1

Política de Seguridad

Datacenter

Grupo D-1

Edson Terceros T.

José Luis Calero.

Jerry Soleto R.

Martin Ayllon Q.

Raul Fernandez Q.

José Antonio Orellana A.

Claudia Villarroel P.

Yussen Solis G.

Piter Montes C.

2

Contenido Política. ...................................................................................................................................... 3

Objetivo...................................................................................................................................... 3

Alcance. ..................................................................................................................................... 3

Lineamientos Generales. ........................................................................................................... 3

1. Control de acceso al Datacenter .................................................................................. 3

2. Registro de las actividades y acciones del personal en el Data center......................... 4

3. Sistemas de monitoreo y control .................................................................................. 5

4. Respaldos de datos ..................................................................................................... 6

5. Casos fortuitos ............................................................................................................. 6

6. Mejoramiento de tecnologías del Datacenter. .............................................................. 6

Criterios de control. .................................................................................................................... 7

Responsabilidades. .................................................................................................................... 7

3

Política.

La seguridad del Data Center representa la seguridad de la información, la cual es vital para la

consecución de los objetivos organizacionales.

Objetivo.

Implementar las medidas de seguridad necesarias para garantizar el correcto funcionamiento

del Datacenter

Alcance.

Es aplicable a todo el personal cuyas funciones laborales están orientadas a la administración y

mantenimiento del Datacenter.

Lineamientos Generales.

1. Control de acceso al Datacenter

a. Personal autorizado. Las siguientes personas están autorizadas a ingresar al

datacenter, ya sea de manera física o remota:

i. Administrador de Base de Datos y/o Administrador de Sistemas.

ii. Administrador o encargado de infraestructura, redes, comunicaciones y

seguridad.

iii. Jefe TIC. Monitoreo rutinario del data center.

iv. En caso de que las personas citadas no estén presentes (vacaciones,

permisos, licencias) entonces la Jefatura TIC autorizará y/o habilitará de

forma escrita el ingreso al data center de personal técnico alterno, hasta

el retorno de los titulares.

b. Acceso físico. Determinado sólo en los siguientes casos:

i. Actualizaciones a nivel de hardware.

ii. Actualizaciones a nivel de software.

iii. Verificación del buen estado de funcionamiento de cada uno de los

subsistemas (equipos) que integran el datacenter.

iv. Revisión de bitácoras o logs de dispositivos que no pueden ser

accedidos de manera remota.

v. Mantenimiento de la infraestructura de redes y comunicaciones.

vi. Copias de respaldo del equipamiento de redes y comunicaciones y otros

a los que no se puede acceder remotamente.

4

c. Acceso remoto. Determinado para todos los casos en los que es posible

establecer conexión remota con algún dispositivo del data center.

d. Identificación y autenticación

i. Identificación. El usuario se dará a conocer ya sea para acceso físico o

remoto. En el físico deberá identificarse por su huella dactilar (tiene 10

dedos posibles), en el remoto mediante su login.

ii. Autenticación. El usuario ingresará su autenticación mediante su huella

dactilar (tiene 10 dedos posibles) para un acceso físico, y mediante su

password para un acceso remoto.

e. Acceso de terceras personas. El grupo de terceras personas estará conformado

por:

i. Técnicos especializados en servidores de alto rendimiento.

ii. Técnicos especializados en redes, comunicaciones y seguridad.

iii. Técnicos especializados en el sistema eléctrico.

iv. Técnicos especializados en administración y mantenimiento de

datacenters.

v. En todos los casos anteriores la Jefatura TIC autorizará mediante plan de

trabajo el acceso de técnicos foráneos especialistas al datacenter de la

organización.

vi. Todo acceso de terceras personas deberá ser supervisado

(acompañado) por personal técnico de TICs de la organización.

vii. Bajo ninguna circunstancia se deberá “apagar” el sistema de vigilancia de

cámaras, exceptuando las situaciones autorizadas por la Jefatura TIC,

mismas que serán justificadas en el plan de trabajo.

viii. Bajo ninguna circunstancia, las terceras personas, podrán ingresar al

data center portando dispositivos de almacenamiento masivo de

información (discos duros externos o similares), cámaras fotográficas,

filmadoras.

ix. Bajo ninguna circunstancia las terceras personas podrán conectar a la

red eléctrica equipos electrónicos foráneos sin la autorización y

supervisión de personal técnico de la organización (TICs).

f. Monitoreo interno (cámaras de vigilancia). Se instalarán cámaras de vigilancia

continua. Estas registrarán todas las actividades llevadas a cabo en el

datacenter por el personal que tiene acceso y sus registros deberán ser

contrastados con los registros de accesos biométricos (accesos físicos).

2. Registro de las actividades y acciones del personal en el Data center

a. Bitácoras de acceso y/o sesiones en los sistemas operativos. Todos los servicios

de registro de bitácoras de los servidores deben ser habilitados y configurados

correctamente para registrar todas las actividades del personal autorizado.

b. Toda persona con acceso al datacenter deberá previamente llenar la planilla de

ingreso, anotando en la misma las actividades a realizar y registrando el tiempo

5

efectivo que permaneció en el datacenter. De igual forma, las planillas de

ingreso deben ser contrastadas con los videos de las cámaras de vigilancia.

3. Sistemas de monitoreo y control

a. Sistema de detección de humo y altas temperaturas. Los sensores están

programados en PLC, de tal manera que si se detecta valores por encima de los

rangos estándar disparan alarmas y realizan acciones previamente

programadas.

b. Sistema de monitoreo de acceso físico al Data center:

i. Sensores de movimiento. Las cámaras de vigilancia advierten y alertan al

personal de seguridad ante movimientos en el datacenter en horarios

inadecuados o no establecidos.

ii. Los sistemas de acceso advierten y alertan ante el intento de acceso al

Datacenter por parte de usuarios con credenciales inadecuadas, además

de intentos consecutivos de acceso.

c. Sistema de energía ininterrumpida

i. Grupo electrógeno. El GE deberá estar programado de tal forma que el

motor eléctrico arranque automáticamente luego de 10 segundos de

cualquier corte de energía eléctrica. Es responsabilidad del Responsable

de Infraestructura llevar a cabo verificaciones temporales del

funcionamiento del generador. Se contarán con todos los insumos

requeridos por el GE como ser: diesel, aceite, filtros y repuestos; además

de servicio externo especializado en el mantenimiento preventivo del

mismo.

ii. UPS. La UPS deberá soportar la carga de energía eléctrica requerida por

el datacenter mínimamente por 30 minutos. Se realizarán

mantenimientos preventivos cada 3 mes para asegurar su correcto

funcionamiento; además se realizarán pruebas conjuntas con el GE. Se

presentaran informes mensuales de las pruebas realizadas.

iii. Circuito eléctrico. Los circuitos deberán cumplir las normas Bolivianas

sobre instalaciones eléctricas en temas como: puesta a tierra,

pararrayos, etc. Deberá tener protecciones contra picos y armónicos.

Todos los circuitos contarán con planos propios y tableros debidamente

identificados. Cada 6 meses se verificará la carga de los circuitos y la

resistencia de la puesta a tierra.

d. Sistema de climatización. El equipo de aire acondicionado deberá estar acorde a

las necesidades el equipamiento del datacenter. De igual forma estará sujeto a

mantenimientos preventivos que serán llevados a cabo juntamente con el

mantenimiento de la UPS y el grupo electrógeno.

6

4. Respaldos de datos

a. Servidores espejo. Utilizando servidores de copia de seguridad se duplica todos

los procesos y transacciones del servidor principal. Si, por cualquier razón, el

servidor principal falla, el servidor de copia de seguridad inmediatamente puede

ocupar su lugar sin ningún tiempo de inactividad.

b. Cintas de respaldo. Serán guardados fuera del data center y contendrá los datos

fechados en tiempo, según las políticas de respaldo.

5. Casos fortuitos

a. Terremotos. La estructura física donde se encuentra el data center tiene que ser

sismo resistente y estar avalada por las normas bolivianas. Cada cierto tiempo

(5 años) se solicitará una inspección por personal del Colegio de Ingenieros

Civiles para verificar la estructura. Cuando ocurra un incidente sísmico de

importancia se solicitara la verificación respectiva.

b. Incendios. Se contará con detectores de humo y sensores de calor centralizados

con alarmas tanto visuales y auditivas. Estos dispositivos serán probados cada

dos meses para verificar su funcionamiento. Los extintores de CO2 estarán

colocados en puntos estratégicos junto con la señalética adecuada. Se verificará

el estado de los extintores cada 6 meses y anualmente se realizará una des

descarga completa para su posterior recarga. Cada 5 años se procederá a

realizar la prueba hidrostática de los extintores. Se recomienda que anualmente

se contraten consultores independientes para realizar una evaluación/auditoria

sobre incendios.

c. Inundaciones. Las instalaciones del Datacenter deberán encontrarse por encima

de la planta baja para minimizar cualquier riesgo de inundación. Además de

encontrarse a una distancia de 400 metros de cualquier rio, torrentera o posible

fuente de inundación. Se construirán canales de desagüe en el piso falso del

datacenter.

d. Guerra civil o convulsión social. Lo importante es resguardar los discos duros de

los servidores que almacenan la información de la organización. En estos casos,

de convulsión social o guerra civil, se designará a principio de año a una

persona responsable de “hacer escapar” los discos duros del datacenter

siguiendo el procedimiento establecido en las políticas de copias de respaldo y

resguardo de la información organizacional.

6. Mejoramiento de tecnologías del Datacenter.

Se deberá planificar recursos anuales adicionales para el mejoramiento y/o

actualización tecnológica del Datacenter, según el análisis de requerimiento de

tecnologías realizado periódicamente basados en los siguientes aspectos:

7

a. Infraestructura. Se deberá asegurar que la infraestructura que soporta el

Datacenter sea la adecuada y cumpla con los requerimientos de seguridad para

su buen funcionamiento, de ser necesario se deberá planificar la actualización

de las instalaciones.

b. Equipamiento. Se deberá garantizar que el equipamiento cumpla con las

especificaciones de seguridad actuales, se podrán adquirir nuevos equipos

según necesidad o requerimiento de acuerdo al análisis realizada por TICs.

c. Actualización. Los equipos deberán estar actualizados de manera que

garanticen la seguridad de datos. El personal de TI deberá monitorear por

actualizaciones constantemente, se preverán recursos para la compra sistemas,

licencias y actualizaciones de seguridad para los equipos, además de sistemas

de administración de ser necesario y según análisis realizado.

Criterios de control.

Se han definido los siguientes principios para efectivizar los criterios de control:

Principio de disponibilidad del datacenter. Se debe ofrecer la disponibilidad de la

información mantenida en el datacenter, por lo que las medidas de control aplicadas al

datacenter deben respetar las normas TIER:

o Disponibilidad

o Confiabilidad

o Costos estimados de construcción y mantenimiento.

Principio de confiabilidad. Las esferas de toma de decisiones de la organización

deben confiar en la información mantenida en los servidores del datacenter.

Responsabilidades.

Es responsabilidad de la Máxima Autoridad Ejecutiva de la Organización velar por el

cumplimiento de la presente política.

Para verificar el cumplimiento de las políticas, reglamentos y para fines de control interno la

MAE delegara a las TIC realizar el control y supervisión de las mismas.