78

CAPITULO IV

MODELO DE SEGURIDAD INFORMATICA QUE GARANTICE LA CONTINUIDAD DEL SISTEMA DE DATOS DE LAS INSTITUCIONES FINANCIERAS NO BANCARIAS DE SAN SALVADOR.

1. GENERALIDADES.

La información es uno de los principales tipos de recursos con que cuentan las

instituciones. La información puede manejarse igual que cualquier otro recurso y el

interés a este tema se deben a dos influencias. Primera, los negocios se han vuelto

más complejos. Segunda, las capacidades de las computadoras han aumentado.

La información que las computadoras producen es de utilidad para gerentes y no

gerentes, y demás personas y organizaciones dentro del entorno de la compañía.

La primera aplicación importante de las computadoras fue el procesamiento de datos

contables. Esa aplicación fue seguida de otras cuatros: los sistemas de información

gerencial, los sistemas de apoyo o decisiones, la oficina virtual y los sistemas

basados en conocimientos.

Estas cinco aplicaciones constituyen el sistema de información basados en

computadoras.

Las compañías establecen una organización de servicios de información formada por

“Especialistas en Información” que saben como crear sistemas basados en

computadoras. En estos especialistas se incluyen analistas de sistemas,

administradores de bases de datos, especialistas en redes, programadores y

operadores.

Es muy difícil demostrar el valor económico de una aplicación de computadora, por

que se realizan análisis extensos para justificar cada proyecto potencial.

Los recursos de información de la empresa incluyen más que la información; también

incluyen hardware, instalaciones, software, datos, especialistas en información y

usuarios de la información.

Hoy en día la importancia de la información dentro y fuera de la institución esta

confirmado, es por ello que las instituciones buscan la manera de mantener su

información resguardada ante cualquier acontecimiento que podría hacer que se

79

perdiera o se dañara. Pero las instituciones van más allá y buscan que la información

este disponible en cualquier momento, y que sus sistemas brinden una alta

disponibilidad de ella.

Anteriormente se hablaba de un Plan de Recuperación de Desastres (DPR), hoy en

día la tecnología ha cambiado, la forma de hacer negocios, y el pensamiento del

cliente ha evolucionado; es así como los Gerentes de Informática ven más

importancia en el hecho de Continuidad del Negocio, que en la recuperación de

desastres.

Nuestra propuesta va encaminada principalmente a la búsqueda de la continuidad

del negocio, lo que se espera es brindar a las instituciones financieras no bancarias

un modelo que permita estar preparados para cualquier percance que se presente,

una manera de evitar problemas o de hacerles frente si estos se presentan, de

manera que las operaciones de la empresa no se vean afectadas y se mantenga la

continuidad del negocio.

2. OBJETIVO DE LA PROPUESTA. 2.1General.

“Diseñar un Modelo de Seguridad Informática que garantice la Continuidad del

Sistema de Datos de las Instituciones Financieras no Bancarias ubicadas en el

municipio de San Salvador”.

2.2 Específicos.

• Garantizar a los usuarios del Sistema de Datos la continuidad del negocio en

todo momento, mejorando los tiempos de respuesta ante las fallas que pueda

presentar este.

• Implementar métodos de seguridad que garanticen la integridad de los datos y

de la información de los Sistemas en caso de falla.

• Establecer las políticas y directrices necesarias para la administración y la

continuidad de las operaciones del Sistema de Datos.

80

3. IMPORTANCIA Y BENEFICIOS DE LA PROPUESTA.

¿Cuánto cuesta no contar con el sistema de datos?, ¿Cuáles son los riesgos?, ¿Qué

consecuencias conlleva para la empresa el no contar con el sistema de datos?,

¿Esta la empresa lo suficientemente protegida ante un intruso en sus sistemas?,

¿Cuenta con los parámetros necesarios para establecer una robusta seguridad en

los sistemas? La contestación a cada una de estas preguntas es necesaria para

poder determinar la importancia y los beneficios que presenta nuestra propuesta.

Entre los beneficios que obtendrán las instituciones al implementar el modelo de

Seguridad Informática propuesto es el de minimizar los tiempos de respuesta ante

una falla del sistema, resguardar el sistema de datos de cualquier daño, falla,

pérdida, tratando de esta manera de asegurar la continuidad del negocio y la

integridad de los datos en todo momento.

La flexibilidad que ofrecerá nuestro modelo permitirá que pueda ser implementado

por un amplio número de instituciones. Así las instituciones decidirán la práctica que

mejor se adapte a sus Sistemas y recursos, cumpliendo con sus requerimientos y

posibilidades técnicas y financieras.

Otro de los beneficios con el que contará las instituciones es el de un cambio cultural

y de pensamiento, en donde se pasará de un estado de esperar que suceda algo

para actuar, a un estado de preparación ante cualquier problema, falla o contingencia

que se dé, lo que permitirá reducir los tiempos de respuesta.

Los nuevos retos de la globalización van dirigidos hacia la eficiencia de las

empresas, y los datos son una clave para ello, la toma de decisiones de las

empresas se centran en los datos que puedan tener en el momento preciso.

Lo importante en esto no es tanto si las empresas se pueden permitir una tecnología

de solución que les permita mantener el sistema de datos funcionando bajo cualquier

circunstancia, como si pueden permitir no tenerla. El coste de una hora de inactividad

puede justificar el coste de una solución. Supongamos que un servidor tiene 10

usuarios, siete de ellos conectados al sistema cuando, la unidad de disco falla; cinco

de ellos no tienen asignada otra tarea (su trabajo depende del sistema de datos). El

administrador del sistema sustituye la unidad por una de repuesto, recupera los datos

de la copia de seguridad de la noche anterior y vuelve el servidor a su estado normal

81

de funcionamiento después de unos cuantos minutos u horas, dependiendo de

muchos factores (si se tiene disco duro disponible en el momento, tamaño de las

bases de datos, velocidad del sistema para restaurar los backup, etc.), siete

empleados deben de recrear las dos horas de datos que se habían creado desde la

copia de seguridad más reciente.

Debemos de considerar costes de sueldos, de transacciones no efectuadas, de

información no disponible a tiempo, usuarios disgustados, clientes insatisfechos, todo

eso puede justificar claramente la necesidad de implementar el Modelo de Seguridad

Informática del Sistema de Datos.

4. ESQUEMA DEL MODELO.

Esquema del Modelo de Seguridad Informática, que garantice la Continuidad del

Sistema de Datos de las Instituciones Financieras No Bancarias ubicadas en el

municipio de San Salvador.

La esquematización tiene como objetivo representar de una manera más simple y

comprensible cada una de las etapas a desarrollar en la implementación de un

modelo.

El esquema esta estructurado en cuatro fases: Diagnóstico, Desarrollo,

Implementación y Mantenimiento, se presenta de una manera sencilla las etapas a

desarrollar para la implementación del Modelo de Seguridad Informática del Sistema

de Datos. Seguidamente se da una breve explicación de cada una de las etapas a

desarrollar en la creación del Modelo, en el desarrollo del presente capítulo se irá

ahondando en cada uno de las fases por separada y de una manera más amplia.

82

Figura 4-1. Esquema del Modelo.

Diagnostico de la Empresa

• Determinación de Necesidades. • Delimitación de Espacio. • Determinación de Recursos. • Procedimiento de Adquisición de

Recursos. • Desarrollo del Modelo.

• Revisión del Modelo.

• Aprobación del Modelo.

• Comunicación y Capacitación.

• Monitoreo del Modelo.

• Mantenimiento del Modelo.

Fase de Diagnóstico

Fase de Desarrollo.

Fase de Implementación.

Fase de Mantenimiento.

MODELO DE SEGURIDAD INFORMATICA DE SISTEMA DE DATOS.

83

• FASE DE DIAGNOSTICO.

Esta fase esta diseñada para que la empresa tenga conocimiento sobre las

vulnerabilidades de los sistemas de datos, sobre todo los aspectos informáticos del

entorno de la empresa de esta manera se pueden desarrollar herramientas que

vayan encaminadas a disminuir y/o eliminar dichas vulnerabilidades.

• FASE DE DESARROLLO

En la fase de desarrollo se llevarán acabo cada uno de los pasos que permitirán el

desarrollo del Modelo de Seguridad Informática del Sistema de Datos, el cual esta

integrado por: Políticas de Seguridad, Solución Tecnológica y Planes de

Contingencia.

• FASE DE IMPLEMENTACION.

La revisión y Aprobación del Modelo son parte de la fase de implementación, así

como también la comunicación y capacitación del personal de la institución, estos

dos últimos puntos son de suma importancia para el éxito del Modelo.

• FASE DE MANTENIMIENTO.

La fase de mantenimiento busca la manera de mantener vigente el Modelo dentro de

la institución, esto se logrará con un monitoreo constante del modelo y de los

cambios que puede tener la organización, la tecnología.

5. PLANTEAMIENTO DEL MODELO.

5.1 Definición.

Es un conjunto de estándares, normas, políticas y procedimientos que ayudan al

administrador del Sistema de Datos a asegurar la Seguridad Informática y a

mantener la continuidad del negocio.

Características del Modelo:

• El Modelo propuesto es un conjunto de varios componentes, en la búsqueda

de minimizar el riesgo que rodea a los sistemas de datos, se ha pensado en

tres momentos importantes, presentados de la siguiente manera: antes de la

falla, en el momento de la falla y después de la falla.

84

• Permitirá ser implementado bajo cualquier plataforma de software, lo que

asegura que la empresa no tendrá que incurrir en gastos fuera del Modelo

propuesto.

• Con la implementación del modelo se busca la continuidad de las

operaciones, lo que permitirá la optimización de la productividad

administrativa del personal.

• Establecimiento de normas y políticas que ayudan al administrador del

sistema de datos a minimizar los riesgos de fallas en los sistemas de

datos, a través de un Plan de Seguridad y Contingencia.

• Este modelo permitirá brindar un eficiente servicio al cliente, mediante el

uso del modelo que garantiza la continuidad de las operaciones.

5.2 Resultados esperados.

Mediante la puesta en marcha de este modelo se espera que las instituciones

cuenten con un conjunto de herramientas que le permita resguardar el sistema de

datos frente a cualquier amenaza, falla y daño, de esta manera se busca mantener la

continuidad de las operaciones del sistema de datos y por lo tanto la continuidad del

negocio.

6. PRESENTACION DEL MODELO.

La continuidad de las operaciones, tolerancia a fallos, tal y como se conoce hoy en

día, se basa fundamentalmente en un concepto: redundancia y seguridad. La mejor

forma de asegurar la disponibilidad del sistema de datos y de mantener la

continuidad del negocio, es la duplicación de todos los elementos críticos y la

disposición de los elementos del software y hardware necesarios para que los

elementos redundantes actúen cooperativamente, bien sea de forma activa - activa o

activa - pasiva, pero siempre en forma transparente para el usuario final. La

propuesta en si es un conjunto de componentes que forma un solo modelo que esta

diseñado para diferentes momentos del sistema de datos, el primero la prevención

de la falla por medio de políticas de seguridad informática, en el momento de la falla

la cual representa una solución tecnológica, y después de la falla si las dos

85

anteriores fallan se debe de estar preparados con un plan de contingencia, de esta

manera la propuesta busca presentar los principales elementos de riesgo de un

sistema informático, la forma de evitar la pérdida de datos y la forma de cómo

enfrentar los daños si estos se dan. Se desarrollan dos propuestas tecnológicas ha

presentar a las instituciones; la elección de la propuesta estará en responsabilidad de

la institución que la desarrollará, esta elección deberá de hacerse a partir del

cumplimiento de una serie de parámetros. A la par de esta propuesta tecnológica se

ha planteado una serie de herramientas que se vuelve un solo conjunto con la parte

tecnológica, y que buscan dar respuesta al problema de cada una de las instituciones

en su búsqueda de mantener la continuidad de las operaciones del sistema de datos.

6.1 Fase de Diagnostico.

Cada vez que nos encontremos en una actividad que requiere la presentación de una

propuesta de solución para un determinado problema, es necesario siempre la

revisión exhaustiva de cada uno de los componentes, que conforman nuestro

sistema por esto se hace necesario una etapa de diagnostico para poder asegurar

que las acciones de solución propuesta tengan un fundamento realista.

El problema más frecuente es que las amenazas a las que están expuestos los

sistemas de datos, no se conocen hasta que se materializa el riesgo y causa daños a

la institución, en la oportunidad o capacidad de respuesta del negocio y en la

veracidad de la información que posee, entre otros.

6.1.1 Diagnósticos de Vulnerabilidades.

Lo primero que una institución debe de saber es cuales son los puntos

vulnerables, donde la amenaza es mas latente, y el alcance de dicha amenaza

si esta se materializa. Esto se logra por medio de un diagnóstico que se puede

realizar por medio de la contestación de un test, al cual hemos llamado test de

vulnerabilidad, este permite presentar los puntos vulnerables en materia de

seguridad informática en un momento dado y sirve como punto de partida a la

institución para realizar una permanente gestión de la seguridad informática.

El propósito de realizar un diagnostico de vulnerabilidad es el identificar los

huecos de seguridad en la infraestructura tecnológica de la institución.

86

Entre los beneficios que obtendrán las instituciones será de contar con

información sobre la situación actual en términos de seguridad informática,

que le permitirá tomar decisiones preventivas y correctivas para disminuir

riesgos.

A continuación se presenta un test de Vulnerabilidades el cual busca como

objetivo el brindar una herramienta para determinar las debilidades en cuanto

a seguridad de los sistemas de datos de la institución.

Test de Diagnostico de Vulnerabilidades.

El siguiente es un test de diagnostico de Vulnerabilidades que debe aplicar el

departamento de informática, para medir los niveles de riesgo en materia de

seguridad de la información, del equipo, instalaciones, etc.

A. Seguridad Física.

1. Existe una persona responsable de la seguridad?

Si ( ) No ( )

2. Existe vigilancia en el departamento de cómputo las 24 horas?

Si ( ) No ( )

3. Sé permite el acceso a los archivos y programas a los programadores,

analistas y operadores, bajo supervisión y monitoreo?

Si ( ) No ( )

4. El edificio donde se encuentra el centro de cómputo esta situado a saldo

de, de cualquier incidente natural o no natural (inundación, fuego,

terremoto, sabotaje, etc.)

Si ( ) No ( )

5. Existen alarma(s) dentro del edificio donde se encuentra situado el centro

de cómputo:

Si ( ) No ( )

6. La alarma es perfectamente audible?

Si ( ) No ( )

87

7. Las alarmas están conectadas a puestos de policías, estación de

bomberos, u otro ente que sea capaz de colaborar en caso de un siniestro.

Si ( ) No ( )

8. Existen extintores de fuego?.

Si ( ) No ( )

9. Se ha adiestrado el personal en el manejo de extintores?.

Si ( ) No ( )

10. Se revisa de acuerdo con el proveedor el funcionamiento de los

extintores?

Si ( ) No ( )

11. Los interruptores de energía están debidamente protegidos, etiquetados y

sin obstáculos para alcanzarlos?

Si ( ) No ( )

12. Saben que hacer los operadores del departamento de cómputo, en caso

de que ocurra una emergencia ocasionado por fuego?

Si ( ) No ( )

13. Existe salida de emergencia?

Si ( ) No ( )

14. Se revisa frecuentemente que no esté abierta o descompuesta la

cerradura de puestas y ventanas del centro de cómputo, si es que existen?

Si ( ) No ( )

15. Se ha adiestrado a todo el personal en la forma en que se deben desalojar

las instalaciones en caso de emergencia?

Si ( ) No ( )

16. Se ha tomado medidas para minimizar la posibilidad de fuego, tales como

evitando artículos inflamables, prohibiendo fumar, vigilando el

mantenimiento al sistema eléctrico, etc.?.

Si ( ) No ( )

17. Se ha prohibido a los operadores el consumo de alimentos y bebidas en

el interior del departamento de cómputo para evitar daños al equipo?

Si ( ) No ( )

88

18. Se limpia con frecuencia el polvo acumulado en el equipo de cómputo?

Si ( ) No ( )

19. Se cuenta con copias de los archivos en lugar distinto al del departamento

de cómputo.

Si ( ) No ( )

20. Se tienen establecidos procedimientos de actualización a estas copias?

Si ( ) No ( )

Puntuación:

• Si responde Si a las 20 preguntas su Seguridad Física es Excelente.

• Si responde Si a 15 preguntas su Seguridad Física es Buena.

• Si responde Si a 10 preguntas su Seguridad Física es Regular.

• Si responde Si a 5 preguntas su Seguridad Física es Deficiente.

B. Seguridad de Software.

1. ¿Cuándo se efectúan modificaciones a los programas, se realiza con

autorización de la persona responsable del departamento de informática?

Si ( ) No ( )

2. La solicitud de modificaciones a los programas se hace de forma escrita,

en un formulario especial para dicha tarea?

Si ( ) No ( )

3. Una vez efectuadas las modificaciones. Se presentan las pruebas a los

interesados?

Si ( ) No ( )

4. Existe control estricto en las modificaciones?

Si ( ) No ( )

5. Se revisa que tengan fecha de las modificaciones cuando se hayan

efectuado?

Si ( ) No ( )

89

6. Se verifica identificación de la terminal y del usuario que efectúa la

modificación?

Si ( ) No ( )

7. Se han establecidos roles para cada uno de los usuarios.

Si ( ) No ( )

8. Se ha establecido un número máximo de violaciones en sucesión para que

la computadora cierre esa terminal y se de aviso al responsable de ella?

Si ( ) No ( )

9. Se registra cada violación a los procedimientos con el fin de llevar

estadísticas y frenar las tendencias mayores?

Si ( ) No ( )

10. Existen controles y medidas de seguridad sobre las siguientes

operaciones, Información confidencial, Programas, Respaldos de

información, Acceso de personal, Passwords y Seguros del Activo

Informático?

Si ( ) No ( )

Puntuación.

• Si responde Si a las 10 preguntas su Seguridad de Software es Excelente.

• Si responde Si a 7 preguntas su Seguridad de Software es Buena.

• Si responde Si a 4 preguntas su Seguridad de Software es Deficiente.

C. Correo Electrónico.

1. Utiliza la empresa el correo electrónico para el envío de documentos a

destinatarios internos de la empresa?

Si ( ) No ( )

2. Utiliza la empresa el correo electrónico para el envío de documentos a

destinatarios externos de la empresa?

Si ( ) No ( )

3. Dispone la empresa de normas de uso del correo electrónico?

Si ( ) No ( )

90

4. Se establece en ellas la prohibición del uso de correo electrónico para fines

particulares?

Si ( ) No ( )

5. ¿Existen recomendaciones para prevenir el engaño por correo electrónico

a los trabajadores de la empresa para que divulguen datos confidenciales?

Si ( ) No ( )

6. ¿Existen medidas técnicas para impedir la entrada de virus informáticos en

la red local y los ordenadores de la empresa?

Si ( ) No ( )

7. Existen medidas técnicas para impedir la entrada de caballos de Troya a

través del correo electrónico.

Si ( ) No ( )

Puntuación:

• Si responde Si a las 7 preguntas su manejo y seguridad sobre el Correo

Electrónico es Excelente.

• Si responde Si a 4 preguntas su manejo y seguridad sobre el Correo

Electrónico es Regular.

D. Navegación por Internet

1. Disponen los empleados de su empresa de accesos a Internet.

Si ( ) No ( )

Si su respuesta es NO, pase al apartado F.

2. Dispone la empresa de normas de Internet

Si ( ) No ( )

3. Existen medidas técnicas para impedir la instalación no consentida de

spyware?

Si ( ) No ( )

4. Existen medidas técnicas para impedir la entrada de caballo de Troya a

través de la visita de páginas Web.

Si ( ) No ( )

91

Puntuación:

• Si responde Si a las 4 preguntas su manejo y seguridad sobre el Internet

es Excelente.

• Si responde Si a 2 preguntas su manejo y seguridad sobre el Internet es

Regular.

• Si no responde a ninguna pregunta SI su manejo y seguridad sobre

Internet es Deficiente.

E. Programas P2P y mensajería Instantánea

1. Existen medidas técnicas para impedir el uso de programas de intercambio

de ficheros a través de programas P2P

Si ( ) No ( )

2. Existen medidas técnicas para detectar el uso de programas de

intercambio de ficheros a través de programas P2P.

Si ( ) No ( )

3. Existen medidas técnicas para impedir el uso de programas de mensajería

instantánea tipo Messenger.

Si ( ) No ( )

4. Existen medidas técnicas para detectar el uso de programas de mensajería

instantánea.

Si ( ) No ( )

Puntuación:

• Si responde Si a las 4 preguntas su manejo y seguridad sobre Programas

P2P y mensajería instantánea es Excelente.

• Si responde Si a 2 preguntas su manejo y seguridad sobre Programas P2P

y mensajería instantánea es Regular.

• Si no responde a ninguna pregunta SI su manejo y seguridad sobre

Programas P2P y mensajería instantánea es Deficiente.

92

F. Error Humano

1. Existen medidas preventivas para limitar los errores derivados de la

impericia en el uso de las nueva tecnologías?

Si ( ) No ( )

2. Existen medidas preventivas para limitar los errores derivados de métodos

de trabajo incorrectos.

Si ( ) No ( )

3. Existen medidas preventivas para limitar los errores derivados de actos

repetitivos?

Si ( ) No ( )

4. Existen medidas preventivas para limitar los errores derivados de

comunicaciones defectuosas o incompletas.

Si ( ) No ( )

Puntuación:

• Si responde Si a las 4 preguntas su manejo y seguridad sobre Error

Humano es Excelente.

• Si responde Si a 2 preguntas su manejo y seguridad sobre el Error

Humano es Regular.

• Si no responde a ninguna pregunta SI su manejo y seguridad sobre el Error

Humano es Deficiente.

G. Acceso Remoto

1. Es accesible desde el exterior la red de la empresa

Si ( ) No ( )

2. Existen normas de seguridad especificas para los trabajadores que

realizan accesos remotos a la red corporativa?

Si ( ) No ( )

93

H. Activos Inmateriales

1. El contrato laboral contiene una cláusula de confidencialidad?

Si ( ) No ( )

2. El contrato laboral contiene una cláusula de propiedad intelectual.

Si ( ) No ( )

3. Se pactan plazos de permanencia en la empresa cuando el trabajador

recibe formación especializada.

Si ( ) No ( )

I. Seguridad Informática

1. ¿Dispone la empresa de un documento con que se describen las medidas

de seguridad de la empresa?

Si ( ) No ( )

2. ¿Existen evidencias documentales de la aplicación de las medidas de

seguridad por la empresa?

Si ( ) No ( )

3. ¿Existe un plan de continuado y certificado por terceros de formación y

sensibilización del personal en materia de seguridad?

Si ( ) No ( )

4. Existen planes de contingencia en caso de desastres en la empresa.

Si ( ) No ( )

5. Cuentan los operadores con alguna documentación en donde se guarden

las instrucciones actualizadas para el maneja de restauraciones?

Si ( ) No ( )

Puntuación:

• Si responde Si a las 5 preguntas su Seguridad Informática es Excelente.

• Si responde Si a 3 preguntas su Seguridad Informática es Regular.

• Si responde Si a 1 su Seguridad Informática es Deficiente.

94

Después de haber analizado cada uno de las áreas antes mencionadas, usted

estará en condiciones de tomar acciones en cuanto a los aspectos de

seguridad que deberá reforzar en su empresa, o el tipo de seguridad a

implementar y aspectos a considerar a la hora de implementar políticas de

seguridad.

Además es importante tener la siguiente información siempre a la mano:

1. Descripción de puestos y funciones con relación al sistema de datos.

2. Listado de bienes que produce la empresa según el orden de

importancia por la generación de beneficios. Si la empresa produce

más de un servicio la prioridad será determinada según el criterio de

los directivos.

3. Listado de empresas o instituciones que abastecen de energía,

comunicación, agua y otros servicios resaltando la importancia de

ellos en el sistema de datos y verificando la seguridad de los

servicios.

4. Inventario de recursos informáticos se realizará por dependencias y

en forma clasificada: Hardware, Programas, Aplicativos informáticos,

Otros equipos (centrales telefónicas, cajas registradoras, lectores de

código de barras, etc.)

5. Esto inventarios deberán hacerse a través de formularios

sistemáticamente elaborados.

6. Análisis de las operaciones. En todas las instituciones existen,

centenares de procesos que se realizan diariamente. Más del 80%

de éstos son repetitivos, cosas que hacemos una y otra vez. Estos

procesos repetitivos (áreas administrativas, manufactureras e

intermedias) pueden y deben controlarse.

6.1.2 Identificación de Riesgos

El objetivo principal de la Identificación de Riesgo, es el de realizar un análisis

de impacto económico y legal, determinar el efecto de fallas de los principales

sistemas de datos de la institución o empresa.

95

Para nuestro modelo hemos dividido diez áreas específicas vulnerables a la

ocurrencia de los riesgos y que deben de ser analizadas para tomar las

acciones pertinentes:

a) Edificio.

• Materiales de Construcción.

• Localización Geográfica.

• Localización del Centro de Cómputo en el edificio.

• Localización de cañerías de aguas, drenajes, si el edificio se encuentra

cerca de zonas de inundación.

• Areas Urbanas potencialmente conflictivas.

b) Ambiente del Centro de Procesamiento.

• Aire Acondicionado.

• Energía Eléctrica.

• Falta de UPS o planta propia.

• Inadecuado mantenimiento del equipo.

• Inadecuado señalamiento de los dispositivos.

• Protección contra fuego.

• Detectores de humo inadecuados.

• Sistema no probado regularmente.

• Insuficiente extintores manuales.

• Falta de monitoreo de las alarmas.

• Falta de entrenamiento contra incendios.

• Procedimientos inadecuados de evacuación.

• Existencia de interruptores de energía para casos de emergencia.

• Iluminación inadecuada.

• Existencias de reglas de seguridad o señales de peligro.

• Red de distribución no revisada con regularidad.

c) Control de Ingreso.

• Ineficiencia o falta de vigilancia.

• No se hace uso de registro de vigilantes.

96

• Falta de tarjetas de identificación.

• Identificación requerida de visitantes.

• Puertas y Ventanas inseguras.

• Falta de control de vehículos que ingresan o salen.

• Inadecuado control de acceso al Centro de Cómputo.

• Areas del Centro de Cómputo inseguras (sin llave).

d) Personal.

• Existe comprobación adecuada de experiencia del nuevo personal.

• Existencia de Contrato de Trabajo, debidamente firmado por ambas

partes (Contratante y contratado).

• Inadecuada revisión de procedimientos de entrenamiento del grupo o

rotación del trabajo.

• Carencia de personal competente o está mal pagado.

• Existencia de personal mal intencionado.

• Existencia de baja moral de trabajo.

e) Administración.

• No se hace un análisis regular de los riesgos.

• Existen adecuadas políticas de seguridad.

• Los fraudes y otros problemas no son comunicados a las autoridades

respectivas.

• No hay personal dedicado al manejo de desastres.

f) Plan de Contingencias.

• Existe un Plan de Contingencias.

• Se cuenta con un sitio alterno de operaciones.

• El plan esta desactualizado o no ha sido probado.

• Existe un adecuado control de los activos y de los suministros.

• Existe identificación de los sistemas críticos.

97

g) Datos y Programas.

• Se establece un calendario para el respaldo de las aplicaciones o

programas críticos.

• Los lugares de almacenamiento dentro del Centro de cómputo son

seguros.

• Se tienen establecidas políticas adecuadas para el manejo de los datos

importantes.

• Se le permite al personal hacer sus trabajos personales (utilizar el

equipo).

• Existe documentación de cada uno de los programas y/o aplicaciones.

• Se tiene programas obsoletos en uso.

• Se destruye la información importante que no se usa.

• Se tiene control sobre los medios de almacenamiento.

• Se tiene controles de calidad para los nuevos sistemas.

• Existen controles de acceso a los programas o sistemas.

• Están definidos los privilegios de los usuarios.

h) Hardware (equipo)

• Existe inventario completo del hardware.

• Se brinda un adecuado mantenimiento al hardware.

• Hay equipo obsoleto en uso.

• Existe comunicación de datos (teleproceso).

• Para la comunicación de datos se utilizan líneas dedicadas.

• Las líneas de comunicación son inseguras o con fallas.

• Las terminales se restringen para usuarios específicos o tareas

específicas.

• Inadecuado o carencia total de control de claves de acceso.

i) Organización Interna.

• Se almacena documentación importante en medios inseguros.

• Existen control sobre documentación o material importante.

• Existen respaldos de documentación importante.

98

• Reportes incompletos o con error de las fallas del equipo.

• Inadecuada documentación de los sistemas, programas y sistema

operativo.

• Procedimiento de encendido y apagado del equipo definidos.

• Existen restricciones sobre ciertos hábitos en el centro de Cómputo

(comer, fumar, almacenar material inflamable, etc.)

• Falta de higiene en el lugar.

j) Auditoría.

• No existen procedimientos o programas de auditoría.

• Se revisan los reportes de auditoría.

• Existen controles internos adecuados en los sistemas.

Una vez realizada la identificación de los riesgos usted tiene pleno conocimiento de

cuales son las debilidades y donde se encuentran, con ello tenemos lo necesario

para saber donde centrar parte del Modelo y que áreas son a las que se les debe

poner mayor atención.

6.2 Fase de Desarrollo.

El objetivo de esta fase es de dar por resultado un Manual de Políticas de Seguridad

Informática, una Solución Informática y un Plan de Contingencias.

Es importante estar conscientes de algunos aspectos:

• De la importancia de la Seguridad Informática.

• Considere el Sistema de Datos como un activo de la institución.

• Considere el Sistema de Datos como un recurso para alcanzar objetivos

estratégicos.

El Modelo de Seguridad Informática debe de tener como propósito por lo menos

alguno de los siguientes objetivos

• Mantener el Sistema de datos actualizados y accesibles desde cualquier

punto.

99

• Mantener el servicio del Sistema de Datos a todos los usuarios interno y

externo de la institución.

• Estar preparados ante cualquier contingencia que se presente y que

represente un peligro al Sistema de Datos.

• Resguardar el Sistema de Datos de cualquier amenaza, intruso o falla que

pueda ser provocada por entes internos o externos a la institución y que

puedan dañar el sistema de datos.

6.2.1 Determinación de necesidades.

Cada empresa es diferente, es por ello que sus necesidades en cuanto a

sistemas de datos son variadas, cada una de ellas tiene objetivos variados y

va desear que su sistema se adapte a sus necesidades y cumpla con los

objetivos establecidos por la institución, no es lo mismo una empresa

comercial que una empresa que brinde servicios financieros.

Otro punto a considerar es el tamaño de su estructura organizativa, número de

empleados y los roles dentro del Sistema de Datos. Pero además del número

de empleados, se debe de considerar el número de sucursales o agencias con

que cuenta la Institución.

Debemos de establecer cuales son las necesidades de cada uno de los

miembros de la institución, las prioridades y cual es el objetivo que

perseguimos con la implementación del modelo.

Para el caso del Modelo Tecnológico, ya no es necesario solo el

establecimiento de la disponibilidad que necesitaremos y del coste que tendrá

la solución; es importante saber si se hará un uso intensivo de los discos de

escritura, si se realizarán lecturas de grandes bloques de datos en una forma

secuencial, o si la lectura se hará de una forma aleatoria y de tamaños

variables.

Además debemos determinar si el sistema de Replicación contendrá el

sistema de datos o solo los datos por si mismos.

100

Toda esta información nos llevará a la mejor elección de nuestro modelo a

implementar, la cual cumplirá con cada uno de los requerimientos de la

empresa.

6.2.2 Delimitación del Modelo.

Debe de establecerse el espacio en el cual se va a situar la parte tecnológica

del modelo de seguridad informática, este espacio debe de cumplir con una

serie de requisitos, como son:

• Que no entre mucha luz natural.

• Debe de contar con aire acondicionado.

• No debe de haber entradas de aire natural.

6.2.3 Determinación de Recursos.

Los recursos que brinde el modelo de Seguridad Informática de sistema de

datos, podrán ser utilizados por cada uno de los usuarios de la institución, el

principal recurso que brindará el modelo es de mantener la continuidad de las

operaciones del sistema de datos bajo cualquier falla que presente, lo que se

busca con el Modelo Tecnológico es la reducción del tiempo de respuesta ante

una falla del sistema de datos, permitiendo de esta manera eliminar tiempos

muertos u ociosos provocados por fallas del sistema. Todo esto se hará sin

que el usuario final perciba la caída del sistema.

6.2.4 Procedimiento de Adquisición de Recursos. a) Adquisición de Hardware.

Para la adquisición del hardware intervienen 7 factores:

• Asignación de Personal.

• Preparación de lista de requerimientos.

• Requisición de propuestas o cotizaciones.

• Evaluación de Alternativas.

• Contactar proveedores para confirmar.

• Financiamiento para la adquisición.

• Negociación del contrato.

Como consideraciones generales es importante tomar en cuenta lo siguiente:

101

• Establezca un comité evaluador.

• Tome en consideración todos los requerimientos así como las

restricciones.

b) Solicitud de propuesta o cotizaciones.

La solicitud de propuestas deberá de realizarse mediante las requisiciones que

deberán de incluir:

• Información General del Proveedor.

• Objetivo.

• Propósito.

• Fecha limite de entrega.

• Fecha limite de aclaraciones.

• Cobertura de requerimientos mínimos y deseables.

• Solicitud de descripción detallada del producto o servicio.

• Solicite especificaciones detalladas de servicios de soporte de usuario.

• Coordine presentaciones.

c) Evaluación de propuestas.

Para llevar a cabo una buena evaluación de las propuestas presentadas

deberá tomarse en cuenta los siguientes términos:

• Validar lo que ofrece el proveedor (credibilidad de la propuesta).

• Analice la propuesta.

• Costo.

• Disponibilidad.

• Calidad del diseño.

• Soporte y mantenimiento.

• Configuración.

• Documentación.

• Deberá de verificarse con terceros la información sobre los productos y

servicios ofrecidos por el proveedor.

102

d) Financiamiento.

Son tres los puntos a considerar para el financiamiento de la adquisición de

los recursos.

• Renta.

• Arrendamiento.

• Compra.

e) Negociación del contrato.

La negociación del contrato deberá contemplar entre otros los siguientes

puntos:

• Puntos de negociación.

• Precios.

• Capacitación.

• Penalizaciones.

• Posibles problemas que se pueden presentar.

6.2.5 Desarrollo del Modelo.

En el Modelo de Seguridad Informática del Sistema de Datos es necesario

considerar no solo aspectos económicos y tecnológicos, sino además estudiar

el fin para el que sé esta pensando implementar el Modelo de Seguridad

Informática.

6.2.5.1 Desarrollo de las Políticas de Seguridad y el Plan de Contingencia.

El problema de la seguridad informática solo toma importancia cuando

falla. En los últimos años la importancia de la seguridad informática se ha

puesto de manifiesto, la amplia utilización de los sistemas informáticos ha

llevado a las instituciones a resaltar la necesidad de proteger sus activos

informáticos.

El objetivo principal de la seguridad informática es proteger los recursos

informáticos del daño, alteración, el robo y le pérdida. Esto incluye los

equipos, los medios de almacenamiento, el software, los listados de

impresora y en general, los datos.

103

La seguridad tiene cuatro objetivos: mantener la confidencialidad de la

información, asegurar la integridad de los datos, garantizar la permanente

disponibilidad, y posibilitar el uso legítimo de los recursos.

La determinación de requerimientos de seguridad se basa en el

reconocimiento de amenazas. Cuatro amenazas fundamentales surgen

directamente de los objetivos citados:

• Interrupción o negación del servicio.

• Fuga de información o interceptación.

• Modificación o violación de integridad.

• Uso Legítimo.

A continuación detallamos los pasos a tomar en cuenta en la creación de

las políticas de seguridad y los planes de contingencia:

1. Conformar un Equipo de Trabajo representado por todos los niveles

de la institución, de este modo se conocen necesidades y situaciones.

2. Identificar por qué se necesita la política y el plan (por ejemplo,

requerimientos legales, regulaciones técnicas, contractuales u

operacionales).

3. Determine el alcance y la aplicabilidad de la política y de plan.

4. Identifique los roles y las responsabilidades inherentes a la

aplicación de la política y el plan.

5. Determinar los requerimientos organizacionales para desarrollar las

políticas y los planes (es decir, que autoridades deben aprobarla, con

quién se debe coordinar el desarrollo y estándares del formato de

redacción).

6. Investigue las mejores prácticas en la industria para su aplicabilidad

a las necesidades organizacionales actuales.

De aquí se tendrá como resultado la documentación de la política de

acuerdo con los procedimientos y estándares de la institución.

104

Otras prácticas que se recomiendan seguir son:

1. Uso de lenguaje sencillo (evitar lenguaje técnico hasta donde sea

posible).

2. Escriba la política como si fuese a utilizarse siempre.

3. Debe escribirse de tal forma que pueda ser entendida por cualquier

miembro de la empresa.

4. Se debe evitar describir técnicas o métodos particulares que definan

una sola forma de hacer las cosas.

5. Cuando se requiera, hacer referencia explícita y clara a otras

dependencias de la organización.

6. Utilice la guía para la presentación de documentos escritos de la

empresa.

105

Una proposición de una forma de realizar una Política de Seguridad

Informática (PSI) adecuada puede apreciarse en el siguiente diagrama:

Figura 4-2 Aspectos a considerar en la Formulación de PSI.

En el gráfico anterior están plasmados todos los elementos que

intervienen en el estudio de una política de seguridad.

Se comienza realizando una evaluación del factor humano interviniente,

teniendo en cuenta que éste es el punto más vulnerable en toda la cadena

de seguridad, de los mecanismos con que se cuentan para llevar a cabo

los procesos necesarios (mecanismos técnicos, físicos o lógicos), luego, el

medio ambiente en que se desempeña el sistema, las consecuencias que

pueden traer los defectos en la seguridad y cuales son las amenazas

posibles.

Amenaza Consecuencias Ambiente Mecanismos Factor Humano

Bases del Análisis del Sistema de Seguridad.

Revisión

Programa de Seguridad

Plan de Acción

Procedimientos

Controles y Vigilancia

Auditoría

Simulación Archivos

LOG

Plan de Contingencia.

106

En el caso de los planes de contingencias lo primero que debe de hacerse

es determinar la criticidad del sistema, con el propósito de hacer esta

identificación se debe de considerar los siguientes aspectos:

• A qué función clave dentro de las operaciones de la empresa

sirve la aplicación?

• Efecto que causaría en las actividades de la empresa si no se

procesa.

• Tiempo de caída permisible.

• Impacto legal, de servicio, costo si no se procesa o no se

procesa a tiempo.

• Usuario y dependencias afectados.

A continuación enumeraremos algunas medidas para mitigar el riesgo, las

cuales deben de tomarse en cuenta en el momento de redactar el Plan de

contingencia.

a) Control de ingreso a las instalaciones.

• Contar con vigilancia de seguridad, debidamente preparada y

entrenada.

• Contar con puertas especiales preferentemente utilizar el

sistema de doble puerta.

• Lleve un registro de entradas y salidas de visitantes indicando

nombre, propósito de la visita, hora de entrada y salida, sitio

de trabajo (interno o externo) y persona que autorizó su

ingreso.

• Controle la entrada de personal autorizado mediante un

gafete u otro medio de identificación.

• Las instalaciones colindantes con áreas descubiertas deben

de estar protegidas adecuadamente.

• Deje una sola entrada debidamente controlada y el resto de

las puertas como salidas de emergencia.

• Lleve un control de la entrada y salida de vehículos.

107

• El área del Centro de Cómputo debe de considerarse como

área de acceso restringido para personal no autorizado.

b) Edificio.

Es recomendable que el edificio cuente con:

• Acceso razonable para la introducción y extracción de equipo,

sin que sufra ningún daño.

• Potencial eléctrico adecuado.

• Servicios Públicos adecuados.

• Buenas Salidas de Emergencia.

• El Centro de Cómputo debe de estar construido con

materiales resistentes al fuego.

• Evitar el uso de alfombras que producen electricidad estática.

• Evitar el paso de tuberías por encima o por debajo del Centro

de Cómputo con el fin de prevenir filtraciones.

• Se recomienda construir el mínimo de ventanas exteriores

con el fin de evitar interferencias provenientes del exterior,

también se reduce la posibilidad de entradas no autorizadas.

Características del área de operación.

• Las paredes deben estar construidas con material resistente

al fuego, capaces de soportar el mínimo aceptable de

exposición al fuego.

• Las puertas deben de ser resistentes al fuego y con su

respectivo cierre de seguridad.

• El área debe de contar con niveles de adecuados de

iluminación.

c) Protección contra el fuego.

El fuego puede originarse intencional o accidentalmente, siendo esto lo

último más frecuente y por lo general es debido al descuido en el

mantenimiento de las instalaciones o en el manejo de materiales de

108

naturaleza combustible, por lo que es necesario considerar los

siguientes puntos:

• Almacenar el mínimo indispensable de materiales

combustibles (papeles, cajas de cartón, etc.) que se va utilizar

de inmediato dentro del centro de cómputo.

• Evitar tener cables conductores de corriente eléctrica sueltos

o con contactos en mal estado.

• Comprobar que las cortinas, muebles, piso falso, techo, filtros

de aire acondicionado, aislantes eléctricos y acústicos estén

fabricados con materiales no combustibles.

• Instale alarmas contra incendios.

• Implementar procedimientos adecuados para entrenar al

personal.

d) Protección de Archivos.

A continuación se describen algunos métodos para asegurar la

protección de la información reducir los riesgos de pérdidas, fuga o

alteración de la misma.

Deben de existir respaldos bien protegidos de:

• Información.

• Software de aplicaciones.

• Software del sistema.

Para el resguardo de los respaldos de información, datos y programas, se

debe de tener en cuenta:

• Muebles especiales.

• Cintotecas integrales.

• Cajas de Seguridad.

e) Soporte Ambiental.

Las condiciones ambientales que deben de mantener dentro del Centro

de Cómputo y particularmente en el área de operación, son factores

importantes de vigilar y controlar dentro de un programa de seguridad

109

física, ya que en un cambio en la temperatura puede dañar, temporal o

permanentemente, dispositivos magnéticos de información alterar el

servicio del Centro de Cómputo. Al respecto se hacen las siguientes

recomendaciones:

• Se recomienda una temperatura ideal de operación de los

equipos de cómputo oscile entre 18 y 22 grados centígrados.

• Los filtros y los forros de los ductos del sistema de aire

acondicionado deben de estar hechos de materiales no

combustibles.

• El mantenimiento preventivo debe hacerse al menos una vez al

mes.

• Las conexiones eléctricas y las cajas de los circuitos que

alimentan a los equipos de aire acondicionado deben estar

protegidos y deben ser independientes de las conexiones del

resto de equipo.

• Aislar adecuadamente las tuberías de agua que abastecen a los

equipos de aire acondicionado de manera que no produzcan

derrames cerca del equipo o de los materiales relacionados con

la computadora.

f) Claves de acceso y Códigos de Usuario.

Hoy en día, la técnica más adecuada para controlar el acceso a los

sistemas de información es mediante la utilización de claves de acceso

y códigos de usuario (password).

La contraseña debe de ser personal e intransferible, cada usuario es

responsable del uso que se haga de la misma.

• Elabore procedimientos escritos para la asignación y

administración de las claves de acceso.

• Conocer que información debe de estar protegidas y el grado

de protección que requiere.

• Instruya al personal sobre la importancia de la seguridad.

110

• Cambiar las claves de acceso al menos cada 60 días o

elaborar procedimientos interactivos que permitan a los

usuarios modificar las mismas en el momento que se

requiera.

Algunas otras recomendaciones que se pueden dar al respecto son:

• El archivo que contiene las claves de acceso debe de estar

encriptado y debe tener su propia clave de acceso.

• Debe de existir una bitácora que registre todos los accesos

ocurridos a fin de detectar intentos no autorizados.

Otras medidas a tomar en cuenta son las siguientes:

• Mantenimiento a instalaciones eléctricas.

• Mantenimiento a Equipo de Cómputo.

• Mantenimiento a Equipos Especiales.

• Mantenimiento a Equipos de Aires Acondicionados.

g) Grupos de Emergencia.

Debe de determinarse los grupos de trabajo que actuarán en la

emergencia, deben identificarse especificando las funciones y

responsabilidades de cada uno de ellos y de sus miembros.

Una organización de grupos podría ser la siguiente:

• Grupo Coordinador. Es el encargado de efectuar la

administración de la contingencia. Es el Centro de Operaciones.

• Grupo Administrador. Es el responsable de poner en práctica las

labores administrativas en el período declarado como de

contingencia, tales como manejo caja chica, planillas,

contabilidad, etc.

• Grupo de Atención. Es el grupo encargado de notificar el estado

de emergencia, evaluar la contingencia y atender la contingencia.

• Grupo de Servicios. Es el grupo encargado de ofrecer los

servicios para la operatividad durante la contingencia tales como:

transporte, suministro, seguridad, comunicaciones, velar por los

111

procedimientos de seguridad, privacidad, disponibilidad y

oportunidad de los servicios ofrecidos.

• Grupo de Recuperación. Este grupo se encarga de asegurar la

supervivencia operativa. Preparar sitio alterno de operatividad.

• Grupo de Restauración. Es el encargado de la reconstrucción del

ambiente normal de operatividad.

6.2.5.2 Desarrollo de Modelo Tecnológico.

Cuando la política de seguridad no es lo suficiente para evitar una falla

o dicha política se ha violentado, es cuando la seguridad necesita

complementarse con la parte tecnológica, la propuesta tecnológica

presentada esta formado por dos alternativas, las que hemos llamado

Propuesta A: Arreglo de Disco (RAID) y Propuesta B: Replicación de

Datos, el objetivo de plantear ambas propuestas es el de no restringir la

solución tecnológica a las instituciones, de esta manera tratamos de

asegurar que para cada institución pueda haber una solución, la

elección de dicha solución tecnológica va depender de cada una de las

instituciones, de las necesidades, los requerimientos y la tecnología con

la que cuenta cada una de ellas.

Limitaciones del Modelo Tecnológico.

Es importante mencionar que la implementación de cualquiera de las

dos soluciones tecnológicas conlleva el cumplimiento de ciertos

requisitos para poder llevar con éxito el desarrollo e implementación del

modelo:

• Todas las operaciones que realizan la institución deben de

estar centralizadas en un sistema de datos.

• Debe de contar con una robusta infraestructura informática.

112

Propuesta A: Arreglo de Discos (RAID). Definición.

Consiste en una serie de sistemas para organizar varios discos como si

de uno solo se tratara pero haciendo que trabajen en paralelo para

aumentar la velocidad de acceso o la seguridad frente a fallos del

hardware o ambas cosas.

El objetivo de un arreglo redundante de discos independientes RAID, es

proveer discos virtuales de un tamaño mucho mayor al de los discos

comúnmente disponibles.

Los arreglos RAID son implementados comúnmente con discos de la

misma capacidad para todo el arreglo.

Ventajas de RAID.

El sistema RAID permite la recuperación de datos en tiempo real si se

produce un fallo en una unidad de disco duro. De esta forma se

incrementa el tiempo de actividad del sistema y la disponibilidad de la

red, y se protege el sistema frente a pérdidas de datos. Además, los

sistemas pueden mejorar su rendimiento al funcionar simultáneamente

en varios discos agrupados como una unidad de almacenamiento

lógica.

113

Tipos de implementación RAID.

Tipo Descripción Ventajas Limitaciones

RAID

basado en

software

Funcionalidad RAID

incluida en el sistema

operativo de red,

como Netware o

Windows NT Server

Bajo coste: sólo se

requiere un controlador

estándar.

Disminuye

considerablemente el

rendimiento. Sin protección

de la unidad de

inicialización (con NT). Sin

herramientas de

manejabilidad.

Incompatibilidad con

unidades S.M.A.R.T. y de

intercambio en

funcionamiento.

Controlador

RAID SCSI

basado en

Bus.

Las operaciones

RAID que requieren

una actividad intensa

del procesador se

realizan mediante un

procesador RAID que

se encuentra en el

controlador RAID

SCSI basado en PCI.

Protección de datos sin el

menor rendimiento del

RAID basado en

software. Protección de la

unidad de inicialización.

Compatibilidad con

unidades S.M.A.R.T. e

intercambio en

funcionamiento.

Coste superior al RAID

basado en software.

Controlador

RAID

externo.

Las operaciones

RAID las realiza un

controlador RAID.

RAID externo, que

está conectado al

servidor a través de

una interfaz Fibre

Chanel o SCSI.

Independiente de sistema

operativo: Funciona con

cualquier sistema

operativo. Independiente

del servidor.

Rendimiento inferior del

controlador Raid basado

en bus. Soluciones de

coste elevado.

Tabla 4-1 Tipos Implementación de RAID.

114

Niveles de RAID.

• RAID 0

• RAID 1: Mirrored Disk Array.

• RAID 3: Striping.

• RAID 4: Paridad de intervalos de datos.

• RAID 5: Striping with parity.

• RAID 10.

Modelo Óptimo RAID 5.

Es el método más popular para el diseño de la tolerancia a fallas.

Difiere de los tres niveles en que la escritura de la información de

paridad se escribe a través de todos los discos en un arreglo. La

información de paridad y los datos son almacenados de manera que

permanezcan siempre sobre discos diferentes. Pueden ser soportados

de 3 a 32 discos.

Un bloque de paridad existe para cada fila de datos a través de los

discos. El block de paridad es usado para reconstruir los datos ante una

falla física del disco. Si uno falla, entonces la información que

permanece en los demás discos, junto con la información de paridad

permite que se construya la información faltante. Todas las particiones,

excepto la partición del sistema o de booteo pueden ser utilizadas para

aplicar este método.

Ofrece la mejor performance para las operaciones de lectura; pero

cuando un disco falla, la performance de lectura se degrada, ya que los

datos son recuperados utilizando la información de paridad.

Características de RAID 5.

• Soporta FAT, HPFS y NTFS.

• No se puede armar sobre una partición de booteo o del

sistema.

• Requiere como mínimo tres discos.

115

• Bajo costo por megabyte

• Performance de escritura moderada

• Excelente performance de lectura

• Requiere más memoria (para calcular la información de

paridad).

• Soporta hasta 32 discos.

Después de haber revisado las características de cada uno de los tipos

de RAID, se ha realizado una elección de cual es el tipo de RAID

óptimo, o el que nos presenta mejores características y beneficiaría

más a la institución, en un momento de falla del sistema de datos, es

importante destacar que buscamos disponibilidad y continuidad de las

operaciones de la institución, es así que presentamos RAID 5 como el

Modelo Optimo a implementar.

Para la implementación de un RAID 5, debemos de tomar en

consideración los siguientes aspectos:

1. Diagnóstico del servidor, para establecer si este tiene la

capacidad de soportar un Raid 5 (esto es hablando en cuestión

de espacio físico). A partir de esto se puede escoger entre

realizar el Raid interno o externo al servidor.

2. Es importante resaltar que los discos que componen el Raid,

deben de tener las mismas características. El Raid 5 usa como

mínimo 3 discos y como máximo 32.

3. Un disco duro contendrá el Sistema de Datos, un disco será de

repuesto en falla de cualquiera de los otros discos, y los demás

contendrá las bases de datos.

4. Tarjeta Controladora SCSI, esta nos permitirá tener una mayor

velocidad de transferencia de datos. Software para configurar el

Raid 5 en el servidor, este viene junto con la tarjeta.

* En caso de que el servidor no soporte Raid, se deberá de

adquirir un arreglo de discos externo al servidor.

116

Ventajas.

Raid 5 es la solución más económica por megabyte, que ofrece la mejor

relación de precio, rendimiento y disponibilidad para la mayoría de los

servidores.

Desventaja.

La desventaja más considerable que presenta RAID 5 podría

presentarse si en un momento se arruinan dos discos a la vez, ya que

RAID 5, mantiene de reserva un disco duro.

Se recomienda en la alternativa de RAID 5, tomar en cuenta para la

implementación el siguiente equipo:

EQUIPO IMAGEN

Disco Duro

Tarjeta Controladora

Cable de Conexión RAID

117

RAID Externo

Tabla 4-2 Recurso a utilizar en implementación RAID 5

Configuración RAID 5 para Windows Server 2003.

Un RAID-5 en Windows Server 2003, combina áreas de espacio libre en múltiples

discos duros (de 3 a 32) en un volumen lógico.

La paridad es información redundante asociada con un bloque de información. En los

productos Windows Server 2003, la paridad es un valor calculado que se utiliza para

reconstruir datos después de producirse un error. Cuando se produce un error en un

disco, Windows Server 2003 utiliza la información de paridad para volver a crear los

datos en el disco con errores.

En un RAID-5 se puede utilizar cualquier sistema de archivos, lo que incluye los

sistemas de archivos FAT, FAT32 o NTFS.

NOTA: ni los archivos del sistema operativo ni los de inicio pueden residir en los

discos RAID-5. Sin embargo, puede colocar el archivo de intercambio del sistema en

un volumen RAID-5.

a) Requisitos.

• Tres unidades de disco duro como mínimo. Se admiten arquitectura IDE,

SCSI o una arquitectura combinada.

• Todos los discos implicados en el volumen RAID-5 deben ser discos

dinámicos.

• Los archivos de sistema e inicio del sistema operativo deben encontrarse

en un volumen diferente.

B) Configuración del sistema de administración de discos

118

1. Haga clic en Inicio, seleccione Herramientas administrativas y, a

continuación, haga clic en Administración de equipos.

2. Haga clic en el signo más (+) situado junto a Almacenamiento para

abrir el árbol de consola Almacenamiento.

3. Haga clic en la carpeta Administración de discos.

4. En el menú Ver, seleccione Arriba y haga clic en Lista de discos. En el

panel derecho se muestra una columna con los atributos de cada uno

de los discos del sistema.

5. En el menú Ver, seleccione Abajo y haga clic en Vista gráfica.

Se mostrará una vista gráfica codificada en colores de los discos del sistema.

El panel de descripción de discos (que se muestra en gris) se encuentra en el

panel izquierdo de la descripción de volúmenes, que se muestra en color. La

descripción de discos contiene información acerca del número del disco, la

configuración básica o dinámica, el tamaño y el estado en línea o fuera de

línea de cada uno de los discos. La descripción de los volúmenes está

codificada en colores. Contiene información acerca de cada uno de los

volúmenes, como la letra de la unidad (si tiene una asignada), si están

asignados o no, la partición o el tamaño del volumen y su estado.

C) Cómo asegurarse de que los discos están configurados para admitir

RAID-5

• Discos: para la creación de bandas necesita tres discos como mínimo.

• Tipo: todos los discos implicados en la creación de bandas deben ser

dinámicos. La conversión de básico a dinámico se realiza rápidamente

sin pérdida de datos. Una vez completado este proceso, reinicie el

equipo.

• Capacidad: el volumen RAID-5 puede ocupar todo el disco o sólo 20

megabytes (MB) de cada disco.

• Espacio no asignado: todos los discos que desee actualizar a disco

dinámico deben contener al menos 1 MB de espacio libre al final para

que la actualización se realice correctamente. La Administración de

119

discos reserva automáticamente este espacio libre cuando crea

particiones o volúmenes en un disco, pero es posible que este espacio

no esté disponible en los discos con particiones o volúmenes creados

por otros sistemas operativos.

• Estado: todos los discos implicados en un volumen seccionado deben

estar en línea al crear el volumen seccionado.

• Tipo de dispositivo: puede crear bandas en cualquier disco dinámico

aunque haya una mezcla de arquitecturas de unidad en el equipo. Por

ejemplo, las unidades IDE, EIDE y SCSI pueden utilizarse en un

volumen seccionado.

D) Actualice los discos dinámicos

Si los discos que participarán en el volumen seccionado ya son dinámicos,

pase por alto esta sección y vaya a la siguiente al apartado E.

NOTA: debe haber iniciado sesión como administrador o como miembro del

grupo Administradores para poder completar este procedimiento. Si el equipo

está conectado a una red, es posible que la configuración de la directiva de

red le impida completar este procedimiento.

Para actualizar un disco básico a dinámico:

1. Antes de actualizar discos, cierre todos los programas que estén

ejecutándose en ellos.

2. Haga clic con el botón secundario del mouse (ratón) en el panel gris de

descripción de discos, situado a la izquierda de los paneles de

volumen codificados en colores, y, a continuación, haga clic en

Convertir en disco dinámico.

3. Si el segundo disco no es un disco dinámico, siga los pasos descritos

anteriormente en este artículo para actualizarlo a un disco dinámico.

E) Cómo convertir a RAID-5

En este escenario, hay cuatro discos en el equipo: disco 0, disco 1, disco 2 y

disco 3. El disco 0 está reservado para los archivos del sistema operativo y de

inicio porque no puede residir en un volumen RAID-5. Los otros tres discos

120

son discos RAID-5. Cada disco cuenta con 1 gigabyte (GB) de espacio libre

sin asignar que se dedica al volumen RAID-5.

NOTA: 1 GB de espacio libre en cada uno de los tres discos proporciona un

volumen útil total de 2 GB gracias a la información de paridad integrada como

parte de cada banda.

1. En la herramienta Administración de discos, haga clic con el botón

secundario del mouse en uno de los discos dinámicos donde desea

crear el volumen RAID-5 y, a continuación, haga clic en Crear

volumen.

2. Cuando aparezca el Asistente para crear volúmenes, haga clic en

Siguiente.

3. Haga clic en Volumen RAID-5 y, a continuación, en Siguiente.

4. Haga clic en los discos, en el panel izquierdo, en Todos los discos

dinámicos disponibles y, a continuación, haga clic en la ficha Agregar.

Los discos que se muestran en el panel derecho tendrán la etiqueta

Seleccionados.

5. Mire en la parte inferior del cuadro de diálogo Seleccionar disco, bajo

la etiqueta Tamaño.

En el cuadro Para todos los discos seleccionados se muestra el

tamaño máximo de volumen RAID-5 que puede crear.

NOTA: el volumen de cada disco tiene el mismo tamaño en el volumen

RAID-5 completo. Por ejemplo, si tiene 100 MB en el primer disco,

dispone de 100 MB en el segundo. Puede reducir el tamaño del

volumen con respecto al máximo que muestra el asistente

automáticamente. Para ello, haga clic en la flecha del cuadro Tamaño

del disco para reducir el tamaño del volumen de este disco. En un

sistema de tres discos, el tamaño total de almacenamiento del volumen

RAID-5 es el doble del tamaño especificado. En el cuadro Tamaño total

del volumen se indica el espacio total de almacenamiento.

6. Haga clic en Siguiente. Es posible que ahora desee asignar una letra

de unidad (también puede hacerlo más tarde). Para ello, haga clic en

121

Asignar letra de unidad y, a continuación, inserte una letra de unidad

disponible. O bien, haga clic en No asignar una letra o ruta de acceso

de unidad. También puede hacer clic en Montar este volumen en una

carpeta vacía que acepte rutas de unidad. Sin embargo, esta selección

va más allá del objetivo de este artículo.

7. Haga clic en Siguiente.

8. Haga clic en Formatear esta partición con la configuración siguiente y

siga estos pasos:

a) Escriba el tipo de sistema de archivos; se acepta FAT32 o NTFS.

b) Deje la selección predeterminada en el cuadro Tamaño de la

unidad de asignación.

c) En el cuadro Etiqueta de volumen, puede mantener la etiqueta

predeterminada "Nuevo volumen", o bien escribir su propia

etiqueta.

d) Ahora puede activar las casillas de verificación Formato rápido y

Habilitar compresión de archivos y carpetas. También puede

aplazar ambas tareas si así lo desea.

9. Haga clic en Siguiente, realice su selección en la ventana Resumen

y, a continuación, haga clic en Finalizar.

El RAID-5 se mostrará en los tres discos del sistema. Tienen el mismo código de

color, la misma letra de unidad (sí asignó la unidad durante el procedimiento) y el

mismo tamaño. Si hace clic en la opción Formato rápido, el estado de los discos

muestra "Regenerando" mientras se da formato a las unidades. Una vez que se

ha dado formato a los discos, su estado mostrará "Correcto". Ya puede utilizar el

RAID-5; no es necesario que reinicie el equipo.

Recomendaciones adicionales.

• No utilice nunca una solución de hardware y de software RAID en el mismo

disco.

122

• Ni los archivos del sistema operativo ni los de inicio pueden residir en los

discos RAID-5.

• Microsoft recomienda utilizar RAID-5 en volúmenes reflejados para programas

que requieren redundancia y que están principalmente orientados a la lectura.

El rendimiento de escritura queda reducido por el cálculo de paridad.

Asimismo, una operación de escritura requiere tres veces más memoria que

una de lectura durante el funcionamiento normal. Esta condición la provoca el

cálculo de paridad.

• Los volúmenes RAID-5 proporcionan tolerancia a errores a un costo de un

disco adicional por el volumen. Esto significa que si utiliza tres discos de 10

GB para crear un volumen RAID-5, el volumen tendrá una capacidad de 20

GB. Los 10 GB restantes se utilizan para la paridad.

• Los volúmenes RAID-5 no pueden ampliarse ni reflejarse.

Propuesta B: Replicación de Datos.

Definición.

La Replicación de datos es el mecanismo que provee un servicio de

administración de copias o de réplicas, donde cualquier tipo de datos

que se procesa puede ser replicado.

Un servicio de Replicación de datos debe proveer las siguientes

funcionalidades:

• Debe ser escalable, poder replicar volúmenes pequeños o

grandes de datos a través de recursos heterogéneos.

• Debe proveer servicios de mapeo y transformación de datos. Las

copias pueden ser idénticas o semánticamente equivalentes.

• Deben soportar Replicación no solo de datos, sino de otro tipo de

objetos (imágenes, video).

• Debe soportar Replicación sincrónica (tiempo real) y asincrónica

(tiempo no real).

123

• Debe proveer un mecanismo que describa los datos y objetos a

ser replicados.

• Debe proveer un mecanismo de suscripción de datos y objetos a

ser replicados.

• Debe proveer un mecanismo para inicializar las copias

replicadas.

• Debe prever un mecanismo de seguridad. Los datos pueden

cambiar la forma, pero no el contenido.

• Debe proveer un mecanismo de lo que permita recuperar el

sistema ante fallas.

• Debe soportar un mecanismo de recuperación automática.

• Debe soportar unos mecanismos de monitoreo.

• Debe poder almacenar y hacer disponible a los usuarios que

diseñan sistemas de información sobre los datos.

Tipos de Replicación.

Existen varios tipos de replicación de datos, los cuales se dividen de

acuerdo a la manera en que se realiza la replicación de datos entre los

servidores. A continuación presentamos un esquema sobre los tipos de

replicación de datos y sus divisiones.

124

Figura 4-3 Tipos de Replicación de Datos.

Replicación Sincrónica.

La Replicación sincrónica es llamada “Consistencia fuerte” entre los

datos mencionados. El grado de desactualización de los datos

replicados respecto a los datos originales es cero, es decir la latencia es

cero.

Estas transacciones se llaman “todo o nada”, una transacción no

debería ser aceptada si alguno de los sitios intervinientes no esté de

acuerdo.

La Replicación sincrónica se utiliza solo si se necesita una consistencia

fuerte de datos.

Replicación Asincrónica.

A la Replicación de asincrónica es llamada “consistencia débil”, entre

los datos almacenados. Existe una desactualización de la copia

replicada respecto de la original, es decir existe una cierta latencia.

Replicación

Sincrónica Semi-sincrónica Asincrónica

Por refresco Propagación por eventos

Refresco completo Refresco incremental De BD a BD De proceso a proceso

Mensajes publicador/suscriptor Basado en el log de transacciones Basado en reglas o triggers

125

El servidor de Replicación podría proveer varias alternativas para elegir

el momento de replicar pudiendo ser las siguientes:

• Inmediatamente como sea posible.

• Programado.

• Cuando se disparen los triggers por insert, update y

delete.

• Bajo un control manual.

Replicación Hardware o Software.

Existen soluciones de Replicación de hardware o software. Las

compañías ofrecen subsistemas de almacenamiento que permiten

realizar Replicación sincrónica o asincrónica a través de hardware,

entre un sitio principal y sitios de contingencia. A su vez es posible

encontrar soluciones de Replicación de software que pueden abarcar

ciertas aplicaciones en forma conjunta, o en su defecto es posible

manejar la Replicación nativa de cada aplicación como por ejemplo

SQL Server y Oracle.

Cuando se trata de Replicación a nivel de hardware, todas las tareas se

realizan a través de las controladoras de los subsistemas de

almacenamiento, liberando a los servidores de la carga de las

operaciones de Replicación. Sin embargo las controladoras de un

proveedor de hardware generalmente no permiten replicar hacia

controladoras de otro proveedor, por lo cual las soluciones de

Replicación por hardware implican la implementación de subsistemas

de almacenamiento de un único proveedor en toda la solución.

No existen limitaciones de este tipo cuando se trata de la Replicación

por software, pero en este escenario se utilizan ciclos de procesamiento

de los servidores para realizar las tareas de Replicación, afectando la

performance de los mismos.

126

Modelo Óptimo de Replicación de Datos.

Uno de los factores del cual dependerá la implementación del Modelo

de Replicación de Datos es el factor económico, es importante

mencionar que esta solución es de un alto costo económico para la

institución que desee implementarlo.

El modelo óptimo de Replicación de Datos sería: Replicación Hardware

Sincrónica. Este modelo nos permite tener un servidor de réplicas con

los mismos datos del servidor principal, y con una desactualización de

grado 0, la actualización de los datos esta siendo en línea, lo que

permite que no se pierda en ningún momento el sistema de datos, y la

productividad se mantenga.

Los requerimientos necesarios para la implementación de esta solución

son:

EQUIPO IMAGEN

Servidor para replicación

de datos

Módem

Router

127

Tarjeta Controladora SCSI

RACK

UPS

Sotware para la Replicación

de Datos

Sistema Operativo

(el mismo del servidor principal)

El mismo Software del Servidor Principal.

128

Sistema de Cableado de Datos.

Línea IP

Tabla 4-3 Equipo a utilizar en la implementación de Réplica de Datos.

El servidor alterno deberá de contar con las mismas especificaciones

que tiene el servidor principal con el que cuenta la institución.

Si la solución es implementada fuera de las instalaciones donde se

encuentra el servidor, necesitaremos un módem (el módem puede

alquilarse con la empresa que brinda el servicio de línea IP), router,

para la comunicación entre servidores y transferencia de datos.

La comunicación se hará mediante línea IP.

Además necesitaremos cableado estructural para la conexión del

servidor réplicas. Deberá de contar con su propio UPS, para dar

protección al servidor.

Si la solución se implementa en el mismo espacio físico en el que se

encuentra el servidor principal, el servidor alterno deberá de contar con

una tarjeta controladora para poder realizar la replicación de datos esta

tarjeta tiene que ser SCSI.

El servidor alterno contará con el mismo software del servidor principal.

El software de replicas deberá ser instalado en ambos servidores, se

tiene varios en el mercado, entre ellos Veritas, MIMIX, Double Talke,

entre otros.

129

Figura 4-4 Replicación de Datos.

Una vez desarrollado cada uno de los componentes que conforman el modelo de

seguridad informática: Políticas de Seguridad, Solución Tecnológica y los planes de

contingencia, pasamos a la siguiente fase de implementación, en la cual se pondrá

en marcha el modelo. Se diseñó unas guías para el desarrollo de los Planes de

Contingencias, así como para la solución tecnológica las cuales constituyen los

Anexos A-3 y A-4.

6.3 Fase de Implementación. 6.3.1 Revisión y Pruebas del Modelo.

Con el objeto de confirmar que todo lo creado funciona en un marco real, se

realiza una simulación de eventos y acontecimientos que atenté contra la

seguridad del sistema. Esta simulación y los casos reales registrados generan

una realimentación y revisión que permiten adecuar las políticas generadas en

primera instancia.

Hay que dejar claro que este proceso es dinámico y continuo, sobre el que hay

que adecuarse continuamente a fin de subsanar inmediatamente cualquier

debilidad descubierta, con el fin de que estas políticas no caigan en desuso.

Una vez la documentación de la política de Seguridad y los Planes de

Contingencia ha sido creada, esta debe ser remitida a un grupo (o un

individuo) independiente para su evaluación antes de su aprobación final. Hay

varios beneficios de la revisión independiente:

Comunicación

ServidorPrincipal

Servidorde

Replica

Replicación de Datos

Restauración de Datos

130

• Una política más viable a través del escrutinio de individuos que tienen una

perspectiva diferente o más vasta que la persona que redactó la política.

• Apoyo más amplio para la política a través de un incremento de

involucrados.

• Aumento en el número de credibilidad en la política gracias a la

información recibida de diferentes especialistas del grupo de revisión.

Propia de esta etapa es la presentación de la política a los revisores, ya sea

de manera formal o informal, exponiendo cualquier punto que puede ser

importante para la revisión, explicando su objetivo, el contexto y los beneficios

potenciales de la política y justificando por qué es necesaria. Como parte de

esta función, se espera que el creador de la política recopile los comentarios y

las recomendaciones para realizar cambios en la política y efectuar todos los

ajustes y las revisiones necesarias para obtener una versión final de la política

lista para la aprobación por las directivas.

Es importante definir los procedimientos y planes de acción para el caso de

una posible falla, siniestro o desastre en el área de informática, considerando

como tal todas las áreas de los usuarios que procesan información por medio

de la computadora.

Cuando ocurra una contingencia, es esencial que se conozca al detalle el

motivo que la originó y el daño producido, lo que permitirá recuperar en el

menor tiempo posible el proceso perdido.

La elaboración de los procedimientos que se determinen como adecuados

para un caso de emergencia, deben ser planeados y probados

fehacientemente, para esto se hace necesario llevar acabo simulacros de

desastres para verificar que los planes de contingencias responden

eficientemente.

Los procedimientos deberán de ser de ejecución obligatoria y bajo la

responsabilidad de los encargados de la realización de los mismos, debiendo

131

haber procesos de verificación de su cumplimiento. En estos procedimientos

estará involucrado todo el personal de la institución.

Los procedimientos de planes de contingencia deben de emanar de la máxima

autoridad institucional, para garantizar la difusión y estricto cumplimiento.

Para el plan de pruebas debe de tomarse en considerarse los siguientes

aspectos:

• Participantes en las pruebas: Personal de Gerencial, personal de

informática, usuarios.

• Frecuencia de las pruebas: la prueba del plan debe de hacerse a

intervalos predeterminados; pero cada vez que se realice una

modificación significativa del Plan, no sólo debe realizarse la

actualización, sin que debe programarse una prueba.

• Tipos de prueba: el plan puede probarse en su totalidad o probar una o

varias áreas de interés. Además; es importante determinar el momento

en el que se va hacer la prueba.

Pasos para conducir una prueba:

• Seleccione el componente a probar.

• Determine los objetivos, para medir el éxito.

• Revise los requerimientos de la prueba y obtener su aprobación y

respaldo.

• Anuncie la prueba y su duración.

• Recopile los resultados de la prueba.

• Evalúe los resultados de la prueba.

• Analice las implicaciones de la prueba.

• Documente los resultados de la prueba y recomendaciones.

• Actualice el Plan de Contingencias.

Consideraciones adicionales:

• Lleve registro de todos los eventos, para determinar las debilidades del

Plan.

132

• No pruebe áreas en donde se sabe con anticipación que existen

problemas. En su lugar, deben asignarse recursos para mejorar las

deficiencias.

• No deben desarrollarse nuevos procedimientos en el transcurso de la

prueba.

6.3.2 Aprobación de la política de Seguridad y los Planes de Contingencia.

El objetivo de esta etapa es obtener el apoyo de la administración de la

empresa, a través de la firma de una persona ubicada en una posición de

autoridad.

Debe de hacerse una presentación del Plan y formalizar la entrega del

documento a los niveles superiores.

La aprobación permite iniciar la implementación de la política. Requiere que el

proponente de la política haga una selección adecuada de la autoridad de

aprobación, que coordine con dicho funcionario, presente las

recomendaciones emitidas durante la etapa de revisión y haga el esfuerzo

para que sea aceptada por la administración. Puede ocurrir que por

incertidumbre de la autoridad de aprobación sea necesaria una aprobación

temporal.

6.3.3 Comunicación y Capacitación.

El conocimiento del Modelo de Seguridad Informática y la capacitación que se

tenga en cada uno de los componentes, por parte del personal involucrado en

la puesta en marcha del Modelo, es un elemento de mucho peso, por lo cual

debe asignarse el tiempo y los recursos necesarios para lograr una

comunicación y capacitación adecuada, a efecto de lograr los mejores

resultados en caso de ocurrir una contingencia.

No debe olvidarse que el éxito del Plan depende en alto grado de la

disponibilidad y participación de personal bien capacitado, quienes hayan

estudiado el plan, recibido el entrenamiento e incluso participado en las

133

modificaciones, si hubo, de tal manera que se sientan que son parte del Plan,

los motivará a trabajar en situaciones de contingencia.

Además es necesario que como parte de la capacitación se dé entrenamiento

en la seguridad personal, ya que el recurso humano es el más valioso para

cualquier organización.

6.4 Fase de Mantenimiento.

La fase de mantenimiento esta relacionada con el proceso de garantizar la vigencia y

la integridad del Modelo. Esto incluye el seguimiento a las tendencias de cambios

(cambios en la tecnología, en los procesos, en las personas, en la organización, en el

enfoque del negocio, etc.)

6.4.1 Monitoreo.

Durante la fase de mantenimiento, la etapa de monitoreo es realizada para

seguir y reportar la efectividad de los esfuerzos en el cumplimiento del Modelo.

Esta información se obtiene de la observación de los empleados, clientes,

supervisores, mediante auditorias formales, evaluaciones, inspecciones,

revisiones y análisis de los reportes de contravenciones y de las actividades

realizadas en respuesta a los incidentes.

Esta etapa incluye actividades continuas para monitorear el cumplimiento o no

del Modelo a través de métodos formales e informales y el reporte de las

deficiencias encontradas a las autoridades apropiadas.

Con el propósito de dar seguimiento y control al Modelo de seguridad

informático, debe de tomar en cuenta los siguientes aspectos:

• Nombre un responsable sobre la administración del modelo.

• Realice un monitoreo constante de la seguridad informática de la

institución.

• Lleve una bitácora de los acontecimientos que ocurren entorno al

Modelo, como también aquellos que de una u otra manera puedan

afectar la seguridad de los datos.

134

Esta información debe de presentarse mensualmente al Gerente de

Departamento de Informática, con el propósito de tomar acciones para

prevenir problemas futuros.

Asimismo la persona responsable del Modelo, debe de estar pendiente de dar

un mantenimiento continuo, a su vez la Alta Gerencia debe de mantener una

revisión a la documentación asociada a la Seguridad Informática.

6.4.2 Mantenimiento.

La etapa de mantenimiento esta relacionada con el proceso de garantizar la

vigencia y la integridad de la política. Esto incluye hacer seguimiento a las

tendencias de cambios en la tecnología, en los procesos, en las personas, en

la organización, en el enfoque del negocio, etcétera, que puede afectar la

política; recomendando y coordinando modificaciones resultado de estos

cambios, documentándolos en la política y registrando las actividades de

cambio. Esta etapa también garantiza la disponibilidad continuada de la

política para todas las partes afectadas por ella, al igual que el mantenimiento

de la integridad de la política a través de un control de versiones efectivo.

Cuando se requieran cambios a la política, las etapas realizadas antes deben

ser re-visitadas, en particular las etapas de revisión, aprobación, comunicación

y garantía de cumplimiento.

7. RECURSOS Y PRESUPUESTO.

Los recursos y presupuestos que a continuación se detallan, se basan en los

requerimientos mínimos de cada una de las propuestas establecidas, y es para tener

una apreciación del costo en el que se puede llegar a incurrir por cada una de las

propuestas establecidas. El presupuesto final dependerá de los requerimientos y

necesidades de cada una de las instituciones. Por cada una de las instituciones

puede existir un presupuesto diferente, ya que cada una de ella presenta diferente

tecnología, necesidades y requerimientos.

135

Presupuesto RAID 5. CANTIDAD RECURSO PRECIO

UNITARIO PRECIO TOTAL

5 Discos Duros SCSI $ 350.00 $ 1,400.00

1 Tarjeta Controladora SCSI $ 950.00 $ 950.00

TOTAL $ 2,350.00

Tabla 4-4 Presupuesto Implementación RAID 5

Presupuesto Replicación de Datos. CANTIDAD RECURSO PRECIO

UNITARIO PRECIO TOTAL

1 Servidor para replica de datos $ 3,500.00 $ 3,500.00

1 Módem $ 199.00 $ 199.00

1 Router $ 1,700.00 $ 1,700.00

1 Rack $ 1,425.00 $ 1,425.00

1 UPS $ 57.00 $ 57.00

1 Cableado Estructural categoría 6 $ 56.30 $ 56.30

1 Software para Replicación de Datos

para dos servidores (Veritas) $ 1,200.00 $ 1,200.00

1 Línea IP (gasto mensual)

TOTAL DE IMPLEMENTACION $ 8,137.30

Tabla 4-5 Presupuesto Implementación Replicación de Datos.

136

8. CRONOGRAMA DE ACTIVIDADES.

CRONOGRAMA DE ACTIVIDADES A REALIZAR PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD INFORMATICA QUE GARANTICE LA CONTINUIDAD DE LAS OPERACIONES DEL SISTEMA DE DATOS.

Mes 1 Mes 2 Mes 3 Mes 4

ACTIVIDADES 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

A.Fase de Diagnóstico.

1. Diágnostico de Vulnerabilidades.

2. Identificación de Riesgos.

B. Fase de Desarrollo.

1. Determinación de Necesidades

2. Delimitación de Espacio

3. Determinación de Recursos.

4. Procedimiento de Adquisición Recursos

5. Desarrollo del Modelo.

a. Desarrollo de Políticas de Seguridad

b. Desarrollo de Planes de Contingencia

c. Desarrollo de Modelo Tecnológico.

C. Fase de Implementación.

1. Revisión de Modelo.

2. Aprobación de Modelo.

3. Comunicación y Capacitación.

D. Fase de Mantenimiento.

1. Monitoreo del Modelo.

2. Mantenimiento del Modelo.

Tabla 4-6 Cronograma de Actividades para la Implementación Modelo Seguridad Informática.

137

9. EVALUACION DEL MODELO.

La construcción de un Modelo de Seguridad Informática del Sistema de Datos es un

proceso que conlleva la comprensión del entorno de los datos, así como también la

metodología de la construcción de Modelos, también hacer conciencia de cada uno

de los aspectos que involucran la Seguridad Informática, el esperar lo inesperado,

estar alerta a cada uno de los acontecimientos que pueden afectar dicha seguridad,

lo que implica además el logro de continuidad del negocio, esto no sería posible si

solo se enfoca al aspecto tecnológico, se ha detallado que un Modelo de Seguridad

Informática del va más allá que de la tecnología, y que ello necesita el

involucramiento de toda la institución, tecnología, administración, personal, etc. Esta

claro que el objetivo de brindar un Modelo de Seguridad Informática del Sistema de

Datos a las instituciones es brindar una herramienta que permita el asegurar la

continuidad del negocio; sin embargo dicho Modelo esta abierto a futuras mejoras,

nuevas implementaciones, con el fin de incrementar y asegurar la seguridad de las

instituciones.