenimientos de los equipos, configuraciones o migraciones, sern

planificados en horarios no laborables o de baja carga de trabajo, de tal
forma que se reduzca el impacto de afectacin a los clientes. Estos
mantenimientos debern ser notificados al personal involucrado, en forma
oportuna, con 48 horas de anticipacin.
En caso de que se requiera modificar los procesos de operacin

relacionados con la entrega de servicios a los clientes, se deber solicitar
la autorizacin a la Direccin y a la Jefatura correspondiente.
Si se produjeren errores durante la ejecucin del trabajo, debe detenerse

su desarrollo y analizar la causa del fallo. El involucrado deber solucionar
la incidencia si es que dispone de los medios necesarios. En caso de un
error grave notificar a las Jefaturas correspondientes, cumpliendo con los
niveles de escalamiento.
En caso de falla de uno de los sistemas de infraestructura o red se

activarn de forma automtica los sistemas de redundancia.
4.2.6.1.2 Gestin de Cambios
Se definirn procedimientos para el control de los cambios en el ambiente

operativo y de comunicaciones. Todo cambio deber ser evaluado previamente
en aspectos tcnicos y de seguridad.
385
Fecha de la versin:
Versin:
Pgina 8 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los procesos de gestin de cambio contemplarn los siguientes puntos:
Los cambios que vayan a implementarse en el Data Center debern estar

sujetos a pruebas preliminares para comprobar su estabilidad, antes de
pasar a la etapa de produccin.
Se elaborar un documento de auditora donde se identifique el tipo de

trabajo a realizarse, personal responsable, fecha y hora del inicio y de la
conclusin del trabajo, y los sistemas que se vern afectados durante el
proceso de cambio. El documento debe ser revisado por las Jefaturas y
aprobado por la Gerencia Tcnica.
Una vez finalizado el proceso de cambio, los resultados de los trabajos

realizados debern ser notificados a todo el personal relevante y sern
documentados y almacenados por las Jefaturas.
No se realizarn cambios o mantenimientos en el sistema principal y de

respaldo de manera simultnea.
En caso de cambios fallidos o eventos inesperados, se suspender el

cambio y se volver al estado anterior de estabilidad del sistema. Si no es
posible volver a un estado anterior, se continuar con el cambio mientras
se encuentre activo el sistema de respaldo.
La Gestin de Cambios se sujetar a lo estipulado en los Procedimientos

de Operacin Documentados.
Los equipos que fueren desechados luego de los cambios, estarn sujetos
a la Poltica de Eliminacin Segura o Re-Uso del Equipo.
386
Fecha de la versin:
Versin:
Pgina 9 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.6.1.3 Segregacin de Deberes
Se separar la gestin o ejecucin de ciertas tareas o reas de responsabilidad, a

fin de reducir el riesgo de modificaciones no autorizadas o mal uso de la
informacin o los servicios.
Se establecen las siguientes puntualizaciones:
Debe cumplirse la distribucin de responsabilidades de seguridad como se

indica en la Poltica de Organizacin de la Seguridad de la Informacin.
Todos los sistemas de disponibilidad crtica o media del Data Center,

deben implementar las reglas de acceso con segregacin de funciones
entre quien administre, opere, mantenga y audite los sistemas de
informacin, as como entre quien otorga el privilegio y quien lo utiliza.
Existir un sistema de monitoreo tanto para usuarios finales como para

Administradores y Jefaturas, de tal forma que se registren las actividades
realizadas.
Los Operarios del NOC no tendrn privilegios para administrar o configurar

ninguno de los sistemas de informacin y solo podrn utilizar los sistemas
que sean suministrados por los Propietarios de los Activos.
Los Administradores de TI tendrn acceso a la gestin de los sistemas de

informacin, red, servidores y storage, y los Administradores de
Infraestructura accedern a la administracin de sus subsistemas de
soporte.
387
Fecha de la versin:
Versin:
Pgina 10 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.6.1.4 Separacin de los Medios de Desarrollo, Prueba y Operacin
Los sistemas de desarrollo, prueba y operacin estarn separados de forma fsica

y en dominios diferentes.
El Data Center cuenta con espacios separados fsicamente y dedicados para la

realizacin de pruebas en activos de infraestructura o en activos de informacin.
Para la transferencia desde la etapa de prueba hasta la de produccin, se

cumplirn los siguientes controles:
Cualquier cambio en los sistemas del Data Center o inclusin de nuevos

activos,
estarn
sujetos
pruebas preliminares para
validar
su
funcionamiento y compatibilidad con otros elementos, segn la Poltica de

Gestin de Cambios y los Procedimientos del Control de Cambios.
Se manejarn sistemas de autenticacin y autorizacin independientes

para los diferentes ambientes, as como perfiles de acceso a los sistemas.
Est prohibido a los usuarios compartir contraseas en estos sistemas. Las
interfaces de los sistemas identificarn claramente en qu instancia se est
realizando la conexin.
Los equipos de red y aplicaciones de prueba estarn en redes distintas

conforme a la Poltica de Segregacin en Redes.
Antes de incluir software en los sistemas finales del Data Center, se

realizarn pruebas de su funcionamiento en sistemas aislados.
388
Fecha de la versin:
Versin:
Pgina 11 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.6.2 Gestin de la Entrega del Servicio de Terceros
4.2.6.2.1 Entrega del Servicio
Los servicios recibidos de terceras partes estarn regidos por acuerdos de

entrega de servicio donde se incluirn controles, definiciones del servicio y niveles
aceptables para el Data Center.
El personal externo tendr en cuenta la Poltica de Seguridad de la Informacin al

momento de realizar los trabajos de prestacin de servicio.
Deber confirmarse que el proveedor arbitre las medidas pertinentes para

garantizar la seguridad y continuidad de la prestacin de los servicios, en caso de
presentarse desastres o fallas significativas.
4.2.6.2.2 Monitoreo y Revisin de los Servicios de Terceros
Los servicios pactados con personal externo estarn sometidos a monitoreo y

revisiones constantes para verificar el cumplimiento de los acuerdos y las
condiciones de seguridad que se hayan estipulado. Se observarn los siguientes
controles:
Los servicios pblicos de energa elctrica o dotacin de agua sern

monitoreados dentro de los sistemas de infraestructura.
Para algunos trabajos sobre activos del Data Center que no puedan ser
realizados por personal interno, se solicitar la actuacin de personal
externo. El desempeo de los trabajos realizados estar sujeto a revisin
para comprobar el cumplimiento de los niveles establecidos en el contrato.
389
Fecha de la versin:
Versin:
Pgina 12 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Las terceras partes deben entregar reportes formales de sus trabajos, con
la inclusin de anlisis de confidencialidad, integridad y disponibilidad de la
informacin utilizada en el perodo.
4.2.6.2.3 Manejo de Cambios en los Servicios de Terceros
Se efectuarn reajustes en los servicios contratados con terceros cuando se

produzcan cambios en los siguientes aspectos:
Capacidad de los enlaces e interconexiones proporcionados por otros

proveedores para los diferentes clientes.
Implementacin
de
nuevos
sistemas
que
requieran
de
nuevos
proveedores.
Modificacin en los procesos actuales del Data Center que requieran de un

cambio en los contratos con personal externo.
Utilizacin de nuevas tecnologa, cambios en la estructura de los sistemas,

modificaciones en las redes, etc., que necesiten de una nueva planificacin
para la provisin de equipamiento.
4.2.6.3 Planeacin y Aceptacin del Sistema
4.2.6.3.1 Gestin de la Capacidad
Los Propietarios de los Activos efectuarn el monitoreo de la capacidad de los

sistemas en operacin, tomando en cuenta los nuevos requerimientos de los
sistemas y sus futuras demandas, para garantizar un procesamiento y
390
Fecha de la versin:
Versin:
Pgina 13 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
almacenamiento adecuados. Con este propsito deben recopilar informacin

previa de los requerimientos de hardware y software, para la implementacin del
sistema o proceso que se vaya a incorporar.
De la igual forma, se encargarn de reportar las necesidades detectadas a las

Jefaturas y a la Direccin, para la toma de decisiones que corresponda, y as
evitar potenciales cuellos de botella, que podran significar una amenaza a la
continuidad de los procesos.
El Data Center est dimensionado en sus sistemas de infraestructura para

solventar un crecimiento del 11% en los equipos de TI, en base al nmero de
racks dispuestos en el Cuarto de Cmputo, tal como se especifica en el Captulo
2, Seccin 2.3.1.
El porcentaje de utilizacin del cableado estructurado seguir la norma TIA/EIA568-C.
Una vez que la capacidad de los servidores fsicos ascienda a un 80 %, se deber

incorporar un nuevo equipamiento. Los servidores virtuales debern aumentar la
capacidad de sus componentes fsicos, una vez que lleguen al 80 %.78
Ante la posibilidad de incrementar el nivel de tiering del Data Center, debe

contemplarse este crecimiento desde el proceso mismo de planificacin, a fin de
evitar incumplimientos que contradigan la normativa pertinente.
78
Datos obtenidos en las visitas tcnicas a los Data Centers de los ISPs predominates de Quito.
391
Fecha de la versin:
Versin:
Pgina 14 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.6.3.2 Aceptacin del Sistema
El Propietario del Activo y el Responsable de la Seguridad sugerirn criterios de

aprobacin para nuevos sistemas de informacin, actualizaciones y nuevas
versiones, que debern someterse a pruebas antes de su aceptacin definitiva.
La aceptacin formal de los sistemas tomar en consideracin los siguientes
puntos:
Justificacin comercial u operativa para la implementacin de nuevos

sistemas o actualizaciones.
Anlisis de Riesgos de los nuevos sistemas, identificando las amenazas y

vulnerabilidades que puedan afectar la seguridad de la informacin, as
como los controles para mitigarlos.
Los nuevos sistemas deben cumplir la Poltica de Gestin de Cambios,

Procedimientos del Control de Cambios y Separacin de los Medios de
Desarrollo, Prueba y Operacin.
Verificacin de la capacidad de los sistemas actuales que deber estar

acorde con la Gestin de la Capacidad.
Capacitacin para la operacin de los sistemas nuevos, con objeto de

evitar la disminucin en el desempeo del usuario y el error humano.
4.2.6.4 Proteccin contra Software Malicioso y Cdigo Mvil
4.2.6.4.1 Controles contra Software Malicioso
392
Fecha de la versin:
Versin:
Pgina 15 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El software y los medios de procesamiento de la informacin son vulnerables a la

introduccin de cdigos maliciosos, como: virus de cmputo, virus de red,
caballos troyanos, bombas lgicas, etc. Para contrarrestarlos es necesario
establecer controles para su prevencin, deteccin y eliminacin. Se mencionan
los siguientes:
Los usuarios y personal del Data Center que utilizan equipos de cmputos,
deben conocer y aplicar las medidas necesarias para la prevencin de
cdigo malicioso.
Todos los recursos informticos deben estar protegidos mediante

herramientas
software
de
seguridad
como
antivirus,
antispam,
antispyware y otras aplicaciones que brindan proteccin contra cdigo

malicioso y prevencin del ingreso del mismo a la red del Organismo.
Ningn usuario, empleado o personal externo, podr bajar o descargar

software
de
sistemas,
boletines electrnicos,
sistemas de
correo
electrnico, de mensajera instantnea y redes de comunicaciones

externas, sin la debida autorizacin del Responsable de la Seguridad.
Los usuarios de la infraestructura tecnolgica del Data Center deben

verificar que toda informacin contenida en medios de almacenamiento
extrables como CDs, DVDs, memorias USB, discos extrables, est libre
de cdigos maliciosos, mediante el software antivirus autorizado e
instalado en cada equipo computacional.
Ser sancionado, de conformidad con la Poltica de Proceso Disciplinario,

todo usuario que genere, compile, escriba, copie, propague o ejecute
programas o aplicaciones en cualquier cdigo o lenguaje de computadora,
que estn diseados para auto-replicarse, daar o borrar datos o impedir el
393
Fecha de la versin:
Versin:
Pgina 16 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
funcionamiento de aplicaciones y programas autorizados, o componentes

del equipo computacional como memorias o perifricos.
Cualquier usuario que sospeche la infeccin de su equipo computacional

de virus, troyano u otro cdigo malicioso, deber dejar de usar
inmediatamente el equipo y anunciar el particular al Departamento de TI
para que se tomen las acciones respectivas de re-establecimiento del
equipo y eliminacin del cdigo malicioso.
Las Jefaturas que poseen equipos porttiles tienen la obligacin de solicitar

peridicamente la actualizacin del software antivirus, al Departamento de
TI.
Los usuarios no deben alterar o eliminar las configuraciones de las

consolas de antivirus instaladas en cada equipo computacional para
prevenir la propagacin de cdigo malicioso.
Se debe revisar constantemente el contenido de software y datos de los

equipos de procesamiento que sustentan procesos crticos del Data
Center, investigando formalmente la presencia de archivos no aprobados o
modificaciones no autorizadas.
La instalacin de software en los equipos se encuentra estipulada en la

Poltica de Control de Software Operacional.
4.2.6.4.2 Controles contra Cdigos Mviles
El uso de cdigo mvil slo podr utilizarse, si opera de acuerdo con las polticas
y normas de seguridad definidas y si est debidamente autorizado por el
394
Fecha de la versin:
Versin:
Pgina 17 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsable de la Seguridad, para lo cual se deben cumplir los siguientes

lineamientos:
La ejecucin del cdigo debe hacerse en ambientes aislados.
Se debe bloquear cualquier cdigo mvil que no haya sido autorizado por
las Jefaturas.
Se debe seguir la Poltica de Control de Acceso Lgico para la instalacin
del cdigo.
Se establecern procesos criptogrficos para asegurar la autenticidad del

cdigo.
La difusin de software estar en conformidad con la Poltica de

Separacin de los Medios de Desarrollo, Prueba y Operacin.
4.2.6.5 Respaldo o Backup
4.2.6.5.1 Backup o Respaldo de la Informacin
Los activos crticos que sirven para la provisin de servicios del Data Center
deben tener copias o respaldos para garantizar la continuidad de las actividades
del Organismo en caso de desastres o fallas de los recursos. Para ello se
considerarn los siguientes puntos:
El Data Center Tier III presenta sistemas de redundancia y respaldo

mnimos de N+1 en todos los elementos de sus subsistemas de
infraestructura y TI, los cuales se activarn de forma automtica en caso de
fallo.
395
Fecha de la versin:
Versin:
Pgina 18 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los sistemas de redundancia se encuentran en sitios separados

fsicamente dentro del propio Data Center.
Se observar un procedimiento de generacin y restauracin de copias de

respaldo, para salvaguardar la informacin crtica, que ser probado a
intervalos regulares, con el fin de asegurar que es confiable en casos de
emergencia; las copias de respaldo sern retenidas por un periodo de
tiempo determinado.
El Responsable de la Seguridad y los Propietarios de los Activos

establecern procedimientos explcitos de resguardo y recuperacin de la
informacin que incluyan especificaciones sobre el traslado, frecuencia e
identificacin; adems, definirn los perodos de retencin de la misma.
La informacin deber ser respaldada por lo menos una vez cada 3 meses,
exceptundose aquella informacin que vara con mayor frecuencia. Se
deber documentar el procedimiento, cuando se realice el respaldo de la
informacin.
Los Propietarios de los Activos son responsables de la generacin de los

backups o copias de respaldo, debiendo asegurarse de validar la copia.
Tambin pueden solicitar asistencia tcnica para la restauracin de
backups.
Los usuarios podrn respaldar la informacin referente al Data Center de

sus estaciones de trabajo en una copia de seguridad almacenada en la
SAN a travs de la intranet. Cada usuario es responsable de la realizacin
de respaldos.
396
Fecha de la versin:
Versin:
Pgina 19 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La informacin de los servidores e informacin crtica del Data Center

contarn con copias espejo, que duplican todos los procesos y
transacciones del servidor principal.
Los respaldos que cuentan con varios aos de almacenamiento en los

servidores o la informacin relevante del Data Center, contarn con un
respaldo en cintas, debidamente archivadas en la cintoteca.
Esta Poltica respetar las disposiciones de la Poltica de Clasificacin de

la Informacin, Poltica de Ubicacin y Proteccin del Equipo y Poltica de
Proteccin de la Informacin del Registro.
4.2.6.6 Gestin de Seguridad de la Red
4.2.6.6.1 Controles de Red
La informacin que circula en el Data Center debe ser protegida, manejando y

aplicando controles a las redes. El Departamento de TI y el Responsable de la
Seguridad sern los encargados de implementar y gestionar dichos controles. Se
tomar en consideracin las siguientes acciones:
El personal del Departamento de TI es el nico autorizado para ingresar a

los equipos de red, servidores y storage, que proporcionan los servicios a
los clientes.
Sin la autorizacin de la Jefatura de TI, el personal no debe establecer

redes de rea local, conexiones remotas a redes internas o externas o
intercambio de informacin con otros equipos de cmputo, utilizando
protocolos de transferencia de archivos mediante la infraestructura de red.
397
Fecha de la versin:
Versin:
Pgina 20 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Ser considerada como una falta grave, cualquier actividad no autorizada

por la Jefatura de TI, en la cual los usuarios realicen la exploracin de los
recursos informticos en la red del Data Center, as como de las
aplicaciones que operen sobre la misma, con fines de detectar y explotar
una posible vulnerabilidad.
La infraestructura de red, incluidos firewalls, routers, switches, red SAN y

cableado, ser implementada tomando en cuenta los requerimientos de
redundancia estipulados por la norma ANSI/TIA-942-A, con el objetivo de
cumplir los requerimientos para un Tier III.
Los equipos de core y servidores crticos se localizarn dentro del Cuarto

de Cmputo; adems, contarn con jaulas propias o racks que posean
cerraduras seguras.
Los accesos a los equipos de red y servidores tendrn una entrada en un

sistema de control informtico que deje registrado en sus logs el acceso al
hardware, la persona que accedi, el motivo del ingreso y las
modificaciones fsicas o lgicas que se hayan realizado.
Los dispositivos de red que permitan un acceso remoto debern estar

protegidos por medio del protocolo SSH y firewalls, para prevenir el intento
de intrusos o atacantes de cambiar la configuracin de los equipos de red.
Los Administradores del Departamento de TI debern monitorear sus

equipos para detectar trfico malicioso, conexiones activas, puertos
abiertos o fallos, con objeto de tomar acciones oportunas.
398
Fecha de la versin:
Versin:
Pgina 21 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los equipos de red y servidores gestionarn diferentes privilegios y

usuarios para evitar modificaciones involuntarias o deliberadas sobre la
informacin que contienen.
Se utilizar un servicio de directorio activo para gestionar las polticas de

red de los usuarios de los servicios del Data Center. Los ACSs
administrarn las cuentas de los usuarios y sus privilegios de acuerdo a las
Polticas de Gestin de Privilegios y de Control de Acceso Lgico.
Los cambios en la configuracin de los equipos del Departamento de TI
deben seguir las Polticas de Separacin de los Medios de Desarrollo,
Prueba y Operacin; Gestin de Cambios y Procedimientos del Control de
Cambios.
4.2.6.6.2 Seguridad de los Servicios de Red
Los servicios internos y ofrecidos por el Data Center Tier III de un ISP deben
cumplir con medidas apropiadas para garantizar la seguridad de la informacin y
de las operaciones.
Los equipos de red, servidores y almacenamiento estn diseados con una

topologa redundante a prueba de fallo.
Los sistemas de red estn soportados por infraestructura arquitectnica, elctrica

y de climatizacin que garantiza su funcionamiento de forma continua, con una
disponibilidad de 99,982%.
Las direcciones IP internas, topologas, configuraciones e informacin relacionada

con el diseo de los sistemas de comunicacin, seguridad y cmputo de la
entidad, debern ser consideradas y tratadas como informacin confidencial.
399
Fecha de la versin:
Versin:
Pgina 22 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Todas las conexiones que accedan a la red interna de la entidad, deben pasar a
travs de los sistemas de defensa electrnica que incluyen servicios de
encriptacin y verificacin de datos, deteccin de ataques e intentos de intrusin,
administracin de permisos de circulacin y autenticacin de usuarios.
4.2.6.7 Gestin de Medios
4.2.6.7.1 Gestin de los Medios Removibles
El Responsable de la Seguridad implementar procedimientos para la

administracin de medios informticos removibles, como CDs, DVDs, memorias
flash, discos duros externos, tablets, celulares, cintas, tarjetas e informes
impresos. Entre sus lineamientos se mencionan:
La informacin obsoleta, debe ser eliminada de tal forma que no sea

posible su recuperacin posterior.
Todos los activos que contienen informacin, ya sean computadores,

registros, documentos, cintas, discos de almacenamiento, etc., estarn
sometidos a la Poltica de Eliminacin de Medios.
Los equipos con informacin que salgan del Data Center, cumplirn la
Poltica de Seguridad del Equipo Fuera del Local.
El uso de medios de almacenamiento removibles en la infraestructura de

procesamiento de la informacin del Data Center, estar autorizado para
aquellos usuarios cuyo perfil del cargo y funciones lo requiera.
400
Fecha de la versin:
Versin:
Pgina 23 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La trasferencia de informacin a travs de medios extrables cumplir la

Poltica de Uso de Controles Criptogrficos.
4.2.6.7.2 Eliminacin de Medios
Se establecern procesos formales para la eliminacin de medios, cuando ya no

se requiera de ellos.
El Responsable de la Seguridad y los Propietarios de los Activos gestionarn la

eliminacin segura de los medios de informacin.
En el caso de equipos electrnicos, se realizar el borrado de la informacin

varias veces y luego se proceder a la destruccin por trituracin.
La destruccin de los equipos puede delegarse a una empresa externa, la cual

estar sometida a la Poltica de Seguridad de la Informacin del Data Center.
Se debe considerar que podra ser ms eficiente disponer que todos los medios
sean recolectados y eliminados de manera segura, antes que intentar separar los
tems sensibles para destruirlos.
Toda eliminacin de elementos, deber ser documentada y registrada

adecuadamente.
La presente Poltica estar en concordancia con la Poltica de Eliminacin Segura

o Re-Uso del Equipo.
401
Fecha de la versin:
Versin:
Pgina 24 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.6.7.3 Procedimientos de Manejo de la Informacin
La informacin del Data Center debe ser manejada, procesada y almacenada

tomando en cuenta el grado de criticidad de la misma en el desarrollo de las
funciones del Data Center.
El personal que maneja la informacin tomar en cuenta el grado de

confidencialidad de la misma indicada en los Lineamientos de Clasificacin y
Etiquetado y Manejo de la Informacin.
Para evitar el acceso no autorizado a informacin confidencial, el personal interno

y externo, cumplir con la Poltica de Control de Acceso Lgico.
Debe existir un registro del personal que tiene acceso a determinada informacin,
el cual ser establecido y mantenido por el Responsable de la Seguridad.
Se debe garantizar que la integridad de la informacin que vaya a ser utilizada, se

mantenga, antes, durante y despus de cualquier proceso.
Los medios de informacin deben ser resguardados y protegidos bajo la Poltica

de Ubicacin y Proteccin del Equipo y la Poltica de Seguridad de Oficinas,
Habitaciones y Medios, haciendo nfasis en el tipo de activo y las amenazas a las
que est sometido.
4.2.6.7.4 Seguridad de Documentacin del Sistema
La documentacin del sistema puede contener informacin sensible, por lo que es

necesario considerar los siguientes recaudos para su proteccin:
402
Fecha de la versin:
Versin:
Pgina 25 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La documentacin de alta confidencialidad, deber ser almacenada

fsicamente con seguridad, bajo la responsabilidad de la Jefatura
correspondiente; la seguridad tambin deber contemplarse para la
documentacin almacenada en archivo, bajo controles criptogrficos y
restriccin de acceso.
El acceso a la documentacin de los sistemas ser restringido, de modo

que solo el personal que realmente la necesite, podr acceder a la misma.
El Propietario del Activo determinar los privilegios de acceso.
4.2.6.8 Intercambio de Informacin
4.2.6.8.1 Polticas y Procedimientos de Intercambio de Informacin
El intercambio de informacin dentro del Data Center y con entidades exteriores

debe desarrollarse siguiendo procedimientos y estndares que garanticen la
confidencialidad e integridad de la informacin y de los medios que la soportan.
Para realizar dichos intercambios se considerarn los siguientes tems:
La informacin que circula dentro del Data Center estar protegida de

ataques de intrusos a travs de dispositivos que tengan funciones de IPSs
e IDSs. Adems, la transferencia de informacin cumplir las Polticas de
Control de Acceso Lgico y Restriccin del Acceso a la Informacin.
Toda la informacin intercambiada deber seguir los lineamientos

establecidos en la Poltica de Controles contra Software Malicioso.
403
Fecha de la versin:
Versin:
Pgina 26 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Solamente podr intercambiarse informacin clasificada a travs de las

tecnologas de informacin con sistemas de proteccin criptogrfica
diseados y producidos por entidades debidamente certificadas por el Data
Center.
En las tecnologas de informacin en que se procese informacin

clasificada o sensible, se aplicarn mecanismos de proteccin que
controlen el acceso a travs de los dispositivos de soportes removibles.
Cuando se utilicen medios electrnicos para la transferencia de informacin

entre distintas entidades, stos seguirn la Poltica de Uso Aceptable de
los Activos.
El personal debe cumplir la Poltica de Mensajes Electrnicos cuando se

mantengan comunicaciones de este tipo con entidades externas.
La comunicacin a travs de medios inalmbricos dentro del Data Center

debe asumir medidas de seguridad, como: ocultamiento del SSID,
separacin por VLANs y mtodos de cifrado y autenticacin robustos. La
informacin que se considere reservada no debe utilizar este tipo de
medios.
Todo el personal de Data Center y personal externo que tenga acceso a

cualquier tipo de informacin, debe firmar un Acuerdo de Confidencialidad
e Intercambio, antes de iniciar su actividad, adems, se comprometer a
seguir las Polticas de Roles y Responsabilidades y Trminos y
Condiciones del Empleo.
Los
medios
impresos
conteniendo
informacin
crtica,
no
deben
abandonarse en lugares sin los debidos resguardos. Tanto estos medios
404
Fecha de la versin:
Versin:
Pgina 27 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
como la informacin en medios virtuales deben cumplir las disposiciones

de la Poltica de Pantalla y Escritorio Limpio.
El personal interno del Data Center no debe comunicar informacin

confidencial a travs de llamadas telefnicas, que podra facilitar la
intercepcin o escucha por personal interno o externo; tampoco deber
mantener conversaciones confidenciales en lugares pblicos.
4.2.6.8.2 Acuerdos de Intercambio
El Data Center firmar Acuerdos de Intercambio con el personal, clientes y

terceros que requieran conocer o manejar informacin restringida o confidencial
de la Organizacin. Para ello se tomarn en cuenta los siguientes aspectos:
Todo el personal de Data Center es responsable de la confidencialidad e

integridad de la informacin y debe tener especial cuidado en el uso de los
diferentes medios para el intercambio de informacin, que podra generar
una divulgacin o modificacin no autorizada.
Los propietarios de la informacin que se intercambiar, son los

responsables de la definicin de los niveles y perfiles de autorizacin para
acceso, modificacin y eliminacin de la misma; y los custodios de esta
informacin son responsables de implementar los controles para el
cumplimiento de los criterios de confidencialidad, integridad y disponibilidad
requeridos.
Se establecern mecanismos para el no repudio de los datos, a travs de

funciones hash criptogrficas: cdigos de deteccin de modificaciones y
cdigos de autenticacin de mensajes; o por medio de certificados
digitales.
405
Fecha de la versin:
Versin:
Pgina 27 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
En caso de incidentes de seguridad en los datos, causados por el personal,

el Comit de Seguridad de la Informacin ser el encargado de revisar los
eventos y la magnitud del incidente para determinar el tipo de sancin y las
soluciones que se deban tomar.
Cuando se trata de informacin confidencial, se atender a lo expresado en

los Lineamientos de Clasificacin y Etiquetado y Manejo de la Informacin,
tomando en cuenta que tanto el emisor como el receptor deben estar en
conocimiento de la misma.
Cuando se realice el intercambio de informacin por medios extrables,

stos estarn sujetos a las Polticas de Gestin de los Medios Extrables y
Medios Fsicos en Trnsito.
El personal tcnico podr suministrar informacin a entes externos,

siempre y cuando no sea de reserva. En caso contrario, no podr actuar
sin las autorizaciones respectivas.
Los proveedores o terceras personas, deben tener acceso a la informacin

especfica requerida durante el periodo de tiempo necesario para llevar a
cabo las funciones aprobadas.
Los computadores del Data Center que requieran conexin directa con
otros de entidades externas, utilizarn una infraestructura de conexiones
seguras, previa autorizacin del personal encargado del Departamento de
TI.
Toda informacin secreta y/o confidencial que se transmita por las redes de
comunicacin de la Entidad e Internet deber estar cifrada.
406
Fecha de la versin:
Versin:
Pgina 29 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.6.8.3 Medios Fsicos en Trnsito
Los procedimientos de transporte de medios informticos entre diferentes puntos

fuera de las instalaciones del Data Center, debern contemplar:
Para el envo de medios se utilizar transporte o servicios de mensajera

confiables. El Propietario del Activo a transportar determinar el servicio de
mensajera que se utilizar, conforme a su criticidad.
Suficiente embalaje para el envo de medios a travs de servicios postales

o de mensajera, siguiendo las especificaciones de los fabricantes o
proveedores.
La adopcin de controles especiales, cuando sea necesario, a fin de

proteger la informacin sensible contra divulgacin o modificacin no
autorizadas. Entre los ejemplos, se incluyen: uso de recipientes cerrados,
entrega en mano, embalaje a prueba de apertura no autorizada (que revele
cualquier intento de acceso); en casos excepcionales, divisin, en
diferentes entregas y rutas, de la mercadera que se enviar.
4.2.6.8.4 Mensajes Electrnicos
El uso de mensajes electrnicos en el Data Center debe estar regulado y

documentado. Para garantizar la proteccin de los datos, se aplicar una Poltica
de Mensajes Electrnicos, la cual estar enmarcada en la Poltica de Uso
Aceptable de los Activos. La poltica incluir los siguientes aspectos:
407
Fecha de la versin:
Versin:
Pgina 29 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Todo empleado del Data Center dispondr de una cuenta de correo

electrnica activa, personal e intransferible.
La informacin transmitida a travs de una direccin de correo electrnico

o mensajera instantnea vinculada a una persona especfica, ser
considerada como privada. Sin embargo, no debe utilizarse para otros fines
que no sean los de tipo laboral.
Las direcciones de correo electrnico genricas, asociadas a un propsito

o
funcin
especfica,
evento,
etc.,
no
tendrn
el
carcter
de
correspondencia privada, ya que podrn ser automticamente dirigidas a

un grupo de personas que el Data Center considere conveniente para la
consecucin del propsito.
El Data Center se reservar el derecho al acceso y anlisis de todos los

mensajes y archivos adjuntos enviados a travs del correo institucional, si
existiere sospecha de envo de informacin que comprometa la seguridad
de la red, o cualquier otra accin no autorizada.
El personal de TI realizar la configuracin de la cuenta de correo en la

computadora asignada al funcionario solicitante.
La activacin de las cuentas de correo corporativo es centralizada y el

encargado de la misma es el Administrador de Servidores y Virtualizacin,
previa autorizacin del Jefe del Data Center.
Para activar el correo electrnico, se enviar una solicitud de activacin por

escrito, la misma que debe tener la correspondiente aprobacin.
408
Fecha de la versin:
Versin:
Pgina 30 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Una vez que un empleado concluya sus funciones en el Data Center, su

cuenta de correo debe ser desactivada acorde a las Polticas de
Eliminacin de Derechos de Acceso y Revisin de los Derechos de Acceso
del Usuario.
Cada usuario mantiene su propia cuenta y tiene prohibido utilizar cuentas

asignadas a otras personas para enviar o recibir mensajes de correo.
Si fuera necesario leer el correo de una persona que se encuentra fuera o

de vacaciones, por otro empleado o su reemplazo, el usuario ausente debe
re-direccionar el correo a otra cuenta de correo interno, pero est prohibido
enviarla a una direccin de correo electrnico externa a la Organizacin, a
menos que cuente con la autorizacin del Responsable de la Seguridad.
El uso de cuentas de correo en servidores externos o web mail para

comunicaciones institucionales, est prohibido, a menos de que disponga
de autorizacin del Responsable de la Seguridad.
Los usuarios deben tratar los mensajes de correo electrnico y archivos

adjuntos como informacin de propiedad del Data Center. Los mensajes de
correo electrnico sern manejados como comunicaciones privadas y
directas entre el emisor y el receptor.
La transmisin de mensajes electrnicos de carcter confidencial debe

estar asegurada con la observancia de la Poltica de Uso de Controles
Criptogrficos.
Est prohibido suplantar, falsear o suprimir la identidad de un usuario de

correo electrnico.
409
Fecha de la versin:
Versin:
Pgina 31 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
No est permitido interceptar, ayudar a interceptar o revelar a terceros las

comunicaciones por correo electrnico.
No es conveniente que los usuarios enven un elevado nmero de

mensajes por segundo, que podran dificultar o paralizar el servicio de
correo electrnico, ya sea por saturacin de las redes, de la capacidad de
CPU del servidor u otros.
En las comunicaciones del correo electrnico debe observarse un

adecuado uso del lenguaje, evitando eptetos, insultos o calumnias que
podran afectar la reputacin del Data Center.
4.2.6.9 Monitoreo
4.2.6.9.1 Registro de Auditora
Los registros de actividades de personal, excepciones y eventos de seguridad

deben ser conservados para facilitar las tareas de auditora. En los registros se
incluirn los siguientes datos:
Identificacin nica del usuario que accede al sistema.
Fecha, hora y detalles de la actividad o del evento.
Intentos de acceso a los sistemas de informacin o a las reas fsicas del

Data Center, para lo cual se utilizarn los eventos registrados en el
software del panel de control de acceso fsico y un servidor Syslog en
conjunto con software de monitoreo, para verificar las actividades en los
sistemas informticos.
410
Fecha de la versin:
Versin:
Pgina 32 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Cambios que se produzcan en la configuracin de los sistemas de

informacin
El acceso fsico tambin tendr una bitcora escrita de las actividades realizadas,
como se determina en la Poltica de Control de Acceso Fsico.
Los equipos que ingresan al Data Center debern cumplir con un registro, de
conformidad con la Poltica de Inventario de Activos y los Lineamientos de
Clasificacin de la Informacin.
4.2.6.9.2 Uso del Sistema de Monitoreo
El uso de los sistemas de monitoreo debe cumplir con un proceso, el mismo que
constar de los siguientes puntos:
El Administrador del Control de Acceso y el NOC se encargarn de llevar

los registros de ingresos fsicos a las reas del Data Center, apoyndose
en el software de control de acceso y en datos de la guardiana. El acceso
a los sistemas informticos estar a cargo del Departamento de TI.
Los accesos a los sistemas de informacin deben contemplar la

informacin sealada en la Poltica de Registro de Auditora.
Los sistemas de infraestructura y red deben contar con monitoreos que

identifiquen y registren las fallas o incidencias sobre sus sistemas, para
solventarlas.
Las actividades de los usuarios tambin se encontrarn registradas en

base al monitoreo constante realizado por el sistema de videovigilancia.
411
Fecha de la versin:
Versin:
Pgina 33 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Las intrusiones en la red, intentos de accesos no autorizados y otros tipos

de ataques, tambin tendrn notificacin y registro a travs de Firewalls,
IDSs e IPSs.
El monitoreo de cada subsistema del Data Center se realizar de forma

ininterrumpida y la revisin de cualquier incidente se efectuar en el mismo
instante en que ocurra. Los mantenimientos de los equipos y activos de
informacin cumplirn lo dispuesto en la Poltica de Mantenimiento de
Equipos.
4.2.6.9.3 Proteccin de la Informacin del Registro
Los medios de registro y su informacin deben estar protegidos para evitar su

alteracin o acceso no autorizado.
Los usuarios finales y personal operario del Data Center no podrn ingresar a los
datos de los registros. Solo los Administradores de Control de Acceso y de TI
podrn utilizar esta informacin, bajo la autorizacin del Responsable de la
Seguridad.
El acceso a los registros de informacin est determinado por la Poltica de

Control de Acceso Lgico.
Los registros de auditora deben retenerse y almacenarse, con el fin de mantener

la evidencia de incidentes causados por el personal, segn las directrices de la
Poltica de Recoleccin de Evidencia.
Se debe considerar la capacidad de almacenaje de los registros de los sistemas

para evitar la prdida de informacin o sobre-escritura de los datos cuando se
412
Fecha de la versin:
Versin:
Pgina 34 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
encuentran en el storage. Tambin es necesario contar con un respaldo de los

registros importantes.
4.2.6.9.4 Registros del Administrador y Operador
Todo el personal que trabaja en el Data Center, incluidos empleados, personal

externo y contratistas, estn sujetos al registro de sus actividades.
Los registros deben contener la fecha y hora de la actividad o evento, nombre del
responsable, descripcin de la actividad, reas de ejecucin, etc.
Todos los servicios de registro de bitcoras de los activos de informacin deben

ser habilitados y configurados correctamente para registrar todas las actividades
del personal autorizado, en los cuales se especificar la cuenta de usuario
utilizada para la actividad, incluyndose los procesos que fueron afectados.
El personal externo que sale del Data Center deber llenar una planilla, en la que
constarn las actividades realizadas y el tiempo efectivo que permaneci en las
instalaciones. Dicha planilla debe ser contrastada con los videos de las cmaras
de vigilancia.
4.2.6.9.5 Registro de Fallas
En caso de que un usuario sospeche o tenga conocimiento pleno de un incidente

de seguridad informtica, deber reportarlo de inmediato a su superior y al
Responsable de la Seguridad, explicando las razones para considerarlo como
incidente de seguridad informtica.
413
Fecha de la versin:
Versin:
Pgina 35 de 36
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Cuando existiere sospecha de que la informacin ha sido revelada, modificada,

alterada o borrada sin autorizacin del usuario, se deber tambin notificar del
incidente al Responsable de la Seguridad.
Las fallas de los subsistemas de infraestructura y red que afecten directamente a

la entrega de servicios, sern monitoreadas y registradas por los Propietarios de
los Activos, para tomar las acciones pertinentes.
Despus de ejecutarse la accin correctiva, se revisar la afectacin de las

medidas adoptadas sobre los controles existentes para garantizar la continuidad
del proceso.
4.2.6.9.6 Sincronizacin de Relojes
Los activos de informacin, computadores, monitoreo, servidores, equipos de red,

estarn configurados de tal forma que permita la sincronizacin de los sistemas a
una hora estndar.
La sincronizacin de los relojes es importante para la funcionalidad de los

sistemas de red y para el mantenimiento de un correcto sistema de registro de
eventos, que necesitar datos exactos y coherentes para no entorpecer las
investigaciones o daar evidencias en casos legales o disciplinarios.
414
POLTICA DE CONTROL DE ACCESO

CONTROL DE ACCESO
C-POL-SEG-Control de Acceso-07-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
4
5
Requerimiento Comercial para el Control de Acceso .....................................................

Gestin del Acceso del Usuario .....................................................................................
5
8
Responsabilidades del Usuario .....................................................................................

Control de Acceso a la Red ...........................................................................................
14
18
Control de Acceso al Sistema Operativo........................................................................

Control de Acceso a la Aplicacin e Informacin ...........................................................
22
25
Computacin Mvil y Tele-trabajo .................................................................................
27
3
3
415
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 2 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.7 CONTROL DE ACCESO
Generalidades
El control de acceso es un mecanismo indispensable para brindar seguridad a

cualquier sistema de informacin. Para impedir el acceso no autorizado a los
sistemas de informacin se deben implementar procedimientos formales para
controlar la asignacin de derechos de acceso a los sistemas y servicios de
informacin, los cuales estarn claramente documentados, comunicados y
controlados en cuanto a su cumplimiento.
El acceso de los usuarios debe seguir un proceso de registro, en todas sus

etapas, enfocndose tambin en los privilegios de acceso a los diferentes
sistemas y al manejo que los usuarios dan a sus claves. La cooperacin de los
empleados es esencial para la eficacia de la seguridad, por lo tanto, es necesario
concienciar a los mismos sobre el mantenimiento de controles de acceso
eficaces, en particular aquellos relacionados con el uso de contraseas y con la
seguridad del equipamiento.
Las conexiones de red tambin estarn sujetas a diversos mecanismos de acceso

que permitan controlar los servicios internos y los que se ofrecen al exterior, su
conexin con otras redes privadas o pblicas; as como mecanismos de
autenticacin apropiados para los usuarios y el equipo.
Los sistemas operativos, utilidades y aplicativos de los sistemas, cumplirn con

los mismos preceptos establecidos en esta Poltica; adems, se verificar la
seguridad cuando se realicen conexiones externas o trabajos remotos.
416
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 3 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Objetivos
Controlar el acceso a la informacin, sistemas, medios de procesamiento y

procesos del Data Center, para garantizar su confidencialidad, integridad y
disponibilidad.
Gestionar el acceso de usuarios autorizados a los sistemas, mediante

registros, privilegios y claves.
Establecer reglas para garantizar la gestin y utilizacin seguras de las

claves utilizadas por los usuarios.
Implantar criterios de proteccin para equipos desatendidos y manejo de

escritorios y pantallas limpias.
Controlar el uso y acceso a los servicios de red internos o externos,

sistemas operativos, software de aplicaciones e informacin, por medio de
autenticacin, autorizacin y registros.
Garantizar la seguridad de la informacin cuando se utiliza computacin

mvil e instalaciones de trabajo remoto.
Alcance
Este documento se aplica a todo el Sistema de Gestin de Seguridad de la

Informacin (SGSI); es decir, a todos los sistemas, equipos, instalaciones e
informacin dentro del alcance del SGSI.
Tambin se aplica a todos los usuarios y Propietarios de los Activos del Data
Center.
417
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 4 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsabilidades
El Responsable de la Seguridad revisar la asignacin de privilegios de los

Administradores y Jefaturas; capacitar al personal sobre las normas para el
manejo de equipos desatendidos; autorizar el uso de dispositivos mviles y
computacionales fuera del Data Center.
El Responsable de la Seguridad y los Propietarios de los Activos analizarn los

riesgos de implementar un sistema en un ambiente compartido y definirn cules
son las terminales de alto riesgo para los cierres por inactividad.
Los Propietarios de los Activos definirn y revisarn los requerimientos de acceso

a los sistemas de informacin para sus empleados y cambiarn las claves por
defecto de los equipos.
El Departamento de TI administrar el sistema de control de acceso a la red y a

las aplicaciones; instalar las aplicaciones; gestionar las utilidades del sistema;
proporcionar los mecanismos para tele-trabajo y acceso remoto; administrar las
cuentas y privilegios de acceso lgico de los usuarios.
Los usuarios y el personal del Data Center debern cumplir las disposiciones
propuestas en la Poltica de Control de Acceso Lgico.
418
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 5 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Explosin de la Poltica
4.2.7.1 Requerimiento Comercial para el Control de Acceso
4.2.7.1.1 Control de Acceso Lgico
La Poltica de Control de Acceso Lgico establecer las reglas a seguir y los

requerimientos estipulados para todos los usuarios de los sistemas de
informacin. En la aplicacin de controles de acceso, se contemplarn los
siguientes aspectos:
El acceso a todos los sistemas, redes, servicios e informacin est

prohibido, salvo que sea expresamente permitido a usuarios individuales o
a grupos de usuarios.
Los controles de acceso deben considerar tambin a los de tipo fsico.

Dichos controles se encuentran incluidos en la Poltica de Control de
Acceso Fsico.
El acceso a plataformas, aplicaciones, servicios y en general cualquier

recurso de informacin del Data Center debe ser asignado de acuerdo a la
identificacin previa de requerimientos de seguridad y del negocio que se
definan en cada Departamento, as como normas legales o leyes aplicables
a la proteccin de acceso a la informacin presente en los sistemas de
informacin.
Los niveles de privilegios y accesos de los usuarios a la informacin deben

estar en concordancia con las normas dictadas en los Lineamientos de
Clasificacin y Etiquetado y Manejo de la Informacin.
419
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 6 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El acceso a los sistemas e informacin del Data Center para cualquier

usuario, se limitar al que sea necesario para el desarrollo de sus
funciones
laborales.
Las
cuentas
de
usuario
estarn
agrupadas
dependiendo del tipo de trabajo comn que se realice, aunque estarn

sujetas a cambios individuales, dependiendo de la necesidad.
Los usuarios son responsables por el manejo y mantenimiento de los

mecanismos de control de acceso lgico asignados, ya se trate de su ID
nica y su contrasea; comprometindose a resguardar la confidencialidad
de los mismos.
Los Propietarios de los Activos identificarn y definirn los requerimientos

de acceso a los sistemas de informacin para sus empleados, y solicitarn
al Departamento de TI la creacin de usuarios con los privilegios
acordados, el mismo que, en coordinacin con el Responsable de la
Seguridad, verificar la validez de la solitud antes de procesarla. El
Administrador de Networking realizar el mantenimiento de las cuentas
peridicamente.
La solicitud, administracin y eliminacin de cuentas o privilegios de

usuarios sern realizadas siguiendo procedimientos formales y registrando
cada uno de los eventos.
El acceso lgico ser administrado en servidores que realicen las funciones

de identificacin, autenticacin, autorizacin y registro de las solicitudes.
Los usuarios sern validados en el sistema antes de usar los sistemas de
informacin.
420
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 7 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Todo usuario que requiera acceso remoto a la red y a la infraestructura de

procesamiento de informacin del Data Center, siempre debe estar
autenticado y sus conexiones debern utilizar cifrado de datos.
Los usuarios no deben proporcionar informacin de los mecanismos de
control de acceso a las instalaciones e infraestructura tecnolgica del Data
Center a personal externo, salvo que est autorizada por los Propietarios
de los Activos y el Responsable de la Seguridad.
Ningn personal externo podr ingresar a los sistemas de informacin,

exceptuando al personal especializado en los sistemas informticos o
auditores externos, en cuyo caso se generarn cuentas temporales.
El acceso remoto hacia los sistemas de informacin y equipos del Data

Center se realizar nicamente mediante un protocolo seguro como SSH.
Se prohbe el uso del protocolo Telnet para este tipo de acceso. El acceso
desde redes pblicas se realizar utilizando VPNs. Solamente las Jefaturas
y el Departamento de TI podrn realizarlo.
Los tiempos de conexin para equipos y sistemas sern controlados,

bloqueando la conexin, en caso de excederse o por inactividad. Tambin
se registrar el nmero de internos de conexin hacia los sistemas.
Los sistemas de informacin desplegarn avisos acerca de la sensibilidad

del contenido y de su monitorizacin constante, al igual que la penalizacin
por su mal uso.
Si el sistema de control de acceso no est funcionando apropiadamente,

debe rechazar el acceso de los usuarios hasta que el problema se haya
solucionado.
421
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 7 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.7.2 Gestin del Acceso del Usuario
4.2.7.2.1 Inscripcin del Usuario
El registro de usuarios seguir un procedimiento formal para el manejo de cuentas

de usuarios, con el fin de otorgar y revocar el acceso a todos los sistemas de
informacin.
Cada usuario tendr un identificador nico y personal, el cual ser utilizado para
monitorear y registrar las actividades que realice en los sistemas de informacin.
No existirn identificaciones grupales en el Data Center.
Cuando un usuario reciba una nueva cuenta, deber firmar un documento en el

cual declara conocer las polticas y procedimientos de seguridad, y acepta sus
responsabilidades con relacin al uso de esa cuenta. Las solicitudes de una
nueva cuenta o para el cambio de privilegios, debern ser por escrito y contar con
la necesaria aprobacin.
El formulario para la creacin de cuentas contendr al menos los siguientes datos:

nombre y apellido del usuario, puesto de trabajo, responsable del departamento,
descripcin de los trabajos que debe realizar en el sistema, consentimiento del
usuario para auditora de actividades y conocimiento de las normas de buen uso
de la cuenta. Tambin incluir datos utilizados por el personal de TI como: tipo de
cuenta, fechas de caducidad y expiracin, privilegios, sistemas y elementos
permitidos, y restricciones.
422
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 9 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El identificador nico de usuario (ID) se basar en el nombre del usuario. Estar

compuesto por la letra inicial de su primer nombre seguido de su primer apellido.
Ejemplo:
Nombre del Empleado: Vodia Enrquez, ID: venriquez.
En el caso de dos empleados con la misma inicial del nombre y el mismo apellido,
el primer empleado seguir la identificacin normal, en tanto que el segundo,
tendr una identificacin que incluya la inicial del segundo nombre seguido del
apellido.
Ejemplo:
Nombre del Empleado: Vctor Roberto Crdenas Torres

ID: vcardenas
Nombre del Empleado: Violeta Patricia Crdenas Enrquez

ID: pcardenas
Se prohbe el uso de cuentas annimas o de invitado, esto incluye cuentas de

superusuario o root. El personal del Departamento de TI debe emplear su propia
ID con privilegios para administrar. Todos los accesos y cambios de los sistemas
deben registrarse en una bitcora indicando el ID.
Los privilegios de cuenta para cada usuario sern identificados y establecidos por
los Propietarios de los Activos, debiendo ser revisados peridicamente, o cuando
exista un cambio de funciones, por el Administrador de Networking y por el
Responsable de la Seguridad. Dichos privilegios estarn en concordancia con el
tipo de actividades que desarrolla cada empleado.
No debe concederse una cuenta a personas que no sean empleados del Data
Center, a menos que estn debidamente autorizados; en este caso la cuenta
debe expirar automticamente al trmino de un lapso de 7 das.
423
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 10 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Ningn usuario, salvo el personal del Departamento de TI y el Responsable de la

Seguridad, tendr privilegios especiales para la administracin de los sistemas de
informacin. Todas las acciones realizadas estarn bajo vigilancia segn la
Poltica de Registros del Administrador y Operador.
Los privilegios del sistema concedidos a los usuarios deben ser ratificados cada 3
meses. El Administrador de Networking debe inhabilitar la cuenta o los privilegios
de un usuario cuando reciba la orden de un superior, y cuando un empleado haya
cambiado o cesado en sus funciones. En el caso de despido o renuncia, la cuenta
debe desactivarse y eliminarse antes de que el empleado deje el cargo, siguiendo
los lineamientos de la Poltica de Revisin de los Derechos de Acceso del
Usuario.
Toda cuenta quedar automticamente suspendida cada 3 meses, luego de lo

cual los usuarios debern cambiar sus contraseas.
4.2.7.2.2 Gestin de Privilegios
Los privilegios para acceso a los sistemas por parte de los usuarios deben estar
restringidos y controlados, para evitar un uso inadecuado de personal no
autorizado.
La identificacin y asignacin de privilegios para los usuarios se encuentran

definidos en la Poltica de Control de Acceso Lgico y en la Inscripcin del
Usuario, donde se especifican los responsables del proceso y el alcance de cada
privilegio.
El personal solamente dispondr de privilegios mnimos para el desarrollo de sus

actividades. Las cuentas de personal tcnico de operaciones solo podrn ingresar
424
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 11 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
a los sistemas de notificacin de incidencias, para indicar avances de sus

trabajos; el personal del NOC podr ingresar a los sistemas de gestin de
incidencia y tendr privilegios mnimos para realizar el monitoreo de todos los
subsistemas del Data Center y clientes; los Administradores de Infraestructura
tendrn acceso a sistemas de reportes y a la configuracin de los sistemas bajo
su responsabilidad; el Departamento de TI tendr control total sobre sistemas
informticos y administracin de equipos; las Jefaturas y la Direccin tendrn
acceso a los procesos administrativos o financieros que sean de su competencia
organizacional; el Responsable de la Seguridad podr tener privilegios especiales
para optimizar la gestin de seguridad en los diferentes sistemas.
Toda modificacin en roles, funciones y caducidad de cuentas, deber notificarse

al Departamento de TI a travs del Responsable de cada Departamento.
4.2.7.2.3 Gestin de las Claves Secretas de los Usuarios
Se tomarn en consideracin las siguientes pautas para la gestin de contraseas

de los usuarios:
Las contraseas no debern compartirse o revelarse bajo ninguna

circunstancia. El compromiso de los usuarios para mantener sus claves en
secreto se estipular al momento de ingresar a la Institucin, firmando un
Acuerdo de Confidencialidad.
Cuando un usuario recibe una cuenta, sta tiene una clave de acceso
provisional, la cual deber ser cambiada obligatoriamente, una vez que se
ingrese por primera vez al sistema.
La clave de usuario deber incluir un mnimo de 8 caracteres

alfanumricos, incluyendo al menos un nmero y un caracter especial.
425
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 12 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El sistema de control de acceso se encargar de verificar el cumplimiento

de los requerimientos de calidad de las contraseas y deber solicitar de
forma automtica y obligatoria el cambio de la misma cada 3 meses. Si no
se realiza el cambio, no se podr acceder a los sistemas de informacin.
La asignacin de contraseas debe ser realizada de forma individual, por lo
que est prohibido el uso de contraseas compartidas.
El sistema permitir a los usuarios cambiar sus contraseas cuando ellos lo

requieran, manteniendo un registro de las contraseas utilizadas para
evitar su reutilizacin. Las contraseas no se desplegarn en la pantalla al
momento de su ingreso para evitar espionaje interno.
Despus de 3 intentos fallidos para ingresar a los sistemas, se bloquear la

contrasea del usuario, quien deber solicitar la rehabilitacin de la cuenta
al Departamento de TI.
Los equipos o sistemas de informacin que tengan claves predeterminadas

por los proveedores o vendedores debern ser cambiadas antes de su
implementacin.
Los usuarios no debern almacenar las contraseas de forma desprotegida

en medios impresos, computadores u otros medios. El almacenamiento
digital seguir los condicionamientos de la Poltica de Uso de Controles
Criptogrficos, utilizando herramientas de software proporcionadas por el
Data Center.
4.2.7.2.4 Revisin de los Derechos de Acceso del Usuario
426
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 12 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La revisin de los derechos de acceso de los usuarios ser llevada a cabo por los
Propietarios de los Activos peridicamente, cada 3 meses, o cuando se susciten
cambios en la estructura organizacional.
El Administrador de Networking es el responsable de ejecutar los movimientos de

altas, bajas o cambios de las cuentas y privilegios de los usuarios.
El Responsable de la Seguridad ejecutar inspecciones regulares cada 2 meses
con el fin de comprobar el estado de la asignacin de privilegios de los
Administradores y Jefaturas.
La revisin de los privilegios de los usuarios debe contemplar el siguiente

procedimiento:
Cada trimestre, el Administrador de Networking solicitar a los Propietarios

de los Activos, la validacin de privilegios de acceso de los usuarios que
estn bajo su responsabilidad.
Los Propietarios de los Activos, en su respuesta al Administrador de

Networking, deben tomar en consideracin las siguientes opciones de
validacin de la cuenta: Mantener, Eliminar, Inhabilitar, Cambio de Jefe de
Departamento y Cambio de Privilegios.
El Administrador de Networking debe ejecutar el procedimiento siguiente,

segn la Opcin seleccionada:
o Mantener: no se realiza ningn cambio sobre la cuenta del usuario.
o Eliminar: se elimina la cuenta del usuario.
o Inhabilitar: se suspende la cuenta temporalmente.
427
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 13 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
o Cambio de Jefe de Departamento: se enva la informacin de los

usuarios involucrados al jefe que corresponda, para que valide los
privilegios de los mismos.
o Cambio de Privilegios: se cambia los privilegios de dicha cuenta,
segn las especificaciones del responsable del usuario.
El Administrador de Networking efectuar revisiones peridicas para cancelar

identificadores y cuentas de usuarios redundantes, inhabilitar cuentas inactivas
por ms de 2 meses, eliminar cuentas inactivas por ms de 3 meses. En el caso
de existir excepciones, debern ser debidamente justificadas y aprobadas.
La inhabilitacin de la cuenta se realizar cuando el personal del Data Center no

ejerza sus funciones durante un tiempo determinado (licencia sin goce de sueldo,
vacaciones, viajes prolongados, etc.). En este caso, el usuario deber informar
con anterioridad el tiempo que permanecer ausente, siguiendo un protocolo
formal.
Cuando el usuario termine sus funciones y salga de la Entidad en forma definitiva,

el Departamento de Recursos Humanos notificar la novedad al Departamento de
TI, el cual se encargar de eliminar la cuenta del usuario junto con todos sus
datos y directorios. La eliminacin se realizar antes de la salida del empleado,
previa revisin de sus datos para evitar que se filtre informacin privada del Data
Center. Todo esto se ejecutar de conformidad con la Poltica de Eliminacin de
Derechos de Acceso.
4.2.7.3 Responsabilidades del Usuario
4.2.7.3.1 Uso de Claves Secretas
428
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 14 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El personal que utiliza contraseas debe observar buenas prcticas para

garantizar su proteccin y su uso adecuado. Se consideran las siguientes
prcticas:
Los usuarios no revelarn sus claves secretas a otras personas, porque

son de uso personal e intransferible.
Ningn usuario podr usar otro identificador de usuario que no sea el que
se le ha asignado.
Si existe la sospecha de que la contrasea ha sido comprometida, sta

debe cambiarse inmediatamente.
La construccin de las contraseas se har en base de las siguientes

guas:
o Las contraseas no deben ser extremadamente complejas, con el fin
de que puedan recordarse con facilidad, evitando su escritura en las
estaciones de trabajo.
o No deben estar basadas en informacin personal del usuario, como:
nombres, fechas, nmeros telefnicos, lugar o cargo del trabajo, etc.
o No deben ser palabras de diccionario.
o Se debe evitar el uso de caracteres idnticos consecutivos, ya sean
de tipo numrico o alfabtico.
o Cuando se realicen cambios de contrasea, se evitar el uso de
contraseas similares a las registradas.
Los usuarios no debern utilizar para sus labores en la empresa las

contraseas que usan en aplicaciones ajenas al trabajo.
429
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 15 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Est prohibido el uso de contraseas de grupo para el acceso a archivos,

aplicaciones, bases de datos, computadoras, redes, y otros recursos del
sistema. Esta prohibicin se aplica en particular a la contrasea de los
Administradores.
Los usuarios no deben intentar violar los sistemas de seguridad y de

control de acceso. Acciones de esta naturaleza se consideran violatorias
de las Polticas de Seguridad de la Informacin del Data Center.
Evitar incluir contraseas en los procesos automatizados que guarden las

contraseas.
El personal deber notificar cualquier incidente relacionado con sus
contraseas a su Jefe inmediato y al Departamento de TI.
Cuando se trabajen con varios sistemas o aplicaciones, es preferible que

los usuarios utilicen varias contraseas para su acceso.
4.2.7.3.2 Equipo Desatendido del Usuario
La desatencin de los equipos de los usuarios puede ocasionar que varias

amenazas, como: acceso a los datos, robo de informacin, suplantacin de
identidad y modificaciones no autorizadas, generen graves impactos a los
sistemas de informacin. Para contrarrestar estos riesgos, se exponen las
siguientes recomendaciones:
El usuario que por cualquier motivo abandona su lugar de trabajo, debe

dejar bloqueado su terminal o equipo computacional, precautelando la
seguridad de la informacin a travs del mecanismo de control de acceso
lgico.
430
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 16 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los usuarios debern proteger sus equipos de cmputo con contraseas y

protectores de pantalla previamente instalados y autorizados por el
Departamento de TI.
Cuando no exista actividad en un terminal, PC o estacin de trabajo por un

periodo de 10 min, se bloquear la sesin, debiendo solicitarse una
contrasea para restablecerla.
El Responsable de la Seguridad, cuando realice las inducciones de

seguridad al personal, deber incluir las normas para el manejo de equipos
desatendidos.
4.2.7.3.3 Poltica de Pantalla y Escritorio Limpio
La Poltica de Pantalla y Escritorio Limpio est relacionada con el nivel de

confidencialidad de la informacin, la gestin de medios removibles y los
requerimientos legales y contractuales.
Es responsabilidad del personal tener su escritorio y pantalla completamente

despejados y libres de documentos confidenciales a la vista.
Todos los usuarios deben mantener la informacin restringida o confidencial bajo

llave. Esto incluye: documentos impresos, CDs, dispositivos de almacenamiento
USB y medios removibles en general. Adicionalmente, los medios de
almacenamiento digital contarn con elementos de proteccin criptogrfica.
Todos los usuarios son responsables de bloquear la sesin de su estacin de

trabajo en el momento en que se retiren del puesto de trabajo, la cual se podr
desbloquear slo con la contrasea del usuario. Cuando finalicen sus actividades
deben cerrar su sesin.
431
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 17 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La pantalla del computador o escritorio virtual, debe permanecer libre de conos

de archivos o carpetas que contengan informacin confidencial. Los conos
permitidos son aquellos necesarios para la ejecucin de tareas.
Se aplicar la Poltica y Procedimientos de Intercambio de Informacin, para

mantener asegurada la informacin cuando se requiera el uso de impresoras.
432
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 18 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.7.4 Control de Acceso a la Red
4.2.7.4.1 Uso de los Servicios de la Red
Para controlar el acceso de los usuarios a los diferentes servicios y aplicaciones,

sin poner en riesgo la seguridad de la informacin manejada por la red del Data
Center, debern cumplirse los siguientes puntos:
Identificar a los usuarios que harn uso de las diferentes aplicaciones y

servicios dentro de la red del Data Center.
La Jefatura de TI y el Responsable de la Seguridad del Data Center sern

los encargados de conceder la autorizacin, de acuerdo a las necesidades
encontradas en el anlisis presentado.
Se incorporarn Sistemas de Control de Acceso (ACS por sus siglas en

ingls), que puedan generar listas de control de acceso y diferentes perfiles
de usuario.
Los sistemas de control de acceso debern elaborar registros de los

usuarios, autorizados o no, que intentan acceder a la red.
El personal deber supeditarse a los mecanismos dispuestos por el Data

Center para el acceso a la red. No podr utilizar mtodos propios de
ingreso.
Esta Poltica estar complementada con la Poltica de Gestin de

Seguridad de la Red.
433
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 19 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.7.4.2 Autenticacin del Usuario para las Conexiones Externas
La autenticacin deber ser transparente para el usuario, las conexiones remotas

sern a travs de protocolos seguros como HTTPS, SSH o bajo la utilizacin de
VPNs o Escritorio Remoto. Los privilegios de clientes y personal interno sern
ingresados en los ACS para su gestin.
Se verificarn los intentos vlidos e invlidos de ingreso; adicionalmente, todos

los sistemas de autentificacin incluirn mtodos criptogrficos de transmisin de
informacin, impidiendo que la autentificacin sea en texto plano.
Se asignarn identificadores de usuario nicos para el funcionamiento correcto de

la informacin y para evitar el repudio sobre las acciones ejecutadas.
4.2.7.4.3 Identificacin del Equipo en las Redes
En el contexto de autentificar e identificar las conexiones y ubicaciones de los

equipos de red dentro del Data Center, se necesitar identificar a cada uno de
forma fsica, tomando en cuenta los estndares de etiquetado de cableado
estructurado (posicin del rack en el cuarto de telecomunicaciones, puertos
conectados, etc.), y las redes correspondientes a las cuales estn conectados.
El ACS realizar la identificacin lgica de los equipos, como por ejemplo: acceso
a nivel remoto, acceso a nivel local, nombre del equipo, servicio que ofrece y
niveles de confidencialidad que maneja. Adicionalmente, deber identificarse la
topologa de red y los dominios de los equipos, gestionados por Active Directory o
LDAP y NIS.
434
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 20 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.7.4.4 Proteccin del Puerto de Diagnstico y Configuracin Remoto
Los puertos de diagnstico y configuracin remotos debern ser identificados de

acuerdo con la funcin que desempean. Las cuentas de usuarios establecern
privilegios para la configuracin, monitoreo y acceso a los puertos de
configuracin.
Todo el trfico de informacin que ingresa y sale del Data Center pasar por un
Firewall, el mismo que identifica la red de origen, la red de destino, y los puertos
usados para la entrega de la informacin. Aquellos puertos que no sean
necesarios para el uso de los servicios debern ser inhabilitados en el Firewall, en
los distintos servidores y en los equipos de red.
Los puertos por defecto que utilicen los diferentes equipos, debern ser
cambiados, y los puertos de configuracin y consola debern tener controles de
acceso y distintos privilegios para evitar la modificacin e inspeccin no
autorizadas.
4.2.7.4.5 Segregacin en Redes
Se deber realizar la separacin de la red interna y externa. El trfico de

informacin entrante y saliente del Data Center, deber pasar por un Firewall, el
mismo que ser intermediario entre la red interna, la DMZ y la red externa.
En la DMZ estarn los servidores de autentificacin que indicarn el nivel de

privilegios que tendr un usuario y restringirn el acceso no autorizado.
Se dispondr de un ambiente de pruebas donde se desarrollarn aplicaciones y

servicios, el cual estar completamente separado de la red del Data Center, todo
435
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 21 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
ello con el afn de prevenir cambios en las configuraciones de equipos

intermedios y/o servidores.
Deber existir una separacin de la red. Una para acceso a Internet de los
visitantes y personal externo, y otra para acceso a la red interna del Data Center
del personal propio de la empresa. La conexin a la red de visitantes deber
contar con la autorizacin previa del Jefe de TI. El sistema de control de acceso
gestionar el ingreso a la red interna.
La red del Data Center estar separada por medio de VLANs para una mejor
gestin, dependiendo de distintos conveniencias, necesidades o propsitos
operacionales.
4.2.7.4.6 Control de Conexin a la Red
Los controles de acceso a la red estarn en concordancia con las Polticas de

Control de Acceso Lgico y Controles de Red. Todos los servicios y aplicaciones
correspondientes a la red, debern someterse a estos controles y actualizarse
peridicamente de conformidad con los requerimientos que se presenten.
Los intentos de acceso y autentificacin aprobados y fallidos, debern

monitorearse permanentemente, con fines de seguridad institucional.
4.2.7.4.7 Control de Routing de la Red
El enrutamiento de paquetes transmitidos a travs de la red interna hacia la red

externa, deber cumplir protocolos estndar y confiables, que ofrecen proteccin
a travs de mtodos criptogrficos, por ejemplo SSH, TSL, SSL, IPsec (obligatorio
para IPv6, opcional para IPv4).
436
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 21 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Adicionalmente habr un monitoreo de equipos y de mensajes administrados por

servidores Cacti (SNMP, Syslog) que sealarn problemas de enrutamiento de
paquetes, correspondientes a cambios mal realizados o ataques discriminados.
4.2.7.5 Control de Acceso al Sistema Operativo
4.2.7.5.1 Procedimientos de Registro en el Terminal
El sistema de acceso debe controlar y evitar la publicacin de informacin que

podra facilitar el ingreso no autorizado al sistema operativo. El sistema de acceso
seguir los siguientes pasos:
El sistema de acceso no mostrar identificativos o aplicaciones hasta que

se haya accedido complemente. Tampoco desplegar mensajes de ayuda
que pudieran asistir a un usuario no autorizado.
Una vez ingresados todos los datos para el acceso a un sistema, stos
sern validados para completar la conexin. El sistema no deber indicar el
lugar donde existan los puntos de falla, en caso de existir error en el
ingreso de datos.
El sistema publicar mensajes de advertencia, en los que se indiquen que

solamente personal autorizado tendr acceso a la computadora y que toda
actividad realizada ser monitoreada y supervisada.
El sistema de control de acceso limitar el nmero de intentos de acceso a

3, registrar todos los intentos realizados y ocultar la clave al ser
437
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 23 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
ingresada. La comunicacin de claves en la red seguir la Poltica de Uso

de Controles Criptogrficos.
4.2.7.5.2 Identificacin y Autenticacin del Usuario
Todos los empleados y el personal responsable de los sistemas de informacin

tendrn un identificador nico y personal (ID), que permitir el rastreo de
actividades. Los identificadores de usuario no darn ningn indicio del nivel de
privilegio otorgado.
La asignacin del identificador est estipulada en la Poltica de Inscripcin del

Usuario.
El uso de claves secretas para el acceso a los diferentes sistemas de informacin

debe seguir los lineamientos expresados en las Polticas de Uso de Claves
Secretas y Gestin de las Claves Secretas de los Usuarios.
La identificacin y autenticacin para accesos a las reas fsicas del Data Center
cumplir la Poltica de Control de Acceso Fsico.
La transmisin de documentos digitales podr utilizar tecnologas de firma y

certificados electrnicos, con el fin de garantizar la identidad de los usuarios.
Los servidores de autenticacin TACACS+, RADIUS LDAP y ACS proporcionarn

verificacin slida de autenticidad de los usuarios.
4.2.7.5.3 Sistema de Gestin de Claves
El sistema de gestin de claves deber cumplir con los mismos parmetros

descritos en la Poltica de Inscripcin del Usuario, Gestin de Privilegios, Gestin
438
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 24 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
de Claves Secretas de los Usuarios, Uso de Claves Secretas, en lo referente a los

identificadores de usuario, seleccin de contraseas y administracin de las
mismas.
4.2.7.5.4 Uso de las Utilidades del Sistema
Las utilidades del sistema deben ser controladas para evitar daos o
modificaciones en el funcionamiento de equipos computacionales.
Las utilidades del sistema permiten realizar tareas nicas relacionadas con la
gestin de recursos bsicos del sistema operativo, como memoria, discos, flujo de
datos, comandos del sistema, etc.; en tanto que las aplicaciones realizan varias
funciones agregadas al sistema operativo.
Las utilidades del sistema operativo estarn sujetas a un proceso de autenticacin

y autorizacin para su uso. Los usuarios normales y tcnicos no podrn ingresar a
dichas utilidades.
Solamente el personal del Departamento de TI tendr acceso a las utilidades del

sistema y ser el encargado de la instalacin de aplicaciones.
Cualquier uso de las utilidades del sistema quedar registrado.
Las utilidades que no se usen o sean innecesarias para el desarrollo de las

actividades del Data Center, sern deshabilitadas o eliminadas.
4.2.7.5.5 Cierre de una Sesin por Inactividad
Las sesiones de terminales que alojan servicios catalogados como crticos deben
cerrarse despus de un periodo definido de inactividad, para disminuir el consumo
439
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 25 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
de recursos y evitar accesos no autorizados. Tambin debern cerrarse las

aplicaciones y conexiones de red de los terminales crticos.
Cuando ocurran casos de inactividad en los terminales del personal del NOC y
tcnicos, no se cerrarn sus sesiones de aplicacin o red y nicamente se
bloquearn y desplegarn un protector de pantalla con contrasea.
4.2.7.5.6 Limitacin del Tiempo de Conexin
Debido a que el Data Center opera las 24 horas del da y su personal debe estar
siempre disponible, no se establecern controles para cierre de conexin con
base en un horario definido u horario de oficina.
La autenticacin para el ingreso a los sistemas se realizar cada vez que se

ingrese a una sesin o expire el tiempo de sesin por inactividad para evitar
ataques de denegacin de servicio.
4.2.7.6 Control de Acceso a la Aplicacin e Informacin
4.2.7.6.1 Restriccin del Acceso a la Informacin
La Poltica de Control de Acceso Lgico determina los niveles de acceso que

tienen los diferentes usuarios a las aplicaciones y a la informacin. Los derechos
estn determinados por la Poltica de Gestin de Privilegios.
El sistema de control de acceso proveer un mecanismo para que el

Departamento de TI administre el acceso a las aplicaciones de acuerdo a los
perfiles de los usuarios registrados.
440
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 26 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Cuando se utilicen aplicaciones de uso genrico para todo el personal, solamente

se habilitarn las funciones que fueren necesarias para los usuarios, ocultndose
otras que no correspondan a sus responsabilidades de trabajo. Los usuarios no
debern tener ningn conocimiento de los aplicativos que no requieran para sus
actividades. La informacin de la intranet estar restringida de conformidad con
cada privilegio.
Los usuarios del NOC y los tcnicos tendrn derechos de lectura y eventualmente
de escritura sobre ciertos sistemas. nicamente los Jefes y Administradores
podrn realizar tareas de lectura, ejecucin, modificacin y supresin.
Las salidas de los sistemas de aplicacin que trabajan con informacin

confidencial sern direccionadas exclusivamente a las terminales y ubicaciones
autorizadas.
4.2.7.6.2 Aislamiento del Sistema Confidencial
El Propietario del Activo ser el encargado de identificar y clasificar la sensibilidad

del sistema de aplicacin, apoyado en los Lineamientos de Clasificacin y
Etiquetado y Manejo de la Informacin. Adems, en coordinacin con el
Responsable de la Seguridad, analizar los riesgos involucrados y tomar la
decisin de implementar dicho sistema en un ambiente aislado o compartido.
Los equipos de core y servidores de aplicaciones se encuentran separados

fsicamente, ocupando un rea especfica dentro del Cuarto de Cmputo, donde
slo se permite el acceso a personal autorizado.
Las aplicaciones confidenciales y crticas debern tener copias de respaldo, las

mismas que sern consideradas en los planes de continuidad del negocio, para
restablecer la aplicacin en caso de fallos.
441
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 27 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los sistemas sensibles cuentan con separaciones lgicas de conformidad con la

Poltica de Segregacin en Redes.
4.2.7.7 Computacin Mvil y Tele-trabajo
4.2.7.7.1 Computacin y Comunicaciones Mviles
Cuando se utilizan dispositivos mviles, ya sean de almacenamiento o

computacionales, debe tenerse en claro los siguientes estatutos:
Todo dispositivo mvil que ingrese y salga del Data Center, deber ser
registrado por personal de guardiana, tomando en cuenta el nmero de
serie, modelo, marca, y la justificacin del trabajo que va a realizar con
dicho equipo. Est terminantemente prohibido el uso de celulares,
cmaras, filmadoras y telfonos inteligentes dentro de las instalaciones del
Data Center, en cumplimiento a las Polticas de Control de Acceso Fsico y
Trabajo en reas Seguras.
Ningn dispositivo mvil deber ser conectado a la red del Data Center sin
previa autorizacin de la Jefatura de TI. La conexin de equipos a la red se
realizar tomado en cuenta las Polticas de Control de Conexin a la Red y
Segregacin en Redes.
Toda la informacin que se almacene en dispositivos mviles deber hacer

uso de mtodos criptogrficos para salvaguardar la informacin y evitar
posibles incidencias de seguridad, de conformidad con la Poltica de Uso
de Controles Criptogrficos.
442
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 28 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los dispositivos mviles debern respaldar su informacin con base en la

Poltica de Backup o Respaldo de la Informacin.
Todos los dispositivos computacionales mviles debern tener su propio

antivirus; adicionalmente, se debe mantener activo el firewall propio del
sistema operativo. Los dispositivos de almacenamiento externo debern
ser revisados con el antivirus del equipo al que se van a conectar, antes de
su utilizacin, con el fin de evitar el ingreso de cdigo malicioso.
Las laptops utilizadas por las Jefaturas, debern estar aseguradas para
protegerse en caso de prdida o robo.
4.2.7.7.2 Tele-Trabajo
Toda actividad que requiera de tele-trabajo deber cumplir los siguientes

parmetros:
El sitio en el que se implementar tele-trabajo debe disponer de todas las

seguridades. Jams se har uso del servicio de tele-trabajo en sitios
pblicos de ambientes inseguros para los equipos mviles y la conexin.
Se evitar hacer uso de tele-trabajo cuando se tenga cerca a personas

ajenas al Data Center, o usar equipos que sean utilizados por varias
personas.
Se debe proteger las conexiones a travs de protocolos seguros o VPN,

que permitan la transmisin de informacin sin peligro de modificacin,
prdida de confidencialidad u otro ataque.
443
CONTROL DE ACCESO
Fecha de la versin:
Versin:
Pgina 29 de 29
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Toda la informacin transmitida a travs de una conexin de tele-trabajo,

es propiedad del Data Center y del ISP dueo del mismo.
Todos
los
mecanismos
que
permitan
tele-trabajo
debern
ser
proporcionados por el Departamento de TI y por ningn motivo se podr

utilizar medios sin autorizacin. Adems, todos los medios de tele-trabajo,
en el caso de ser propietarios, debern disponer de licencias para su uso.
Todas las computadoras utilizadas para el uso de tele-trabajo debern

tener activado su respectivo firewall, y poseer antivirus que detecten
amenazas en tiempo real provenientes de los archivos dentro de la
computadora y de la red utilizada.
444
POLTICA DE ADQUISICIN, DESARROLLO Y

MANTENIMIENTO DE SISTEMAS DE
INFORMACIN
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
C-POL-SEG-Adquisicin, Desarrollo y Mantenimiento-08-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
Requerimientos de Seguridad de los Sistemas de Informacin ......................................
Procesamiento Correcto en las Aplicaciones .................................................................
Controles Criptogrficos ................................................................................................
Seguridad de los Archivos del Sistema ..........................................................................
Seguridad en los Procesos de Desarrollo y Soporte ......................................................
Gestin de la Vulnerabilidad Tcnica.............................................................................
2
2
3
4
5
5
6
9
13
17
23
445
Fecha de la versin:
Versin:
Pgina 2 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.8 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACIN
Generalidades
El mantenimiento de los sistemas de informacin es esencial para la entrega de

servicios del Data Center. Los requerimientos de seguridad deben ser
incorporados durante el anlisis y diseo de los diferentes procesos de los
sistemas de informacin. Adicionalmente, se debern disear controles de
validacin de datos de entrada, procesamiento interno y salida de datos .
La confidencialidad, integridad y disponibilidad de la informacin que circula en

medios electrnicos o a travs de las lneas de comunicacin, deben estar
protegidas con mtodos de codificacin y encriptacin.
Los procesos de desarrollo y soporte deben dispone de un adecuado control de

cambios, de tal forma que no se comprometa el funcionamiento o seguridad de
los sistemas.
Tambin se deben revisar las vulnerabilidades de los activos del Data Center y la
forma en que stas podran ser atacadas; as como las medidas para su
reduccin o eliminacin.
Objetivos
Asegurar que el SGSI constituya una parte integral de todos los procesos
del Data Center.
446
Fecha de la versin:
Versin:
Pgina 3 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Identificar los requerimientos de seguridad segn los objetivos comerciales

que se pretendan, antes de la planificacin, desarrollo e implementacin de
Disear controles para prevenir errores, prdidas, modificaciones no

autorizadas o mal uso de la informacin en las aplicaciones.
Establecer
gestionar
medios
criptogrficos
para
proteger
los
requerimientos de seguridad de la informacin.
Controlar el acceso a los archivos del sistema, al cdigo fuente del

programa y a la informacin relacionada con los proyectos de desarrollo del
Data Center.
Gestionar los cambios para mantener la seguridad del software y la

informacin de las aplicaciones.
Establecer controles para disminuir o evitar los riesgos provenientes de las

vulnerabilidades tcnicas de los sistemas del Data Center.
Alcance
Esta Poltica se aplicar a todos los sistemas informticos, a desarrollos propios o

de terceros, y a todos los Sistemas Operativos y/o Software de Base que integren
cualquiera de los ambientes administrados por el Data Center.
447
Fecha de la versin:
Versin:
Pgina 4 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Responsabilidades
El Responsable de la Seguridad registrar las actividades en el proceso de

entrada
salida
de
datos;
gestionar
el
uso,
manejo,
distribucin,
almacenamiento y generacin de las claves criptogrficas; supervisar la

seguridad en el proceso de cambio e informar a la Gerencia Comercial de los
cambios y pruebas que se realizarn en los sistemas.
El Responsable de la Seguridad y las Jefaturas correspondientes autorizarn la

instalacin de software adicional; verificarn el nivel de privilegios que tienen los
usuarios para la realizacin de cambios.
Los Propietarios de los Activos gestionarn los datos de salida, revisarn la

instalacin de software aprobado en las computadoras de los usuarios;
identificarn peridicamente la necesidad de cambios, actualizaciones o
despliegue de nuevo equipamiento o software; identificarn y harn monitoreo de
las vulnerabilidades tcnicas en los sistemas bajo su cargo.
El Departamento de TI instalar, actualizar y administrar las aplicaciones de

software; verificar la fiabilidad de los sistemas de software antes de su
implementacin; configurar los equipos de red y servidores.
El Jefe de TI manejar las licencias e inventario de los programas y paquetes de

actualizacin de software, autorizar la copia de informacin operacional en los
sistemas de aplicacin de prueba y supervisar el desarrollo de software
abastecido por terceras partes.
448
Fecha de la versin:
Versin:
Pgina 5 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.8.1 Requerimientos de Seguridad de los Sistemas de Informacin
4.2.8.1.1 Anlisis y Especificacin de los Requerimientos de Seguridad
La inclusin de un nuevo producto de hardware, software, aplicativo, desarrollo

interno o externo, y los cambios o actualizaciones en los sistemas existentes en el
Data
Center,
deben
estar
acompaados
de
la
identificacin,
anlisis,
documentacin y aprobacin de los requerimientos de seguridad de la

informacin.
Los requerimientos de seguridad deben estar alineados conforme a los objetivos

comerciales del Data Center, tomndose en consideracin el valor econmico de
los controles seleccionados con base en el inventario de activos y a su
clasificacin, segn lo estipulado en los Lineamientos de Clasificacin de la
Informacin.
Antes de implementar cualquier proceso del Data Center, debe definirse un

procedimiento que incorpore controles de seguridad en las etapas de anlisis y
diseo. Este procedimiento contar con un Anlisis y Evaluacin de Riesgos para
establecer los posibles problemas y mitigaciones correspondientes. En esta tarea
deben participar las reas usuarias, de sistemas, de seguridad informtica y de
auditora.
Es preferible introducir los controles en la etapa de diseo, ya que significa un

menor costo en comparacin con aquellos incluidos durante o despus de la
implementacin.
449
Fecha de la versin:
Versin:
Pgina 6 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los requerimientos de seguridad de la informacin identificados y las obligaciones

derivadas de las leyes de propiedad intelectual y derechos de autor, deben ser
establecidos en los acuerdos contractuales que se realicen entre el Data Center y
cualquier proveedor de productos y/o servicios asociados a la infraestructura de
procesamiento de la informacin.
Cuando se requiera de nuevos productos para los sistemas del Data Center, se
considerarn a varios proveedores para su suministro. El Propietario del Activo y
el Responsable de la Seguridad se encargarn de verificar la opcin ms
conveniente, y su aprobacin ser de responsabilidad de la Direccin.
Los nuevos activos, antes de su despliegue oficial, estarn sometidos a la Poltica

de Separacin de los Medios de Desarrollo, Prueba y Operacin, a la Gestin de
Cambios y a los Procedimientos del Control de Cambios.
4.2.8.2 Procesamiento Correcto en las Aplicaciones
4.2.8.2.1 Validacin de la Data de Insumo
Se definir un procedimiento que especifique controles para asegurar la validez

de los datos ingresados, incluyendo tambin a los datos permanentes y a las
tablas de parmetros. Este procedimiento considerar los siguientes controles:
Se verificarn todos los datos entrantes para que no se encuentren fuera

de rango, contengan caracteres invlidos en los campos de data o estn
incompletos. Los datos comerciales de los servicios otorgados a los
clientes sern validados para corroborar que los servicios ofrecidos estn
en concordancia con los registrados en el sistema propio del Data Center.
450
Fecha de la versin:
Versin:
Pgina 7 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Adems, se proceder a revisar si los recursos que se reciben de los

proveedores son los estipulados en los contratos.
Los Propietarios de los Activos y el Responsable de la Seguridad revisarn

cada 6 meses los archivos de data para confirmar su validez e integridad.
En los casos de informacin del cliente o proveedores, el personal del Data

Center realizar los procedimientos de validacin de la data entrante, a
travs del ingreso a los datos visibles de los sistemas, envo de correo
electrnico solicitando una confirmacin, llamadas telefnicas, etc.
Todas las actividades implicadas en el proceso de entrada de datos,

debern ser registradas; esta informacin estar bajo el control del
4.2.8.2.2 Control del Procesamiento Interno
Las aplicaciones que se utilizan en el Data Center deben minimizar los riesgos en
el procesamiento, que podran producir una prdida de la integridad.
Las funciones de las aplicaciones de los sistemas informticos crticos, como

manejo de subsistemas, incidencias o requerimientos de los clientes, deben tener
mecanismos de control y advertencias de uso, como ventanas de confirmacin,
para evitar errores de uso.
El control de las aplicaciones depender del Departamento de TI, el cual ser

responsable de verificar su funcionamiento y la compatibilidad con otros sistemas
de informacin.
451
Fecha de la versin:
Versin:
Pgina 8 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Las aplicaciones estarn documentadas y generarn registros, adems de contar

con respaldos en caso de fallos. Tambin se debe hacer uso de programas para
recuperacin de datos, en las eventuales prdidas de informacin crtica.
Se verificar la validacin de datos entregados por el sistema, la integridad y

autenticidad de software descargado o actualizado. Se revisar que los
programas de aplicacin se ejecuten adecuadamente y se cierren en caso de
falla.
4.2.8.2.3 Integridad del Mensaje
Conforme al Anlisis de Riesgos y a los Lineamientos de Clasificacin de la

Informacin, se verificar el nivel de proteccin que requiere la transmisin de
mensajes en el Data Center.
Cuando una aplicacin tenga previsto el envo de mensajes con informacin

clasificada, se implementarn los controles criptogrficos determinados en la
Poltica de Uso de Controles Criptogrficos.
4.2.8.2.4 Validacin de la Data de Output
Se establecern procedimientos para validar la salida de los datos de los

sistemas, considerando los siguientes puntos:
Los datos de salida deben cumplir un estndar de tal forma que no se

entreguen valores errneos o fuera de los rangos establecidos.
La informacin que sale debe ser la suficiente para el correcto

funcionamiento del sistema subsiguiente. El personal que maneja datos de
452
Fecha de la versin:
Versin:
Pgina 9 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
salida debe suministrar la informacin en trminos de exactitud, totalidad,

precisin y clasificacin para su correcta comprensin.
Los Propietarios de los Activos son los responsables de la gestin de los

datos de salida, debiendo realizar revisiones de las aplicaciones y de los
recursos de informacin que los soportan. El Responsable de la Seguridad
verificar los errores que pudieren ocurrir en los datos de salida.
Se tendr un registro de todas las actividades relacionadas con la salida de

los datos, informacin que estar bajo el control del Responsable de la
Seguridad.
4.2.8.3 Controles Criptogrficos
4.2.8.3.1 Uso de Controles Criptogrficos
Con el fin de proveer una adecuada seguridad, se utilizarn sistemas y tcnicas

criptogrficas para la proteccin de la informacin, con base en el Anlisis de
Riesgos efectuado.
Se har uso de controles criptogrficos en los siguientes casos:
Proteccin de claves de acceso a sistemas, datos y servicios.

Transmisin de informacin clasificada, dentro y fuera del mbito del
Organismo.
Resguardo de informacin, cuando lo exija el anlisis y evaluacin de
riesgos.
453
Fecha de la versin:
Versin:
Pgina 10 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los servicios de correo, web y conexin remota, debern incorporar criptografa

en sus comunicaciones, en la medida en que no afecte al rendimiento del sistema.
Los computadores de escritorio y los medios extrables como, computadores

porttiles, discos externos, memorias flash, etc., deben incluir software que
permita encriptar la informacin que se encuentre en ellos.
Se desarrollarn procedimientos para la administracin de claves, recuperacin
de informacin cifrada, compromiso o dao de las claves y reemplazo de las
claves de cifrado.
Para la implementacin de los controles se realizarn pruebas piloto sobre los

sistemas que necesitan la criptografa, comprobando la efectividad del control. Si
los resultados son satisfactorios, la Direccin aprobar su ejecucin sobre los
sistemas finales.
Los sistemas que registran eventos no implementarn criptografa para evitar el

aumento de latencia en los procesos.
Las tcnicas utilizadas para cifrar la informacin son las siguientes:

Cifrado Simtrico79: utilizado para la transmisin de mensajes por su
rapidez de codificacin. Se recomienda el uso de algoritmos con longitud
de clave de 128 bits o mayor para evitar ataques de fuerza bruta (ver Tabla
4.4).
Algoritmo Longitud de Clave (bits)

3DES
168
AES
128/ 192/ 256
IDEA
128
79
Cifrado Simtrico o de clave secreta: mtodo criptogrfico en el cual se usa una misma clave
para cifrar y descifrar mensajes. Su inconveniente radica en el intercambio/distribucin de claves.
454
Fecha de la versin:
Versin:
Pgina 10 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
RC5
128
Tabla 4.4: Algoritmos de Cifrado Simtrico
Cifrado Asimtrico80: utilizado para la generacin de certificados y firmas

digitales. La NIST SP 800-131A [63] recomienda tamaos de clave
mnimos de 2048 bits para RSA y DSA y de 224 bits para ECC (ver Tabla
4.5).
Algoritmo Longitud de Clave (bits)
RSA
2048
DSA
2048
ECC
224
Tabla 4.5: Algoritmos de Cifrado Asimtrico
Mediante la evaluacin de riesgos que llevar a cabo el Propietario del Activo y el

Responsable de la Seguridad se identificar el nivel requerido de proteccin,
tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la
longitud de las claves criptogrficas a utilizar. Se verificar peridicamente los
mtodos
criptogrficos,
con
el
objeto
de
efectuar
las
actualizaciones
correspondientes.
Al implementar la Poltica del Organismo en materia criptogrfica, se considerarn

los controles aplicables a la Regulacin de Controles Criptogrficos.
Las firmas electrnicas proporcionan un medio de proteccin de la autenticidad e

integridad de los documentos electrnicos. Se aplicarn a los documentos
electrnicos importantes del Data Center.
80
Cifrado Asimtrico o de clave pblica: Mtodo criptogrfico que usa un par de claves para el
envo de mensajes. Una clave pblica que esta disponible a cualquier entidad y una clave privada
que se mantiene en secreto. Resuelve el problema del intercambio de claves en el cifrado
simtrico.
455
Fecha de la versin:
Versin:
Pgina 11 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Para asegurar la validez de la firma se tomarn recaudos para proteger la

confidencialidad de las claves privadas y la integridad de la clave pblica. Esta
proteccin se proveer mediante el uso de un certificado de clave pblica.
4.2.8.3.2 Gestin de las Claves Criptogrficas
Se implementar un sistema de administracin de claves criptogrficas para

respaldar su utilizacin por parte del Organismo pertinente.
Los diferentes sistemas criptogrficos y aplicaciones empleadas, tendrn

asociadas claves nicas e irrepetibles.
El Responsable de la Seguridad entregar el documento de activacin de claves

criptogrficas a los involucrados. La transmisin de las claves secretas a los
destinatarios se realizar por medio de canales de comunicacin seguros.
El Responsable de la Seguridad ser el encargado del almacenamiento de las

claves criptogrficas. Las claves de los datos de los usuarios finales sern de
conocimiento exclusivo de cada usuario.
Los cambios de claves sern realizados por el Responsable de la Seguridad.

Estas claves sern actualizadas en perodos de 3 meses. Cuando se produzca un
incidente de revelacin o cuando un empleado cese en sus funciones, se
proceder a cambiar todas las claves de forma inmediata. Esta tarea ser
realizada por el Departamento de TI.
El Responsable de la Seguridad tambin llevar un registro y archivar todas la

claves, activas e inactivas. Cuando una clave ya no pueda ser utilizada o pierda
su vigencia, se eliminar del sistema de claves, cuidando que no se encuentre
replicada en otro sistema.
456
Fecha de la versin:
Versin:
Pgina 12 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Las actividades de gestin de claves sern revisadas y auditadas cada 6 meses,

para verificar su cumplimiento y posibles actualizaciones del control.
Adems de la administracin segura de las claves secretas, es importante la

proteccin de las claves pblicas, asunto que se aborda con el uso de un
certificado de clave pblica. Este certificado se generar de forma tal que vincule
de manera nica la informacin relativa al propietario del par de claves
pblica/privada, con la clave pblica.
Para asegurar la confiabilidad del proceso de administracin de los certificados de

clave pblica se podr recurrir a una Autoridad de Certificacin o Certificador.
4.2.8.4 Seguridad de los Archivos del Sistema
4.2.8.4.1 Control del Software Operacional
Se definen los siguientes controles para la instalacin del software en los

sistemas operacionales:
El Departamento de TI ser el encargado de la ejecucin e instalacin de

software en el Data Center, tareas que sern supervisadas por el
Responsable de la Seguridad, con la aprobacin de la Jefatura de TI.
Los sistemas nuevos y las aplicaciones que se desarrollen con personal

externo, deben ser versiones finales y no cdigos en desarrollo. La
implementacin se regir bajo los Procedimientos del Control de Cambios y
457
Fecha de la versin:
Versin:
Pgina 14 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los tipos de software que se instalarn son, entre otros, los siguientes:
sistema operativo de computadoras y servidores, sistema operativo de
equipos de red, monitoreo de los sistemas, aplicativos, antivirus, etc. Todos
los cambios debern ser registrados y documentados.
Antes de realizar cambios en los sistemas, se implementar una poltica de

rollback o regreso a la situacin original, utilizando puntos de restauracin
anterior para el evento de fallas en la aplicacin de los nuevos sistemas.
Tambin se proceder a la retencin de las versiones previas del sistema,
como medida de contingencia. Los mecanismos de recuperacin estarn
apoyados en la Poltica de Backup o Respaldo de la Informacin.
Si el software es provisto por entidades externas, stas se encargarn del

soporte e informarn al Data Center de nuevas actualizaciones, si el
software es obsoleto, de tal forma que se puedan efectuar las correcciones
oportunas. Las condiciones para la provisin de software externo constan
en la Poltica de Desarrollo de Software Abastecido Externamente.
El software estar sujeto a auditoras antes y durante su aplicacin. En

caso de encontrarse defectos o incumplimiento de estndares, se lo
rechazar.
La introduccin de nuevo software o cambio en las actualizaciones tomar

en cuenta la visin del lado comercial para la entrega de servicios, adems
de identificar los nuevos riesgos que conlleva la implementacin conforme
a la Continuidad del Negocio y a la Evaluacin del Riesgo.
El personal utilizar solamente el software o los programas de ordenador

que hayan sido instalados y validados por el Responsable de la Seguridad
y la Jefatura de TI.
458
Fecha de la versin:
Versin:
Pgina 14 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Si se requiere la instalacin de software adicional, se deber justificar su

utilizacin, solicitndose la autorizacin respectiva al Responsable de la
Seguridad con el visto bueno de su Jefe inmediato, identificndose al
equipo donde se instalar el software y el perodo que estar en funciones.
Se considerar una falta grave cuando los usuarios, sin la autorizacin del
Responsable de la Seguridad, intenten instalar cualquier tipo de software
en sus computadoras, estaciones de trabajo, servidores, o cualquier equipo
conectado a la red del Data Center.
El Data Center podr adquirir software libre o propietario, dependiendo de

las necesidades especficas de su uso. El software propietario contar con
las debidas licencias.
El control del manejo de las licencias y del inventario de los programas y

paquetes de actualizacin instalados, estar bajo la responsabilidad de la
Jefatura de TI o de su delegado, en caso de ausencia.
Para reinstalar un programa, deber borrarse completamente la versin

instalada, antes de proceder a instalar la nueva versin, siempre que no se
trate de una actualizacin del mismo.
Los Propietarios de los Activos realizarn revisiones peridicas para

confirmar que solamente el software aprobado se halle instalado en las
computadoras de los usuarios.
Todo software adquirido por el Data Center respetar los derechos de

propiedad intelectual de sus autores.
459
Fecha de la versin:
Versin:
Pgina 15 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.8.4.2 Proteccin de la Data de Prueba del Sistema
Las pruebas de los sistemas de informacin se efectuarn con los datos extrados
del ambiente operativo. Para proteger los datos de prueba se establecern
normas y procedimientos que contemplen lo siguiente:
Las bases de datos que contengan informacin personal o confidencial no

debern usarse para realizar pruebas.
Todos los sistemas, en produccin o prueba, cumplirn con la Poltica de

La copia de informacin operacional en los sistemas de aplicacin de

prueba. debe justificarse sealndose las razones para el copiado. Las
operaciones de copiado y uso de la informacin operacional quedarn
registradas para la realizacin de auditoras, de conformidad con la Poltica
de Registro de Auditora.
Una vez completados todos los procesos de prueba, los datos

operacionales debern ser borrados de los sistemas de desarrollo,
conservndose nicamente los de produccin.
4.2.8.4.3 Control de Acceso al Cdigo Fuente del Programa
El cdigo fuente estar protegido por controles que certifiquen el acceso de

personal autorizado, para impedir la introduccin de una funcionalidad no
planificada y para evitar cambios no-intencionados.
460
Fecha de la versin:
Versin:
Pgina 16 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Existir un sistema centralizado donde se guardar todo el cdigo fuente, cuyo

acceso ser permitido al personal de desarrollo y al Departamento de TI, en
cumplimiento de la Poltica de Control de Acceso Lgico.
Los cambios en los cdigos fuentes deben contar con la debida aprobacin de las
Jefaturas y la Direccin, adems de cumplir los Procedimientos del Control de
Cambios.
Cuando el software haya sido desarrollado por una entidad externa al Data
Center, se estipular en el contrato si dicha empresa facilitar o no el acceso al
cdigo fuente para el personal del Data Center.
La configuracin de los equipos de red y servidores nicamente podr ser

revisada por el Departamento de TI.
4.2.8.5 Seguridad en los Procesos de Desarrollo y Soporte
4.2.8.5.1 Procedimientos del Control de Cambios
Con el fin de minimizar los riesgos de alteracin de los sistemas, se

implementarn controles estrictos durante la implementacin de cambios, con el
cumplimiento de procedimientos formales. stos garantizarn la observancia de
los requerimientos de seguridad y control.
La instalacin de nuevos sistemas o modificaciones sobre los ya existentes

estarn sujetos al anlisis y evaluacin de los riesgos inherentes a los cambios.
Esta Poltica estar alineada con la Poltica de Gestin de Cambios, siempre que
sea factible de realizar.
461
Fecha de la versin:
Versin:
Pgina 17 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los usuarios no podrn realizar cambios sin la debida autorizacin de la autoridad

superior; estos trabajos solamente podrn realizarse con la intervencin de
personal capacitado.
Los Propietarios de los Activos identificarn peridicamente la necesidad de

cambios, actualizaciones o despliegue de nuevo equipamiento o software para el
desarrollo de los sistemas. Este requerimiento ser evaluado por las Jefaturas y la
Direccin antes de su aprobacin.
El personal que ejecuta los cambios, una vez que se hayan realizado y concluido,
ser responsable de la documentacin del proceso y de los resultados. Estos
cambios deben ser validados por la Jefatura correspondiente y por el
Responsable de la Seguridad. La Jefatura respectiva proceder al archivo de la
documentacin.
Cuando se realicen cambios o actualizaciones de software, deber remitirse a lo

dispuesto en la Poltica de Control del Software Operacional.
El procedimiento que debe observarse para un control de cambios, se detalla a

continuacin:
Solicitud de cambio: El requerimiento de solicitud de cambios debe
presentarse a la Jefatura correspondiente, incluyendo la justificacin,
beneficios y actividades que se realizarn.
Aprobacin del cambio: La Jefatura realizar una revisin preliminar de la

solicitud; una vez aceptada, ser evaluada por la Direccin, que autorizar
y aprobar el requerimiento de cambio.
462
Fecha de la versin:
Versin:
Pgina 18 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Desarrollo del cambio: Cuando el cambio es aprobado, se designar al

personal para ejecutar los cambios.
Pruebas y presentacin: Una vez concluidas las modificaciones, el cambio

debe someterse a las pruebas correspondientes para verificar su correcto
funcionamiento.
Implementacin: Cuando un cambio ha sido probado, se lo implementar,

mantenindose el debido monitoreo.
Documentacin: el personal que ejecuta el cambio debe documentar los

cambios realizados al sistema y sus resultados.
463
Fecha de la versin:
Versin:
Pgina 19 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.8.5.2 Revisin Tcnica de la Aplicacin despus de los Cambios en el Sistema
Todo cambio que se realice en el Data Center deber revisarse para asegurar que
no se produzca un impacto en su funcionamiento o seguridad. Con esta finalidad,
se plantean los siguientes puntos:
El Propietario del Activo y el Responsable de la Seguridad efectuarn

chequeos sobre el grado de afectacin de los procedimientos de control y
seguridad, cada vez que se realicen cambios en el sistema de operacin.
El Responsable de la Seguridad informar a la Gerencia Comercial de los

cambios y pruebas que se realizarn en los sistemas, con el fin de
incorporar en el presupuesto anual dichos requerimientos.
El proceso de control de cambios ser ejecutado cumpliendo plazos

establecidos; adems, el personal debe ser notificado con antelacin para
que pueda planificar todas las etapas del proceso.
Los cambios que se ejecuten debern estar vinculados a la Poltica de

Prueba, Mantenimiento y Re-Evaluacin de los Planes de Continuidad
Comercial.
Los Propietarios de los Activos realizarn un monitoreo de las

vulnerabilidades tcnicas de los equipos que estn bajo su custodia. Los
parches, actualizaciones y versiones de nuevos sistemas de software
sern revisados por el Departamento de TI.
464
Fecha de la versin:
Versin:
Pgina 20 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.8.5.3 Restricciones en los Cambios de los Paquetes de Software
Los paquetes de software no deben ser cambiados o modificados constantemente

para minimizar problemas de compatibilidad o interrupcin de los servicios.
Cuando los cambios sean necesarios, se considerarn los siguientes aspectos:
La Jefatura de TI analizar los trminos y condiciones de las licencias, para

determinar
si
las
modificaciones
se
encuentran
autorizadas.
Las
modificaciones pueden ser ejecutadas por el Data Center, por el proveedor

o por un tercero. En el caso de que los cambios sean realizados por el
proveedor, se comprobar la autorizacin del vendedor, factibilidad tcnica
del cambio y los impactos sobre los procesos de seguridad. Si los realiza el
Data Center, se analizar si la organizacin se hace responsable del
mantenimiento futuro del software.
Para evitar que los usuarios puedan modificar, sin autorizacin previa,
cualquier tipo de software, sus cuentas no tendrn permisos para realizar
ninguna de estas actividades; tampoco podrn instalar o remover ningn
tipo de software sin la autorizacin previa del Jefe de TI.
Se mantendr el software original y los cambios se realizarn sobre una

copia perfectamente identificada, documentando exhaustivamente para el
caso de que fuera necesario aplicarlos a nuevas versiones.
4.2.8.5.4 Filtracin de Informacin
Se considerarn varios puntos para evitar la fuga de informacin privada del Data
Center:
465
Fecha de la versin:
Versin:
Pgina 21 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
La informacin confidencial que es de conocimiento del personal interno y

externo del Data Center no deber divulgarse a terceros, cumpliendo los
Acuerdos de Confidencialidad.
Los activos de informacin en trnsito fuera de las instalaciones y los

medios extrables deben contar con protecciones adecuadas para
garantizar la confidencialidad de la informacin, con base en las Polticas
de Seguridad del Equipo Fuera del Local, Traslado de Propiedad, Gestin
de los Medios Removibles y Medios Fsicos en Trnsito. Tambin se
verificar el tipo de informacin contenida en dichos activos y si cuenta con
la autorizacin para salir de las instalaciones.
Se realizar el monitoreo de la red y el uso de los recursos en los sistemas

de cmputo. Para la transmisin segura de los datos, es necesario el
empleo de mtodos de codificacin, acoplados a la Poltica de Uso de
Controles Criptogrficos.
El control de las acciones del personal sobre los sistemas del Data Center
se har por medio de las Polticas de Control de Acceso Fsico y Lgico,
Gestin de Privilegios, Registro de Auditora, Uso del Sistema de
Monitoreo, y Registros del Administrador y Operador.
El Departamento de TI verificar la integridad, credibilidad y fiabilidad de

los sistemas de software antes de su implementacin en el Data Center,
utilizando productos evaluados o que provengan de proveedores
acreditados.
Se aplicarn controles contra cdigo malicioso, para evitar en lo posible la

instalacin de canales ocultos que podran exponer informacin utilizando
algunos medios indirectos y desconocidos.
466
Fecha de la versin:
Versin:
Pgina 22 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.8.5.5 Desarrollo de Software Abastecido Externamente
En circunstancias en que el software sea desarrollado por terceras partes, se

dispondr de controles que contemplen los siguientes puntos:
Los acuerdos de licencias, derechos de propiedad intelectual, acceso al

cdigo fuente, nivel de servicio esperado, plazos de entrega, calidad del
software y garantas, debern estar especificadas en los contratos entre el
Data Center y la empresa que desarrollar el software.
El Data Center monitorear y supervisar los procesos de desarrollo,

pruebas y produccin del software llevado a cabo por el proveedor, con el
fin de comprobar el cumplimiento de las condiciones de seguridad
establecidas en la Poltica de Seguridad de la Informacin. Las actividades
de supervisin incluyen: auditoras, revisin de cdigo para detectar cdigo
malicioso, verificacin del cumplimiento de los requerimientos de
funcionalidad del software, etc.
El proveedor otorgar garantas para casos de fallas del software o

incumplimiento de las clusulas firmadas en el contrato.
El software estar sometido a un proceso de pruebas antes de su

implementacin, basndose en las Polticas de Separacin de los Medios
de Desarrollo, Prueba y Operacin, Procedimientos del Control de Cambios
y Control del Software Operacional.
467
Fecha de la versin:
Versin:
Pgina 23 de 23
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.8.6 Gestin de la Vulnerabilidad Tcnica
4.2.8.6.1 Control de las Vulnerabilidades Tcnicas
Es necesario identificar, evaluar y aplicar controles a las vulnerabilidades

detectadas en los sistemas de informacin que soportan la entrega de servicios
del Data Center. Con este fin se establecern los siguientes lineamientos de
gestin de vulnerabilidades:
Los Propietarios de los Activos son los encargados de determinar las

vulnerabilidades tcnicas que existan en los sistemas bajo su cargo. El
anlisis de las vulnerabilidades se basar en los datos y caractersticas
presentes en el inventario de activos. Las Jefaturas se encargarn de
verificar que los inventarios se encuentren debidamente documentados y
actualizados.
Cuando se detecte una vulnerabilidad del sistema, el personal notificar de

forma inmediata a su Jefe superior, quien a su vez informar del problema
al Responsable de la Seguridad para su seguimiento y tratamiento. Una
vez reconocida la vulnerabilidad se desarrollar el Anlisis de Riesgos para
identificar las posibles amenazas que podran atacarla y sus impactos
sobre la continuidad de las operaciones. La Evaluacin del Riesgo
determinar el tipo de controles que se aplicarn.
La implantacin de controles que involucren cambios sobre el sistema,

debern seguir las Polticas de Gestin de Cambios, Procedimientos del
Control de Cambios y Gestin de Incidentes en la Seguridad de la
Informacin.
468
POLTICA DE GESTIN DE INCIDENTES EN LA

SEGURIDAD DE LA INFORMACIN
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
C-POL-SEG-Gestin de Incidentes-09-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
2
2
3
3
4
Reporte de Eventos en la Seguridad de la Informacin..................................................

Gestin de los Incidentes y Mejoras en la Seguridad de la Informacin .........................
4
6
469
Fecha de la versin:
Versin:
Pgina 2 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.9 GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
Generalidades
Un incidente de seguridad de la informacin es un evento, o serie de eventos,

indeseados e inesperados que tienen una alta probabilidad de poner en riesgo las
actividades comerciales, y amenazar la seguridad de la informacin. [20]
Los incidentes y eventos de seguridad en el Data Center deben ser detectados

tempranamente para garantizar una rpida reaccin, respuesta y solucin por
parte del personal.
El proceso de gestin debe ser lo suficientemente dinmico para adaptarse a

nuevos eventos, tomando como referencia incidentes pasados y aplicando
retroalimentaciones de forma continua y permanente.
Objetivos
Establecer directrices para el reporte de eventos y debilidades que podran

tener un impacto en la seguridad de los activos organizacionales.
Establecer
un
sistema
de
gestin
de
incidentes
que
incluya
responsabilidades para su administracin, recoleccin de evidencia y

procesos de mejoramiento continuo.
470
Fecha de la versin:
Versin:
Pgina 3 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Alcance
Este Documento se aplica a todo el Sistema de Gestin de Seguridad de la

Informacin (SGSI); esto es, a todos los empleados y dems activos que se
encuentran bajo el SGSI; tambin se incluye a los proveedores y personas
externas a la Organizacin, que entran en contacto con los sistemas y con la
Responsabilidades
Todo empleado, proveedor o tercero que est en contacto con informacin y/o
sistemas del Data Center deber reportar cualquier incidente, evento o debilidad
que pudiera derivar en un riesgo de seguridad a los Propietarios de los Activos y
al Responsable de la Seguridad, quienes tomarn las medidas de mitigacin,
investigacin y reporte.
El Comit de Seguridad de la Informacin identificar el impacto de los incidentes

de seguridad en los procesos del Data Center; examinar incidencias pasadas
para comprobar la eficacia de los controles implementados y analizar la
necesidad de nuevos controles.
El Responsable de la Seguridad informar al personal sobre los incidentes

ocurridos en el Data Center para concienciar de los fallos ocurridos y evitar su
repeticin.
Las Jefaturas y el Responsable de la Seguridad se encargarn de archivar y

preservar la seguridad de la evidencia.
El Departamento Jurdico certificar que la evidencia cumple los estndares o

cdigos de evidencia admisible.
471
Fecha de la versin:
Versin:
Pgina 4 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.9.1 Reporte de los Eventos y Debilidades de la Seguridad de la Informacin
4.2.9.1.1 Reporte de Eventos en la Seguridad de la Informacin
Todo empleado, proveedor o tercero que est en contacto con informacin y/o
sistemas del Data Center deber reportar cualquier incidente o evento que
pudiera derivar en un riesgo de seguridad.
El personal interno del Data Center registrar la incidencia en un sistema

informtico de help desk, luego proceder a informar al personal responsable para
su solucin y seguimiento.
Si existe la sospecha de que la informacin ha sido revelada, modificada, alterada

o borrada sin autorizacin del usuario, se deber notificar del incidente al
Responsable de la Seguridad. Cualquier incidente relacionado con la utilizacin
de
equipos
computacionales
de
comunicacin
deber
reportarse
al
Departamento de TI.
La solucin y escalamiento de problemas se sujetarn a la Poltica de Contacto

con Autoridades.
Todo el personal involucrado en las actividades del Data Center deber conocer
el procedimiento y las herramientas para la comunicacin de eventos, los mismos
que se incluirn en la capacitacin de la Poltica de Seguridad de la Informacin;
adems, es indispensable que dichos eventos se informen de modo urgente.
472
Fecha de la versin:
Versin:
Pgina 5 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los tipos de eventos o posibles amenazas que pueden suscitarse en el Data

Center se hallan descritos en el Captulo 3, Seccin 3.3.1.2.
Si se determina que los problemas tienen causas de ndole humana, se proceder

a aplicar la Poltica de Proceso Disciplinario.
La Figura 4.3 muestra el reporte de eventos y debilidades en el proceso de

gestin de incidentes.
4.2.9.1.2 Reporte de Debilidades en la Seguridad de la Informacin
La comunicacin de debilidades en la seguridad de los activos de Data Center

observa un proceso similar a la Poltica de Reporte de Eventos en la Seguridad de
la Informacin.
Habr una etapa inicial de identificacin donde se registrar la debilidad; acto

seguido, se comunicar a los Propietarios de los Activos y al Responsable de la
Seguridad, quienes tomarn las medidas de mitigacin, investigacin y reporte.
La mitigacin de las debilidades encontradas podr ser tratada en un ambiente

controlado de pruebas acorde con la Gestin de Cambios, antes de aplicar las
correcciones sobre el sistema ya implementado.
Los usuarios no debern explotar la debilidad encontrada, ni tratar de

solucionarla, sin seguir el debido proceso. La utilizacin de las debilidades puede
ser interpretada como mal uso del sistema y, por consiguiente, estar sujeta a la
Poltica de Proceso Disciplinario.
473
Fecha de la versin:
Versin:
Pgina 6 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.9.2 Gestin de los Incidentes y Mejoras en la Seguridad de la Informacin
4.2.9.2.1 Responsabilidades y Procedimientos
El personal se apoyar en las Polticas de Registro de Auditora y Registro de

Fallas, para identificar alertas y vulnerabilidades del sistema, y en las Polticas de
Reporte de Eventos y Debilidades de la Seguridad de la Informacin, para
notificarlas.
El personal interno del Data Center registrar la incidencia, sin importar su tipo, en
un sistema informtico de help desk, donde se indicar el tipo de incidente, fecha
y hora de ocurrencia, cdigo, personal que registra el caso y clientes afectados,
en caso de haberlos.
Una vez identificado el problema se escalar al Departamento correspondiente

para su mitigacin y se notificar al Responsable de la Seguridad para que
monitoree y supervise el evento. Cada Departamento ser responsable de la
actualizacin del estado de la incidencia, de tal manera que la persona que
reporta el suceso pueda dar seguimiento al proceso. Las Jefaturas y mandos
gerenciales dispondrn de un horario de 24/7, asegurando su disponibilidad. En
caso
de
ausencia,
los
responsables
informarn
sobre
la
sustitucin
correspondiente.
Durante el proceso de mitigacin se tendr presente el cumplimiento de Polticas

de Gestin de Cambios, Procedimientos del Control de Cambios, Mantenimiento
de Equipos y Uso Aceptable de los Activos, para que la solucin del incidente no
genere otros problemas de seguridad. En esta etapa se recolectar la evidencia
necesaria para un anlisis posterior.
474
Fecha de la versin:
Versin:
Pgina 7 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Una vez solucionado el evento, se har una investigacin y anlisis de las causas
del problema ocurrido. Para ello se har uso de la evidencia recolectada en la
etapa de mitigacin, verificando si existe alguna violacin de la Poltica de
Seguridad.
Una vez concluida la investigacin del incidente se proceder a documentar y

generar los informes requeridos para la Direccin y el rea tcnica. El
Departamento correspondiente ingresar la informacin de la solucin del
inconveniente al sistema informtico y cerrar el caso.
La Direccin acordar que la Gestin de Incidentes est acorde con los objetivos
del negocio del Data Center, especificando las situaciones crticas consideradas
como prioritarias.
La Figura 4.3 describe el proceso para la gestin de eventos e incidentes de

seguridad.
4.2.9.2.2 Aprendizaje de los Incidentes en la Seguridad de la Informacin
Cuando concluya la investigacin del incidente, el Responsable de la Seguridad lo

comunicar al Comit de Seguridad de la Informacin, el cual identificar el
impacto y su magnitud en los procesos del Data Center, conforme a la
metodologa de Anlisis de Riesgos. Adems, medir la eficacia de los controles
implementados para disminuir el grado de afectacin o frecuencia de las
amenazas, y analizar la necesidad de nuevos controles.
Todos los incidentes se archivarn en una base de datos para el establecimiento

de estadsticas del control de impactos y su afectacin en los procesos del
negocio, aspectos que sern discutidos en el Comit de Seguridad de la
Informacin y en la Direccin.
475
Fecha de la versin:
Versin:
Pgina 8 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
476
Fecha de la versin:
Versin:
Pgina 8 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Evento
Incidencia
Problema
Deteccin del Incidente
No
Es un
Incidente?
Revisin Inicial
Clasificacin del
Incidente
Anlisis y Diagnstico
Solucin
identificada?
No
Escalar al Departamento
especializado
No
Implementacin de
Nuevos Controles
Si
Aplicar Solucin
Cierre del Incidente
Investigacin del
Incidente
Anlisis de Controles de
Seguridad
Suficientes
controles?
Si
Fin del Proceso

Figura 4.3: Proceso para la Gestin de Eventos e Incidentes
Recoleccin de Evidencia
Registro en Sistema Help desk

Notificacin y Supervisin
Si
477
Fecha de la versin:
Versin:
Pgina 9 de 9
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.9.2.3 Recoleccin de Evidencia
Paralelamente a la mitigacin del incidente se recolectar evidencia que permita

determinar si existi una violacin de la Poltica de Seguridad o de los contratos.
En los contratos del personal interno y contratistas con el Data Center se

estipular que habr recoleccin de evidencia en los casos de violaciones de
seguridad, para la determinacin de sanciones.
Todo el trmite, desde la recoleccin de evidencia hasta su procesamiento y

almacenaje, garantizar la calidad y seguridad de los controles utilizados para la
proteccin de la evidencia. La evidencia documentada en papel ser almacenada
cumpliendo las Polticas de Ubicacin y Proteccin del Equipo y de Seguridad de
Oficinas, Habitaciones y Medios.
Cuando la evidencia se localice en medios digitales, se realizarn copias de

respaldo, asegurndose el cumplimiento de los procesos de registro de
informacin. Cualquier trabajo forense sobre la evidencia se realizar sobre la
copia, manteniendo la integridad de la documentacin original.
Las bitcoras de actividades de personal, registros de los monitoreos de los

sistemas informticos, grabaciones del sistema de videovigilancia, etc., podrn
ser usados como evidencia para respaldar las acciones que sean del caso.
478
POLTICA DE GESTIN DE LA CONTINUIDAD

COMERCIAL
GESTIN DE LA CONTINUIDAD COMERCIAL
C-POL-SEG-Gestin de la Continuidad-10-1.0-2014-07-01
Fecha de la versin:
Versin:
Pgina 1 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
2
2
3
3
4
Aspectos de Seguridad de la Informacin en la Gestin de la Continuidad Comercial ....
479
Fecha de la versin:
Versin:
Pgina 2 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.10 GESTIN DE LA CONTINUIDAD COMERCIAL
Generalidades
La gestin de la continuidad del negocio permite identificar potenciales amenazas

en una organizacin y los impactos que podran tener en las operaciones de
negocios; tambin es til para proporcionar un marco de referencia en la
recuperacin organizacional, con capacidad para una respuesta efectiva.
Esta gestin est constituida por una metodologa para anlisis de los impactos
comerciales, apoyndose en la evaluacin y tratamiento del riesgo, y por una
estrategia de planes de continuidad del negocio ante eventualidades.
Dichos planes debern someterse a pruebas y verificaciones, mantenerse

actualizados y transformarse en parte integral del resto de los procesos de
administracin y gestin. Deben incorporar controles destinados a identificar y
reducir riesgos, atenuar las consecuencias de eventuales interrupciones de las
actividades del organismo y asegurar la reanudacin oportuna de las operaciones
indispensables.
Objetivos
Minimizar los impactos de los eventos indeseados sobre las actividades

comerciales del Data Center.
Asegurar la recuperacin rpida y la reanudacin de los servicios ofrecidos

por el Data Center, por medio de planes para la continuidad del negocio.
Integrar la seguridad de la informacin en los procesos gerenciales del

Data Center.
480
Fecha de la versin:
Versin:
Pgina 3 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Analizar el impacto comercial de la materializacin de una amenaza y la

aplicabilidad de controles para reducir el riesgo.
Verificar la efectividad y vigencia de los planes de continuidad.
Asegurar la coordinacin del personal del Organismo y de los contactos

externos
que
participan
en
las
estrategias
de
planificacin
de
contingencias.
Alcance
Esta Poltica se aplica a todas las actividades crticas y procesos del negocio
dentro del alcance del Sistema de Gestin de Seguridad de la Informacin (SGSI)
del Data Center.
Responsabilidades
La Direccin aprobar los planes de continuidad para evitar interrupciones en las

actividades y establecer un presupuesto para la implementacin de controles.
El Comit de Seguridad de la Informacin coordinar los procesos de continuidad

de las actividades del Data Center, incluyendo un anlisis de impacto en el
negocio y desarrollo de planes; propondr a la Direccin la autorizacin de
modificaciones en los planes y establecer un programa de pruebas peridicas
para cada uno de los planes de continuidad.
El Responsable de la Seguridad y las Jefaturas administrarn la documentacin

de los planes de continuidad del negocio.
481
Fecha de la versin:
Versin:
Pgina 4 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los Propietarios de los Activos elaborarn y mantendrn actualizados los planes

de continuidad de las actividades en sus reas de competencia, adems de
coordinar las tareas definidas en dichos planes.
4.2.10.1 Aspectos de Seguridad de la Informacin en la Gestin de la Continuidad

Comercial
4.2.10.1.1 Incluir la Seguridad de la Informacin en el Proceso de Gestin de

Continuidad Comercial
La Direccin deber aprobar los planes de continuidad para evitar interrupciones

en las actividades como consecuencia de fallos o desastres que impidan su
normal funcionamiento, para lo cual se tomar en cuenta el Anlisis de Riesgos.
La gestin de la continuidad del negocio considerar los siguientes aspectos:
Se debe identificar y priorizar los procesos y activos crticos para el

desempeo de funciones del Data Center. La identificacin de activos se
realizar de conformidad con la Poltica de Inventario de Activos y los
Lineamientos de Clasificacin de la Informacin y su valoracin, utilizando
el clculo de nivel de importancia de activos descritos en el Captulo 3,
Seccin 3.2.3.
Los grafos de dependencias, del Captulo 3, Seccin 3.3.1.1, indican los

diferentes puntos de falla en los servicios brindados; as como el grado de
afectacin para la continuidad de la operacin del negocio.
482
Fecha de la versin:
Versin:
Pgina 5 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los equipos que soportan los procesos esenciales debern estar

asegurados. El aseguramiento de los equipos deber realizarse con
proveedores externos y en cada contrato se especificar el nivel de soporte
recibido y el tiempo de entrega de nuevo equipamiento.
Las Tablas 4.1 y 4.2 del tratamiento de riesgos muestran los controles
necesarios para atenuarlos. Los controles desplegados estn relacionados
con las clusulas de la Poltica de Seguridad de la Informacin del Data
Center. Adems, el Data Center Tier III incluye protecciones propias
inherentes a su diseo e implementacin.
El Comit de Seguridad de la Informacin, en acuerdo con los Propietarios

de los Activos, identificar todos los recursos necesarios para la
consecucin de los planes.
La seguridad del personal y de los activos organizacionales est

contemplada en la Poltica de Ubicacin y Proteccin del Equipo y
Proteccin contra Amenazas Externas y Ambientales.
Los planes de continuidad asumirn un proceso
de pruebas y
actualizaciones regulares para asegurar su funcionamiento. Dichos planes

formarn parte de los procesos y de la estructura de la organizacin.
4.2.10.1.2 Continuidad Comercial y Evaluacin del Riesgo
El anlisis del impacto comercial es parte integral de la gestin de la continuidad

del negocio. Dicho anlisis deber contemplar los siguientes puntos:
Los posibles eventos que pudieren afectar las operaciones se encuentran

divididos en diversos grupos, en los cuales el nivel de impacto a cada
483
Fecha de la versin:
Versin:
Pgina 6 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
requerimiento de seguridad definido depender de la amenaza y del activo

atacado. La Figura 3.12 muestra los grupos de amenazas para el Data
Center.
Una vez identificadas las amenazas, se analizar el grado de impacto y la

probabilidad de ocurrencia para cada activo, utilizando la metodologa de
Anlisis y Evaluacin de Riesgos indicada en el Captulo 3, Seccin 3.2 y
sus resultados en el Anexo B. Tambin se analizar la existencia de
controles preventivos que atenan el valor del impacto.
El proceso de anlisis del impacto en el negocio es coordinado por el

Comit de Seguridad de la Informacin y el anlisis de las actividades
individuales es realizado por el responsable de cada actividad.
La metodologa utilizada para la valoracin de activos toma en cuenta la

afectacin comercial de la prdida de cada requerimiento de seguridad
(confidencialidad, integridad y disponibilidad), lo que permite una
priorizacin de los activos ms importantes para el funcionamiento del Data
Center.
Los tiempos de interrupcin para cada sistema son variables. El Data

Center Tier III puede proveer una disponibilidad del 99,982% terico,
basado en su infraestructura, pero es necesario adoptar otras medidas
para incrementar el nivel de disponibilidad de los servicios ofrecidos.
Conforme a los resultados de la evaluacin de esta actividad, se

desarrollar un plan estratgico para determinar un enfoque global sobre la
continuidad de las actividades del Data Center. Este plan debe ser
propuesto por el Comit de Seguridad de la Informacin a la Direccin para
su aprobacin.
484
Fecha de la versin:
Versin:
Pgina 7 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.10.1.3 Desarrollar e Implementar Planes de Continuidad incluyendo la Seguridad de

la Informacin
Los Propietarios de los Activos, con la asistencia del Responsable de la

Seguridad, elaborarn los planes necesarios para la continuidad de las
actividades del Organismo. Este personal se encargar de la supervisin y
ejecucin del plan cuando se presente el desastre, y comunicar a los empleados
sobre su desarrollo.
Los empleados y usuarios operacionales continuarn sus actividades de manera

normal y comunicarn a los clientes los avances de la incidencia, siempre que
requieran de dicha informacin.
La Evaluacin y Tratamiento de Riesgos establece un criterio de aceptacin de

incidentes que se basa en la cuantificacin de los valores de riesgo. Este criterio
puede ser omitido si existiere una disposicin directa del Comit de Seguridad de
la Informacin o de la Direccin.
Debe procurarse que los tiempos de recuperacin se acorten lo ms posible.

Cuando el problema requiera de asistencia de proveedores o personal externo, se
fijarn en los contratos los tiempos lmites de respuesta. Si la incidencia afecta los
servicios del cliente, se revisarn los Acuerdos de Nivel de Servicio (SLA) para
cada cliente.
El Data Center dispondr de un listado de ubicaciones emergentes donde se

transportarn los activos con eventualidad de amenaza, para que las actividades
no sufran interrupciones; existir, adems, un plan de transporte desde los sitios
de origen hasta los puntos finales, donde continuarn las operaciones.
485
Fecha de la versin:
Versin:
Pgina 8 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los respaldos de informacin se ubicarn en un espacio seguro, fuera del lugar

en el que se encuentran los equipos afectados. El Data Center Tier III cuenta con
redundancias en sus activos de infraestructura y red.
La reconstruccin de archivos daados se llevar a efecto con base en las copias

existentes registradas en medios magnticos o en forma documental.
El Data Center capacitar a sus empleados en los procedimientos de reanudacin

y recuperacin, donde se incluirn los siguientes tpicos:
Necesidad de un plan de continuidad.

Mecanismos de coordinacin y comunicacin entre personal involucrado.
Procedimientos de divulgacin.
Requisitos de la seguridad.
Procesos especficos para el personal involucrado.
Responsabilidades individuales.
Los planes de continuidad sern probados peridicamente, con el ejercicio de

simulacros, para verificar su correcto funcionamiento. Tambin se realizarn
actualizaciones y mantenimientos siguiendo lo dispuesto en las Polticas de
Separacin de los Medios de Desarrollo, Prueba y Operacin; Mantenimiento de
Equipos; y Prueba, Mantenimiento y Re-Evaluacin de los Planes de Continuidad
Comercial.
4.2.10.1.4 Marco Referencial de la Planeacin de la Continuidad Comercial
Existir un solo marco de referencia para los planes de continuidad de las

actividades del Organismo, a fin de garantizar la uniformidad de los mismos e
identificar prioridades de prueba y mantenimiento.
486
Fecha de la versin:
Versin:
Pgina 9 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Se contar con diferentes tipos de planes dependiendo de las actividades que se

requieran proteger. Cada plan especificar las condiciones para su puesta en
marcha, as como las personas que ejecutarn cada componente del mismo.
Cuando se identifiquen nuevos requerimientos, se modificarn los procedimientos
de emergencia establecidos.
Los Planes de Continuidad del Negocio estn formado por dos grandes
secciones:
Plan de Respuesta a los Incidentes: que define la respuesta directa ante la

ocurrencia de diversos tipos de incidentes.
Planes de Recuperacin para Actividades Individuales: recuperacin de los

recursos necesarios para cada actividad, que se preparan por separado.
El Plan de Respuesta a los Incidentes se regir por las condiciones establecidas

en las Polticas de Gestin de Incidentes y Mejoras en la Seguridad de la
Informacin. En este plan constarn los procedimientos de accin para cada tipo
de amenaza que cumpla con el criterio de aceptacin dispuesto en el Data
Center.
El Plan de Recuperacin para Actividades Individuales contendr procedimientos

que describan las acciones a emprender para el traslado de actividades
esenciales del Data Center o de servicios de soporte a ubicaciones transitorias
alternativas, y para el restablecimiento de los procesos en los plazos requeridos,
utilizando los listados de ubicaciones para la continuidad del negocio y el
correspondiente plan de transporte.
Cada uno de estos planes define su procedimiento de activacin, donde se

especifica el responsable de la activacin, personas a las que se debe notificar la
487
Fecha de la versin:
Versin:
Pgina 10 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
activacin del plan, persona responsable de la desactivacin del plan de

recuperacin,
tareas
obligaciones
claves
sus
respectivos
plazos,
responsabilidades de autorizacin y contacto.
El cumplimiento de los procedimientos implementados para llevar a cabo las

acciones en cada plan de continuidad, constarn entre las responsabilidades de
los administradores de cada plan. Las disposiciones de emergencia para servicios
tcnicos alternativos, como instalaciones de comunicaciones o de procesamiento
de informacin, correspondern a las responsabilidades de los proveedores de
servicios.
4.2.10.1.5 Prueba, Mantenimiento y Re-Evaluacin de los Planes de Continuidad

Comercial
El Comit de Seguridad de la Informacin establecer un programa de pruebas

peridicas para cada uno de los planes de continuidad, donde se indicar: plazos
para su realizacin, responsable de la coordinacin e implementacin de la
prueba, alcance de la prueba, mtodo de prueba y revisin de resultados.
Debern incorporarse diversas tcnicas para garantizar la eficacia de los planes

de continuidad ante un hecho real. Entre ellas se mencionan las siguientes:
Mtodos de discusin de diversos escenarios de incidencia y su forma de

contrarrestarlos.
Simulaciones de los eventos determinados como crticos, intentando que la

aproximacin sea lo ms cercana a la realidad, para un adecuado
entrenamiento del personal en el desempeo de sus roles de gestin.
488
Fecha de la versin:
Versin:
Pgina 11 de 11
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Respuesta de los equipos tecnolgicos ante eventos planeados para

comprobar su correcto funcionamiento. Ejemplo: la activacin de respaldos
de manera automtica.
Ensayos completos para probar que el Data Center, el personal, el

equipamiento, las instalaciones y los procesos estn en condiciones de
afrontar las interrupciones.
Pruebas con los proveedores y personal externo para verificar el

cumplimiento de sus tiempos de respuesta. La participacin en las pruebas
estar estipulada en los contratos.
Existir un registro de los resultados de las pruebas, donde se analizar el

desempeo y las fallas de cada plan, para las rectificaciones que correspondan a
cada caso.
Los planes de continuidad sern revisados y actualizados semestralmente,

tambin cuando ocurra un evento no deseado, o cuando se realicen cambios en
la estructura de los procesos, con la finalidad de reflejar permanentemente la
realidad operativa y tecnolgica de la compaa.
Cada uno de los Propietarios de los Activos se encargar de las revisiones

peridicas de los planes de continuidad de su incumbencia, as como tambin de
la identificacin de cambios en las disposiciones relativas a las actividades del
Organismo an no reflejadas en dichos planes.
489
POLTICA DE CUMPLIMIENTO
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 1 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
TABLA DE CONTENIDO
Generalidades .......................................................................................................................
Objetivos ...............................................................................................................................
Alcance ..................................................................................................................................
3
4
Cumplimiento de los Requerimientos Legales ...............................................................

Cumplimiento de las Polticas y Estndares de Seguridad, y Cumplimiento Tcnico ......
4
16
Consideraciones de Auditora de los Sistemas de Informacin ......................................
18
2
3
490
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 2 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
4.2.11 CUMPLIMIENTO
Generalidades
Los sistemas de informacin del Data Center deben estar sujetos a las
reglamentaciones y disposiciones legales que rijan en el pas donde se
desempean las actividades.
Tambin se verificar el cumplimento de los controles, normas y polticas de

seguridad establecidas y las sanciones correspondientes para el personal que
incurra en violaciones de las disposiciones.
Objetivos
Cumplir las disposiciones normativas y contractuales, a fin de evitar

sanciones administrativas al Organismo y/o al empleado, o que incurran en
responsabilidad civil o penal como resultado de su incumplimiento.
Establecer controles para la proteccin y privacidad de la data conforme lo

requiera la legislacin, regulaciones y clusulas contractuales relevantes.
Garantizar que los sistemas cumplan la poltica, normas y procedimientos

de seguridad del Data Center.
Realizar revisiones peridicas de la seguridad de la informacin a efectos

de
garantizar
la
adecuada
procedimientos de seguridad.
aplicacin
de
la
poltica,
normas
491
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 3 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Optimizar la eficacia del proceso de auditora de sistemas y minimizar los

problemas que pudiera ocasionar el mismo, o los obstculos que pudieran
afectarlo.
Proteger los sistemas operacionales y las herramientas que se utilicen

durante el proceso de auditora.
Alcance
Esta Poltica se aplica a todo el personal del Data Center, cualquiera sea su
relacin con el Organismo. Tambin se aplica a los sistemas de informacin,
normas, procedimientos, documentacin y plataformas tcnicas del Organismo y
a las auditoras efectuadas sobre los mismos.
Responsabilidades
El Comit de Seguridad de la Informacin designar a un auditor para controlar el

estado de la Poltica de Seguridad en el Data Center.
El Responsable de la Seguridad asegurar la disponibilidad de acceso a los

sistemas que guardan los registros; garantizar que los controles criptogrficos
cumplan los acuerdos, reglamentos y leyes; realizar revisiones peridicas de la
Poltica de Seguridad en todas los Departamentos del Data Center y velar por el
desarrollo del programa de auditoras internas.
Las Jefaturas, con la asesora del Responsable de la Seguridad, supervisarn al

personal bajo su mando el cumplimiento de las polticas de seguridad e instruirn
a todo personal acerca de sus responsabilidades para el manejo de informacin
privada.
492
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 4 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Cada Jefatura ser responsable del mantenimiento de los registros que competan
a sus actividades.
Los Propietarios de los Activos buscarn el software que se ajuste a sus

necesidades funcionales; llevarn un registro de los activos que requieran el
cumplimiento de la ley y revisarn los sistemas tecnolgicos y controles.
El Departamento Jurdico y el de Recursos Humanos ejecutarn las sanciones

que correspondan a infracciones de seguridad.
4.2.11.1 Cumplimiento de los Requerimientos Legales
4.2.11.1.1 Identificacin de la Legislacin Aplicable
La prestacin de servicios del Data Center cumplir lo estipulado en el

Reglamento para la Prestacin de Servicios de Valor Agregado [64]. El Consejo
Nacional de Telecomunicaciones, la Superintendencia de Telecomunicaciones y
la Secretara Nacional de Telecomunicaciones controlarn y supervisarn la
operacin de los servicios prestados.
Los proveedores de activos o servicios firmarn un contrato que especifique los

requerimientos de seguridad, tiempos de soporte o abastecimiento de equipos,
pruebas de sistemas de contingencia, Acuerdos de Nivel de Servicio, etc.
A continuacin se transcriben varios artculos relacionados con la seguridad de la

informacin, que se hallan incorporados y en plena vigencia en la Legislacin del
Estado Ecuatoriano.
493
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 5 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Constitucin de la Repblica del Ecuador [65]
Art. 66.- Se reconoce y garantizar a las personas:

Numeral 19: El derecho a la proteccin de datos de carcter personal, que incluye
el acceso y la decisin sobre informacin y datos de este carcter, as como su
correspondiente proteccin. La recoleccin, archivo, procesamiento, distribucin o
difusin de estos datos de informacin requerirn la autorizacin del titular y el
mandato de la ley.
Ley de Propiedad Intelectual [66]

Art. 5: Se reconocen y garantizan los derechos de los autores y los derechos
de los dems titulares sobre sus obras. Se protegen todas las obras,
interpretaciones, ejecuciones, producciones o emisiones radiofnicas cualquiera
sea el pas de origen de la obra, la nacionalidad o el domicilio del autor o titular.
Esta proteccin tambin se reconoce cualquiera que sea el lugar de publicacin o
divulgacin.
Art. 26. Tambin constituyen violacin de los derechos establecidos en este libro
cualquiera de los siguientes actos:
a) Remover o alterar, sin la autorizacin correspondiente, informacin

electrnica sobre el rgimen de derechos; y,
b) Distribuir, importar o comunicar al pblico el original o copias de la obra

sabiendo que la informacin electrnica sobre el rgimen de derechos ha
sido removida o alterada sin autorizacin.
Se entender por informacin electrnica aquella incluida en las copias de obras,

o que aparece en relacin con una comunicacin al pblico de una obra, que
494
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 6 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
identifica la obra, el autor, los titulares de cualquier derecho de autor o conexo, o

la informacin acerca de los trminos y condiciones de utilizacin de la obra, as
como nmero y cdigos que representan dicha informacin.
Art. 28. Los programas de ordenador se consideran obras literarias y se protegen

como tales. Dicha proteccin se otorga independientemente de que hayan sido
incorporados en un ordenador y cualquiera sea la forma en que estn
expresados, ya sea en forma legible por el hombre (cdigo fuente) o en forma
legible por mquina (cdigo objeto), ya sean programas operativos y programas
aplicativos, incluyendo diagramas de flujo, planos, manuales de uso, y en general,
aquellos elementos que conformen la estructura, secuencia y organizacin del
programa.
Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos [67]
Art.
5.
Confidencialidad
reserva.-
Se
establecen
los
principios
de
confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma,

medio o intencin. Toda violacin a estos principios, principalmente aquellas
referidas a la intrusin electrnica, transferencia ilegal de mensajes de datos o
violacin del secreto profesional, ser sancionada conforme a lo dispuesto en esta
Ley y dems normas que rigen la materia.
Art. 8. Conservacin de los mensajes de datos.- Toda informacin sometida a

esta Ley, podr ser conservada; este requisito quedar cumplido mediante el
archivo del mensaje de datos, siempre que se renan las siguientes condiciones:
a) Que la informacin que contenga sea accesible para su posterior consulta;

b) Que sea conservado con el formato en el que se haya generado, enviado o
recibido, o con algn formato que sea demostrable que reproduce con
exactitud la informacin generada, enviada o recibida;
495
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 7 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
c) Que se conserve todo dato que permita determinar el origen, el destino del
mensaje, la fecha y hora en que fue creado, generado, procesado, enviado,
recibido y archivado; y,
d) Que se garantice su integridad por el tiempo que se establezca en el
reglamento a esta ley.
Art. 9. Proteccin de datos.- Para la elaboracin, transferencia o utilizacin de

bases de datos, obtenidas directa o indirectamente del uso o transmisin de
mensajes de datos, se requerir el consentimiento expreso del titular de stos,
quien podr seleccionar la informacin a compartirse con terceros.
Art. 16. La firma electrnica en un mensaje de datos.- Cuando se fijare la firma

electrnica en un mensaje de datos, aqulla deber enviarse en un mismo acto
como parte integrante del mensaje de datos o lgicamente asociada a ste. Se
presumir legalmente que el mensaje de datos firmado electrnicamente conlleva
la voluntad del emisor, quien se someter al cumplimiento de las obligaciones
contenidas en dicho mensaje de datos, de acuerdo a lo determinado en la Ley.
Art. 21.- Uso del certificado de firma electrnica.- El certificado de firma

electrnica se emplear para certificar la identidad del titular de una firma
electrnica y para otros usos, de acuerdo a esta Ley y su reglamento.
Art. 47. Jurisdiccin.- En caso de controversias las partes se sometern a la

jurisdiccin estipulada en el contrato; a falta de sta, se sujetarn a las normas
previstas por el Cdigo de Procedimiento Civil Ecuatoriano y esta ley, siempre
que no se trate de un contrato sometido a la Ley Orgnica de Defensa del
Consumidor, en cuyo caso se determinar como domicilio el del consumidor o
usuario.
496
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 8 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Art. 50. Informacin al consumidor.- En la prestacin de servicios electrnicos en

el Ecuador, el consumidor deber estar suficientemente informado de sus
derechos y obligaciones, de conformidad con lo previsto en la Ley Orgnica de
Defensa del Consumidor y su Reglamento.
En la publicidad y promocin por redes electrnicas de informacin, incluida la
Internet, se asegurar que el consumidor pueda acceder a toda la informacin
disponible sobre un bien o servicio sin restricciones, en las mismas condiciones y
con las facilidades disponibles para la promocin del bien o servicio de que se
trate.
Art. 52. Medios de prueba.- Los mensajes de datos, firmas electrnicas,

documentos electrnicos y los certificados electrnicos nacionales o extranjeros,
emitidos de conformidad con esta ley, cualquiera sea su procedencia o
generacin, sern considerados medios de prueba. Para su valoracin y efectos
legales se observar lo dispuesto en el Cdigo de Procedimiento Civil.
Art. 55. Valoracin de la prueba.- La prueba ser valorada bajo los principios
determinados en la ley y tomando en cuenta la seguridad y fiabilidad de los
medios con los cuales se la envi, recibi, verific, almacen o comprob si fuese
el caso, sin perjuicio de que dicha valoracin se efecte con el empleo de otros
mtodos que aconsejen la tcnica y la tecnologa. En todo caso la valoracin de la
prueba se someter al libre criterio judicial, segn las circunstancias en que hayan
sido producidos.
Cdigo Penal [68]

CAPTULO V: De los delitos contra la inviolabilidad del secreto, Art. 197 202.
A continuacin del Art. 353, inclyanse los siguientes artculos innumerados:
497
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 9 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Art. ...- Falsificacin electrnica.- Son reos de falsificacin electrnica la persona

o personas que con nimo de lucro o bien para causar un perjuicio a un tercero,
utilizando cualquier medio, alteren o modifiquen mensajes de datos, o la
informacin incluida en stos, que se encuentre contenida en cualquier soporte
material, sistema de informacin o telemtico, ya sea:
1. Alterando un mensaje de datos en alguno de sus elementos o requisitos de

carcter formal o esencial;
2. Simulando un mensaje de datos en todo o en parte, de manera que
induzca a error sobre su autenticidad;
3. Suponiendo en un acto la intervencin de personas que no la han tenido o
atribuyendo a las que han intervenido en el acto, declaraciones o
manifestaciones diferentes de las que hubieren hecho.
El delito de falsificacin electrnica ser sancionado de acuerdo a lo dispuesto en

este Captulo.
A continuacin del Art. 415, inclyanse los siguientes artculos innumerados:

Art. ...- Daos informticos.- El que dolosamente, de cualquier modo o utilizando
cualquier mtodo, destruya, altere, inutilice, suprima o dae, de forma temporal o
definitiva, los programas, datos, bases de datos, informacin o cualquier mensaje
de datos contenido en un sistema de informacin o red electrnica, ser reprimido
con prisin de seis meses a tres aos y multa de sesenta a ciento cincuenta
dlares de los Estados Unidos de Norteamrica.
La pena de prisin ser de tres a cinco aos y multa de doscientos a seiscientos

dlares de los Estados Unidos de Norteamrica, cuando se trate de programas,
datos, bases de datos, informacin o cualquier mensaje de datos contenido en un
498
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 10 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
sistema de informacin o red electrnica, destinada a prestar un servicio pblico o

vinculada con la defensa nacional.
Art. ...- Si no se tratare de un delito mayor, la destruccin, alteracin o inutilizacin

de la infraestructura o instalaciones fsicas necesarias para la transmisin,
recepcin o procesamiento de mensajes de datos, ser reprimida con prisin de
ocho meses a cuatro aos y multa de doscientos a seiscientos dlares de los
Estados Unidos de Norteamrica.
Art. 422. Ser reprimido con prisin de seis meses a dos aos el que
interrumpiere la comunicacin postal, telegrfica, telefnica, radiofnica o de otro
sistema, o resistiere violentamente al restablecimiento de la comunicacin
interrumpida.
Quienes ofrezcan, presten o comercialicen servicios de telecomunicaciones, sin

estar legalmente facultados, mediante concesin, autorizacin, licencia, permiso,
convenios o cualquier otra forma de la contratacin administrativa, salvo la
utilizacin de servicios de Internet, sern reprimidos con prisin de dos a cinco
aos.
A continuacin del Art. 553, adanse los siguientes artculos innumerados:
Art. ...- Apropiacin ilcita.- Sern reprimidos con prisin de seis meses a cinco
aos y multa de quinientos a mil dlares de los Estados Unidos de Norteamrica,
los que utilizaren fraudulentamente sistemas de informacin o redes electrnicas,
para facilitar la apropiacin de un bien ajeno, o los que procuren la transferencia
no consentida de bienes, valores o derechos de una persona, en perjuicio de sta
o de un tercero, en beneficio suyo o de otra persona alterando, manipulando o
modificando el funcionamiento de redes electrnicas, programas informticos,
sistemas informticos, telemticos o mensajes de datos.
499
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 11 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Art. ...- La pena de prisin de uno a cinco aos y multa de mil a dos mil dlares de
los Estados Unidos de Norteamrica, si el delito se hubiere cometido empleando
los siguientes medios:
1. Inutilizacin de sistemas de alarma o guarda;
2. Descubrimiento o descifrado de claves secretas o encriptadas;
3. Utilizacin de tarjetas magnticas o perforadas;
4. Utilizacin de controles o instrumentos de apertura a distancia; y,
5. Violacin de seguridades electrnicas, informticas u otras semejantes.
Art. 563.- El que, con propsito de apropiarse de una cosa perteneciente a otro,
se hubiere hecho entregar fondos, muebles, obligaciones, finiquitos, recibos, ya
haciendo uso de nombres falsos, o de falsas calidades, ya empleando manejos
fraudulentos para hacer creer en la existencia de falsas empresas, de un poder, o
de un crdito imaginario, para infundir la esperanza o el temor de un suceso,
accidente, o cualquier otro acontecimiento quimrico, o para abusar de otro modo
de la confianza o de la credulidad, ser reprimido con prisin de seis meses a
cinco aos y multa de ocho a ciento cincuenta y seis dlares de los Estados
Unidos de Norte Amrica.
Ser sancionado con el mximo de la pena prevista en el inciso anterior y multa

de quinientos a mil dlares de los Estados Unidos de Norteamrica, el que
cometiere el delito utilizando medios electrnicos o telemticos.
Ley Orgnica de Transparencia y Acceso a la Informacin Pblica [69]
Art. 6.- Informacin Confidencial.- Se considera informacin confidencial aquella

informacin pblica personal, que no est sujeta al principio de publicidad y
comprende aquella derivada de sus derechos personalsimos y fundamentales.
500
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 12 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El uso ilegal que se haga de la informacin personal o su divulgacin, dar lugar a

las acciones legales pertinentes.
Art. 13.- Falta de claridad en la Informacin.- Cuando se demuestre por parte de

cualquier ciudadano, que existe ambigedad en el manejo de la informacin,
expresada en los portales informticos, o en la informacin que se difunde en la
propia institucin, podr exigirse personalmente la correccin en la difusin, de no
hacerlo podr solicitarse la intervencin del Defensor del Pueblo a efectos de que
se corrija y se brinde mayor claridad y sistematizacin, en la organizacin de esta
informacin.
4.2.11.1.2 Derechos de Propiedad Intelectual
El uso de cualquier material con derechos de autor o software patentado se regir

por un procedimiento que garantice el cumplimiento de las leyes y regulaciones.
El Responsable de la Seguridad capacitar al personal que trabaja en el Data

Center sobre las leyes de derechos de propiedad intelectual y difundir esta
informacin para que sea de conocimiento general. Tambin explicar las
sanciones previstas en caso de incumplimiento.
El Data Center solamente utilizar material desarrollado por el mismo o cualquier

otro, debidamente autorizado, y que no incumpla la normativa.
El software propietario deber contar con las licencias correspondientes y la

autorizacin de uso del proveedor. Se reconocer la autora y fuentes de
cualquier software utilizado, sea ste de distribucin libre o no.
Los sistemas desarrollados por el personal interno o externo sern de propiedad

de la Organizacin.
501
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 13 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los empleados del Data Center solamente deben usar el software suministrado
por la Organizacin, y el control de instalacin lo gestionar el Departamento de
TI, acorde a la Poltica de Control del Software Operacional.
La Jefatura de TI tendr el control de las licencias, manuales o instaladores

maestros. Tambin comprobar el nmero mximo de usuarios para cada tipo de
licencia.
Cuando se requiera transferir software licenciado entre activos del Data Center,
se verificar inicialmente si no existe ninguna restriccin proveniente del
proveedor. Si no existe ningn inconveniente, se eliminar la licencia de su lugar
de origen y se la implantar sobre el nuevo sistema. Es necesario contar con una
herramienta de auditora de software para conocer el estado de uso del software
instalado y gestionar las licencias existentes.
No se deber copiar, duplicar o convertir a otro formato la informacin de carcter

privado del Data Center, a menos que exista la autorizacin de su autor.
La infraccin de estos derechos puede dar como resultado acciones legales que
podran derivar en demandas penales.
4.2.11.1.3 Proteccin de Registros Organizacionales
Los registros que contengan informacin confidencial del Data Center sobre las
actividades, procedimientos, contratos, acuerdos, estarn protegidos para evitar
su manipulacin, modificacin, prdida o destruccin.
502
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 14 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Existirn diferentes tipos de registros dependiendo de la funcin establecida por

los procesos, departamentos y poltica de seguridad. En cada registro constarn
detallados los perodos de retencin y el tipo de medios de almacenamiento.
Los registros que se encuentren almacenados en papel o en medios fsicos
debern estar resguardados en sitios seguros para evitar el acceso de personal
no autorizado.
La informacin almacenada en medios digitales estar protegida por el uso de

mtodos criptogrficos establecidos en la Poltica de Uso de Controles
Criptogrficos. Tambin se contar con rplicas o copias autorizadas para
garantizar la disponibilidad de los registros, mediante la Poltica de Backup o
Respaldo de la Informacin.
Si los medios electrnicos de almacenamiento que guardan los registros son

obsoletos o prximos a caducar, se requerir una transferencia a otros sistemas
ms actuales.
Los registros sern almacenados de forma indefinida. Una vez que los registros
ya no sean de utilidad, sern desplazados a un repositorio de documentos
obsoletos y se analizar la necesidad de conservarlos o eliminarlos.
La eliminacin de los registros cumplir las pautas establecidas en la Poltica de

Eliminacin de Medios y Eliminacin Segura o Re-Uso del Equipo.
4.2.11.1.4 Proteccin de la Data y Privacidad de la Informacin Personal
En el Data Center, todas las personas involucradas en el manejo de informacin

privada y personal, deben estar informadas de las restricciones y del nivel de
confidencialidad de dicha informacin.
503
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 15 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
El personal interno, proveedores y contratistas estarn sujetos a un Acuerdo de

Confidencialidad firmado antes del desempeo de sus labores, donde se
convendr el uso de la informacin para el desarrollo de sus actividades y su
compromiso de no divulgar, mostrar o publicar a terceras partes informacin que
se considere confidencial, salvo que tenga la autorizacin del propietario.
La informacin de carcter personal o privado estar asegurada en distintas

bases de datos que cuenten con mecanismos de control y proteccin.
Los datos de los clientes podrn ser revisados exclusivamente por sus
propietarios y ningn personal del Data Center est autorizado a visualizar su
contenido.
4.2.11.1.5 Prevencin del Mal Uso de los Medios de Procesamiento de la Informacin
Los empleados deben utilizar de manera responsable los sistemas de

procesamiento de informacin y soporte, evitando su uso para fines ajenos a los
que fueron diseados. La Poltica de Uso Aceptable de los Activos especifica los
lineamientos que deben seguir los usuarios de diferentes sistemas.
El uso de los sistemas estar bajo monitoreo, lo cual no incumple las leyes de
privacidad. La supervisin de actividades de personal y accesos a sistemas
seguir los lineamientos de las Polticas de Uso del Sistema de Monitoreo,
Registros del Administrador y Operador. El personal estar en conocimiento de
que est siendo monitoreado.
Los sistemas de informacin debern presentar mensajes de advertencia o de

negacin cuando determinado personal sin privilegios intente ingresar a los
servicios.
504
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 16 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los usuarios debern conocer que una violacin de seguridad relacionada con el
mal uso de los medios de procesamiento, conducir a la ejecucin de la Poltica
de Proceso Disciplinario.
4.2.11.1.6 Regulacin de Controles Criptogrficos
El Banco Central del Ecuador es la Entidad de Certificacin de Informacin

acreditada por el Consejo Nacional de Telecomunicaciones, mediante Resolucin
481-20-CONATEL-2008 de 8 de octubre de 2008 y acto administrativo suscrito el
6 de noviembre de 2008. [70]
Al utilizar firmas digitales o electrnicas, se deber considerar lo dispuesto por la

Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos [67] y en
el Reglamento a la Ley de Comercio Electrnico [71], que establecen las
condiciones bajo las cuales una firma digital es legalmente vlida.
4.2.11.2 Cumplimiento de las Polticas y Estndares de Seguridad, y Cumplimiento

Tcnico
4.2.11.2.1 Cumplimiento de las Polticas y Estndares de Seguridad
El Responsable de la Seguridad realizar revisiones peridicas de la Poltica de

Seguridad en todas los Departamentos del Data Center e informar al Comit de
Seguridad de la Informacin y a la Direccin sobre cualquier incidente o violacin
de seguridad; stos, a su vez, determinarn los correctivos y las sanciones.
Entre los aspectos a considerar cuando se produzcan incumplimientos de las

polticas, se mencionan los siguientes:
505
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 17 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Sistema o personal involucrado.

Tipo de incumplimiento.
Polticas de seguridad quebrantadas.
Causas y razones para el incumplimiento.
Gravedad e impacto del incumplimiento en los procesos del Data Center.
Determinar e implementar la accin correctiva apropiada.
Revisar la accin correctiva tomada.
Las revisiones de la Poltica de Seguridad de la Informacin se harn conforme a

las Polticas de Revisin Independiente de la Seguridad de la Informacin y
Controles de Auditora de los Sistemas de Informacin.
Ser objeto de sancin administrativa quien viole lo dispuesto en la Poltica de

Seguridad de la Informacin conforme a lo dispuesto en las normas, reglamentos
y leyes correspondientes.
El personal que ha incumplido sus obligaciones puede incurrir tambin en

responsabilidad civil o patrimonial, cuando ocasiona un dao que deba ser
indemnizado; o en responsabilidad penal, cuando su conducta constituya un
comportamiento considerado delito por el Cdigo Penal y las leyes especiales.
El Responsable de la Seguridad, una vez conocida la infraccin de seguridad,

realizar un informe de lo acontecido, el mismo que ser validado por el Comit
de Seguridad de la Informacin. Este informe ser enviado a los Departamentos
Jurdico y de Recursos Humanos, los cuales ejecutarn las sanciones que
correspondan a la infraccin cometida.
4.2.11.2.2 Chequeo del Cumplimiento Tcnico
506
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 18 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los sistemas tecnolgicos y controles implementados en el Data Center estarn

sometidos a verificaciones y mantenimientos en perodos de 6 meses.
Dependiendo del tipo de sistemas de control de seguridad, stos sern revisados
por sus respectivos Propietarios, bajo la supervisin del Responsable de la
Seguridad.
En el caso de realizacin de pruebas de penetracin o evaluacin de
vulnerabilidades sobre sistemas informticos, se podr solicitar la intervencin de
personal externo experimentado, el cual estar comprometido a cumplir con la
poltica de seguridad establecida. Estas pruebas debern ser planificadas para no
interferir con la seguridad de los sistemas.
Todos los resultados sern archivados y se generarn reportes para su anlisis

posterior en el Comit de Seguridad de la Informacin.
4.2.11.3 Consideraciones de Auditora de los Sistemas de Informacin
4.2.11.3.1 Controles de Auditora de los Sistemas de Informacin
Las auditoras internas permiten determinar si los procedimientos, controles,

procesos, acuerdos y dems actividades dentro del SGSI, concuerdan con las
normas ISO/IEC 27001, con las regulaciones correspondientes y con la
documentacin interna de la organizacin.
Las actividades de auditora seguirn un programa planificado para disminuir

interferencias sobre los sistemas del Data Center.
El auditor ser un profesional designado por el Comit de Seguridad de la

Informacin y no debe estar relacionado con las actividades de la unidad a ser
auditada.
507
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 19 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
Los requerimientos y el alcance de la auditora sern establecidos por el auditor

en conjunto con las Jefaturas del Data Center.
No se permitir que los sistemas de informacin que sern auditados sean objeto
de manipulacin por parte del auditor, con el fin de evitar interrupciones o daos
en el servicio. La realizacin de cualquier revisin deber efectuarse sobre copias
o sistemas aislados.
El auditor tendr una lista de apoyo conteniendo todos los controles

seleccionados de la norma ISO/IEC 27001, que servir para verificar los
cumplimientos y acotar cualquier observacin pertinente.
El auditor determinar las herramientas que va a necesitar en su tarea, las

mismas que sern registradas y puestas en conocimiento de las reas donde se
desarrollar la auditora.
Todas las actividades del auditor estarn monitoreadas y quedarn registradas en

un documento formal.
4.2.11.3.2 Proteccin de las Herramientas de Auditora de los Sistemas de Informacin
Los sistemas de informacin, archivos de datos o software, que van a ser

auditados no sern aquellos que soportan directamente a la entrega de servicios.
Si se necesita realizar un control de auditora sobre stos, se crearn copias para
su revisin, las cuales estarn ubicadas en ambientes de prueba, como indica la
Poltica de Separacin de los Medios de Desarrollo, Prueba y Operacin.
Si las auditoras son realizadas por entes externos, stos estarn supeditados a la
Poltica de Seguridad de la Informacin, siguiendo los lineamientos de Seguridad
508
CUMPLIMIENTO
Fecha de la versin:
Versin:
Pgina 19 de 19
2014-07-01
1.0
Elaborado por
Revisado por
Aprobado por
Vodia Enrquez
Pablo Torres
Pablo Hidalgo
de Recursos Humanos, Control de Acceso Fsico y Lgico, Tratamiento de la

Seguridad en Contratos con Terceras Personas, Gestin de la Entrega del
Servicio de Terceros, entre otros.
509
CAPTULO 5
CONCLUSIONES Y RECOMENDACIONES
5
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
Para realizar el diseo de un Data Center, los sistemas que lo integran
deben estar dimensionados para cumplir las exigencias de un Tier
especfico. La seleccin de un Tier deber adoptarse desde el inicio mismo
del diseo para evitar incompatibilidades con la norma cuando se requiera
escalar de tiering.
Todos los subsistemas del Data Center deben funcionar en forma

coordinada y armnica; no obstante, la funcionalidad del Data Center en
forma general o global depende del subsistema con menor Tier. En caso
de presentarse un desbalance entre los diferentes Tiers de los
subsistemas, podran originarse disfunciones y desequilibrios crticos.
La investigacin que se realiz en los Data Centers de Quito puso en

evidencia que la mayora de ellos no cumple la normativa ANSI/TIA-942-A
ni la norma ISO/IEC 27001, por lo cual adolecen de fallas en la entrega de
servicios y mltiples falencias relacionadas con la seguridad de la
informacin.
La sola aplicacin de la norma ANSI/TIA-942-A, si bien confiere cierto nivel

de proteccin en trminos de infraestructura y equipos, no garantiza una
correcta y eficaz operacin, debiendo incorporarse otros procedimientos
complementarios para tal efecto. La norma citada tampoco hace referencia
a la seguridad de la informacin, por lo que deben incluirse mecanismos
para cubrir esa necesidad, como es la aplicacin de un SGSI.
510
Para la seleccin de los activos crticos y la identificacin de los respectivos

sistemas de inters a los cuales pertenecen, fue necesario analizar las
funciones que stos cumplen dentro de la empresa y cmo apoyan a la
ejecucin de la misin de la misma. Con ello se pudo definir los diferentes
perfiles de amenazas y riesgos y proponer las respectivas estrategias de
proteccin, planes de mitigacin y listas de acciones para minimizar los
impactos que las amenazas identificadas pudieran causar a la empresa.
La valoracin de activos es un punto inicial para el Anlisis de Riesgos.

Esta valoracin puede realizarse utilizando estimaciones cualitativas,
cuantitativas, o una combinacin de las dos, debiendo escogerse la
estimacin segn el tipo de activo a valorarse. Por ejemplo, metodologa
cualitativa para catalogar un tipo de activos como personas; y metodologa
cuantitativa para gestionar prdidas monetarias.
Varios Organismos de Seguridad han propuesto distintas metodologas

para el Anlisis de Riesgos, cuya adopcin o desarrollo de una nueva o
propia de la Empresa, depender de los requerimientos especficos,
caractersticas del negocio y alcances de cada Organizacin.
Todas las metodologas tienen un particular enfoque de Gestin de

Riesgos, por lo que no pueden ser calificadas a priori como acertadas o
errneas. Por lo mismo, es conveniente que cada Organizacin adopte
aquellos mtodos con los cuales est mejor familiarizada, que generen una
mayor confianza y que garanticen resultados repetibles.
Con el fin de cumplir los parmetros establecidos por la Norma ISO/IEC

27005 para el Anlisis de Riesgos y el alcance del SGSI del Data Center
Tier III, se analizaron diversas metodologas, optndose finalmente por
desarrollar una metodologa propia que se ajustara de mejor manera a los
objetivos propuestos. La metodologa de riesgos establecida incorpora
elementos comunes de otras metodologas existentes, tales como:
511
identificacin y valoracin de activos, identificacin de amenazas,

vulnerabilidades y controles establecidos, y estimacin de impactos y
riesgos.
Tanto el enfoque de alto nivel como el enfoque detallado son considerados

en las diferentes metodologas para el Anlisis de Riesgos. En el anlisis
del Data Center de alta gama no se utiliz el enfoque de alto nivel, por
cuanto no presenta caractersticas provistas en el enfoque detallado, tales
como: involucrar una identificacin y valoracin profunda de activos,
vulnerabilidades y amenazas; permitir analizar la interrelacin entre
subsistemas y activos dentro de cada subsistema del Data Center y
considerar aspectos tcnicos y del negocio de forma unificada.
La metodologa propuesta incluye el enfoque top-down (de arriba a abajo)

para la identificacin de los activos. Dicho enfoque permite establecer un
orden jerrquico de importancia donde en primer trmino se identifica la
informacin y servicios ligados con el modelo del negocio que maneja el
Data Center, y posteriormente se determinan los activos que los soportan.
Si la Empresa aspira a obtener una Certificacin que avale la

implementacin
del
SGSI,
la
Organizacin
debe
incorporar
una
metodologa de gestin de riesgo que cumpla los requerimientos

estipulados en las normas ISO/IEC 27001 e ISO/IEC 27005.
La Dependencia de Activos, si bien no es un factor independiente de

valoracin, se halla implcita dentro de la valoracin de los impactos. Los
grafos de dependencia que se han incorporado, permiten visualizar la
propagacin de los daos y los puntos de falla en los diferentes activos de
cada subsistema del Data Center.
Al efectuarse la Valoracin de Activos, se puso en evidencia que los

activos ms importantes en el Data Center, que permiten la continuidad de
los servicios o informacin, son los servidores blade, software de los
512
servidores, software de virtualizacin, firewalls fsicos, paneles de gestin

del sistema de control de acceso y contra incendios, switches de core y
distribucin. Las polticas de seguridad deberan enfocarse principalmente
en los activos sealados, por la relevancia de los mismos.
La metodologa aplicada vincula de manera directa los resultados de las

valoraciones previas con las subsiguientes, de tal modo que los valores
finales dependen del valor inicial, que sirve de sustento para la Estimacin
del Riesgo. Con base en esta metodologa y luego del Anlisis y
Evaluacin de Riesgos, se determin que los impactos y riesgos de mayor
valor corresponden a los activos que tienen un ms elevado Nivel de
Importancia.
La metodologa de Anlisis de Riesgos, por el hecho de estar enfocada

especficamente en cada activo, sirve para obtener resultados de impactos
y riesgos relacionados solamente con el activo en estudio, pero es
insuficiente para obtener una perspectiva global de todos los sistemas.
La Evaluacin de Riesgos evidencia que los valores de los riesgos son

generalmente menores al de los impactos, por cuanto la probabilidad de
que ocurran eventos es inferior al 100%. Esto podra conllevar a que
ciertas amenazas de efectos catastrficos no merezcan la atencin y la
prioridad que requieren, en atencin a su bajo nivel en el valor del riesgo.
No obstante, tanto el valor del impacto como el correspondiente al riesgo,
deben ser considerados en el Tratamiento de Riesgos, priorizando la
aplicacin de controles en las amenazas que podran provocar impactos y
riesgos altos y, posteriormente, aquellas que se relacionan solamente con
altos impactos.
Segn el Anlisis de Riesgos, el grado de impacto en la seguridad de la

informacin causado por la materializacin de una amenaza, disminuye
considerablemente debido a las redundancias en los sistemas dentro del
513
Data Center; sin embargo, es necesario que dicho anlisis sea reevaluado
peridicamente.
Existen diversas medidas de seguridad para proteger la informacin de la

Organizacin. stas pueden ser de tipo: organizativo, tecnolgico, fsico,
administrativo, etc. Adems, debern ser implementadas de tal forma que
trabajen adecuadamente de forma integrada.
No todas las amenazas atacan a todos los activos en todas las

dimensiones de
seguridad.
Algunas afectan
exclusivamente
la
confidencialidad, integridad o disponibilidad. En caso de requerirse una

visin detallada para la aplicacin de controles ms precisos, se puede
analizar de manera individual los valores de impactos y riesgos de
confidencialidad, integridad y disponibilidad.
La aplicacin de ciertos controles puede eliminar o reducir de forma

significativa los riesgos de seguridad. Para medir la efectividad de los
controles es necesario realizar una retroalimentacin del Anlisis de
Riesgos utilizando la metodologa propuesta.
No todos los controles y procedimientos tienen validez para todos los

casos, por lo que deben seleccionarse aquellos que permitan mitigar
riesgos y excluirse aquellos que no apliquen a la solucin de
inconvenientes o no estn enfocados en el alcance del SGSI. La seleccin
debe estar justificada sobre la base de la evaluacin y tratamiento de
riesgos, enfoque general para la gestin del riesgo y regulaciones y
legislaciones nacionales e internacionales relevantes.
Toda la Normativa relacionada con las polticas, procedimientos, procesos

y controles para mantener la confidencialidad, integridad y disponibilidad de
la informacin, debe estar sujeta a la aprobacin y apoyo de la Direccin, la
cual verificar su cumplimiento.
514
Debido a la multiplicidad de formas que pueden comprometer la seguridad

de la informacin, todos los eventos de riesgo debern ser registrados,
analizados y evaluados para neutralizarlos y realimentar las medidas de
seguridad futuras.
Con el fin de facilitar la planeacin e implementacin de controles para la

seguridad de la informacin, se han desarrollado normas por parte de
varios Organismos. Las Normas ISO/IEC 27001, 27002 y 27005
constituyen la base fundamental para sustentar el presente Sistema de
Gestin de Seguridad de la Informacin.
Las polticas deben ser elaboradas tomando en cuenta los requerimientos

de todas las reas incluidas en su alcance y no solamente de una
especfica. Esta tarea debe estar coordinada entre todas las instancias
relacionadas, como gerencias, personal administrativo, administradores,
jefaturas y usuarios finales.
Como en todas las organizaciones, el recurso humano es el activo ms

importante y el que genera mayores complicaciones para un adecuado
control. Por consiguiente, es imperativo que todo el personal, ya sea
interno
externo,
est
debidamente
concienciado,
capacitado
comprometido con la seguridad de la informacin, comprendiendo la

importancia de la misin, los riesgos y consecuencias, lo mismo que las
sanciones contractuales y legales en el caso de cometer acciones
deliberadas en contra de la disponibilidad, integridad y confidencialidad de
la informacin.
Las contraseas y los privilegios de acceso a disposicin del personal,

debern ser analizados frecuentemente y sometidos a cambios de
conformidad con las necesidades de seguridad de la informacin que
maneja el Data Center. La aplicacin de controles, como autenticacin y
mtodos criptogrficos, son los ms adecuados para preservar la
confidencialidad en los sistemas.
515
La seguridad total es un objetivo que todas las instituciones pretenden

conseguir, pero la praxis organizacional seala que existen y existirn
vulnerabilidades en los sistemas y la probabilidad de que se exploten
dichas debilidades. Por consiguiente, es de absoluta necesidad realizar un
anlisis preventivo responsable y el establecimiento de acciones concretas
para menguar dichos riesgos.
La implementacin del SGSI depender del tamao de la Organizacin o

de las reas consideradas en el alcance, de la criticidad de la informacin
que se maneja, de la tecnologa implementada y de las disposiciones
legales. El costo de la misma depender de los costos de publicaciones y
material relacionado con la seguridad, costo de asistencia interna o
externa, costo de tecnologa necesaria, costo de capacitaciones de los
empleados y un posible costo de certificacin.
El Sistema de Gestin de Seguridad de Informacin se define para cada

Organizacin con base en los riesgos a que est expuesta, a los aspectos
intrnsecos de su funcionamiento y debe encausarse en la razn de ser de
la Organizacin.
La seguridad de la informacin abarca un campo ms amplio que las

simples amenazas y vulnerabilidades tcnicas. En realidad, es un aspecto
esencial que debe incluirse en la planificacin de todos los procesos en sus
diferentes niveles.
El Sistema de Seguridad de la Informacin no es un ente esttico sino

dinmico, que debe actualizarse peridicamente de acuerdo a las
necesidades de la empresa, modificaciones en la estructura o procesos y
nuevos riesgos o amenazas que pudieren sobrevenir.
516
No todas las empresas que administran informacin sensible de sus

clientes poseen una certificacin ISO/IEC 27001, por lo que obtenerla
podra ser un punto a favor en un mercado cada vez ms competitivo.
Tradicionalmente, la seguridad de la informacin ha tenido poca

importancia en las Empresas Pblicas y Privadas del Ecuador, pero esta
realidad est cambiando en los ltimos tiempos, como lo demuestra el
Acuerdo N 166 [72], suscrito por la Secretara de la Administracin
Pblica, en el que se dispone que todas las Entidades Pblicas
implementen de manera obligatoria un Esquema Gubernamental de
Seguridad de la Informacin segn la Norma ISO 27001. Este antecedente
revela la imperiosa necesidad de implementar un SGSI, tanto en empresas
pblicas como privadas. Por consiguiente, los ISPs, mayoritariamente
privados, cuya razn de ser es la prestacin de servicios informticos,
deberan certificarse perentoriamente acatando las normas para garantizar
la seguridad de sus datos y servicios.
La implementacin de un SGSI no puede culminarse en un perodo corto

de tiempo, por cuanto requiere de una serie de procesos que debe cumplir
la Organizacin. El tiempo necesario para incorporar el SGSI est
supeditado a varios factores relacionados con el tamao de la empresa, el
estado inicial de la seguridad de la informacin y los recursos que se
destinan a este objetivo; sin embargo, de modo tentativo, puede estimarse
la duracin de un ao, aproximadamente. El Acuerdo N 166 establece que
las Entidades Pblicas del Ecuador deben implementar el Esquema
Gubernamental de Seguridad de la Informacin en un plazo de 18 meses.
Generalmente, se considera a la seguridad de la informacin como un

costo sin una ganancia financiera evidente. Sin embargo, existe una
ganancia financiera si se disminuyen los gastos ocasionados por
incidentes, interrupciones de servicio, filtracin de datos o problemas
ocasionados por fallas humanas.
517
5.2 RECOMENDACIONES
El presente proyecto de investigacin deber ser complementado con el
cumplimiento de todo el modelo PDCA, que incluye implementacin,
monitoreo y mantenimiento del SGSI propuesto en la norma ISO/IEC
27001:2005.
Se recomienda utilizar la metodologa de Anlisis de Riesgos propuesta

para realizar un enfoque extenso, explcito y detallado; no obstante, para
un enfoque general y primario es suficiente concretarse solamente en
procesos y activos principales o utilizar metodologas ms simples.
Es recomendable realizar un Anlisis de Riesgos con la utilizacin de

distintas metodologas, lo cual permitir establecer comparaciones entre
ellas, para determinar fortalezas y debilidades, que sustenten la mejor
eleccin.
Las modificaciones que se introduzcan en el Anlisis de Riesgos no deben

ocasionar problemas en la continuidad del negocio y debern ser
aprobadas previamente por las jefaturas y gerencias.
Sera deseable utilizar una mtrica de estimacin enteramente cuantitativa,

valorando los activos y prdidas en trminos econmicos, con el fin de
obtener una aproximacin ms precisa y real del Anlisis de Riesgos.
Los activos deben ser plenamente identificados, con la asignacin de su

correspondiente grado de proteccin, segn su criticidad, sealndose la
forma de su tratamiento, con lo cual se mantendr una adecuado margen
de seguridad.
Debe establecerse una revisin peridica del Anlisis de Riesgos, basada

en las nuevas amenazas y los incidentes de seguridad registrados, lo cual
518
permitir una oportuna actualizacin de las polticas propuestas para

contrarrestar futuros problemas en el Data Center.
Los controles y objetivos de control que se encuentran detallados en el

presente documento, debern complementarse con objetivos de control y
controles propios de cada Data Center.
Establecer una metodologa que incluya la medicin de la efectividad de los

controles frente a los riesgos que pretenden conjurar, con objeto de que se
pueda verificar tanto los controles inexistentes como los que estn
perfectamente implementados.
Se recomienda efectuar un anlisis de costo-beneficio cualitativo y

cuantitativo. Los controles que se apliquen a un activo no deben
sobrepasar el valor del activo que se quiere proteger. Se debe establecer
un punto de equilibrio entre los costos de inseguridad y los costos de
implementar controles, de tal forma que la empresa pueda evaluar de
mejor manera las opciones para controlar riesgos.
Se recomienda probar previamente todos los controles antes de su

implementacin, ya que podra haber fallas en su funcionamiento o tener
comportamientos inesperados, inclusive se correra el riesgo de incorporar
nuevas vulnerabilidades en los sistemas o aplicaciones.
Deben elaborarse documentos formales de los procedimientos operativos

para cada departamento, control de documentos, identificacin de
requisitos del SGSI, polticas de seguridad, metodologa de evaluacin y
tratamiento de riesgos, plan de concienciacin, procesos de auditoras
internas, declaracin de aplicabilidad y planes de continuidad.
El establecimiento del Sistema de Gestin de Seguridad de la Informacin

constante en la Norma ISO/IEC 27001:2005, y aplicado en el presente
Proyecto de Titulacin, puede ser considerado como referencia para
519
cualquier Data Center de alta gama (Tier III o Tier IV), que pertenezca a un
ISP.
Se recomienda utilizar e integrar distintos enfoques para la creacin de un

SGSI,
como
ITIL,
COBIT,
ISO/IEC
27000,
ISO/IEC
20000,
complementndolos con otros estndares compatibles, como ISO 9001 e

ISO 14001.
Se recomienda crear un departamento especializado en seguridad de la

informacin que asuma la responsabilidad de la gestin de procesos de
seguridad, el mismo que deber laborar en conjunto con los gerentes y
jefes del Data Center.
Es necesario realizar campaas de concienciacin hacia todo el personal

de la empresa, con el fin de motivar a las personas en cuanto al buen uso
de los activos que manejan y de los cuales son responsables. Del mismo
modo, debern comunicarse las estrategias de proteccin, planes de
continuidad y polticas de seguridad.
Debido a que el desarrollo de los planes de continuidad es muy extenso y

supera el alcance del Proyecto actual, se recomienda elaborar e
implementar dichos planes para cada tipo de actividad relacionada con los
procesos del Data Center. La creacin de los planes requiere de un anlisis
detallado de los riesgos y debe ajustarse a la realidad especfica de cada
empresa.
Se recomienda la adopcin de acciones preventivas antes que correctivas,

lo cual significa una economa en todos los rubros del sistema; por tanto,
es inconveniente esperar a que se produzca un ataque a la seguridad de la
informacin, para tomar acciones correctivas de forma tarda.
520
Se recomienda obtener una certificacin de la norma 27001, una vez que

se haya implementado el SGSI, ya que adems de proteger a la empresa,
aporta al mejoramiento de su imagen hacia el exterior.
521
REFERENCIAS BIBLIOGRFICAS Y ELECTRNICAS

BIBLIOGRAFA
[1] Data Center, 2014. http://en.wikipedia.org/wiki/Data_center. Disponible en Junio 2014
[2] Acens blog, 2008. http://www.acens.com/blog/que-es-un-data-center.html. Disponible en
Dicembre 2013
[3] The History of the Data Center, 2012. http://www.tomsitpro.com/articles/cloud_computingmodular_datacenter-mainframe-eniac,5-26-2.html. Disponible en Dicembre 2013
[4] Google Centro de Datos, 2013. http://www.google.com/about/datacenters/gallery/#/all.
Disponible en Dicembre 2013
[5] Search Data Center, 2010. http://searchdatacenter.techtarget.com/definition/green-datacenter. Disponible en Dicembre 2013
[6] Green Data Center Management, http://www.dwhs.net/blog/2010/05/green-data-centermanagement-the-hot-new-college-degree/. Disponible en Dicembre 2013
[7] ADN solution, 2012. http://www.adnsolutions.net/ServiciosDatacenter/. Disponible en
Dicembre 2013
[8] Grupo GDT - Data Center, 2013. http://www.grupogtd.com/datacenter-krickdatacenter.html.
[9] Technopia, 2013. http://www.technopia.net/serviciosdatacenter.aspx. Disponible en
Dicembre 2013
[10] TIA, Telecommunications Infrastructure Standard for Data Centers ANSI/TIA-942-A, 2011.
[11] ADCs Data Center Optical Distribution Frame: The Data Centers Main Cross-Connect,
2008. http://www.accu-tech.com/Portals/54495/docs/106781ae.pdf. Disponible en Dicembre
2013
[12] CTI Electrnica, http://cpd.ctielectronica.com/. Disponible en Dicembre 2013
[13] Elctrica y variedades,
http://www.elecva.com/pgs/productos__voz_datos_cableado_estructurado_electrica_variedade
s_iluminacion.htm. Disponible en Dicembre 2013
[14] Raised floor system and support apparatus, 2003.
http://www.freepatentsonline.com/6637165.pdf. Disponible en Dicembre 2013
[15] Cabling a Data Center to TIA-942 Standard, 2010.
http://www.fiberoptics4sale.com/wordpress/cabling-a-data-center-to-tia-942-standard/.
[16] Estndar Tier Uptime Institute, http://www.datacenterconsultores.com/auditoria-y-
522
certificacion/uptime-institute/. Disponible en Dicembre 2013

[17] Top 5 website security holes you can fix now, 2011. http://www.itmanagerdaily.com/websitesecurity-vulnerabilities-you-can-fix-now/. Disponible en Dicembre 2013
[18] Informacin, 2013. http://es.wikipedia.org/wiki/Informaci%C3%B3n. Disponible en Dicembre
2013
[19] ISO/IEC, ISO/IEC 27002 - Tecnologa de la Informacin - Tcnicas de seguridad - Cdigo para
la prctica de la gestin de la seguridad de la informacin, 2006.
[20] ISO/IEC, ISO/IEC 27001 - Tecnologa de la Informacin - Tcnicas de seguridad - Sistemas de
gestin de seguridad de la informacin - Requerimientos, 2005.
[21] Gobierno de Espaa, Introduccin a la seguridad informtica - Amenazas, 2012.
http://recursostic.educacion.es/observatorio/web/es/component/content/article/1040introduccion-a-la-seguridad-informatica?start=5. Disponible en Dicembre 2013
[22] A. Gmez Vieites, Tipos de ataques e intrusos en las redes informticas. Disponible en
Dicembre 2013
[23] Segu-Info - Proteccin, 2009. http://www.segu-info.com.ar/proteccion/proteccion.htm.
[24] Segu-Info Firewall / Cortafuegos, 2009. http://www.segu-info.com.ar/firewall/firewall.htm.
[25] Telematika2 - Listas de control de acceso,
http://telematika2.wordpress.com/2011/03/26/listas-de-control-de-acceso/. Disponible en
Dicembre 2013
[26] I. Cisco Systems, User Guide for Cisco Secure ACS, 2002. Disponible en Dicembre 2013
[27] PDCA, un modelo de gestin, 2010. http://arpcalidad.com/pdca-un-modelo-de-gestin/.
[28] Caso de xito SGSI, 2012. http://seguridad-redes-esan.blogspot.com/2012/10/caso-de-exitosgsi.html. Disponible en Dicembre 2013
[29] Instituto Uruguayo de Normas Tcnicas, UNIT-ISO / IEC 27000, 2013.
http://www.unit.org.uy/iso27000/iso27000.php. Disponible en Dicembre 2013
[30] Uptime Institute, 2013. http://uptimeinstitute.com/about-us. Disponible en Dicembre 2013
[31] Uptime Institute, Data Center Site Infrastructure Tier Standard: Topology, 2012.
[32] Superintendencia de Telecomunicaciones, Estadsticas de Servicios de
Telecomunicaciones:, 2013.
http://www.supertel.gob.ec/index.php?option=com_k2&view=item&id=21:servicios-detelecomunicaciones&Itemid=90. Disponible en Dicembre 2013
[33] Instituto Geofsico EPN, Fallas y Pliegues, 2013. http://www.igepn.edu.ec/sismos/fallas-ypliegues.html. Disponible en Dicembre 2013
523
[34] Instituto Geofsico EPN, Volcanismo en Ecuador, 2013.

http://www.igepn.edu.ec/index.php/volcanes/volcanismo-en-ecuador.html. Disponible en
Dicembre 2013
[35] U.S. Geological Survey - EPN, Instituto Geofsico - Pliegues y Fallas, 2003.
http://www.igepn.edu.ec/index.php/sismos/fallas-y-pliegues.html. Disponible en Dicembre 2013
[36] Consejo Metropolitano de Planificacin, Plan Metropolitano de Ordenamiento Territorial 20122022, 2012.
[37] MIDUVI - Cmara de la Construccion de Quito, Norma Ecuatoriana de la Construccin Peligro Ssmico y Requisitos de Diseo Sismo Resistente, 2011.
http://www.normaconstruccion.ec/Capitulos_descargas/NEC2011-CAP2PELIGRO%20SISMICO%20Y%20REQUISITOS%20DE%20DISENO%20SISMO%20RESISTE
NTE-2013.pdf. Disponible en Dicembre 2013
[38] R. L. Geren, Building Classification - Part 2: Construction Types, 2006.
http://www.specsandcodes.com/Articles/The%20Code%20Corner%20No.%2015%20%20Building%20Classification%20Part%202%20-%20Construction%20Types.pdf. Disponible
en Dicembre 2013
[39] Centro Nacional de Conservacin de Papel de la Biblioteca Nacional de Venezuela,
Almacenamiento y manipulacin de cintas magnticas: gua para bibliotecas y archivos,
1998. http://www.bnv.gob.ve/pdf/Conser10.pdf. Disponible en Dicembre 2013
[40] Slideshare, Virtualizacin de servidores de infraestructura, 2012.
http://www.slideshare.net/darmas00/virtualizaciondeservidoresdeinfraestructura-microsoft.
[41] Marn Paulo, Sistemas de Cableado Estructurado en Data Centers, 2008.
http://www.paulomarin.com/Files/jornada%20dc%20bsas.pdf. Disponible en Dicembre 2013
[42] CENACE, Mapa Geogrfico Sistema Nacional Interconectado del Ecuador - Mar/2014, 2014.
http://www.cenace.org.ec/index.php?option=com_phocadownload&view=category&id=7:phocat
unifsni&Itemid=6. Disponible en Junio 2014
[43] Uptime Institute, Tier Classifications Define Site Infrastructure Performance, 2008.
http://www.greenserverroom.org/Tier%20Classifications%20Define%20Site%20Infrastructure.p
df. Disponible en Dicembre 2013
[44] ASHRAE, Thermal Guidelines for Data Processing Enviroments, 2011.
[45] Wikipedia, Evaporador de Expansin Seca, 2013.
http://es.wikipedia.org/wiki/Evaporador_de_expansi%C3%B3n_seca. Disponible en Dicembre
2013
[46] Quiminet, Sistemas de enfriamiento del agua, 2013.
http://www.quiminet.com/articulos/sistemas-de-enfriamiento-del-agua-2560810.htm. Disponible
en Dicembre 2013
524
[47] Trasnfermaker, Chiller, 2013. http://transfermaker.com.mx/fotografias/chiller_2.gif. Disponible

en Dicembre 2013
[48] National Fire Protection Association, NFPA 75 Standard for the Fire Protection of Information
Technology Equipment, 2013.
[49] Wikipedia, Aspirating smoke detector, 2013.
http://en.wikipedia.org/wiki/Aspirating_smoke_detector. Disponible en Dicembre 2013
[50] UPSISTEMAS S.A., ECARO25 - Sistema de agente limpio superior, 2013.
http://www.upsistemas.co/espanol/ecaro. Disponible en Dicembre 2013
[51] Inema, Sistemas Contra Incendios, 2012. http://inemacompany.jimdo.com/. Disponible en
Dicembre 2013
[52] Televigilancia, 2009.
http://profesores.elo.utfsm.cl/~agv/elo330/2s09/projects/GordonMerello/Video.html. Disponible
en Dicembre 2013
[53] Buenas Tareas, Funciones de un Presidente dentro de una Empresa, 2011.
http://www.buenastareas.com/ensayos/Funciones-Del-Presidente-De-UnaEmpresa/1881573.html. Disponible en Dicembre 2013
[54] Wikipedia, Gerente General, 2013. http://es.wikipedia.org/wiki/Gerente_general. Disponible
en Dicembre 2013
[55] ISO/IEC, ISO/IEC 27005 - Information technology - Security techniques - Information security
risk management, 2008.
[56] J. M. Matalobos Veiga, Anlisis de Riesgos de Seguridad de la Informacin, 2009.
[57] Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la
Administracin Electrnica, MAGERIT versin 3.0, Metodologa de Anlisis y Gestin de
Riesgos de los Sistemas de Informacin, Libro I - Mtodo, 2012.
[58] Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la
Administracin Electrnica, MAGERIT versin 3.0, Metodologa de Anlisis y Gestin de
Riesgos de los Sistemas de Informacin, Libro II - Catlogo de Elementos, 2012.
[59] CERT, The OCTAVE Allegro Guidebook, v1.0, 2007.
[60] National Institute of Standards and Technology, NIST Special Publication 800-30 - Guide for
Conducting Risk Assessments, 2012.
[61] Dussan Clavijo Ciro Antonio, Polticas de Seguridad Informtica, 2006.
http://www.unilibrecali.edu.co/entramado/images/stories/pdf_articulos/volumen2/Politicas_de_s
eguridad_informtica.pdf. Disponible en Dicembre 2013
[62] Congreso Nacional, Cdigo del Trabajo, 2005.
[63] National Institute of Standards and Technology, NIST Special Publication 800-131A Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key
525
Lengths, 2011.
[64] Consejo Nacional de Telecomunicaciones, Reglamento para la Prestacin de Servicios de
Valor Agregado, 2002.
[65] Asamblea Constituyente, Constitucin de la Repblica del Ecucador, 2008.
[66] Congreso Nacional, Ley de Propiedad Intelectual, 1998.
[67] Congreso Nacional, Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos,
2002.
[68] Comisin Jurdica, Cdigo Penal, 1971.
[69] Congreso Nacional, Ley Orgnica de Transparencia y Acceso a la Informacin Pblica, 2004.
[70] Banco Central del Ecuador, Certificacin Electrnica Banco Central del Ecuador, 2013.
http://www.eci.bce.ec/web/guest/quienes-somos. Disponible en Dicembre 2013
[71] Presidencia Constitucional de la Repblica, Reglamento a la Ley de Comercio Electrnico,
2002.
[72] Secretara Nacional de la Adminitracin Pblica del Ecuador, Acuerdo N166, 2013.

Diseño de un SGSI para un Data Center Tier III

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Diseño de un SGSI para un Data Center Tier III

Enviado por

Direitos autorais:

Formatos disponíveis

ESCUELA POLITCNICA NACIONAL

FACULTAD DE INGENIERA ELCTRICA Y

DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA

PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN

ENRQUEZ NOVILLO VODIA SEBASTIN

TORRES ENRQUEZ PABLO ANDRS

DIRECTOR: ING. PABLO WILLIAM HIDALGO LASCANO

Quito, Julio 2014

Nosotros, Vodia Sebastin Enrquez Novillo y Pablo Andrs Torres Enrquez,

A travs de la presente declaracin cedemos nuestros derechos de propiedad

Ing. Pablo Hidalgo

A todos aquellos que contribuyeron a la culminacin de este Proyecto de

INTRODUCCIN A LOS DATA CENTERS ...................................................................1

HISTORIA DE LOS DATA CENTERS .....................................................................1

SERVICIOS DE UN DATA CENTER .......................................................................6

FUNDAMENTOS DEL ESTNDAR DE INFRAESTRUCTURA DE

ESTRUCTURA DE UN DATA CENTER ..................................................................8

Cuarto de Cmputo .................................................................................... 11

Caractersticas Ambientales .................................................................... 12

Caractersticas Elctricas ........................................................................ 13

Proteccin de Fuego y Filtracin de Agua................................................ 13

Cuarto de Entrada ...................................................................................... 13

rea de Distribucin Principal (MDA) .......................................................... 14

rea de Distribucin Intermedia (IDA) ......................................................... 15

rea de Distribucin Horizontal (HDA) ........................................................ 15

rea de Distribucin de Zona (ZDA)............................................................ 16

rea de Distribucin de Equipos (EDA) ....................................................... 16

Cuarto de Telecomunicaciones ................................................................... 17

reas de Soporte del Data Center .............................................................. 17

TOPOLOGAS DE LOS DATA CENTERS ............................................................. 17

Topologa de un Data Center Tpico............................................................ 17

Topologa de un Data Center Reducido ...................................................... 18

Topologa de un Data Center Distribuido..................................................... 19

RACKS Y GABINETES ......................................................................................... 20

SISTEMA DE CABLEADO DEL DATA CENTER ................................................... 23

Cableado Horizontal ................................................................................... 23

Cableado de Fibra ptica Centralizado....................................................... 26

RUTAS DEL CABLEADO DEl DATA CENTER ...................................................... 27

Rutas de Entrada de Telecomunicaciones .................................................. 28

Sistemas de Piso Falso .............................................................................. 28

Bandejas de Cable Areas ......................................................................... 29

REDUNDANCIA EN UN DATA CENTER ..................................................................... 30

NIVELES DE REDUNDANCIA EN UN DATA CENTER ......................................... 32

CLASIFICACIN DE LOS DATA CENTERS ......................................................... 33

Tier I: Infraestructura Bsica ....................................................................... 33

Tier IV: Tolerante a Fallas ........................................................................... 41

PRINCIPIOS GENERALES DE LA SEGURIDAD DE LA INFORMACIN .................... 44

DEFINICIN DE SEGURIDAD DE LA INFORMACIN ......................................... 46

COMPONENTES DE LA SEGURIDAD DE LA INFORMACIN............................. 47

VULNERABILIDADES, AMENAZAS, ATAQUES Y ATACANTES ................................ 48

Amenazas Fsicas ................................................................................... 48

Amenazas Lgicas .................................................................................. 48

Origen de las Amenazas ............................................................................. 49

Amenazas por Agentes Externos............................................................. 49

Amenazas por Agentes Internos .............................................................. 49

Clasificacin de las Amenazas.................................................................... 48

Intencionalidad de las Amenazas ................................................................ 49

Naturaleza de los Ataques .......................................................................... 50

Deteccin de vulnerabilidades en los sistemas ........................................ 52

Robo de informacin mediante la interceptacin de mensajes ................. 52

Modificacin del contenido y secuencia de los mensajes transmitidos ..... 53

Anlisis del trfico ................................................................................... 53

DNS Spoofing ......................................................................................... 53