El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
Procesos operacion-centro-computo-p21
1.
2. Conjunto detallado y bien diseñado procesos
Después de que sus procesos son definidos se deben
desarrollar políticas para que los procesos sean seguidos.
Un proceso de la administración de instalaciones
físicas debe tener políticas sobre :
Administración de activos.
Limpieza física del centro de procesamiento de datos.
Administración de emergencias.
Escalamiento.
Monitoreo físico del sitio.
Mantenimiento físico.
Seguridad física.
Las operaciones y controles medioambientales.
2
3. Si alguien entra en la localidad física del centro de cómputo
debe ser pre-autorizado por cierto miembro de la unidad
informática, y debe presentar la identificación correcta.
Esta identificación podría ser:
ID de empleado (seguridad baja)
Exploración de la huella digital y de retina (seguridad alta).
Las Políticas deben señalar lo que se debe o no se debe
hacer y su resultado
Si una persona trata de entrar en un centro de cómputo y
no reúne ciertos criterios el acceso es negado
Las políticas van a la par con los procesos, y ambos guían
todas las operaciones diarias del Centro de Cómputo.
3
4. El centro de cómputo es probablemente el aspecto más
complicado de su compañía.
• Las nuevas tecnologías
• El brote de la Internet
• Adquisiciones
• Acumulación de una gran cantidad de información
• Seguridad de datos y seguridad física del sitio
Los procesos que usted tiene en el lugar para guiar las
operaciones del centro de cómputo son la única y más
efectiva llave para administrar eficientemente el centro de
cómputo.
Definirlos no es difícil pero si es consumidor de tiempo.
Grupos de preguntas que le ayuden a determinar el valor
comercial del método y cómo éste debería ser operado.
4
5. • ¿Qué acontecimientos provocan alarmas de un centro de
cómputo"
• ¿Qué pasos deben tomarse para prevenir esas alarmas"
• ¿Cómo se verificarán esas alarmas"
• ¿Cuáles son los pasos del procedimiento de solución si
una alarma ocurre"
• ¿Quién será el responsable para resolver el
acontecimiento"
• ¿Cómo será contactado en el día o la noche"
• ¿Qué tareas pueden ser iniciadas antes de que el
acontecimiento sea resuelto"
• ¿Quién declarará que el acontecimiento ha sido resuelto y
que ya no necesita atención"
• ¿Quién y cuándo se revisará el acontecimiento para que no
vuelva a suceder 5
6. Alarma: mecanismo de alerta usado cuando una métrica
o lineamiento mencionado en el manual de las políticas,
en los procesos o en el SLA no es alcanzado o tiene lugar
un incidente mencionado en esos manuales.
Ejemplo:
• Si los procesos manifiestan que una alarma se activará
cuando alguien entre al centro de cómputo en horas no
laborales
• El personal de limpieza entra en el cuarto del servidor
• Una alerta notificará a la persona que está monitoreo que
una violación ha ocurrido.
6
7. SLA (Acuerdo del Nivel de Servicio ): documento que
guía el servicio que un centro de cómputo provee a sus
clientes (internos o externos).
• Indica cuándo, dónde, cómo el servicio es provisto, quien es el
responsable, y las penalizaciones.
Compañías que Proveen Conectividad (ISP)
Sin conectividad, su centro de cómputo no es nada más que un
cuarto de almacenaje de computadoras.
Es necesario ser precavido al seleccionar el ISP.
Recomendable tener ISPs para proveer conectividad 24×7x365, a
pesar de las interrupciones que se puedan presentar.
Las políticas y procesos deberían guiar la relación con los ISPs
7
8. Es imprescindible tener hardware confiable y robusto para
el mejor funcionamiento del servidor.
Comprar cables de alta calidad, routers, switches, y racks
(estantes).
La red interna se debe diseñar de forma rígida que incluya
respaldos para cada parte activa de la red.
8
9. Recientemente, los acontecimientos han creado acuerdos
o regulación de conformidad que obligan a revisar cómo
se manipulan la información
Desde la recolección hasta el almacenamiento.
Todavía no son obligatorios en el país
• Se debe tener por lo menos un conjunto de políticas y
procesos adecuados para satisfacer algunos requisitos
• Tomar en cuenta los acuerdos de conformidad en los
SLAs:
9
10. • HIPAA (Acta de Cobertura, Portabilidad y Responsabilidad
de Salud)
• Acta Sarbanes-Oxley
• Acta del PATRIOTA de EEUU
• Otras regulaciones:
GLBA,
FISMA,
• Marcos de trabajo que informan cómo cumplir con las
regulaciones
COBIT
NIST
10
11. Responsabilidades:
• Actualización (update)
• Mejorar (upgrade) programas
• Reemplazo del software
Razones
• Parche de seguridad le podría obligar a actualizar uno o
más servidores en su centro de cómputo
• Licencias expiradas puede necesitar reemplazo.
Cree un plan que esboce qué tanta actualización,
mejoramiento, y reemplazo del software será realizado, y
por quién (imprescindible)
Asegurar de no dejar de hacer las tareas
11
12. Presupuesto
Período de Inactividad por Fallas (tiempo fuera):
Cuánto tiempo es necesario del período de inactividad para
completar una actualización o mejorar.
Encaminar las operaciones de una forma diferente hasta que el
proceso sea completado
Si el período de inactividad es menester necesario, decida
cuándo debería ser programado
• Es mejor tener previsto el período en las horas de uso mínimo.
Planificación:
Realice las actualizaciones operativas del sistema
regularmente
Generalmente el equipo necesita ser mejorado cada 3 o 5 años.
12
13. Revisión:
Aun con un plan, se debería establecer un horario para
revisar todas sus políticas de actualización,
mejoramiento y reemplazo de software e incluso de
hardware.
Para que el centro de cómputo continúe funcionando
efectiva y eficientemente, una revisión cada 6 o 12
meses es imprescindible
Asegurar que el plan que ha estableció aun concuerda con
las necesidades del centro de cómputo.
Debe tener acuerdos con todo los departamentos.
13
14. Se quiere ejecutar una actualización el ultimo viernes de
cada mes entre la 1 a 3 A.M. Pero el departamento de
contaduría hace un reporte mensual durante esas horas,
la actualización y el reporte podrían entrar en conflicto
Hay que trabajar con todos los departamentos para
asegurar que las actividades del centro de cómputo no
impida la productividad de los departamentos y de la
misma empresa.
Ayudará a prevenir conflictos y ganar el apoyo.
Finalmente, comunique sus planes para actualizar y
remplazar la parte lógica y física de la PC.
Aun cuanto se ha establecido un horario de mantenimiento,
hay que notificare al usuario para que no se les olvide.
14
15. Creando la Calendarización de Mantenimiento
Uno de los aspectos que mas se deben de supervisar es el
mantenimiento.
La mayoría de los centros de cómputo están muy ocupados
para ejecutar tareas de manera oportuna
• Actualizaciones, reparaciones son usualmente quitadas o
retrasadas
• Dejando la organización vulnerable y no funcionando
efectivamente
Determine donde esta en su ciclo de vida:
• Equipo
• Software
15
16. • ¿Qué tan frecuente deben llevarse acabo la actualización ?
• ¿ Qué tan frecuente debe de dar mantenimiento?
• ¿Cómo afecta la actualización o el mantenimiento a otros
departamentos dentro de la organización?
• ¿Cómo puede minimizar estos efectos?
• ¿Quién necesita estar prevenido de las actualizaciones o
reparaciones?
• ¿Quién es el responsable de comunicar y entrenar a los
usuarios acerca de las actualizaciones y mantenimiento?
• ¿Quién es el responsable de monitorear y ejecutar las
actualizaciones y mantenimientos?
• ¿Qué penalidades deben de ser impuestas si las actualizaciones
o reparaciones no son ejecutadas en el horario previsto?
• ¿Tiene usted un sistema de prevención para asegurarse que
estas actividades sean completadas de manera efectiva?
16