anÁlisis de riesgos de los activos de informaciÓn y la
TRANSCRIPT
ANÁLISIS DE RIESGOS DE LOS ACTIVOS DE INFORMACIÓN Y LA
INFRAESTRUCTURA TECNOLÓGICA DE RED QUE POSEE ACTUALMENTE LA
CÁMARA DE COMERCIO DEL PIEDEMONTE ARAUCANO - MUNICIPIO DE
SARAVENA.
SANDRA LINEY CRUZ ORTEGA
DEIMER MANUEL VILLAMIZAR HERRERA
JOHAN STIVEN DIAZ TORRES
CARLOS ORLANDO ROJAS HUERFANO
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERIA DE SISTEMAS
ARAUCA, CERES SARAVENA
2015
ANÁLISIS DE RIESGOS DE LOS ACTIVOS DE INFORMACIÓN Y LA
INFRAESTRUCTURA TECNOLÓGICA DE RED QUE POSEE ACTUALMENTE LA
CÁMARA DE COMERCIO DEL PIEDEMONTE ARAUCANO - MUNICIPIO DE
SARAVENA.
SANDRA LINEY CRUZ ORTEGA
DEIMER MANUEL VILLAMIZAR HERRERA
JOHAN STIVEN DIAZ TORRES
CARLOS ORLANDO ROJAS HUERFANO
ASESOR
ING. CARLOS PUENTES FIGUEROA
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERIA DE SISTEMAS
ARAUCA, CERES SARAVENA
2015
iii
Declaración de Derechos de Autor
Nosotros, SANDRA LINEY CRUZ ORTEGA, DEIMER MANUEL VILLAMIZAR
HERRERA, JOHAN STIVEN DIAZ TORRES, Y CARLOS ORLANDO ROJAS HUERFANO
declaramos ante el Concejo Directivo de la Universidad Cooperativa de Colombia Sede Arauca
Ceres Saravena ser los autores del proyecto de grado titulado: ANÁLISIS DE RIESGOS DE
LOS ACTIVOS DE INFORMACIÓN Y LA INFRAESTRUCTURA TECNOLÓGICA DE
RED QUE POSEE ACTUALMENTE LA CÁMARA DE COMERCIO DEL
PIEDEMONTE ARAUCANO - MUNICIPIO DE SARAVENA.
El mismo que ha sido realizado bajo la supervisión del Ingeniero Carlos Puentes
Figueroa en calidad de tutor.
Sandra Liney Cruz Ortega Deimer Manuel Villamizar Herrera
johan stiven diaz torres Carlos Orlando Rojas Huérfano
iv
Agradecimientos
A la Universidad Cooperativa de Colombia, quien nos permitió adquirir nuevos
conocimientos y nos hizo madurar profesionalmente.
A la cámara de comercio del piedemonte araucano por habernos facilitado la información
necesaria para llevar a cabo este análisis de riesgos.
Al apoyo de nuestras familias, ya que han contribuido con sus experiencias que nos han
guiado siempre en la labor de crecer en conocimiento, valores y ética profesional.
v
Resumen
En Europa y el mundo las Cámaras de Comercio tienen como objetivo fomentar la
competencia y mejorar la productividad en un determinado sector, dentro de sus territorios
nacionales, Brindando apoyo a través de ayudas financieras, investigaciones, información del
sector y estadísticas de consumo. Al mismo tiempo que intentan establecer normas de calidad y
estándares de trabajo (piñeros, 2013).
Estas entidades encargadas del manejo mercantil surgen desde épocas remotas donde
revelan que ya existían oficinas que al parecer era el centro de la entidades de los comerciantes
de la época, en este centro de negocios más de 100 funcionarios atendían los mensajes que
llegaban y salían en tablas, ya que en ese entonces este era el medio de comunicación escrito de
la época, existen antecedentes de la edad media donde se muestra que debido a las diferencias
sociales y políticas, originadas por la disolución de estado, surgieron instituciones, con funciones
similares a las cámaras de comercio actuales, como fueron las corporaciones de artes y oficios,
entonces desde los tiempos remotos a la actualidad se han desprendido pequeñas entidades con
este fin alrededor del mundo, entre ellas estas las más importantes (piñeros, 2013).
Expansión de las cámaras comercio en el mundo
Europa
Fue La primera entidad de comercio denominada “Cámara de Comercio” surgió en el siglo XVI
Marsella, su nombre se inspiró en el sitio donde los comerciantes se reunían, denominado cuarto
o cámara; después de las de Marsella, estas se difundieron en otros países y ciudades: Inglaterra,
Irlanda, Dublín, Manchester y Belfast.
vi
A finales del siglo XVII y principio del XIX se esparcieron en Italia: Turín, Génova, Milán,
Venecia y otras ciudades (piñeros, 2013).
América.
En la segunda mitad del siglo XVIII , en el año 1768 se constituyó la primera cámara de
comercio formalmente constituida en Estados Unidos , que operaba solo a nivel local para 1870
ya existían cámaras de comercio en 40 de las ciudades más importantes del país (piñeros, 2013).
Colombia.
Las Cámaras de Comercio en Colombia se deben mencionar el consulado de Cartagena,
establecido en 1975, constituido por un grupo selecto de comerciantes del lugar, con el propósito
de mediar diferencias entre comerciantes, fomentar la agricultura, la industrialización y mejorar
la circulación interior.
Alrededor del 1850 empezó el incremento de las exportaciones agrícolas ,generando un
equilibrio comercial, todo lo que tuviera que ver con el movimiento del comercio exterior del
país , tenía gran importancia lo que significó que los comerciantes relacionados con estos temas ,
debían ser personas a quienes el gobierno obligatoriamente debía consultar , adquirieron
predominio y tuvieron la oportunidad de tener influencia en la política económica del gobierno
con lo cual se produce la fundación de la primera cámara de Comercio de Colombia (piñeros,
2013).
Bogotá.
El 6 de octubre de 1878 nace la Cámara de Comercio de Bogotá (CCB) como una entidad
representante de los intereses de los empresarios y un organismo asesor y consultor del
Gobierno, Desde 1910 la Cámara de Comercio de Bogotá comienza a desarrollar una importante
vii
labor como orientadora nacional, consultora del Gobierno y vocera de los intereses de los
gremios y de la comunidad.
Hoy , las cámaras de comercio de nuestro país sobrepasan el medio centenar, dispersas en
todo el territorio nacional, con logros y propósitos muy definidos en la defensa de los intereses
particulares y colectivos de quienes intervienen en los medios de producción; participan tanto en
la defensa de los intereses privados como en los de las entidades estatales y sus relaciones con
los particulares , y finalmente colaboran con la proyección del país , interviniendo en los estudios
que se relacionan con el comercio nacional e internacional. (piñeros, 2013)
Arauca.
Discurría el primer semestre del año de 1986. El país y el mundo se sorprendían con la
asombrosa noticia del descubrimiento de los magníficos yacimientos petroleros de Caño Limón,
El comercio Araucano, lesionado gravemente por la recesión originada en la devaluación del
bolívar en 1983, asumía la esperanza de que la nueva riqueza del recurso de los hidrocarburos
elevaría los índices de crecimiento de la economía regional.
CÁMARA DE COMERCIO DE ARAUCA, mediante Decreto Presidencial Nº 1745 del
29 de mayo de 1986. El acto legal ordenó el nacimiento del nuevo ente señalándole como
jurisdicción los municipios y corregimientos de la entonces Intendencia, y el Municipio de
Cubará, en el Departamento de Boyacá, el Decreto señaló el carácter provisional de la Primera
Junta Directiva (arauca, s.f.).
viii
Saravena.
En el año 1989, un grupo de comerciantes de la Región del Sarare se dieron en la tarea de
elevar petición al Gobierno Nacional, solicitándole la creación de la Cámara de Comercio de
Saravena, la cual se autorizó por Decreto N°139 del 22 de Enero de 1993.
La Cámara de Comercio del Piedemonte Araucano es una entidad sin ánimo de lucro,
de naturaleza privada, gremial y corporativa que tiene como objetivo llevar la matricula
mercantil de los comerciantes y de los establecimientos de comercio, así como la inscripción de
todos los actos, libros, documentos. Debido al manejo continuo y los posibles riesgos en el
entorno de esta información, se hace necesario analizar y mitigar con acciones de mejora la
seguridad de la misma (Araucano C. d., Camara de Comercio del Piedemonte Araucano, s.f.).
Es por eso que a lo largo de esta reseña histórica se puede afirmar que el manejo de la
información en estas entidades es un elemento indispensable, y la implementación de métodos
y/o normas que ayuden a mejorar la seguridad de información es por supuesto, un tema de
interés a la hora de gestionar la misma al interior de las entidades. Esto entre otras cosas; debido
al flujo continuo, conservación y manejo de la información; se convierte entonces en un factor
relevante para el desarrollo. Por esta razón, la implementación de estas normas o estándares que
mitiguen riesgos y vulnerabilidades entran a ser un elemento importante de las entidades.
Bajo las anteriores consideraciones, la realización de este proyecto contemplará el
análisis de la seguridad en la información y la infraestructura tecnológica de la red aplicando
los estándares ISO 27002, ISO/IEC 11801 con el fin de hallar las posibles falencias en el uso y
manejo de la información y arquitectura de red. Mediante la buena implementación de los
estándares se podrá definir los principales factores de riesgo y la caracterización del cableado de
ix
la estructura de las telecomunicaciones que se ven plasmados en la arquitectura de red de la
entidades; permitiendo establecer un criterio que identifique las acciones de mejora de la
arquitectura de red.
x
Abstract
In Europe and the world the Chambers of Commerce aim to foster competition and
improve productivity in a particular sector, within their national territories, providing support
through financial aid, research , information industry and consumer statistics . While trying to
establish quality standards and working standards (piñeros, 2013).
These entities of commercial management arise from ancient times where already
existing offices reveal that apparently was the center of the organization of traders of the time in
this business center more than 100 officials attending the messages that came and went in a draw
because at the time this was written means of communication at the time, there is a history of the
Middle Ages where it is shown that due to social and political differences , caused by the
dissolution of state, emerged institutions with similar functions to the current trade chambers , as
were the corporations of arts and crafts , then from ancient times to the present have been shed
for this purpose small organizations around the world, including these major ( piñeros , 2013 ) .
Expansion of trade chambers in the world
Europe
It was the first trade organization called “chamber of commerce " arose in the sixteenth
century Marseille, his name was inspired by the place where traders gathered , called room or
chamber ; after Marseille , these were broadcast in other countries and cities : England, Ireland ,
Dublin , Manchester and Belfast.
In the late seventeenth century and early nineteenth spread in Italy : Turin, Genoa , Milan,
Venice and other cities ( piñeros , 2013 ) .
xi
America.
In the second half of the eighteenth century, in 1768 the first Chamber of Commerce
formally incorporated in the United States, which operated only at local level for 1870 was
established and there were chambers of commerce in 40 of the largest cities (piñeros , 2013 ) .
Colombia.
Chambers of commerce in Colombia should mention the consulate Cartagena, established
in 1975, consists of a select group of local merchants, in order to mediate differences between
traders, promote agriculture, industrialization and improving internal circulation.
Around 1850 he began increasing agricultural exports, generating a trade balance,
everything having to do with the movement of foreign trade of the country, was very important
meaning that traders related to these topics, should be people who the government should
necessarily consult acquired dominance and had the opportunity to influence the economic
policy of the government with which the founding of the first chamber of commerce in Colombia
(piñeros, 2013).
Bogota.
On October 6, 1878 born the Chamber of Commerce of Bogota (CCB) as a representative
of the interests of business entity and an adviser and consultant to the government agency, since
1910 the Chamber of Commerce of Bogota begins to develop as an important task national
guidance, government consultant and spokeswoman for the interests of unions and community.
xii
Today , the chambers of commerce of our country beyond the fifty, scattered throughout
the country, with very defined purposes and achievements in the defense of the collective of
those involved in the means of production and private interests ; Therefore involved in the
defense of private interests and the state entities and their relationships with individuals, and
finally collaborate with the projection of the country , taking part in studies that relate to the
domestic and international trade . (Piñeros, 2013)
Arauca.
He ran the first half of 1986. The country and the world were surprised with the amazing
news of the discovery of the great oil fields of Caño Limón,
The araucano trade, severely damaged by the recession caused by the devaluation of the
bolivar in 1983, assumed the hope that the new wealth of resources of hydrocarbons raises the
rates of growth of the regional economy.
CHAMBER OF COMMERCE ARAUCA by Presidential Decree No. 1745 of 29 May
1986. The legal act ordered the birth of the new entity and jurisdiction pointing municipalities
and districts of the then Municipality , and the Municipality of Cubará , Department of Boyacá
the decree said the temporary nature of the First Board ( Arauca ) .
Saravena.
In 1989, a group of traders Sarare Region occurred in the task of raising request to the
Government, requesting the creation of the Chamber of Commerce of Saravena, which by
Decree No. 139 of January 22 authorized 1993.
xiii
The Chamber of Commerce of Piedmont Araucano is a non -profit, private , union and
corporate nature that aims to bring the commercial registration of traders and trading
establishments , and the registration of all acts , books documents . Due to ongoing management
and potential risks in the environment of this information, it is necessary to analyze and mitigate
safety improvement actions thereof (Arauca).
That is why throughout this historical review we can say that the management of
information in these organizations is an indispensable element and implementation of methods
and / or standards to help improve information security is of course a topic of interest in
managing it within organizations. This among other things; due to continuous flow, conservation
and management of information; It then becomes an important factor in development. For this
reason, the implementation of these standards or standards that mitigate risks and vulnerabilities
come to be an important element of organizations.
Under the above considerations, the realization of this project will cover the analysis of
information security technology and network infrastructure using standards ISO 27002 , ISO /
IEC 11801 in order to find possible shortcomings in the use and management of information and
network architecture. Through the successful implementation of the standards you will define the
main risk factors and the characterization of the wiring structure of telecommunications that are
embodied in the network architecture of the organization; set criteria allowing to identify actions
to improve the network architecture.
xiv
Contenido
Declaración de Derechos de Autor ................................................................................................ iii
Resumen .......................................................................................................................................... v
Expansión de las cámaras comercio en el mundo ....................................................................... v
Europa ..................................................................................................................................... v
América. ................................................................................................................................. vi
Colombia. ............................................................................................................................... vi
Bogotá. ................................................................................................................................... vi
Arauca. .................................................................................................................................. vii
Saravena. .............................................................................................................................. viii
Abstract ........................................................................................................................................... x
Expansion of trade chambers in the world .................................................................................. x
Europe ..................................................................................................................................... x
America. ................................................................................................................................. xi
Colombia. ............................................................................................................................... xi
Bogota. ................................................................................................................................... xi
Arauca. .................................................................................................................................. xii
Saravena. ............................................................................................................................... xii
Contenido ..................................................................................................................................... xiv
xv
Ilustraciones ................................................................................................................................. xxi
Tablas ......................................................................................................................................... xxiv
1. Introducción ............................................................................................................................ 1
2. Descripción del problema ....................................................................................................... 2
2.1 Planteamiento del problema. ............................................................................................ 2
2.1.1 activos de información. .................................................................................................. 3
2.1.2 estructura de red. ............................................................................................................ 4
2.1 Pregunta de investigación................................................................................................. 5
3 Objetivos ............................................................................... ¡Error! Marcador no definido.
3.1. Objetivo general. .................................................................................................................. 5
3.2. Objetivos específicos. ......................................................................................................... 5
4 Justificación ............................................................................................................................ 6
5 Cronograma de actividades ..................................................................................................... 8
6 Estado del arte y marco teórico ............................................................................................... 9
6.1. Reseña histórica. ................................................................................................................. 9
6.1.1. Servicios. ..................................................................................................................... 11
6.1.2 Funciones. .................................................................................................................... 11
6.1.3 Junta directiva. ............................................................................................................. 13
6.1.4 Misión. ......................................................................................................................... 13
6.1.5 Visión. .......................................................................................................................... 14
xvi
6.1.6 Políticas de calidad. ..................................................................................................... 14
6.2. Marco Teórico. ................................................................................................................... 14
6.2.1. ISO 27001. .................................................................................................................. 14
6.2.2 Sistema de Gestión de Seguridad de la Información. .................................................. 15
6.2.3. seguridad. .................................................................................................................... 15
6.2.4 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
(Magerit). .............................................................................................................................. 15
6.2.5. Camara de comercio. .................................................................................................. 16
6.2.6 riesgo. ........................................................................................................................... 16
6.2.7. Estándar ISO/IEC 11801............................................................................................. 16
6.2.8. TIA/EIA-569-A.......................................................................................................... 16
6.2.9. TIA/EIA-606 ............................................................................................................... 17
6.2.10. Aplicación del estándar ISO/IEC 11801 ................................................................... 17
6.2.11 Arquitectura de red .................................................................................................... 17
6.2.12 Subsistema cableado de campus ................................................................................ 17
6.2.13. Subsistema cableado de edificio ............................................................................... 18
6.2.14. Subsistema cableado de horizontal ........................................................................... 18
6.2.15 Arquitectura a analizar: Cableado horizontal ............................................................ 20
6.2.16. Red de área Local...................................................................................................... 21
6.2.17. Análisis de la Red de Área Local (LAN) .................................................................. 21
xvii
7. análisis de riesgo ....................................................................................................................... 21
7.1. Metodología. ...................................................................................................................... 21
7.2. Análisis de riesgo. .............................................................................................................. 22
7.3. Situación actual de la empresa. .......................................................................................... 23
7.3.1. Delimitación del alcance. ............................................................................................ 23
7.3.2. Antecedentes de la Empresa. ...................................................................................... 23
7.3.3. Procesos. ..................................................................................................................... 25
7.3.4. Servicios que Ofrece. .................................................................................................. 27
7.4.5. Tabla organizacional. .................................................................................................. 28
7.4.6: Activos. ....................................................................................................................... 30
7.4. Análisis situación actual .................................................................................................... 31
7.4.1 Visitas a la entidad. .......................................................................................................... 32
7.4.2. Resultados check list. .................................................................................................. 32
7.4.3. Entrevista. ................................................................................................................... 33
7.3.4. Encuestas..................................................................................................................... 35
8. FASE 1: Análisis de riesgos de los activos de información basado en la metodología de
gestión de riesgos MAGERIT ....................................................................................................... 47
8.1 Análisis de riesgo. ............................................................................................................... 48
8.1.2 Caracterización de los activos. .................................................................................... 48
8.1.3. Identificación de los activos........................................................................................ 48
xviii
8.1.4. Dependencia entre los activos. .................................................................................... 50
8.1.5....................................................................................................................................... 52
8.1.5. Caracterización de amenazas. ..................................................................................... 56
8.1.6. Identificación de activos ............................................................................................. 56
9. Valoración de las amenazas. ................................................................................................. 60
9.1. Caracterización e identificación de salvaguardas .......................................................... 65
9.1.2. Identificaciones de salvaguardas. ................................................................................ 65
9.1.3 Valoración de salvaguardas ......................................................................................... 68
9.1.4. Estimación del impacto. .............................................................................................. 69
9.2. Estimación del riesgo. ........................................................................................................ 73
10. gestión de riesgos. ............................................................................................................... 78
11. Conclusión. ......................................................................................................................... 78
12. recomendaciones. ................................................................................................................ 79
13. FASE 2: Análisis de riesgos la infraestructura tecnológica de red basados en la metodología
PPDIO. .......................................................................................................................................... 80
14. INTRODUCCIÓN .................................................................................................................. 80
15. Desarrollo de objetivos referentes a la infraestructura de red. ............................................ 81
15.1. Analizar el cableado de red LAN y las configuraciones del cableado de la organización.
................................................................................................................................................... 82
xix
15.1.2. Cableado de red de área local de la Cámara de Comercio del Piedemonte Araucano
............................................................................................................................................... 82
15.1.3. Data Center de la Cámara de Comercio del Piedemonte Araucano de Saravena: ... 83
Se encuentran Switch instalados de manera redundante provocando retardos y el aumento
de la latencia en la trasmisión de paquetes. .......................................................................... 84
15.1.4. Configuraciones de sistema de cableado de la Cámara de Comercio del Piedemonte
Araucano de Saravena........................................................................................................... 84
15.2. Caracterizar la infraestructura tecnológica actual de la Cámara de Comercio del
Piedemonte Araucano. .............................................................................................................. 85
16. FASE I METODOLOGIA PPDIO: preparar. ..................................................................... 86
16.1. Formatos para la caracterización de la red. .................................................................. 86
16.1.2. Caracterización de la arquitectura de red. ................................................................ 86
16.1.3. Identificación de la topología de la red. .................................................................... 87
16.1.4 caracterización de los equipos de cómputo ................................................................ 88
16.1.5 caracterización de los dispositivos de red .................................................................. 88
17. FASE II METODOLOGIA PPDIO: planificación ............................................................. 89
17.1. Análisis del sistema cableado estructurado aplicando iso/iec 11801 .............................. 89
17.2 evaluación del cumplimiento de la norma ANSI/TIA 568b con respecto al cableado
horizontal .................................................................................................................................. 90
17.3 Análisis de nivel de cumplimiento de las normas ............................................................. 92
xx
17.4. Evaluación del cumplimiento de la norma ANSI/TIA 569a con respecto al cuarto de
telecomunicaciones y gabinetes de telecomunicaciones. .......................................................... 94
17.5. Evaluación de las áreas de trabajo de las diferentes dependencias. ................................ 98
17.6. Análisis del cumplimiento de la norma TIA/EIA/ 606a en etiquetado y administración 99
17.7. Codificación y etiquetado de cables, áreas de trabajo, rack y patch panel. ................... 100
17.8. Análisis del cumplimiento de la norma TIA/EIA/ 607 de puesta a tierras. ................... 102
17.8.1. Elementos de puesta a tierra o aterramientos:......................................................... 102
18. Análisis de la red ................................................................................................................... 107
18.1. Arquitectura de la red de datos .................................................................................. 107
18.2. Análisis del diseño actual para el mejoramiento de la arquitectura de red. ................... 109
18.2.1. Data center y/o cuarto de telecomunicaciones ........................................................ 109
18.2.2. Estructura física del Cuarto de Telecomunicaciones .............................................. 110
18.2.3. Ubicación Cuarto de Telecomunicaciones dentro de las áreas de trabajo .............. 112
18.2.4. Acceso al Cuarto de Telecomunicaciones de la entidad ......................................... 112
18.2.5. Protección contra incendios al Cuarto de Telecomunicaciones. ............................ 113
18.2.6. Equipos Redundancia al Cuarto de Telecomunicaciones ....................................... 113
19. Administración de la red y etiquetado del cableado y componentes .................................... 113
19.1. Especificaciones técnicas de etiquetado y administración: ........................................... 116
19.1.1. Sistemas de puesta a tierra ...................................................................................... 116
19.1.2. Puesta a tierra del Cuarto de Telecomunicaciones. ................................................ 117
xxi
19.1.3. Puesta a tierra de los gabinetes de telecomunicaciones .......................................... 120
20. Diseño de la topología lógica recomendada a la cámara de comercio del piedemonte
araucano. ................................................................................................................................. 120
Conclusión .................................................................................................................................. 123
Recomendaciones .............................................................................................................. 124
ANEXOS .................................................................................................................................... 126
Ilustraciones
Ilustración 1: árbol del problema riesgos en los activos de información fuente: los
autores ............................................................................................................................................. 3
Ilustración 2: árbol del problema de la estructura de red fuente: los autores. ...... 4
Ilustración 3: cámara de comercio del piedemonte araucano fuente:
http://www.municipios.com.co/foto/38 ........................................................................................ 10
Ilustración 4 junta directiva fuente: http://www.camarapiedemonte.com/nuestra-junta.html
....................................................................................................................................................... 13
Ilustración 5 modelo red jerárquica fuente:
http://blogxdextecnologia.blogspot.com.co/2009/07/modelo-de-redes-jerarquicas.html ............. 19
Ilustración 6: diagrama Situación actual fuente: los autores ............................................. 32
Ilustración 7: sección de Archivo del almacenamiento de la información fuente: los
autores ........................................................................................................................................... 35
Ilustración 8: pregunta 1 encuesta fuente: los autores. ............................................................. 36
Ilustración 9: pregunta 2 encuesta fuente: los autores .............................................................. 37
xxii
Ilustración 10 Pregunta 3 encuesta. Fuente: los autores. ............................................... 39
Ilustración 11: Pregunta 4 encuesta Fuente: los autores. .......................................................... 40
Ilustración 12: Pregunta 5 encuesta Fuente: los autores. ....................................................... 41
Ilustración 13: Pregunta 6 encuesta Fuente: los autores. .......................................................... 42
Ilustración 14: Pregunta 7 encuesta Fuente: los autores. .......................................................... 43
Ilustración 15: Pregunta 8 encuesta fuente: los autores ........................................................... 44
Ilustración 16: Pregunta 9 encuesta Fuente: los autores. ........................................................... 45
Ilustración 17: Pregunta 10 encuesta Fuente: los autores. ...................................................... 46
Ilustración 18: Pregunta 11 encuesta Fuente: los autores. ......................................................... 47
Ilustración 19: dependencia de activos fuente: los autores. ....................................................... 50
Ilustración 20: identificación de riesgos fuente: los autores ............................................. 77
Ilustración 21 Topología estrella fuente: libro: Redes: diseño, actualización y reparación,
autor: Hillar, Gastón Carlos ....................................................................................................... 87
Ilustración 22: Ductos del cableado fuente: los autores ................................................ 91
Ilustración 23: cableado en mal estado fuente: los autores ........................................................ 91
Ilustración 24: Cableado por fuera de canaleta fuente: los autores ......................................... 92
Ilustración 25: Nivel de cumplimiento del estándar fuente: Los autores ................... 93
Ilustración 26: servidores fuente: los autores ............................................................................ 95
Ilustración 27: humedad en el cuarto de telecomunicaciones fuente: los autores ..................... 96
Ilustración 28: Rack de telecomunicaciones. Fuente: los autores. ............................................ 96
Ilustración 29: cámaras de seguridad Fuente: los autores. ....................................................... 97
Ilustración 30: Switch mal ubicados Fuente: los autores ........................................................ 98
Ilustración 31: Nivel de cumplimento de la norma 569a. Fuente: los autores. ..................... 99
xxiii
Ilustración 32: etiquetas de los puntos fuente: los autores. ..................................................... 100
Ilustración 33: Rack sin etiquetas correspondiente fuente: los autores. ................................. 101
Ilustración 34: Etiquetas del cableado Fuente: los autores. ................................................ 101
Ilustración 35: nivel de cumplimiento fuente: los autores. ...................................................... 102
Ilustración 36: Puestas a tierra Fuente: los autores ................................................................ 103
Ilustración 37: Circuito regulado fuente: los autores .............................................................. 103
Ilustración 38: nivel de cumplimiento estándar 607 fuente: los autores. .................................. 104
Ilustración 39: cumplimiento de la norma ISO/IEC 11801 fuente: los autores ...................... 105
Ilustración 40: Diseño actual de la red en la cámara de comercio del piedemonte araucano
fuente: los autores ....................................................................................................................... 108
Ilustración 41: esquema cuarto de comunicaciones fuente:
http://blog.corujadeti.com.br/datacenter-virtualizacao-e-cloud-computing-evolucao-parte-i/ ... 110
Ilustración 42: Rack para servidores. fuente: http://www.dns-
system.es/que_es_un_armario_rack.php ..................................................................................... 111
Ilustración 43: Etiquetado de cable Fuente: http://marismas-
emtt.blogspot.com.co/2010/10/etiquetas-en-subsistema-horizontal.html................................... 114
Ilustración 44: etiquetado face plate fuente: http://www.cableadoi.com/herramienta-de-
analisis/ ....................................................................................................................................... 115
Ilustración 45: Etiquetado del cuarto de telecomunicaciones ..................................................... 115
Ilustración 46: Sistema puesta a tierra ........................................................................................ 117
Ilustración 47 diseño recomendado para la topología lógica de la red de la Camara De Comercio
Del Piedemonte Araucano fuente: los autores ...................................................................... 122
Ilustración 48: check list pág. 1 fuente: los autores. ................................................... 126
xxiv
Ilustración 49: check list pág. 2 fuente: los autores. ......................................................... 127
Ilustración 50: check list pag.3 fuente: los autores ............................................ 128
Tablas
Tabla 1: cronograma de actividades fuente: los autores ........................................................... 9
Tabla 2 tabla organizacional cámara de comercio del piedemonte araucano fuente:
http://www.camarapiedemonte.com/funcionarios-.html .............................................................. 30
Tabla 3 Activo fuente: los autores .............................................................................................. 31
Tabla 4: identificación de activos fuente: los autores .............................................................. 50
Tabla 5: leyenda dependencia de activos fuente: los autores ................................................... 51
Tabla 6: dimensiones de los activos fuente: los autores ........................................................... 55
Tabla 7: criterios de valoración fuente: los autores ................................................................ 56
Tabla 8: Caracterización de las amenazas fuente: los autores ................................................... 59
Tabla 9: Degradación del valor fuente: los autores. .................................................................. 60
Tabla 10: Probabilidad de ocurrencia fuente: los autores. ............................................. 60
Tabla 11: Valoración de las amenazas fuente: los autores ........................................................ 65
Tabla 12: Niveles de madurez fuente: tomado herramienta PILAR de Magerit 5.2.9. ........... 68
Tabla 13: Valoración salvaguardas fuente: los autores ............................................................. 69
Tabla 14: Estimación del impacto fuente: los autores ........................................................... 72
Tabla 15: Estimación del riesgo fuente: los autores .............................................................. 76
xxv
Tabla 16: criterios de evaluación fuente: los autores ............................................................... 93
1
1. Introducción
La seguridad de la información es hoy día una necesidad básica para cualquier tipo de entidad, la
continua exigencia de tener fiabilidad en los datos que se procesan a diario al interior de las
mismas y los centros de trabajo con infraestructuras informáticas sólidas con equipos de
cómputo adecuados que nos permitan realizar las labores cotidianas, hace que cobre importancia
este tema. .
La obtención de la calidad tanto en los recursos humanos, técnicos o tecnológicos en las
entidades, con el fin de competir con servicio y una buena infraestructura, ha incrementado
también la utilización de aplicaciones, la adecuación de nuevas estaciones de trabajo, así como
de la vinculación del personal que las administra de manera segura.
Este documento se centra en la recopilación y análisis establecido en las dos primeras fases
definidas por la metodología de preparación, planificación, diseño, implementación, operación y
optimización (PPDIOO) formulada por la empresa CISCO system y la metodología de Gestión
de riesgos MAGERIT, la cual es un referente a nivel mundial en todo lo relacionado con redes de
datos y seguridad de la información. En relación a lo anterior metodología el trabajo a desarrollar
se encuentra acotado a las tres primeras fases de esta metodología.
La seguridad informática y las buenas infraestructuras tecnológicas existen solo si se juntan
todos los elementos y métodos que la hacen posible ya que cualquier método utilizado por sí solo
no puede abarcar todos los puntos vulnerables de los sistemas de información. En esto reside el
desarrollo de este proyecto.
2
2. Descripción del problema
2.1 Planteamiento del problema.
Las empresas u entidades mantienen un riesgo continuo de perder información, causando
así problemas de operación, producción o administración, para ello es necesario proteger el
funcionamiento de la información y el estado de sus infraestructura tecnológica; La seguridad
informática existe solo si se juntan todos los elementos y métodos que la hacen posible ya que
cualquier método utilizado por sí solo no puede abarcar todos los puntos vulnerables de los
sistemas de información.
La Cámara de Comercio del Piedemonte Araucano siendo una entidad de propiedad
privada y que dentro de sus funciones está el manejo de activos importantes como la información
de sus clientes los cuales son elemento indispensable en su crecimiento empresarial, se exponen
diariamente a la perdida de los mismos a causa de procesos que en casos pueden ser
intencionales ocasionando daños temporales o permanentes, es por eso que la realización de este
proyecto se direccionara en el aporte de información útil a toda la entidad, donde se pueda
conocer de forma precisa cual será el ambiente más favorable, para tener una mejor seguridad de
la información e infraestructura logrando seleccionar los mecanismos de protección
proporcionales a los riesgos establecidos y el valor de los elementos a proteger.
2.2. Arboles del problema fase I y fase II
Las causas y los efectos de la entidad Cámara de Comercio del Piedemonte Araucano son
de mucha importancia ya que una gestión tecnológica eficiente, depende los activos de
información y la infraestructura tecnológica de red y de normas, políticas que regulen los
procesos realizados en la entidad.
3
Ilustración 1: árbol del problema riesgos en los activos de información fuente: los autores
2.2.1 activos de información.
4
Ilustración 2: árbol del problema de la estructura de red fuente: los autores.
2.2.2 estructura de red.
5
2.3. Pregunta de investigación.
¿De qué manera el análisis de riesgos de los activos de información y la infraestructura
tecnológica de red que posee actualmente la Cámara de Comercio del Piedemonte Araucano -
Municipio de Saravena, permite mitigar riesgos de los mismos?
3. Objetivos
3.1. Objetivo general.
Analizar los riegos que se pueden existir en los activos de información y la infraestructura
tecnológica de la Cámara de Comercio del Piedemonte Araucano Saravena - Arauca.
3.2. Objetivos específicos.
Analizar la red de área local y las configuraciones de sistema de cableado de la
organización.
Caracterizar la infraestructura tecnológica que hace parte de la red actual Cámara de
Comercio del Piedemonte Araucano.
Identificar las vulnerabilidades y el impacto que pueden causar las amenazas a los activos de
información.
Determinar los controles apropiados que permitan mitigar las vulnerabilidades.
Elaborar un informe técnico que permita a las directivas de la Cámara de comercio tomar
las decisiones y correctivos requeridos.
6
2 Justificación
Los procesos de gestión tecnológica en una empresa involucran funciones básicas, como:
la identificación, evaluación y selección de tecnologías, que van más allá del análisis de la
información de la empresa dando un factor importante de competitividad por todo lo que ella
representa para la organización, en uno de sus artículos la fundación (COTEC, s.f)., afirma que
“la Gestión de la tecnología incluye todas aquellas actividades que capacitan a una organización
para hacer el mejor uso posible de la ciencia y la tecnología generada tanto de forma externa
como interna. Este conocimiento conduce hacia una mejora de sus capacidades de innovación, de
forma que ayuda a promocionar la eficacia y eficiencia de la organización para obtener ventajas
competitivas”
Con base a lo ya mencionado, es necesario contar con estrategias y medidas a seguir en
la estructura de red, para garantizar el funcionamiento adecuado de todos los sistemas, y que en
un momento dado, se puedan aplicar los correctivos necesarios en caso de eventuales riesgos
que impliquen la pérdida de la información.
Como ya ha sido citado, la Cámara de Comercio del Piedemonte Araucano, es una
entidad que maneja gran flujo de información, es por eso que se hace necesario el análisis de
riesgos de los activos de información y la infraestructura tecnológica de red, dando aporte
valioso al identificar las herramientas y parámetros necesarios para proteger los procesos, el
trasporte, y preservación de la información, pretendiendo crear conciencia organizacional en lo
que se refiere a la seguridad de los datos.
7
Como aporte importante a la Cámara de Comercio del Piedemonte Araucano, se hará
entrega de los resultados arrojados en el análisis por medio de un informe con el fin de que
puedan aplicar los correctivos necesarios para mejorar sus procesos. De igual manera a la
Universidad Cooperativa de Colombia se le hará entrega de la documentación de la
investigación bajo el análisis realizado en la empresa con el fin de que pueda ser aplicado en
otras organizaciones, ya que todo el proceso se orientó a la línea de gestión tecnológica,
sublíneas de dirección estratégica y consultoría planteadas por reingeniería en las líneas y
sublíneas de investigación del programa de ingeniería de sistemas de la Universidad Cooperativa
de Colombia sede Arauca.
8
3 Cronograma de actividades
Actividades S Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6
D 1 2 3
4 5 1 2 3
4 5 1 2 3
4 5 1 2 3
4 5 1 2 3
4 5 1 2 3
4 5
Caracterizar la
infraestructura tecnológica
características físicas y
lógicas de los servidores y
equipos del área de trabajo x
La identificación de la
topología de la red
x
aplicación del formato de
hoja de vida de equipos x
x x
Identificar y seleccionar la
metodología más apropiada
para llevar a cabo el análisis
de riesgos
X
Aplicación de la
metodología para el análisis
de riesgos y de la red LAN
Aplicación de las
metodologías
x
x
x
Identificar las
vulnerabilidades y su
impacto en los activos de
información
x
Realizar un análisis del
cableado de red de área
local de la organización
x
Analizar las
configuraciones de sistema
de cableado de la
organización
x x
Evaluación del
cumplimiento de la normas
en la red LAN
X
x X
Diseño de una red LAN y
elaboración de controles
para mitigar
vulnerabilidades
Determinación de controles
que mitiguen las
vulnerabilidades.
x x X
Determinar las directrices
de cumplimiento para el
recurso humano
x X x
Elaborar un informe
técnico, socialización, y su
respectivas
recomendaciones al área
encargada
9
Actividades S Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6
Redacción del informe
técnico
x X x
X
Redacción de las
recomendaciones
x X
Realizar socialización de los
resultados obtenidos
x X
Tabla 1: cronograma de actividades fuente: los autores
4 Estado del arte y marco teórico
6.1. Reseña histórica.
En el año 1989, un grupo de comerciantes de la Región del Sarare se dieron en la tarea de
elevar petición al Gobierno Nacional, solicitándole la creación de la Cámara de Comercio de
Saravena, la cual se autorizó por Decreto N°139 del 22 de Enero de 1993.
Del seno de las personas que colaboraron en la gestión, se afiliaron y nombraron la primera
junta directiva los cuales aportaron e impulsaron la creación de la institución.
10
Ilustración 3: cámara de comercio del piedemonte araucano fuente: http://www.municipios.com.co/foto/38
La institución ha tenido un crecimiento relevante de los 15 primeros años de prestación
de servicios, los cambios obtenidos ha sido gracias al esfuerzo de los comerciantes de la región,
donde sobresale la aplicación de tecnología en la modificación de software de registro mercantil
contabilidad, y adquisición de nuevos equipos de cómputo; El trabajo que vienen realizando en
red fue a partir del 2 de enero de 2005 a nivel Nacional, el cual garantiza a los comerciantes una
información confiable y oportuna, como lo demuestran los resultados del servicio de Internet en
la solicitud y entrega inmediata del RUT en cumplimiento de la ley de reforma tributaria.
Respecto a las funciones de apoyo y promoción del sector empresarial trabajan en
programas de formación y actualización empresarial, a través de capacitaciones del orden
tributario, comercial, ventas y servicio al cliente, relaciones humanas, teniendo como fin
consolidar el talento humano empresarial aportando al crecimiento de la región. De la misma
11
manera la organización y promoción de programas como es las semanas comerciales, y comercio
despierto otorgando Premiación a los consumidores que apoyan la reactivación de la economía
de los municipios, ferias comerciales y ganaderas en Saravena, Tame, Arauquita, Cubara, Fortul
y la Esmeralda, apoyando en organización y premiación a los mejores ejemplares expuestos
(Araucano, s.f.) .
6.1.1. Servicios.
La Cámara de Comercio del Piedemonte Araucano es una entidad sin ánimo de lucro, de
naturaleza privada, gremial y corporativa que tiene como objetivo llevar la matricula mercantil
de los comerciantes y de los establecimientos de comercio, así como la inscripción de todos los
actos, libros y documentos , también llevar el registro único de proponentes y de las entidades sin
ánimo de lucro, de conformidad con los estatutos, el artículo 86 del código de comercio, el
decreto 898 de 2002 y demás disposiciones legales y reglamentarias, en cumplimiento de las
funciones propias de la Cámara está sujeta al control y vigilancia de la Superintendencia de
industria y comercio (Araucano C. d., s.f.).
6.1.2 Funciones.
De acuerdo con la Ley, las Cámaras de Comercio ejercen las siguientes funciones:
Sirven de órgano de los intereses generales del comercio ante el gobierno y ante los
comerciantes mismos.
Llevan el Registro Mercantil, instrumento concedido y desarrollado como medio legal de
publicidad de los actos y documentos allí registrados, para efectos de hacerlos oponibles
a terceros.
12
La posibilidad a terceros, los actos y documentos sujetos a registros según la ley, tiene
proyecciones de especial importancia y utilidad en la vida comercial y empresarial.
Así mismo administran el Registro de Entidades Privadas Sin ánimo de Lucro, que ha
redundado en la organización del conjunto de entidades no gubernamentales.
Dan noticias en sus boletines y órganos de publicidad de las inscripciones hechas en el
Registro Mercantil y de toda modificación cancelación o alteración que se haga de dichas
inscripciones.
Recopilan las costumbres mercantiles de los lugares correspondientes a su jurisdicción y
certifican sobre la existencia de las recopiladas.
Designan el árbitro o árbitros conciliadores a los amigables componedores cuando los
particulares lo solicitan para la solución de sus conflictos.
Organizan conferencias, editan o imprimen estudios o informes relacionados con sus
objetivos y con intereses de la Región.
Adelantan actividades cívicas, investigaciones económicas sobre aspectos o ramos
específicos del Comercio Interior y Exterior, y formulan recomendaciones a los
organismos estatales y semioficiales encargados de la ejecución de los planos respectivos.
13
Colaboran como órganos de los intereses generales del empresariado (Anonimo, Camara
de Comercio del Piedemonte Araucano, s.f)
6.1.3 Junta directiva.
JUNTA DIRECTIVA DE LA CAMARA DE COMERCIO ENERO 2015 – DICIEMBRE 2018
PRINCIPALES SUPLENTES
PRESIDENTE: Emiro Goyeneche Goyeneche
María Eugenia Martínez Higuera
VICEPRESIDENTE Edgar Alonso Reyes Chaparro
Pedro Nel Ospina
Gloria Sánchez Cáceres Carlos Alberto Acosta Ramírez
Luis Fernando Gonzales Urrego Unisantander S.A.S.
REPRESENTANTES ANTE GOBIERNO NACIONAL
Freddy Orlando Dinas Rodríguez
Jeisson Snayder Cepeda Blanco
Ilustración 4 junta directiva fuente: http://www.camarapiedemonte.com/nuestra-junta.html
6.1.4 Misión.
La Cámara de Comercio del Piedemonte Araucano en su carácter privado y autónomo,
suscribe y asume la prestación de servicios registrales mercantiles, ejecución de proyectos de
crecimiento regional y el desarrollo empresarial como practicas centrales, mediante el uso de
14
herramientas tecnológicas apoyadas en un en un adecuado talento humano, exaltando valores
corporativos de eficiencia y calidad. (Anonimo, Camara de Comercio del Piedemonte Araucano,
s.f)
6.1.5 Visión.
La Cámara de Comercio del Piedemonte Araucano para el 2020 será la entidad líder en el
desarrollo empresarial de la región, teniendo como finalidad la satisfacción del cliente, con la
prestación de servicios de calidad, generando competitividad, bienestar económico, social y
cultural en la comunidad. (Anonimo, Camara de Comercio del Piedemonte Araucano, s.f)
6.1.6 Políticas de calidad.
La
Cámara de Comercio de Piedemonte Araucano tiene como compromiso apoyar al sector
empresarial, cumpliendo con integridad los requisitos legalmente constituidos, cubriendo las
necesidades y expectativas de nuestros clientes, garantizando su satisfacción, con una eficiencia
en los servicios prestados los cuales se encuentran enmarcados en tres grupos: Registros
públicos, desarrollo empresarial y formulación de proyectos a los empresarios de la región, con
pertinencia, celeridad y liderazgo empresaria, para poner a disposición una entidad competitiva,
a través de un mejoramiento continuo. (Araucano C. d., s.f.)
6.2. Marco Teórico.
6.2.1. ISO 27001.
La norma ISO 27001 define cómo organizar la seguridad de la información en todo tipo
de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible afirmar
15
que esta norma constituye la base para la gestión de la seguridad de la información. (contamicro,
s.f.)
6.2.2 Sistema de Gestión de Seguridad de la Información.
La seguridad de la información, según (Anonimo, iso27000.es, s.f), consiste en la
preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización.
6.2.3. seguridad.
El término seguridad posee múltiples usos. A grandes rasgos, puede afirmarse que este
concepto que proviene del latín securitas hace foco en la característica de seguro, es decir, realza
la propiedad de algo donde no se registran peligros, daños ni riesgos. Una cosa segura es
algo firme, cierto e indubitable. La seguridad, por lo tanto, puede considerarse como una certeza
(Anonimo, definicion.de, s.f).
Según (Escrivá Gascó, 2013)es un rama de la seguridad de la información que trata de
proteger la información que utiliza una infraestructura informática y de telecomunicaciones para
ser almacenada o trasmitida.
6.2.4 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (Magerit).
MAGERIT es la metodología de análisis y gestión de riesgos de los sistemas de
información elaborada por el Consejo Superior de Administración Electrónica, como respuesta a
la percepción de que en la Administración, y, en general, toda la sociedad, dependen de forma
creciente de las tecnologías de la información para el cumplimiento de su misión, directamente
relacionada con la generalización del uso de las tecnologías de la información, esto supone
16
beneficios para los usuarios; y da lugar a ciertos riesgos que deben minimizarse con medidas de
seguridad que generen confianza (Anonimo, Seguridad Informatica, s.f)
6.2.5. Camara de comercio.
Las Cámaras de Comercio en Colombia, como delegatarias legales de funciones públicas
se constituyen en un modelo de colaboración público – privado a través de las cuales se realizan
los fines constitucionales de promoción de la prosperidad general del empresariado, de la libertad
de empresa como base del desarrollo nacional, de solidaridad y de participación en la vida
económica nacional (Anonimo, confecamaras, s.f).
6.2.6 riesgo.
El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La
vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se
convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre (unisdr, s.f).
6.2.7. Estándar ISO/IEC 11801
La ISO/IEC ha votado en julio 1994 la norma is11801 que define una instalación
completa (componentes y conexiones) y valida la utilización de los cables de 100W ó 120W así
como los de 150W, La ISO 11801 reitera las categorías de la EIA/TIA pero con unos valores de
impedancia, de para diafonía y de atenuación que son diferentes según el tipo de cables. La ISO
11801 define también las clases de aplicación (Anonimo, datateca, s.f).
6.2.8. TIA/EIA-569-A
Es el Estándar de Edificios Comerciales para Recorridos y Espacios de
Telecomunicaciones. El estándar especifica las prácticas de diseño y construcción dentro de los
17
edificios, y entre ellos, que admiten equipos y medios de telecomunicaciones. Los estándares
específicos se dan para salas o áreas y recorridos en los que se instalan equipos y medios de
telecomunicaciones (Anonimo, dgtic, s.f).
6.2.9. TIA/EIA-606
Es el Estándar de Administración para la Infraestructura de Telecomunicaciones de
Edificios Comerciales especifica que cada unidad de conexión de hardware debe tener una
identificación exclusiva. El identificador debe estar marcado en cada unidad de conexión de
hardware o en su etiqueta. Cuando se utilizan identificadores en áreas de trabajo, la conexión de
estaciones debe tener una etiqueta en la placa, en el bastidor o en el conector propiamente dicho.
Todas las etiquetas deben cumplir los requisitos de elegibilidad, protección contra el deterioro y
adhesión especificados (Anonimo, dgtic, s.f)
6.2.10. Aplicación del estándar ISO/IEC 11801
En la Camara De Comercio Del Piedemonte Araucano el analisis empezara con los
parametros planateados en el estandar como:
Análisis del cableado genérico de la red.
6.2.11 Arquitectura de red
El estándar define tres subsistemas: campus, backbone y horizontal que se interconectan
para formar la estructura genérica de un cableado.
6.2.12 Subsistema cableado de campus
El subsistema se extiende desde el Distribuidor de Campus (CD) hasta el Distribuidor de
edificio (BD), que habitualmente se instala en un edificio distinto. Por lo general, este subsistema
18
conectará varios BD’s. En muchos casos también se combinan las funciones de los distribuidores
y se alojan en el mismo espacio los de campus y edificio.
La implementación de este subsistema incluye:
Cables de campus.
Puentes y patchcords.
Hardware de conexión en los extremos de conexión del cableado.
Puede no existir BD y en este caso, el subsistema llega hasta los Distribuidores de la planta
(FD).
6.2.13. Subsistema cableado de edificio
Parte del sistema que va desde Distribuidor de Edificio ( BD ) hasta el distribuidor de planta
(FD) incluye:
El cableado del backbone del edificio
Puentes y patchcords.
Hardware de conexión en los extremos de conexión del cableado.
En muchos casos, se amplía la implementación del backbone del edificio, cableando también
los Distribuidores de Planta entre ellos. Se trata de tener un cableado redundante que proporcione
una garantía en caso de avería.
6.2.14. Subsistema cableado de horizontal
Se extiende desde el Distribuidor de Planta ( FD ) hasta la toma de usuario ( TO ). Incluye:
Cableado horizontal.
19
Terminación mecánica en la roseta.
Terminación mecánica en el Distribuidor de Planta, incluido el hardware de conexión.
Conexionado a equipos para aplicaciones específicas que estén alojados en el FD
(electrónica de red).
Puntos de consolidación ( CP ), opcionales.
Las tomas de usuario/rosetas, en sí mismas.
El área de trabajo y los latiguillos de conexión en esta área no se consideran parte del
Subsistema Horizontal, al considerarse específicos de cada aplicación (no genéricos).
La arquitectura de red es el medio principal de distribución, recolección, procesamiento de
paquetes de datos regidos por estándares desde su núcleo, distribución y acceso; en la cámara de
comercio del piedemonte cuenta con un orden jerárquico en su estructura:
Ilustración 5 modelo red jerárquica fuente: http://blogxdextecnologia.blogspot.com.co/2009/07/modelo-de-redes-
jerarquicas.html
20
6.2.15 Arquitectura a analizar: Cableado horizontal
El sistema de cableado horizontal se extiende desde la toma de corriente de
telecomunicaciones (información) del área de trabajo hasta el closet de telecomunicaciones y
consiste en lo siguiente:
Cableado horizontal
Salida de Telecomunicaciones
Terminaciones de Cable
Interconexiones
Se analizara cuál de los tres tipos de medios como opciones para cableado horizontal será
más eficaz, cada uno extendiéndose una distancia máxima de 90 metros.
Cable de 4 pares 100Ohm UTP (Conductores sólidos 24 AWG) horizontal
Cables 2-pares 150 ohm
Cable de fibras ópticas 2-fibra 62.5/125 um
Las consideraciones que se tendrán en cuenta en la cámara de comercio del piedemonte
araucano son:
El cableado horizontal debe tener una topología de estrella.
No debe contener más de un punto de transición.
No deben permitirse derivaciones y empalmes.
Cuando se requieran componentes eléctricos de aplicación específica no deben ser
instalados como parte del cableado horizontal.
Además de los 90 metros de cable horizontal, se permiten un total de 10 metros para área de
trabajo y cuarto de telecomunicaciones provisional y puentes. (Anonimo, udg, s.f)
21
6.2.16. Red de área Local
Es un grupo de equipos que pertenecen a la misma organización y están conectados
dentro de un área geográfica pequeña a través de una red, generalmente con la misma tecnología
(la más utilizada es Ethernet).
Una red de área local es una red en su versión más simple. La velocidad de transferencia
de datos en una red de área local puede alcanzar hasta 10 Mbps (por ejemplo, en una
red Ethernet) y 1 Gbps (por ejemplo, en FDDI o Gigabit Ethernet). Una red de área local puede
contener 100, o incluso 1000, usuarios (Anonimo, ccm, 2014).
6.2.17. Análisis de la Red de Área Local (LAN)
Su extensión está limitada físicamente a un edificio. Suele consistir en varios nodos
conectados a un concentrador que va conectado a un Router. En la cámara de comercio del
piedemonte se realizara una Investigación del área laboral en los equipos (pc) y configuraciones
en la topología, análisis para determinar medios idóneos como dispositivos, servidores que son
fundamentales para el correcto funcionamiento.
7. análisis de riesgo
7.1. Metodología.
La importancia de los activos de información y su infraestructura tecnológica para las
actividades empresariales de la CAMARA DE COMERCIO DEL PIEDEMONTE ARAUCANO
deben de ser su principal prioridad, ya que de esta manera se puede determinar con mayor
certeza el impacto que tendría para la empresa que un riesgo se materialice y afecte de manera
22
negativa a la organización, para ello se ha decidido usar dos metodologías basadas en la gestión
de riesgos y la definición de actividades mínimas requeridas, por tecnología y complejidad de
red que nos permita conocer las vulnerabilidades al que están sometidos los activos de la
información y la infraestructura de red ideando estrategias que nos permitan llevar el riesgo a su
más mínima expresión a través de la gestión del mismo.
Es por eso que para la realización y aplicación de este proyecto utilizaremos la
Metodología de Gestión de riesgos MAGERIT y la PPDIOO la cual de esta utilizaremos sus dos
primeras fases como los son la preparación y planeación; ya que cumplen con los parámetros
necesarios para el análisis de la organización y sus respectivas recomendaciones para mitigar
cada una de las falencias encontradas.
7.2. Análisis de riesgo.
Con el trascurrir de los días la implementación de tecnologías en las empresas, de alguna
manera se ha convertido en parte importante para el desarrollo de procesos de forma rápida, no
obstante el manejo de los mismos causan riesgos que con el tiempo se pueden materializar de
no tener estrategias que ayuden a reducirlos. Es por eso que el análisis de riesgos busca mitigar
cada uno de ellos con la implantación de controles que permiten calificar y evaluar los niveles
de riesgo y las respectivas acciones a implementar.
Por tal razón la realización de análisis de riesgos se convierte en un aliado indispensable
de las entidades u empresas ya que identifican las fallas de seguridad sobre sus activos de
información.
Para el proceso de recolección de información se utilizaron los medios de recolección de
información como los check list, aplicado al técnico encargado de la gestión tecnológica, las
23
entrevistas y encuestas realizadas a los empleados con buen manejo de activos de información
de la cámara de comercio del piedemonte Araucano, en donde se identificaron procesos y
departamentos de trabajo con flujo continuo de información.
7.3. Situación actual de la empresa.
7.3.1. Delimitación del alcance.
Con la elaboración de esta primera fase se dará aporte de información útil a la Cámara
de Comercio, donde se pueda conocer de forma precisa cual será el ambiente más favorable, para
tener una mejor seguridad de la información, logrando seleccionar los mecanismos de protección
proporcionales a los riesgos establecidos y el valor de los elementos a proteger.
7.3.2. Antecedentes de la Empresa.
1989, un grupo de comerciantes de la Región del Sarare se dieron en la tarea de elevar
petición al Gobierno Nacional, solicitándole la creación de la Cámara de Comercio de Saravena,
la cual se autorizó por Decreto N°139 del 22 de Enero de 1993, del seno de las personas que
colaboraron en la gestión se afiliaron en dicha fecha y se nombró la primera junta directiva los
cuales aportaron e impulsaron la creación de la institución.
El Gobierno Nacional determino la jurisdicción de esta Cámara, teniendo en cuenta la
continuidad geográfica y los vínculos comerciales de los municipios de Saravena, Tame, Fortul
y Arauquita en el departamento de Arauca y el municipio de Cubará en el departamento de
Boyacá. Las Cámaras de Comercio con el objeto de facilitar la prestación y acceso a sus
servicios, podrán abrir oficinas seccionales y receptoras dentro de su circunscripción territorial.
La institución ha tenido un crecimiento relevante de los 15 primeros años de prestación
de servicios, los cambios obtenidos han sido gracias al esfuerzo de los comerciantes de la región,
24
donde sobresale la aplicación de tecnología en la modificación de software de registro mercantil
y contabilidad, adquisición de nuevos equipos de cómputo. El trabajo se viene realizando en red
a partir del 2 de enero de 2005 a nivel Nacional, el cual garantiza a los comerciantes una
información confiable y oportuna, como lo demuestran los resultados del servicio de Internet en
la solicitud y entrega inmediata del RUT en cumplimiento de la ley de reforma tributaria.
En apoyo al sector comercial y comunidad en general han desarrollado alianzas
estratégicas con las alcaldías municipales y empresas privadas para realizar actividades de tipo
social como han sido las diferentes campañas de aseo, buscando evitar enfermedades
infectocontagiosas y el embellecimiento de los municipios, realización del día de los niños
donando regalos a los más pobres y en épocas de navidad se ha coordinado la mejor vitrina y
arreglo de la mejor cuadra, otorgando premios a los ganadores, motivando a la población a
compartir una navidad en armonía y con mucho regocijo, también hemos organizado y
participado en los diferentes eventos deportivos motivando a la unión de nuestra gente.
Respecto a las funciones de apoyo y promoción del sector empresarial trabajan en
programas de formación y actualización empresarial, a través de capacitaciones del orden
tributario, comercial, ventas y servicio al cliente, relaciones humanas, teniendo como fin
consolidar el talento humano empresarial aportando al crecimiento de la región. De la misma
manera la organización y promoción de programas como es las semanas comerciales, y comercio
despierto otorgando premiación a los consumidores que apoyan la reactivación de la economía
de los municipios, ferias comerciales y ganaderas en Saravena, Tame, Arauquita, Cubara, Fortul
y la Esmeralda, apoyando en organización y premiación a los mejores ejemplares expuestos
(Anonimo, Camara de Comercio del Piedemonte Araucano, s.f)
25
7.3.3. Procesos.
En la empresa se reconocieron cuatro áreas fundamentales como son: presidencia
ejecutiva, desarrollo empresarial y proyectos, contabilidad y finanzas, registros públicos y
jurídicos, en donde se realizan los principales procesos necesarios para cumplir con las labores
diarias con la finalidad de alcanzar las metas establecidas.
Área de presidencia ejecutiva se realizan las siguientes actividades diarias y constantes:
Se presenta evaluación de cumplimiento de la metas de los programas y acciones
Contempladas en el plan de acción de cada año.
Ordenan los gastos y dirigen el manejo financiero de la Cámara de Comercio en
aplicación de las normas que regulan la materia.
Representación de la Cámara de Comercio como organismo vocero de la comunidad
empresarial.
Nombran y remueven libremente el personal al servicio de la Cámara de Comercio.
dirigen el funcionamiento de todas y cada una de las áreas de trabajo de la Cámara de
Comercio, en coordinación con los funcionarios respectivos.
Dirigen la organización de exposiciones, seminarios, conferencias, mesas redondas sobre
temas económicos, jurídicos o culturales que sean de interés para el comercio, la
industria, el empresario agropecuario o para la comunidad en general.
26
Editan o imprimen estudios, libros, informes o cualquier otro tipo de publicaciones que
promocionen la labor de la Cámara de Comercio o de la región u orienten a la comunidad
en función de nobles objetivos de progreso.
Redimen informes a la Junta Directiva, superintendencia de industria y comercio,
contraloría y todos los entes de control; periódicos, semestrales y anuales de sus labores y
de la entidad.
Elaboran con los funcionarios correspondientes el presupuesto anual de la Cámara de
Comercio y enviarlo con antelación al Revisor Fiscal para su estudio, evaluación y éste
pueda emitir sus recomendaciones.
Vigilan la conducta administrativa de la organización a su cuidado y el rendimiento o
eficiencia del personal al servicio de la Cámara de Comercio, imponer las sanciones
debidas e informar a la comisión de la mesa.
Delegan en otros funcionarios de la Institución y bajo su responsabilidad las funciones
que se le asignan, de conformidad con la reglamentación que para el efecto.
Presentan anualmente a los afiliados o inscritos un informe de labores.
Definen, aprueban, reforman y realizan las modificaciones necesarias al manual de
funciones de la entidad.
Área de desarrollo empresarial y proyectos, Promueve la gestión del desarrollo empresarial
de la región mediante servicios de asesoría, capacitación, información y gestión comercial.
El Área de contabilidad y finanzas realiza las siguientes actividades:
Se encarga de manejo de roles de pago de cada empleado.
Contratos de trabajo.
27
Afiliación al IESS de cada empleado.
Obtienen los recursos financieros que la empresa necesita para desarrollar su actividad
productiva.
El área de registros públicos y jurídicos realiza las siguientes actividades:
Tramite registros: Mercantil, de Entidades sin Ánimo de Lucro, Proponentes, de Personas
Naturales y Jurídicas que ejerzan la actividad de Vendedores de Juegos de Suerte y Azar,
de Veedurías Ciudadanas, Nacional de Turismo.
Tramite matrícula de los comerciantes, sociedades civiles establecimientos de comercio.
Tramite de registro y certificación de las organizaciones civiles, fundaciones,
asociaciones y todas las entidades de naturaleza Cooperativa, fondos de empleados y
asociaciones mutuales.
Tramite del registro Nacional de Turismo.
Tramite de registro único de proponentes (rup).
Tramite del registro de entidades extranjeras de derecho privado sin ánimo de lucro.
7.3.4. Servicios que Ofrece.
La cámara de comercio del piedemonte araucano tiene las siguientes funciones:
llevar el Registro Mercantil.
Tramite de Registro único de Proponentes del Estado, que sirve para garantizar la
moralidad, la transparencia y la selección objetiva de la contratación estatal.
Administran el Registro de Entidades Privadas Sin ánimo de Lucro.
28
informan en sus boletines y órganos de publicidad de las inscripciones hechas en el
Registro Mercantil y de toda modificación cancelación o alteración que se haga de dichas
inscripciones.
Recopilan las costumbres mercantiles de los lugares correspondientes a su jurisdicción y
certifican sobre la existencia de las recopiladas.
Designan el árbitro o árbitros conciliadores a los amigables componedores cuando los
particulares lo solicitan para la solución de sus conflictos.
Organizan conferencias, editan o imprimen estudios o informes relacionados con sus
objetivos y con intereses de la Región.
Adelantan actividades cívicas, investigaciones económicas sobre aspectos o ramos
específicos del Comercio Interior y Exterior, y formulan recomendaciones a los
organismos estatales y semioficiales encargados de la ejecución de los planos respectivos.
Colaboran como órganos de los intereses generales del empresariado; como promotoras
de la probidad, la moralidad, la buena fe; como promotoras de convivencia, y en general
como promotoras del desarrollo mediante el apoyo de programas nacionales, regionales y
locales, entre ellos los de reactivación de los distintos sectores económicos. (Araucano C.
d., Camara de Comercio del Piedemonte Araucano, s.f.)
7.4.5. Tabla organizacional.
PRESIDENCIA EJECUTIVA
CARGO NOMBRE DEL FUNCIONARIO
PRESIDENTE EJECUTIVO DANIEL ANTONIO CORONEL MEJIA
29
DIRECTORA ADMINISTRATIVA INGRID PAOLA BAUTISTA
CABALLERO
ASISTENTE DE PRESIDENCIA GLORIA CAMARGO DIAZ
TECNICO DE SISTEMAS ANDERSON ESTEBAN VANEGAS
Apoyo Logístico y conductor LEONARDO JAVIER NUÑEZ
BORRERO
AUXILIAR SERVICIOS GENERALES ESNEY VERA CONTRERAS
DESARROLLO EMPRESARIAL Y PROYECTOS
CARGO NOMBRE DEL FUNCIONARIO
DIRECTORA DE DESARROLLO
EMPRESARIAL MARICELY BARON CONTRERAS
COORDINADOR DE ESTADISTICA Y
COMUNICACION ALEXIA ARIAS PARADA
CORDINADOR EN GESTION DE PROYECTOS MARIETTA ARIZA GARCIA
EVENTOS AIDE CARRILLO OCAMPO
CONTABILIDAD Y FINANZAS
CARGO NOMBRE DEL FUNCIONARIO
DIRECTORA FINANCIERA DERLY SHIRLEY SARMIENTO MADERO
AUXILIAR CONTABLE PAOLA ANDREA TRIGOS BAYONA
REGISTROS PÚBLICOS Y JURIDICA
30
Tabla 2 tabla organizacional cámara de comercio del piedemonte araucano fuente:
http://www.camarapiedemonte.com/funcionarios-.html
7.4.6: Activos.
En la tabla 3 están reflejados los activos encontrados, mediantes los medios de
recolección de información, nombrados anteriormente.
Aplicaciones
Software
Ofimática
Antivirus
Sistema operativo
Docuadmin
CARGO NOMBRE DEL FUNCIONARIO
DIRECTORA JURIDICA MARIA ELIZABETH RODRIGUEZ
MAHECHA
COORDINADORA DE REGISTROS
PUBLICOS RUBY PASTORA SANTAFE RANGEL
TECNICO DE REGISTROS PUBLICOS MARYURY BRIYITT DUARTE
JARAMILLO
TECNICO DE REGISTROS PUBLICOS MARIA TERESA FAJARDO GAMBOA
TECNICO DE REGISTROS PUBLICOS JESSIKA JESSENIA MUJICA CASTILLO
TECNICO DE ARCHIVO ANGIE LORET DAZA ALFONSO
31
Equipos
Hardware
Servidor base de datos
Servidor de copias de seguridad
Servidor de registros públicos
Servidor de contabilidad
Medios de impresión
Router
Switch
Modem adcl
Firewall de hardware
Computadoras de escritorio
Redes
de
Comunicaciones
Red WIFI
Red LAN
Internet
Equipos Auxiliares
Sistema de cámaras
Cableado
Mobiliario
Generador Eléctrico
Otros auxiliares
Tabla 3 Activo fuente: los autores
7.4. Análisis situación actual
Inseguridad en los
sistemas de información
Perdida de información
Inseguridad en recursos
informáticos
32
Ilustración 6: diagrama Situación actual fuente: los autores
7.4.1 Visitas a la entidad.
7.4.2. Resultados check list.
Para esta fase de Análisis de riesgos de los activos de información, tomamos los
controles que se relacionan con esta, teniendo en cuenta que se aplicó un solo check list para las
dos fases (fase análisis de riesgos de la información, fase análisis de la infraestructura
tecnológica de red) obteniendo que:
Por lo anterior y en base a los siguientes controles:
1.0. seguridad física.
1.3. relacionados al hardware.
1.4. relacionados con los dispositivos de almacenamiento.
2.0. seguridad lógica.
4.0. seguridad en red wifi.
Vulnerabilidad de los activos de informaron e infraestructura
de red
Falta de estándares
en la infraestructura
de red
No hay medidas de
seguridad
33
4.2. relacionados con las políticas.
4.3. relacionados con los accesos/usuarios.
Se determina que la Cámara de Comercio del Piedemonte Araucano, en base a cada uno
de los controles encuestados, carece de políticas de seguridad que ayude a minimizar los
riesgos existentes y futuros.
7.4.3. Entrevista.
Para esta actividad se realizaron 2 entrevistas en diferentes puestos de trabajo, que fueron
las siguientes.
Asistente de presidencia.
Después de la recopilación de la información se concluye, que no conoce controles de
seguridad de acceso, y que por el tipo de área encargada maneja gran flujo de información
confidencial que guarda en su equipo de trabajo sin restricción u contraseña alguna, manifiesta
que usualmente realiza descargas directas y que además viene presentando problemas en su
equipo de trabajo en relación a los puertos usb, ya que entra en estado de bloqueo cada vez que
las manipula estos dispositivos en el equipo.
Archivo.
En esta sección que se identificó como el punto principal del flujo de la información,
donde se encontraron innumerables vulnerabilidades que podrían afectar la información
importante de la empresa que son:
34
No cuenta con un área de trabajo segura ya que cualquier persona tiene acceso a la
información, actualmente la entidad cuenta con tres cuartos de archivo ubicados en
puntos distintos de la entidad, haciendo más difícil el control de acceso a ellos.
Los archivos manejados durante el día laboral permanecen expuestos ya que no cuenta
con oficina a puerta cerrada, y su equipo de trabajo presenta bloqueo constantemente y
no ha sido reparado.
En los cuartos de archivo todos tienen han tenido accidentes ambientales, que han
provocado en ocasiones la pérdida de información ya archivada, no cuentan con un
sistema cerrado de cámaras que controle el acceso del personal , ni detector de incendios
para cualquier emergencia.
Por ultimo hace saber que cada una de las problemáticas ya nombradas, las ha puesto en
conocimiento de los directivos pero hasta el momento no hay respuesta alguna.
35
Ilustración 7: sección de Archivo del almacenamiento de la
información fuente: los autores
7.3.4. Encuestas.
Actualmente la Cámara de Comercio del Piedemonte Araucano, cuenta con 25 empleados
en su totalidad, de los cuales 13 son empleados del área de servicios generales, auxiliares de
archivo, conductor y apoyo logístico los cuales no cuentan con estaciones de trabajo fijas, y los
12 restantes si, siendo ellos quienes manejan el flujo continuo de la información.
36
La encuesta fue aplicada a 5 empleados correspondientes a las siguientes áreas: dirección
administrativa, asistente de presidencia, comunicaciones y estadística, archivo y registros
públicos, y dirección financiera, obteniendo los siguientes resultados.
Pregunta 1.
¿Su computador recibe mantenimiento de forma periódica?
Ilustración 8: pregunta 1 encuesta fuente: los autores.
si0%
no100%
pregunta 1
si no
SI
NO
37
Interpretación
De 5 empleados encuestados todos mencionaron que sus equipos reciben mantenimiento
técnico solamente cuando se presentan fallos, y son entregados al técnico de sistemas Anderson
esteban Vanegas.
Pregunta 2
¿En caso de daños, que tiempo demora en recibir asistencia técnica su computador?
1 hora 2 horas 1 día otros ________
Ilustración 9: pregunta 2 encuesta fuente: los autores
Interpretación
1 hora20%
otros80%
Pregunta 2
1 hora
2 horas
1 dia
otros
38
El 80% de los empleados manifestaron que en el momento de fallas, llaman al encargado
del área de sistemas, quien demora un tiempo considerado en el arreglo del mismo, causando
retraso de actividades y procesos.
Pregunta 3.
¿Apaga su computador a la hora del almuerzo?
SI
NO
39
Ilustración 10 Pregunta 3 encuesta. Fuente: los autores.
Interpretación.
Todos los empleados apagan sus equipos a la hora del almuerzo.
Pregunta 4
¿Guarda la actividad realizada, a la hora de salir almorzar?
100%
Pregunta 3
si
no
SI
NO
40
Ilustración 11: Pregunta 4 encuesta Fuente: los autores.
Interpretación
Todos los empleados guardan, cierran, y apagan los procesos realizados a la hora del
almuerzo, para después continuar sin novedades.
Pregunta 5
¿Se tiene un periodo estipulado para el cambio de equipos de cómputo?
100%
Pregunta 4
si
no
SI
NO
41
Ilustración 12: Pregunta 5 encuesta Fuente: los autores.
Interpretación
No se tiene un tiempo estipulado para en cambio de equipos, se hacen cada que se
requieren.
Pregunta 6
¿Tiene acceso a internet?
20%
80%
Pregunta 5
si
no
SI
NO
42
Ilustración 13: Pregunta 6 encuesta Fuente: los autores.
Interpretación
Toda la empresa tiene acceso a internet ya que la mayoría de sus procesos se realizan en
línea.
Pregunta 7
¿Tiene restricciones de navegación?
100%
0%
Pregunta 6
si
no
SI
NO
43
Ilustración 14: Pregunta 7 encuesta Fuente: los autores.
Interpretación
De los encuestados, el área de archivo y registro público se encuentra con restricciones,
los restantes tienen libre navegación de internet.
Pregunta 8
¿Cuenta con antivirus su equipo?
20%
80%
Pregunta 7
si
no
SI
NO
44
Ilustración 15: Pregunta 8 encuesta fuente: los autores
Interpretación.
No todos los equipos de los encuestados cuentan con antivirus.
Pregunta 9
¿Se han presentado fallas en las bases de datos?
60%
40%
Pregunta 8
si
no
45
Ilustración 16: Pregunta 9 encuesta Fuente: los autores.
Interpretación
La mayoría de encuestados han presentado fallas con la base de datos, ya que todas la copias de
seguridad no son extraídas del servidor.
Pregunta 10
Se ha visto afectada la entidad, por amenazas como:
Fuego
80%
20%
Pregunta 9
si
no
SI NO
46
Daños por agua
Tormentas
Terremotos
Calor extremo
Ilustración 17: Pregunta 10 encuesta Fuente: los autores.
Interpretación
Los empleados manifiestan que en una ocasión se presentó riesgo de inundación,
donde hubo pérdida de archivos y registros importantes.
Pregunta 11
¿Existen controles que detecten las fallas en la seguridad de la información?
60%
40%
Pregunta 10
fuego
daños por agua
Tormentas
Terremotos
Calor extremo
no
47
Ilustración 18: Pregunta 11 encuesta Fuente: los autores.
Interpretación.
No se cuenta con ningún tipo de control de fallas para los sistemas de información.
8. FASE 1: Análisis de riesgos de los activos de información basado en la metodología de
gestión de riesgos MAGERIT
En esta fase se reflejara el desarrollo de los siguientes objetivos planteados en el
proyecto:
100%
Pregunta 11
si
no
SI
NO
48
Identificar las vulnerabilidades y el impacto que pueden causar las amenazas a los activos de
información.
Determinar los controles apropiados que permitan mitigar las vulnerabilidades detectas
8.1 Análisis de riesgo.
Con el cambio continuo de los sistemas tecnológicos las entidades se encuentran
diariamente Expuestas a riesgos; debido a la falta de entornos 100% seguros, estas se están
viendo obligadas a implementar estrategias que permitan identificar cambios bajo situaciones no
usuales, que se consideran puedan afectar parcial o temporalmente un activo.
En esta etapa se constituirá el núcleo central de la metodología MAGERIT, y la correcta
implementación, con base a lo anterior se determinaron los siguientes grupos de activos.
8.1.2 Caracterización de los activos.
Consta de 3 sub-tareas.
Identificación de activos.
Dependencias de activos.
Valoración de los activos.
“su objetivo principal es reconocer cada uno de los activos que conforman los sistemas;
definiendo las dependencias de cada uno y determinando el valor del sistema y los soportes de
los activos”
8.1.3. Identificación de los activos.
Clasificación de los activos según la jerarquía Magerit.
49
[CCPA] Cámara de Comercio del Piedemonte Araucano.
TIPO NOMBRE DEL ACTIVO
SERVICIOS INTERNOS
[SEI]
1. [SIREP_CCPA] Base datos sirep
APLICACIONES
(SOFWARE)
[AS]
2. [OFF_CCPA] Ofimática
3. [DOCUADMI_ CCPA]Sistema de digitalización de archivo
4. [KPY_ CCPA] karpersky antivirus.
5. [OS_CCPA] sistemas operativos, win 8, win xp.
EQUIPOS
[EQ]
6. [SDB__CCPA] servidor de bases de datos
7. [SDB_CS_CCPA] Servidor de copias de seguridad.
8. [SDB_RP_CCPA] Servidor de registros públicos.
9. [SDB_C_CCPA] Servidor de contabilidad.
10. [MI__CCPA] Medios de impresión.
11. [CE__CCPA]Computadoras de escritorio.
12. [ROUTER__CCPA]Router.
13. [SWITCH_CCPA] Switch.
14. [MD_ADSL_CCPA] Modem adsl
15. [FW_HW_CCPA] Firewall de hardware.
REDES DE
COMUNICACIONES
[RECO]
16. [INTERNET_CCPA]Internet
17. [LAN_CCPA] Red lan.
18. [WIFI_CCPA] Red wifi.
EQUIPOS
AUXILIARES[EAUX]
19. [SICA_CCPA]Sistema de cámaras.
20. [GENE_CCPA]Generador eléctrico.
21. [MOB_CCPA]Mobiliario.
22. [CAB_CCPA]Cableado.
23. [OAUX_CCPA]Otros auxiliares.
SOPORTES DE
INFORMACIÓN [SI]
24. [DISCO_CCPA]Disco duro.
25. [USB_CCPA]Usb.
INSTALACIONES
[INST]
26. [EDF_CCPA]Edificio, ubicado en la calle 30 No 16ª-25 Av.
Incora Saravena –Arauca
PERSONAL
INVOLUCRADO EN EL
ANÁLISIS.
[PIA]
27. [PE_CCPA] Presidente ejecutivo.
28. [DA_CCPA]Directora administrativa
29. [AP_CCPA]Asistente de presidencia.
30. [TDS_CCPA]Técnico de sistemas.
31. [AL_CCPA]Apoyo logístico.
32. [CEC_CCPA]Coordinador de estadística y comunicación.
50
33. [DF_CCPA]Directora financiera.
34. [AC_CCPA]Auxiliar contable.
35. [DJURIDICA_CCPA]Directora jurídica.
36. [TARCH_CCPA]Técnico de archivo.
Tabla 4: identificación de activos fuente: los autores
8.1.4. Dependencia entre los activos.
Objetivo: identificar las dependencias entre los activos y ver la medida en que un activo
superior se encuentre bajo riesgo bajo una amenaza materializada sobre otro de orden inferior.
Ilustración 19: dependencia de activos fuente: los autores.
51
Leyenda
Azul claro Activos superiores relacionados indirectamente
Azul fuerte Activos superiores relacionados directamente.
Amarillo El activo seleccionado.
Rojo fuerte Activos inferiores relacionados directamente.
rojo claro Activos inferiores relacionados indirectamente.
Tabla 5: leyenda dependencia de activos fuente: los autores
Realizadas las dependencias de los activos con ayuda de la encuesta, entrevista, y check list
aplicadas a un grupo de empleados, donde se categorizaron los activos (Ilustración 20).
Se identifica el sistema Sirep como el proceso más importante en las actividades diarias de la
entidad, es por eso su ubicación en la parte superior.
Las aplicaciones instaladas en los equipos de cómputo son importantes para la calidad de
las tareas desarrolladas en las jornadas laborales, por otra parte los servidores fueron ubicados de
forma superior que los equipos de cómputo, ya que almacenan la información, quedando por
debajo.
52
Dentro de los activos inferiores se encuentran los Router, switch, modem, usb y discos, y los
activos de menor jerarquía como las redes lan, wifi y el internet, se encuentran dentro del
mismo edificio de colores.
8.1.5. Valoración de los activos.
Para valorar los activos se tomaron las siguientes dimensiones de seguridad.
Dimensiones
[D] disponibilidad.
[C] confidencialidad.
[I]Integridad.
[A]Autenticidad de los usuarios y de la información.
[T]Trazabilidad de los servicios y datos.
ACTIVOS [D] [I] [C] [A] [T]
SERVICIOS INTERNOS [SEI]
Sirep base de datos [10] [6] [8]
APLICACIONES SOFTWARE [AS]
Ofimática [7]
Antivirus [7]
Sistema operativo [7]
53
Docuadmin [7] [7]
EQUIPOS
Servidor base de datos [9] [9] [9] [9] [9]
Servidor copias de seguridad [9] [9] [9] [9] [9]
Servidor de registros
públicos.
[9] [9] [9] [9] [9]
Servidor contable [9] [9] [9] [9] [9]
Medios de impresión [6]
Computadoras de escritorio [9] [9] [9] [9] [9]
Router [8]
Switch [8]
Modem ADSL [8]
Firewall de hardware [7]
COMUNICACIONES
Red LAN [7]
Red WIFI [7]
Internet [7] [7]
54
EQUIPOS AUXILIARES
Sistema de cámaras [7]
Generador eléctrico [7]
Cableado [7]
Mobiliario [7]
Otros equipos auxiliares [5]
INSTALACIONES
Entidad
SOPORTES DE INFORMACION
Disco duro [8] [8]
USB [7] [7]
PERSONAL
Presidente ejecutivo [8]
Directora administrativa [8]
Asistente [7]
Técnico de sistemas [8]
55
Coordinados de estadística y
comunicaciones
[6]
Directora financiera [8]
Auxiliar contable [8]
Directora de jurídica [8]
Técnico en sistemas [7]
Tabla 6: dimensiones de los activos fuente: los autores
Criterios de valoración
Nivel Valor Criterio
10 Extremo Daño extremadamente grave
9 Muy alto Daño muy grave
8 Alto Daño grave
7 Alto Daño grave
6 Alto Daño grave
5 Medio Daño importante
4 Medio Daño importante
3 Medio Daño importante
56
2 Bajo Daño menor
1 Bajo Daño menor
0 despreciable Irrelevante a efectos practicas
Tabla 7: criterios de valoración fuente: los autores
8.1.5. Caracterización de amenazas.
Las la metodología Magerit, las amenazas están clasificadas en cuatro grupos.
[N]Desastres naturales
[I]De origen industrial
[E] Errores y fallos no identificados
[A]Ataques intencionados
Tienen como objetivo caracterizar los entornos a los que se puede enfrentar el sistema, esta
actividad consta de dos sub-capas:
Identificación de las amenazas
Valoración de las amenazas
8.1.6. Identificación de activos
Esta tarea identifica las amenazas relevantes sobre cada amenaza.
ACTIVOS AMENAZAS
Sirep [E]Vulnerabilidades de los programas
[E] Errores de mantenimiento/ actualización
[E] Errores de usuarios
57
Ofimática
[E] errores de los usuarios
[E] vulnerabilidades de los programas
[E] Errores de mantenimiento/ actualización de
programas.
[A] difusión de software dañino
Antivirus
[E] Difusión de software dañino
[E]Vulnerabilidades de los programas
[E] Errores de mantenimiento/ actualización
Sistema operativo [E] Difusión de software dañino
[E]Vulnerabilidades de los programas
[E] Errores de mantenimiento/ actualización
Docuadmin
[E]Vulnerabilidades de los programas
[E] Errores de mantenimiento/ actualización
[E] Suplantación de identidad
Servidor base datos [N]Desastres naturales
[I]Avería de origen lógico o físico
[A] Acceso no autorizado
[A]Manipulación del hardware
[E]Errores del administrador del sistema
Servidor de copias de seguridad
[N]Desastres naturales
[I]Avería de origen lógico o físico
[A] Acceso no autorizado
[A]Manipulación del hardware
[E]Errores del administrador del sistema
Servidor de registros públicos
[N]Desastres naturales
[I]Avería de origen lógico o físico
[A] Acceso no autorizado
[A]Manipulación del hardware
[E]Errores del administrador del sistema
Servidor de contabilidad
[N]Desastres naturales
[I]Avería de origen lógico o físico
[A] Acceso no autorizado
[A]Manipulación del hardware
[E]Errores del administrador del sistema
Medios de impresión
[I] Avería de origen físico o lógico
[I]condiciones inadecuadas de temperatura o
humedad.
[E] Errores de mantenimiento/ actualización
[N] Daño por agua.
58
Computador de escritorio
[N] Desastres naturales.
[I] Desastres industriales.
[I] Avería de origen físico o lógico.
[I]Condiciones inadecuadas de temperatura o
humedad.
[E] Errores de mantenimiento/ actualización.
[E] Caída del sistema por agotamiento de recursos.
[A] Abuso de privilegios de acceso.
Router
[N] Fuego
[N] Daño por agua
[N] Desastres naturales
[I] Contaminación medioambiental
[I] Avería de origen físico o lógico.
[I]Condiciones inadecuadas de temperatura o
humedad.
Switch
[N] Fuego
[N] Daño por agua
[N] Desastres naturales
[I] Contaminación medioambiental
[I] Avería de origen físico o lógico.
[I]Condiciones inadecuadas de temperatura o
humedad.
Modem adcl
[N] Fuego
[N] Daño por agua
[N] Desastres naturales
[I] Contaminación medioambiental
[I] Avería de origen físico o lógico.
[I]Condiciones inadecuadas de temperatura o
humedad.
Red LAN
[I] Fallo de servicios de comunicaciones.
[E] Errores de encaminamiento.
[E] Errores de secuencia.
[A] Suplantación de la identidad del usuario.
[A] Alteración de secuencia.
[N] Fuego
[N] Daño por agua
[N] Desastres naturales
[I] Contaminación medioambiental
[I] Avería de origen físico o lógico.
[I]Condiciones inadecuadas de temperatura o
59
Firewall de hardware humedad.
[N]Desastres naturales
[I]Avería de origen lógico o físico
[A] Acceso no autorizado
[A]Manipulación del hardware
[E]Errores del administrador del sistema
Red WIFI [I] Fallo de servicios de comunicaciones
[E] Errores de encaminamiento
Internet (comunicación) [I] Fallo de servicios de comunicaciones.
[E] Alteración de la información.
Disco duro [E] Alteración de la información.
[E] Fugas de información.
[A] Revelación de la información
USB
[E] Alteración de la información.
[E] Fugas de información.
[A] Revelación de la información.
[A] Modificación de la información.
Generador eléctrico
[I] Contaminación medioambiental
[N] Fuego
[N] Daño por agua
Cableado
[I] Contaminación medioambiental
[A] Condiciones inadecuadas de temperatura o
humedad.
Mobiliario [I] Contaminación medioambiental.
Otros equipos auxiliares [I] Contaminación medioambiental
Oficina
[N] Fuego
[N] Daño por agua
[N] tormentas
[I] Desastres naturales
Presidente ejecutivo [E]Enfermedad
[A] Extorsión
[A] Ingeniería social
Demás empleados [E]Enfermedad
[A] Extorsión
[A] Ingeniería social
Tabla 8: Caracterización de las amenazas fuente: los autores
60
9. Valoración de las amenazas.
Se plantean los siguientes objetivos para esta actividad:
Evaluar la ocurrencia de cada amenaza sobre los activos.
Evaluar el daño que causa cada amenaza en las dimensiones de los activos.
Para la valoración de las amenazas de los activos se tomó en cuenta la degradación de valor y
la probabilidad de ocurrencia.
Degradación del valor
MA MUY ALTA
A ALTA
M MEDIA
B BAJA
MB MUY BAJA
0
Tabla 9: Degradación del valor fuente: los autores.
Probabilidad de ocurrencia
Tabla 10: Probabilidad de ocurrencia fuente: los autores.
CS CASI SEGURA
MA MUY ALTA
P POSIBLE
PP POCO PROBABLE
MB SIGLOS
MR MUY RARA
0
61
ACTIVOS AMENAZAS P [P] [I] [C] [A] [T]
Sirep [E]Vulnerabilidades de los
programas
P B B M - -
[E] Errores de mantenimiento/
actualización
P M B - - -
[E] Errores de usuarios P B B M - -
Ofimática
[E] errores de los usuarios P M M M - -
[E] vulnerabilidades de los
programas
P M M M - -
[E] Errores de mantenimiento/
actualización de programas.
P M B - - -
[A] difusión de software dañino PP B B B - -
Antivirus
[E] Difusión de software dañino PP B B B - -
[E]Vulnerabilidades de los
programas
P M M M - -
[E] Errores de mantenimiento/
actualización
P M B - - -
Sistema operativo
[E] Difusión de software dañino
[E]Vulnerabilidades de los
PP M M M - -
Programas
[E] Errores de mantenimiento/
actualización
P B M M - -
Docuadmin
[E]Vulnerabilidades de los
programas
P B M M - -
[E] Errores de mantenimiento/
actualización
P B B M - -
[E] Suplantación de identidad P A A A - -
Servidor base datos
[N]Desastres naturales P A - - - -
[I]Avería de origen lógico o físico P A - - - -
[A] Acceso no autorizado MA - A A - -
[A]Manipulación del hardware MA A - A - -
[E]Errores del administrador del P M - - - -
62
sistema
Servidor de copias
de seguridad
[N]Desastres naturales P A - - - -
[I]Avería de origen lógico o físico P A - - - -
[A] Acceso no autorizado MA - A A - -
[A]Manipulación del hardware MA A - A - -
[E]Errores del administrador del
sistema
P M - - - -
Servidor de registros
públicos
[N]Desastres naturales P A - - - -
[I]Avería de origen lógico o físico P A - - - -
[A] Acceso no autorizado MA - A A - -
[A]Manipulación del hardware MA A - A - -
[E]Errores del administrador del
sistema
P M - - - -
Servidor de
contabilidad
[N]Desastres naturales P A - - - -
[I]Avería de origen lógico o físico P A - - - -
[A] Acceso no autorizado MA - A A - -
[A]Manipulación del hardware MA A - A - -
[E]Errores del administrador del
sistema
P M - - - -
Medios de
impresión
[I] Avería de origen físico o lógico P M - - - -
[I]condiciones inadecuadas de
temperatura o humedad.
P M - - - -
[E] Errores de mantenimiento/
actualización
P M - - - -
Computador de
escritorio
[N] Daño por agua. P M - - - -
[N] Desastres naturales. PP M - - - -
[I] Desastres industriales. P B - - - -
[I] Avería de origen físico o lógico. P M - - - -
[I]Condiciones inadecuadas de
temperatura o humedad.
PP B - - - -
[E] Errores de mantenimiento/
actualización.
P M - - - -
[E] Caída del sistema por
agotamiento de recursos.
P M - - - -
[A] Abuso de privilegios de
acceso.
PP M M M - -
[N] Fuego P M - - - -
63
Router
[N] Daño por agua P M - - - -
[N] Desastres naturales P M - - - -
[I] Contaminación medioambiental P M - - - -
[I] Avería de origen físico o lógico. P M - - - -
[I]Condiciones inadecuadas de
temperatura o humedad.
P M - - - -
Switch
[N] Fuego P M - - - -
[N] Daño por agua P M - - - -
[N] Desastres naturales P M - - - -
[I] Contaminación medioambiental P M - - - -
[I] Avería de origen físico o lógico. P M - - - -
[I]Condiciones inadecuadas de
temperatura o humedad.
P M - - - -
Modem adcl
[N] Fuego P M - - - -
[N] Daño por agua P M - - - -
[N] Desastres naturales P M - - - -
[I] Contaminación medioambiental P M - - - -
[I] Avería de origen físico o lógico. P M - - - -
[I]Condiciones inadecuadas de
temperatura o humedad.
P M - - - -
Red LAN
[I] Fallo de servicios de
comunicaciones.
PP B - - - -
[E] Errores de encaminamiento. P - M - - -
[E] Errores de secuencia. P - - M - -
[A] Suplantación de la identidad
del usuario.
P - M M M -
[A] Alteración de secuencia. P - M - - -
Firewall de
hardware
[N] Fuego P M - - - -
[N] Daño por agua PP M - - - -
[N] Desastres naturales PP M - - - -
[I] Contaminación medioambiental P M - - - -
[I] Avería de origen físico o lógico. P M - - - -
[I]Condiciones inadecuadas de
temperatura o humedad.
P M - - - -
[N]Desastres naturales P A - - - -
[I]Avería de origen lógico o físico P M - - -
[A] Acceso no autorizado PP - M M - -
64
[A]Manipulación del hardware MA A A - -
[E]Errores del administrador del
sistema
P M M M -
Red WIFI [I] Fallo de servicios de
comunicaciones
PP M - - - -
[E] Errores de encaminamiento P - - M - -
Internet
(comunicación)
[I] Fallo de servicios de
comunicaciones.
P A - - - -
[E] Alteración de la información. P - M - - -
Disco duro [E] Alteración de la información. P - B - - -
[E] Fugas de información. PP
[A] Revelación de la información P - - B - -
USB
[E] Alteración de la información. PP - - B - -
[E] Fugas de información. PP - - B - -
[A] Revelación de la información. P - - B - -
[A] Modificación de la
información.
PP - B - - -
Generador eléctrico
[I] Contaminación medioambiental PP A - - - -
[N] Fuego PP M - - - -
[N] Daño por agua PP M - - -
-
Cableado
[I] Contaminación medioambiental P M - - - -
[A] Condiciones inadecuadas de
temperatura o humedad.
P M - - - -
Mobiliario [I] Contaminación
medioambiental.
PP M - - - -
Otros equipos
auxiliares
[I] Contaminación medioambiental P M - - - -
Oficina
[N] Fuego P A - - - -
[N] Daño por agua P A - - - -
[N] tormentas P M - - - -
[I] Desastres naturales P A - - - -
Presidente ejecutivo [E]Enfermedad P M M M M M
[A] Extorsión PP B - - - -
[A] Ingeniería social P M M M - -
Demás empleados [E]Enfermedad P M M M - -
[A] Extorsión PP M M M - -
[A] Ingeniería social MA M M M - -
65
Tabla 11: Valoración de las amenazas fuente: los autores
9.1. Caracterización e identificación de salvaguardas
Las salvaguardas son procedimientos o mecanismos tecnológicos que reducen el riesgo.
Ya que para la entidad deben de ser efectivas, con la validez que tiene para mitigar los riesgos,
constando de dos sub-tareas.
Identificación de salvaguardas pendientes.
Valoración de las salvaguardas.
9.1.2. Identificaciones de salvaguardas.
Tienen como objetivo la identificación de las salvaguardas idóneas para proteger el
sistema, en este caso se han escogido los siguientes:
Protecciones generales:
Autorización previa: perteneciente al grupo de restricción de acceso a la información,
basados en que la área de archivo de la Cámara de Comercio del Piedemonte Araucano, no
cuenta con controles de acceso permitiendo la entrada y salida de personal no autorizado,
dejando expuestos a amenazas a estos activos de información, se hace la selección de este
control ya que protege las dimensiones de la seguridad, como lo son la integridad,
confidencialidad y autenticidad de los activos.
66
Amenazas: alteración de la información, fugas de información, modificación de la
información, revelación y manipulación de la información, acceso no autorizado.
Herramientas contra código dañino: la Cámara de Comercio del Piedemonte Araucano
posee actualmente una aplicación contra código dañino, que frecuentemente no está actualizada,
haciendo fácil la propagación de virus y troyanos, teniendo en cuenta lo mencionado
anteriormente, se escogen las siguientes salvaguardas:
o Actualización regular de la aplicación.
o Actualización regular de la base de datos de virus.
o Revisión de servicios y programas de arranque del sistema.
Protección de aplicaciones informáticas.
Salvaguardas:
o Control de instalación de software actualizado y productos con licencia.
o Disposición de procedimientos para la realización de copias de seguridad.
o Se llevara control de las versiones de actualización de software.
Protección de equipos informáticos.
Salvaguardas.
o Disposición de normas para el uso correcto delos equipos.
o Perfiles de seguridad que minimizaran las amenazas de errores administrativos del
sistema.
o Delimitación del uso no previsto de equipos y acceso no autorizado.
o Monitorización continúa del flujo de los datos.
67
o Control de descargas en línea.
Protección física de los equipos.
La Cámara de Comercio del Piedemonte Araucano, actualmente no cuenta con
mecanismos para proteger la información sobre los activos de los servidores de datos, ya que
el cuarto de comunicaciones donde se encuentran los 4 servidores no cuenta con los
parámetros reglamentarios en los accesos y la seguridad de los equipos.
Salvaguardas.
o Implementación de políticas de seguridad que garanticen la integridad,
disponibilidad y confidencialidad de los procesos y equipos de cómputo dentro
del cuarto de comunicaciones.
Protección de instalaciones.
Para el cumplimiento de este control se hace necesario la adecuación y reparación de algunos
espacios dentro de la entidad, para ello se seleccionaron las siguientes salvaguardas.
Salvaguardas.
o Adecuación, y reestructuración de un espacio único para el área de archivo.
o Implementar vigilancia en las instalaciones.
Gestión del personal.
68
Salvaguardas
o Implementación de procedimientos relevantes en cuanto a desastres naturales.
o Procedimiento de seguridad relevantes, con base a incidencias, emergencias.
9.1.3 Valoración de salvaguardas
Eficacia Nivel Madurez estado
0% L0 Inexistente Inexistente
10% L1 Inicial/ad hoc Iniciado
50% L2 Reproducible Parcialmente realizado
90% L3 Proceso infinito En funcionamiento
95% L4 Gestionado y medible Monitorizado
100% L5 Optimizado Mejora continua
Tabla 12: Niveles de madurez fuente: tomado herramienta PILAR de Magerit 5.2.9.
69
SALVAGUARDA
NIVEL
RECOMENDACIONES
Protecciones generales L1 L4
Protección de las aplicaciones
informáticas
L1 L4
Protección de los equipos informáticos L1 L3
Protección de las instalaciones L1 L4
Gestión del personal. L1 L3
Tabla 13: Valoración salvaguardas fuente: los autores
9.1.4. Estimación del impacto.
[10]: Critico
[9]: Muy alto
[8]: Muy alto
[7]: Muy alto
[6]: Alto
[5]: Alto
[4]: Medio
[3]: Bajo
[2]: Bajo
[1]: Despreciable
[0]: Despreciable
70
ACTIVOS [D] [I] [C] [A] [T]
SERVICIOS INTERNOS [SEI]
Sirep base de datos [8] [8]
APLICACIONES SOFTWARE [AS]
Ofimática [6] [6]
Antivirus [6] [6]
Sistema operativo [7] [7]
Docuadmin [6] [6]
EQUIPOS
Servidor base de datos [8] [8]
Servidor copias de seguridad [8] [8]
Servidor de registros
públicos.
[8] [8]
Servidor contable [8] [8]
Medios de impresión [6] [6]
Computadoras de escritorio [6] [6]
71
Router [3] [3]
Switch [3] [3]
Modem adcl [3] [3]
Firewall de hardware [8] [8]
COMUNICACIONES
Red LAN [7]
Red WIFI [6] [8] [6]
Internet [6]
EQUIPOS AUXILIARES
Sistema de cámaras [4]
Generador eléctrico [4]
Cableado [6]
Mobiliario [4]
Otros equipos auxiliares [2]
INSTALACIONES
Entidad [8]
72
SOPORTES DE INFORMACION
Disco duro [6] [6]
USB [8] [8]
PERSONAL
Presidente ejecutivo [8]
Directora administrativa [8]
Asistente [7]
Técnico de sistemas [8]
Coordinados de estadística y
comunicaciones
[6]
Directora financiera [8]
Auxiliar contable [8]
Directora de jurídica [8]
Técnico en sistemas [7]
Tabla 14: Estimación del impacto fuente: los autores
73
9.2. Estimación del riesgo.
Detección del riesgo potencial.
{9}: Nivel 9
{8}: Nivel 9
{7}: Extremadamente crítico
{6}: Muy crítico
{5}: Critico
{4}: Muy alto
{3}: Alto
{2}: Medio
{1}: Bajo
{0}: Bajo
ACTIVOS [D] [I] [C] [A] [T]
SERVICIOS INTERNOS [SEI]
Sirep base de datos {6} {6}
APLICACIONES SOFTWARE [AS]
Ofimática {5} {5}
Antivirus {5} {5}
Sistema operativo {5} {5}
Docuadmin {5} {5}
EQUIPOS
74
Servidor base de datos {6} {6}
Servidor copias de seguridad {6} {6}
Servidor de registros
públicos.
{6} {6}
Servidor contable {6} {6}
Medios de impresión {3} {3}
Computadoras de escritorio {6} {6} {6} {5}
Router {2} {2}
Switch {2} {2}
Modem adcl {2} {2}
Firewall de hardware {5} {5}
COMUNICACIONES
Red LAN {4} {5} {3}
Red WIFI {3}
Internet {4}
EQUIPOS AUXILIARES
Sistema de cámaras {3}
75
Generador eléctrico {2}
Cableado {4}
Mobiliario {1}
Otros equipos auxiliares {1}
INSTALACIONES
Entidad {5}
SOPORTES DE INFORMACION
Disco duro {5} {5}
USB {5} {5}
PERSONAL
Presidente ejecutivo {2}
Directora administrativa {2}
Asistente {2}
Técnico de sistemas {2}
Coordinados de estadística y
comunicaciones
{2}
Directora financiera {2}
76
Auxiliar contable {2}
Directora de jurídica {2}
Técnico en sistemas {2}
Tabla 15: Estimación del riesgo fuente: los autores
77
Ilustración 20: identificación de riesgos fuente: los autores
0
1
2
3
4
5
6
7
8
9
Sirep base de datosOfimática
Antivirus
Sistema operativo
Docuadmin
Servidor base de datos
Servidor copias de seguridad
Servidor de registros públicos.
Servidor contable
Medios de impresión
Computadoras de escritorio
Router
Switch
Modem adcl
Firewall de hardware
Red LANRed WIFI
InternetSistema de cámarasGenerador eléctrico
Cableado
Mobiliario
Otros equipos auxiliares
Entidad
Disco duro
USB
Presidente ejecutivo
Directora administrativa
Asistente
Técnico de sistemas
Coordinados de estadística y…
Directora financiera
Auxiliar contable
Directora de jurídicaTécnico en sistemas
IDENTIFICACION DE RIESGOS
BAJO MEDIO ALTO MUY ALTO CRITICO MUY CRITICO EXTRE CRITICO NIVEL 8 NIVEL 9
78
10. gestión de riesgos.
Después de realizarse el análisis de riesgos, como resultado queda a la vista los riesgos e
impactos que están exponiendo a la empresa, donde se determinan de la siguiente manera:
Crítico: requiere de atención urgente.
Grave: requiere atención.
11. Conclusión.
La Cámara de Comercio del Piedemonte Araucano no cuenta con políticas de seguridad,
que ayuden a mitigar los riesgos a los que están expuestos, Gracias a la implementación de la
metodología MAGERIT en esta primera fase, se obtuvo resultados realistas, del estado actual de
la entidad, y la identificación de las medidas de seguridad para mitigar los riesgos.
La prevención, detección y mitigación de los riesgos es importante, por lo cual la
implementación de metodologías con sus respectivas herramientas de análisis que mitiguen
dichas amenazas es vital a la hora de llevar acabo análisis de riesgos en las empresas.
Como resultado de la aplicación de la Metodología se concluye que los servidores están
expuestos a un riesgo critico mediante amenazas como: agotamiento de recursos, Deterioro de
origen físico y lógico, Corte del suministro eléctrico, Condiciones inadecuadas de temperatura y
humedad, Perdida de equipos, errores del administrador del sistema o de seguridad, y Desastres
naturales, a pesar de las medidas ya tomadas por la administración del área de sistemas. Lo cual
respalda la problemática expuesta y la importancia del desarrollo de políticas de seguridad que
permitan mitigar los riesgos.
79
La elaboración de estas políticas se toma en base a los factores encontrados en el
análisis, determinando la seguridad de los activos y los servidores de sistema como principal
objeto de estudio.
Una vez realizado y finalizado el análisis de gestión de riesgos a la Cámara De Comercio
Del Piedemonte Araucano se les socializara los resultados encontrados de cada uno de los
activos analizados con sus respectivas amenazas determinando el nivel de riesgo en la entidad,
con el fin de que se implementen los salvaguardas de seguridad que consideren necesarios, ya
que actualmente no cuentas con las medidas necesarias lo cual aumenta las probabilidades de que
las amenazas se materialicen.
12. recomendaciones.
Se sugiere la contratación de personal capacitado que puedan implementar las
salvaguardas escogidas en este análisis.
Se recomienda emplear políticas de seguridad, con fin de instruir al personal, sobre cómo
actuar frene a cualquier tipo de amenaza.
80
13. FASE 2: Análisis de riesgos la infraestructura tecnológica de red basados en la
metodología PPDIO.
14. INTRODUCCIÓN
Hoy en día es inconcebible un centro de trabajo sin una infraestructura informática sólida
y un equipo de cómputo adecuado que nos permita realizar las labores cotidianas. La
administración de redes se está convirtiendo en una creciente y compleja tarea debido a la
variedad de tipos de redes y a la integridad de diferentes medios de comunicación, a medida que
las redes se vuelven más grandes y complejas el costo de administración aumentan. Para ellos
son necesarias herramientas idóneas que nos garanticen el buen funcionamiento de la red y la
correcta transmisión de la información de la entidad.
Esta fase se centra en la recopilación y análisis establecido en las dos primeras fases
definidas por la metodología de preparación, planificación, diseño, implementación, operación y
optimización (PPDIOO) formulada por la entidad CISCO system, la cual es un referente a nivel
mundial en todo lo relacionado con redes de datos y seguridad de la información. En relación a
lo anterior metodología el trabajo a desarrollar se encuentra acotado a las tres primeras fases de
esta metodología.
Como se menciona anteriormente este documento enmarca las características de la fase
de preparación en la cual se definen todos los formatos y mecanismos de indagación necesarios
para la caracterización de la red de datos de la entidad.
81
La fase de Planificación a su vez, identifica los requerimientos de red, realizando una
caracterización de los elementos de la red, en la cual se evidencias el correcto cumplimento de
las normas relacionadas con los sistemas de cableado estructurado (SCE), al igual que todos los
dispositivos activos necesarios para la transmisión de la información. Esta caracterización
permite el análisis detallado de los servicios de la entidad, las fallas recurrentes en la
infraestructura tecnológica y los requerimientos futuros de la red, ofreciendo los recursos
necesarios para la correcta formulación del diseño de red.
Finalmente, este documento enuncia las actividades desarrolladas en la caracterización de
la red de la entidad; las cuales se encuentran referenciadas a continuación,
Análisis de la arquitectura de red
Análisis de la seguridad en la información
Caracterización de los equipos de cómputo
Caracterización de los dispositivos de red
Análisis del cableado estructurado en base a las normas existentes.
15. Desarrollo de objetivos referentes a la infraestructura de red.
En esta fase se verá reflejado el desarrollo de los objetivos restantes del proyecto ya
plateados que son:
Analizar el cableado de red de área local y las configuraciones de sistema de cableado de
la organización.
Caracterizar la infraestructura tecnológica que hace parte de la red actual Cámara de
Comercio del Piedemonte Araucano.
82
Elaborar un informe técnico que permita a las directivas de la Cámara de Comercio tomar
las decisiones y correctivos requeridos.
15.1. Analizar el cableado de red LAN y las configuraciones del cableado de la
organización.
15.1.2. Cableado de red de área local de la Cámara de Comercio del Piedemonte Araucano
Se utilizó la norma ISO/TEC 11801 esta se usa según el estándar EIA/TIA-568(estándar
de cableado para telecomunicaciones en edificios).
El estándar se usa para cable UTP y FIBRA OPTICA según la norma ISO/TEC 11801
estándar EIA/TIA-568, el cableado estructurado se usa como plataforma para crear un sistema de
información haciendo una infraestructura flexible. Se hizo la identificación de topología de red
se observaron diferentes componentes en la arquitectura de red y su cableado.
Se encontraron componentes de red como:
Cableado horizontal de la Cámara de Comercio de Saravena:
El cableado de la entidad no se basa en las directrices que rige la norma por esta razón no
da garantías para cumplir con los requerimientos mínimos para la transmisión de datos creando
vulnerabilidades en la información de la entidad.
En la arquitectura de red se evidencio puntos importantes que dejan ver el
incumplimiento de la norma ISO/IEC 11801 algunos de ellos como:
Los espacios que transportan el cableado horizontal no permiten la evolución tecnológica
o escalabilidad de la arquitectura de red esto es causa de que no se rigen por la norma 568b y la
569a, la estructura de la red existente no se tuvo en cuenta las características y necesidades de
83
primera mano en la entidad impidiendo futuros cambios o actualizaciones dejando a un lado la
escalabilidad.
También se observó que todos los tendidos del cable se encuentran deteriorados por causa
de tensiones echas al cable y por la humedad, las tomas y puntos de acceso de áreas de trabajo se
encuentran por fuera de sus cajas específicas.
15.1.3. Data Center de la Cámara de Comercio del Piedemonte Araucano de Saravena:
En los análisis realizados en las visitas se evidencio claramente que el cuarto de
telecomunicaciones no cumple con directrices del estándar ANSI/EIA/TIA 569a y 606a algunas
de ellas como:
Los servidores se encuentran ubicados en una mesa de madera lo cual es inapropiado y no
están regidos por lo que dicta la norma ANSI/TIA/EIA 56B Y 569a se encuentran expuestos a
humedad y contaminación
Carece de control de acceso al cuarto de telecomunicaciones ya que para ingresar en la
puerta están ubicadas cajas e implementos de bodega y no cuenta con registro de personal que
ingrese al cuarto de telecomunicaciones.
También se encontró humedad que cae del cielo raso por un desperfecto del mismo
poniendo en riesgo a los componentes activos de red como servidores, Switch y también pasivos
como cables y conectores donde se alojan estos dispositivos en el rack se encuentran desorden y
desperdicio de espacios incumpliendo con lo que dicta la norma ANSI/TIA/EIA 606a
84
El sistema contra incendios no existe en las áreas de sistemas impidiendo una pronta
respuesta a un suceso.
El área donde se encuentra ubicado el cuarto de telecomunicaciones de la entidad no cumple
con lo que debería ser apropiado porque según la norma no debe estar en sótanos ni niveles
inferiores al primer piso para evitar humedad en este caso se encuentra ubicado al lado de los
baños ya que es propenso a la humedad.
Áreas de trabajo en la entidad de la Cámara de Comercio de Saravena:
En los espacios y áreas de trabajo de la entidad donde se encuentran los terminales o pc
se observó que no se puede realizar traslados y cambios de manera rápida y eficaz.
El cableado de los equipos se encuentra desorganizado se puede definir aspectos como:
Se encuentran Switch instalados de manera redundante provocando retardos y el aumento de
la latencia en la trasmisión de paquetes.
15.1.4. Configuraciones de sistema de cableado de la Cámara de Comercio del Piedemonte
Araucano de Saravena.
Con el estándar ANSI/TIA 606ª se observó que deficiencias en el ciclo de vida del
sistema de configuraciones del cableado como cables, patch panel, jacks, espacios y salidas en
telecomunicaciones en estos aspectos se mostró fallas como:
El cableado horizontal no está etiquetado y no cuenta con las respectivas codificaciones
incumpliendo con el estándar ANSI/TIA/606ª.
85
En la entidad hay áreas de trabajo con puntos de acceso que no cuentan con etiquetas y no
están marcados con los colores y códigos que corresponden.
El rack que está en el cuarto de telecomunicaciones se encuentra con redundancia de equipos
como router y están puestos encima de otros impidiendo la visión.
15.2. Caracterizar la infraestructura tecnológica actual de la Cámara de Comercio del
Piedemonte Araucano.
Para cumplir con este adjetivó se utilizó tablas con formatos para evidenciar
características de equipos de cómputo como servidores, Router, Switches y demás dispositivos
activos de red, este análisis se hizo de manera intensiva y se pudieron hacer procesos como:
Se observó las diferentes tecnologías de dispositivos de red funcionando y la
identificación de protocolos trabajando en la arquitectura de red.
Este análisis se realizó mediante unas visitas a la entidad y a las salas de equipos y
entrevistas constantes con el técnico administrador Anderson Esteban Vanegas encargado de las
tecnologías que hay en la entidad y para identificar las características de la infraestructura de red
se le aplico un check list.
Para esta respectiva caracterización de la red en general se obtuvieron las hojas de vida de
los equipos como los servidores donde se evidencio características físicas de los servidores,
equipos de trabajo en las dependencias de la entidad y el análisis de dispositivos activos de red.
Para el observar con claridad la ubicación y lógica de la red establecida en la entidad se
elaboró un diseño de la red LAN para observar características en un diseño e identificar sus
características.
86
16. FASE I METODOLOGIA PPDIO: preparar.
Esta fase permite aplicar formatos y proporcionar características, obtener información de
tal manera que se pueda identificar la magnitud, estabilidad y si es una arquitectura que puede
evolucionar con nuevas tecnologías, también esta fase permite crear registros y poder hacer un
seguimiento a los diferentes componentes de la red.
Es muy importante estafase de preparación porque deja ver si existen políticas de
seguridad y si se están cumpliendo en la infraestructura de red. También se pudo identificar
características específicas de los terminales de trabajo y del cuarto de telecomunicaciones.
16.1. Formatos para la caracterización de la red.
En los anexos se podrá ver el resultado de aplicar una caracterización en base a formatos
elaborados para estas tareas, especificando características individuales de los equipos de
cómputo.
16.1.2. Caracterización de la arquitectura de red.
La arquitectura de red se encuentra todos los dispositivos activos y pasivos que
conforman equipos de cómputo para lograr transmisiones de datos de forma oportuna y segura.
Para que una infraestructura de red sea óptima tiene que cumplir con ciertas directrices que
dictan normas reguladoras establecidas para que se pueda realizar el funcionamiento adecuado de
la arquitectura de la red.
Entre los procesos que se deben cumplir en la infraestructura de red es poder garantizar él
envió de paquetes entre dispositivos de red acompañado de seguridad que brinde una garantía si
existe colisiones o errores en la transmisión de paquetes de datos.
87
Ilustración 21 Topología estrella fuente: libro: Redes: diseño,
actualización y reparación, autor: Hillar, Gastón Carlos
16.1.3. Identificación de la topología de la red.
En el análisis que se le hizo a la entidad se identificó que su arquitectura de red es
centralizada también que cuentan con una topología estrella, que según (Hillar, 2009) La
topología estrella utiliza enlaces punto a punto (generalmente dos, uno para enviar datos y el
otro para recibir) entre cada nodo y un nodo central. Este último puede ser un concentrador,
conmutador o repetidor y más adelante analizaremos en detalle las diferencias entre cada uno de
ellos. Se observará un ejemplo de las conexiones que hay entre cinco terminales finales para
que sea llamado topología de estrella.
Como lo ilustra la ilustración 21 los equipos están conectador por un conmutador Switch
que conectan varios terminales por sus puertos creando conexiones entre los terminales.
88
16.1.4 caracterización de los equipos de cómputo
Para el cumplimiento de esta actividad se elaboró y aplico para cada equipo de cómputo
una hoja de vida en cual se pudieron obtener todas las características físicas como lógicas con el
fin ver su funcionamiento y poder realizar diagnósticos a la red en general.
16.1.5 caracterización de los dispositivos de red
Para cumplir con este objetivo se aplicó un documento que en su formato permita plasmar
características detallas de los dispositivos de red como switch y router, encontrando estos
equipos en su mayoría en el cuarto de telecomunicaciones.
Se encontró en este análisis que la entidad en su arquitectura de red cuenta con 6 switch
repartidos en las diferentes dependencias se pudo identificar características como:
Los Switch con los que cuenta la entidad son dispositivos no administrables y con un
número de puerto para conexiones limitado siendo equipos genéricos en el sentido que no
brindan la posibilidad de configurar y carecen de flexibilidad.
Estos equipos activos de red los conmutadores cuentan con un mínimo de seguridad
contra el acceso no autorizado, el impedimento la administración.
Los switch que hay en la entidad impiden escalabilidad en las dependencias estableciendo
un número de equipos interconectados limitado y causando redundancia provocando niveles de
latencia en la transmisión de paquetes de información además no se cuenta con una VLAN para
proteger contra accesos no autorizado.
89
17. FASE II METODOLOGIA PPDIO: planificación
En esta fase se realizó el análisis de la arquitectura de red actual, se identificó la
instalación y el estado del cableado estructurado en base a la Norma ISO/IEC 11801 y
TIA/EIA/ANSI 568B, 569, 606, 607.
17.1. Análisis del sistema cableado estructurado aplicando iso/iec 11801
La norma internacional ISO/IEC 11801 está basada en el contenido de las normas
Americanas EIA/TIA-568(Estándar de Cableado de Telecomunicaciones en Edificios
Comerciales). Esta da directrices para el cableado estructurado utilizando aplicaciones que
pueden ser sistemas de control, comunicación de datos, análogas, permitiendo la aplicación de
sistemas de control y automatización.
Este estándar también da directrices para el cableado de cobre balanceado como cableado
de fibra óptica.
Según la Norma ISO/IEC 11801 - Estándar ANSI/TIA/EIA-568B, Un sistema de
cableado debe ser flexible y que en su plataforma universal soporte sistemas múltiples de voz,
video y multimedia sin importar cuál sea el fabricante se cumpla estas funciones universales.
En esta sección se identificó la topología de red, se analizaron los distintos componentes
del cableado estructurado con el que cuenta la entidad como:
Cableado horizontal,
Cableado vertical,
Área de trabajo,
90
Cuarto de telecomunicaciones
Gabinetes o rack de comunicaciones.
Etiquetado
Igualmente, mediante entrevistas realizadas al coordinador de sistemas, informática y
telecomunicaciones el técnico Anderson Esteban, se evidencio que la entidad no cuenta con la
siguiente documentación del sistema de cableado estructurado:
Certificación de los puntos de datos
Documentación del etiquetado.
Un diseño del cuarto de telecomunicaciones.
Codificación de puntos de accesos y un registro de ellos.
17.2 evaluación del cumplimiento de la norma ANSI/TIA 568b con respecto al cableado
horizontal
El cableado horizontal que se tiende en la entidad por las áreas de trabajo que parte desde
el cuarto de telecomunicaciones y el gabinete se encontraron las siguientes fallas o falencias:
En la entidad su cableado horizontal no se rige por la norma reguladora de tal manera que
no muestra garantías de cumplir a cabalidad todos los requerimientos para la transmisión de
datos creando posibilidades de pérdida significativa de la información.
Los espacios que sostienen y trasportan el cableado como los ductos impiden
escalabilidad del cableado porque no cumplen con las directrices de la norma 568b y 659a como
se ilustra en la ilustración 22.
91
Ilustración 22: Ductos del cableado fuente: los autores
El diseño y ubicación de las instalaciones de la entidad no se tuvo en cuenta como algo
primordial la arquitectura de red dificultando escalabilidad de la red
También se observó y se tomó evidencia que los cables se encuentran en desorden y se
encuentran deteriorados por diferentes tensionas realizados al mover dispositivos conectados a la
red. Como se puede observar en la ilustración 23.
Ilustración 23: cableado en mal estado fuente: los autores
En la salida de los puntos de acceso en el cuarto de telecomunicaciones y dependencias el
cableado UTP se encuentra por fuera de las canaletas. Como se observa en la ilustración 24.
92
Ilustración 24: Cableado por fuera de canaleta fuente: los autores
17.3 Análisis de nivel de cumplimiento de las normas
Para avaluar el nivel de cumplimiento de las directrices basadas en la norma ISO/IEC
11801 se tuvieron en cuenta pautas para clasificar por porcentajes los niveles de cumplimiento.
Como se ilustra en la tabla 16.
Para esta fase se de análisis y gestión se basó en el check list teniendo como referencia
las preguntas y registrando si se cumplen o no basándose en respuestas obtenidas de las
entrevistas y visitas realizando un total de 40 preguntas obteniendo un porcentajes de las
preguntas acertadas y donde no se cumplía con la especificaciones. Como se ilustra en la tabla
16.
93
CRITERIOS DE EVALUACION
Porcentaje Nivel Valoración
0 – 60 1 NO SE CUMPLE
61-70 2 CUMPLE ACEPTABLEMENTE
71-80 3 CUMPLE
SASTIFATORIAMENTE
82-90 4 CUMPLE EN ALTO GRADO
90-100 5 CUMPLE PLENAME NTE
Tabla 16: criterios de evaluación fuente: los autores
Con los resultados obtenidos de las preguntas formuladas se pudo hacer un promedio del grado
de cumplimiento de la norma 568B, la cual es muy necesaria para una certificación en ISO/IEC
11801 pero no se cumple porque el cableado horizontal de la entidad no se basa en las directrices
establecidas por la norma. Como se ilustra en la ilustración 25 es muy baja su promedio de
cumplimiento.
Ilustración 25: Nivel de cumplimiento del estándar fuente: Los autores
0
10
20
30
40
50
60
70
1 2 3 4 5 6
50%
0%
40%
50%55%
61%
NIVEL DE CUMPLIMIENTO DE LA NORMA 568B
1
2
3
4
5
6
94
En la ilustración 25 se evidencia que los elementos del estándar 568b tienen un nivel de
cumplimiento del estándar bajo porque se encontró una instalación defectuosa del cableado y
diferentes anomalías.
17.4. Evaluación del cumplimiento de la norma ANSI/TIA 569a con respecto al cuarto de
telecomunicaciones y gabinetes de telecomunicaciones.
El Cuarto de telecomunicaciones es donde nace el cableado horizontal que parte a los
terminales de áreas de trabajo este debe cumplir con la función de conectar todos los equipos
necesarios en la arquitectura de red de la entidad como el anclaje de dispositivos,
interconexiones, y puestas a tierras permitir la distribución adecuado de los equipos que
pertenecen al cuarto de telecomunicaciones.
Además debe cumplir con ciertas características como lo indica el estándar:
Tamaño adecuado, según el estándar,
Un ambiente controlado para albergar los equipos, libre de humedad
Espacio libre
Seguridad
Protección contra fuego
Iluminación
Energía eléctrica
Protección contra polvo (contaminación mecánica)
Facilidades de puestas a tierras, anclaje y protección de los aparatos
Control de ingresos
95
Ilustración 26: servidores fuente: los autores
Debe ubicarse en punto donde sea posible el acceso atender y que solo debe dedicarse a
la función de telecomunicaciones.
De acuerdo a lo mencionado anteriormente, y según las distintas visitas y entrevistas que se
realizaron en la entidad Cámara de Comercio del Piedemonte Araucano, se evidencio que el
cuarto de telecomunicaciones no cumple con directrices de la norma ANSI/EIA/TIA 569ª y
606ª entre los cuales se puede definir como:
Algunos de los servidores se encuentran ubicados en una mesa de madera lo cual no cumple
con la norma ANSI/TIA/EIA 568B Y 569ª al lado del rack y gabinete esta expuestos a
contaminación mecánica y frecuencias y ruido. Como se evidencia en la ilustración 26.
No hay medidas de seguridad para el acceso al cuarto de telecomunicaciones ya que al
ingresar hay suministros de bodega junto a la puerta no existe medidas de control y registro para
el acceso a gabinetes y dispositivos no hay solicitud de confirmación de identidad como un
96
Ilustración 27: humedad en el cuarto de telecomunicaciones
fuente: los autores
sistema biométrico que permita el control adecuado. El cuarto de telecomunicaciones presenta
por el cielo Razo húmeda que se filtra en las paredes y puede afectar dispositivos activos como el
Switch, servidores, etc.; y dispositivos activos como el cableado y puertos que se encuentran el
cuarto de telecomunicaciones.
El rack y gabinetes no están bien organizados en sus espacios no cumplen con la norma
ANSI/TIA/ 606a. como se muestra en la ilustración 28.
Ilustración 28: Rack de telecomunicaciones. Fuente: los autores.
97
El sistema para emergencias contra incendios no está en funcionamiento impidiendo
resolver con prontitud alguna emergencia por alguna eventualidad provocada por mano humana
o sobrecargas de energía.
La vigilancia y monitoreo del cuarto de telecomunicaciones no cuenta con las rutinas
necesarias para a través de cámaras de seguridad poniendo en riesgo la infraestructura de red si
sucede alguna eventualidad
Ilustración 29: cámaras de seguridad Fuente: los autores.
Donde está situado el cuarto de telecomunicaciones está en riesgo constante pues está al lado de
un baño y de una cafetería cualquier eventualidad puede afectar de una importante manera los
dispositivos internos del cuarto de telecomunicaciones.
El área donde se encuentra cuarto de telecomunicaciones instalado no cumple con la
selección del sitio apropiado porque la norma establece que para seleccionar el lugar apropiado
para el cuarto de equipos no puede ser ni en sótanos, ni subniveles inferiores al primer piso para
98
evitar problemas de humedad. Pues ya que se encuentra ubicado al lado de los baños es propenso
a la humedad o cualquier otra eventualidad que se presente por estar ubicado allí.
17.5. Evaluación de las áreas de trabajo de las diferentes dependencias.
Las áreas de trabajo son los terminales ubicados en las diferentes dependencias de la
entidad donde se labora por los usuarios. Estas conexiones parten del cuarto de
telecomunicaciones a todos los diferentes dispositivos de red en su diseño y ubicación dificulta
realizar cambios y adiciones fácilmente los dispositivos activos encontrados en las dependencias
dificultan la movilidad de los equipos de cómputo.
El cableado de los equipos de las áreas de trabajo no se encuentra organizados.
Los Switch instalados en las dependencias por su redundancia generan retardos aumento
de dominios de bradcast siendo esto causa del aumento de latencias en la transmisión de
información de la red.
Ilustración 30: Switch mal ubicados Fuente: los autores
.
99
En el anterior análisis y evaluación de cumplimiento de la normativa 569a como se
muestra en la figura 31 se observa el nivel y porcentajes de cumplimientos de la norma son bajos
y no son los suficientes para estar de acuerdo a las directrices que regulan los espacios
adecuados.
Ilustración 31: Nivel de cumplimento de la norma 569a. Fuente: los autores.
17.6. Análisis del cumplimiento de la norma TIA/EIA/ 606a en etiquetado y administración
La norma ANSI/TIA 606a da la importancia de crear documentos de la arquitectura de
red esto para facilitar la administración y ejecución de procesos y en su siclo de vida del
software tener alternativas evidencias por documentación que incluya cables, patch panel, puntos
de accesos, espacios y entrada y salida de dispositivos pasivos de red.
0
20
40
60
80
1 2 3 4 5
NIVEL DE CUMPLIMIENTO DE LA NORMA 569A
1
2
3
4
5
50%40%
69% 65%
80%
100
17.7. Codificación y etiquetado de cables, áreas de trabajo, rack y patch panel.
Esta norma dicta que en el cableado horizontal las marquillas correspondientes deben ser
flexibles y fácil de leer. En la entidad Cámara de Comercio del Piedemonte Araucano no cuenta
con ninguna etiqueta o marquilla correspondiente a la norma ANSI/TIA 606a que dicta que en
este etiquetado se debe dar el nombre del piso el cuarto de telecomunicaciones su punto de
acceso y la posición.
Hay áreas en las dependencias y estaciones de trabajo en donde los puntos de acceso no
tienen ninguna referencia ni codificación que suministre algún tipo de información sobre la
ubicación y origen del cableado de red. Como se muestra en la ilustración 32.
Ilustración 32: etiquetas de los puntos fuente: los autores.
Los rack no tienen codificación ni etiquetas para su identificación correspondiente. Como
se muestra en la ilustración 33 y 34 los cables UTP se encuentran ubicados en desorden sin tener
ninguna nomenclatura.
101
Ilustración 34: Etiquetas del cableado
Fuente: los autores.
Ilustración 33: Rack sin etiquetas correspondiente fuente: los autores.
En las ilustraciones 35 se ve los bajos niveles y una clara falla que en función de
eventualidad que suceda en el cuarto de telecomunicaciones no habrá una pronta respuesta para
solucionar alguna falencia convirtiéndose esto una vulnerabilidad importante en la
administración del cableado horizontal.
102
Ilustración 35: nivel de cumplimiento fuente: los autores.
17.8. Análisis del cumplimiento de la norma TIA/EIA/ 607 de puesta a tierras.
El fin de esta norma es dar directrices sobre los sistemas de puesta a tierra en los
edificios en este caso para el edificio de la Cámara de Comercio del Piedemonte Araucano. Los
aterramientos son instalaciones que incluyen torres antenas.
17.8.1. Elementos de puesta a tierra o aterramientos:
(TMGB) Barra principal de tierra para telecomunicaciones: Se puede decir que es el
punto central, principal en donde se conectan todas las puestas de tierra.
(TGB) Barras de tierra para telecomunicaciones: Es una barra que parte de la parte
trasera del armario de telecomunicaciones.
(TBB) Backbone de tierras: Este cable hace conexión con el TMGB para canalizar la
protección de los equipos.
0
5
10
15
20
25
30
35
40
4540%
35%
45%
40%
NIVEL DE CUMPLIMIENTO DEL ESTANDAR 606A
Etiquetadodel cableado
Etiquetado del rack
Etiquetado de face plate
Documentacion de la red
103
Ilustración 36: Puestas a tierra Fuente: los autores
Ilustración 37: Circuito regulado fuente: los autores
El sistema de aterramiento que se muestra en la ilustración 36 es el general para todo el
edificio de la entidad lo cual va en contra de las directrices de la norma ANSI/TIA/EIA 607 que
dicta que es necesario para el buen funcionamiento que haya un sistema de aterramiento
independiente del edifico al cuarto de telecomunicaciones.
Algunas sistemas de voltajes no funcionan y los tacos corriente no está marquillado lo
cual no deja ver con claridad cual cuchilla está funcionando en una área especificada. Como se
muestra en la ilustración 37.
104
Con el anterior análisis de la norma a 607 de aterramiento y puestas a tierra se puede
obtener con niveles que la entidad no cumple las directrices especificadas por la norma. Como se
evidencian en la ilustración 38.
Ilustración 38: nivel de cumplimiento estándar 607 fuente: los autores.
En la ilustración 39 se representa los niveles generales de los cumplimientos de las
normas 568b, 569a 606 y 607 de la norma ISO/IEC 11801 se presentan en porcentajes.
0
20
40
60
1 2 3 4
0%
55%
0% 0%
NIVEL DELCUMPLIMIENTO DE lA NORMA 607
Barra de tierra para telecomunicaciones
Corriente regulada
Barra de principal de Backbone de tierras
105
Ilustración 39: cumplimiento de la norma ISO/IEC 11801 fuente: los autores
En la ilustración 39 se ve porcentajes generales que involucran el nivel de cumplimiento
de cada norma en diferentes aspectos que abarcan todos los sistemas de la arquitectura de red de
la entidad. En porcentajes de las normas se puede decir que:
La arquitectura de red no cumple con la norma 568B con las directrices establecidas en
cuanto al cableado horizontal llegando en porcentajes a un 51% evidenciando falencias
que pueden deteriorar el cableado estructurado prematuramente.
El edificio no cumple con la norma 569a con las directrices establecidas en cuanto a
espacios, ductos, tuberías y cielo rasos llegando en porcentajes a un 61% evidenciando
falencias que pueden provocar una eventualidad que sea fatal para toda la infraestructura
de red.
En el cuarto de telecomunicaciones y áreas de trabajo no cumple con la norma 606a con
las directrices establecidas en cuanto a marquillado y etiquetado llegando en porcentajes
0
20
40
60
80
1 2 3 4
Series1
NIVEL DEL CUMPLIMIENTO DE LA NORMAISO/IEC 11801
51%
61%
40%
14%
norma 568B
norma 569A norma 606A
norma 607
106
a un 40% evidenciando esta vulnerabilidad que puede causar retardos en momentos
donde se requiera la presión en la solución de falla o interrupciones.
El edificio y el cuarto de telecomunicaciones no cumple con la norma 607 con las
directrices establecidas en cuanto a pozo a tierra y aterrizados llegando en porcentajes a
un 14% evidenciando esta vulnerabilidad que puede ser causa de daños en dispositivos
por parte de corrientes ajenas o del mismo edificio.
De manera general que la entidad Cámara de Comercio del Piedemonte Araucano no
supera el nivel de cumplimientos de los estándares en cuanto sistema de cableado para
telecomunicaciones e infraestructura pero esta situación se puede mejorar con la ejecución de
distintas acciones propuestas más adelante en el documento.
107
18. Análisis de la red
18.1. Arquitectura de la red de datos
El análisis y caracterización de la red evidencio que la entidad Cámara de Comercio de
Saravena cuenta con una red centralizada que abarca dos pisos conectados en su mayoría en el
primer piso interconectados con conmutadores switch este tipo de red centralizada dificulta el
escalamiento que debería tener la red elevando tiempo de respuestas de soportes y
mantenimiento de la arquitectura de red.
En la siguiente ilustración echa en packet tracer se muestra el diseño actual y de cómo
esta físicamente la entidad en su forma organizacional de dispositivos activos de red.
108
Ilustración 40: Diseño actual de la red en la cámara de comercio del piedemonte araucano fuente: los autores
109
18.2. Análisis del diseño actual para el mejoramiento de la arquitectura de red.
18.2.1. Data center y/o cuarto de telecomunicaciones
Teniendo en cuenta el análisis anteriormente es necesaria la adecuación del cuarto de
telecomunicaciones bajo el estándar TIA 492, ya que allí alberga todos los equipos y elementos
necesarios para el procesamiento de información de la organización. Por esto debe ser confiable
y seguros al tiempo deben ser capaces de adaptarse al aumento del mismo.
Teniendo en cuenta lo anterior el cuarto de telecomunicaciones, debe cumplir con ciertos
aspectos necesarios como el espacio para instalar los equipos y el crecimiento a futuro que pueda
presentar el sistema. Además se deben tener en cuenta otras consideraciones como:
Estructura
Ubicación
Acceso
Protección contra incendios
Equipos Redundancia
En la siguiente figura se puede apreciar las diferentes áreas que conforman un data center.
110
Ilustración 41: esquema cuarto de comunicaciones fuente: http://blog.corujadeti.com.br/datacenter-
virtualizacao-e-cloud-computing-evolucao-parte-i/
18.2.2. Estructura física del Cuarto de Telecomunicaciones
De acuerdo al tamaño de las instalaciones del edificio de la Cámara de Comercio del
Piedemonte Araucano para el mejoramiento se debe establecer que el cuarto de
telecomunicaciones tenga las siguientes medidas: de 3M x 3.4M con una altura mínima de
2.6M, siguiendo las directrices de la norma EIA/TIA 569ª que lo establece así.
Además debe contar con una temperatura ambiente entre los 18°- 24°C y una humedad entre 30
y el 50%. Y una iluminación mínima de 500 lux, Siguiendo las directrices de la norma EIA/TIA
569ª que lo establece así.
111
El piso del cuarto de telecomunicaciones de la Cámara de Comercio del Piedemonte
Araucano es en porcelanito blanco, por lo cual no está cumpliendo con lo establecido en la
norma, por ello se recomienda instalar una superficie de piso falso que cubra parcialmente el
cuarto de telecomunicaciones, por seguridad ante de posibles inundaciones y evitar las
interferencias electromagnéticas. Dos de las paredes deben de ser de 20mm de A-C plywood
(contrachapado) con una altura de 2.6m.
Los servidores proxy e intranet que se encuentra alojado sobre una mesa de madera y
metal en el cuarto de telecomunicaciones se recomienda ubicarlos en el rack donde se encuentra
ubicados los servidores de bases de datos como se muestra en la siguiente ilustración.
Ilustración 42: Rack para servidores. Fuente: http://www.dns-
system.es/que_es_un_armario_rack.php
112
18.2.3. Ubicación Cuarto de Telecomunicaciones dentro de las áreas de trabajo
El cuarto de telecomunicaciones de la entidad Cámara de Comercio del Piedemonte
Araucano se encuentra ubicado en el primer piso al lado de un baño, según la norma establece
que el cuarto de telecomunicaciones no debe estar cerca de tubería de distribución de agua y de
desagüe para evitar cualquier posibilidad de inundación y de humedad que afecten la
infraestructura tecnológica. Debido a esto, se recomienda reubicar el baño para evitar posibles
inconvenientes a futuro.
Por seguridad, los cuartos de telecomunicaciones deben estar lejos de fuentes de
interferencia electromagnética, no deben tener ventanas exteriores ya que aumentan el calor y la
inseguridad. Además de su localización debe de contar con espacio suficiente para proveer la
expansión de los servicios y espacios libres para realizar cualquier trabajo o cambio que se
requiera.
18.2.4. Acceso al Cuarto de Telecomunicaciones de la entidad
El cuarto de telecomunicaciones de la Cámara de Comercio del Piedemonte Araucano
tiene como única medida de seguridad de acceso una puerta que no cumple con ninguna de las
características establecidas en el estándar TIA/EIA 942 para este tipo de instalaciones, por ende
se sugiere cambiar la puerta actual por un sistema de seguridad de acceso biométrico o
electrónico (lector de tarjetas o ingreso con clave) que sólo permita el acceso de personal
autorizado.
113
18.2.5. Protección contra incendios al Cuarto de Telecomunicaciones.
En el cuarto de telecomunicaciones tienen instalados cámara de seguridad, extintores y
sistema de alarma contra incendios, como medidas para protección de los equipos que se
encuentran alojados en el cuarto. El sistema de alarma contra incendios actualmente no se
encuentra en funcionamiento, debido a esto es esencial instalar este tipo de sistema que permita
al personal actuar oportunamente ante cualquier incidente (incendio) que se presente.
18.2.6. Equipos Redundancia al Cuarto de Telecomunicaciones
El cuarto de Telecomunicaciones de la Cámara de Comercio del Piedemonte Araucano se
encuentra en un nivel de redundancia secundario debido a las siguientes características:
Tienen cajas y utensilios que pertenecen a una bodega, UPS y distribución eléctrica.
El mantenimiento de los componentes principales de la red de datos genera la indisponibilidad
del servicio debido que no cuenta con equipos de respaldo o redundantes. Por ejemplo en caso de
los servidores proxy, intranet y base de datos, el switch core.
19. Administración de la red y etiquetado del cableado y componentes
De acuerdo al análisis realizado a la Entidad Cámara de Comercio del Piedemonte
Araucano para establecer el estado de cumplimiento del estándar 606 relacionado con el
etiquetado del cableado y la administración de la red, se pudo evidenciar que la entidad en
mención presenta un nivel muy bajo de cumplimiento de este estándar debido a que el cableado
no se encuentra etiquetado, los rack y los puntos de conexión no están etiquetados correctamente
y no se tiene una correcta documentación de la red de datos.
114
Ilustración 43: Etiquetado de cable Fuente: http://marismas-
emtt.blogspot.com.co/2010/10/etiquetas-en-subsistema-horizontal.html
Es por ello que para caracterizar correctamente todos los componentes de un sistema de
cableado estructurado se debe seguir lo definido en la norma TIA/EIA 606, la cual provee un
esquema de administración uniforme, es decir que rige para todos los aspectos del cableado
estructurado. Además esta forma de identificar los diferentes elementos es independiente de las
aplicaciones que se le dé al cableado, ya que muchas veces las aplicaciones van variando a lo
largo de los años. El sistema de administración simplifica traslados, agregados, cambios
permitiendo que los trabajos que se realicen requieran pocas suposiciones.
Además, facilita los trabajos de mantenimiento ya que los componentes con posibles
fallas son fácilmente identificados durante las labores de reparación. Las etiquetas deben ser de
un tamaño, color y contraste apropiado para asegurar su lectura y deben procurar tener un tiempo
de vida igual o mayor a la del componente etiquetado. Para mayor confiabilidad se sugiere que
las etiquetas sean hechas por algún dispositivo y no a mano.
Como se pudo evidenciar que en la entidad Cámara de Comercio del Piedemonte
Araucano no cuenta un etiquetado. Se plantea que el etiquetado para el cableado deberá ser de la
siguiente manera: número de piso+ cuarto de equipo + patch panel + posición
Ejemplo:
2C-AB02
115
Ilustración 44: etiquetado face plate fuente: http://www.cableadoi.com/herramienta-
de-analisis/
Ilustración 45: Etiquetado del cuarto de telecomunicaciones
Fuente:http://fibraoptica.blog.tartanga.net/2014/02/08/la-importancia-de-un-
etiquetado-correcto-en-las-instalaciones-de-cableado-estructurado/
Para el face plate deberá corresponde de igual manera a las del cableado
Ejemplo:
En la ilustración 47 se evidencia como debe ir etiquetado cada uno de los elementos del
cuarto de telecomunicaciones como en las áreas de trabajo.
116
Identificación del cuarto de equipos.
Identificación del cableado vertical.
Identificación de puestas a tierra.
Identificación del patch panel.
Identificación del patch cord.
Identificación del cableado horizontal.
Identificación de alarmas, seguridad y firestopping (extintor).
19.1. Especificaciones técnicas de etiquetado y administración:
los cables beben organizarse con una cinta velcro.
El administrador debe contar con planos donde se encuentren ubicados los puntos de
datos, cuarto de equipos y la trayectoria de la red.
Toda la información de la red de datos deberá ser almacenada tanto física como digital.
19.1.1. Sistemas de puesta a tierra
El subsistema de puesta a tierra para telecomunicaciones que se desea instalar seguirá las
recomendaciones de la norma TIA-607 y TIA-942.
La TMGB será colocada en el primer piso en el espacio donde se tiene la acometida
eléctrica, es decir en la zona denominada “Tableros Eléctricos”. En la figura se demuestra cómo
debe ser un sistema de puestas a tierra para telecomunicaciones.
117
Ilustración 46: Sistema puesta a tierra
Fuente: http://bracamontedatacenters.weebly.com/ansitiaeia-607.html
Figura
19.1.2. Puesta a tierra del Cuarto de Telecomunicaciones.
En el Centro de Datos se colocará una TGB (barra de tierra para telecomunicaciones),
cuya ubicación se puede ver en la figura 1, donde se describe el sistema de puesta a tierra en
dicho cuarto.
Debido a que se va a colocar falso piso se propone instalar por debajo de él un enlace
equipotencial común a todo el cuarto en forma de malla que estará conectado a la red de tierra del
edificio mediante la TGB.
118
Todo equipo o elemento que requiera ser aterrado se conectará a estos conductores, por lo
tanto este enlace (equipo-malla) será de corta longitud, lo cual es una ventaja frente a otros
sistemas.
Se ha escogido este método porque es lo que recomiendan los estándares debido a que la
malla ofrece la resistencia más baja de todos los métodos que se puedan usar.
Para ello se utilizará un conductor de cobre desnudo de calibre 2 AWG (0,5127 _/Km.)
pues es lo que recomienda la norma ANSI/TIA/EIA 607 ya que se debe tratar de que esta malla
tenga suficiente capacidad para facilitar un camino apropiado a cualquier corriente que se
produzca. Los conductores se dispondrán vertical y horizontalmente siguiendo las varillas de los
pedestales del falso piso, tratando de que estén lo más cerca al suelo. La unión entre los cables y
las varillas se realizará mediante una abrazadera de bronce que también deberá tener baja
resistencia, ésta se colocará cada tres varillas.
Los elementos que deben ser enlazados a la malla son los gabinetes, la PBX, las bandejas de piso
y las tuberías metálicas por donde pasa el cableado vertical.
En general las uniones serán a través de un jumper de conexión de tierra de calibre #6
AWG ya que es lo adecuado según las normas ANSI/TIA/EIA 607 (1,296 _/Km.). El extremo
que va hacia la malla tendrá que ser pelado para poder colocar un conector de compresión que
unos ambos cables (jumper y cable de malla). En el otro lado del conductor, la mayoría de
equipos requerirán ser conectados mediante conector de doble perforación para lograr una mejor
sujeción, en el caso de las bandejas se requerirá de conectores que unan el cable pelado con el
material de la bandeja y para la unión de las tuberías se utilizarán abrazaderas de cobre.
119
Todos los gabinetes deberán tener jumper de conexión a tierra que unan sus cuatro lados
para asegurar continuidad eléctrica. Para aterrar un equipo del interior, se realizará un enlace
entre él y uno de los lados del gabinete, para ello se utilizará un conductor #10 AWG y se debe
considerar que las partes del gabinete en donde se vaya a colocar el conector tienen que ser de
metal puro, es decir remover la pintura en el caso que la haya. Se planea que toda unión entre el
equipo y el gabinete sea realizado con conectores de doble perforación en ambos lados, siguiendo
las directrices de la norma ANSI/TIA/EIA 607.
En el tablero eléctrico se deberá realizar un enlace directo entre la barra de tierra del panel
y la TGB.
Las bandejas estarán enlazadas a un cable de calibre 6 AWG (que deberá estar pelado en
los puntos de conexión) a través de un conector de aluminio de baja resistencia, el cual se
colocará cada 20 m. Este cable hará todo el recorrido de las bandejas hasta llegar a la malla
equipotencial donde será unido.
Por último, el TBB (puesta de tierra para telecomunicaciones) se iniciará en esta barra, y
seguirá su camino hasta la TMGB (Barra de tierra principal de telecomunicaciones) mediante un
tubo conduit de 1’’ que seguirá la misma ruta que el cableado vertical para luego seguir hasta el
cuarto de tableros eléctricos en donde se encuentra la TMGB.
La dimensión que se le dará a este conductor será de acuerdo a la tabla 2.4, por lo tanto se
usará calibre 3/0 ya que la distancia que recorrerá son aproximadamente 29 m. (5 m. desde el
TGB del Centro de Datos hasta la caja de paso y 24 hasta la TMGB ubicada en el cuarto de
Tableros eléctricos), todas estas dimensiones y medidas siguiendo las directrices de la norma
ANSI/TIA/EIA 607.
120
A continuación se puede apreciar el diseño del sistema a tierra en el centro de datos:
19.1.3. Puesta a tierra de los gabinetes de telecomunicaciones
El gabinete del primer piso seguirá el mismo método de los demás gabinetes para aterrar
sus equipos, sin embargo éste tendrá montado en su interior una TGB que será la que enlace el
gabinete con el sistema a tierra.
La TGB deberá tener un enlace equipotencial a través de conductor #6 AWG con el TBB,
se realizará mediante un conector de compresión de bronce, igual a los que se usarán para enlazar
los equipos a la malla en el 2do piso. Esta conexión se realizará en la caja de paso ubicada detrás
del gabinete ya que ahí es donde termina el tubo conduit que guio al cable. Luego, el TBB se
introducirá por otra tubería de conduit que lo guiará hasta el cuarto de la acometida eléctrica
donde se encuentra la TMGB, siguiendo las directrices de la norma ANSI/TIA/EIA 607.
20. Diseño de la topología lógica recomendada a la cámara de comercio del piedemonte
araucano.
La necesidad de renovar, el diseño de la arquitectura de red se hace necesario por las
limitaciones técnicas y el incumplimiento de las normas 568b, 569ª,606 y 607 que son las
que garantizan la calidad y una gestión tecnológica eficiente en la arquitectura de red y a la
falta de acceso administrativo.
Se hace necesaria una adecuación en el diseño de la red, es recomendable recurrir a un
cambio total en la red ya que en estos casos los cambios afectan a gran parte del diseño actual
121
Se recomienda una infraestructura de red basada en los requerimientos técnicos y en la
topología propuesta como se presenta en la gráfica 1.
122
Ilustración 47 diseño recomendado para la topología lógica de la red de la Camara De Comercio Del Piedemonte Araucano fuente: los autores
CAPA DE DISTRIBUCIÓN
123
Este nuevo diseño no es redundante en dispositivos pasivos y activos de red, con la calidad de
los dispositivos del Data Center garantiza un mínimo de errores y colisiones de paquetes de
información, en base a los cumplimiento de las normas 568b, 569ª,606 y 607 se puede hacer
una recomendación acertada en la arquitectura de red de la entidad Cámara de Comercio del
Piedemonte Araucano.
Conclusión
En el presente informe se ha dado una visión general del estado del arte en cuanto a la
arquitectura de red de la entidad Cámara de Comercio del Piedemonte Araucano y especialmente
en lo que se refiere a sistemas de cableado cuarto de telecomunicaciones. Se han mostrado sus
características y sus defectos.
Se realizó el análisis de la infraestructura de red de la entidad se registró la falta de
cumplimiento de normas reguladores de los dispositivos activos y pasivos de la red mostrando
que en su gestión tecnológica y arquitectura de red están en un punto desfavorable para el
beneficio de la entidad. Al no cumplir con las normas ISO/IEC 11801 y TIA/EIA/ANSI 568B,
569, 606, 607 no se puede garantizar la confiabilidad del sistema aumentando el riesgo de fallas
a causa de posibles ataques, físicos, lógicos por parte de personas o del medio ambiente a la red
de datos y servidores.
Las estadísticas muestran una presencia importante de fallas en la red física,
principalmente en el cuarto de telecomunicaciones. Esto se evidencio creando un check list y
caracterizando la red dejando como resultado evidencias claras de incumplimiento normativas
para el correcto funcionamiento de la arquitectura de red, Es importante que la entidad Cámara
de Comercio del Piedemonte Araucano permita en su gestión tecnológica física como lógica la
124
escalabilidad que le permitirá la evolución continua y adición, de todos los componentes y
dominios que lo componen, sin perder calidad ni articulación. Al aplicar las recomendaciones se
encontrara la calidad de la gestión de la información y una arquitectura de red estable.
Las red actual debe migrar a una red que proporcione diversas aplicaciones además una
infraestructura de transporte basada en IP; También un Internet con los nuevos modelos de
computación distribuida, La administración de red si aplica en su gestión tecnológica las
normativas y estándares reguladores sumara de todas las actividades de planeación y control,
enfocadas a mantener una red eficiente y con altos niveles de disponibilidad. Dentro de estas
actividades será diferentes responsabilidades fundamentales como el monitoreo, la atención a
fallas, configuración, la seguridad, entre otras.
Recomendaciones
En vista del análisis escrito en este documento se plantean las siguientes
recomendaciones más importantes y generales para la entidad Cámara de Comercio del
Piedemonte Araucano.
Mejorar la seguridad física de la red: Es recomendable contar con el personal
adecuado que tenga conocimientos de las respectivas normas reguladoras.
Realizar evaluaciones periódicas de los puntos críticos de la arquitectura de red.
Realizar análisis del tráfico de red haciendo pruebas continuas de envíos de
paquetes de información entre servidores y los equipos de cómputo de las diferencias
dependencias.
Diseño de una topología de red LAN para la entidad: Se Recomienda para la
Cámara de Comercio del Piedemonte Araucano adoptar un nuevo diseño de topología de
125
red que cumpla con las normas de calidad de la gestión tecnológica y que se basa en las
directrices de las normas estipuladas como son las 568b, 569ª,606 y 607.
Se deben actualizar los dispositivos físicos y lógicos de la arquitectura de red de
la entidad.
Las distancias en las estaciones de trabajo y en el cuarto de equipos se deben
regir por las normas estipuladas.
En el módulo dos de este documento se describirán en detalle las recomendaciones y políticas y
se describirá la aplicación de las diferentes recomendaciones regidas por las diferentes normas.
126
ANEXOS
Ilustración 48: check list pág. 1 fuente: los autores.
127
Ilustración 49: check list pág. 2 fuente: los autores.
128
Ilustración 50: check list pag.3 fuente: los autores