1
Política de Seguridad
Datacenter
Grupo D-1
Edson Terceros T.
José Luis Calero.
Jerry Soleto R.
Martin Ayllon Q.
Raul Fernandez Q.
José Antonio Orellana A.
Claudia Villarroel P.
Yussen Solis G.
Piter Montes C.
2
Contenido Política. ...................................................................................................................................... 3
Objetivo...................................................................................................................................... 3
Alcance. ..................................................................................................................................... 3
Lineamientos Generales. ........................................................................................................... 3
1. Control de acceso al Datacenter .................................................................................. 3
2. Registro de las actividades y acciones del personal en el Data center......................... 4
3. Sistemas de monitoreo y control .................................................................................. 5
4. Respaldos de datos ..................................................................................................... 6
5. Casos fortuitos ............................................................................................................. 6
6. Mejoramiento de tecnologías del Datacenter. .............................................................. 6
Criterios de control. .................................................................................................................... 7
Responsabilidades. .................................................................................................................... 7
3
Política.
La seguridad del Data Center representa la seguridad de la información, la cual es vital para la
consecución de los objetivos organizacionales.
Objetivo.
Implementar las medidas de seguridad necesarias para garantizar el correcto funcionamiento
del Datacenter
Alcance.
Es aplicable a todo el personal cuyas funciones laborales están orientadas a la administración y
mantenimiento del Datacenter.
Lineamientos Generales.
1. Control de acceso al Datacenter
a. Personal autorizado. Las siguientes personas están autorizadas a ingresar al
datacenter, ya sea de manera física o remota:
i. Administrador de Base de Datos y/o Administrador de Sistemas.
ii. Administrador o encargado de infraestructura, redes, comunicaciones y
seguridad.
iii. Jefe TIC. Monitoreo rutinario del data center.
iv. En caso de que las personas citadas no estén presentes (vacaciones,
permisos, licencias) entonces la Jefatura TIC autorizará y/o habilitará de
forma escrita el ingreso al data center de personal técnico alterno, hasta
el retorno de los titulares.
b. Acceso físico. Determinado sólo en los siguientes casos:
i. Actualizaciones a nivel de hardware.
ii. Actualizaciones a nivel de software.
iii. Verificación del buen estado de funcionamiento de cada uno de los
subsistemas (equipos) que integran el datacenter.
iv. Revisión de bitácoras o logs de dispositivos que no pueden ser
accedidos de manera remota.
v. Mantenimiento de la infraestructura de redes y comunicaciones.
vi. Copias de respaldo del equipamiento de redes y comunicaciones y otros
a los que no se puede acceder remotamente.
4
c. Acceso remoto. Determinado para todos los casos en los que es posible
establecer conexión remota con algún dispositivo del data center.
d. Identificación y autenticación
i. Identificación. El usuario se dará a conocer ya sea para acceso físico o
remoto. En el físico deberá identificarse por su huella dactilar (tiene 10
dedos posibles), en el remoto mediante su login.
ii. Autenticación. El usuario ingresará su autenticación mediante su huella
dactilar (tiene 10 dedos posibles) para un acceso físico, y mediante su
password para un acceso remoto.
e. Acceso de terceras personas. El grupo de terceras personas estará conformado
por:
i. Técnicos especializados en servidores de alto rendimiento.
ii. Técnicos especializados en redes, comunicaciones y seguridad.
iii. Técnicos especializados en el sistema eléctrico.
iv. Técnicos especializados en administración y mantenimiento de
datacenters.
v. En todos los casos anteriores la Jefatura TIC autorizará mediante plan de
trabajo el acceso de técnicos foráneos especialistas al datacenter de la
organización.
vi. Todo acceso de terceras personas deberá ser supervisado
(acompañado) por personal técnico de TICs de la organización.
vii. Bajo ninguna circunstancia se deberá “apagar” el sistema de vigilancia de
cámaras, exceptuando las situaciones autorizadas por la Jefatura TIC,
mismas que serán justificadas en el plan de trabajo.
viii. Bajo ninguna circunstancia, las terceras personas, podrán ingresar al
data center portando dispositivos de almacenamiento masivo de
información (discos duros externos o similares), cámaras fotográficas,
filmadoras.
ix. Bajo ninguna circunstancia las terceras personas podrán conectar a la
red eléctrica equipos electrónicos foráneos sin la autorización y
supervisión de personal técnico de la organización (TICs).
f. Monitoreo interno (cámaras de vigilancia). Se instalarán cámaras de vigilancia
continua. Estas registrarán todas las actividades llevadas a cabo en el
datacenter por el personal que tiene acceso y sus registros deberán ser
contrastados con los registros de accesos biométricos (accesos físicos).
2. Registro de las actividades y acciones del personal en el Data center
a. Bitácoras de acceso y/o sesiones en los sistemas operativos. Todos los servicios
de registro de bitácoras de los servidores deben ser habilitados y configurados
correctamente para registrar todas las actividades del personal autorizado.
b. Toda persona con acceso al datacenter deberá previamente llenar la planilla de
ingreso, anotando en la misma las actividades a realizar y registrando el tiempo
5
efectivo que permaneció en el datacenter. De igual forma, las planillas de
ingreso deben ser contrastadas con los videos de las cámaras de vigilancia.
3. Sistemas de monitoreo y control
a. Sistema de detección de humo y altas temperaturas. Los sensores están
programados en PLC, de tal manera que si se detecta valores por encima de los
rangos estándar disparan alarmas y realizan acciones previamente
programadas.
b. Sistema de monitoreo de acceso físico al Data center:
i. Sensores de movimiento. Las cámaras de vigilancia advierten y alertan al
personal de seguridad ante movimientos en el datacenter en horarios
inadecuados o no establecidos.
ii. Los sistemas de acceso advierten y alertan ante el intento de acceso al
Datacenter por parte de usuarios con credenciales inadecuadas, además
de intentos consecutivos de acceso.
c. Sistema de energía ininterrumpida
i. Grupo electrógeno. El GE deberá estar programado de tal forma que el
motor eléctrico arranque automáticamente luego de 10 segundos de
cualquier corte de energía eléctrica. Es responsabilidad del Responsable
de Infraestructura llevar a cabo verificaciones temporales del
funcionamiento del generador. Se contarán con todos los insumos
requeridos por el GE como ser: diesel, aceite, filtros y repuestos; además
de servicio externo especializado en el mantenimiento preventivo del
mismo.
ii. UPS. La UPS deberá soportar la carga de energía eléctrica requerida por
el datacenter mínimamente por 30 minutos. Se realizarán
mantenimientos preventivos cada 3 mes para asegurar su correcto
funcionamiento; además se realizarán pruebas conjuntas con el GE. Se
presentaran informes mensuales de las pruebas realizadas.
iii. Circuito eléctrico. Los circuitos deberán cumplir las normas Bolivianas
sobre instalaciones eléctricas en temas como: puesta a tierra,
pararrayos, etc. Deberá tener protecciones contra picos y armónicos.
Todos los circuitos contarán con planos propios y tableros debidamente
identificados. Cada 6 meses se verificará la carga de los circuitos y la
resistencia de la puesta a tierra.
d. Sistema de climatización. El equipo de aire acondicionado deberá estar acorde a
las necesidades el equipamiento del datacenter. De igual forma estará sujeto a
mantenimientos preventivos que serán llevados a cabo juntamente con el
mantenimiento de la UPS y el grupo electrógeno.
6
4. Respaldos de datos
a. Servidores espejo. Utilizando servidores de copia de seguridad se duplica todos
los procesos y transacciones del servidor principal. Si, por cualquier razón, el
servidor principal falla, el servidor de copia de seguridad inmediatamente puede
ocupar su lugar sin ningún tiempo de inactividad.
b. Cintas de respaldo. Serán guardados fuera del data center y contendrá los datos
fechados en tiempo, según las políticas de respaldo.
5. Casos fortuitos
a. Terremotos. La estructura física donde se encuentra el data center tiene que ser
sismo resistente y estar avalada por las normas bolivianas. Cada cierto tiempo
(5 años) se solicitará una inspección por personal del Colegio de Ingenieros
Civiles para verificar la estructura. Cuando ocurra un incidente sísmico de
importancia se solicitara la verificación respectiva.
b. Incendios. Se contará con detectores de humo y sensores de calor centralizados
con alarmas tanto visuales y auditivas. Estos dispositivos serán probados cada
dos meses para verificar su funcionamiento. Los extintores de CO2 estarán
colocados en puntos estratégicos junto con la señalética adecuada. Se verificará
el estado de los extintores cada 6 meses y anualmente se realizará una des
descarga completa para su posterior recarga. Cada 5 años se procederá a
realizar la prueba hidrostática de los extintores. Se recomienda que anualmente
se contraten consultores independientes para realizar una evaluación/auditoria
sobre incendios.
c. Inundaciones. Las instalaciones del Datacenter deberán encontrarse por encima
de la planta baja para minimizar cualquier riesgo de inundación. Además de
encontrarse a una distancia de 400 metros de cualquier rio, torrentera o posible
fuente de inundación. Se construirán canales de desagüe en el piso falso del
datacenter.
d. Guerra civil o convulsión social. Lo importante es resguardar los discos duros de
los servidores que almacenan la información de la organización. En estos casos,
de convulsión social o guerra civil, se designará a principio de año a una
persona responsable de “hacer escapar” los discos duros del datacenter
siguiendo el procedimiento establecido en las políticas de copias de respaldo y
resguardo de la información organizacional.
6. Mejoramiento de tecnologías del Datacenter.
Se deberá planificar recursos anuales adicionales para el mejoramiento y/o
actualización tecnológica del Datacenter, según el análisis de requerimiento de
tecnologías realizado periódicamente basados en los siguientes aspectos:
7
a. Infraestructura. Se deberá asegurar que la infraestructura que soporta el
Datacenter sea la adecuada y cumpla con los requerimientos de seguridad para
su buen funcionamiento, de ser necesario se deberá planificar la actualización
de las instalaciones.
b. Equipamiento. Se deberá garantizar que el equipamiento cumpla con las
especificaciones de seguridad actuales, se podrán adquirir nuevos equipos
según necesidad o requerimiento de acuerdo al análisis realizada por TICs.
c. Actualización. Los equipos deberán estar actualizados de manera que
garanticen la seguridad de datos. El personal de TI deberá monitorear por
actualizaciones constantemente, se preverán recursos para la compra sistemas,
licencias y actualizaciones de seguridad para los equipos, además de sistemas
de administración de ser necesario y según análisis realizado.
Criterios de control.
Se han definido los siguientes principios para efectivizar los criterios de control:
Principio de disponibilidad del datacenter. Se debe ofrecer la disponibilidad de la
información mantenida en el datacenter, por lo que las medidas de control aplicadas al
datacenter deben respetar las normas TIER:
o Disponibilidad
o Confiabilidad
o Costos estimados de construcción y mantenimiento.
Principio de confiabilidad. Las esferas de toma de decisiones de la organización
deben confiar en la información mantenida en los servidores del datacenter.
Responsabilidades.
Es responsabilidad de la Máxima Autoridad Ejecutiva de la Organización velar por el
cumplimiento de la presente política.
Para verificar el cumplimiento de las políticas, reglamentos y para fines de control interno la
MAE delegara a las TIC realizar el control y supervisión de las mismas.