universidad politÉcnica de sinaloa programa acadÉmico de
TRANSCRIPT
UNIVERSIDAD POLITÉCNICA DE SINALOA PROGRAMA ACADÉMICO DE
INGENIERÍA EN INFORMÁTICA
Tesina
“Renovación de un Centro de Procesamiento de Datos de un
Laboratorio Fisicoquímico y Microbiológico”
Para cumplir la acreditación de las estadías profesionales y contar con los créditos necesarios para obtener el grado de Ingeniero en Informática
Autor:
Axel Daniel Canizalez Torres
Asesor:
Dra. Vanessa Guadalupe Félix Aviña.
Asesor OR:
Ing. Jorge Alberto Huerta Alvarado
Mazatlán, Sinaloa 15 de Diciembre de 2017
Resumen
Las redes informáticas son de gran importancia en nuestras vidas, debido al uso de
internet y estas toman más importancia en una empresa debido a que mejora la
integridad de los datos y la seguridad de estos. En el presente documento se
mostrarán los problemas que presenta la empresa LAQUIN MR, S. A. DE C. V. con
las redes informáticas. Se buscará investigar las posibles soluciones que se puedan
aplicar tanto físicas como reglamentarias aplicando una política de seguridad, así
como el equipo necesario para la renovación del centro de procesamiento de datos
tomando en cuenta las limitaciones de la empresa.
Palabras claves: Redes informáticas, centro de procesamiento de datos, Políticas
de seguridad.
Abstract
Computer networks are of great importance in our lives, due to the use of internet
and these take more importance in a company because it improves the integrity of
the data and the security of these. In this document the problems presented by the
company LAQUIN MR, S. A. DE C. V. with the computer networks will be shown.
We will investigate the possible solutions that can be applied both physical and
regulatory by applying security policy as well as the equipment necessary for the
renovation of the data processing center taking into account the limitations of the
company.
Keyword: Computer networks, data center, Security Policy.
Índice
Contenido
Capítulo 1. Introducción ------------------------------------------------------------------------ 10
Introducción ---------------------------------------------------------------------------------------- 10
Antecedentes -------------------------------------------------------------------------------------- 10
Misión ----------------------------------------------------------------------------------------------- 13
Visión ------------------------------------------------------------------------------------------------ 13
Planteamiento del problema------------------------------------------------------------------- 13
Hipótesis -------------------------------------------------------------------------------------------- 14
Objetivos -------------------------------------------------------------------------------------------- 15
Importancia y/o Justificación del Estudio -------------------------------------------------- 15
Limitaciones del Estudio ------------------------------------------------------------------------ 16
Definición de términos -------------------------------------------------------------------------- 17
Capítulo 2. Marco Referencial y Marco Teórico ----------------------------------------- 21
Introducción ---------------------------------------------------------------------------------------- 21
Descripción y Análisis de Investigaciones Realizadas --------------------------------- 22
Centro de procesamiento de datos (CPD) ---------------------------------------------- 22
¿Construir o alquilar un Centro de Procesos de Datos? ---------------------------- 23
Aspectos o servicios básicos que debe cumplir un Centro de Proceso de
Datos (CPD) ------------------------------------------------------------------------------------ 25
Auditoría Técnica ------------------------------------------------------------------------------ 25
Limpieza Técnica ------------------------------------------------------------------------------ 25
Mantenimiento ---------------------------------------------------------------------------------- 25
Instalaciones Anti vibraciones -------------------------------------------------------------- 26
Diseño de un Centro de Procesamiento de Datos ----------------------------------- 26
Site ------------------------------------------------------------------------------------------------ 29
Políticas de seguridad informática -------------------------------------------------------- 29
Principios fundamentales de las políticas de seguridad ---------------------------- 31
Responsabilidad individual ------------------------------------------------------------------ 31
Autorización ------------------------------------------------------------------------------------- 31
Mínimo privilegio ------------------------------------------------------------------------------- 31
Separación de obligaciones ---------------------------------------------------------------- 31
Auditoría ----------------------------------------------------------------------------------------- 32
Redundancia ------------------------------------------------------------------------------------ 32
Políticas de seguridad del sitio (Site) ---------------------------------------------------- 33
Políticas de Seguridad Beneficios -------------------------------------------------------- 34
¿Como Asegurar la Responsabilidad Hacia la Política de Seguridad? --------- 35
Plan de Acción Cuando se Viole la Política de Seguridad ------------------------- 35
Identificación y Prevención de Problemas de Seguridad --------------------------- 36
Análisis De Riesgo ---------------------------------------------------------------------------- 38
Identificación De Recursos ----------------------------------------------------------------- 41
Identificación de las Amenazas ------------------------------------------------------------ 42
Definición del Acceso No Autorizado ---------------------------------------------------- 42
Riesgos de Revelación de Información -------------------------------------------------- 43
Negación del Servicio ------------------------------------------------------------------------ 44
Uso y Responsabilidades de la Red ----------------------------------------------------- 47
Identificación de Quien está Autorizado para Usar los Recursos de la Red -- 48
Identificación del Uso Adecuado de los Recursos ------------------------------------ 48
Sumario --------------------------------------------------------------------------------------------- 49
Capítulo 3. Metodología ------------------------------------------------------------------------- 53
Sujeto ------------------------------------------------------------------------------------------------ 53
Material --------------------------------------------------------------------------------------------- 53
Procedimiento ------------------------------------------------------------------------------------- 54
Planificar ----------------------------------------------------------------------------------------- 57
Hacer --------------------------------------------------------------------------------------------- 61
Verificar ------------------------------------------------------------------------------------------ 62
Actuar --------------------------------------------------------------------------------------------- 64
Capítulo 4. Resultados -------------------------------------------------------------------------- 65
Introducción ---------------------------------------------------------------------------------------- 65
Análisis de Datos --------------------------------------------------------------------------------- 66
Capítulo 5. Discusión ---------------------------------------------------------------------------- 68
Conclusiones -------------------------------------------------------------------------------------- 68
Recomendaciones y/o sugerencias --------------------------------------------------------- 69
Referencias Bibliográficas --------------------------------------------------------------------- 70
Referencias ------------------------------------------------------------------------------------------ 70
Índice de Ilustraciones
Ilustración 1 Ubicación Laboratorio LAQUIN ......................................................... 12
Ilustración 2 Cara exterior Laboratorio LAQUIN .................................................... 13
Ilustración 3 Redes Inalámbricas en una empresa ................................................ 15
Ilustración 4 Amenazas Informáticas ..................................................................... 17
Ilustración 5 Ejemplos de algunos dispositivos ..................................................... 20
Ilustración 6 Centro de procesamientos de datos ................................................. 24
Ilustración 7 Planos de un Centro de procesamiento de datos ............................. 28
Ilustración 8 Ejemplos de Protecciones de seguridad informática......................... 30
Ilustración 9 Procesos básicos para gestión de seguridad informática ................. 56
Ilustración 10 Grafica de resultados Encuesta - Pregunta 1 ................................. 62
Ilustración 11 Grafica de resultados Encuesta - Pregunta 2 ................................. 63
Ilustración 12 Grafica de resultados Encuesta - Pregunta 3 ................................. 63
Ilustración 13 Grafica de resultados Control de Eventos ....................................... 64
Índice Tablas
Tabla 1 Comparación de Precios .......................................................................... 55
Tabla 2 Tipos de riesgos y sus factores en la empresa ........................................ 57
10
Capítulo 1. Introducción
Introducción
Los grandes cambios tecnológicos debido a la acelerara globalización de la
economía, el aumento de vulnerabilidades y la amplia variedad de amenazas, tales
como las amenazas cibernéticas y el potencial que tienen las tecnologías de
cambiar drásticamente las organizaciones, crear nuevas oportunidades y reducir
costos. Las características que se tengan en el entorno de cualquier entidad
moderna de hoy en día, que incorpore a su gestión las tecnologías de información
y que estas estén sustentadas sobre una infraestructura tecnológica con una
extensa integración de redes, comunicaciones y sistemas de información de punta.
Evaluar el grado de efectividad de las tecnologías de
información debe llevarse a cabo de manera correcta gracias a la
auditoria informática dado que esta evalúa toda su dimensión,
eficiencia, confiabilidad e integración para la toma de decisiones.
Convirtiéndola en un método muy eficaz.
Antecedentes
LAQUIN MR, S. A. DE C. V.
Es una empresa líder en el sector químico-industrial fundada desde el año de 1994
en la ciudad de Mazatlán, Sinaloa, que surgió por la necesidad de cubrir los
requerimientos que se tenían en el sector industrial y privado en materia de análisis
de agua y alimentos.
Laboratorio LAQUIN tiene como prioridad llevar a cabo
el análisis fisicoquímico y microbiológico de aguas, alimentos y
superficies de contactos, así como también brindar un servicio óptimo
11
a todos nuestros clientes en materia de asesoramiento y venta de equipos en todo
lo relacionado al tratamiento de aguas.
Tiene como objetivo proporcionar a nuestros clientes resultados
analíticos, confiables y oportunos, así como el conseguir más acreditaciones que
nos permitan mantenernos en el marco de la competitividad.
Contamos con instalaciones e infraestructura que nos permiten
garantizar la calidad de nuestro trabajo independientemente del volumen o
requisitos del cliente.
Proporcionar a nuestros clientes servicios analíticos confiables que
satisfagan sus expectativas relativas al muestreo de aguas, alimentos y superficies;
el análisis de los mismos y la entrega oportuna de resultados contando con el
compromiso de la Dirección General y las Gerencias en cumplir con la Norma
Mexicana NMX-EC-17025-IMNC-2006; mantener en mejora continua el Sistema de
Gestión establecido de acuerdo a esta norma, su implementación y divulgación a
todo el personal y de atender de manera eficiente las quejas y reclamaciones de los
clientes.
Mantener la Acreditación de LAQUIN MR, S.A. de C.V. por parte de la
Entidad Mexicana de Acreditación (ema), la aprobación de los parámetros
considerados por la Comisión Nacional del Agua (CONAGUA) y seguir siendo un
Laboratorio Tercero Autorizado por la Comisión Federal para la Protección Contra
Riesgos Sanitarios (COFEPRIS).
La Dirección General de LAQUIN MR, S.A. de C.V. se compromete a
mantener la calidad de los ensayos, la buena práctica profesional, de mejorar
continuamente la eficacia del Sistema de Gestión, así como el de dar cumplimiento
a los requisitos, tanto legales como reglamentarios.
El personal que labora en LAQUIN MR S.A. de C.V. está familiarizado
con las actividades de prueba, políticas y procedimientos del sistema de gestión y
los tiene implementados en su trabajo.
12
Laboratorios LAQUIN presta servicio de análisis fisicoquímicos y
microbiológicos en aguas, alimentos, aire y superficies de contacto. Cabe mencionar
que, desde que inició operaciones, ha apoyado, principalmente, a clientes que se
encuentran en los sectores relacionados a plantas tratadoras de aguas residuales,
plantas potabilizadoras y purificadoras, industrias procesadoras de alimentos,
agencias automotrices, restaurantes, hoteles, congeladoras, empaques agrícolas y
todas aquellas empresas generadoras de agua residual.
LAQUIN MR, S. A. DE C. V. se encuentra ubicado Av. Insurgentes #
918 Fracc. María Fernanda Mazatlán, Sinaloa; México.
Ilustración 1 Ubicación Laboratorio LAQUIN
Fuente: Google Maps
13
Ilustración 2 Cara exterior Laboratorio LAQUIN
Fuente: LAQUIN MR, S. A. DE C. V.
Misión
Satisfacer ampliamente las necesidades del cliente a través de la implementación
de un Sistema de Gestión de la Calidad que permita mantener y mejorar la
aplicación de cada punto de la norma mexicana NMX-EC-17025-IMNC-2006, con la
finalidad de garantizar la confiabilidad de nuestros resultados.
Visión
Consolidarnos como un laboratorio líder en el sector químico-industrial, desarrollar
las unidades existentes, así como lograr la acreditación y aprobación de más
técnicas analíticas.
Planteamiento del problema
Uno de los principales problemas que tiene la empresa LAQUIN MR, S. A. DE C. V.
en cuestión del área de informática es el apartado relacionado con las redes, ya que
no se encuentra de manera centralizado, además que no cuenta con la seguridad
14
suficiente para su protección, dado que los empleados no saben cómo lograr
prevenir ataques de seguridad. Un ejemplo claro es que mes de octubre del
presente año ocurrió un ataque a su servidor el cual contenía información reciente
que no era parte de un respaldo aún, por lo cual se perdió información registrada de
meses.
Otro problema presente que surge diariamente es que el Reuter se
queda sin direcciones IP por lo tanto deja de dar acceso a internet a varios equipos,
o incluso llega a reiniciarse por la saturación de dispositivos.
Hipótesis
La mayoría de las empresas como los es LAQUIN MR, S. A. DE C. V. tienen en sus
redes información importante y confidencial; esto debe de protegerse del acceso
indebido del mismo. Para resolver esto es necesario crear una política de seguridad,
utilizar dispositivos que permitan el mayor número de acceso a los usuarios sin
perder velocidad o latencia de señal y obtener la mejor forma de localizar y ordenar
el site.
Logrando esto mencionado permitirá que la empresa LAQUIN MR, S.
A. DE C. V. tenga mayor seguridad en la información almacenada, una mejora en
la distribución de la red inalámbrica de internet y por último una mejor presentación
del centro de procesamiento de datos, logrando así mayor durabilidad de sus
componentes.
15
Ilustración 3 Redes Inalámbricas en una empresa
Fuente: grisselyinfo.blogspot.mx
Objetivos
• Investigar una metodología para la creación de políticas de seguridad
informática.
• Mejorar la seguridad de la red con la utilización de una política de seguridad.
• Investigar el presupuesto de nuevos dispositivos que permitan mayor número
de asignación de IP, un mayor alcance y estabilidad de latencia de red.
• Aplicar los aspectos básicos que debe cumplir un centro de procesamiento
de datos.
Importancia y/o Justificación del Estudio
Los problemas que ocasiona la falta de seguridad no son conocidos por muchos
usuarios de la red, por lo tanto, no saben cómo podrían protegerse de alguna
vulnerabilidad que tienen cada vez que se contactan a la red desde sus casas o el
trabajo.
Por esto es necesario que las empresas toman de gran importancia la
seguridad en su red, ya que como mencione anteriormente los usuarios no están al
16
tanto de cómo protegerse de esto y podría traer grabes consecuencia en la
información almacenada de gran importancia de las empresas.
La mayoría de las veces se implantan soluciones sencillas porque no
le toman importancia la seguridad, pero lo principal que se debe hacer es identificar
un problema particular de la seguridad de la red, pero por cuestiones de ahorrarse
presupuesto o contratar personal especializado omiten esto sufriendo grabes
consecuencias en un futuro como un ataque a su servidor, robo de información entre
otros. Que gracias a la aplicación de una política de seguridad informática se puede
prever de cualquier ataque que surja en algún futuro.
Limitaciones del Estudio
Una de las grandes limitaciones que se podrían tener en la investigación es que no
se otorgue el presupuesto para implementar las mejoras que se investigaron o que
la empresa no esté completamente interesada en recibir la mejorar.
Otro de los limitantes es el tiempo de estadía ya que son alrededor de
4 meses por lo cual puede que la empresa si tenga el interés de implementar las
mejoras de la investigación, pero no a corto plazo agregando el poco personal que
se tiene para el área de informática.
17
Definición de términos
Red informática:
Son dos o más ordenadores conectados entre sí y que comparten recursos, ya sea
hardware (periféricos, sistemas de almacenamiento…) o software (archivos, datos,
programas, aplicaciones…). Una red informática permite que varios usuarios
puedan intercambiar información, pasar archivos, compartir periféricos como las
impresoras e incluso ejecutar programas en otros ordenadores conectados a la red.
[1]
Amenazas informáticas:
Son eventos que pueden causar alteraciones a la información de la organización
ocasionándole pérdidas materiales, económicas, de información, y de prestigio. Las
amenazas se consideran como exteriores a cualquier sistema, es posible establecer
medidas para protegerse de las amenazas, pero prácticamente imposible
controlarlas y menos aún eliminarlas.
Ilustración 4 Amenazas Informáticas
Fuente: Informatico.co
18
[2]
Vulnerabilidad informática:
Es un elemento de un sistema informático que puede ser aprovechado por un
atacante para violar la seguridad, así mismo pueden causar daños por sí mismos
sin tratarse de un ataque intencionado. A las vulnerabilidades se les consideran un
elemento interno del sistema, por lo que es tarea de los administradores y usuarios
el detectarlos, valorarlos y reducirlos. mismo pueden causar daños por sí mismos
sin tratarse de un ataque intencionado.
Seguridad informática:
Se refiere a la prevención y a la protección, a través de ciertos mecanismos, para
evitar que ocurra de manera accidental o intencional la transferencia, modificación,
fusión o destrucción no autorizada de la información. El conjunto de normas,
mecanismos, herramientas, procedimientos y recursos orientados a brindar
protección a la información resguardando sus disponibilidad, integridad y
confidencialidad.
Site
Todos los grandes servidores se suelen concentrar en una sala denominada "sala
fría", "nevera", "pecera" (o site). Esta sala requiere un sistema específico de
refrigeración para mantener una temperatura baja (entre 21 y 23 grados Celsius),
necesaria para evitar averías en las computadoras a causa del sobrecalentamiento.
Centro de procesamiento de datos (CPD)
Los Centro de Procesos de Datos (CPD) o Data Centers son salas especiales
equipadas con mecanismos de control eléctrico, ambiental y de incendios en donde
19
se alojan los sistemas de proceso, comunicación y almacenamiento de datos. Hoy
en día su imagen se asocia a grandes instalaciones utilizadas por los operadores
de servicios online, telecomunicaciones o banca, sin embargo, los CPDs suelen ser
habitualmente instalaciones más modestas como las que gestiona el Servicio de
Informática.
Protocolo Informático
Son conjuntos de normas o reglas de comunicación que deben seguir las
computadoras para lograr entablar los enlaces correctamente. Los protocolos
representan la manera en que las computadoras se comunican entre sí.
Políticas de seguridad informática
La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la
manera de dirigir, proteger y distribuir recursos en una organización para llevar a
cabo los objetivos de seguridad informática dentro de la misma.
Las políticas de seguridad definen lo que está permitido y lo que está
prohibido, permiten definir los procedimientos y herramientas necesarias, expresan
el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la
organización.
Dirección IP
Todas las computadoras conectadas a internet poseen un número único e
irrepetible, llamado dirección IP (por sus siglas en inglés: Internet Protocol). La
dirección IP consta de un número que está compuesto por la agrupación de 4 grupos
de 8 bits que se conocen como bytes u octetos. Cada grupo de 8 bits, en formato
decimal, pueden valer entre 0 y 255.
20
Latencia de red
Es el tiempo que tarda en transmitirse un paquete dentro de la red, y es un factor
clave en las conexiones a Internet. En función de la conexión que tengamos, esta
latencia será mayor o menor. La latencia influye, por ejemplo, en el tiempo que tarda
en cargar una web.
Dispositivo
Un dispositivo es un aparato o mecanismo que desarrolla determinadas acciones.
Su nombre está vinculado a que dicho artificio está dispuesto para cumplir con su
objetivo. La noción de dispositivo es muy popular en la computación y la informática,
ya que dicho término se utiliza para nombrar a los periféricos y otros sistemas
vinculados al funcionamiento de las computadoras.
Ilustración 5 Ejemplos de algunos dispositivos
Fuente: partesdelacomputadora.info
21
Capítulo 2. Marco Referencial y Marco Teórico
Introducción
Hoy en día es importante tener una política de seguridad de red bien establecida y
efectiva que pueda proteger la información de la compañía. Por esto es importante
que se llegue a implementar una política de seguridad si los recursos y la
información que la organización tiene en sus redes merece protegerse. Ya que la
mayoría de las organizaciones tienen en sus bases de datos información valiosa o
secreta importante, esta información debe protegerse del acceso indebido del mimo
modo que otros bienes valiosos como la propiedad corporativa y os edificios de
oficina.
Los diseñadores de redes comúnmente empiezan a implementar
soluciones de firewall mucho antes que se haya identificado el problema de
seguridad de red de manera detallada, tal vez una de las razones de esto es que
realizar una política de seguridad de red que sea efectiva puede llegar a significar a
generar cuestiones acerca de los tipos de servicios de redes y recursos que los
usuarios tienen permitido y cuales tendrá que restringirse por que presentan riesgos
de seguridad para la empresa.
Pero no es suficiente ya que se debe de tomar en cuenta que la política
de seguridad que se quiere aplicar no sea una completa restricción para los
empleados de la organización y no puedan ejercer sus labores de manera correcta
por estas restricciones. Debido a que una organización puede tener muchos sitios
(site), y cada uno contar con sus propias redes, y más si esta organización es grande
es probable que los sitios lleguen a tener diferente administración de red, con metas
y objetivos diferentes. Si estos sitios no se encuentran conectados a través de una
red interna cada uno de ellos puede tener sus propias políticas de seguridad de red.
22
Sin embargo, si se encuentran mediante una red interna, la política de red debe
abarcar todos los objetivos de los sitios interconectados.
Descripción y Análisis de Investigaciones Realizadas
[3]
Centro de procesamiento de datos (CPD)
Se pueden definir como la ubicación donde se encuentran los equipos informáticos
necesarios para el procesamiento de la información de una empresa. Su tamaño
puede variar de pequeñas salas a conjuntos de edificios. Los más habituales suelen
ocupar grandes salas o un edificio entero.
En ellos se ubican grandes cantidades de componentes electrónicos
que hacen posible el almacenamiento y proceso de la información. Es por esto que
hay que tener un especial cuidado con estas instalaciones. Se construyen con el
objetivo de garantizar la continuidad de servicio, o para gestionar informaciones
críticas. Por ejemplo, todos los bancos cuentan con Centros de Proceso de Datos,
manejan informaciones confidenciales y la seguridad es una prioridad.
Aprox. el 50% del consumo eléctrico de un CPD se destina a la
infraestructura, mayormente a la refrigeración y el SAI. El consumo eléctrico para la
refrigeración se explica porque la energía consumida por los sistemas TI es
transformada en calor, que debe ser evacuado a su vez por los sistemas de
refrigeración y transportada fuera del centro de proceso de datos.
Se trata de una tarea exigente y compleja: existen los métodos más
variados, como la refrigeración mediante aire, con un líquido o la refrigeración
adiabática. Aparte de esto, las zonas climáticas en el centro de proceso de datos,
como p. ej. el cerramiento cúbico de pasillo caliente/frío, incrementan la eficiencia
de la refrigeración.
23
Según ASHRAE también se puede mejorar la eficiencia de la
refrigeración aumentando la temperatura (se recomienda hasta los 27°C) del aire
admitido por los equipos TI, porque esto permite aumentar al máximo la componente
de refrigeración libre o indirecta.
¿Construir o alquilar un Centro de Procesos de Datos?
Cuando una empresa no dispone de suficientes especialistas en TI
propios como para poder garantizar un funcionamiento seguro y con alta
disponibilidad operativa del CPD completo, puede externalizar de forma estudiada
determinados servicios TI. Así, los responsables de TI pueden recurrir en la
actualidad a diferentes modelos de operación y soluciones de externalización, que
reducen los requerimientos impuestos al CPD propio.
Se pueden encontrar todas las combinaciones imaginables, desde la
clásica externalización de servidores y aplicaciones hasta la integración de servicios
informáticos externos basados en la nube. Su ventaja reside en que, si una empresa
adquiere de un ofertante externo un servicio de Cloud Computing, éste ya incluye
todos los servicios de seguridad, como protección antivirus, actualización y copia de
seguridad.
Las crecientes exigencias de alta disponibilidad operativa hacen
parecer indicada en muchos casos una modernización integral o, incluso, la
construcción de un nuevo CPD. Especialmente en los edificios antiguos llega un
momento en el que ya no resulta rentable reequipar los componentes necesarios
para el suministro eléctrico, la climatización y la seguridad de acceso.
La infraestructura necesaria para su funcionamiento está compuesta
a grandes rasgos por los elementos básicos racks, alimentación eléctrica,
refrigeración y software DCIM (Data Center Infrastructure Management) para la
monitorización permanente de los sistemas TI.
24
En el CPD los componentes técnicos, tales como generación de frío,
suministro energético / aseguramiento de la continuidad del mismo e instalación de
extinción de incendios, están separados físicamente de los sistemas TI activos.
Entre los componentes TI activos se incluyen, por ejemplo, los
servidores, los componentes de red y los sistemas de almacenamiento.
Los racks TI son en el centro de proceso de datos el equivalente a la
librería en una sala de estar. Estos armarios de hasta 2,20 m de altura incorporan
unos elementos de 19” normalizados, que alojan los componentes TI, tales como
servidores y componentes de redes.
Los racks de mayor anchura disponen de espacios laterales para
alojar un cableado estructurado o la fuente de alimentación.
Ilustración 6 Centro de procesamientos de datos
Fuente: eldiario.es
25
[4]
Aspectos o servicios básicos que debe cumplir un Centro de Proceso de
Datos (CPD)
Son elementos muy delicados que requieren de seguridad y mantenimiento. En
todos los casos deben cumplir con unos aspectos básico.
Auditoría Técnica
Consiste en un estudio exhaustivo y pormenorizado de todos los elementos del CPD
y de su estado. Se requiere la realización de informes que aporten la suficiente
confianza y disponibilidad. Como hemos dicho antes, esto nos permitirá la
continuidad y calidad de los servicios.
Limpieza Técnica
La limpieza es un aspecto fundamental, y debido a esto, la normativa vigente
recomienda, al menos, una medición de suciedad y partículas al año. Los datos
obtenidos juzgarán si es necesario o no una limpieza técnica. Este tipo de limpieza
ha de hacerse por personal especializado. Si no se realiza de esta manera se corre
el riesgo de contaminar la sala y no habrá servido de nada.
La acumulación de suciedad dentro de las salas puede llevar al
sobrecalentamiento de los equipos y al mal funcionamiento de los mismos, incluso
a la obstrucción de los filtros y a dificultar el flujo de aire.
Mantenimiento
Como todas las instalaciones delicadas de una empresa, uno de los servicios más
importantes que hay que tener en cuenta es el mantenimiento. El correcto
funcionamiento de la infraestructura, así como el constante cuidado y optimización
26
evitará posibles fallos o desastres. Cuando se trata de información crítica, la
prevención es prioritaria.
Instalaciones Anti vibraciones
Todos los componentes electrónicos sufren enormemente con las vibraciones y
empeoran su rendimiento. Pero no solo las debidas a terremotos o seísmos. Una
obra cercana, las vías del tren, una autovía o los mismos equipos de refrigeración,
pueden perjudicar al sistema. Para evitar estos problemas debemos contar con una
de las múltiples soluciones anti vibraciones que existen en el mercado. En este
video os enseñamos como funciona una de ellas.
[5]
Diseño de un Centro de Procesamiento de Datos
El diseño de un centro de procesamiento de datos comienza por la elección de su
ubicación geográfica y requiere un equilibrio entre diversos factores:
• Coste económico: coste del terreno, impuestos municipales, seguros, etc.
• Infraestructuras disponibles en las cercanías: energía eléctrica, carreteras,
acometidas de electricidad, centralitas de telecomunicaciones, bomberos,
etc.
• Riesgo: posibilidad de inundaciones, incendios, robos, terremotos, etc.
Una vez seleccionada la ubicación geográfica es necesario encontrar unas
dependencias adecuadas para su finalidad, ya se trate de un local de nueva
construcción u otro ya existente a comprar o alquilar. Algunos requisitos de las
dependencias son:
• Doble acometida eléctrica.
• Muelle de carga y descarga.
27
• Montacargas y puertas anchas.
• Altura suficiente de las plantas.
• Medidas de seguridad en caso de incendio o inundación: drenajes,
extintores, vías de evacuación, puertas ignífugas, etc.
• Aire acondicionado, teniendo en cuenta que se usará para la refrigeración de
equipamiento informático.
• Almacenes.
• Orientación respecto al sol (si da al exterior).
Incluso cuando se disponga del local adecuado, siempre es necesario algún
despliegue de infraestructuras en su interior:
• Falsos suelos y falsos techos.
• Cableado de red y teléfono.
• Doble cableado eléctrico.
• Generadores y cuadros de distribución eléctrica.
• Acondicionamiento de salas.
• Instalación de alarmas, control de temperatura y humedad con avisos SNMP
o SMTP.
• Facilidad de acceso (pues hay que meter en él aires acondicionados
pesados, muebles de servidores grandes, etc).
Una parte especialmente importante de estas infraestructuras son aquellas
destinadas a la seguridad física de la instalación, lo que incluye:
• Cerraduras electromagnéticas.
• Torniquetes.
• Cámaras de seguridad.
• Detectores de movimiento.
• Tarjetas de identificación.
28
Una vez acondicionado el habitáculo se procede a la instalación de las
computadoras, las redes de área local, etc. Esta tarea requiere un diseño lógico de
redes y entornos, sobre todo en áreas a la seguridad. Algunas actuaciones son:
• Creación de zonas desmilitarizadas (DMZ).
• Segmentación de redes locales y creación de redes virtuales (VLAN).
• Despliegue y configuración de la electrónica de red: pasarelas, enrutadores,
conmutadores, etc.
• Creación de los entornos de explotación, pre-explotación, desarrollo de
aplicaciones y gestión en red.
• Creación de la red de almacenamiento.
• Instalación y configuración de los servidores y periféricos.
Ilustración 7 Planos de un Centro de procesamiento de datos
Fuente: dovinet.com
29
Site
Generalmente, todos los grandes servidores se suelen concentrar en una sala
denominada "sala fría", "nevera", "pecera" (o site). Esta sala requiere un sistema
específico de refrigeración para mantener una temperatura baja (entre 21 y 23
grados Celsius), necesaria para evitar averías en las computadoras a causa del
sobrecalentamiento. Según las normas internacionales la temperatura exacta debe
ser 22,3 grados Celsius.
El site suele contar con medidas estrictas de seguridad en el acceso
físico, así como medidas de extinción de incendios adecuadas al material eléctrico,
tales como extinción por agua nebulizada o bien por gas INERGEN, dióxido de
carbono o nitrógeno, aunque una solución en auge actualmente es usar sistemas
de extinción por medio de agentes gaseosos, como por ejemplo Novec 1230.
[6]
Políticas de seguridad informática
Antes de conocer que son las políticas de seguridad informática debemos tener
claro que es una política de seguridad; La cual es una serie de instrucciones
documentadas que indican la forma en que se llevan a cabo determinados procesos
dentro de una organización, también describen cómo se debe tratar un determinado
problema o situación.
Las políticas pueden considerarse como un conjunto de leyes
obligatorias propias de una organización, y son dirigidas a un público mayor que las
normas pues las políticas proporcionan las instrucciones generales, mientras que
las normas indican requisitos técnicos específicos.
Las normas, por ejemplo, definirían la cantidad de bits de la llave
secreta que se requieren en un algoritmo de cifrado. Por otro lado, las políticas
30
simplemente definirían la necesidad de utilizar un proceso de cifrado autorizado
cuando se envíe información confidencial a través de redes públicas, tales como
Internet.
Entrando al tema de seguridad informática, una política de seguridad
es un conjunto de reglas y prácticas que regulan la manera en que se deben dirigir,
proteger y distribuir los recursos en una organización para llevar a cabo los objetivos
de seguridad informática de la misma.
Ilustración 8 Ejemplos de Protecciones de seguridad informática
Fuente: seguridadinformatica-umex.blogspot.mx
31
[7]
Principios fundamentales de las políticas de seguridad
Son las ideas principales a partir de las cuales son diseñadas las políticas de
seguridad. Los principios fundamentales son: responsabilidad individual,
autorización, mínimo privilegio, separación de obligaciones, auditoría y
redundancia.
Responsabilidad individual
Este principio dice que cada elemento humano dentro de la organización es
responsable de cada uno de sus actos, aun si tiene o no conciencia de las
consecuencias.
Autorización
Son las reglas explícitas acerca de quién y de qué manera puede utilizar los
recursos.
Mínimo privilegio
Este principio indica que cada miembro debe estar autorizado a utilizar únicamente
los recursos necesarios para llevar a cabo su trabajo. Además de ser una medida
de seguridad, también facilita el soporte y mantenimiento de los sistemas.
Separación de obligaciones
Las funciones deben estar divididas entre las diferentes personas relacionadas a la
misma actividad o función, con el fin de que ninguna persona cometa un fraude o
ataque sin ser detectado. Este principio junto con el de mínimo privilegio reducen la
32
posibilidad de ataques a la seguridad, pues los usuarios sólo pueden hacer uso de
los recursos relacionados con sus actividades, además de que facilita el monitoreo
y vigilancia de usuarios, permitiendo registrar y examinar sus acciones.
Auditoría
Todas las actividades, sus resultados, gente involucrada en ellos y los recursos
requeridos deben ser monitoreados desde el inicio y hasta después de ser
terminado el proceso.
Además, es importante considerar que una auditoría informática busca
verificar que las actividades que se realizan, así como las herramientas instaladas
y su configuración son acordes al esquema de seguridad informática realizado y si
éste es conveniente a la seguridad requerida por la empresa.
Redundancia
Trata entre otros aspectos sobre las copias de seguridad de la información, las
cuales deben ser creadas múltiples veces en lapsos de tiempos frecuentes y
almacenados en lugares distintos.
Sin embargo, la redundancia como su nombre lo indica, busca
“duplicar” y en este sentido se puede decir que a través de los respaldos se duplica
información, y lo mismo se puede realizar en diferentes aspectos, como por ejemplo:
en cuanto a energía eléctrica, una planta de luz para garantizar que opere en casos
de emergencia, servidores de datos que entren en operación cuando el primario
sufra una avería, etcétera, de manera tal que la redundancia se considera en
aquellos casos o servicios que se vuelven imprescindibles para la empresa y que
no pueden suprimirse pase lo que pase.
33
Políticas de seguridad del sitio (Site)
Las empresas llegan a tener muchos sitios (site) dentro de sus instalaciones y cada
uno cuenta con sus propias redes, si la empresa es grande, probablemente los sitios
tengan diferente administración de red, con metas y objetivos diferentes.
Si esos sitios no están conectados a través de una red interna, cada
uno de ellos puede tener sus propias políticas de seguridad de red. Sin embargo, si
los sitios están conectados mediante una red interna, la política de red debe abarcar
todos los objetivos de los sitios interconectados.
En general, un sitio es cualquier parte de una organización que posee
computadoras y recursos relacionados con redes. Algunos, no todos, de esos
recursos son los siguientes:
• Estaciones de trabajo.
• Computadoras host y servidores.
• Dispositivos de interconexión gateway, routers, bridges, repetidores.
• Servidores de terminal.
• Software para conexión de red y de aplicaciones.
• Cables de red
• La información de archivos y bases de datos.
La política de seguridad del sitio debe tomar en cuenta la protección
de estos recursos. Debido a que el sitio está conectado a otras redes, la política de
seguridad del sitio debe considerar las necesidades y requerimientos de seguridad
de todas las redes interconectadas.
Este es un punto importante en el que es posible idear una política de
seguridad que salvaguarde sus intereses pero que sea dañina para los de otros. Un
ejemplo de esto sería el uso deliberado de direcciones IP, detrás del gateway del
34
firewall que ya estén siendo usadas por alguien más. En este los ataques que se
hicieran contra su red mediante la falsificación de las direcciones IP de su red, se
desviarán a la organización a la que pertenecen las direcciones IP que usted está
usando. Debe evitarse esta situación, ya que su interés es ser un ‘buen ciudadano’
de Internet.
La RFC 1244 aborda con considerable detalle la política de seguridad
del sitio. Muchas de las cuestiones de política de seguridad de este capítulo están
basadas en las cuestiones planteadas por esa RFC.
[6]
Políticas de Seguridad Beneficios
Las políticas de seguridad informática muchas veces ayudan a tomar decisiones
sobre otros tipos de política (propiedad intelectual, destrucción de la información,
etc.). También son útiles a las tomas decisiones sobre adquisiciones porque algunos
equipos o programas no serán aceptables en términos de las políticas mientras que
otras la sustentarán.
Las políticas de seguridad informática deben considerarse como un
documento de largo plazo, que evolucionan. No contienen asuntos específicos de
implementación, pero si asuntos específicos del equipo de cómputo y
telecomunicaciones de la organización. Probablemente serán la guía para el diseño
de cambios a esos sistemas.
El desarrollo e implantación de políticas de seguridad informática es
una indicación de que una organización está bien administrada y los auditores lo
toman en cuenta en sus evaluaciones. Condicen a una profesionalización de la
organización.
35
[8]
¿Como Asegurar la Responsabilidad Hacia la Política de Seguridad?
Un aspecto importante de la política de seguridad de red es asegurar que todos
conozcan su propia responsabilidad para mantener la seguridad. Es difícil que una
política de seguridad se anticipe a todas las amenazas posibles.
Sin embargo, las políticas pueden asegurar que para cada tipo de
problema haya alguien que lo pueda manejar de manera responsable. Puede haber
muchos niveles de seguridad relacionados con la política de seguridad. Por ejemplo,
cada usuario de la red debe ser responsable de cuidar su contraseña.
El usuario que permite que su contraseña se vea comprometida
incrementa la posibilidad de comprometer otras cuentas y recursos. Por otra parte,
los administradores de la red y del sistema son responsables de administrar la
seguridad general de la red.
Plan de Acción Cuando se Viole la Política de Seguridad
Cada vez que se viola la política de seguridad, el sistema este sujeto a amenazas.
Si no se producen cambios en la seguridad de la red cuando esta sea violada,
entonces debe modificarse la política de seguridad para eliminar aquellos elementos
que no sean seguros.
La política de seguridad y su implementación deben ser lo menos
obstructivas posible. Si la política de seguridad es demasiado restrictiva, o esta
explicada inadecuadamente, es muy probable que sea violada o desactivada.
Al margen del tipo de política que se implemente, algunos usuarios
tienen la tendencia a violarla. En ocasiones las violaciones a la política son
evidentes; otras veces estas infracciones no son detectadas.
36
Los procedimientos de seguridad que usted establezca deben reducir
al mínimo la posibilidad de que no se detecte una infracción de seguridad.
Cuando usted detecte una violación a la política de seguridad, debe
determinar si esta ocurrió debido a la negligencia de un individuo, a un accidente o
error, por ignorancia de la política vigente o si deliberadamente la política fue pasada
por alto.
En este último caso, la violación quizás haya sido efectuada no solo
por una persona, sino por un grupo que a sabiendas realiza un acto en violación
directa de la política de seguridad. En cada una de estas circunstancias, la política
de seguridad debe contar con lineamientos acerca de las medidas que se deben
tomar.
Debe llevarse a cabo una investigación para determinar las
circunstancias en torno a la violación de seguridad, y cómo y por qué ocurrió. La
política de seguridad debe contener lineamientos acerca de las acciones correctivas
para las fallas de seguridad. Es razonable esperar que el tipo y severidad de la
acción dependan de la gravedad de la violación.
Identificación y Prevención de Problemas de Seguridad
La política de seguridad define lo que necesita protegerse, pero no señala
explícitamente como deben protegerse los recursos y el enfoque general para
manejar los problemas de seguridad.
En una sección separada de la política de seguridad deben abordarse
los procedimientos generales que deben implementarse para evitar problemas de
seguridad.
37
La política de seguridad debe remitirse a la guía del administrador de
sistemas del sitio respecto a detalles adicionales acerca de la implementación de
los procedimientos de seguridad.
Antes de establecer los procedimientos de seguridad, debe evaluar el
nivel de importancia de los recursos de la red y su grado de riesgo.
En muchas ocasiones es tentador empezar a implementar
procedimientos como el siguiente, sin haber definido la política de seguridad de la
red: “Nuestro sitio necesita ofrecer a los usuarios acceso telnet a los hosts internos
y externos, evitar acceso NFS a los hosts internos, pero negarlo a los usuarios
externos, tener tarjetas inteligentes para registrarse desde afuera, tener módems de
contestación de Llamada...
Si no se conocen adecuadamente los recursos más importantes y los
que están expuestos a mayores riesgos, el enfoque anterior hará que ciertas áreas
tengan más protección de la que necesitan, y que otras áreas más importantes no
tengan suficiente protección.
Establecer una política de seguridad eficaz requiere considerable
esfuerzo. Se necesita cierto esfuerzo para considerar todos los aspectos y cierta
disposición para establecer las políticas en papel y hacer lo necesario para que los
usuarios de la red la entiendan adecuadamente.
Además de realizar el análisis de riesgo de los recursos de la red,
usted debe identificar otros puntos vulnerables. La siguiente lista es un intento de
describir algunas de las tareas más problemáticas.
38
Esta lista lo puede orientar en la dirección correcta, pero de ningún
modo está completa, ya que es probable que su sitio tenga algunos puntos
vulnerables particulares.
• Puntos de acceso
• Sistemas configurados inadecuadamente Problemas de
software
• Amenazas internas Seguridad física
Análisis De Riesgo
Cuando se crea una política de seguridad de red, es importante que comprenda que
la razón para crear una política es, en primer lugar, asegurar que los esfuerzos
dedicados a la seguridad impliquen un costo razonable.
Esto significa que usted debe conocer cuales re- cursos vale la pena
proteger, y cuales son más importantes que otros. También debe identificar la fuente
de amenazas de la que usted está protegiendo a los recursos de la red.
A pesar de toda la publicidad acerca de los intrusos que irrumpen en
una red, muchos estudios indican que, en el caso de la mayoría de las
organizaciones, las verdaderas pérdidas causadas por los usuarios internos son
mucho mayores.
El análisis de riesgo implica determinar lo siguiente:
• ¿Qué necesita proteger?
• ¿De qué necesita protegerlo?
• ¿Cómo protegerlo?
39
Los riesgos deben clasificarse por nivel de importancia y gravedad de
la perdida. No debe terminar en una situación en la que gaste más en proteger algo
que es de menor valor para usted. En el análisis de riesgo hay que determinar los
siguientes dos factores:
1. Estimación del riesgo de perder el recurso (Ri)
2. Estimación de la importancia del recurso (Wi)
Puede asignarse un valor numérico como paso para cuantificar el
riesgo de perder un recurso. Por ejemplo, puede asignarse un valor de 0 a 10 al
riesgo (Ri) de perder un recurso, en donde 0 representa que no hay riesgo y 10
representa él más alto riesgo.
De igual modo, a la importancia de un recurso (Wi) se le puede asignar
un valor del 0 al 10, en donde 0 representa que no tiene importancia y 10 representa
la máxima importancia.
El riesgo evaluado del recurso ser el producto del valor del riesgo y de
su importancia (también llamada peso). Esto puede escribirse como sigue:
WRi= Ri*Wi
Wri = Riesgo evaluado del recurso “i” Ri = Riesgo del recurso “i”
Wi = Peso (importancia) del recurso “i”
Considere la figura que se muestra es una red simplificada con un router, un servidor
y un bridge.
40
Suponga que los administradores de la red y del sistema hayan encontrado las
siguientes estimaciones del riesgo y de la importancia de los dispositivos de red.
R3=10
W3=1
Diagrama de una red simplificada, con evaluaciones de peso Y riesgo.
Router
• R1=6
• W1=.7
Bridge
• R2=6
• W2=.3
Servidor
• R3=10
• W3=1
El cálculo de los riesgos evaluados de estos dispositivos se muestra a continuación
Router
WR1 = R1 * W1 = 6*0.7 = 4.2
Bridge
WR2 = R2 * W2 = 6*0.3 = 1.8
41
Servidor
WR3 = R3 * W3 = 10 * 1 = 10
La evaluación de la amenaza y los riesgos no debe ser una actividad
de una sola vez; debe realizarse con regularidad, como se defina en la política de
seguridad del sitio. Otros factores que hay que considerar al estimar el riesgo de
un recurso de red son su disponibilidad, integridad y confidencialidad.
La disponibilidad de un recurso es la medida de qué tan importante es
tenerlo disponible todo el tiempo. La integridad de un recurso es la medida de que
tan importante es que este o los datos del mismo sean consistentes.
Esto es de particular importancia para los recursos de bases de datos.
La confidencialidad se aplica a recursos, tales como archivos de datos, a los cuales
se desee restringir el acceso.
[9]
Identificación De Recursos
Al realizar el análisis de riesgo, usted debe identificar todos los recursos que corran
el riesgo de sufrir una violación de seguridad.
Los recursos como el hardware son bastante obvios para incluirlos en
este cálculo, pero en muchas ocasiones se ignoran recursos tales como las
personas que en realidad utilizan los sistemas. Es importante identificar a todos los
recursos de la red que puedan ser afectados por un problema de seguridad.
La RFC 1244 enlista los siguientes recursos de red que usted debe
considerar al calcular las amenazas a la seguridad general:
• HARDWARE: procesadores, tarjetas, teclados, terminales, estaciones de
trabajo, computadoras personales, impresoras, unidades de disco, líneas
42
de comunicación, servidores terminales, routers.
• SOFTWARE: programas fuente, programas objeto, utileras, programas de
diagnóstico, sistemas operativos, programas de comunicaciones.
• DATOS: durante la ejecución, almacenados en línea, archivados fuera dé
línea, respaldos, registros de auditoria, bases de datos, en tránsito a través
de medios de comunicación.
• PERSONAS: usuarios, personas necesarias para operar los sistemas.
• DOCUMENTACIÓN: Sobre programas, hardware, sistemas, procedimientos
administrativos locales.
• SUMINISTROS: papel, formularios, cintas, medios magnéticos.
Identificación de las Amenazas
Una vez que se han identificado los recursos que requieren protección,
usted debe identificar las amenazas a las que están expuestos. Pueden
examinarse las amenazas para determinar qué posibilidad de pérdida
existe. También debe identificar de qué amenazas está usted tratando de
proteger a sus recursos.
Definición del Acceso No Autorizado
El acceso a los recursos de la red debe estar permitido a los usuarios
autorizados. Esto se llama acceso autorizado. Una amenaza común que
afecta a muchos sitios es el acceso no autorizado a las instalaciones de
cómputo.
Este acceso puede tomar muchas formas, como el uso de la
cuenta de otro usuario para tener acceso a la red y sus recursos. En
43
general, se considera que el uso de cualquier recurso de la red sin permiso
previo es un acceso no autorizado.
La gravedad del acceso no autorizado depende del sitio y de
la naturaleza de la perdida potencial. En algunos sitios, el solo hecho de
conceder acceso a un usuario no autorizado puede causar daños
irreparables por la cobertura negativa de los medios.
Algunos sitios, debido a su tamaño y visibilidad, pueden ser
objetivos más frecuentes que otros. El Equipo de Respuesta de
Emergencias de Computo (CERT) ha hecho la observación de que, en
general, las universidades de prestigio, los sitios del gobierno y las zonas
militares parecen atraer más intrusos. En la sección “Equipo de respuesta
de seguridad”, puede encontrarse más información acerca de CERT, así
como sobre otras organizaciones similares.
Riesgos de Revelación de Información
La revelación de información ya sea voluntaria o involuntaria, es otro tipo de
amenaza. Usted debe determinar el valor y delicadeza de la información
guardada en sus computadoras.
En el caso de vendedores de hardware y software, el código
fuente, los detalles de diseño, los diagramas y la información específica de
un producto representan una ventaja competitiva.
Los hospitales, las compañías de seguros y las instituciones
financieras mantienen información confidencial, cuya revelación puede ser
perjudicial para los clientes y la reputación de la empresa.
44
Los laboratorios farmacéuticos pueden tener aplicaciones
patentadas y no pueden arriesgarse a pérdidas causadas por robos.
A nivel del sistema, la revelación de un archivo de contraseñas
de un sistema Unix puede volverlo vulnerable a accesos no autorizados en
el futuro. Para muchas organizaciones, un vistazo, a una propuesta o un
proyecto de investigación que represente muchos años de trabajo puede
darle a su competidor una ventaja injusta.
Muchas veces, la gente supone que los accesos no
autorizados de terceros a las redes y computadoras son realizados por
individuos que trabajan por su cuenta.
Negación del Servicio
Las redes vinculan recursos valiosos, como computadoras y bases de
datos, y proporcionan servicios de los cuales depende la organización.
La mayoría de los usuarios depende de estos servicios para
realizar su trabajo con eficacia. Si no están disponibles estos servicios, hay
una pérdida correspondiente de productividad. Un ejemplo clásico de esto
es el incidente del gusano de Internet, que ocurrió el 2 y 3 de noviembre de
1988, en el que se volvieron inservibles un gran número de computadoras
de la red.
Es difícil predecir la forma en que se produzca la negación del
servicio. Los siguientes son algunos ejemplos de cómo la negación de
servicios puede afectar una red.
• La red puede volverse inservible por un paquete extraviado.
• La red puede volverse inservible por inundación de tráfico.
• La red puede ser fraccionada al desactivar un componente
45
importante, como el router que enlaza los segmentos de la red.
• Un virus puede alentar o invalidar un sistema de cómputo al consumir
los recursos del sistema.
Los dispositivos reales que protegen a la red podrán alterar el
funcionamiento. Usted debe determinar qué servicios son absolutamente
esenciales y, para cada uno de ellos, determinar el efecto de su perdida.
También debe contar con políticas de contingencia para recuperarse de
tales perdidas.
En la actualidad los programas y los equipos son altamente
sofisticados y sólo algunas personas dentro del centro de cómputo conocen
al detalle el diseño, lo que puede provocar que puedan producir algún
deterioro a los sistemas si no se toman las siguientes medidas:
• Se debe restringir el acceso a los programas y a los archivos.
• Los operadores deben trabajar con poca supervisión y sin la
participación de los programadores, y no deben modificar los
programas ni los archivos.
• Se debe asegurar en todo momento que los datos y archivos usados
sean los adecuados, procurando no usar respaldos inadecuados.
• No debe permitirse la entrada a la red a personas no autorizadas, ni
a usar las terminales.
• Se deben realizar periódicamente una verificación física del uso de
terminales y de los reportes obtenidos.
• Se deben monitorear periódicamente el uso que se le está dando a
las terminales.
• Se deben hacer auditorías periódicas sobre el área de operación y la
utilización de las terminales.
• El usuario es el responsable de los datos, por lo que debe asegurarse
que los datos recolectados sean procesados completamente. Esto
46
sólo se logrará por medio de los controles adecuados, los cuales
deben ser definidos desde el momento del diseño general del
sistema.
• Deben existir registros que reflejen la transformación entre las
diferentes funciones de un sistema.
• Debe controlarse la distribución de las salidas
(reportes, cintas, etc.).
• Se debe guardar copias de los archivos y programas en lugares
ajenos al centro de cómputo y en las instalaciones de alta seguridad;
por ejemplo: los bancos.
• Se debe tener un estricto control sobre el acceso físico a los archivos.
• En el caso de programas, se debe asignar a cada uno de ellos, una
clave que identifique el sistema, subsistema, programa y versión.
También evitará que el programador ponga nombres que
nos signifiquen nada y que sean difíciles de identificar, lo que evitará que
el programador utilice la computadora para trabajos personales. Otro de
los puntos en los que hay que tener seguridad es en el manejo de
información.
Para controlar este tipo de información se debe:
• Cuidar que no se obtengan fotocopias de información confidencial
sin la debida autorización.
• Sólo el personal autorizado debe tener acceso a la información
confidencial.
• Controlar los listados tanto de los procesos correctos como aquellos
procesos con terminación incorrecta.
• Controlar el número de copias y la destrucción de la información y
del papel carbón de los reportes muy confidenciales.
• El factor más importante de la eliminación de riesgos en la
47
programación es que todos los programas y archivos estén
debidamente documentados.
• El siguiente factor en importancia es contar con los respaldos, y
duplicados de los sistemas, programas, archivos y documentación
necesarios para que pueda funcionar el plan de emergencia.
• Equipo, programas y archivos Control de aplicaciones por terminal
• Definir una estrategia de seguridad de la red y de respaldos
Requerimientos físicos.
• Estándar de archivos.
• Auditoría interna en el momento del diseño del sistema, su
implantación y puntos de verificación y control.
Uso y Responsabilidades de la Red
Existen numerosas cuestiones que deben abordarse al elaborar una política de
seguridad:
1. ¿Quién está autorizado para usar los recursos?
2. ¿Cuál es el uso adecuado de los recursos?
3. ¿Quién está autorizado para conceder acceso y aprobar el uso?
4. ¿Quién puede tener privilegios de administración del sistema?
5. ¿Cuáles son los derechos y las responsabilidades del usuario?
6. ¿Cuáles son los derechos y las responsabilidades del administrador del
sistema, en comparación con los de los usuarios?
7. ¿Qué hace usted con la información delicada?
48
Identificación de Quien está Autorizado para Usar los Recursos de la Red
Debe hacerse una lista de los usuarios que necesitan acceso a los recursos de la
red. No es necesario enlistar a cada usuario. La mayoría de estos pueden dividirse
en grupos como usuarios de contabilidad, abogados corporativos, ingenieros,
etcétera.
También debe tomar en cuenta una clase llamada usuarios externos
esta se compone de los usuarios que tengan acceso a su red desde otras partes,
como estaciones de trabajo autónomas y otras redes; pueden no ser empleados, o
bien, pueden ser empleados que tengan acceso a la red desde sus hogares o
durante un viaje.
Identificación del Uso Adecuado de los Recursos
Una vez determinados los usuarios autorizados a tener acceso a los recursos de la
red, debe establecer los lineamientos del uso aceptable de los recursos. Los
lineamientos dependen de la clase de usuarios, como desarrolladores de software,
estudiantes, profesores, usuarios externos, etc. Debe tener lineamientos aparte
para cada clase.
La política debe establecer qué tipo de uso es aceptable y cual es
inaceptable, así como que tipo de uso está restringido.
La política que usted elabore será la Política de Uso Aceptable (AUP)
de esa red. Si el acceso a un recurso de la red está restringido, debe considerar el
nivel de acceso que tendrá cada clase de usuario.
49
Sumario
Cuando una empresa no dispone de suficientes especialistas en TI propios como
para poder garantizar un funcionamiento seguro y con alta disponibilidad operativa
del CPD completo, puede externalizar de forma estudiada determinados servicios
TI. Así, los responsables de TI pueden recurrir en la actualidad a diferentes modelos
de operación y soluciones de externalización, que reducen los requerimientos
impuestos al CPD propio.
Se pueden encontrar todas las combinaciones imaginables, desde la
clásica externalización de servidores y aplicaciones hasta la integración de servicios
informáticos externos basados en la nube. Su ventaja reside en que, si una empresa
adquiere de un ofertante externo un servicio de Cloud Computing, éste ya incluye
todos los servicios de seguridad, como protección antivirus, actualización y copia de
seguridad.
Se pueden definir como la ubicación donde se encuentran los equipos
informáticos necesarios para el procesamiento de la información de una empresa.
Su tamaño puede variar de pequeñas salas a conjuntos de edificios. Los más
habituales suelen ocupar grandes salas o un edificio entero. En ellos se ubican
grandes cantidades de componentes electrónicos que hacen posible el
almacenamiento y proceso de la información.
Es por esto por lo que hay que tener un especial cuidado con estas
instalaciones. Aspectos o servicios básicos que debe cumplir un centro de procesos
de datos: Auditoría técnica, Limpieza técnica, Mantenimiento, Instalación Anti
vibraciones.
Generalmente, todos los grandes servidores se suelen concentrar en
una sala denominada "sala fría", "nevera", "pecera" (o site). Esta sala requiere un
sistema específico de refrigeración para mantener una temperatura baja (entre 21 y
23 grados Celsius), necesaria para evitar averías en las computadoras a causa del
50
sobrecalentamiento. Según las normas internacionales la temperatura exacta debe
ser 22,3 grados Celsius.
Antes de conocer que son las políticas de seguridad informática
debemos tener claro que es una política de seguridad; La cual es una serie de
instrucciones documentadas que indican la forma en que se llevan a cabo
determinados procesos dentro de una organización, también describen cómo se
debe tratar un determinado problema o situación.
Entrando al tema de seguridad informática, una política de seguridad
es un conjunto de reglas y prácticas que regulan la manera en que se deben dirigir,
proteger y distribuir los recursos en una organización para llevar a cabo los objetivos
de seguridad informática de la misma.
Las empresas llegan a tener muchos sitios (site) dentro de sus
instalaciones y cada uno cuenta con sus propias redes, si la empresa es grande,
probablemente los sitios tengan diferente administración de red, con metas y
objetivos diferentes. Si esos sitios no están conectados a través de una red interna,
cada uno de ellos puede tener sus propias políticas de seguridad de red. Sin
embargo, si los sitios están conectados mediante una red interna, la política de red
debe abarcar todos los objetivos de los sitios interconectados.
La política de seguridad del sitio debe tomar en cuenta la protección
de estos recursos. Debido a que el sitio está conectado a otras redes, la política de
seguridad del sitio debe considerar las necesidades y requerimientos de seguridad
de todas las redes interconectadas.
Las políticas de seguridad informática muchas veces ayudan a tomar
decisiones sobre otros tipos de política (propiedad intelectual, destrucción de la
información, etc.). También son útiles a las tomas decisiones sobre adquisiciones
51
porque algunos equipos o programas no serán aceptables en términos de las
políticas mientras que otras la sustentarán.
Cuando se crea una política de seguridad de red, es importante que
comprenda que la razón para crear una política es, en primer lugar, asegurar que
los esfuerzos dedicados a la seguridad impliquen un costo razonable. Esto significa
que usted debe conocer cuales re- cursos vale la pena proteger, y cuales son más
importantes que otros. También debe identificar la fuente de amenazas de la que
usted está protegiendo a los recursos de la red.
Al realizar el análisis de riesgo, usted debe identificar todos los
recursos que corran el riesgo de sufrir una violación de seguridad. Los recursos
como el hardware son bastante obvios para incluirlos en este cálculo, pero en
muchas ocasiones se ignoran recursos tales como las personas que en realidad
utilizan los sistemas. Es importante identificar a todos los recursos de la red que
puedan ser afectados por un problema de seguridad.
Una vez que se han identificado los recursos que requieren protección,
usted debe identificar las amenazas a las que están expuestos. Pueden examinarse
las amenazas para determinar qué posibilidad de pérdida existe. También debe
identificar de qué amenazas está usted tratando de proteger a sus recursos.
La revelación de información ya sea voluntaria o involuntaria, es otro
tipo de amenaza. Usted debe determinar el valor y delicadeza de la información
guardada en sus computadoras. En el caso de vendedores de hardware y software,
el código fuente, los detalles de diseño, los diagramas y la información específica
de un producto representan una ventaja competitiva.
Las redes vinculan recursos valiosos, como computadoras y bases de
datos, y proporcionan servicios de los cuales depende la organización. La mayoría
de los usuarios depende de estos servicios para realizar su trabajo con eficacia. Si
52
no están disponibles estos servicios, hay una pérdida correspondiente de
productividad. Un ejemplo clásico de esto es el incidente del gusano de Internet,
que ocurrió el 2 y 3 de noviembre de 1988, en el que se volvieron inservibles un
gran número de computadoras de la red.
Existen numerosas cuestiones que deben abordarse al elaborar una
política de seguridad:
1. ¿Quién está autorizado para usar los recursos?
2. ¿Cuál es el uso adecuado de los recursos?
3. ¿Quién está autorizado para conceder acceso y aprobar el uso?
4. ¿Quién puede tener privilegios de administración del sistema?
5. ¿Cuáles son los derechos y las responsabilidades del usuario?
6. ¿Cuáles son los derechos y las responsabilidades del
administrador del sistema, en comparación con los de los usuarios?
7. ¿Qué hace usted con la información delicada?
Debe hacerse una lista de los usuarios que necesitan acceso a los
recursos de la red. No es necesario enlistar a cada usuario. La mayoría de estos
pueden dividirse en grupos como usuarios de contabilidad, abogados corporativos,
ingenieros, etcétera.
53
Capítulo 3. Metodología
Sujeto
El laboratorio LAQUIN MR, S. A. DE C. V. cuenta con más de 40 trabajadores en
sucursal ubicada en Av. Insurgentes # 918 Fracc. María Fernanda Mazatlán,
Sinaloa; México que desempeñan distintos puestos.
Pero únicamente participo directamente con esta investigación el área
de informática del laboratorio, que por el momento solo se encuentra trabajando una
persona y ayudantes externos, pero estos ayudantes externos no son empleados
fijos en la empresa, además de las personas encargada del área de informática,
también participaron dos practicantes de ingeniería en informática de la universidad
politécnica de Sinaloa donde me incluyo, así como el comité del laboratorio
compuesto por distintos jefes de área, para que aporten su opinión y nos informen
los limitantes que cuenta la empresa, aportando también ideas y si están a favor o
en contra de las futuras mejoras.
Material
Primeramente, para la renovación del centro de procesamiento de datos debido al
presupuesto y a las necesidades principales se realizó esta lista con los materiales
necesarios para su renovación.
• 1 Tripp Lite Gabinete Delgado de 12U de profundidad Estándar SmartRack
para instalar en pared
• 2 Tripp Lite Bobina de Cable Cable PVC a Granel Cat6 Gigabit Sólido, 305
Metros, Gris.
• 1 Tripp Lite Jack Enchufe Keystone Punch Down 110 Cat6/cat5e,Azul, 25
piezas
• 13 Tripp Lite Placa para pared 2 puertos RJ-45, Blanco
54
• 1 Tripp Lite Panel de parcheo cat6, rj45 hembra, 1U, 24 puertos
• 1 Tripp lite organizador de cables horizontal para rack de 19”, 1u, negro
• 1 Switch TP-LINK gigabit ethernet tl-sg1024,10/100/1000mbps,48gbit/s,24
puertos
• 1 Router tp-link ethernet tl-r480t+, alambrico
• 1 Access point tp-link auranet eap330, 1300mbit/s,2.4/5ghz,con 6 antenas
7dbi
• 1 TP-LINK Adaptador de Splitter PoE TL-POE10R, 12W, 1x RJ-45
• 1 No Break Tripp Lite SmartPro Rack/Tower UPS, 300W, 500VA, Entrada
120V
Procedimiento
El primer paso que se realizo fue investigar los materiales necesarios para la
renovación del centro de procesamiento de datos, pero solamente se vieron las
necesidades más graves que se tenían al momento ya que la empresa no tiene de
momento presupuesto suficiente para renovar por completo el centro de
procesamiento de datos, pero se realizó la lista de los materiales más importantes
para su renovación, que es la lista que se mencionó anteriormente.
Una vez hecha la lista de los materiales más importantes para la
mejorar algunos aspectos que se tenían que resolver, se buscó realizar un
presupuesto para dichos materiales. Los cuales se buscaron en tiendas físicas y
tiendas digitales para lograr hacer una comparación de precios y conseguir los
mejores precios. Con la finalidad de no excedernos del presupuesto dado.
A continuación, se mostrará una tabla que incluye los materiales,
precios y total de las distintas tiendas, donde se realizó el presupuesto para tomar
una decisión sobre la compre de estos.
55
Tabla 1 Comparación de Precios
Fuente: Mercadolibre.com, Cyberpuerta.com, Tienda Consultoría Informática.
Como se puede observar en la tabla se realizó el presupuesto desde
dos sitios web que son mercado libre y cyberpuerta, del lado de la tienda física se
realizó en consultoría informática. En general las tiendas online fueron las más
económicas siendo ciberpuerta la más económica en el resultado total, quedando
mercado libre en segunda posición y por último consultoría informática que fue la
más cara en todos sus precios.
Se decidió de momento tomar los precios de cyberpuerta para
mostrárselo al comité de encargados de LAQUIN, para que tomaran en cuenta el
DESCRIPCIÓN MercadoLibre Cyberpuerta Consultoría
informática
Tripp Lite Gabinete Delgado de 12U de profundidad
Estándar SmartRack para instalar en pared
$7,909 $8,219.00 $9,370.80
Tripp Lite Bobina de Cable Cable PVC a Granel Cat6
Gigabit Sólido, 305 Metros, Gris.
$4,049 $ 3,679.00 $ 4,450.80
Tripp Lite Jack Enchufe Keystone Punch Down 110
Cat6/cat5e,Azul, 25 piezas
$1,267 $ 1,319.00 $ 1,594.80
Tripp Lite Placa para paredm 2 puertos RJ-45,
Blanco
$49 $ 45.00 $ 60.00
Tripp Lite Panel de parcheo cat6, rj45 hembra, 1U,
24 puertos
$1399 $ 1,399.00 $ 1,690.80
Tripp lite organizador de cables horizontal para
rack de 19”, 1u,
$1,423 $1,149 $1,498.00
Switch TP-LINK gigabit ethernet tl-
sg1024,10/100/1000mbps,48gbit/s,24 puertos
$2,274 $ 2,109.00 $ 2,782.80
Router tp-link ethernet tl-r480t+, alambrico $1,499 $ 1,459.00 $ 1,762.80
Access point tp-link auranet eap330,
1300mbit/s,2.4/5ghz,con 6 antenas 7dbi
$3,830 $ 3,489.00 $ 4,234.80
TP-LINK Adaptador de Splitter PoE TL-POE10R,
12W, 1x RJ-45
$346 $ 343.00 $412.00
No Break Tripp Lite SmartPro Rack/Tower UPS,
300W, 500VA, Entrada 120V
$ 5,579 $ 4,649.00 $ 5,626.80
Total $29,624 $27,859 $33,485
56
presupuesto que se iba a necesitar para la elaboración de centro de procesamiento
de datos.
Mientras se estaba en la espera de la aceptación del presupuesto se
decidió empezar con la elaboración de políticas de seguridad informática, ya que la
empresa cuenta con política de seguridad en todas sus áreas, menos en el área de
informática no cuenta con una, y debido a los sucesos que han ocurrido como la
perdida de información o ataques al sistema; Es de mayor importancia contar con
esta política para que todos los empleados estén al tanto y colaboren con la
seguridad informática al saber las políticas y seguirlas.
[10] Se realizo mediante una metodología en la cual tomando parte de
un estándar ISO/IEC 27001 que es un estándar para la seguridad de la información
(aprobado y publicado como estándar internacional en octubre de 2005 por
International Organization for Standardization y por la comisión International
Electrotechnical Commission. Siguiendo cuatro procesos básicos que son platicar,
hacer, verificar y actuar.
Ilustración 9 Procesos básicos para gestión de seguridad informática
Fuente: instituciones.sld.cu
57
Planificar
Es donde se establecerán las políticas, los objetivos, procesos y procedimientos de
seguridad que serán necesarios para gestionar el riesgo y mejorar la seguridad
informática, con el fin de entregar resultados acordes con las políticas y objetivos
globales de la organización.
En esta etapa los del área de informática junto con directivos de la
empresa se reunieron para crear las condiciones para la realización del diseño,
implementación y gestión de la seguridad informática, para esto se tomaron en
cuenta los bienes informáticos que dispone la empresa, por lo cual se hace
imprescindible la realización de un análisis de riesgos que ofrezca una valoración
de los bienes informáticos y las amenazas a las que están expuestos, se creó la
siguiente tabla para evaluar los riesgos.
Donde el factor se calificó como Alto en el caso de que el riesgo sea
más probable y ocasione más daño, medio cuando el riesgo sea aún grave, pero
puede ocurrir con menos frecuencia, y por último muy bajo cuando el riesgo sea
muy poco frecuente que ocurra.
Tabla 2 Tipos de riesgos y sus factores en la empresa
Tipo de riesgo Factor
Perdida de información en el servidor Alto
Perdida de conexión con el servidor Alto
Fuego Alto
Accesos no autorizados Alto
Apagones Medio
Fallas en los equipos Medio
Inundación Muy bajo
Fuente: LAQUIN MR, S. A. DE C. V.
58
Esta tabla se logró mediante una junta donde se le otorgo los factores,
en el caso de la perdida de la información en el servidor se consideró alto ya que es
el que comúnmente sucede, la perdida de conexión en el servidor con un factor alto
debido a los problemas que tiene la gestión del internet por ello la necesidad de
renovar el centro de procesamiento de datos con mejores dispositivos, el fuego es
otro factor muy alto en la empresa debido a que se utiliza mucho ya sea en estufas
o en los mecheros en el laboratorio.
El acceso no autorizado también es muy común ya que, aunque cada
computadora tiene su propia contraseña que únicamente sabe el dueño, suele
suceder que prestan sus contraseñas o dejan la sesión abierta logrando que otras
personas accedan a la información o a los datos del servidor.
El apagón también se consideró porque suelen suceder mínimo una
vez cada dos semanas, pero con la utilización de reguladores se evitan un poco por
eso se le asigno medio. Fallas en el equipo se le asigno medio por que, aunque se
le hace mantenimiento comúnmente no puede faltar algún imprevisto. Por último,
inundaciones muy bajo por la razón de que el servidor se encuentra en el segundo
piso y la mayoría de los equipos de cómputo también.
En este paso también se definió y asigno los niveles de autorización,
desde quien está a cargo de entrar a los servidores, autorización de a quien se le
está permitida la entrada al site donde se encuentra el centro de procesamiento de
datos, y a cada computadora se encuentran en todo el edificio.
Que prácticamente se resumió que el encargado del área de
informática de la empresa iba a ser el único con acceso al site donde se encuentra
el centro de procesamiento de datos, también solo tenía acceso a hacer
modificaciones directas al servidor, en cuando al acceso al servidor para subir
información la mayoría de los químicos tienen acceso, además de los auditores
siempre y cuanto utilicen su cuenta.
59
Una vez realizado todo lo anterior se empezó a proponer y establecer
políticas de seguridad informática se muestran las siguientes.
1. El acceso a el área (Site) donde se encuentra alojado el centro de
procesamiento de datos únicamente podrá acceder el personal del
área de informática.
2. La informacion será salvada en discos duros externos cada
semana, realizado 2 copias de seguridad para garantizar el
restablecimiento de la informacion en caso de algún accidente de
seguridad.
3. La limpieza y mantenimiento del Site quedara exclusivo para el
personal del área de informática.
4. Se realizará una revisión 2 veces al mes del estado de los
componentes del site ya sean cables, instalaciones, software y
dispositivos que lo conformen. Así como los equipos que cuentan
las instalaciones, estas acciones son exclusivamente para el área
de informática.
5. El Site deberá permanecer cerrado siempre, cualquier empleado
que llegue a observar que a puerta del site se encuentra abierta
puede única y exclusivamente cerrarla de manera correcta.
6. El site deberá mantener una temperatura estable, manteniendo el
sistema de ventilación encendido, esta acción queda exclusiva
para el área de informática.
7. Cada persona en la empresa tendrá clave y usuario de acceso
único al servidor.
8. Las computadoras son asignadas a cada empleado de la empresa
con una clave que únicamente sabrá el encargado de ese equipo.
9. Las claves de usuario de cada equipo, así como las claves de inicio
al servidor serán cambiadas cada dos meses para mantener la
seguridad de los datos, y evitar intrusos.
60
10. Cada empleado debe hacerse cargo de su equipo. En cuanto a
apagar el equipo correctamente o avisar alguna anomalía de su
equipo al área de informática.
11. A todos los equipos se les realizará una revisión de virus 2 veces
al mes, Realizado por el personal del área de informática, las
cuales incluye las siguientes actividades.
▪ Actualizar su base de firmas de virus (actualización de la lista
de amenazas)
▪ Búsqueda de virus (análisis del equipo)
▪ Eliminación de virus si fue detectado.
12. Se realizará mantenimiento físico a cada computadora de la
empresa una vez al mes, realizado por el área de informática.
13. Queda prohibido dejar Inicio de sesión abiertas del servidor o de
su equipo de cómputo.
14. Los usuarios deberán abstenerse de divulgar o compartir sus datos
de acceso a al servidor o a su equipo de cómputo.
15. Al finalizar cada actualización de informacion al servidor, se debe
cerrar sesión correctamente y apagar el equipo en caso de que ya
no sea necesario utilizarlo.
16. Cada computadora deberá de tener un regulador de corriente o no
break para que permanezcan seguros en caso de apagones.
17. El internet inalámbrico queda de uso exclusivo para los equipos de
cómputo de la empresa, queda prohíbo utilizarlo en Smartphone
para evitar la saturación de la red.
18. Queda prohibida la descarga de archivos de más de 200 mb esto
para evitar la saturación de la red. (Archivos como imágenes o
documentos de textos no suelen superar los 50mb).
19. Todos los equipos asignados a los empleados tendrán
deshabilitados los accesos a puertos USB y Cd. Para evitar:
• Evitar ataques de virus en los equipos y el servidor.
• Evitar extracciones no autorizadas.
61
• Evitar la carga de archivos ajenos.
20. Toda actividad elaborada por el equipo de sistemas deberá de
estar debidamente documentada para darle seguimiento y que
sirva como evidencia en los procesos de auditoria interna.
Hacer
El siguiente paso es hacer, que tiene como objetivo fundamental garantizar una
adecuada implementación de los controles y aplicación correcta de los mismos.
Despues tenemos que verificar donde se tendrá que evaluar, en donde sea
aplicable, verificar el desempeño de los procesos contra la política y los objetivos
de seguridad y la experiencia práctica, y reportar los resultados a la dirección, para
su revisión.
En este paso se puso como finalidad concientizar al personal de toda
la empresa sobre la seguridad informática, para que el personal siga todas las
obligaciones en cuanto a la seguridad informática.
Se dio la conclusión de que para que los trabajadores de la empresa
estén al tanto de la seguridad informática deben de conocer las políticas de
seguridad informáticas, tal como conocen otras políticas de seguridad de la
empresa, haciéndolos firmar que están de acuerdo con las políticas de seguridad
informáticas presentadas y que las seguirán tomando en cuenta las
responsabilidades que se les asigno. Así como de tener las políticas de seguridad
informática actualizándose, pero siempre y cuando se les avise a los empleados.
62
Verificar
Se les hizo llegar a los empleados de la empresa algunas políticas de seguridad las
principales que se fueron estableciendo para saber si serán entendibles para los
empleados que no saben mucho de informática y que funcionen correctamente para
la seguridad informática.
Por lo cual se utilizó un método de medición en formato de encuestas
para que mediante estas tengamos la certeza de saber si las políticas de seguridad
aplicadas hasta ese momento están siendo de ayuda para los empleados.
Se realizó una encuesta sencilla se aplicó a 40 empleados de distintas
áreas, en la cual se les preguntaba a los usuarios
Ilustración 10 Grafica de resultados Encuesta - Pregunta 1
Fuente: LAQUIN MR, S. A. DE C. V.
89%
9%2%
¿Con que frecuencia presenta problemas relacionado con su computadora, ingresar al servidor o perdida de datos?
Muy frecuente Frecuente Poco Frecuente
63
Ilustración 11 Grafica de resultados Encuesta - Pregunta 2
Fuente: LAQUIN MR, S. A. DE C. V.
Ilustración 12 Grafica de resultados Encuesta - Pregunta 3
Fuente: LAQUIN MR, S. A. DE C. V.
También para la verificación de las políticas de seguridad se estén
aplicando se realizó un control de eventos para estar al tanto de los incidentes que
ocurren a lo largo de los meses, así como las violaciones a las políticas de seguridad
60%
30%
10% 0%
¿Las Políticas De Seguridad Informáticas Presentadas Recientemente Son Entendibles Para Usted?
Completamente Tengo Dudas No del todo No entendibles
30%
70%
0%
¿Cree poder seguir correctamente las políticas de seguridad, para que mejore la seguridad informática?
Si, completamente
SI, pero necesito tiempopara adaptarme
No lograre adaptarme
64
Ilustración 13 Grafica de resultados Control de Eventos
Fuente: LAQUIN MR, S. A. DE C. V.
Actuar
Por último, se tiene que actuar, debido a que se tienen que realizar las acciones
correctivas y preventivas basadas en los resultados de la verificación y la revisión
por la dirección, para lograr la mejora continua de las políticas de seguridad
informáticas de la empresa.
Se dejo claro que las políticas de seguridad estaban abiertas a
cambiar se les notifico a todos los empleados que se podrían agregar o mejorar
otras, así como la posibilidad de realizar un nuevo análisis de riesgos si ocurriera
alguna circunstancia que no se tenía planeada.
4
2 2
1
3 3
2 2
A G O S T O S E P T I E M B R E O C T U B R E N O V I E M B R E
CONTROL DE EVENTOS
Incidentes Violacion politicas
65
Capítulo 4. Resultados
Introducción
La información, los sistemas y las redes son bienes importantes en las empresas,
por lo cual requieren ser protegidos frente amenazas que pongan en peligro la
disponibilidad, la integridad, la confidencialidad de la información.
Generalmente la informacion es procesada, intercambiada y
conservada en redes de datos, equipos informáticos y soportes de
almacenamientos, que son parte de lo que se conoce como sistemas informáticos.
Estos están sometidos a potenciales amenazas de seguridad de diversos indoles
que pudieran ser originadas desde la propia empresa o desde fuera, accesos no
autorizados a la informacion, catástrofes naturales, incendios y accidentes.
Es posible disminuir el nivel de riesgo de forma significativa sin
necesidad de realizar elevadas inversiones ni contar con una gran estructura de
personal, para ello es necesario conocer y gestionar de manera clara los riesgos a
los que está sometido el sistema informático.
Elevar los niveles de seguridad informática se consigue
implementando un conjunto de controles, que incluyan políticas los cuales deben
ser establecidos, implementados, supervisados y mejorados cuando sea necesario
para cumplir los objetivos de seguridad de la organización.
Implementar una política de seguridad informática ayuda a la empresa
a establecer de forma más adecuada de cómo tratar los aspectos de seguridad
mediante la participación de recursos humanos y técnicos, respaldados por medidas
administrativas, que garantices la normalización de la seguridad informática.
66
Análisis de Datos
Comenzando con el centro de procesamiento de datos, en un principio la idea
principal para renovar el centro de procesamiento de datos era comprar equipo
nuevo para la mejora de este, pero no se había previsto que aunque se renueve el
equipo ocurrían los mismos problemas que se están presentando con el equipo que
se tiene, ya que la empresa no cuenta con políticas de seguridad informática, esto
hizo que se planteara primero realizar la política de seguridad informática mientras
se aceptaba el presupuesto, en cuanto a este el resultado final fue que la mejor
opción era comprarlo en tienda virtual en este caso cyberpuerta.com que es donde
más barato salía el equipo deseado, lamentablemente el presupuesto apenas se
aprobó por lo tanto en lo que respecta en este caso a mí no tendrá acceso a
realizarlo ya que mis estadías ya están por finalizar.
Pero los resultados obtenidos de las políticas de seguridad fueron
buenos, principalmente por las encuestas que se realizaron que en su mayoría los
empleados estaban de acuerdo con las políticas y entendían en su totalidad lo que
se tenía que hacer y que no se debería de hacer, así como las obligaciones que
tienen en la seguridad informática.
Con la realización de un control de eventos se pudo ver que los riesgos
no fueron abundantes, aunque las violaciones a las políticas se mantuvieron
constantes, pero analizando bien la situación las políticas que se violan de momento
se deben de violar como que los empleados compartan su sesiones ya que no hay
computadoras suficientes para todos los empleados por lo cual deben compartirse,
otra política que fue violada es que se comparten los usuarios y contraseñas para
ingresar al servidor debido que algunos empleados olvidan estos, ya que estas para
seguridad están en constante cambio por lo cual es fácil que se le olvide a los
empleados.
67
Por eso aún se siguen buscando mejorar las políticas de seguridad
viendo los resultados que estas generaron, pero en su mayoría fueron positivos
tanto para los empleados como para la seguridad informática de la empresa.
No se hicieron más modificación de momento, ni se profundizo más en
la remodelación del centro de procesamiento de datos ya que se nos asignaron
otras actividades menores, de mayor importancia para la empresa en ese momento
y esto hacia que se desviara la atención en el proyecto principal.
68
Capítulo 5. Discusión
Conclusiones
Durante todo el proceso de la investigación el foco de atención fue cambiando, ya
que principalmente se tenía en mente la renovación del centro de procesamiento de
datos, que era la compra de nuevo equipo para mejorar todos los problemas de
seguridad informática que ocurrían en la empresa.
Pero no se tomaba en cuenta que el problema principal estaba en que
los empleados no sabían cómo protegerse, no conocían lo que debían de hacer,
que estaba permitido o no en cuestión de la informática, ya que en si la empresa
tiene diversas políticas de seguridad, pero no cuenta con políticas de seguridad para
el área de informática, entonces esto me hizo razonar y a todos que aunque se
tenga el mejor equipo se iban a seguir arrastrando los mismos problemas
ocasionados anteriormente.
Y eso es uno de los problemas que tenemos comúnmente los
informáticos que queremos arreglar el problema directamente pero no analizamos
del todo la situación, queremos solucionar el problema lo antes posible con
soluciones de software o hardware, pero siempre evitamos la parte escrita en este
caso las políticas de seguridad. Creo que se pudo haber hecho un mejor trabajo
tanto en la elaboración de las políticas de seguridad como en la renovación del
centro de procesamiento de datos.
Pero me di cuenta que, aunque no renovamos directamente el centro
de procesamiento de datos las políticas de seguridad informática son parte de esa
renovación, Pero como dije anterior mente se pudo haber enfocado más en este
proyecto pero se nos asignaban actividades más pequeñas que eran importantes
realizar en ese momento para la empresa.
69
Esto me lleva a otra que las empresas como estas no están
completamente interesadas en invertir al área de informática a pesar de que les es
de mucha ayuda no la ven como una prioridad prefieren invertir en otras áreas, por
lo tanto, aunque se notaba el interés por la renovación del centro de procesamiento
de datos. No quedaba en claro el por qué, aunque se tenían las intenciones de
realizar este proyecto completamente.
Al final se dejaba en segundo plano, ya que, aunque este proyecto no
traiga mejoras a corto plazo, a largo plazo será una mejora que ayudara bastante a
la empresa en todos los aspectos, pero al no ser algo que genere ingresos o mejoras
importantes para el funcionamiento de la empresa a corto plazo todo queda en
segundo plano.
Me habría gustado poder diseñar, ordenar y administrar el centro de
procesamiento de datos de la empresa durante mi estancia ahí, pero lamenta lente
el proceso de aceptación fue muy lento debido a lo anterior mencionado que es al
poco interés en esta área de informática.
A pesar de que durante mi estancia ahí pude presenciar diversos
riesgos que los empleados sufrían día tras día, así como perdida de informacion de
los servidores, que el servidor colapsara constantemente, así como el internet. Y lo
más grave fue que un virus pudo ingresar al servidor como consecuencia se perdió
demasiada informacion que no se tenía respaldada.
Recomendaciones y/o sugerencias
Entre las recomendaciones que podría dar es que al momento de realizar la
investigación se esté seguro de que todos los involucrados estén realmente
interesados en el proyecto y verlo puesto en acción y que vaya mejorando. Ya que
de no ser así el proyecto quedara a medio camino.
70
Y en sí, no cumplirá con la finalidad inicial que se propuso en un
principio. Que el proyecto se mantenga vigente durante todo el tiempo, sin dejarlo
en segundo plano sin darle mayor importancia.
Referencias Bibliográficas
Referencias
[1] «apser,» apser, 20 julio 2015. [En línea]. Available:
http://www.apser.es/blog/2015/06/20/las-redes-informaticas-que-son-tipos-
topologias/. [Último acceso: 1 Noviembre 2017].
[2] «cch-oriente.unam.mx,» Julio 2016. [En línea]. Available: http://www.cch-
oriente.unam.mx/TallerPortal/U1INTERNET/audios_T_C.pdf. [Último acceso:
1 Noviembre 2017].
[3] «rittaldatacenter.es,» ittaldatacenter, 12 Marzo 2017. [En línea]. Available:
http://rittaldatacenter.es/que-es-un-centro-de-proceso-de-datos/. [Último
acceso: 5 Noviembre 2017].
[4] «cloudmagna.com,» cloudmagna, Diciembre 22 2015. [En línea]. Available:
http://cloudmagna.com/blog/normas-para-construir-un-data-center/. [Último
acceso: 5 Noviembre 2017].
[5] «wikipedia.org,» Wikipedia, 27 Noviembre 2017. [En línea]. Available:
https://es.wikipedia.org/wiki/Centro_de_procesamiento_de_datos. [Último
acceso: 5 Noviembre 2017].
[6] «redyseguridad.fi-p.unam.mx,» UNAM, Marzo 2015. [En línea]. Available:
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap4.html. [Último
acceso: 5 Noviembre 2017].
[7] «grupo.us.es,» 5 Junio 2002. [En línea]. Available:
http://grupo.us.es/ghum609/php/system/files/material1.pdf. [Último acceso: 5
Noviembre 2017].
[8] «www.bib.uia.mx,» julio 2005. [En línea]. Available:
http://www.bib.uia.mx/pdf/014663/014663.pdf. [Último acceso: 20 Noviembre
2017].
71
[9] «www.dte.us.es,» 2002. [En línea]. Available:
http://www.dte.us.es/personal/mcromero/docs/ip/tema-seguridad-IP.pdf.
[Último acceso: 20 Noviembre 2017].
[10] «instituciones.sld.cu,» Julio 2005. [En línea]. Available:
http://instituciones.sld.cu/dnspminsap/files/2013/08/Metodologia-PSI-
NUEVAProyecto.pdf. [Último acceso: 20 Noviembre 2017].
[11] «monster.es,» monster.es, 20 Septiembre 2016. [En línea]. Available:
https://www.monster.es/orientacion-laboral/articulo/amenazas-informaticas.
[Último acceso: 1 Noviembre 2017].