Data center sper sys

PROPUESTA DE ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE DATA CENTER
EMPRESA SPERSYS
RODOLFO ANIBAL VALIENTE AGUILAR
INGENIERO EN SISTEMAS DE INFORMACIÓN Y CIENCIAS DE LA COMPUTACIÓN
CARNÉ 902-08-1309
ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN
EVALUACIÓN GENERAL PRIVADA
EVALUADOR: ING. HUGO ADALBERTO HERNÁNDEZ SANTIZO
AGOSTO 2016

1
PRESENTACIÓN:
En el presente documento se realiza la propuesta para la implementación de un Data Center con los
linimentos TIER III, para la empresa SperSys.

2
Contenido
PRESENTACIÓN:........................................................................................................................ 1
EMPRESA OFERTANTE............................................................................................................... 8
RESUMEN EJECUTIVO ................................................................................................................ 9
AJSA, S.A..................................................................................................................................10
Misión..................................................................................................................................10
Visión...................................................................................................................................10
Certificaciones......................................................................................................................10
Descripción del Caso.............................................................................................................12
Aspectos que debe contener el Proyecto:..............................................................................12
Solución...............................................................................................................................13
Descripción Data Center........................................................................................................13
ANÁLISIS Y PROPUESTA DE IMPLEMENTACIÓN...........................................................................14
Normas ANSI/EIA/TIA ...........................................................................................................14
El estándar ANSI/TIA/EIA-606 ............................................................................................15
ANSI/TIA/EIA-607..............................................................................................................15
LA NORMA ANSI/TIA/EIA-942....................................................................................................15
Características de TIA942 - Subsistema Arquitectónico ...........................................................16
Características de TIA942 - Subsistema Eléctrico.....................................................................16
Características de TIA942 - Subsistema Telecomunicaciones ...................................................17
Características de TIA942 - Sub Sistema Mecánico.................................................................17
ITIL V.3.....................................................................................................................................17
COBIT 5....................................................................................................................................18
Infraestructura Del Edificio:...................................................................................................18
Situación Actual Del Área De Informática...............................................................................21
Personal Del Data Center...................................................................................................21
Estimación De Crecimiento Del Personal.............................................................................22
Requerimientos Para El Data Center...................................................................................22
Clasificación Tier III Para El Data Center..............................................................................22
TIER III .....................................................................................................................................23
DATA CENTER SPERSYS.............................................................................................................24
Arquitectura.........................................................................................................................24
Topología a Utilizar...............................................................................................................24

3
ANÁLISIS TÉCNICO....................................................................................................................25
Recurso Humano..................................................................................................................25
Perfil Del Personal: ...............................................................................................................25
Descripción de los Perfiles.....................................................................................................26
Recurso Técnico:..................................................................................................................27
EQUIPOS A UTILIZAR PARA EL DATA CENTER:.............................................................................27
Características......................................................................................................................27
SERVIDORES.............................................................................................................................28
Servidor para Base de Datos..................................................................................................28
Servidor para Correo, DNS, DHCP..........................................................................................30
Servidor Para Red De Área De Almacenamiento(SAN.............................................................31
Servidor para Aplicaciones y CMS ..........................................................................................32
Servidor para Active Directory...............................................................................................33
EQUIPOS DE COMUNICACIÓN...................................................................................................34
Router.................................................................................................................................34
Switch..................................................................................................................................35
INFRAESTRUCTURA ELÉCTRICA..................................................................................................37
Fuente Principal....................................................................................................................37
Empresa Eléctrica de Guatemala EEGSA .............................................................................37
Fuente Redundante..............................................................................................................38
Generador Eléctrico ..........................................................................................................38
Circuitos Monofásicos...........................................................................................................39
Tierras Físicas.......................................................................................................................39
Unidad De Distribución De Energía (PDU)...............................................................................40
Sistema Ininterrumpido de Potencia (UPS).............................................................................41
Características ..................................................................................................................41
ENFRIAMIENTO DEL CENTRO DE DATOS ....................................................................................42
Criterios tomados en cuenta para lael Enfriamiento...............................................................42
Elementos Fundamentales del Enfriamiento..........................................................................42
Gestión optimizada del flujo de aire...................................................................................42
Pasillos fríos y calientes.....................................................................................................42
Refrigeraciónlocalizada.....................................................................................................43
Máxima eficiencia con sistemas de agua fría.......................................................................43

4
Tecnología de Enfriamiento a utilizar.....................................................................................43
Unidad de Puerta Fría (Cooling Door).................................................................................43
Características:.................................................................................................................44
Control.................................................................................................................................45
Unidad Rack Cooler de Agua Fría........................................................................................45
Características ..................................................................................................................46
Beneficios generales de las tecnologías elegidas.....................................................................46
Configuración de Pasillos Fríos y Calientes..............................................................................47
Pasillos fríos......................................................................................................................48
Pasillos calientes...............................................................................................................48
CONTROL DE AMBIENTE...........................................................................................................49
Sistema de Incendio..............................................................................................................49
Detección temprano de humo ...........................................................................................49
Unidad de control de supresión de incendios......................................................................49
Sistema de Extinción Incendio............................................................................................49
SEGURIDAD DEL DATA CENTER..................................................................................................50
Seguridad Física....................................................................................................................50
Control de accesos al Centro de Datos................................................................................50
Documentación a presentar...............................................................................................50
Procedimiento de entrada de personal de laempresa y visitantes .......................................50
Vigilancia Exterior (Garita).................................................................................................50
Seguridad perimetral.........................................................................................................51
Puertas de un Centro de Datos...........................................................................................53
Cerraduras........................................................................................................................53
Tipo de cerraduraselectroimán (Electromagnética): ...........................................................54
Control de Acceso.............................................................................................................54
Sistema Automático de Extinción de Incendios: ..................................................................55
Detectores de humo..........................................................................................................55
Área de descarga y carga...................................................................................................56
Seguridad Lógica...................................................................................................................57
Nagios..............................................................................................................................57
UTM.................................................................................................................................57
Controles de Acceso..........................................................................................................57

5
Niveles de Seguridad Informática ..........................................................................................59
Nivel D..............................................................................................................................59
Nivel C1: Protección Discrecional .......................................................................................59
Nivel C2: Protección de Acceso Controlado.........................................................................60
Nivel B1: Seguridad Etiquetada..........................................................................................60
Nivel B2: Protección Estructurada......................................................................................61
Nivel B3: Dominios de Seguridad........................................................................................61
Nivel A: Protección Verificada............................................................................................61
Cifrado.............................................................................................................................62
Red privada virtual............................................................................................................62
CABLEADO...............................................................................................................................62
Cableado Horizontal .............................................................................................................62
CableadoVertical .................................................................................................................62
Cableado del Centro de Datos Basado En La Tia-568-C.2-1......................................................63
Configuraciones del Cable..................................................................................................63
Sub Sistemas Básicos del Cableado Estructurado....................................................................64
Tipos de cables a utilizar en el Centro de Datos ......................................................................65
ANÁLISIS ECONÓMICO..............................................................................................................66
Costos De Infraestructura..................................................................................................66
Costo De Equipos..............................................................................................................71
Costos De Herramientas....................................................................................................73
Costo De Recurso Humano ................................................................................................74
Costos De Mantenimiento De Equipos e Infraestructura......................................................75
Resumen De Costos De Inversión De Implementación ............................................................76
ANÁLISIS OPERATIVO................................................................................................................77
POLÍTICAS DE SEGURIDAD LÓGICA Y FÍSICA DATA CENTER SPERSYS.............................................78
Políticas de Seguridad de La Información ...............................................................................79
Política de Usuario................................................................................................................81
Política de Monitoreo ...........................................................................................................83
Política Protección Contra Código Malicioso-Antivirus ............................................................85
Política de Respaldo (Backup)................................................................................................88
Política de Activos -Equipo Tecnológico................................................................................90
Política de Seguridad Física y Ambiental.................................................................................92

6
Política de Seguridad Equipos de Cómputo.............................................................................94
Política de Control de Acceso al Centro de Datos....................................................................96
Política de Seguridad de Servidores .......................................................................................98
Política de Redes y Telecomunicaciones...............................................................................100
POLÍTICAS DE HOSTING...........................................................................................................102
Recurso de los Servidores....................................................................................................103
Servicios Prohibidos............................................................................................................104
Utilización del Correo Electrónico........................................................................................105
Seguridad, Límites y Versiones ............................................................................................106
Contenido del sitio web y Backups de información ...............................................................108
Programación e Instalación de CMS.....................................................................................110
Pago y Notificación.............................................................................................................111
Suspensión y Término de Servicio........................................................................................112
Obligaciones de SperSys Hosting .........................................................................................114
Responsabilidades del Cliente .............................................................................................116
Referencias........................................................................................................................117
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)............................................................................118
Introducción:......................................................................................................................119
Objetivos del Plan de Continuación......................................................................................119
Objetivo General.............................................................................................................119
Objetivos Específicos.......................................................................................................119
Alcance..............................................................................................................................120
Conceptos Básicos..............................................................................................................120
Causas de Interrupción....................................................................................................121
Gobierno de Continuidad....................................................................................................122
Lineamientos..................................................................................................................122
Estructura de la Gestión de Continuidad del Negocio............................................................123
Políticas de Continuidad del Negocio ...................................................................................126
Prueba Del Plan De Continuidad Del Negocio .......................................................................126
Mantenimiento Y Actualización Del Plan De Continuidad De Negocio....................................127
Aspectosespecíficos sobre la política de Continuidad del Negocio.........................................128
Inicio Del Plan De Continuidad Del Negocio (BCP) (Bs 7799-2 Control A 11.1)......................128

7
DesarrolloYAdministraciónDel PlanDe ContinuidadDel Negocio(Bs7799-2 Control A 11.1.1)
......................................................................................................................................128
EvaluaciónDe RiesgoDel PlanDe ContinuidadDel NegocioBCP(Bs7799-2 Control A 11.1.2)
......................................................................................................................................129
Características Del Plan De Continuidad De Negocio (BCP) (Bs 7799-2 Control A 11.1.3-4)...130
EntrenamientoYConcientizaciónDel PlanDe ContinuidadDel Negocio(BCP).(Bs7799-2
Control A 11.1.4).............................................................................................................131
Recomendaciones Adicionales.........................................................................................131
Prueba Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.5) .........................131
MantenimientoYActualizaciónDel PlanDe ContinuidadDe Negocio(BCP).(Bs7799-2 Control
A 11.1.5.2) ......................................................................................................................132
Referencias.....................................................................................................................133
PLAN DE RECUPERACIÓN ANTE DESASTRES (DRP).................................................................134
Plan de Implementación de Análisis y Gestión de Riesgo.......................................................135
Inventario de activos de información...................................................................................136
Escala de valoración de impacto.......................................................................................137
Análisis de amenazas y vulnerabilidades ..............................................................................139
Tabla de Control de Riesgos.............................................................................................142
Conclusión .........................................................................................................................143
DISTRIBUCIÓN DE AMBIENTES ................................................................................................144
Malla Eléctrica....................................................................................................................145
Diseño Cableado.................................................................................................................146
Diagrama Lógico de la Red ..................................................................................................147
Descripción.....................................................................................................................147
Datos Del Subneteo Vlsm....................................................................................................148
Active Directory..................................................................................................................149
ANEXOS.................................................................................................................................150
Cronograma de Trabajo ......................................................................................................150
Línea de Tiempo..............................................................................................................150
Cronograma Propuesta Data Center Empresa AJSA............................................................150
Formularios Varios..............................................................................................................153

8
EMPRESA OFERTANTE
Datos Básicos:
Nombre: AJSA, S.A.
Dirección Empresa: 3ª. Calle, 14-21 Zona 1, Cobán Alta Verapaz
Teléfono: 7941 1784
Correo: info@ajsa.com.gt

9
RESUMEN EJECUTIVO
Datos Básicos:
Nombre del proyecto: Data Center SperSys
Responsable del proyecto: AJSA, S.A.
Número de proyecto 01-2016
Empresa solicitante Empresa SperSys
Fecha de inicio y finalización: 29/07/2016 al 15/12/2016
Costo: $315,000.00

10
AJSA, S.A.
Somos una empresa sólida en brindar Soluciones Tecnológicas Avanzadas, brindando nuestro
servicio certificado y de calidad en el estudio, análisis, diseño, desarrollo e implementación de
centros de Datos (Data Center), redes de datos, infraestructura eléctrica, equipo de enfriamiento,
elaboración de planes de seguridad, políticas, otros. Líderes en el mercado ofreciendo tecnología de
última generación.
Misión
Diseñar e implementar proyectos de centros de Datos, utilizando las mejores prácticas y productos
que existan en el mercado, optimizando recursos y preocupándonos en no generar impacto ambiental
con nuestras acciones.
Visión
Ser una empresa especializada en diseñar e implementar proyectos de Centro de Datos, logrando el
prestigio y reconocimiento de nuestros clientes, empleados, proveedores y competidores, a través de
un trabajo profesional, innovador y creativo, que incorpore continuamente nuevas tecnologías para
satisfacer las necesidades cambiantes del mercado y ofreciendo un alto valor agregado en las
soluciones a nuestros clientes.
Certificaciones
AJSA, S.A. es una empresa que actualmente está respaldada por las siguientes certificaciones que
garantizan nuestro trabajo, entre ellas podemos mencionar:
ATD (Diseñador de Nivel Acreditado): garantizándonos buenas prácticas y apego a los principios,
conceptos establecidos en la norma TIER, ya que contamos con ingenieros certificados.
ATS (Especialista de nivel acreditado) destinada a personal de mantenimiento a adquirir un amplio
conocimiento en aspectos de automatización en los cuales se abarca el diseño, programación y
aptitudes de mantenimiento practico, esta certificación se basa en la dirección a la inversión y mejora
continua en calidad y capacitación, permitiendo prestar un mejor servicio con mayor profesionalismo
y excelentica a nuestros clientes.

11
ABTN (Asociación Brasileña de NomasTécnicas)la cualnos proporciona credibilidad y nos certifica
en el crecimiento y evolución de la empresa demostrando que somos una organización con un sistema
de fabricación controlado, así como respaldando nuestros servicios de acuerdo a normas específicas.
ISO 9001
AJSA, S.A. posee el certificado del estándar internacional ISO 9001:2008 base en el sistema de la
gestión de la calidad ya que es una norma internacional, centrándose en los elementos de
administración de la calidad para que una empresa cuente con un sistema efectivo, permitiéndonos a
mejorar la calidad de nuestros productos y servicios y de esta manera asegurarle a nuestros clientes
que dispondrán de un buen servicio de gestión de calidad.

12
Descripción del Caso
SperSys empresa del Señor Alfred Sperlich dicada al desarrollo de aplicaciones en la Ciudad de
Guatemala, debido al crecimiento que mantiene, decide mudarse a su nueva instalación, en la Ciudad
de Quetzaltenango , Colonia los Cerezos, el terreno de la propiedad está ubicada sobre la 9ª.
Calle y 6ª avenid y tiene un área de 30m de frente por 60 de fondo, con una topografía plana. El área
es residencial y posee todos los servicios. Actualmente tiene contratado topografía plana. El área es
residencial y posee todos los servicios. Actualmente tiene contratado el servicio de internet con un
ancho de banda de 5/1 Mbps.
Recién a principios de este año, el Sr. Sperlich tomó la decisión de agregar el servicio de hosting al
portafolio de su empresa. Para esto, se mudó a un apartamento en un edificio cercano y decidió
utilizar su casa como centro de operaciones para la empresa, sacándola del departamento de la zona
11, en donde ya trabajaban 5 desarrolladores y una asistente.
El Sr. Sperlich requiere de una propuesta para utilizar la casa de los Cerezos, como centro de
operaciones. Él le solicita que diseñe el data center para su empresa y que lo ubique en la casa y que
sea TIER-3, así mismo, que presente una propuesta para el cableado, de la casa para los
desarrolladores, la asistente. La única condición es que no puede botar muros dentro de la casa.
El data center debe tener capacidad de dar servicio inicialmente a 100 clientes con hosting en
Windows y Linux, ofreciendo bases de datos como MSSQL y MySQL. Elservicio de hosting ofrecerá
también CMS preinstalados. Adicionalmente, data Center debe manejar el ambiente de desarrollo y
QA (quality assurance) de la empresa. Ofrecerá servicios de hosting en servidores compartidos y
servidores dedicados, con espacio de disco desde 10G hasta sin límite. El Sr. Sperlich proyecta crecer
hasta un máximo de 3000 clientes y 8 personas dedicadas, el data center,asícomo 10 desarrolladores
y dos asistentes.
Aspectos que debe contener el Proyecto:
 Propuesta TIER-3
 Considerar tipo de construcción de la casa
 Presupuesto US $350,000.00
 Arquitectura de servidores
 Seguridad y políticas de seguridad física y lógica
 Políticas de uso del servicio de Hosting
 Plan BCP y DRP

13
 Distribución de ambientes de la casa
 Distribución físico de la red
 Diagrama lógico de la red. Debe incluir subneteo para el servicio de hosting, desarrollo y
QA.
 Propuesta de equipos para el data center, tomando en cuenta los planes de expansión.
 Propuesta económica para el proyecto y cronograma de actividades.
Solución
En base a estudios realizados dentro de la empresa conforme a la viabilidad, seguridad, costos de
mantenimiento, mano de obra, servicios e impuestos generados por bienes inmuebles. Se propone la
solución, de la creación del Centro de Datos
Considerando las opciones de menor costo sobre los impuestos de bienes inmuebles, así como el
vendedor tecnológico. Se propone la construcción del Centro de Datos en el departamento de
Quetzaltenango, Guatemala.
AJSA, S.A., ofrece soluciones completas para análisis, desarrollo e implementación de Centros de
Datos, incluyendo dentro de la solución, una propuesta que contempla la construcción, diseño y
formulación del proyecto, así como el mantenimiento del mismo.
Con el aseguramiento de la calidad (QA) consistente en el conjunto actividades planificadas y
sistemáticas para que los requisitos de calidad de un producto o servicio sean satisfechos. Entre
estas actividades se encuentran la medición sistemática, la comparación con estándares, el
seguimiento de los procesos.
Descripción Data Center
Un Data Centers es un edificio que provee seguridad a los apartados que contienen instalaciones de
servidores en red, almacenamiento y Backup. Un proyecto Data Center ofrece espacio para hardware
en un ambiente controlado, por ejemplo, utilizando energía y enfriamiento de ambiente y aire
acondicionado para permitir que los equipos tengan el mejor nivel de rendimiento con máxima
disponibilidad del sistema.

14
Un Data Center ofrece varios niveles de resistencia, en la forma de fuentes de energía de Backup y
conexiones adicionales de comunicación, que pueden no serutilizadas hasta que pase algún problema
con el sistema primario, a esta característica se le conoce como redundancia.
El principal objetivo de un proyecto de Data Center es ejecutar las aplicaciones centrales del negocio
y almacenar datos operativos, además de ofrecer medios de Recuperación de desastres (DR). Las
aplicaciones más tradicionales son sistemas de software corporativos, como Enterprise Resource
Planning (ERP) y Customer Relationship Management (CRM).
Dentro de los elementos que utiliza un Data Center se pueden mencionar: firewalls, Gateways VPN,
Routers y Switchs, Servidores de Base de Datos,Servidores de Archivos, Servidores de Aplicaciones,
Servidores web y Middleware, algunos en hardware físico y otros en plataformas virtualizadas.
Telecommunication Infrastructure Standard TIA 942 es una norma que ofrece orientaciones sobre la
estandarización del diseño de Data Centers y clasifica los Data Centers en cuatro niveles, siendo que
el nivel 4 es el más tolerante a fallas y tiene garantía de 99,995% de tiempo de actividad, comparado
al nivel 1, que garantiza 99.671% de tiempo de actividad. Esta estandarización esimportante para que
los clientes puedan entender y evaluar los proveedores de servicio.
ANÁLISIS Y PROPUESTA DE IMPLEMENTACIÓN
Dentro del presente capítulo se abarcan temas como el Análisis del Proyecto desde sus distintas
perspectivas; técnico, económico y operativo, además se aborda el tema del personal con el que
cuenta actualmente la empresa,su estimación de crecimiento futuro, el perfil con el que deben contar
las personas aspirantes a los distintos cargos. También se aborda un tema muy importante que es la
descripción de los requerimientos del proyecto,y la especificación de equipos con los que se trabajará.
Normas ANSI/EIA/TIA
Los estándares ANSI/EIA/TIA 606, 607 Y 942 especifican los requerimientos mínimos para la
infraestructura de telecomunicaciones, cableado estructurado, y cuartos de computo o data centers.

15
El estándar ANSI/TIA/EIA-606
Proporciona normas para la codificación de colores, etiquetado, y documentación de un sistema de
cableado instalado. Seguir esta norma, permite una mejor administración de una red, creando un
método de seguimiento de los traslados, cambios y adiciones. Ademásla localización de fallas resulta
una tarea más fácil, documentando cada cable tendido por características tales como tipo, función,
aplicación, usuario, y disposición.
ANSI/TIA/EIA-607
Establece los requisitos de aterrizado y protección para telecomunicaciones en edificios comerciales
y dicta prácticas para instalar sistemas de aterrizado eléctrico que aseguren un nivel confiable de
puesta a tierra, para todos los equipos de telecomunicaciones instalados.
LA NORMA ANSI/TIA/EIA-942
Establece las característicasque deben poseer los componentes e infraestructura de un centro de datos
para obtener los distintos niveles de disponibilidad denominados TIERs
Provee una serie de recomendaciones y Guide Lines (directrices), para el diseño e instalación de
infraestructuras de Data Centers (centros de cómputo), establece las características que deben
ejecutarse en los componentes de la infraestructura para los distintos grados de disponibilidad.
A su vez divide la infraestructura soporte de una data center en cuatro subsistemas a saber:

16
 Telecomunicaciones
 Arquitectura
 Sistema eléctrico
 Sistema Mecánico
Características de TIA942 - Subsistema Arquitectónico
SUBSISTEMA ARQUITECTÓNICO TIER III
Proximidad a áreas de inundación
registradas por las autoridades
No debe haber historias de inundación durante los
últimos 100 años y de 50 años a menos de 91 metros
Proximidades a autopistas No menos de 91 metros
Proximidad a aeropuertos No menos de 1.6 Kms y no más de 48 Kms
Áreas de parqueo de visitantes y
empleados separados
Si, físicamente separadas por una barrera o pared
Edificio con diferentes dueños
Permitido si todos los ocupantes son compañías de
TC
Debe cumplir con requerimientos de
NFPA 75
SI
Características de TIA942 - Subsistema Eléctrico

17
Características de TIA942 - Subsistema Telecomunicaciones
Características de TIA942 - Sub Sistema Mecánico
Sub Sistema Mecánico TIER III
Redundancia de unidades de
aire acondicionado
Cantidad de unidades AC suficiente para mantener el área
crítica durante la pérdida de una fuente de potencia eléctrica
Alimentación eléctrica para
equipos de aire
Múltiples aminos
Sistemas de extinción
automática.
Si
ITIL V.3
Se plantea ITIL V.3 en la implementación del Centro de Datos para SperSys para asegurar que las
políticas y estrategias sean implementadas y que los procesos tengan continuidad sin interrupciones.
Se definirán roles y responsabilidades a los usuarios para la gobernancia correcta de TI, gestionando
de mejor manera los servicios para optimizar los procesos, y realizar de manera correcta la toma de
decisiones para resolver cualquier inconveniente en los servicios prestados por TI.
SUBSISTEMA ELÉCTRICO TIER III
Permite hacer mantenimientos sin shut down SI
Número de rutas de alimentación Uno activo uno pasivo
Acometida de proveedor externo de energía Alimentación dual
Redundancia en generador N+1
Cables de alimentación de equipos de cómputo y comunicaciones Dos
Puntos sencillos de falla No tiene
Autonomía de combustible 72 horas
Topología de UPS
Paralelo redundante
o distribuido
redundante
Botón de apagado de emergencia (EPO) Si
Subsistema Telecomunicaciones TIER III
Entrada de Proveedores de acceso diversificadas con mínimo 20 metros de
separación
Si
Cuarto de entrada de TC secundario Si
Rutas de backbone redundantes Si
Routers y switches con fuente de alimentación redundante Si

18
El objetivo primordial en la implementación de ITIL en el Centro de Datos es crear valor en los
clientes, ya que permite la facilitación de resultados que se desean alcanzar evitando costos o riesgos
específicos.
Gestionando el servicio de forma especializada generando valor en los clientes en forma de servicios.
Garantizando la funcionabilidad de los procesos de forma eficiente y segura.
COBIT 5
Se presenta COBIT 5 en la implementación de un centro de datos de la empresa SperSys para el
cumplimiento de metas propuestas para la planificación y construcción del centro de datos, AJSA,
S.A., trabajará mediante un gobierno y una administración efectiva de la TI.
Se acoplan e implantan los requisitos legales que se requieren para la creación de un centro de datos,
cumpliendo los estándares regulatorios y contractuales relacionados con el uso de información.
Al implementar COBIT5 en elCentro de Datos,se busca que se alcance e incrementen los beneficios
como:
 Alzar el valor de la empresa a través de TI.
 Satisfacción de usuarios con los servicios de TI.
 Cumplimiento de leyes relevantes, políticas y regulaciones actualmente utilizadas.
Generado un beneficio en la Empresa, permitiendo una gobernanza que optimice los servicios, tales
como:
 Trabajo eficiente en procesos de alto nivel.
 Optimización de los servicios del costo de las TI.
 Apoya el cumplimiento de las leyes, reglamentos, acuerdos y políticas de la empresa.
 Gestiona nuevas TI.
 Ayuda a las empresasa reducir sus perfiles de riesgo a travésde una adecuada administración
de seguridad.
Infraestructura Del Edificio:
Las características con las que cuenta la empresa para el desarrollo del proyecto se detallan a
continuación:

19
Vista de planta de la casa del señor Sperlich, Colonia los Cerezos.
Datos del Edificio
Dirección: 9ª Calle y 6ª Avenida Colonia Los Cerezos
Área Del Terreno: 30 metros de frente y 60 metros de fondo
Tipo De Topografía: Plana
Servicios Disponibles: Energía eléctrica, agua potable, teléfono
Ancho de Banda de Internet 5/1 Mbps

20
Fachada frontal
Fachada posterior

21
Situación Actual Del Área De Informática
La empresa SperSys es una empresa especializada en el desarrollo de soluciones de software
eficientes y seguras,para entidades y organizaciones a través de su equipo de trabajo que se dedica a
estas a estas tareas. El equipo de trabajo con él cuenta actualmente la empresa se detalla a
continuación:
Personal Del Data Center
El personal que laborará dentro del Data Center será elmismo con el que se cuenta actualmente,para
la tarea de monitoreo de actividades se contará con tres personas inicialmente, sin embargo, para una
proyección futura se estima que se contará con una cantidad mayor de personas dedicadas a esta área.
La cantidad específica de personas con el que se iniciarán las actividades posteriormente a la
implementación del Data Center es:
Descripción del Cargo Cantidad
Monitoreo De Actividades 3 Personas
Desarrollo de Software 5 Personas
Asistente 1 Persona
Desarrollo de Software Actualmente se cuenta con 5 personas
Asistente Actualmente se cuenta con 1 asistente.

22
Estimación De Crecimiento Del Personal
La empresa SperSys presenta un crecimiento favorable y actualmente solicita la construcción del Data
Center para su centro de operaciones, paralelo a ello también se espera un crecimiento del personal
que laborará dentro de la empresa, se estima que el equipo de trabajo esté conformado por:
Monitoreo De Actividades Se contará con 8 personas
Desarrollo de Software Se contará con 10 personas
Asistente Se contará con 2 asistentes
Requerimientos Para El Data Center
El Data Center a implementar debe cumplir con requerimientos que garanticen su correcto
funcionamiento y que integre principios fundamentales como seguridad, integridad y disponibilidad
de la información, los requerimientos básicos con los que debe cumplir son los siguientes:
 Cumplimento de las especificaciones técnicas para la creación de un Data Center según la
Tier3.
 Manual de Políticas de Seguridad y procedimientos para la gestión de las tareas informáticas.
 Plan de Contingencias y procedimientos a seguir en caso de presentarse algún riesgo o
amenaza.
 Diseño de las instalaciones físicas del Data Center.
Clasificación Tier III Para El Data Center
El Uptime Institute es el ente encargado de clasificar los Data Centers (Centro de datos), se han
establecido cuatro categorías para estas infraestructuras:
 TIER I
 TIER II
 TIER III
 TIER IV

23
Los Data Centers pueden clasificarse según estas cuatro categorías que corresponden a la garantía
que ofrecen en cuanto al tipo de hardware que es utilizado para garantizar la redundancia y
disponibilidad de la información. Según la página OVH las categorías TIER pueden ilustrarse de la
siguiente forma:
Ilustración de la disponibilidad de los Data Centers según su nivel.
TIER III
Como se puedo apreciar en la imagen anterior cada nivel de la TIER proporciona un porcentaje de
disponibilidad bastante alto, en el caso de la empresa SperSys se requiere la TIER III, ofrece un
porcentaje de disponibilidad del 99.982% con aproximado de 0.8 horas de interrupción en un año,
con una redundancia de N+1.
Con esta configuración se considera que existe la posibilidad de elaborar periodos de mantenimiento
de equipos del Data Centersin el temor a que esto interfiera con los servicios que provee, sin embargo,
según la clasificación, en esta categoría los Data Centers no se encuentran fuertemente protegidos en
caso de cortes en caso de que ocurra algún incidente en su infraestructura, por lo que se concluye que
los Data Centers que pertenecen a la categoría TIER III no poseen una redundancia total.

24
DATA CENTER SPERSYS
Arquitectura
A continuación se describirá la arquitectura la cualnos garantizara una disponibilidad 24/7 soportado
por redundancia N+1 con personal especializado y herramientas adecuadas que proporcionaran una
fiabilidad el 100% del tiempo.
Todos los componentes de la arquitectura serán escalables lo cual nos permitirá un crecimiento
continuo que satisfaga De la misma manera los diferentes componentes deberán de incluir
redundancia lo cual nos permitirá tener alta disponibilidad.
La arquitectura ofrecerá un modelo de seguridad que protegerá los datos y la infraestructura frente a
ataques y a robos.
Topología a Utilizar
Se utilizara una topología de tres capas para la construcción de la red la cual permitirá agrupar
diferentes componentes que se conecten a la red. Los distintos niveles tendrán la capacidad de
prestar servicios a los otros niveles adyacentes

25
Se utilizara conexión centralizada para este tipo de conexión se utilizara una sola conexión cruzada
donde termina todo el cableado horizontal de los equipos y dispositivos. Se optimizara el uso de los
puntos disponibles de equipos de red y se maximiza la flexibilidad de la administración de
servicios.
ANÁLISIS TÉCNICO
El estudio de la factibilidad técnica del proyecto se determina con base a los siguientes recursos:
Recurso Humano
Actualmente se cuenta con cinco programadores de computadoras y una asistente, sin embargo, se
tiene previsto iniciar labores del Data Center con tres personas que serán las encargadas de velar por
el correcto funcionamiento del centro de datos y su vigilancia respectiva.
Perfil Del Personal:
Un aspecto muy importante del recurso humano es el perfil que debe cumplir cada persona que, en
determinado momento, aspira al puesto, para ello se detallan a continuación las características con
las que deben cumplir las personas que optan por los distintos cargos en el Data Center.

26
Descripción de los Perfiles
DESCRIPCIÓN DE LOS PERFILES LABORALES DE LA EMPRESA SPERSYS
PUESTO DESCRIPCIÓN REQUISITOS TÉCNICOS Y PROFESIONALES
Programador de
computadoras
Responsable del desarrollo
de programas que ayuden a
automatizar y sistematizar
los procesos operativos y
administrativos que se
necesiten en la
organización.
- Edad de 23 a 35 años.
- Estudiante del tercer año de la carrera
Ingeniería en Sistemas como mínimo.
- 2 años de experiencia en el área de
Programación.
- Conocimiento del idioma inglés.
- Conocimiento avanzado del ambiente
Windows, Microsoft Office.
- Conocimiento de base de datos, SQL Server y
MYSQL.
- Conocimiento de programación JAVA, PHP y
.NET
- Conocimiento del sistema operativo Linux.
Asistente
Responsable del apoyo
administrativo, en tareas de
planificación, seguimiento y
control de proyectos
- Nivel medio o estudiante universitario.
- 1 año de experiencia como mínimo en cargos
similares.
- Conocimiento en el manejo de paquetes de
ofimática.

27
- Capacidad de comunicación y atención al
cliente.
Encargado De
Monitoreo
Responsable del monitoreo,
control y vigilancia de los
distintos sectores del Data
Center.
- Experiencia mínima de 2 años en el monitoreo
de actividades de Data Centers.
- Conocimientos de manejo de equipos de
seguridad como cámaras, sensores de
movimiento, alarmas, etc.
Recurso Técnico:
Los dispositivos de Networking serán adquiridos con proveedores que puedan proporcionar una
garantía adecuada a las necesidadesdel Data Center,tomando en cuenta las siguientes características:
 Velocidad de respuesta ante incidentes.
 Facilidad de contacto.
 Tiempo de garantía del equipo.
 Seguimiento a las operaciones realizadas.
EQUIPOS A UTILIZAR PARA EL DATA CENTER:
Características
El Data Center deberá contar con equipos que proporcionen una ventaja competitiva para el
crecimiento empresarial y que permita una mejora continua mediante una infraestructura que cumpla
con características tales como:
 Lineamientos de la Tier III
 Redundancia y habilidad de crecimiento.
 Monitoreo de seguridad y alertas especializadas.

28
 Acceso al centro de data restringido a personal autorizado solamente.
 Acceso remoto para administrar y controlar el equipo y sistema operativo.
 Equipo de apoyo dedicado y disponible 24x7x365 para soporte de la infraestructura.
SERVIDORES
Servidor para Base de Datos
Se utilizará el siguiente equipo debido a las características que presenta,las cuales se adecuan a las
necesidades que se requieren para la utilización de:
Característica Especificación técnica de PowerEdge R430
Imagen
Factor de forma Servidor en rack de 1 U
Procesador
Familia de productos de procesadores Intel® Xeon® E5-2600 v4
Sockets del procesador: 2
Chipset: C610
Interconexión interna: hasta 9,6 GT/s
Caché:2,5 MB por núcleo; opciones de núcleo: 4, 6, 8, 10, 12, 14, 16, 18,
20
Memoria
DIMM DDR4 de hasta 2400 MT/s
12 ranuras DIMM: 4 GB/8 GB/16 GB/32 GB
Ranuras de E/S 2 PCIe 3.0
Almacenamiento
SAS, SATA, SAS nearline, SSD
Chasis R430 múltiple disponible:
10 unidades de conexión en marcha de 2,5 in
4 unidades con cableado de 3,5 in
Fuentes de
alimentación
450 W, 550 W PSU
Hipervisores
admitidos
opcionales
Citrix® XenServer, VMware vSphere® ESXi®, Red Hat® Enterprise
Virtualization®

29
Sistemas
operativos
Microsoft Windows Server® 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Novell® SUSE® Linux Enterprise Server
Red Hat Enterprise Linux
VMware vSphere ESXi
$ $
663800

30
Servidor para Correo, DNS, DHCP
Característica Especificación técnica de PowerEdge R630
Imagen
Factor de forma Rack de 1 U
Procesador Procesador Intel® Xeon® de la familia de productos E5-2600 v4
Memoria
Hasta 1,5 TB (24 ranuras DIMM): 4 GB/8 GB/16 GB/32 GB/64 GB DDR4
hasta 2.400 MT/s
Ranuras de E/S Hasta 3 ranuras x PCIe 3.0 además de una ranura dedicada PERC
Almacenamiento
HDD: SAS, SATA,nearline SAS SSD: SAS, SATA, NVMe PCIe
24 SSD x 1,8 in: hasta 23 TB por medio de SSD SATA de conexión en
marcha de 0,96 TB
10 x 2,5 in: hasta 18 TB por medio de HDD SAS de conexión en marcha
de 1,8 TB
8 x 2,5 in: hasta 14 TB por medio de HDD SAS de conexión en marcha de
1,8 TB
Fuentes de
alimentación
Fuente de alimentación de 750 W de CA con eficiencia Titanium; fuente de
alimentación de 1.100 W de CA;
495 W, 750 W, 1.100 W con eficiencia Platinum
Sistemas
operativos
Microsoft Windows Server® 2008/2012 SP2,
x86/x64 (x64 incluye Hyper-V®)
Microsoft Windows Server 2008/2012 R2,
x64 (incluye Hyper-V)
Red Hat® Enterprise Linux
$ $
303100

31
Servidor Para Red De Área De Almacenamiento (SAN
Característica * PowerEdge R930
Imagen
Factor de forma Rack de 4 U
Procesador Procesadores IntelXeon E7-8800 v4 y E7-4800 v4
Memoria (96 ranuras DIMM): DDR4 de 8 GB/16 GB/32 GB/64 GB, LRDIMM
hasta 2400 MT/s
Ranuras de E/S Hasta 3 ranuras x PCIe 3.0 además de una ranura dedicada PERC
Almacenamiento SSD SATA/SAS de 2,5”, HDD SAS (15.000, 10.000), HDD SAS
Nearline (7200)
SSD PCIe de 2,5”: SSD Dell PowerEdge NVMe Express Flash PCIe
Fuentes de
alimentación
PSU redundantes de conexión en marcha: 750 W CA,1100 W CA
Sistemas
operativos
Microsoft®
Windows Server® 2012 R2
Novell®
SUSE ®
Linux Enterprise Server
Red Hat®
Enterprise Linux®
VMware vSphere®
ESXi ™
$ $
14,03900

32
Servidor para Aplicaciones y CMS
Característica PowerEdge R430
Imagen
Procesador
Chipset: C610
20
Memoria
Almacenamiento
• 10 unidades de conexión en marcha de 2,5 in
• 4 unidades con cableado de 3,5 in
Fuentes de
alimentación
450 W, 550 W PSU
Hipervisores
admitidos
opcionales
Virtualization®
Sistemas
operativos
VMware vSphere ESXi
$ $
1403900

33
Servidor para Active Directory
Característica PowerEdge R430
Imagen
Procesador
Chipset: C610
20
Memoria
Almacenamiento
• 4 unidades con cableado de 3,5 in
Fuentes de
alimentación
450 W, 550 W PSU
Hipervisores
admitidos
opcionales
Virtualization®
Sistemas
operativos
VMware vSphere ESXi
$ $
1403900

34
EQUIPOS DE COMUNICACIÓN
Router
 Conectividad de Redes
Característica Router Cisco 2901/K9 Mod,2 GE, slots 4 EHWIC 2 DSP 1 ISM, IP Base
[CISCO2901-K9]
Imagen
Descripción
Router modelo Cisco 2901, 2 puertos switch Gigabit, 4 slots para insertar
módulos de interfaz de alta velocidad WAN (enhanced High-Speed WAN
Interface Card EHWIC),1 slot interno para módulo DSP (Digital Signal
Processor), 1 slot interno para módulo ISM (Internal Services Module), Cisco
IOS Software IP Base.
$
$1.052.000

35
Switch
 Conectividad de Equipos
Característica Switch Linksys LGS326P 24x10/100/1000(PoE+)+ 2xGigabit SFP
combinado [LGS326P]
Imagen
Descripción
Switch Linksys Smart LGS326P, de 26 puertos - Gestionado. Con 24 puertos
10/100/1000 (PoE+) + 2 puertos Gigabit SFP combinado.
Incluye QoS y priorización del tráfico para ofrecer la mejor experiencia
posible al usuario para aplicaciones de voz y video en tiempo real, así como
la carga y descarga de archivos gráficos o de video de alto ancho de banda.
Soporta el último estándar 802.3at (PoE +) al tiempo que ofrece 802.3af
(PoE) compatibilidad estándar.
Con la alimentación a través de la integración de Ethernet Plus elimina la
necesidad de cables de alimentación adicionales y tomas de corriente cercana.
Incluye también características para expandir y hacer crecer su red de forma
rápida - incluido el Protocolo Spanning Tree (STP) y el control de tormentas
características - para ayudar a controlar bucles. Además, protege la red a
través de la autenticación de seguridad de puertos y puerto basado en MAC,
que requieren los clientes para autenticarse antes de que se dicte datos. Con
avanzada DHCP snooping e IP-MAC vinculante, funciones aseguran la
integridad de la red y ayudar a prevenir posibles ataques.
Especificaciones:
 Puertos:
24 x 10/100/1000 (PoE+) + 2 x Gigabit SFP combinado
Alimentación por Ethernet (PoE):
PoE+
Presupuesto PoE
192 W
Características
 Rendimiento y confiabilidad probada
 Power Over Ethernet Plus
 Calidad de Servicio (QoS), priorización de Tráfico
 Configuración y administración fácil
 Seguridad de red avanzada
 24 x 10/100/1000 (PoE+) + 2 x Gigabit SFP combinado
 Montaje en rack
 Ca 100/230 V
$ $434.000

36
Computadoras De Oficina:
Característica DELL Inspiron 20 3000
Imagen
Monitor
Pantalla LED iluminada de 19.5" de alta definición (+HD) (1600 x 900)
con capa antirreflejo.
Procesador
Sexta generación del procesador Intel Core i3-6100U (3MB Caché,
2.30 GHz).
Memoria 4GB de Memoria DDR3L a 1600MHz, 1 DIMM.
Almacenamiento
SATA de 1TB 5400 RPM.
Fuentes de
alimentación
450 W
Hipervisores
admitidos opcionales
Citrix® XenServer, VMware vSphere®, ESXi®, Red Hat® ,Enterprise
Virtualization®
Sistemas operativos
Microsoft Windows10
$
$549.00

37
INFRAESTRUCTURA ELÉCTRICA
Uno de los mayores desafíos que se presentan en los Centros de Datos es el aumento de la densidad
de consumo kW por rack, ya que se requiere mayor suministro eléctrico generando mayor calor en la
misma superficie esto debido que el avance tecnológico de los componentes de los servidores (en
especial procesadores y memorias). Si tomamos en cuenta que hoy en día existen dispositivos con
mayores prestaciones, que funcionan en espacio más reducido, pero que generan más calor en
comparación con el espacio que ocupaban los mismos equipos en un tiempo atrás. Otro factor
importante esque en la actualidad existe la virtualización la cual nos permite aprovechar los recursos.
Para poner un ejemplo. Para realizar tareas de procesamiento centralizado en el año 2005 un data
centertradicional con 315 servidores de 2U cada uno requería unos 15 racksenpromedio podría tener
una consumo promedio total de 4kW por rack, actualmente es misma capacidad de cálculo puede ser
reemplazada por 21 servidores que ocupan un solo rack , pero que tiene un consumo de 11 KW por
rack,esto quiere decir que también la capacidad de enfriamiento debe sersuperior, ya que la densidad
del calor generado tiene más concentración.
Fuente Principal
Empresa Eléctrica de Guatemala EEGSA
El sistema eléctrico de distribución planeado para el centro de datos de la empresa SperSys será un
alimentador trifásico que sale desde una fuente exterior a la empresa por vía subterránea llegando a
un tablero electico general en la que se concentrarán tanto el alumbrado como los servicios de
computación, así como los demás enchufes de la sala, las derivaciones de los UPS así como los
alimentadores para el sistema de refrigeración.

38
Fuente Redundante
Generador Eléctrico
Es necesario la utilización de dos generadores eléctricos para proveernos energía eléctrica de una
forma autónoma ante desconexiones ya sean programadas o ausencia de electricidad.
Característica 25kva-250KVA Generador de Energía Silencioso con Motor Diésel de
Cummins
Imagen
Descripción
25kva-250KVA Generador de Energía Silencioso con Motor Diésel de
Cummins 1. Todos los grupos electrógenos tipo silencioso se levantan desde
la parte superior. El cojín de amortiguador eficaz garantiza el equilibrio de la
operación del equipo
$
US $ 5000,0

39
Circuitos Monofásicos
Estos serán instalados a partir del tablero principal hacia los racks por medio de una escalerilla la cual
contara con un piso térmico, sus circuitos se extenderán desde su inicio hasta su pasillo central.
Todos los circuitos terminaran en sus enchufes respectivos, en los cuales se conectaran la toma
múltiple de cada uno de sus módulos.
Los conductores utilizados para alimentar los racksson de tipo libre halógeno de 3*4 mm2 de sección.
Tierras Físicas
Lo ideal para tener una conexión a tierras es que esta tenga una resistencia de cero Ohmios sin
embargo la IEEE recomienda un valor de resistencia de tierra de 5.00 Ohmios o menos por lo cual se
trabaja bajo esos estándares.
Los colores para identificar cada una de las líneas de energía son los siguientes:
Rojo para (+) positivo.
Negro o azul para (-) negativo.
Verde / amarillo para la tierra.

40
Todas las cometidas cuentan con su respectiva canalización de manera que el cable no sea afectado
por un agente externo, ni afecte a los enlaces de telecomunicaciones, el cableado eléctrico también
irá montado sobre una escalerilla metálica similar a la del cable UTP, todos los cables serán
agrupados y sujetos de manera que este fijos a la escalerilla, de tal manera que se evite el movimiento.
Las acometidas eléctricas estarán a una distancia mínima de 30 cm de las canalizaciones de cable de
cobre UTP para evitar la interferencia electromagnética.
1. Puesta a Tierra
2. El sistema de puesta a tierra integra todo el sistema de infraestructura:
3. Canalizaciones de infraestructura cable UTP
4. Fuentes de poder para los equipos activos.
5. Chasis de los equipos activos.
6. Canalización eléctrica
7. Gabinetes de telecomunicaciones
Unidad De Distribución De Energía (PDU)
Es importante considerar la alimentación de energía en forma independiente y para nuestra
climatización por lo tanto es necesario considerar un tablero de derivación. Para el cual debe contar
con las siguientes características.
Potencia estimada para cubrir la demanda interna de los equipos de climatización con una amplitud
del 20% para cambios en sus condiciones.
Un gabinete metálico de fácil acceso a los demás dispositivos, control manual o automática, luces
testigos y cerradura con llave.
EL tablero de Distribución debe contener los siguientes elementos:
 Barrajes
 Elementos de conexión
 Interruptores para accionamiento de circuito de alumbrado
 Dispositivos automáticos de protección contra sobre corriente
 Elementos de medición
 Debe tener la posibilidad de hacer sus montajes de conexión tanto en la parte delantera como en
la trasera, no siempre es necesario ubicar las conexiones dentro del armario.

41
Sistema Ininterrumpido de Potencia (UPS)
Características
Producto: UPS
Potencia 500 - 1500 VA
Voltaje 120V, 208/230V
Frecuencia 50/60 Hz
Configuración Torre

42
ENFRIAMIENTO DEL CENTRO DE DATOS
Debido a que los servidores en conjunto a los equipos que se instalan en el Centro de Datos disipan
mucho calor en el ambiente, se hace necesario crear una climatización estricta,tecnificada y especial
para estos, donde se logré la temperatura y humedad necesaria para el centro de datos, para poder
garantizar la integridad de los equipos y datos.
El objetivo de los sistemas de aire acondicionado para centros de datos es captar satisfactoriamente
este complejo flujo de calor residual y extraerlo de la sala.
Criterios tomados en cuenta para la el Enfriamiento
 Agilidad
 Disponibilidad de los sistemas
 Costo de vida útil
 Capacidad de mantenimiento
 Capacidad de administración
 Primer coste
 Eficiencia eléctrica
 Conductos de transporte de agua u otros conductos cerca de los equipos de IT
 Ubicación de la unidad de refrigeración
 Redundancia
 Método de eliminación del calor
Elementos Fundamentales del Enfriamiento
Los elementos que se tomarán en cuenta para la refrigeración del centro de datos, seránlos siguientes:
Gestión optimizada del flujo de aire.
Se incluirá un diseño optimizado para el envío del aire bajo el suelo técnico elevado y desde allí, a
través de los paneles perforados que dan acceso a los pasillos fríos, directamente de los gabinetes.
Pasillos fríos y calientes.
Se incorporará una distribución de pasillos fríos y calientes para poder dirigir el caudal de aire a los
servidores, logrando de esta manera obtener una temperatura constante. Las condiciones de trabajo
son más estables y con esto aumentamos la eficiencia de todo el sistema de enfriamiento.

43
Refrigeración localizada.
La refrigeración se encontrará localizada y dedicada, esto con elfin de enfriar directamente los puntos
determinados como calientes.
Máxima eficiencia con sistemas de agua fría.
Se trabajará con soluciones hidrómicas optimizadas para la climatización de precisión (HPAC), ya
que estas combinan un rendimiento energético con niveles de flexibilidad y fiabilidad.
Tecnología de Enfriamiento a utilizar
Para el enfriamiento del Centro de Datos, se utilizará una solución que combina dos tecnologías de
enfriamiento las cuales son: CD – Cooling Door, RC – Rack Coole.
Unidad de Puerta Fría (Cooling Door)
La unidad cd constituye el sistema más innovador y eficiente para la gestión de los "hot spots" dentro
de los centros de datos, es decir de rack de alta densidad hasta 40 kW/m2
o más por rack. Se trata de
una unidad ""cooling door"" que se tiene que colocar en la parte trasera delrack y tiene que gestionar
un sistema dinámico autoadaptativo diseñado específicamente para la gestión del aire de expulsión.
características principales - ventiladores ec de nueva generación - adaptabilidad a racks 42u / 48u -
posibilidad de suministro con rack - control dinámico de la estratificación de aire - configuración r
(n+1) y t - integración en sistemas dual, free-cooling + back up - gestión dehumidification less
principio de funcionamiento la unidad cd se considera como unidad stand alone de refrigeración del
aire extraído de cada rack en los pequeños centros de datos y como sistema para la gestión de los hot
spots en los grandes centros de datos como integración en sistemas de acondicionamiento existentes
para islas calientes y frías o en estructuras de compartimentación. Mientras el acondicionamiento de
los rack se remite a las unidades perimetrales que suministran aire frío 18-20°c en el pasillo frío, la
"cooling door" cd gestiona los rack con más alta carga térmica generalmente debidos al uso de los
modernos blade servers.

44
Características:
 Capacidad adicional de enfriamiento gracias a la batería de agua fría disponible en simple y doble
circuito.
 No ocupa espacio en planta
 Adaptabilidad a la mayoría de racks
 Alta eficiencia energética mediante el control electrónico de los ventiladores, proporcional a las
reales necesidades.
 Gestión de la estratificación del aire Control preciso de la temperatura del rack mediante 8
sensores completamente independientes.
 Conexiones hidráulicas flexibles desde arriba o desde abajo a elección del cliente y de acuerdo a
la disponibilidad del suelo técnico elevado.
 Fácil integración con enfriadoras de última generación caracterizadaspor tecnología de levitación
magnética y free cooling.
 Eficiencia.
 Flexibilidad.
 Acoplamiento para cada tipo de rack.
 Redundancia.
 Dimensiones totales mínimas.
 Control dinámico del rack.
 Modularidad.
 Compartimentación.

45
Control
Pantalla semigráfica 132 x 64 píxeles, 6 teclas retroiluminadas, software programable, registro 100
alarmas, alarma general, restablecimiento automático de Black Out, sistema LAN integrado, gestión
standby, rotación automática, gestión alarmas graves y 2 salidas de alarma configurables.
Unidad Rack Cooler de Agua Fría
La unidad de acondicionamiento de interior vertical rack cooler de constituye un eficiente sistema de
gestión de los hot spots en los centrosde datos y garantiza bajos consumos energéticos y la posibilidad
de uso incluso con cargas sumamente elevadas para rack de alta densidad hasta 40 kw/m2 y más por
rack. En la versión hidráulica donde la refrigeración la garantiza el uso de un chiller externo. La
utilización de sistemas de ventiladores tipo EC con motor brushless de conmutación electrónica de
última generación permite un excelente rendimiento en términos de prevalencia y bajos consumos.
Disponible de serie la gestión dinámica n+1 de los ventiladores EC capaz de optimizar consumos y
la redundancia del sistema de refrigeración. Principio de funcionamiento se trata de unidades
independientes que se tienen que colocar entre los rack dentro de la fila de forma que actúen
localmente para disipar la carga de los servidores. En las versiones InRow (crc -i) el aire que se tiene
que tratar lo aspira en la parte trasera de la unidad directamente la isla caliente del centro de datos
(35°c) con notables beneficios desde un punto de vista tanto de eficiencia energética como de
rendimiento frigorífico para luego refrigerarse y enviarse a la isla fría (18-20°c) es decir en la parte
de delante de los rack donde lo aspiran. En las versiones encapsulado (crc -e) los servidores y el
acondicionador se encuentran dentro de la estructura del rack herméticamente cerrada y de este modo
se evitan fenómenos de mezclado de aire con el exterior con pérdidas de eficiencia evidentes en el
acondicionamiento. El aire lo aspiran directamente dentro del rack cerrado por la parte trasera
directamente los servidores (46°c) y se envía por la parte de delante una vez que se ha refrigerado
(25-30°c) directamente a los servidores con un notable ahorro de energía que se debe a la menor
cantidad de aire tratado.

46
Características
 Ahorros significativos debido al volumen de aire limitado, escalabilidad y modularidad.
 Solución óptima para un único rack.
 Disponible con 100% de redundancia.
 Eficiencia.
 Flexibilidad.
 Gestión dinámica integrada de la temperatura.
 Redundancia.
 Modularidad.
 Compartimentación.
 Integración.
Beneficios generales de las tecnologías elegidas
 Las unidades CD y RC se integran de la mejor manera para darle solución al problema de los
puntos de calor que generan los servidores blade.
 Proporcionan el enfriamiento local exactamente donde se hace necesario.
 Maximiza la capacidad interna del Centro de Datos.
 Elimina los puntos de calor.
 El espacio que ocupan es mínimo.
 Trabajan con redundancia N+1
 Enfriamiento adicional solo donde es necesario
 Unidades de expansión directa o de agua enfriada.
 Modulación del caudal de aire gracias a los ventiladores con motores EC Brushless de alta
eficiencia.

47
 Los ventiladores se adaptan a la carga térmica que detectan los sensores ubicados en el pasillo
caliente y frío. Así, aumenta la eficiencia y se reduce la estratificación del aire.
 Totalmente compatible con la mayoría de racks permitiendo la ampliación del sistema de
refrigeración.
Configuración de Pasillos Fríos y Calientes
A través del suelo elevado, puede ser dirigido fácilmente el aire al lugar donde exactamente se
necesita.
El pasillo se torna flexible ya que proporciona la máxima libertad para distribuir de otra manera los
racks o realizar cambios en la infraestructura que sean necesarios.

48
Pasillos fríos
Se establecerán en espacios entre pasillos de 1.2 metros, y serán instalados en conjunto al cableado
de potencio o energía eléctrica.
Pasillos calientes
Se establecerán en espacios entre pasillos de 1.0 metro, y serán instalados en conjunto al cableado de
datos.

49
CONTROL DE AMBIENTE
Sistema de Incendio
Detección temprano de humo
Las soluciones de detección temprano de humo brindan alertas tempranas ante posibles incendios
inminentes dentro de los cuartos de servidores y telecomunicaciones.
Se implementa la detección de incendios para permitir una investigación rápida e iniciar una respuesta
apropiada para prevenir perdidas, daños a la propiedad o interrupciones del negocio.
Unidad de control de supresión de incendios
Se contempla la implementación de una Unidad de control de supresión de incendios que ofrece
circuitos de señalización, que son configurables por elusuario para accionar las válvulas de un sistema
de extinción. Mostrando alertas, problemas y eventos para supervisión del centro de datos por medio
de una pantalla LCD.
Permitiendo al centro de datos verificar eventos, alarmas silenciosas, operatividad por parte del
usuario y mantenimientos simples. Guardando un historial de actividades dentro de la empresa.
Restableciendo los sistemas de forma automática, con contraseñas de seguridad que niegan el acceso
no autorizado al sistema para un óptimo desempeño y reducción de desastres por parte del personal.
Sistema de Extinción Incendio
Se utilizan sistemas de detección de incendios para el centro de datos como respuesta rápida,
ofreciendo una protección efectiva para la empresa, cuidando los activos y la continuidad de las
operaciones.
Es implementado en el centro de datos y cuartos de telecomunicaciones para evitar la propagación de
fuego que pueda causar pérdidas mayores y así reducir el impacto financiero dentro de la empresa.
Se requiere un sistema que remueva la energía calorífica del fuego y no el oxígeno de la sala de
servidores, extinguiendo el fuego rápidamente a través de combinaciones químicas y remoción física
de calor.

50
SEGURIDAD DEL DATA CENTER
Seguridad Física
Control de accesos al Centro de Datos
Se rigen políticas de seguridad en el centro de datos, para la protección de los recursos tecnológicos,
por lo que se implementan procedimientos de control de accesos. Estableciendo normas de control de
ingreso, estadía y egreso al personal de soporte y mantenimiento a la infraestructura por medio de
autorizaciones estandarizadas.
Con la finalidad de garantizar el acceso al centro de datos por parte del personal para servicio y
mantenimiento de los equipos instalados en la sala de equipos, el usuario debe seguir las normas y
medidas de seguridad.
Este listado de autorizaciones de accesos permanentes,desbeberá ser un documento formal, firmada
por el apoderado de la empresa específico los accesos en horarios 24 x 7 x365.
Permanentemente se debe indicar:
 Nombre, cargo, DPI o pasaporte de cada una de las personas enlistadas.
 Personas con autorización para la solicitud de ingreso de personal temporal o no autorizado.
 Personas con autorización de mando.
 Personas autorizadas para el movimiento y retiro de equipos.
 Tipos de accesos por personal y horarios a utilizar.
Documentación a presentar
Las políticas establecen que si un usuario deja de laborar para la consultora o empresa se deberá
indicar con antelación para evitar incidentes.
Procedimiento de entrada de personal de la empresa y visitantes.
El centro de datos cuenta con una garita de ingreso y egreso verificando los accesos,en los cuales
quedara identificado los registros de todas las personas que ingresen a las instalaciones.
Vigilancia Exterior (Garita)
Se implantan políticas de ingreso a las personas para un control detallado hacia las instalaciones, los
policías deben de seguir un régimen estricto en la seguridad de las instalaciones del centro de datos.
Se presentan las normas a seguir por parte de la seguridad policial:

51
1. Se restringe el ingreso al centro de datos a cualquier persona sin autorización
2. Cuando un usuario cuente con carnet de identificación, deberá presentarlo y el policía
ingresara los datos a la bitácora y permitirá el ingreso.
3. Si el usuario no cuenta con identificación de ingreso, se informa al encargado de seguridad y
este indicara si se brinda acceso o se deniega la entrada.
4. Se permite el ingreso dejando una identificación.
Seguridad perimetral
La seguridad perimetral corresponde a la integración de elementos y sistemas, tanto electrónicos
como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o
disuasión de intrusos en instalaciones especialmente sensibles.
 Muros exteriores sin ventanas
 Cerca eléctrica
 Circuito cerrado de televisión (CCTV)
 Alarmas perimetrales

52
Cerca Eléctrica
Circuito Cerrado de Televisión

53
Alarma Perimetral
Puertas de un Centro de Datos.
Se implementan puertas especiales de seguridad para los centros de datos, basados en estándares de
calidad y normativas internacionales para la protección de los cuartos de servidores y
telecomunicaciones.
Evitando filtraciones de humo, fuego, calor, agua aislando con eficiencia el cuarto de servidores.
Proporcionando resistencia a problemas de cualquier índole que permiten el accionamiento de los
Sistemas de existencia de fuego. Evitando deformaciones térmicas.
Programados con cerraduras automáticas y abatibles hacia afuera del centro de datos, permitiendo
cierre al vacío.
Cerraduras
Se contará con cerraduras de alta seguridad, combinando tecnología, fuerza y diseño que
complementan las puertas de cerrado al vacío. Con rendimiento de gama alta, de consumo mínimo
que no dañan el ambiente, estableciendo el acondicionamiento perfecto para la seguridad establecida
en el centro de datos.

54
Tipo de cerraduras electroimán (Electromagnética):
Ideal para su uso en el entorno externo o interno, Cerraduras tipo bóveda del electroimán tiene
características que agregan valor a su proyecto.
Control de Acceso
Se establecen controles de acceso Biométricas, que no permiten el acceso de personal no autorizado
a áreas sensibles, con controles de horarios de ingresos.
Incremento considerable de la seguridad del centro de acceso a cuartos sensibles que permite:
 Identificación mediante un sistema de lectura de huella
 Código de seguridad por empleado.
 Reprogramación rápida y ágil.

55
Sistema Automático de Extinción de Incendios:
Dispositivo que detecta automáticamente un incendio y lleva a cabo la descarga del agente extintor
en o sobre el fuego.
Detectores de humo
Un detector de humo es una alarma que detecta la presencia de humo en el aire y emite una señal
acústica avisando del peligro de incendio.

56
Área de descarga y carga
Espacio del edificio de la data center designado para realizar las distintas operaciones de productos
que se entregan a la entidad así evitar que personas ajenas a la empresa lleguen hasta los puntos más
críticos de la empresa.

57
Seguridad Lógica
Nagios
Nagios es un sistema de monitorización de redes ampliamente utilizado, de código abierto, que vigila
los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el
comportamiento de los mismos no sea el deseado. Entre sus características principales figuran la
monitorización de servicios de red (SMTP,POP3,HTTP,SNMP...),la monitorización de los recursos
de sistemas hardware (carga del procesador, uso de los discos, memoria, estado de los puertos...),
independencia de sistemas operativos, posibilidad de monitorización remota mediante túneles SSL
cifrados o SSH, y la posibilidad de programar plugins específicos para nuevos sistemas.
UTM
La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es un término de
seguridad de la información que se refiere a una sola solución de seguridad, y por lo general un único
producto de seguridad, que ofrece varias funciones de seguridad en un solo punto en la red. Un
producto UTM generalmente incluye funciones como antivirus, anti-spyware, anti-spam, firewall de
red, prevención y detección de intrusiones, filtrado de contenido y prevención de fugas. Algunas
unidades también ofrecen servicios como enrutamiento remoto, traducción de direcciones de red
(NAT, network address translation) y compatibilidad para redes privadas virtuales (VPN, virtual
private network). El encanto de la solución se basa en la simplicidad, por lo que las organizacione s
que puedan haber tenido proveedores o productos para cada tarea de seguridad por separado, ahora
los pueden tener todos en una sola solución, con el apoyo de un único equipo o segmento de TI, y
que se ejecuta en una sola consola.
Controles de Acceso
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en
bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de
aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la
integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido)
y para resguardar la información confidencial de accesos no autorizados.
Asimismo, esconveniente tener encuenta otras consideraciones referidasa la seguridad lógica, como
por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un
permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National
Institute for Standars and Technology (NIST) ha resumido los siguientes estándares de seguridad
que se refieren a los requisitos mínimos de seguridad en cualquier sistema:

58
 Identificación y Autentificación
 Roles
El acceso a la información también puede controlarse a través de la función o rol del usuario
que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: programador,
líder de proyecto, gerente de un área usuaria,administrador del sistema, etc. En este caso los
derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
 Transacciones:También pueden implementarse controles a través de las transacciones, por
ejemplo, solicitando una clave al requerir el procesamiento de una transacción determinada.
 Limitaciones a los Servicios:Estos controles se refieren a las restricciones que dependen de
parámetros propios de la utilización de la aplicación o preestablecidos por el administrador
del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la
utilización simultánea de un determinado producto de software para cinco personas,en donde
exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.
 Modalidad de Acceso
 Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la
ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de
controles permite limitar el acceso de los usuarios a determinadas horas de día o a
determinados días de la semana. De esta forma se mantiene un control más restringido de los
usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre
deben ir acompañados de alguno de los controles anteriormente mencionados.
 Control de Acceso Interno
 Control de Acceso Externo
 Administración

59
Niveles de Seguridad Informática
El estándarde niveles de seguridad más utilizado internacionalmente es el Trusted Computer Security
Evaluation Criteria TCSECOrange Book, desarrollado en 1983 de acuerdo a las normas de seguridad
en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el
mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego
internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2
abarca los subniveles B1, C2, C1 y el D.
Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no
cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware,elsistema operativo es inestable y no
hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los
sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.
Nivel C1: Protección Discrecional
Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario
puede manejar su información privada y se hace la distinción entre los usuarios y el administrador
del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este
"super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual
descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos
o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los
cambios que hizo cada usuario.
A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:
Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de
usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los
cuales podrán actuar usuarios o grupos de ellos.

60
Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a
ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin
autorización o identificación.
Nivel C2: Protección de Acceso Controlado
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características
adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e
intentos fallidos de acceso a objetos.
Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan
acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los
permisos, sino también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoría esutilizada para llevar registros de todas las acciones
relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus
usuarios.
La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el
comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el
procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración
del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es
cada usuario quien ejecuta el trabajo y no el administrador del sistema.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como
la secreta y ultra secreta. Se establece que el dueño del archivo no puede modificar los permisos de
un objeto que está bajo control de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad
jerárquico (alto secreto,secreto,reservado,etc.)y con unascategorías (contabilidad, nóminas, ventas,
etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es
decir que cada usuario tiene sus objetos asociados.

61
También se establecen controles para limitar la propagación de derecho de accesos a los distintos
objetos.
Nivel B2: Protección Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.
La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel
más elevado de seguridad en comunicación con otro objeto a un nivel inferior.
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son
modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de
banda a utilizar por los demás usuarios.
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalación de hardware: por ejemplo, el hardware de administración
de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación
de objetos de diferentes dominios de seguridad.
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o
las deniega según las políticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis
y testeos ante posibles violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión
segura.
Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos
formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse.
El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales
encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar
infiltraciones ante traslados o movimientos del equipamiento.

62
Cifrado
En criptografía, el cifrado es un procedimiento que utiliza un algoritmo de cifrado con cierta clave
(clave de cifrado) transforma un mensaje, sin atender a su estructura lingüística o significado, de tal
forma que sea incomprensible o, almenos, difícil de comprender a toda persona que no tenga la clave
secreta (clave de descifrado) del algoritmo. Las claves de cifrado y de descifrado pueden ser iguales
(criptografía simétrica), (criptografía asimétrica) o (Criptografía híbrida).
El juego de caracteres (alfabeto) usado en el mensaje sin cifrar puede no ser el mismo que el juego
de caracteres que se usa en el mensaje cifrado.
A veces el texto cifrado se escribe en bloques de igual longitud. A estos bloques se les denomina
grupos. Estos grupos proporcionaban una forma de verificación adicional, ya que el texto cifrado
obtenido debía tener un número entero de grupos. Si al cifrar el texto plano no se tiene ese número
entero de grupos, entonces se suele rellenar al final con ceros o con caracteres sin sentido.
Red privada virtual
Una red privada virtual (RPV),en inglés: Virtual Private Network (VPN),es una tecnología de red
de computadoras que permite una extensión segura de la red de área local (LAN)sobre una red pública
o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes
compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas
de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a punto
mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.
CABLEADO
Cableado Horizontal
El cableadohorizontal esel utilizadoencadapiso,este conectacadausuariocon un rack instalado.
Es decires el cableadoexistente entre unrack intermedioylosusuarios.No se especificacambios
para el cableado horizontal ya que el proyecto solo contempla el estudio del Data center.
Cableado Vertical
Para este tipode cableadose recomiendausarfibraópticamultimodo.Al utilizareste tipode cable
se garantizaunatransmisiónefectiva,sininterferenciaselectromagnéticas,ungrananchode banda,
y el soporte de una velocidad de transmisión alta.

63
Cableado del Centro de Datos Basado En La Tia-568-C.2-1
La configuración del cableado estructurado será sistémico esto permitirá que exista un punto de
conexión en cada uno de los edificios construidos, a fin que sea posible la redundancia de conexiones
sin necesidad de tener que colocar cableado adicional.
De la misma manera el cableado será reconfigurable permitiendo reconfigurar la topología de la red
sin realizar cambios estructurales en el cableado. La conexión y cables de red de distribución deben
ser las mismas en todos los edificios para poder recibir todo tipo de redes y terminales.
Configuraciones del Cable
Descripción Imagen
Par trenzado ASI/TIA/EIA-568-A
Fibra óptica ANSI/TIA/EIA-569

64
Sub Sistemas Básicos del Cableado Estructurado
La construcción y configuración de los distintos sub sistemas serán regidos por TIA-568-C.2.-1,
ASI/TIA/EIA-568-A y ANSI/TIA/EIA-569
Sub sistemas Descripción
Cuartos de entrada de
servicio
La configuración de cableado estructurado contara con el cuarto de
entrada de servicios este cuarto se encontrara en el edificio
principal en este cuarto monitoreara y convergerán todas las
comunicaciones que se realicen entre los distintos edificios y la
nube. La conexión hacia internet será a través de dos backbone y
una un enlace satelital
Cuarto de equipo Se construirá un cuarto que resguardara el equipo de
telecomunicaciones
Cuarto de
telecomunicaciones
Este cuarto resguardara los distintos componentes asociados a el
cableado de telecomunicaciones
Cableado vertical El propósito de este cableado será intercomunicar a los distintos
componentes de servicios del data center con el backbone
Cableado horizontal Sera el encargado de la conexión desde el área de trabajo de
telecomunicaciones hasta el cuarto de telecomunicaciones
Área de trabajo Serán todas las terminales a las cuales se les asignara una conexión

65
Tipos de cables a utilizar en el Centro de Datos
Cable Utilización Imagen
Fibra óptica XGLO and
LightSystem Interlocking
Aluminum
Se utilizara para la conexión
entre los distintos edificios
Fibra optica XGLO
LightSystem Imdoor Tight
Buffer Distribution (US)
Para elcableado vertical
Category 6 OSP UTP Cable
–US
Se utilizara para las
conexiones horizontal
40/100G Equipment
Conversion cords for 100G
Se utilizara para la conexión
de la SAN.

66
ANÁLISIS ECONÓMICO
El objetivo del Análisis Económico es presentar una propuesta de inversión de la implementación del
Data Center, involucrando todos los aspectos relevantes e importantes de los cuales se pueden
mencionar costos de:
 Infraestructura
 Equipos
 Herramientas
 Mantenimiento
 Recurso humano
 Seguridad
Costos De Infraestructura
INSTALACIONES FÍSICAS DEL DATA CENTER:
Nombre Descripción Unidad Cantidad Precio Parcial
Puerta de
Seguridad
Tipo: Lámina de acero ¼” espesor
Medidas: 1.02x2.17m
Marco: Planchas de acero de 1.4mm
espesor
Cerradura: Electromecánica
Bisagras: Tipo caja fuerte
Brazo Mecánico para auto retorno
Unidad 1 $1,100.00 $1,100.00
Rotulación
de Letrero
Letrero de salida (EXIT), iluminado y
construido con elementos reinsertables
Unidad 1 $60.00 $60.00
Rampa de
Acceso y
Descanso
Estructura: Metálica en Acero reforzado
Medidas área de descanso:
1.05mx1.02m
Baranda: Metálica perimetral a la rampa y
área de descanso
Medidas de Rampa: 0.60x1.91x2x17.45°
Unidad 1 $1,800.00 $1,800.00
Piso Falso
Sistema: Removible
Tipo:Piso falso de acero inyectado en concreto
liviano, modulado
Paneles (108): Acero modulares desmontables con
revestimiento superior conductivo de 61x61x3.2cm
Recubrimiento Superior: laminado de alta precisión
(HPL) antiestática de 1.5 mm Pedestales: hierro
acerado, regulados Altura de Instalación: 0.60cm
M2 38.50 $350.00 $13,475.00
Techo
Falso
Tipo: Techo Falso metálico tipo fibra
mineral
Láminas (108): 0.60x0.60cm Modulación:
0.60x0.60cm Altura de Instalación:
0.50cm
M2 38.50 $100.00 $3,850.00

67
TOTAL $20,285.00
BANDEJA PORTACABLES TIPO ESCALERILLA
Instalación
en Data
Center
"Piso
Falso"
(Cantidad
Tramo
Recto:
19.25m)
Tramo Recto: 3.66mx50.80cm Unidad 6 $130.00 $780.00
T Horizontal 90grad Unidad 2 $60.00 $120.00
Cruz Horizontal Unidad 1 $60.00 $60.00
Curva Vertical interna 90grad Unidad 3 $60.00 $180.00
Curva Vertical externa 90grad Unidad 3 $60.00 $180.00
Soportes de Tramos rectos (Separación:
1.8m)
Unidad 11 $4.00 $44.00
Soportes de Accesorios Unidad 22 $4.00 $88.00
Conector de Unión para tramos rectos Unidad 12 $3.00 $36.00
Conector de Unión para accesorios Unidad 36 $3.00 $108.00
$1,596.00
Instalación
en Pasillo
de Unidad
Informátic
a "Techo
Falso"
(Cantidad
Tramo
Recto:
46.70m)
Tramo Recto: 3.66mx50.80cm Unidad 13 $130.00 $1,690.00
T Horizontal 90º Unidad 11 $60.00 $660.00
Curva Horizontal 90º Unidad 7 $60.00 $420.00
Soportes de Tramos rectos (Separación:
1.8m)
Unidad 26 $4.00 $104.00
Soportes de Accesorios Unidad 54 $4.00 $216.00
Conector de Unión para tramos rectos Unidad 26 $3.00 $78.00
Conector de Unión para accesorios Unidad 72 $3.00 $216.00
$3,384.00
TOTAL $4,980.00
CABLEADO ESTRUCTURADO DE LA UNIDAD INFORMÁTICA
Patch
Cord,
Jack,
Faceplate
Patch Cord Cat 6a FTP 7ft (Voz y Datos) Unidad 35 $14.00 $490.00
Patch Cord Cat 6a FTP 3ft (Gabinetes) Unidad 35 $14.00 $490.00
Módulo Jack RJ-45, T568A/B (Voz y
Datos)
Unidad 35 $9.00 $315.00
Faceplate 2 Salidas (Voz y Datos) Unidad 21 $2.30 $48.30
$1,343.30
Cableado
Horizontal
Cable FTP Cat 6a (Voz) Metro 258.15 $1.80 $464.67
Cable FTP Cat 6a (Datos) Metro 602.40 $1.80 $1,084.32
$1,548.99
Patch
Panel
Patch Panel No Sólido, 24 Puertos (Voz) Unidad 1 $40.00 $40.00
Patch Panel No Sólido, 24 Puertos
(Servidores)
Unidad 1 $40.00 $40.00

68
Patch Panel No Sólido, 24 Puertos
(Elementos Data Center: Aire
acondicionado, Control de acceso, UPS)
Unidad 1 $40.00 $40.00
Patch Panel No Sólido, 48 Puertos (Datos) Unidad 1 $80.00 $80.00
$200.00
Canaliza-
ción
(Cantidad
Tramo
Recto:
118.69m)
Tubería Metálica EMT ¾” (3.05m) Unidad 41 $100.00 $4,100.00
Curva de Tubo EMT ¾” Unidad 41 $25.00 $1,025.00
Soporte de Tubería EMT Unidad 53 $4.00 $212.00
Cajas para Salida de
Telecomunicaciones
Unidad 21 $4.00 $84.00
$5,421.00
TOTAL $8,513.29
PUESTA A TIERRA DEL DATA CENTER
Cable #2AWG Malla de Cobre desnudo Metro 112 $5.00 $560.00
Abrazadera de
Bronce
Abrazadera de Aterrizaje (Unión de
cables de la malla, cada 3 pedestales
del piso falso)
Unidad
44 $13.00 $572.00
TGB
Barra de Tierra para
telecomunicaciones Medidas:
10"X2"
Unidad 1 $100.00 $100.00
TMGB
Barra de Tierra principal de
telecomunicaciones Medidas:
12"X4"
Unidad 1 $130.00 $130.00
Cable #6 AWG
Aterrizaje de Bandeja tipo Escalerilla
(Recorrido Data Center)
Metro 30 $3.50 $105.00
Cable #6 AWG
Kit +Jumper (50cm) de Aterrizaje
para Rack
Metro 1.50 $20.00 $30.00
Kit +Jumper (1m) de Aterrizaje para
Bandeja tipo Escalerilla Data Center
Metro 1 $25.00 $25.00
Kit +Jumper (1m) de Aterrizaje de
Pedestales Piso Falso (88)
Metro 88 $25.00 $2,200.00
Cable #2 AWG
Kit +Jumper (1m) de Aterrizaje
Tablero de Distribución, Tableros de
Bypass
Metro 3 $5.00 $15.00
Cable #1 AWG Conexión de Malla de cobre al TGB Metro 1 $8.00 $8.00
TOTAL $3,745.00
CABLEADO ELÉCTRICO DEL DATA CENTER
Cable Eléctrico
Cable #12 AWG Instalación (110v)
F+N+T
Metro 590.65 $0.50 $295.33

69
Cable #12 AWG Instalación (220v)
2F+N+T
Metro 405.80 $0.50 $202.90
$498.23
Tomas
Eléctricas
Toma Corriente doble (110v) sobre
piso falso
Unidad 6 $2.25 $13.50
Toma Corriente doble (220v) sobre
piso falso
Unidad 3 $2.25 $6.75
Toma Corriente normal doble (110v)
sobre pared
Unidad 4 $2.25 $9.00
Toma Corriente normal doble (220v)
sobre pared
Unidad 1 $2.25 $2.25
$31.50
Interruptores Interruptor Triple Unidad 1 $2.50 $2.50
Tablero de
Distribución
Tipo: Doble fondo construido con
lámina de acero de un espesor de
1.5mm, Puerta frontal con cerradura,
Breaker principal, Barra principal de
puesta a tierra, Cableado de
interconexión, Multímetro
Unidad 1 $1,200.00 $1,200.00
Tablero de
Bypass para
UPS
Tipo: Doble fondo construido con
lámina de acero de un espesor de
1.5mm, Puerta frontal con cerradura,
Breaker principal, Barra para puesta a
tierra, Breaker para protección de
UPS, Cableado de interconexión,
Multímetro, Supresor de Transientes
Unidad 2 $2,000.00 $4,000.00
Canalización
(Cantidad
Tramo
Recto:60.50m)
Tubería Metálica EMT ¾” (3m) Unidad 21 $100.00 $2,100.00
Curva de Tubo EMT ¾” Unidad 14 $25.00 $350.00
Soporte de Tubería EMT Unidad 14 $4.00 $56.00
Cajas de Paso Unidad 12 $4.00 $48.00
Cajas de Salida Eléctrica Unidad 15 $4.00 $60.00
$2,614.0
0Luminarias
Principales
Lámparas Fluorescentes T8
60X60cm
Unidad 9 $220.00 $1,980.00
Luminarias de
emergencia
Focos Direccionales Unidad 5 $40.00 $200.00
TOTAL $10,526.23
AIRE ACONDICIONADO Y EQUIPOS DE PROTECCIÓN ELÉCTRICA
Nombre Descripción Unidad Canti
dad
Precio Parcial
Aire
Acondicionado
de Precisión
Capacidad: 30000 BTU (Data
Center)
Unidad 2 $15,000.00 $30,000.00
UPS
Capacidad: 10Kva (Equipos Data
Center)
Unidad 2 $10,000.00 $20,000.00
Capacidad: 20Kva (Equipos Área
Informática)
Unidad 2 $10,000.00 $20,000.00
Generador Unidad 1 $10,000.00 $10,000.00
TOTAL $80,000.00
SISTEMAS DE SEGURIDAD DEL DATA CENTER
Nombre Descripción Unidad Cant
idad
Precio Parcial
Sistema de
Control de
Acceso
Capacidad para controlar el acceso
vía sistema biométrico, teclado
(contraseña) y tarjeta o token de
aproximación.
Unidad 1 $600.00 $600.00

70
Sistema de
Detección y
Extinción de
Incendios
Sistema de Detección
Panel de Control Unidad 1 $900.00 $900.00
Detectores de Humo Fotoeléctricos Unidad 11 $100.00 $1,100.00
Luces Estroboscópicas con sirena Unidad 2 $90.00 $180.00
Estación Manual de descarga Unidad 1 $80.00 $80.00
$2,260.00
Sistema de Extinción
Agente Extintor FM200+Manguera
de Descarga (1) + Boquillas de
descarga (11)
Unidad 1 $8,000.00 $8,000.00
$8,000.00
Tubería EMT
Tubería Metálica EMT 1/2”
(3.05m),
Tramo Recto: 20m (Detectores de
Humo)
Unidad 7 $80.00 $560.00
Tubería Metálica EMT 1/2”
(3.05m),
Tramo Recto: 17m (Descarga
Agente
FM200)
Unidad 6 $80.00 $480.00
$1,040.00
$11,300.0
0Extintor
Manual
C02 20lbs Unidad 2 $240.00 $480.00
Cajas de
Seguridad para
Cintotecas
Material: Construido con láminas de
acero blindado y concreto sólido
recubierto por todos sus lados.
Espacio Inferior para guardar
documentos o cintas
aproximadamente(240) Medidas:
110x65x85cm
Unidad 2 $1,200.00 $2,400.00
$14,780.00
TOTAL $142,829.52

71
Costo De Equipos
EQUIPOS INFORMÁTICOS DEL DATA CENTER
Rack Tipo
Gabinete
Rack Tipo gabinete para Voz y
Datos Racks Cerrados,
construidos en aluminio
extruido, estructura elaborada en
perfilería acerada.
Capacidad: 45 RU para equipos,
Estándar de 19” de ancho.
Medidas: 7 pies
(2.13m)x75cmx100cm
Organizadores Verticales.
Unidad 2 $1,500.00 $3,000.00
Organizadores Horizontales,
Multitomas,
Bandejas, Barrajes de puesta a
tierra
Rack Tipo gabinete para
Servidores Racks Cerrados,
construidos en aluminio
extruido, estructura elaborada en
perfilería acerada.
Capacidad: 45 RU para equipos
Estándar de 19” de ancho.
Medidas: 7 pies
(2.13m)x60cmx100cm
Organizadores Verticales,
Organizadores Horizontales,
Multitomas,
Bandejas, Barrajes de puesta a
tierra
Unidad 1 $1,450.00 $1,450.00
$4,450.00
Switch de
Comunicación
Switch capa 2/3/4 PWR 24
Puertos de acceso (Voz), Puertos
de Fibra Óptica (2)
Unidad 1 $2,300.00 $2,300.00
Puertos de acceso (Servidores),
Puertos de Fibra Óptica (2)
Unidad 1 $2,300.00 $2,300.00
Puertos de acceso (Elementos:
aire acondicionado, control de
acceso, UPS), Puertos de Fibra
Óptica (2)
Unidad 1 $2,300.00 $2,300.00

72
Puertos de acceso (Datos),
Puertos de Fibra Óptica (2)
Unidad 1 $6,500.00 $6,500.00
$13,400.00
Servidores
Aplicaciones de Virtualización Unidad 1 $23,237.48 $23,237.48
Configuración de Virtualización Unidad 1 $10,000.00 $10,000.00
Hardware Data Center
Servidor Power Edge R430 Unidad 3 $6638 $19,914.00
Power Edge R630 Unidad 2 $3031 $6062.00
Servidor Dell Power Edge
*R930
Unidad 2 $14,390.00 $28,770.00
Equipo de oficina Unidad 13 $549.00, $7137.00
$95,13019.4
8
SUBTOTAL $112,980.48
Sistema de
Respaldo
Unidad Robótica de Respaldo
+Software+ Cintas
Comprimidas 3TB (10)
Unidad 1 $10,000.00 $10,000.00
TOTAL $122,980.48

73
Costos De Herramientas
HERRAMIENTAS DEL DATA CENTER
Nombre Descripción Unidad Cantida
d
Precio Parcial
Herramientas de
Red
Kit de herramientas de red para el
Data Center
Unidad 1 $250.00 $250.00
Herramientas de
Mantenimiento
para equipos
Kit de herramientas para
mantenimiento de equipos en Data
Center
Unidad 1 $150.00 $150.00
Plan de
Contingencia
Incendio
Máscara contra gases y sistemas de
oxígeno portátiles
Unidad 10 $30.00 $300.00
Capacitación (Uso de extintores
manuales)
Unidad 1 $100.00 $100.00
Simulacros de Incendio Unidad 2 $50.00 $100.00
Capacitación sobre Incendio Unidad 1 $150.00 $150.00
Botiquín de primeros auxilios Unidad 1 $30.00 $30.00
Señalización para Incendio Unidad 10 $10.00 $100.00
Lámparas emergentes con batería Unidad 10 $15.00 $150.00
Inundación
Sistema de Drenaje Unidad 1 $300.00 $300.00
Bolsas de Plástico impermeables
(Racks)
Unidad 3 $25.00 $75.00
Simulacro de Inundación Unidad 2 $50.00 $100.00
Capacitación sobre Inundación Unidad 1 $100.00 $100.00
Terremoto
Kit (Linterna, Radio, Batería) Unida
d
10 $15.00 $150.00
Kit (Cascos de seguridad,
Protectores faciales)
Unida
d
10 $30.00 $300.00
Capacitación sobre Terremoto
Unida
d
1 $150.00 $150.00
Simulacro de Terremoto Unida
d
2 $80.00 $160.00
Robo Común
Letreros y Anuncios
(Acceso no autorizado)
Unida
d
5 $10.00 $50.00
Tarjetas de Identificación del
personal
Unidad 10 $20.00 $200.00
UI
Guardia de Seguridad (UI) Mes 12 $500.00 $6,000.00
Capacitación Guardia de Seguridad Unidad 1 $150.00 $150.00

74
Equipo de protección (Armamento
+
chaleco + radio portátil)
Unidad 1 $260.00 $260.00
Robo de Información
Capacitación sobre Robo de
información
Unidad 1 $400.00 $400.00
Fallo de Equipos
Capacitación sobre administración
de equipos de cómputo
Unidad 1 $450.00 $450.00
$9,775.00
TOTAL $10,175.00
Costo De Recurso Humano
RECURSO HUMANO DEL DATA CENTER
NOMBRE DESCRIPCIÓN UNIDAD CANTIDAD PRECIO PARCIAL
Director de
la Unidad
Informática
Sueldo del Aministrador del
Data Center (Sueldo Mensual:
$1500.00
Unidad 1 $18,000.00 $18,000.00
Capacitación Administración de Servidores
(Anual)
Unidad 1 $3,000.00 $3,000.00
TOTAL $21,000.00

75
Costos De Mantenimiento De Equipos e Infraestructura
MANTENIMIENTO DE EQUIPOS E INFRAESTRUCTURA DEL DATA CENTER
Servicio de
Mantenimiento
Tiempo
Mant.
(Horas/
Mes)
Período
(Mese/año)
Total
(Horas/
Año)
Costo Por
Hora
(Hora)
Costo
Anual
Ca
nt.
Parcial
Servidores y
Sistema de
Array de Discos
"Storage"
6 4 24 $ 50.00 $ 1,200.00 5 $ 6,000.00
Unidad
Robótica de
Respaldo
4 3 12 $ 25.00 $ 300.00 1 $ 300.00
Equipos de
Comunicación
5 3 15 $ 25.00 $ 375.00 6 $ 2,250.00
Cableado
Estructurado
8 3 24 $ 80.00 $ 1,920.00 1 $ 1,920.00
Red Eléctrica 8 3 24 $ 70.00 $ 1,680.00 1 $ 1,680.00
Climatización 4 2 8 $ 40.00 $ 320.00 1 $ 320.00
UPS 4 4 16 $ 50.00 $ 800.00 2 $ 1,600.00
Sistemas de
Detección y
Extinción de
Incendios
8 3 4 $ 60.00 $ 1,440.00 1 $ 1,440.00
Control de
Acceso
3 3 9 $ 15.00 $ 135.00 1 $ 135.00
Rampa de
Acceso
3 2 6 $ 15.00 $ 90.00 1 $ 90.00
Piso Falso 8 3 24 $ 30.00 $ 720.00 1 $ 720.00
Puerta de
Acceso
2 2 4 $ 10.00 $ 40.00 1 $ 40.00
Techo Falso 8 2 16 $ 20.00 $ 320.00 1 $ 320.00
Escalerilla
Portacables
8 3 24 $ 15.00 $ 360.00 1 $ 360.00
Puesta a tierra 8 3 24 $ 35.00 $ 840.00 1 $ 840.00
Servidores y
Sistema de
Array de Discos
"Storage"
6 4 24
$ 50.00 $ 1,200.00 5 $ 6,000.00
TOTAL $ 18,015.00

76
Resumen De Costos De Inversión De Implementación
No. Nombre Descripción Total Parcial
1 Costos de Infraestructura Infraestructura del Data Center, costos de
instalaciones, materiales y equipo para su
construcción.
$142,829.52
2 Costos de Equipos Equipos de Networking y comunicación
para poder brindar los servicios requeridos
por los usuarios y la organización.
$122,980.48
3 Costos de Herramientas Herramientas necesarias para los distintos
procesos de montaje e instalación de la
infraestructura y equipos.
$ 10,175.00
4 Costos de Recurso Humano Personas capacitadas, competentes y
adecuadas para cada uno de los servicios.
$ 21,000.00
5 Costo de Mantenimiento de Equipo
e Infraestructura
Manteniendo de las instalaciones, por
personal competente y capacitado
$ 18,015.00
TOTAL $315,000.00

77
ANÁLISIS OPERATIVO
La necesidad de la implementación de un Data Center para la empresa SperSys se ve reflejada en el
crecimiento que ha tenido últimamente debido a la alta calidad de su trabajo, por lo que se debe prever
una infraestructura que cumpla con los estándares de calidad, que sea adecuada y que satisfaga las
necesidades del cliente interno y externo, sin descuidar la escalabilidad que puede tener a futuro.
Se estima que elgrado de aprobación del proyecto por parte de las personasque trabajan enla empresa
será alta debido a las siguientes características:
 Se tendrá una infraestructura propia.
 El personal está familiarizado con el equipo debido a su experiencia laboral.
 Se contará con personal dedicado al monitoreo, lo que no afectará las funciones de los
colaboradores.

78
POLÍTICAS DE SEGURIDAD LÓGICA Y FÍSICA DATA CENTER SPERSYS

79
Políticas de Seguridad de La Información
SGSI-P-TI-01
Políticas de Seguridad de la Información
ISO 27001:2013 Versión: 1.0
Controles:
A.6.1
A.6.1.1-A.6.1.8
A.6.2.1- A.6.2.3
A.7.2
A.7.2.1-A.7.2.3
A.12.3.1
Vigente: Hasta 01/09/2018
Objetivos:
 Proporcionar dirección gerencial y apoyo a la seguridad de la información en concordancia con los
requerimientos comerciales y leyes y regulaciones relevantes.
 Manejar la seguridad de la información dentro de la organización.
 Mantenerla seguridad de la información de la organización y los medios de procesamiento de información
a los cuales entidades externas tienen acceso y procesan; o son comunicados a o manejados por entidades
externas.
 Proteger los recursos de y la tecnología utilizada para su procesamiento, frente a amenazas, internas o
externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
 Mantener la Política de usuario actualizada, a efectos de asegurar su vigencia y nivel de eficacia.
Alcances:
 La presente política aplica a todo el personal, (ya sea que cuenten con contrato indefinido, temporal y/o
Subcontratación).
 Se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente
la seguridad de la información, los sistemas informáticos.
 Debe ser conocida y cumplida por todo el personal, sea cual fuere su nivel jerárquico.
Descripción
a) La gerencia debe aprobar un documento de política, este se debe publicar y comunicar a todos los
empleados y entidades externas relevantes.

80
b) La política de seguridad de la información debe ser revisada regularmente a intervalos planeados o si
ocurren cambios significativos para asegurar la continua idoneidad, eficiencia y efectividad.
c) La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección
clara, compromiso demostrado, asignación explícita y reconocimiento de las responsabilidades de la
seguridad de la información.
d) Las actividades de seguridad de la información deben ser coordinadas por representantes de las diferentes
partes de la organización con las funciones y roles laborales relevantes.
e) Se deben definir claramente las responsabilidades de la seguridad de la información.
f) Se debe definir e implementar un proceso de autorización gerencial para los nuevos medios de
procesamiento de información
g) Se deben identificar y revisar regularmente los requerimientos de confidencialidad o los acuerdos de no-
divulgación reflejando las necesidades de la organización para la protección de la información.
h) El enfoque de la organización para manejar la seguridad de la información y su implementación (es decir;
objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información)
se debe revisar independientemente a intervalos planeados, o cuando ocurran cambios significativos para
la implementación de la seguridad.
i) Se deben tratar todos los requerimientos de seguridad identificados antes de otorgar a los clientes acceso
a la información o activos de la organización.
j) Los acuerdos que involucran acceso, procesamiento, comunicación o manejo por parte de terceras
personas a la información o los medios de procesamiento de información de la organización; agregar
productos o servicios a los medios de procesamiento de la información deben abarcar los requerimientos
de seguridad necesarios relevantes.
k) Se debe desarrollar e implementar un apropiado conjunto de procedimientos para etiquetar y manejar la
información en concordancia con el esquema de clasificación adoptado por la organización.
l) Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección
de la información.
Términos y Condiciones:
 El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
conforme a la magnitud y característica del aspecto no cumplido.
 Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
 Las sanciones sólo pueden imponerse mediante un acto administrativo que asílo disponga cumpliendo las
formalidades impuestas.
 Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros
requisitos aplicables.

81
Política de Usuario
SGSI-P-TI-01
Políticas de Usuario
ISO 27001:2013 Versión: 1.0
Controles:
A.11.2.1 - A.11.2.4
A.11.3.1 - A.11.3.2
A.11.4.1 - A.11.4.6
A.11.5.2
A.11.6.1
A.13.1.2
A.15.1.5
Objetivos:
 Asegurar el acceso delusuario autorizado y evitar el acceso no autorizado a los sistemas de información.
 Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.
Alcances:
Subcontratación).
Descripción:
a) Se debe solicitar por medio de un formulario dirigido al departamento TI para la creación de usuario que
le permita el acceso a los aplicativos, de la misma manera para el procedimiento para darse de baja.
b) Se debe asignar roles y/ privilegios para el acceso limitado a cada usuario.

82
c) Lascontraseñasse deben asignar y/o enviar alusuario a travésde su correo y manera encriptada; asímismo
se debe entregar por medio de un documento escrito.
d) La alta gerencia y/o encargados de cada departamento debe regular y/o autorizar la asignación de acceso
a los usuarios de acuerdo a su perfil.
e) Se debe asignar claves fuertes como mínimo 8 caracteres que incluyan números, caracteres especiales y
numeración.
f) Se debe llevar un control por escrito para el acceso de usuarios remotos.
g) Se debe seccionar la red para un mejor control de los usuarios.
h) Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas
i) El registro de los usuario se realizar por medio de su id por ende se debe asignar unipersonal.
j) Se debe restringir los accesos a los usuarios a sistemas de información sensible y de valioso activo.
k) Se debe requerir por medio de un oficio que los empleados, contratistas y terceros estén comprometidos
para realizar y/o reportar cualquier debilidad en el sistema.
l) Se debe prohibir a los usuarios de utilizar dispositivos (pendrive) externos a la institución.
a) El incumplimiento de la Política de usuario tendrá como resultado la aplicación de diversas sanciones,
b) Se sancionará administrativamente a todo aquel que viole lo dispuesto en la presente Política de usuario.
c) Las sanciones sólo pueden imponerse mediante un acto administrativo que asílo disponga cumpliendo las
d) Se realizará la revisión periódica del cumplimiento de la política, normas, procedimientos y otros

83
Política de Monitoreo
SGSI-P-TI-01
Políticas de Monitoreo
ISO 27001:2013 Versión: 1.0
Controles:
A.10.10
A.10.10.1-A.10.10.5
Objetivos:
 Detectar actividades de procesamiento de información no autorizadas.
 Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.
Alcances:
 La presente política aplica a todo el personal de Monitoreo, (ya sea que cuenten con contrato indefinido,
temporal y/o Subcontratación).
Descripción:
a) Se deben establecerprocedimientos para monitorear el uso de los medios de procesamiento de información
y el resultado de las actividades de monitoreo se debe revisar regularmente.
b) Se deben proteger los medios de registro y la información del registro contra alteraciones y acceso no-
autorizado.
c) Se debe monitorear los servicios que se realizan en el data center.
d) Se deben producir registros de la actividades de auditoria, excepciones y eventos de seguridad de la
información y se deben mantener durante un período acordado para ayudar en investigaciones futuras y
monitorear el control de acceso.
e) Las fallas se deben registrar, analizar y se debe tomar la acción apropiada.
f) Se deben proteger los medios de registro y la información del registro contra alteraciones y acceso no-
autorizado.

84

85
Política Protección Contra Código Malicioso-Antivirus
SGSI-P-TI-01
Políticas Protección Contra Código Malicioso
ISO 27001:2013 Versión: 1.0
Controles:
A.10.4- A.10.4.1
Objetivos:
 Proteger la integridad del software y la información.
Alcances:
Subcontratación).
Descripción:
a) Se deben implementar controles de detección, prevención y recuperación para protegerse de códigos
malicioso y se deben implementar procedimientos de conciencia apropiados.
Lineamientos Generales del empleo del antivirus:
b) Es responsabilidad del IT la instalación del cliente de software antivirus en todos los equipos de la red,
del buen funcionamiento, así como de la habilitación de las funcionalidades de autoprotección y descarga
automática de las actualizaciones del software antivirus.
c) Es responsabilidad del IT realizar las gestiones necesarias ante la autoridad correspondiente para la
autorización de adquisición o actualización de las licencias de uso.
d) Es responsabilidad del usuario mantener siempre activo el software antivirus, descargar e instalar las
actualizaciones del software tan pronto como estén disponibles del sitio oficial.
e) En el caso de que el equipo no sea propiedad de la institución, el IT hará un escaneo del equipo antes de
conectarlo a la red y en su caso se le instalará temporalmente bajo el amparo de la licencia del antivirus

86
oficial, siendo responsabilidad del propietario del equipo de desinstalarlo una vez que terminen las
actividades que le involucraron estar conectado a la red de la institución.
f) Realice siempre un escaneo de cualquier unidad del disco extraíble antes de usarla.
g) Si alguna prueba de laboratorio entra en conflicto con el software antivirus, ejecute el antivirus para
asegurar una máquina limpia, deshabilite el software antivirus, después ejecute la prueba de laboratorio.
Después de la prueba de laboratorio, habilite el software antivirus. Mientras el software antivirus esté
deshabilitado no active ninguna aplicación que pueda transferir algún virus, e. g. archivos compartidos,
correo electrónico, etc.
h) Casi diariamente se descubren nuevos virus. Compruebe periódicamente la política de Antivirus y los
procesos recomendados para realizar las actualizaciones.
Acciones de prevención de código malicioso:
i) Nunca abra archivos o macros adjuntos a un correo de una fuente desconocida, sospechosa o que no sea
de confianza. Borre inmediatamente estos archivos adjuntos y después haga un "doble borrado" vaciando
su carpeta de reciclaje.
j) Borre el “spam”, cadenas y cualquier otro tipo de correo chatarra sin reenviarlo a otros destinatarios.
k) Nunca descargue archivos de fuentes desconocidas o sospechosas.
l) Evite utilizar recursos compartidos de disco con acceso de lectura/grabación a menos que sea
absolutamente necesario.
m) Realice regularmente una copia de seguridad de sus datos críticos y de las configuraciones del sistema y
almacénelos en un lugar seguro.
Respuesta ante una infección de virus:
n) Contactar inmediatamente al TI cuando se tenga certeza o sospecha de que una computadora se ha
infectado con un virus. Normalmente el TI podrá eliminar el virus, esto puede implicar una visita al sitio
del trabajo o remotamente si se puede tener acceso a la computadora.
o) Si no se puede eliminar una infección viral, el disco duro de la computadora se deberá formatear y todo el
software y aplicaciones deberán ser reinstalados desde copias limpias con licencias.
p) Si el TI dictamina que una computadora infectada es capaz de propagar la infección o afectar otras
computadoras o la red, la computadora infectada será inmediatamente desconectada de la red de la red
hasta que el TI o quién el designe determine que está libre de virus.
q) Antivirus instalado obligatoriamente en cada equipo-
r) El equipo deberá ser actualizado diariamente.
s) Se tiene prohibido inhabilitar el antivirus.

87

88
Política de Respaldo (Backup)
SGSI-P-TI-01
Política de Respaldo (Backup)
ISO 27001:2013 Versión: 1.0
Controles:
A.10.5
A.10.5.1
Objetivos:
 Mantener la integridad y disponibilidad de los servicios de procesamiento de información y
comunicaciones.
 Proporcionar medios de respaldo adecuados para asegurar que toda la información esencial y el
software, se pueda recuperar después de una falla
Alcances:
 La presente política aplica a todo el personal de Monitoreo, (ya sea que cuenten con contrato indefinido,
temporal y/o Subcontratación).
Descripción:
a) Se deben realizar copias de back-up o respaldo de la información comercial y software esencialy se deben
probar regularmente de acuerdo a la política.
b) Todas las copias de información crítica deben ser almacenadas en un área adecuada y con control
de acceso.
c) Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen información crítica;
el dueño de la información debe asegurar que el plan es adecuado, frecuentemente actualizado y
periódicamente probado y revisado

89
d) Deben existir al menos una copia de la información de los discos de red, la cual deberá permanecer fuera
de las instalaciones.
e) Semanalmente los administradores de infraestructura,verificarán la correcta ejecución de los procesos de
backup, suministrarán las cintas requeridas para cada trabajo y controlarán la vida útil de cada
cinta o medio empleado.
f) El Área de Información y Sistemas debe mantener un inventario actualizado de las copias de respaldo de
la información y los aplicativos.

90
Política de Activos -Equipo Tecnológico
SGSI-P-TI-01
Política de Activos
ISO 27001:2013 Versión: 1.0
Controles:
A.7- A.7.1
A.7.1.1 - A.7.1.3
Objetivos:
 Lograr y mantener la protección apropiada de los activos organizacionales.
Alcances:
Subcontratación).
Descripción:_____________________________________________________________
a) Todos los activos deben estar claramente identificados; y se debe elaborar y mantener un inventario de
todos los activos importantes.
b) Toda la información y los activos asociados con los medios de procesamiento de la información deben ser
propiedad de una parte designada de la organización.
c) Se deben identificar, documentar e implementar las reglas para el uso aceptable de la información y los
activos asociados con los medios de procesamiento de la información.
d) Periódicamente, el Área de Información y Sistemas efectuará la revisión de los programas utilizados
en cada dependencia. La descarga, instalación o uso de aplicativos o programas informáticos no
autorizados será considera como una violación a las Políticas de Seguridad de la Información.

91
e) Todos los requerimientos de aplicativos, sistemas y equipos informáticos deben ser solicitados a través de
la mesa de ayuda del Área de Información y Sistemas con su correspondiente justificación para
su respectiva viabilidad.
f) Los recursosinformáticos no podrán serutilizados, sin previa autorización escrita,para divulgar, propagar
o almacenar contenido personal o comercial de publicidad, promociones, ofertas, programas destructivos
(virus), propaganda política, material religioso o cualquier otro uso que no esté autorizado.
g) Todo cambio a la infraestructura informática deberá estar controlado y será realizado de acuerdo con los
procedimientos de gestión de cambios del área de información y sistemas.

92
Política de Seguridad Física y Ambiental
SGSI-P-TI-01
Política de Seguridad Física y Ambiental
ISO 27001:2013 Versión: 1.0
Controles:
A.9.1
A.9.1.1-A.9.1.6
Objetivos:
 Evitar el acceso físico no autorizado, daño e interferencia al local y la información de la organización.
Alcances:
Subcontratación).
Descripción:
a) Se debe utilizar perímetros de seguridad barreras tales como paredes y puertas de ingreso controlado o
recepcionistas para proteger áreas que contienen información y medios de procesamiento de información.
b) Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se
permita acceso al personal autorizado.
c) Se debe diseñar y aplicar seguridad física en las oficinas, habitaciones y medios.
d) Se debe diseñar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión,
disturbios civiles y otras formas de desastre natural o creado por el hombre
e) Se debe diseñar y aplicar protección física y lineamientos para trabajar en áreas seguras.

93
f) Se deben controlar los puntos de acceso como las áreas de entrega y descarga y otros puntos donde
personas no-autorizadas pueden ingresar a los locales, y cuando fuese posible, se deben aislar de los
medios de procesamiento de la información para evitar un acceso no autorizado.
g) El equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales,
y las oportunidades para el acceso no autorizado.
h) El equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en los servicios
públicos.
i) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de información
deben ser protegidos de la intercepción o daño.
a) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de información
b) El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad.
c) Las puertas de acceso a las salas de cómputo deben ser transparentes,para favorecer el control del uso de
los recursos de cómputo.
d) Las instalaciones deberán estar libres de contactos e instalaciones eléctricas en mal estado.
e) Se deberá contar con al menos un extinguidor de incendios adecuado y cercano a cada área de trabajo.
f) Se deberá contar un plan de continuidad del negocio.
g) Se deberá contar con un plan de recuperación ante desastres.
h) Se deberá contar con un técnico para realizar el control diario de temperatura y aires acondicionados, para
llevar un control de los mismos.
i) Los sistemas de tierra física, sistemas de protección e instalaciones eléctricas deberán recibir
mantenimiento anual con el fin de determinar la efectividad del sistema.

94
Política de Seguridad Equipos de Cómputo
SGSI-P-TI-01
Políticas de Seguridad Equipo de Computo
ISO 27001:2013 Versión: 1.0
Controles:
A.9.2
A.9.2.1- A.2.7
Objetivos:
 Evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la
organización
Alcances:
Subcontratación).
Descripción:
a) El equipo debe estar ubicado o protegido para reducir los riesgos de las amenazas y peligros ambientales,
y las oportunidades para el acceso no autorizado.
b) El equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en los servicios
públicos.
c) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de información
d) El cableado de la energía y las telecomunicaciones que llevan data o sostienen los servicios de información

95
e) El equipo debe ser mantenido correctamente para permitir su continua disponibilidad e integridad.
f) Se debe aplicar seguridad al equipo fuera del local tomando en cuenta los diferentes riesgos de trabajar
fuera del local de la organización.
g) Todos los ítems de equipo que contengan medios de almacenaje deben ser chequeados para asegurar que
se haya removido o sobre-escrito de manera segura cualquier data confidencial y software con licencia
antes de su eliminación.
h) Equipos, información o software no deben ser sacados fuera de la propiedad sin previa autorización.
i) Los equipos se instalarán en lugares adecuados, lejos del polvo y tráfico de personas.
j) Las diferentes áreas de trabajo, deberán contar con un plano actualizado de las instalaciones eléctricas y
de comunicaciones del equipo de cómputo en red.
k) Las instalaciones eléctricas y de telecomunicaciones, estarán preferiblemente fijas o en su defecto
resguardadas del paso de personas o materiales, y libres de cualquier interferencia eléctrica o magnética.
l) Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando de esta manera
las especificaciones del cableado y de los circuitos de protección necesarios para su funcionamiento.
m) En ningún caso se permitirán instalaciones improvisadas, sin ningún aval del jefe o encargado del área.
n) La supervisión y control de las instalaciones se llevará a cabo en los plazos que establezca el jefe superior
de cada área.

96
Política de Control de Acceso al Centro de Datos
SGSI-P-TI-01
Política de Control de Acceso al Centro de Datos
ISO 27001:2013 Versión: 1.0
Controles:
A.7.1
A.9.2
A.9.1.1-A.9.1.4
Objetivos:
 Evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la
organización
 Establecer las normas para el control de acceso de personal al centro de datos.
 Informar a los usuarios de la presente política, y las posibles modificaciones que se pudieran dar.
Alcances:
Subcontratación).
Descripción:
a) Se deben proteger las áreas seguras mediante controles de entrada apropiados para asegurar que sólo se
permita acceso al personal autorizado.
b) No se permite el ingreso al centro de datos, al personal que no esté expresamente autorizado. Se
debe llevar un control de ingreso y salida del personal que visita el centro de datos. En el centro de datos
debe disponerse de una planilla para el registro, la cual debe ser diligenciada en lapicero de tinta
al iniciar y finalizar la actividad a realizar.

97
c) Todos los sistemas de comunicaciones estarán debidamente protegidos con infraestructura apropiada de
manera que el usuario no tenga acceso físico directo al centro de datos.
d) Para garantizar elacceso alcentro de datos alpersonalnecesario para la operación de los equipos instalados
en la sala de equipos se utilizará un listado de personal técnico y/o administrativo que tendrá acceso
permanente al edificio en horarios de lunes a viernes de 8:00 a.m. a 5:00 p.m. y acceso 24 x 7 x 365.
e) El personal que cuente con permiso para el ingreso a las áreas sensibles del centro de datos, deberá tener
registrada una huella para poder tener acceso al cuarto que sea necesario, mediante el sistema de lectura
de huellas.
f) Las visitas deberán portar una identificación con un código de clasificación de acuerdo al área de visita,
que les será asignado por el área de seguridad.
g) Las visitas internas o externas podrán acceder a las áreas restringidas siempre y cuando se encuentren
acompañadas cuando menos por una persona responsable del área, con permiso de la autoridad
correspondiente.
h) Se deberánestablecerhorarios de accesoa instalaciones físicas, especificando los procedimientos y en qué
casos se deberán hacer excepciones.
i) Se deberá definir el personal autorizado para mover, cambiar o extraer equipo de las diferentes áreas del
centro de datos
j) Las puertas del centro de datos deben permanecer cerradas. Si por alguna circunstancia se requiere
ingresar y salir del centro de datos, el funcionario responsable de la actividad se ubicará dentro del centro
de datos.
k) Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallas
que se puedan presentar.

98
Política de Seguridad de Servidores
SGSI-P-TI-01
Política de Seguridad de Servidores
ISO 27001:2013 Versión: 1.0
Controles:
A.9.1.2
A.9.2.1
Objetivos:
 Mantener los equipos en correcto estado, para su buen funcionamiento; informar a los usuarios de la
presente política, y las posibles modificaciones que se pudieran dar.
 Establecer las normas para el control de acceso de personal al centro de datos.
 Informar a los usuarios de la presente política, y las posibles modificaciones que se pudieran dar.
Alcances:
 Lasnormas que se establezcanen la presente política seránde aplicación a todos los encargadosde trabajar
directamente con los servidores del centro de datos.
Subcontratación).
Descripción:
a) El centro de control tiene la responsabilidad de verificar la instalación, configuración e implementación
de seguridad en los servidores conectados a la red.
b) La instalación y/o configuración de todo servidor conectado a la red deberá ser notificado a las diferentes
áreas que intervienen para el buen funcionamiento de los servidores en el centro de datos.

99
c) Durante la configuración del servidor el área de informática y telecomunicaciones deberá normar el uso
del sistema y la red, principalmente la restricción de directorios, permisos y programas a ser ejecutados.
d) Los servidores de servicios a través de la red deberán funcionar las 24 horas del día los 365 días del año.
e) Los servidores deberán recibir mantenimiento preventivo semanal o quincenalmente según lo amerite y
dispongan los encargados del mismo.
f) Los servidores deberánrecibir mantenimiento que incluya la revisión de su configuración semestralmente.
g) La información de los servidores deberá ser respaldada de acuerdo con los siguientes lineamientos:
h) Diariamente, información crítica.
i) Semanalmente, los correos, documentos que se manejen.
j) Quincenalmente, la configuración del servidor y bitácoras.

100
Política de Redes y Telecomunicaciones
SGSI-P-TI-01
Políticas de Redes y Telecomunicaciones
ISO 27001:2013 Versión: 1.0
Controles:
A.10.6
A.10.6.1
A.11.4
A.11.4.1-A.11.4.2
A.9.2.3
Objetivos:
 Evitar el acceso no-autorizado a los servicios en red.
 Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.
 Las normas que se establezcan en la presente política serán de aplicación a todos los usuarios de la red y
telecomunicaciones.
 Establecer las normas para el control de acceso de personal al centro de datos; informar a los usuarios de
la presente política, y las posibles modificaciones que se pudieran dar.
Alcances:
 Las normas que se establezcan en la presente política serán de aplicación a todos los usuarios de la red y
telecomunicaciones.
Subcontratación).
Descripción:
a) Los usuarios sólo deben tener acceso a los servicios para los cuales han sido específicamente autorizados
a usar.

101
b) Las redes deben ser adecuadamente manejadas y controladas para poderlas proteger de amenazas, y para
mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la información en
tránsito.
c) Se debe utilizar métodos de autenticación para controlar el acceso de usuarios remotos.
d) El área de telecomunicaciones no es responsable por el contenido de datos, ni por el tráfico que en ella
circule, la responsabilidad esdirectamente sobre el usuario que manipule, genere o solicite la información.
e) Nadie puede ver, copiar, alterar o destruir la información que reside en los equipos sin el pleno
consentimiento del responsable del equipo.
f) No se permite el uso de los servicios de la red cuando no cumplan con las labores propias de la empresa.
g) Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de la empresa y se usarán
exclusivamente para actividades relacionadas con la labor asignada.
h) Todas las cuentas de acceso a los sistemas y recursos de red y telecomunicaciones son personales e
intransferibles. Se permite su uso únicamente durante la vigencia de derechos del usuario.
i) No se permitirá eluso de analizadores para monitorear las redes de la empresa,esta función es únicamente
y exclusivamente de los encargados del área de redes y telecomunicaciones.
j) Si se detecta elmalo no aceptable uso de los recursosinformáticos, se cancelará la cuenta o se desconectará
temporal o permanentemente al usuario o red involucrada. La reconexión se hará en cuanto se considere
que el uso no aceptable se ha suspendido.
k) Si no se cuenta con acceso a internet y la labor del usuario lo amerita necesario deberá llenar el formulario
Acceso a Internet, para que se le pueda habilitar el servicio.

103
Recurso de los Servidores
PSH-P-TI-01
Recurso de los Servidores
Versión: 1.0
Controles:
PSH-2016
Objetivos:
 Dar un servicio optimo
Alcances:
 Clientes que arrendan espacio (hosting)
Descripción:
1) Todos los servicios de hosting compartidos tienen limitantes de los recursos que pueden utilizar de sus
servidores. Pasar estas limitantes implica la suspensión de los servicios para preservar el buen funcionamiento
de los servidores compartidos y no afectar a otros clientes de la misma máquina. En caso que un servicio
presente 2 o más suspensiones por este motivo en el período de 1 año será terminado y eliminado de nuestros
servidores sin posibilidad alguna de exigir por parte del cliente rembolso de cualquier dinero pagado.
2) El detalle de las limitantes de recursos de los servidores es el siguiente:
a) Ejecutar procesos que utilicen más del 80% de la CPU por más de 3 minutos.
b) Procesos que requieran sobre 48 MB de memoria, o gran número de peticiones que ralenticen el
funcionamiento del servidor.
c) Utilizar más del 10% de todos los recursos del sistema disponibles en cualquier momento por más de 30
minutos.
d) Saturación del servidor por parte de aplicaciones de CMS tipo Foros, Moodle, entre otrasque atente contra
el rendimiento de la máquina y por ende que perjudiquen el correctofuncionamiento de los otros clientes
que utilicen el mismo servidor.

104
Servicios Prohibidos
PSH-P-TI-01
SP-01-2016
Servicios Prohibidos
Versión: 1.0
Controles:
PSH-2016
Objetivos:
Alcances:
Descripción:
1) Todos nuestros planes en cualquiera de sus modalidades prohíben el uso de nuestros recursos para los
siguientes servicios:
a) La utilización de los servidores de SperSys para distribución de software y descargas masivas.
b) No se permite la instalación de ningún tipo de Chat.
c) La utilización de los servidores de SperSys para trasmisión o descarga de video y/o música en cualquier
tipo de formato.
d) La utilización de los servidores de SperSys para prestar servicios de juegos en línea de cualquier tipo.
e) Envío de mail masivo de cualquier índole y tipo. Utilizar más del 10% de todos los recursos del sistema
disponibles en cualquier momento por más de 30 minutos.
f) Saturación del servidor por parte de aplicaciones de CMS tipo Foros, Moodle, entre otrasque atente contra
el rendimiento de la máquina y por ende que perjudiquen el correctofuncionamiento de los otros clientes

105
Utilización del Correo Electrónico
PSH-P-TI-01
Utilización del Correo Electrónico
Versión: 1.0
Controles:
PSH-2016
Objetivos:
Alcances:
Descripción:
1) El envío de mail masivo queda absolutamente prohibido y no se permitirá bajo ninguna circunstancia. Aun
cuando sea a base de datos de clientes o se cuente con autorización de los mismos.
2) La detección por parte de nuestra empresa de un cliente enviando mail masivo es una causal de suspensión
inmediata de los servicios.
3) La utilización de servicios de otros proveedores para efectuar campañas publicitarias abusivas haciendo
referencia en dichas campañas a servicios alojados en SperSys también implica suspensión del servicio.
4) Si se sorprende por segunda vez a un cliente teniendo enviando mail masivo sea este intencional o no, de
publicidad o de cualquier índole el servicio queda terminado en forma inmediata sin posibilidad de devolución
alguna de remanente del dinero pagado.
5) La cantidad máxima permitida para el envío de mail por parte de los servicios compartidos por hora por
dominio es de 300 mail. En caso que se supere esta cantidad los sitios se verán imposibilitados de seguir
mandando mail hasta que pase el período de 1 hora. Si requiere envío de mayor cantidad de mail por hora los
servidores permiten el envío de hasta 1,000 correos por hora y los servidores dedicados hasta 5,000 correos
por hora.

106
Seguridad, Límites y Versiones
PSH-P-TI-01
Seguridad, Limites y Versiones
Versión: 1.0
Controles:
PSH-2016
Objetivos:
Alcances:
Descripción:
1) Se realiza actualización automáticamente a las versiones para las base de datos a versiones estables sugeridas
a través del Cpanel en todos nuestros servidores compartidos. Por la naturaleza de estos procesos no
necesariamente serán avisados a nuestros clientes. Son estos los que tienen que revisar sus sitios web para que
no presenten incompatibilidades con las versiones estables de cada servidor. No obstante, tomamos los
recaudos necesarios, deshabilitando funciones que puedan afectar mediante su utilización la estabilidad del
servicio. No permitimos la ejecución de scripts que saturen los recursos disponibles. Quienes deseen disponer
de todos los recursos, deberán optar por un servicio que no sea compartido. Así mismo, por razones de
seguridad, y por antigüedad de las mismas elregistro de globales ya no se encuentra activo, las variables deben
ser declaradas implícitamente.
2) El envío de correo por medio de la función mail () deberá contar con un valor verdadero, el remitente debe ser
webmaster@ el dominio de referencia. El alias deberá ser configurado desde el panel de control.
3) Cada usuario verá limitada su operación a los paths accesibles vía ftp.
4) Todos los planes de hosting compartidos tienen parámetros limitantes para proteger la caída de los servidores
por sobreconsumo. Estos parámetros son:
a) Límite de memoria máxima asignada para scripts = 40 MB.
b) Peso máximo de archivos para subir por scripts = 20 MB.
c) Tiempo máximo de ejecución de un scripts = 30 segundos.
d) Cantidad máxima de correo enviados por dominio = 300 por hora.

107

108
Contenido del sitio web y Backups de información
PSH-P-TI-01
Contenido del sitio web y Backups de información
Versión: 1.0
Controles:
PSH-2016
Objetivos:
Alcances:
Descripción:
1) SperSys no tendrá responsabilidad alguna por el contenido y la información que el Cliente aloje en nuestros
servidores, no obstante lo anterior, SperSys,podrá poner término al presente servicio y en cualquier momento,
si a su juicio, la información alojada por el Cliente en nuestros servidores atenta contra la ley vigente, la moral
y las buenas costumbres, o afecta a terceras personas, incluyendo el envío de correos masivos no solicitados
(SPAM).
2) SperSys no está obligado a guardar o almacenar ningún tipo de información de ninguna cuenta que no esté al
día en sus pagos. Todo contenido podrá ser eliminado de nuestros servidores desde el día siguiente del término
del período contratado. Es responsabilidad del cliente respaldar sus datos antes del término de cualquier
contrato. SperSys no entregará ningún tipo de información o contenido a clientes con cuentas terminadas.
3) En elevento que se detecte Phishing, esto es,aquel delito cibernético que se comete mediante el uso de un tipo
de ingeniería social para intentar adquirir información confidencial de forma fraudulenta como puede ser una
contraseña o información detallada sobre tarjetas de crédito u otra información bancaria, SperSys suspenderá
el servicio por un periodo no menor a 24 horas. Ahora, si esto se repite durante 02 veces en un periodo igual a
01 año, se eliminará automáticamente el dominio de los servidores quedando SperSys liberada de cualquier
responsabilidad.
4) El cliente mantiene información alojada en los servidores de la empresa SperSys. En el evento que dicha
información sea hackeada o manipulada por terceros,SperSys se compromete a restaurar dicha información
hasta 3 veces en el período de un año desde los backup que pudiera tener disponibles. El exceso de
restauraciones en el período tendrá un costo adicional de Q10, 000 cada una.
5) Sin perjuicio de lo anterior, SperSys no se hace responsable bajo ninguna circunstancia del contenido ni de
la calidad de la información restaurada,ya que si la información original presenta problemas, los respaldos
resultantes también tendrán los mismos problemas.

109
6) Es obligación del Cliente es tomar todas las medidas necesarias para resguardar adecuadamente su
información.

110
Programación e Instalación de CMS
PSH-P-TI-01
Programación e Instalación de CMS
Versión: 1.0
Controles:
PSH-2016
Objetivos:
Alcances:
Descripción:
1) Si el cliente va a instalar un CMS WordPress tiene que tener en cuenta estos puntos ya que estas plataformas
en caso de no mantenerse actualizadas permiten el ingreso de hackers en forma muy fácil.
2) El usuario se asegurará de mantener actualizados todos sus scripts instalados en su cuenta de hosting con la
versión más reciente del mismo, para evitar vulnerabilidades y/o intrusiones en el servidor.
3) El usuario se asegurará de no dejar carpetas, directorios y/o archivos con permisos públicos de acceso totalen
su cuenta de hosting, asignar permisos lectura, escritura y ejecución cualquier carpeta, directorio y/o archivo
permitirá la intromisión en el servidor de posibles atacantes con fines de interrupción de servicios y/o
destrucción de contenidos.
4) SperSys no da soporte de ningún tipo para este tipo de plataformas y en caso que presenten riesgo debido a la
falta de actualización podrá suspender carpetas,servicios o el sitio completo para evitar posibles ataques a
los servidores compartidos.

111
Pago y Notificación
PSH-P-TI-01
Pago y Notificación
Versión: 1.0
Controles:
PSH-2016
Objetivos:
Alcances:
Descripción:
1) El Cliente pagará a SperSys por los servicios prestados de acuerdo a la forma y valor aceptados al momento
de completar el formulario web.
2) En la eventualidad de que el Cliente no pague oportunamente los valores por los servicios, SperSys estará
facultada para suspender los servicios objeto de este contrato y a dar por terminado el mismo.
3) SperSys no efectúa ningún tipo de rembolso aunque el cliente decida dar por terminado el contrato antes de la
fecha de vencimiento del mismo, excepto en los primeros 30 días de contrato del servicio.
4) El Cliente deberá notificar cualquier pago que haga mediante el formulario de notificación creado en nuestro
sitio web para tal efecto
5) Esta es la única vía válida por la cual SperSys dará por enterado del pago de alguno de sus servicios. El hecho
de enviar mail por parte de alguna institución bancaria a alguna de nuestras direcciones no será considerado
como notificación válida.

112
Suspensión y Término de Servicio
PSH-P-TI-01
Suspensión y Término de Servicio
Versión: 1.0
Controles:
PSH-2016
Objetivos:
Alcances:
Descripción:
1) Cualquiera de las siguientes conductas o ejecución de los siguientes procesos queda prohibido y son causales
de suspensión inmediata de los servicios:
a) Envío de mail masivo o Spam, ya sea en forma intencional o por infección de virus de algún terminal del
cliente.
b) Detección de Phishing ya sea intencional o por omisión de las medidas de seguridad de su programación
del cliente en su sitio web.
c) Ejecutar procesos que utilicen más del 80% de la cpu por más de 3 minutos.
d) Procesos que requieran sobre 48 MB de memoria, o gran número de peticiones que ralenticen el
funcionamiento del servidor.
e) Utilizar más del 10% de todos los recursos del sistema disponibles en cualquier momento por más de 30
minutos.
f) Saturación del servidor por parte de aplicaciones de CMS tipo Foros, Moodle, entre otrasque atente contra
el rendimiento de la máquina y por ende que perjudiquen el correcto funcionamiento de los otros clientes
2) Son causales de terminación anticipada del contrato:
a) El no pago íntegro y oportuno del precio pactado por los servicios.
3) Cualquiera de las siguientes conductas o ejecución de los siguientes procesos queda prohibido y son causales
de término de los servicios:
a) Enviar mail masivo o Spam más de 2 veces en el período de un año.
b) Detección de Phishing en el sitio web del cliente más de una vez en el período de un año.
c) Comportamiento abusivo contra el personal: No se tolerará ningún comportamiento abusivo, lengua
abusiva o amenazas contra ningún miembro del personal de SperSys.
d) El incumplimiento de cualquiera de las demás obligaciones establecidas en el presente documento.

113
e) La notificación del término anticipado del contrato por alguna de las causales descritas en esta cláusula,
faculta elejercicio de las acciones legales para indemnizar los perjuicios que originen los incumplimientos,
cualquiera que sea su naturaleza.

114
Obligaciones de SperSys Hosting
PSH-P-TI-01
Obligaciones de SperSys Hosting
Versión: 1.0
Controles:
PSH-2016
Objetivos:
Alcances:
Descripción:
1) SperSys deberá dar cumplimiento a las siguientes obligaciones:
a) Prestar a el Cliente los servicios contratados, esto es, servicio de correo electrónico y sitio web en forma
íntegra y oportuna.
b) La información confidencial de la cual tome conocimiento Hostingcenter.cl, como resultado de la
prestación de los servicios que da cuenta el contrato, es de propiedad exclusiva del Cliente. En
consecuencia,SperSys no podrá divulgar a terceros dicha información, salvo expresa autorización escrita
del Cliente.
c) Esta obligación será extensiva para todos los dependientes de SperSys.
2) Las restricciones de uso y revelación de la información y por tanto la obligación de confidencialidad de la
misma no serán aplicables a aquella parte de la Información Confidencial que:
a) A la fecha de la revelación, la información ya era de dominio público.
b) Si SperSys o sus representantes fueren válidamente requeridos o notificados por un tribunal de justicia o
por una autoridad gubernamental o administrativa, para revelar la existencia y/o contenido de la
información confidencial. En el evento que esto ocurra.
3) SperSys deberá informar por escrito a l Cliente, a más tardar dentro del quinto día del requerimiento.
4) SperSys garantiza un tiempo de uptime, esto es,elfuncionamiento cada uno de los servicios (correoelectrónico
y sitio web) de un Disponibilidad: 99,982%, 1,6 horas de interrupción al año, redundancia N+1

115

116
Responsabilidades del Cliente
PSH-P-TI-01
Responsabilidades del Cliente
Versión: 1.0
Controles:
PSH-2016
Objetivos:
Alcances:
Descripción:
1) Es responsabilidad del Cliente la definición y establecimiento de los niveles de protección y resguardo de los
datos mediante el uso de claves o contraseñas,establecimiento de perfiles de seguridad de acceso,los cuales
están imbuidos en sus aplicaciones, a las cuales el personal de Hostingcenter.cl no tiene acceso.
2) Es responsabilidad del cliente asegurar que toda su programación sea compatible con las versiones estables
que se van actualizando periódicamente en los servidores. Para esto puede ver desde su Panel de Control las
versiones de Cpanel, Mysql, MSSQL, que presenta su servidor permanentemente.
3) Los equipos computacionales son herramientas para el procesamiento de datos que por su naturaleza están
sujetos a eventuales fallas, ya sea por funcionamiento propio o en sus programas. Por esta razón el Cliente
deberá tomar las medidas preventivas usuales en la actividad computacional, así como contar con la holgura
necesaria para la ejecución de sus procesos y respaldos de la información. El Cliente será directa y
exclusivamente responsable de la eficiencia del personal que opera su infraestructura tecnológica.
4) El usuario se asegurará de no dejar carpetas,directorios y/o archivos con permisos de accesototalen su cuenta
de hosting, asignar todos los permisos a cualquier carpeta,directorio y/o archivo permitirá la intromisión en el
servidor de posibles atacantes con fines de interrupción de servicios y/o destrucción de contenidos.
5) El usuario se asegurará de mantener actualizados todos sus scripts instalados en su cuenta de hosting con la
versión más reciente del mismo, para evitar vulnerabilidades y/o intrusiones en el servidor (Hackeo).
6) El cliente se asegurará de revisar el contenido de su sitio web manteniéndolo seguro y libre de cualquier tipo
de código malicioso.

117
Referencias
Para las políticas de seguridad se tiene como base la ISO 27001:2013

118
PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)

119
Introducción:
Se reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un incidente
o desastre que afecte la operación, como también la necesidad de recuperarse en el menor tiempo
posible, garantizando la continuidad del Data Center.
Guatemala es un país susceptible a desastres naturales y desastres ocasionados por el ser humano y
su reducción debe ser parte importante de la toma de decisiones antes de realizar un proyecto. El
presente plan de Continuidad del Negocio se divide en diferentes partes siendo la primera, la
identificación de amenazas que conlleva la seguridad de la información, desde la infraestructura del
lugar en donde se implementará hasta los dispositivos que se utilizarán para lograr alta disponibilidad
en el sistema para evitar que en un momento los usuarios no puedan tener acceso a la información.
El segundo paso consiste en analizar las amenazas y establecer su impacto para la organización.
El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad de
los recursos necesarios para elnormal desarrollo de las operaciones y como talhace parte delSistema
de Gestión de Riesgo Operativo, ofreciendo como elementos de control la prevención y atención de
emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación
normal.
Objetivos del Plan de Continuación
Objetivo General
 Incorporar el Plan de Continuidad del Negocio y el Plan de Recuperación ante Desastres en
los procesos y fases de la implementación del Data Center, los cuales deben de asegurar las
tres áreas fundamentales que son: Confidencialidad, Integridad y Disponibilidad.
Objetivos Específicos
 Vincular elAnálisis y Gestión de Riesgos en las etapas de la implementación del Data Center
en la empresa.
 Orientar a las personas para tomar en cuenta el plan de Continuidad del negocio y la
aplicación del plan de Recuperación ante Desastrespara garantizar la eficiencia y eficacia del
Data Center.
 Tener elPlan de Recuperación ante Desastrespara las posibles amenazas hacia los activos de
la empresa.
 Contar con una matriz de riegos para categorizar las amenazas según su impacto para la
empresa.

120
Alcance
El Plan de Continuidad de Negocios es una disciplina que prepara a la organización para poder
continuar operando durante un incidente o desastre, a través de la implementación de un plan de
continuidad, el cual contempla los lineamientos de administración de la continuidad de la empresa,
el desarrollo de fases que componen el plan de continuidad y las metodologías definidas para su
recuperación, como también el desarrollo de los planes de Recuperación ante Desastres, que se
realizan de acuerdo con las prioridades establecidas por la SperSys.
De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades con las
que cuenta la empresa SperSys para enfrentar situaciones que amenacen o afecten la integridad física
de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los mecanismos
de protección y seguridad, Manual de gestión de la comunicación en situaciones de crisis y los demás
sistemas de gestión.
Conceptos Básicos
Plan de Continuidad de Negocios: Es un sistema administrativo integrado, transversal a toda la
organización, que permite mantener alineados y vigentes todas las iniciativas, estrategias, planes de
respuesta y demáscomponentes y actoresde la continuidad del negocio. Busca mantenerla viabilidad
antes, durante y después de una interrupción de cualquier tipo. Abarca las personas, procesos de
negocios, tecnología e infraestructura.
Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el cual
puede causar interrupción o reducción en la calidad del servicio y en la productividad.
Problema de Continuidad de Negocio:Es un evento interno o externo que interrumpe uno o más
de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un incidente
o un desastre.
Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones
específicas de un sistema o proceso.
Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los
servicios de tecnología (red,servidores, hardware y software)despuésde haber sufrido una afectación
por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del negocio.
Disponibilidad: La información debe estar en elmomento y en el formato que se requiera ahora y en
el futuro, igual que los recursos necesarios para su uso.

121
Amenaza: Persona,situación o evento natural del entorno (externo o interno) que es visto como una
fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos.
Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada
por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la
Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre
otros.
Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias
vulnerabilidades con impactos adversos resultantes para la Entidad.
Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los
factoresa tenerencuenta para su estimación son la fuente de la amenaza y sucapacidad y la naturaleza
de la vulnerabilidad.
Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo
se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y
competitividad, interrupción de las operaciones, consecuencias legales y afectación física a personas.
Mide el nivel de degradación de uno de los siguientes elementos de continuidad: Confiabilidad,
disponibilidad y recuperabilidad.
Control:Esel proceso,política, dispositivo, práctica u otra acción existente que actúa para minimizar
el riesgo o potenciar oportunidades positivas.
Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin
controles.
Riesgo residual: Riesgo remanente tras la aplicación de controles.
Causas de Interrupción
Los planes de Continuidad del Negocio y los Planes de Recuperación ante Desastres se definen de
acuerdo con las causas de las posibles interrupciones y a partir de ellas se referencian las acciones a
seguir en caso que las mismas se presenten. Estas se pueden unificar en los siguientes escenarios:
 Ausencia de Personal: Se presenta cuando elEncargado delárea o el Encargado que ejecuta
el proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.
 No acceso al sitio normal de trabajo: Da lugar cuando por algún evento como desastre
natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre
otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades

122
propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso
crítico se debe contar con un sitio alterno de trabajo, el cual puede ser:
 Suministrado por la empresa, Ejemplo: Otra sede.
 Suministrado por un proveedor, contratista o aliado estratégico.
 Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta
falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por:
datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano.
 No contar con los ProveedoresExternos:Se presenta cuando una o varias actividades del
proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no
realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el
proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado,
adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por
SperSys.
Gobierno de Continuidad
Lineamientos
El objetivo del Plan de continuidad del negocio es planificar las acciones necesarias para responder
de forma adecuada ante un incidente de trabajo, desde el momento en que se declare la contingencia
hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su impacto sobre el negocio.
Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose en las
necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:
 El plan de continuidad de negocio está orientado a la protección de las personas, así como al
restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a
eventos de interrupción o desastre.
 Todo el personal de SperSys debe estar entrenado y capacitado en los procedimientos
definidos y conocer claramente los roles y responsabilidades que le competen en el marco de
la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba
de los Planes de Recuperación ante Desastres de la empresa.
 En caso de presentarse un incidente significativo se deben aplicar los mecanismos de
comunicación apropiados, tanto internos como externos.
 Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es
responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios para
el área que representa.

123
 Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la
siguiente frecuencia:
 El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que
un líder de Proceso lo requiera, teniendo en cuenta los cambios de la empresa y sus
necesidades específicas.
 El monitoreo a los riesgos de continuidad se efectuará de manera semestral.
 Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas.
 Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como
resultado del análisis de riesgos se determine el ajuste o implementación de
estrategias de contingencia.
 Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en
los Planes de Continuidad del Negocio y la normativa que proporciona el TIER3.
 Los planes de Recuperación ante Desastres deben mantenerse actualizados, para lo cual se
deben desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios
significativos en políticas, personas, proceso, tecnología; siendo necesario que en dicha
revisión participen las áreas involucradas.
Estructura de la Gestión de Continuidad del Negocio
Para aseguraruna adecuada administración de la continuidad del negocio se estableció una estructura,
que incluye la definición de los roles y responsabilidades. Esa administración está conformada por:
I. Director de Continuidad
El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de
continuidad del negocio. Es responsable de declarar el plan de Recuperación ante Desastres en los
escenarios de interrupción de lugar de trabajo, o en situaciones donde amerite realizar su activación
inmediata.
Responsabilidades
 Tiene la responsabilidad de actualizar, mantener y probar elplan de continuidad del Negocio.
 Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de
recuperación y contingencia de la empresa.
 Advertir sobre nuevos riesgos que afectan la continuidad de la operación normal de la
empresa y que ponen al descubierto debilidades del plan de continuidad.
 Monitorear los reportes sobre el estado de recuperación o evaluación durante una
contingencia.
 Velar por la seguridad del personal que actúa en el área del evento.

124
 Establecer los objetivos de recuperación y activar el plan de continuidad ante el escenario de
interrupción de lugar teniendo en cuenta el resultado de la evaluación
 Velar por la ejecución del debido análisis causa – raíz del evento que ocasionó la
contingencia.
II. Director Alterno de Continuidad
Responsabilidades:
 Asumir el rol y cumplir con las responsabilidades de Director de Continuidad cuando éste no
se encuentre disponible.
 Es responsable de declarar el Plan de Recuperación ante Desastre, ante un incidente
tecnológico de algún aplicativo (contingencia específica).
 Realizar las actividades que le sean asignadas por el Director de Continuidad.
III. Líder Administrativo
El Líder Administrativo ayuda a coordinar los aspectos logísticos internos cuando la empresa se
encuentre operando bajo contingencia. Es quien ayuda a gestionar en cada una de las instalaciones el
suministro de elementos esenciales para asegurar el desarrollo de la operación.
Responsabilidades
 Coordinar el suministro de elementos esenciales como transporte,recursos de infraestructura
y papelería.
 Gestionar la consecución y adecuación de los centros alternos de operaciones según el plan
de Recuperación ante Desastres.
IV. Director de Recuperación Tecnológica
Es la persona encargada de liderar la recuperación tecnológica, basados en las estrategias de
continuidad implementadas.
Responsabilidades:
 Liderar la recuperación tecnológica, basados en las estrategias de continuidad
implementadas.

125
 Identificar los posibles riesgos de aspectos tecnológicos que afectan la continuidad de la
operación normal de la Empresa y que ponen al descubierto debilidades del plan de
continuidad del negocio.
 Mantenercomunicación constante entre Coordinadores de Recuperacióndel Negocio durante
el estado de contingencia.
 Velar por la actualización de la Estrategia Tecnológica en los casos que se presenten
situaciones como: cambios en los aplicativos, cambio en la infraestructura, roles y
responsabilidades, disponibilidad de los recursos, entre otros.
 Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en las mismas.
 Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
V. Coordinadores de Recuperación
Los Coordinadores de Recuperación son personas encargadas de liderar la recuperación de procesos
de negocio críticos, basados en las estrategias de contingencia.
Responsabilidades:
 Liderar las reuniones del equipo de recuperación, para diagnosticar y evaluar las
interrupciones que están afectando la prestación del servicio.
 Ejecutar los planes de contingencia ante el incidente presentado.
 Identificar los posibles riesgos que afectan la continuidad de la operación normal de la
Entidad y que ponen al descubierto debilidades del plan de continuidad.
 Mantener comunicación constante durante el estado de contingencia.
 Velar por la realización de las pruebas del plan de continuidad y revisar los resultados
obtenidos en la misma.
 Verificar que las actividades de ajuste sobre el plan, resultado de las pruebas, hayan sido
ejecutadas e implementadas.
VI. Responsable de tareas de apoyo, control y cumplimiento
Responsabilidades:
 Realizar las actividades que le sean asignadas durante la declaración de contingencia.

126
 Advertir sobre riesgos que puedan afectar la continuidad en la prestación del servicio o la
funcionalidad del plan.
Políticas de Continuidad del Negocio
Lasdirectivas de SperSys son las responsablesde dar inicio al plan de continuidad del negocio (BCP).
El Plan de Continuidad del Negocio (BCP-Business Continuity Plan), es esencial para poder
continuar las actividades críticas del negocio de SperSys, en el evento de una falla inesperada, que
pudiera seriamente interrumpir los procesosy actividades importantes de la operación de la compañía.
Es importante considerar lo siguiente:
1. Se debe establecer la necesidad del Plan de continuidad del negocio (BCP)
2. Se debe obtener el compromiso de las directivas de SperSys y presentarles un reporte
inicial que informe como el BCP cumplirá sus objetivos.
Prueba Del Plan De Continuidad Del Negocio
El Plan de Continuidad del Negocio necesita ser probado periódicamente, con el fin de garantizar que
la compañía entienda claramente como debe ser ejecutado.
El hecho de probar el Plan de Continuidad del negocio en la organización, evalúa su viabilidad, y
garantiza que los empleados estén familiarizados. Si la prueba del Plan de Continuidad del Negocio
no reproduce las condiciones reales, el valor de tales pruebas es limitado y deficiente.
Las fallas en el análisis del plan de pruebas del BCP, ocasionarán una disminución de la validez de
la prueba. Los diferentes tipos de prueba incluyen:
 Pruebassobre la mesa de los diferentes escenarios(Pormedio del uso de listas de verificación
y análisis paso a paso) del BCP.
 Simulaciones del Plan de Continuidad
 Pruebas de recuperación técnicas del BCP.
 Pruebas de recuperación en sitio alterno del BCP.
 Prueba de servicios externos (Energía, comunicación, etc.) del BCP.

127
 Prueba completa, con el fin de evaluar personal, equipos, recursos físicos, para entender su
capacidad de soportar interrupciones. Esta prueba implica detenerlas operaciones de SperSys
y no es recomendable ya que puede originar un desastre real.
 Una vez aprobado y desarrollado, el plan de continuidad de negocio (BCP) debe ser probado
con el fin de mostrar su eficacia, y nivel de actualidad. El periodo de pruebas sobre la mesa
de los diferentes escenarios, no debe ser mayor a 6 meses.
 Con el plan y sus procedimientos.
Mantenimiento Y Actualización Del Plan De Continuidad De Negocio
El Plan de Continuidad del Negocio (BCP) debe estar actualizado y revisado periódicamente. El
mantenimiento y actualización del Plan de Continuidad del Negocio (BCP) es muy importante si se
requiere una operación exitosa en un momento dado.
Se requiere probar las implicaciones por cambios en el BCP, de lo contrario su ejecución puede
resultar en una serie de fallas y debilidades.
Si el Plan de Continuidad del Negocio no es actualizado periódicamente, su éxito puede ser
cuestionable.
Los cambios incluyen:
 Adquisiciones de nuevos equipos
 Actualizaciones en los sistemas operacionales
 Personal
 Direcciones o números telefónicos
 Estrategias de negocio
 Ubicaciones físicas
 Leyes
 Contratistas, proveedores de servicio y clientes muy importantes
 Procesos nuevos o eliminados
 Riesgo (Operacional y financiero)

128
Aspectos específicos sobre la política de Continuidad del Negocio.
Inicio Del Plan De Continuidad Del Negocio (BCP) (Bs 7799-2 Control A 11.1)
Las directivasde SperSys sonlasresponsablesde darinicioal plandecontinuidaddel negocio (BCP).
El Plande ContinuidaddelNegocio(BCP-BusinessContinuityPlan), esesencial parapodercontinuar
las actividades críticas del negocio de SperSys, en el evento de una falla inesperada, que pudiera
seriamente interrumpir los procesos y actividades importantes de la operación de la compañía.
El proyectodel PlandeContinuidaddelnegocio(BCP) necesitaseriniciadoyformalmente aprobado,
por las directivas de SperSys
Es importante considerar lo siguiente:
 Se debe establecer la necesidad del Plan de continuidad del negocio (BCP)
 Se debe obtenerel compromisode lasdirectivasde SperSys ypresentarlesunreporteinicial
que informe como el BCP cumplirá sus objetivos.
 Para que el plan de continuidaddel negocio(BCP) seaeficaz,hemosorganizadoel planen
torno a un concepto de Equipo Directivo de Emergencia (EDE) que está formado por
miembrosaltamente cualificadosdel equipodirectivoprocedentesde áreasvitalesdentro
de la organización. Los componentes del equipo tienen cometidos y responsabilidades
concretas cuandose produce un desastre encualquierinstalaciónde SperSys yse pone en
práctica el Plan de Recuperación de Desastres. El EDE está formado por personas
procedentes de las áreas siguientes:
 Recursos Humanos, Administración y Financiera y Tecnología.
 Los integrantes de la Gestión del Proyecto y de la Gestión del Nivel
Desarrollo Y Administración Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A
11.1.1)
Las directivas de la organización deben desarrollar un Plan de Continuidad del Negocio (BCP) que
cubra los aspectos críticos y esencia les de la actividad de la compañía.
El Plan de Continuidad del Negocio (BCP), es esencial para poder continuar con las actividades
críticas del negocio de SperSys, en el evento de una falla inesperada.

129
El Plan de Continuidad del negocio es un proyecto con características de detalle y complejidad,
independiente del entorno tecnológico y probablemente contendrá una serie de acciones críticas
enfocadas a lograr el retorno a la operación normal.
Recomendacionesadicionalesal desarrolloyadministración del plan de continuidad del negocio:
Entender plenamente los riesgos a que está enfrentado SperSys, incluyendo e identificando los
procesos críticos del negocio.
Entender el posible impacto que una interrupción a la operación normal pueda tener.
Considerarlaadquisiciónyrenovaciónde unapólizade segurosdeprotecciónde activoscomoparte
del plan de continuidad de negocio (BCP)
Formular y documentar una estrategia de continuidad del negocio de acuerdo a los objetivos y
prioridades.
Formulary documentarunaestrategiaconsistenteconlosobjetivosyprioridadesacordadas,yasu
vez, se debe documentar el plan de continuidad del negocio de acuerdo a la estrategia
anteriormente definida.
Evaluación De Riesgo Del Plan De Continuidad Del Negocio BCP (Bs 7799-2 Control A 11.1.2)
Dentrodel plan de continuidadde negocio(BCP) se debe realizarunaevaluaciónformal de riesgo,
o análisisde impactosobre el negocio(BIA-BusinessImpactAssessment),conel finde determinar
los requerimientos del Plan de Continuidad del Negocio e identificar eventos que puedan causar
interrupciones a los procesos de negocio.
Es importante considerar que se deben evaluar y analizar todos los procesos de negocio y no
limitarse exclusivamente a los recursos e infraestructura asociado a los sistemas de información
Recomendaciones adicionales
El Plan de Continuidad del Negocio (BCP), es esencial para poder continuar con las actividades
críticas del negocio de SperSys, en el evento de una falla inesperada, que pudiera seriamente
interrumpir los procesos y actividades importantes de la operación de la compañía.

130
La evaluaciónde riesgoenel BCP analizala naturalezade la ocurrenciade eventosinesperados,su
impacto potencial y la probabilidad de que estos eventos lleguen a ser incidentes críticos para el
negocio.
Aspectos de la seguridad de la información a ser considerados cuando se implementan estas
políticas son:
 Comprenderque asíel proyectoformal del Plande continuidaddel Negociose hayainiciado,si
los recursos humanos o financieros son insuficientes,es muy probable que el plan no tenga
éxito.
 Si se subestimael impactoacortoymedianoplazode unincidentede seguridadse puedetener
un nivel no adecuado de respuesta que afecte la elaboración de un Plan de Continuidadde
Negocio.
Los pasos involucrados en el análisis de impacto hacia el negocio (BIA) comprenden:
o Técnicas de obtención de información
o Seleccionar las personas a entrevistar
o Adecuación de los cuestionarios a realizar
o Análisis de la información
o Determinar los tiempos críticos de las diferentes funciones del negocio
o Determinar los tiempos máximos tolerables de caída por proceso
o Priorizar la recuperación de las funciones criticas del negocio
o Documentar y preparar reportes de recomendaciones
Características Del Plan De Continuidad De Negocio (BCP) (Bs 7799-2 Control A 11.1.3-4)
Con el fin de garantizar su consistenciaa lolargo de las diferentesunidadesde negocio,el plande
continuidad de negocio debe considerar:
 Condiciones para la activación del plan de continuidad.
 Una estrategia de recuperación de desastres teniendo en cuenta aspectos como:
o Costos de las diferentes alternativas
o Costos de servicios alternos
o Prioridades y tiempos de recuperación
o Negocios, usuarios, servicios, aspectos técnicos e información.
 Identificación de las responsabilidades y procedimientos de emergencia.

131
 Implementación de procedimientos de emergencia para permitir la recuperación en un
tiempo limitado.
 Procedimientos de contingencia y procedimientos de regreso a la operación normal.
 Documentación de procedimientos y procesos acordados.
 Educación apropiada sobre manejo de emergencias.
 Cronograma de pruebas del plan de continuidad del negocio
 Responsabilidades individuales de ejecución y propietarios de cada plan de continuidad.
Entrenamiento Y Concientización Del Plan De Continuidad Del Negocio (BCP). (Bs 7799-2
Control A 11.1.4)
Todo el personal de SperSysdebe conocerel Plan de Continuidaddel Negocio(BCP)ysurespectiva
función dentro de él, una vez se haya realizado su aprobación.
Recomendaciones Adicionales
El Plande Continuidaddel Negocioesesencial parapodercontinuarcon lasactividadescríticasdel
negocio de SperSys, en el evento de una falla inesperada,que pudiera seriamente interrumpir los
procesos y actividades importantes de la operación de la compañía.
Para que el Plan de Continuidad del Negocio pueda ser ejecutado exitosamente, todo el personal
no sólodebe estarconscientede suexistencia,sinoconocersucontenido,juntoconlasactividades
y responsabilidades de cada parte.
Aspectos de la seguridad de la información a ser considerados cuando se implementan estas
políticas son:
Aun cuando el Plande Continuidadde Negociohayasido probado,aun puede fallar,si el personal
no está lo suficientemente familiarizado con sus contenidos.
Cuandoen el Plan de Continuidaddel negocio,laspersonasinvolucradasolvidansupercepciónde
la cercanía del riesgo, se puede presentar cierta apatía, la cual disminuye su importancia, y la
necesidad de una participación activa en él.
Se deberá crear un plan de concientización sobre la importancia del BCP para SperSys, y el
compromiso de todos los empleados para garantizar su éxito.
Prueba Del Plan De Continuidad Del Negocio (Bs 7799-2 Control A 11.1.5)
El Plan de Continuidad del Negocio necesita ser probado periódicamente, con el fin de garantizar
que la compañía entienda claramente como debe ser ejecutado.

132
El hecho de probar el Plan de Continuidad del negocio en la organización, evalúa su viabilidad,y
garantiza que los empleadosesténfamiliarizadosSi lapruebadel Plan de Continuidaddel Negocio
no reproduce las condiciones reales, el valor de tales pruebas es limitado y deficiente.
Las fallasenel análisisdel plande pruebasdelBCP,ocasionaránunadisminuciónde lavalidezde la
prueba. Los diferentes tipos de prueba incluyen:
 Pruebassobre la mesa de los diferentesescenarios(Pormediodel usode listasde verificación
y análisis paso a paso) del BCP.
 Simulaciones del Plan de Continuidad
 Pruebas de recuperación técnicas del BCP.
 Pruebas de recuperación en sitio alterno del BCP.
 Prueba de servicios externos (Energía, comunicación, etc.) del BCP.
 Prueba completa, con el fin de evaluar personal, equipos, recursos físicos, para entender su
capacidad de soportar interrupciones.Estaprueba implicadetenerlasoperacionesde SperSys
y no es recomendable ya que puede originar un desastre real.
 Una vezaprobadoydesarrollado,elplande continuidadde negocio(BCP)debe serprobadocon
el fin de mostrar su eficacia, y nivel de actualidad. El periodo de pruebas sobre la mesa de los
diferentes escenarios, no debe ser mayor a 6 meses.
 Con el plan y sus procedimientos.
Controles adicionales sobre las pruebas del BCP
Mantenimiento Y Actualización Del Plan De Continuidad De Negocio (BCP). (Bs 7799-2
Control A 11.1.5.2)
El Plan de Continuidad del Negocio (BCP) debe estar actualizado y revisado periódicamente.
El mantenimiento y actualización del Plan de Continuidad del Negocio (BCP) es muy importante si
se requiere una operación exitosa en un momento dado.
Se requiere probar las implicacionespor cambios en el BCP, de lo contrario su ejecución puede
resultar en una serie de fallas y debilidades.
Si el Plan de Continuidad del Negocio no es actualizado periódicamente, su éxito puede ser
cuestionable.
Los cambios incluyen:
 Adquisiciones de nuevos equipos

133
 Actualizaciones en los sistemas operacionales
 Personal
 Direcciones o números telefónicos
 Estrategias de negocio
 Ubicaciones físicas
 Leyes
 Contratistas, proveedores de servicio y clientes muy importantes
 Procesos nuevos o eliminados
 Riesgo (Operacional y financiero)
Referencias
Las diferentesrecomendacionessobre laejecucióndetalladade unPlande Continuidadde Negocio
(BCP) se apoyan en el BCI (Business Continuity Institute) y el ISO 17799.

134
PLAN DE RECUPERACIÓN ANTE DESASTRES (DRP)

135
Plan de Implementación de Análisis y Gestión de Riesgo
La gestión de riesgos básicamente consiste en una metodología que brinda una serie de pasos que se
utilizarán para reducir las amenazas de destrucción, copia o robo de información. Las amenazas
también pueden ser la destrucción de la infraestructura de la organización, el mal funcionamiento de
los dispositivos que se utilizan para mantener alta disponibilidad en la red de la organización.
Identificando una metodología que sea adecuada para el plan de Recuperación ante Desastres,
debemos tener en cuenta los requisitos reglamentarios, legales y de seguridad.
 Que establezca criterios de aceptación de riesgos.
 Que tenga resultados comparables y reproducibles.
Realizada dicha extracción, se ha realiza una investigación de algunas metodologías existentes en el
mercado las cuales son:
 ISO/IEC 27005
 NIST 800-30
 MARION
 OCTAVE
 MAGERIT
Realizado ya el estudio de cada una de las metodologías, se decidió adoptar la norma ISO/IEC 27005
en atención a que cumple con las siguientes características:
 Flexibilidad.
 Orientación a la norma ISO/IEC 27001:2005.
 Maneja conceptos, procesos y terminologías de la norma ISO/IEC 27001:2005.
 Está basada en el modelo PHVA (Planear, Hacer, Verificar y Actuar).
La gestión de los riesgos es el proceso por el cual se controlan, minimizan o eliminan los riesgos que
afectan a los activos de la organización. En este caso, luego de haber determinado los riesgos
existentes en la organización, así como las medidas adecuadas para hacer frente a los mismos, se
dispondrá de varias alternativas para afrontar estos riesgos: Eliminar, Transferir, Asumir o Mitigar el
riesgo.

136
Inventario de activos de información
El primer paso de esta actividad consiste en la identificación de los activos de información de los
procesos objeto de análisis y sus propietarios, seguido por la valoración del impacto de pérdida de las
propiedades definidas para cada activo, en este caso, confidencialidad, integridad y disponibilidad.
Se identifica que en la norma ISO/IEC 27002:2006 que define a un activo como cualquier cosa que
tenga valor para la empresa, sin embargo, dicha definición deja muy abierto el espectro,por lo que,
basado en esa misma norma mencionada planteamos algunos:
Información: Cualquier tipo de información contenida en un medio digital o físico, bien sean bases
de datos, archivos de datos, contratos y acuerdos, documentación del sistema, información sobre
investigación, manuales de usuarios, procedimientos operativos o de soporte, planes de continuidad,
pruebas de auditoría, información archivada física o electrónicamente.
Tecnología: Cualquier componente de hardware que sea necesario para efectuar o complementar
operaciones sobre algún activo de información como equipos de comunicación, equipos de cómputo,
medios removibles y otros equipos.
Sistemas: Todo sistema de información o software adquirido o desarrollado al interior de la empresa,
en donde se realice operaciones, transacciones y que requiera la interacción de uno o más activos de
información para efectuar sus tareas.
Personas: Todo aquel empleado o cliente que realice funciones críticas para la empresa, cuya
ausencia o incumplimiento de tales funciones puede desencadenar un alto impacto para la misma.
Estructuras: Sitios (lugares) de almacenamiento de información o de equipos que soportan la
operación de los sistemas de información.
Valoración de activos (nivel de criticidad): Por cada una de las propiedades de la información
contempladas en el análisis, esto es,Confidencialidad, Integridad y Disponibilidad, el propietario del
activo asigna una calificación del impacto, para lo cual se propone un modelo de escala que a
continuación se presenta:

137
Escala de valoración de impacto
Nombre Valor
Catastrófico 5
Mayor 4
Moderado 3
Menor 2
Insignificante 1
La valoración del impacto de los activos identificados es utilizada posteriormente para estimar el
nivel de riesgo inherente, tomando éste como el valor del Impacto del riesgo.
Identificaciónde amenazas y vulnerabilidades: Las vulnerabilidades son debilidades asociadascon
los activos de la empresa SperSys. Estasdebilidades pueden serexplotadas por una amenaza causando
incidentes no deseados que pueden resultar en pérdida o daño a estos activos.
La identificación de las vulnerabilidades evidencia debilidades relacionadas con los activos en cuanto
a:
 Ambiente físico.
 Personal, procedimientos y controles de administración.
 Hardware, software, o equipos e instalaciones de comunicación.
Una Amenaza tiene el potencial de causar un incidente no deseado que puede resultar en un daño al
Data Center de SperSys y sus activos. Este daño puede ocurrir de un ataque directo o indirecto sobre
la información. Después de identificar las amenazas y vulnerabilidades por cada tipo de activo, es
necesario tasar la probabilidad de que una combinación de amenazas y vulnerabilidades ocurra.
La evaluación de probabilidad de amenazas es realizada por el encargado del Data Center, se debe
tener en cuenta:
Amenazas deliberadas: La motivación, las capacidades percibidas, recursos disponibles para
posibles atacantes y la percepción de su atractivo.

138
Amenazas accidentales: Conqué frecuencia ocurren de acuerdo con la experiencia, estadísticas,etc.,
y factores geográficos tales como proximidad a sitios que impliquen riesgo, en áreas donde son
siempre posibles condiciones de clima extremo y factores que podrían influenciar errores humanos y
malfuncionamiento de equipos.
Para la valoración del factor o probabilidad de ocurrencia de un conjunto de amenazas y
vulnerabilidades, esto es, un escenario de riesgo, se propone un modelo de escala que a continuación
se presenta:
Nombre Valor Magnitud
Casi con certeza 5 70%-100%
Probable 4 30%-69%
Posible 3 10%-29%
Poco Probable 2 2%-9%
Raro 1 0%-1%

139
Análisis de amenazas y vulnerabilidades
AMENAZA VULNERABILIDAD
Amenazas del
Ambiente físico
Terremotos
 El área del departamento de Quetzaltenango
se ve afectada constantemente por
movimientos telúricos de pequeña y mediada
magnitud.
Inundaciones
 El área donde se sitúa el Data Center no
cuenta con indicios de inundación, se hace la
salvedad que el clima es lluvioso.
Derrumbes
 El área en donde se encuentra el Data Center
es un lugar plano, por lo que no existen
antecedentes sobre derrumbes.
Hundimientos
 En la zona residencial donde se encuentra el
Data Center, no tiene señales de
hundimientos, cabe mencionar que en otros
sectores del municipio se registran.
Amenazas
Personal,
procedimientos
y controles de
administración
Divulgación no autorizada
de información crítica o
sensible
 Almacenamiento de información de forma no
segura o inadecuada.
 Eliminación de información de forma no
segura o inadecuada falta de seguridad en el
intercambio de información (perdida sobre
en el que se envía y no hay control de
documentos)
 Falta de concientización de los encargados.
Falsificación/alteración de
la información
 Falta de concientización de los encargados
 Falta de mecanismos de protección de
documentos (sellos, membretes, firmas
autorizadas).
 Falta de mecanismo para evitar la
falsificación de documentos.
Daños accidentales o
intencionales
 Almacenamiento de información de forma
no segura o inadecuada.

140
 Falta/Deficiencia en el procedimiento de
identificación, clasificación y manejo de
la información
 Mecanismo de intercambio de
información no adecuados
 Falta de auditorías/ revisiones de uso de
llaves y almacenamiento
Perdida de Información
 Hechos de corrupciones de los empleados
 Resistencia de la cultura de seguridad de la
información (cuando hay crisis se pasa por
encima de la seguridad, selección de
prioridades).
 Falta de un esquema de respaldo de
funciones conocimiento.
Coacción/extorsión al
personal
 Procesos de selección/revisión insuficientes
o inadecuados.
 Trabajo de terceros sin supervisión /
desconocimiento de los procesos
adelantados por los terceros.
Sonsacamiento
 Gestión de la concientización inadecuada
(pruebas, evaluaciones, mejoras, etc.).
Amenazas de
Hardware,
software,o
equipos e
instalaciones de
comunicación.
Errores operacionales en la
administración de la
aplicación
 Falta de capacitación del personal (que
administra la aplicación).
 Documentación de configuración inexistente
o desactualizada.
Ataques informáticos
(virus, inyección de
código, negación de
servicios, troyanos, puertas
traseras,bombas lógicas,
ataques de protocolos
conocidos, manipulación
no autorizada o inadecuada
de la configuración).
 Ausencia de requerimientos de seguridad en
el ciclo de desarrollo o de adquisión de SW.
 Fallas en el proceso de gestión de
vulnerabilidades
 Segregación inadecuada de ambiente de
producción, prueba y desarrollo Controles
de acceso de usuarios no adecuados

141
 Falta/ Falla en la gestión de herramientas y
los de auditoria Falta/Falla en la gestión de
acceso de usuarios.
 Falta de gestión de control de cambios
(auditoria o monitoreo de cambios
configuración no autorizada).
Falla de la Aplicación
 Falta/pruebas insuficientes de copia de
respaldo.
 Ausencia de planes de mantenimiento de
aplicación.
 Fallas en el proceso de versiones.
 Falta o falla en la gestión de la capacidad de
la aplicación.
Uso inadecuado / no
autorizado del recurso
(incluye códigos
maliciosos)
 Ausencia/fallas de planes de Recuperación
ante Desastres.
 Ausencia de monitoreo sobre la red.
 Administración de red inadecuada.
 Control de capacidad para
almacenamiento.
 Herramienta de detección / prevenciones
inexistentes (sitios sin control de
adecuados).
Falla de medio de la
comunicación
 Condiciones de instalación, mantenimiento y
operación inadecuada.
 Uso inadecuado de estándares de
infraestructura del medio.
 Falta / Falla de gestión de capacidad.
Perdida de disponibilidad
y/o disminución de la
calidad del servicio
 Falta de auditoria en bloqueo/eliminación de
permisos de acuerdo con las novedades de
usuario.
 Falta/ Falla de capacitación de usuarios
Ausencia de un mecanismo de contingencia.
 Falta / falla de gestión de cambios.

142
Tabla de Control de Riesgos
Activo Amenaza Frecuencia Impacto
Valor del
Riesgo
Ambiente
Físico
Terremotos 3 5 15
Inundaciones 3 3 9
Derrumbes 1 3 3
Hundimientos 1 4 4
Personal,
procedimientos
y controles de
administración
Divulgación no autorizada de
información crítica o sensible
2 3 6
Falsificación/alteración de la
información
2 4 8
Daños accidentales o intencionales 2 3 6
Perdida de Información 2 5 10
Coacción/extorsión al personal 2 3 6
Sonsacamiento 2 2 4
Hardware,
software, o
equipos e
instalaciones de
comunicación.
Errores operacionales en la
administración de la aplicación
2 3 6
Ataques informáticos. 2 5 10
Falla de la Aplicación 2 5 10
Uso inadecuado / no autorizado del
recurso (incluye códigos
maliciosos)
2 4 8
Falla de medio de la comunicación 2 4 8
Perdida de disponibilidad y/o
disminución de la calidad del
servicio
2 5 10

143
Conclusión
El establecimiento, implementación, operación, monitoreo, mantenimiento, y mejoramiento del ISO
27001:2005, requiere de un ingrediente básico, el cual es el rol protagónico que debe cumplir la alta
Gerencia. Es un estándar para la gestión y la gerencia no puede delegar su rol.
Es importante entender que el objetivo de la evaluación de riesgo es la de identificar el ponderar los
riesgos a los cuales los sistemas de información y activos están expuestos, con miras a identificar y
seleccionar controles apropiados.
La selección de los controles se debe justificar sobre la base de las conclusiones de la evaluación y
tratamiento de riesgo. Los objetivos de control y los controles seleccionados, así como las razones
para su selección deben documentarse en el enunciado de aplicabilidad.

144
DISTRIBUCIÓN DE AMBIENTES

147
Diagrama Lógico de la Red
Descripción
Para la asignación de las direcciones lógicas se utilizará el Subneteo con la técnica de máscara de
subred de longitud variable (VLSM) para el aprovechamiento efectivo de las direcciones IP,
además está orientado al crecimiento y expansión del negocio. Los requerimientos en cuanto a
usuarios iniciales de red de la empresa SperSys son los siguientes.
 Red de Clientes: 100 usuarios.
 Red de Desarrolladores de Software: 5 usuarios.
 Red de Administración: 4 usuarios.
 Red de Monitoreo de Data Center:3 usuarios.
Sin embargo, tomando en cuenta los requerimientos de expansión, la cantidad de usuarios estimada
será la siguiente:
 Red de Clientes: 3000 usuarios.
 Red de Desarrolladores: 10 usuarios.

148
 Red de Monitoreo de Data Center:8
 Red de Administración: 6 usuarios.
Para realizar el subneteo se utilizarán los datos estimados de la expansión del negocio.
Datos Del Subneteo Vlsm
IP Utilizada: 172.16.0.0/20
Direcciones IP Disponibles: 4,094
NOMBREDELA
SUBRED
HOST
S.
HOST
E.
DIRECCIÓN MÁSC.
MÁSCARA
DECIMAL
PUNTEADA
RANGO DEIP
ASIGNABLE
IP DE
BROADCAST
CLIENTES 100 126 172.16.0.0 /25 255.255.255.128
172.16.0.1-
172.16.0.126
172.16.0.127
DESARROLLADORES 10 14 172.16.0.128 /28 255.255.255.240
172.16.0.129 -
172.16.0.142
172.16.0.143
SERVIDORES 10 14 172.16.0.144 /28 255.255.255.240
172.16.0.145 -
172.16.0.158
172.16.0.159
MONITOREO 8 14 172.16.0.160 /28 255.255.255.240
172.16.0.161 -
172.16.0.174
172.16.0.175
ADMINISTRACION 6 6 172.16.0.176 /29 255.255.255.248
172.16.0.177 -
172.16.0.182
172.16.0.183
Como se puede observarse realizó la operación de subnetting para la cantidad de host correspondiente
a cada área,es importante hacer hincapié en que la cantidad de IPs disponibles para clientes cubre las
necesidades futuras de la organización.

150
ANEXOS
Cronograma de Trabajo
Línea de Tiempo
Refencia: Guía PMBOOK-Ms Project
Cronograma Propuesta Data Center Empresa AJSA

153
Formularios Varios
FORMULARIO DE CAMBIO DE CONTRASEÑA
Datos de la persona solicitante
Nombre Completo:
DPI: Teléfonos:
Información del Usuario
Nombre:
Contraseña actual:
Nueva contraseña:
La nueva contraseña deberá cumplir con lo estipulado en la política en relación a contraseñas.
____________________________ __________________________
Firma del solicitante Sello y Firma encargado TI
FORMULARIO DE TRASLADO DE INFORMACIÓN
Nombre Completo:
DPI: Teléfonos:
Usuario:
Información para el traslado de información
Departamento de trabajo:
Origen de la información:
Destino de la información:
Breve descripción de lo que se está trasladando:
Solicitante: Al momento de realizar la salida de datos estos deberán estar cifrados para tener mayor
seguridad en el proceso.
____________________________ ___________________________
Firma del solicitante Responsable del Área

154
FORMULARIO DE ACCESO A INTERNET
Nombre Completo:
DPI: Teléfonos:
Usuario:
Información del Servicio
Breve descripción de la Actividad a realizar:
Tiempo que solicita el servicio:
IP Asignada:
____________________________ ___________________________
Firma del solicitante Sello y Firma
Redes y Telecomunicaciones
FORMULARIO DE INSTALACIÓN DE SOFTWARE
Nombre Completo:
DPI: Teléfonos:
Usuario:
Software que requiere
Nombre: Versión:
Función: Tipo:
Nombre: Versión:
Función: Tipo:
Nombre: Versión:
Función: Tipo:
____________________________ ___________________________
Firma del solicitante Sello y Firma encargado TI

155
CONTROL DE ACCESO AL CENTRO DE DATOS
Encargado Autorizado por
Departamento Turno
Fecha Ingreso Nombre Unidad
Motivo de
Ingreso
Hora de Ingreso Hora de Salida

156
LISTADO AUTORIZADO DE
ACCESO PERMANENTE
Encargado Empresa
Autorizado por Fecha
Firma
Nombre DPI Cargo
Tipo de
acceso
Autorizado para
solicitar permiso
de acceso
temporal a
terceros
Autoriza
movimiento de
equipos
Autorizado a
modificar
Listado de
Acceso
Tipos de Acceso:
Horas laborables: Lunes a Viernes 8:00 a.m. a 5:00 p.m.
24 x 7 x 365: Acceso en cualquier horario, todos los días del año

157
PERSONAL AUTORIZADO DE INGRESO AL CENTRO DE DATOS
Encargado Autorizado por
Departamento Turno
Fecha Nombre Unidad
Motivo de
Ingreso
Hora de Ingreso Hora de Salida

158
PERSONAL CON ACCESO DIRECTO AL CENTRO DE DATOS
Encargado Departamento
Autorizado por Turno
Nombre Apellido Unidad
Tipo
Autorización
Autorizado para
solicitar permiso de
acceso temporal a
terceros
Autoriza movimiento
de equipos

Data center sper sys

Más contenido relacionado

Destacado

Similar a Data center sper sys

Último

Data center sper sys