Politicas de seguridad de la Información - Trabajo Grupal

3,484 views
3,349 views

Published on

Politicas de seguridad de la Información

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,484
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
190
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Politicas de seguridad de la Información - Trabajo Grupal

  1. 1. Política de Seguridad Datacenter Grupo D-1 Edson Terceros T. José Luis Calero. Jerry Soleto R. Martin Ayllon Q. Raul Fernandez Q. José Antonio Orellana A. Claudia Villarroel P. Yussen Solis G. Piter Montes C. 1
  2. 2. ContenidoPolítica. ...................................................................................................................................... 3Objetivo...................................................................................................................................... 3Alcance. ..................................................................................................................................... 3Lineamientos Generales. ........................................................................................................... 3 1. Control de acceso al Datacenter .................................................................................. 3 2. Registro de las actividades y acciones del personal en el Data center......................... 4 3. Sistemas de monitoreo y control .................................................................................. 5 4. Respaldos de datos ..................................................................................................... 6 5. Casos fortuitos ............................................................................................................. 6 6. Mejoramiento de tecnologías del Datacenter. .............................................................. 6Criterios de control. .................................................................................................................... 7Responsabilidades. .................................................................................................................... 7 2
  3. 3. Política.La seguridad del Data Center representa la seguridad de la información, la cual es vital para laconsecución de los objetivos organizacionales.Objetivo.Implementar las medidas de seguridad necesarias para garantizar el correcto funcionamientodel DatacenterAlcance.Es aplicable a todo el personal cuyas funciones laborales están orientadas a la administración ymantenimiento del Datacenter.Lineamientos Generales. 1. Control de acceso al Datacenter a. Personal autorizado. Las siguientes personas están autorizadas a ingresar al datacenter, ya sea de manera física o remota: i. Administrador de Base de Datos y/o Administrador de Sistemas. ii. Administrador o encargado de infraestructura, redes, comunicaciones y seguridad. iii. Jefe TIC. Monitoreo rutinario del data center. iv. En caso de que las personas citadas no estén presentes (vacaciones, permisos, licencias) entonces la Jefatura TIC autorizará y/o habilitará de forma escrita el ingreso al data center de personal técnico alterno, hasta el retorno de los titulares. b. Acceso físico. Determinado sólo en los siguientes casos: i. Actualizaciones a nivel de hardware. ii. Actualizaciones a nivel de software. iii. Verificación del buen estado de funcionamiento de cada uno de los subsistemas (equipos) que integran el datacenter. iv. Revisión de bitácoras o logs de dispositivos que no pueden ser accedidos de manera remota. v. Mantenimiento de la infraestructura de redes y comunicaciones. vi. Copias de respaldo del equipamiento de redes y comunicaciones y otros a los que no se puede acceder remotamente. 3
  4. 4. c. Acceso remoto. Determinado para todos los casos en los que es posible establecer conexión remota con algún dispositivo del data center. d. Identificación y autenticación i. Identificación. El usuario se dará a conocer ya sea para acceso físico o remoto. En el físico deberá identificarse por su huella dactilar (tiene 10 dedos posibles), en el remoto mediante su login. ii. Autenticación. El usuario ingresará su autenticación mediante su huella dactilar (tiene 10 dedos posibles) para un acceso físico, y mediante su password para un acceso remoto. e. Acceso de terceras personas. El grupo de terceras personas estará conformado por: i. Técnicos especializados en servidores de alto rendimiento. ii. Técnicos especializados en redes, comunicaciones y seguridad. iii. Técnicos especializados en el sistema eléctrico. iv. Técnicos especializados en administración y mantenimiento de datacenters. v. En todos los casos anteriores la Jefatura TIC autorizará mediante plan de trabajo el acceso de técnicos foráneos especialistas al datacenter de la organización. vi. Todo acceso de terceras personas deberá ser supervisado (acompañado) por personal técnico de TICs de la organización. vii. Bajo ninguna circunstancia se deberá “apagar” el sistema de vigilancia de cámaras, exceptuando las situaciones autorizadas por la Jefatura TIC, mismas que serán justificadas en el plan de trabajo. viii. Bajo ninguna circunstancia, las terceras personas, podrán ingresar al data center portando dispositivos de almacenamiento masivo de información (discos duros externos o similares), cámaras fotográficas, filmadoras. ix. Bajo ninguna circunstancia las terceras personas podrán conectar a la red eléctrica equipos electrónicos foráneos sin la autorización y supervisión de personal técnico de la organización (TICs). f. Monitoreo interno (cámaras de vigilancia). Se instalarán cámaras de vigilancia continua. Estas registrarán todas las actividades llevadas a cabo en el datacenter por el personal que tiene acceso y sus registros deberán ser contrastados con los registros de accesos biométricos (accesos físicos).2. Registro de las actividades y acciones del personal en el Data center a. Bitácoras de acceso y/o sesiones en los sistemas operativos. Todos los servicios de registro de bitácoras de los servidores deben ser habilitados y configurados correctamente para registrar todas las actividades del personal autorizado. b. Toda persona con acceso al datacenter deberá previamente llenar la planilla de ingreso, anotando en la misma las actividades a realizar y registrando el tiempo 4
  5. 5. efectivo que permaneció en el datacenter. De igual forma, las planillas de ingreso deben ser contrastadas con los videos de las cámaras de vigilancia.3. Sistemas de monitoreo y control a. Sistema de detección de humo y altas temperaturas. Los sensores están programados en PLC, de tal manera que si se detecta valores por encima de los rangos estándar disparan alarmas y realizan acciones previamente programadas. b. Sistema de monitoreo de acceso físico al Data center: i. Sensores de movimiento. Las cámaras de vigilancia advierten y alertan al personal de seguridad ante movimientos en el datacenter en horarios inadecuados o no establecidos. ii. Los sistemas de acceso advierten y alertan ante el intento de acceso al Datacenter por parte de usuarios con credenciales inadecuadas, además de intentos consecutivos de acceso. c. Sistema de energía ininterrumpida i. Grupo electrógeno. El GE deberá estar programado de tal forma que el motor eléctrico arranque automáticamente luego de 10 segundos de cualquier corte de energía eléctrica. Es responsabilidad del Responsable de Infraestructura llevar a cabo verificaciones temporales del funcionamiento del generador. Se contarán con todos los insumos requeridos por el GE como ser: diesel, aceite, filtros y repuestos; además de servicio externo especializado en el mantenimiento preventivo del mismo. ii. UPS. La UPS deberá soportar la carga de energía eléctrica requerida por el datacenter mínimamente por 30 minutos. Se realizarán mantenimientos preventivos cada 3 mes para asegurar su correcto funcionamiento; además se realizarán pruebas conjuntas con el GE. Se presentaran informes mensuales de las pruebas realizadas. iii. Circuito eléctrico. Los circuitos deberán cumplir las normas Bolivianas sobre instalaciones eléctricas en temas como: puesta a tierra, pararrayos, etc. Deberá tener protecciones contra picos y armónicos. Todos los circuitos contarán con planos propios y tableros debidamente identificados. Cada 6 meses se verificará la carga de los circuitos y la resistencia de la puesta a tierra. d. Sistema de climatización. El equipo de aire acondicionado deberá estar acorde a las necesidades el equipamiento del datacenter. De igual forma estará sujeto a mantenimientos preventivos que serán llevados a cabo juntamente con el mantenimiento de la UPS y el grupo electrógeno. 5
  6. 6. 4. Respaldos de datos a. Servidores espejo. Utilizando servidores de copia de seguridad se duplica todos los procesos y transacciones del servidor principal. Si, por cualquier razón, el servidor principal falla, el servidor de copia de seguridad inmediatamente puede ocupar su lugar sin ningún tiempo de inactividad. b. Cintas de respaldo. Serán guardados fuera del data center y contendrá los datos fechados en tiempo, según las políticas de respaldo.5. Casos fortuitos a. Terremotos. La estructura física donde se encuentra el data center tiene que ser sismo resistente y estar avalada por las normas bolivianas. Cada cierto tiempo (5 años) se solicitará una inspección por personal del Colegio de Ingenieros Civiles para verificar la estructura. Cuando ocurra un incidente sísmico de importancia se solicitara la verificación respectiva. b. Incendios. Se contará con detectores de humo y sensores de calor centralizados con alarmas tanto visuales y auditivas. Estos dispositivos serán probados cada dos meses para verificar su funcionamiento. Los extintores de CO2 estarán colocados en puntos estratégicos junto con la señalética adecuada. Se verificará el estado de los extintores cada 6 meses y anualmente se realizará una des descarga completa para su posterior recarga. Cada 5 años se procederá a realizar la prueba hidrostática de los extintores. Se recomienda que anualmente se contraten consultores independientes para realizar una evaluación/auditoria sobre incendios. c. Inundaciones. Las instalaciones del Datacenter deberán encontrarse por encima de la planta baja para minimizar cualquier riesgo de inundación. Además de encontrarse a una distancia de 400 metros de cualquier rio, torrentera o posible fuente de inundación. Se construirán canales de desagüe en el piso falso del datacenter. d. Guerra civil o convulsión social. Lo importante es resguardar los discos duros de los servidores que almacenan la información de la organización. En estos casos, de convulsión social o guerra civil, se designará a principio de año a una persona responsable de “hacer escapar” los discos duros del datacenter siguiendo el procedimiento establecido en las políticas de copias de respaldo y resguardo de la información organizacional.6. Mejoramiento de tecnologías del Datacenter. Se deberá planificar recursos anuales adicionales para el mejoramiento y/o actualización tecnológica del Datacenter, según el análisis de requerimiento de tecnologías realizado periódicamente basados en los siguientes aspectos: 6
  7. 7. a. Infraestructura. Se deberá asegurar que la infraestructura que soporta el Datacenter sea la adecuada y cumpla con los requerimientos de seguridad para su buen funcionamiento, de ser necesario se deberá planificar la actualización de las instalaciones. b. Equipamiento. Se deberá garantizar que el equipamiento cumpla con las especificaciones de seguridad actuales, se podrán adquirir nuevos equipos según necesidad o requerimiento de acuerdo al análisis realizada por TICs. c. Actualización. Los equipos deberán estar actualizados de manera que garanticen la seguridad de datos. El personal de TI deberá monitorear por actualizaciones constantemente, se preverán recursos para la compra sistemas, licencias y actualizaciones de seguridad para los equipos, además de sistemas de administración de ser necesario y según análisis realizado.Criterios de control.Se han definido los siguientes principios para efectivizar los criterios de control:  Principio de disponibilidad del datacenter. Se debe ofrecer la disponibilidad de la información mantenida en el datacenter, por lo que las medidas de control aplicadas al datacenter deben respetar las normas TIER: o Disponibilidad o Confiabilidad o Costos estimados de construcción y mantenimiento.  Principio de confiabilidad. Las esferas de toma de decisiones de la organización deben confiar en la información mantenida en los servidores del datacenter.Responsabilidades.Es responsabilidad de la Máxima Autoridad Ejecutiva de la Organización velar por elcumplimiento de la presente política.Para verificar el cumplimiento de las políticas, reglamentos y para fines de control interno laMAE delegara a las TIC realizar el control y supervisión de las mismas. 7

×